合规性管理器法规列表

本文内容: 查看可用于在合规性管理器中生成评估的 法规 的综合列表。

重要

默认情况下,可供组织使用的法规取决于许可协议。 查看许可详细信息

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

概述

合规性管理器提供了一组全面的法规模板,用于创建评估。 这些 法规(如合规性管理器中所述)可帮助组织遵守管理数据收集和使用的国家、地区和行业特定要求。 随着新法律法规的颁布,法规将添加到合规性管理器中。 合规性管理器还会在基础法律或法规更改时更新其法规。 详细了解如何 查看和接受更新

法规列表及其查找位置

提示

在新的 Microsoft Purview 门户中, “法规 ”页位于左侧导航栏中,而不是顶部的选项卡。

下面是合规性管理器中法规的完整列表。 在合规性管理器中,转到 “法规 ”页,选择法规名称以查看其说明、属性、控件和关联的改进操作。 跳转到以下部分,按地区或行业查看法规:

包含的法规

默认情况下,某些法规包含在合规性管理器中,具体取决于订阅级别:

  • 所有订阅级别的客户Microsoft数据保护基线 包含在所有组织的订阅中。
  • A5/E5/G5 订阅级别的客户:除了Microsoft数据保护基线之外,还可以选择任意三种高级法规来免费使用。
  • 美国政府社区 (GCC) 中等、GCC High 和国防部 (DoD) 客户:网络安全成熟度模型认证 (CMMC) 级别 1 到 5,还包括Microsoft数据保护基线。

高级法规

组织可以购买下面列出的法规模板。 某些许可协议允许免费使用三个高级法规。 查看 许可详细信息

人工智能

  • 欧盟人工智能法案
  • ISO/IEC 23894:2023
  • ISO/IEC 42001:2023
  • NIST AI 风险管理框架 (RMF) 1.0

全球

  • ICA 模块 2) (电子记录管理系统指南和功能要求
  • ISO 15489-1:2016
  • ISO 16175-1:2020
  • ISO 19791 - 信息技术 — 安全技术 — 操作系统的安全评估
  • ISO 22301:2019
  • ISO 23081-1:2017
  • ISO 27005:2018
  • ISO 27017:2015
  • ISO 27034-1 信息技术 — 安全技术 — 应用程序安全性
  • ISO 27799:2016,健康信息学 — 运行状况中的信息安全管理
  • ISO 28000 - 供应链安全管理系统规范
  • ISO 31000:2018
  • ISO 37301
  • ISO 55001 – 资产管理 -- 管理系统--要求
  • ISO IEC 80001-1:2010
  • ISO/IEC 27001:2013
  • ISO/IEC 27001:2022
  • ISO/IEC 27018:2019
  • ISO/IEC 27033-1:2015
  • ISO/IEC 27701:2019
  • NIST 800-207 - 零信任 体系结构
  • SIG 2022
  • 系统和组织控制 (SOC) 1
  • 系统和组织控制 (SOC) 2

行业

美国政府

  • 附录三至 OMB 通函编号 A-130 - 联邦自动化信息资源的安全性
  • CFR - 联邦法规第 21 章,第 11 部分,电子记录,电子签名
  • 儿童在线隐私保护规则 (COPPA)
  • CMMC 级别 1、级别 2、级别 3、级别 4、级别 5
  • CMMC v2 级别 1
  • CMMC v2 级别 2
  • CMS 信息系统安全和隐私策略 (IS2P2)
  • 计算机欺诈和滥用法 (CFAA)
  • 用于管理医疗器械网络安全的上市前提交内容
  • 刑事司法信息服务 (CJIS) 安全策略
  • 包含现成 (OTS) 软件的网络医疗设备的网络安全 - FDA
  • 网络安全成熟度模型认证 (CMMC) 级别 1 到 5
  • DFARS
  • e-CFR - 标识盗窃规则
  • 联邦法规电子代码 - 第 748.0 部分和附录 A
  • FDIC 隐私规则
  • 联邦金融机构考试委员会 (FFIEC) 信息安全小册子
  • FedRAMP Moderate
  • FedRAMP SSP 高基线
  • 信息自由法 (FOIA)
  • 消费者财务信息的 FTC 隐私
  • Gramm-Leach-Bliley Act, Title V, Subtitle A, Financial Privacy
  • HIPAA/HITECH
  • HITRUST
  • 国土安全总统指令 7:关键基础结构识别、优先顺序和保护
  • IRS - 收入过程 98-25 自动记录
  • IRS-P1075
  • EXCHANGE (MARS-E) 2.0 的最低可接受风险标准
  • 国家档案馆通用电子记录管理 (ERM) 要求
  • NIST 800-37
  • NIST 800-53 rev.4
  • NIST 800-53 rev.5
  • NIST 800-63 数字标识指南
  • NIST 800-78-4:个人身份验证的加密算法和密钥大小
  • NIST 800-137A -- 评估信息安全持续监视 (ISCM) 计划
  • NIST 800-171
  • NIST 800-184:网络安全事件恢复指南
  • NIST CSF
  • NIST 隐私框架
  • NIST SP 1800-5 IT 资产管理
  • NIST 特别出版物 1800-1 保护移动设备上的电子健康记录
  • NIST 特别出版物 800-128
  • NIST 特别出版物 800-210:云系统的一般访问控制指南
  • 萨班斯-奥克斯利法案
  • SEC 17-4 ()
  • 美国隐私法美国
  • 美国 - 澄清在海外合法使用数据 (云) 法案
  • 美国 - 关于上市公司网络安全披露的委员会声明和指南
  • 美国 - 能源部 (能源部) 外国原子能活动的援助
  • 美国 - 家庭教育权利和隐私法 (FERPA)
  • 美国 - 2014 年联邦信息安全现代化法案 (FISMA)
  • 美国 - 保护化学设施免受恐怖袭击法案

美国各州和地区

  • 阿拉巴马州 - 策略 621:数据泄露通知 - 草稿
  • 阿拉斯加 - 第 48 章 - 个人信息保护法
  • 亚利桑那 - 安全系统中的违规通知
  • 阿肯色州代码标题 4,副标题 7,第 110 章,个人信息保护法
  • 加州 - 民法第 1798 条
  • 加州 - 数据库泄露法案 (加利福尼亚州 SB 1386)
  • 加州 - 教育代码 EDC,标题 3,第 14 部分,第 65 部分,第 2.5 章 - 社交媒体隐私
  • 加州 - (CPRA)
  • 加州 - SB-327 信息隐私:连接的设备
  • 加州消费者信用报告机构法案
  • 科罗拉多隐私法 (CPA)
  • 加州消费者隐私法案 (CCPA)
  • 科罗拉多消费者数据隐私保护
  • 科罗拉多修订的法规,第 6-1-716 条,安全漏洞通知
  • 康涅狄格州 - 显示和使用社会安全号码和个人信息
  • 康涅狄格州一般法规 - 对接收机密信息的国家承包商的一般规定
  • 保护个人信息的康涅狄格州信息安全计划
  • 康涅狄格州法律 - 违反包含个人信息的计算机化数据的安全
  • D.C. 法律 16-237 - 消费者个人信息违反通知法
  • 特拉华州 - 学生数据隐私保护法案
  • 特拉华州计算机安全漏洞 - 商业和贸易字幕 II - 12B-100 到 12B-104
  • 佛罗里达州标题 XXXII,第 501 章,第 501.171 节,机密个人信息的安全性
  • 佐治亚州 (美国) 个人身份保护法
  • 关岛关于个人信息泄露的通知
  • 夏威夷 - 个人信息安全漏洞第 487N 章
  • 爱达荷州身份盗窃
  • 伊利诺伊州 (740 ILCS 14/1) 生物识别信息隐私法案
  • 伊利诺伊州个人信息保护法案
  • 印第安纳州披露安全漏洞
  • 爱荷华州 - 学生个人信息保护法案
  • 爱荷华州代码。 标题十六。 第 715C 章。 个人信息安全漏洞保护
  • 堪萨斯州消费者信息,安全漏洞法规
  • 肯塔基州数据泄露通知
  • 路易斯安那州数据库安全漏洞通知法 (第 382 号)
  • 缅因州 - 保护在线消费者信息隐私法案
  • 缅因州 - 个人数据风险通知
  • 马里兰州政府代码 - 政府机构的信息保护
  • 马里兰州个人信息保护法案 - 安全漏洞通知要求,HB 1154
  • 马里兰州的学生数据隐私法案
  • 马萨诸塞州 - 201 CMR 17.00:英联邦居民个人信息保护标准
  • 马萨诸塞州数据泄露通知法 93H 第 1-6 节
  • 密歇根州身份盗窃保护法案
  • 密西西比州安全漏洞通知
  • 蒙大拿州 - 身份盗窃的障碍
  • 内布拉斯加州的数据保护和消费者数据安全违规通知法案
  • 内华达州第 603A 章 - 个人信息的安全和隐私
  • 内华达州参议院法案 220 在线隐私法
  • 新罕布什尔州隐私权法案
  • 新泽西州安全漏洞披露
  • 新墨西哥州第 57 章 - 隐私保护 (第 57-12B-1 至 4 条)
  • 新墨西哥州消费者信息隐私法案
  • 新墨西哥州的数据泄露通知法案
  • 纽约 - 23 NYCRR 第 500 部分
  • 纽约市管理代码 - 安全漏洞通知
  • 纽约一般商业法 - 数据安全漏洞通知和数据安全保护
  • 《纽约隐私法》
  • 北卡罗来纳州 - 身份盗窃保护法案
  • 北达科他州第 51-30 章个人信息安全漏洞通知
  • 俄亥俄州 - 安全漏洞通知
  • 俄亥俄州数据保护法 2018
  • 俄克拉荷马州安全违规通知法案
  • 俄勒冈州消费者身份盗窃信息保护法案
  • 宾夕法尼亚州违反个人信息通知法案
  • 波多黎各 - 《数据银行安全法》的公民信息
  • 罗得岛 - 身份盗窃保护法
  • 南卡罗来纳州 - 违规通知
  • 南达科他州 - 违规通知
  • 田纳西州 47-18-2107 发布个人消费者信息
  • 得克萨斯州 - 身份盗窃执法和保护法案
  • 保护社会安全号码的得克萨斯州隐私策略
  • 犹他州消费者信用保护法案
  • 犹他州电子信息或数据隐私
  • 佛蒙特州 - 数据隐私和消费者保护法案
  • 弗吉尼亚州违反个人信息法
  • 弗吉尼亚消费者数据隐私法 (CDPA)
  • 华盛顿特区 - 消费者安全漏洞通知Standard
  • 西弗吉尼亚州 - 违反消费者信息安全
  • 威斯康星州安全漏洞通知

区域

Asia-Pacific 国家/地区

  • 亚太经合组织 () 隐私框架
  • 澳大利亚 - ASD Essential 8
  • 澳大利亚 - ASD Essential 8 成熟度级别 1
  • 澳大利亚 - ASD 基本 8 成熟度级别 2
  • 澳大利亚 - ASD 基本 8 成熟度级别 3
  • 澳大利亚 - 国家档案法
  • 澳大利亚 - 公共记录局维多利亚记录保存标准
  • 澳大利亚 - 垃圾邮件法案 2003
  • 澳大利亚隐私 (信用报告) 代码
  • 澳大利亚隐私法案
  • 澳大利亚公共记录法
  • 澳大利亚能源部门网络安全框架 (AESCSF)
  • 澳大利亚信息安全注册评估员计划 (IRAP) ISM 版本 3.5 - 官方
  • 澳大利亚信息安全注册评估员计划 (IRAP) ISM 版本 3.5 - 受保护
  • 澳大利亚保诚监管局 CPS
  • 维多利亚州保护数据安全标准 V2.0 (VPDSS 2.0)
  • 澳大利亚政府信息管理Standard - 澳大利亚国家档案馆 (NAA)
  • 中国 - 个人信息安全规范
  • 中华人民共和国网络安全法
  • 香港 - 银行业务守则及支付卡
  • 香港 - 个人资料 (隐私) 条例
  • 印度数字个人数据保护法
  • 印度信息技术 (合理的安全做法和过程以及敏感个人数据或信息) 规则
  • 印度 - 信息技术法
  • 印度储备银行网络安全框架
  • 印度尼西亚 - 法律 11/2008
  • 印度尼西亚 - 法律 27/2022
  • 日本 - 禁止未经授权的计算机访问法
  • 日本 - 政府机构和相关机构信息安全措施的共同模型
  • 日本 - 政府机构和相关机构的信息安全措施共同标准
  • 日本隐私标志 - JIS Q 15001:2017
  • 日本个人信息保护法 (2003年第57号法)
  • 韩国 - 信用信息使用和保护法案
  • 韩国 - 促进信息和通信网络利用和数据保护法
  • 韩国个人信息保护法
  • 马来西亚 - 个人数据保护法 (PDPA)
  • 马来西亚技术风险管理 (RMiT)
  • 缅甸 - 保护公民隐私和安全的法律
  • 尼泊尔 - 信息权法
  • 新西兰 - 隐私法 / 2020
  • 新西兰 - 公共记录法
  • 新西兰 - 储备银行 BS11 外包政策
  • 新西兰 - 电信信息隐私代码
  • 新西兰运行状况数据保留策略
  • 新西兰健康信息隐私代码
  • 新西兰健康信息安全框架 (HISF)
  • 新西兰信息安全手册 (NZISM)
  • 巴基斯坦 - 电子数据保护法 - 草案
  • 菲律宾 BSP 信息安全管理准则
  • 2012 年菲律宾数据隐私法案
  • 新加坡 - ABS外包服务提供商的控制目标和程序指南
  • 新加坡 - 银行法 (第19章)
  • 新加坡 - 网络安全 2018
  • 新加坡 - IMDA IoT 网络安全指南
  • 新加坡 - 新加坡金融管理局技术风险管理框架
  • 新加坡 - 多层云安全 (MTCS) Standard
  • 新加坡 - 个人数据保护法 / 2012
  • 新加坡垃圾邮件控制法案
  • 台湾 - 电子支付机构内部审核和内部控制制度实施细则 - 2015
  • 台湾 - 金融控股公司及银行内部审核制度实施细则
  • 台湾 - 金融信息服务企业从事银行间资金转移结算审批管理条例
  • 台湾 - 电子支付机构信息系统和安全管理标准条例
  • 台湾 - 商业秘密法
  • 台湾个人资料保护法 (PDPA)
  • 泰国 PDPA
  • 台湾 - 商业秘密法
  • 乌兹别克斯坦 - 乌兹别克斯坦共和国个人数据法
  • 越南 - 消费者权益保护法
  • 越南 - 网络安全法
  • 越南 - 网络信息安全法
  • 越南 - 信息技术法

欧洲、中东和非洲 (EMEA)

  • 阿尔巴尼亚 - 个人数据保护法第 9887 号
  • 2003年奥地利电信法
  • 亚美尼亚 - 亚美尼亚共和国个人数据保护法
  • 白俄罗斯信息化、信息化和保护信息法
  • 比利时 - 关于处理个人数据的自然人保护法
  • 比利时 NBB 2015 年 12 月
  • 波斯尼亚-黑塞哥维那个人数据保护法
  • 博茨瓦纳 - 数据保护法
  • 保加利亚个人数据保护法 2002
  • 科威特中央银行网络安全框架
  • CSRD) (企业可持续发展报告指令
  • 塞浦路斯个人数据处理法
  • 捷克 - 关于个人数据处理第 110/2019 Coll. 号法案 - 2019
  • 捷克 - 关于网络安全和相关法律的变更 (网络安全法) - 第181号法
  • 丹麦 - 数据保护法
  • 丹麦 - 在 End-User 终端设备中存储和访问信息时需要信息和同意的行政命令
  • 欧洲议会和理事会指令 2013/40/EU
  • 迪拜 - 健康数据保护条例
  • 迪拜消费者保护条例 (电信管理局)
  • 迪拜 ISR
  • 埃及 - 数据保护法
  • 爱沙尼亚 - 个人数据保护法
  • 爱沙尼亚 - 信息系统的安全措施系统
  • EU - 指令 2006/24/EC
  • EU - ePrivacy 指令 2002 58 EC
  • 欧盟 GDPR (一般数据保护条例)
  • EudraLex - 欧盟药品规则
  • 欧洲网络和信息安全局 (ENISA) - 云计算信息保障框架
  • 芬兰 - 数据保护法
  • 芬兰云服务信息安全评估标准
  • 法国 - 数据保护法
  • 佐治亚州个人数据保护法
  • 德国 - 风险管理最低要求批注文本
  • 德国 - 云计算合规性控制目录 (C5)
  • 德国 - 联邦数据保护法
  • 德国 - 金融机构 IT 的监管要求 (BAIT)
  • 加纳 - 数据保护法
  • 爱尔兰数据保护法
  • 以色列 - 数据保护 (将数据传输到国外数据库) 条例
  • 以色列隐私法
  • Jordan 云平台 & 服务策略
  • 肯尼亚数据保护法
  • 卢森堡法案
  • 马耳他 - 数据保护法
  • 2004 年毛里求斯数据保护法
  • 黑山 - 个人数据保护法
  • 北约指令 AC/322-D (2021) 0032
  • 尼日利亚数据保护条例
  • NIS2 指令 (欧盟) 2022/2555 欧洲议会和理事会
  • 阿曼 - 电子交易法
  • 卡塔尔云计算法规
  • 卡塔尔云安全策略
  • 卡塔尔国家信息保障 (NIA)
  • 摩尔多瓦个人数据保护法
  • 罗马尼亚 - 数据保护法 190/2018
  • 俄罗斯 - 关于信息、信息技术和信息安全的联邦法律 149-FZ
  • 俄罗斯联邦关于个人数据的联邦法律
  • 沙特阿拉伯 - 沙特阿拉伯金融管理局 (SAMA)
  • 沙特阿拉伯 - 国家网络安全局 (NCA)
  • 南非消费者保护 ACT 68 2008
  • 2002年南非电子通信和交易法
  • 南非 - 促进获取信息法
  • 南非 POPIA
  • 斯洛伐克个人数据保护法
  • 西班牙 - 国家安全框架
  • 瑞士 - 联邦数据保护法 (FADP)
  • 土耳其 - 信息和通信安全指南
  • 土耳其 - KVKK 个人数据保护 6698
  • 阿联酋 - 打击网络犯罪联邦法令法
  • 阿联酋 - 有关电子交易和商业的联邦法律
  • 阿联酋 - 2019 年联邦法律 2019 年关于在健康领域使用信息通信技术 (ICT)
  • UAE - NESA 信息保障标准
  • 阿联酋数据隐私法
  • 阿联酋监管政策 TRA - 物联网
  • 阿联酋关于电信业的联邦法令法
  • 乌干达 - 数据保护和隐私法
  • 英国 - 国防供应商网络安全 Standard 05-138
  • 英国 - 海上石油活动条例 / 2011
  • 英国网络Essentials
  • 英国数据保护法
  • 英国数据保留法案
  • 英国隐私和电子通信
  • 乌克兰 - 个人数据保护法
  • 也门 - 也门信息获取权法

拉丁美洲

  • 安提瓜和巴布达 - 数据保护法/2013
  • 巴哈马 - 数据保护法
  • 巴巴多斯 - 2019 年数据保护法案
  • 巴巴多斯 - 电子交易法
  • 百慕大 - 电子交易法
  • 《圣卢西亚数据保护法》
  • 特立尼达和多巴哥数据保护 (2011 年第 13 号法案)

北美

  • 加拿大 - 违反安全保障条例
  • 加拿大 - 不列颠哥伦比亚省 - 信息隐私 & 安全性 - FOIPPA
  • 加拿大 - 金融机构网络安全 Self-Assessment 监督办公室指南
  • 加拿大 - 个人健康信息保护法 (PHIPA) 2020
  • 加拿大 - 个人信息保护和电子文件法 (PIPEDA)
  • 加拿大 - 受保护的 B
  • 加拿大网络安全 - 中小型组织的基线网络安全控制
  • CAN-SPAM 法案
  • 信息安全管理法 - 不列颠哥伦比亚省,加利福尼亚州
  • 墨西哥 - 联邦消费者保护法
  • 墨西哥 - 联邦保护私人方持有的个人数据法

南美洲

  • 阿根廷 - 个人数据保护法 25.326
  • 巴西 - 消费者保护法第 8078 号 (Office 365)
  • 巴西 - 一般数据保护法 (LGPD)
  • 哥伦比亚 - 第 1377/2013 号法令
  • 哥伦比亚 - 2018 年外部通函 007
  • 哥伦比亚 - 第 1266/2008 号法律 - 人身权数据法
  • 秘鲁立法法 29733 数据隐私保护法