Compliance 合规

遵守内部标准(公司政策、行业自律)和外部法规(法律、监管)的过程。

为什么 Compliance 是安全工作的重要驱动:

• 不合规 = 罚款 + 起诉 + 失去经营许可
• GDPR 最大罚款 4% 全球营收(或 €2000 万,取大)
• 美国 HIPAA 违规每条记录最多 $50,000
• 客户和投资者越来越要求合规审计报告(SOC 2、ISO 27001)

主要法规/标准(按地区分):

• GDPR —— 欧盟通用数据保护条例
• CCPA —— 加州消费者隐私法
• HIPAA —— 美国医疗信息保护
• PCI-DSS —— 处理信用卡的公司必须遵守
• SOX(萨班斯) —— 美国上市公司财务
• 澳洲 Privacy Act 1988 + APP (Australian Privacy Principles)
• 中国 PIPL —— 个人信息保护法
• ISO 27001 —— 信息安全管理体系
• SOC 2 —— 服务组织控制审计

跟 Security 的关系:

• Compliance ≠ Security:符合合规 ≠ 真正安全
• 但是合规通常是 Security 的最低底线
• 大企业 80% 的 Security 预算其实是为了”过审计”

实操:Security Frameworks 提供从合规到落地的路径地图。