合规性管理器法规列表

项目
03/28/2024

本文内容： 查看可用于在合规性管理器中生成评估的法规的综合列表。

重要

默认情况下，可供组织使用的法规取决于许可协议。查看许可详细信息。

提示

如果你不是 E5 客户，请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。立即从Microsoft Purview 合规门户试用中心开始。了解有关注册和试用条款的详细信息。

概述

合规性管理器提供了一组全面的法规模板，用于创建评估。这些法规（如合规性管理器中所述）可帮助组织遵守管理数据收集和使用的国家、地区和行业特定要求。随着新法律法规的颁布，法规将添加到合规性管理器中。合规性管理器还会在基础法律或法规更改时更新其法规。详细了解如何查看和接受更新。

法规列表及其查找位置

提示

在新的 Microsoft Purview 门户 (预览) 中， “法规 ”页位于左侧导航栏中，而不是顶部的选项卡。

下面是合规性管理器中法规的完整列表。在合规性管理器中，转到 “法规 ”页，选择法规名称以查看其说明、属性、控件和关联的改进操作。跳转到以下部分，按地区或行业查看法规：

Global
行业
美国政府
美国各州和地区
亚太国家/地区
欧洲、中东和非洲 (EMEA)
拉丁美洲
北美
南美洲

包含的法规

默认情况下，某些法规包含在合规性管理器中，具体取决于订阅级别：

所有订阅级别的客户： Microsoft 数据保护基线包含在所有组织的订阅中。
A5/E5/G5 订阅级别的客户：除了 Microsoft 数据保护基线之外，还可以选择任意三种高级法规来免费使用。
美国政府社区 (GCC) 中等、GCC High 和国防部 (DoD) 客户：除了 Microsoft 数据保护基线之外，还包括网络安全成熟度模型认证 (CMMC) 级别 1 到 5。

高级法规

组织可以购买下面列出的法规模板。某些许可协议允许免费使用三个高级法规。查看许可详细信息。

全球

ICA 模块 2) (电子记录管理系统指南和功能要求
ISO 15489-1：2016
ISO 16175-1：2020
ISO 19791 - 信息技术 — 安全技术 — 操作系统的安全评估
ISO 22301：2019
ISO 23081-1：2017
ISO 27005：2018
ISO 27017：2015
ISO 27034-1 信息技术 — 安全技术 — 应用程序安全性
ISO 27799：2016，健康信息学 — 运行状况中的信息安全管理
ISO 28000 - 供应链安全管理系统规范
ISO 31000：2018
ISO 37301
ISO 55001 – 资产管理 -- 管理系统--要求
ISO IEC 80001-1：2010
ISO/IEC 27001：2013
ISO/IEC 27001：2022
ISO/IEC 27018：2019
ISO/IEC 27033-1：2015
ISO/IEC 27701：2019
NIST 800-207 - 零信任体系结构
SIG 2022
系统和组织控制 (SOC) 1
系统和组织控制 (SOC) 2

行业

AICPA/CICA 普遍接受的隐私原则 (GAPP)
ARMA - (GARP) 实现普遍接受的记录保留原则
CDSA 内容保护 & 安全标准
CIS 实现组 1、组 2、组 3
CIS Microsoft 365 基础级别 1 和 2
云安全联盟 (CSA) 云控制矩阵 (CCM)
COBIT 5
FINRA 网络安全清单
ITU X.1052 信息安全管理框架
联合委员会信息管理标准
Microsoft Cloud Security Benchmark v1
(MPA) 内容安全最佳做法的电影关联
NERC CIP
SWIFT 客户安全控制
面向开发人员的 OWASP ProActive 控件 2018 v3.0
(NAIC) 保护客户信息模型法规 MDL-673 标准
PCI DSS v3.2.1
消费者金融和健康信息隐私条例，NAIC MDL-672,2017 年第 2 季度
巴塞尔协议 III 运营风险) (运营风险健全管理原则的修订
标准化信息收集 (SIG) 问卷
受信任的信息安全评估交换 (TISAX) 5.1

美国政府

附录三至 OMB 通函编号 A-130 - 联邦自动化信息资源的安全性
CFR - 联邦法规第 21 章，第 11 部分，电子记录，电子签名
儿童在线隐私保护规则 (COPPA)
CMMC 级别 1、级别 2、级别 3、级别 4、级别 5
CMMC v2 级别 1
CMMC v2 级别 2
CMS 信息系统安全和隐私策略 (IS2P2)
计算机欺诈和滥用法 (CFAA)
用于管理医疗器械网络安全的上市前提交内容
刑事司法信息服务 (CJIS) 安全策略
包含现成 (OTS) 软件的网络医疗设备的网络安全 - FDA
网络安全成熟度模型认证 (CMMC) 级别 1 到 5
DFARS
e-CFR - 标识盗窃规则
联邦法规电子代码 - 第 748.0 部分和附录 A
FDIC 隐私规则
联邦金融机构考试委员会 (FFIEC) 信息安全小册子
FedRAMP Moderate
FedRAMP SSP 高基线
信息自由法 (FOIA)
消费者财务信息的 FTC 隐私
Gramm-Leach-Bliley Act， Title V， Subtitle A， Financial Privacy
HIPAA/HITECH
HITRUST
国土安全总统指令 7：关键基础结构识别、优先顺序和保护
IRS - 收入过程 98-25 自动记录
IRS-P1075
EXCHANGE (MARS-E) 2.0 的最低可接受风险标准
国家档案馆通用电子记录管理 (ERM) 要求
NIST 800-37
NIST 800-53 rev.4
NIST 800-53 rev.5
NIST 800-63 数字标识指南
NIST 800-78-4：个人身份验证的加密算法和密钥大小
NIST 800-137A -- 评估信息安全持续监视 (ISCM) 计划
NIST 800-171
NIST 800-184：网络安全事件恢复指南
NIST CSF
NIST 隐私框架
NIST SP 1800-5 IT 资产管理
NIST 特别出版物 1800-1 保护移动设备上的电子健康记录
NIST 特别出版物 800-128
NIST 特别出版物 800-210：云系统的一般访问控制指南
萨班斯-奥克斯利法案
SEC 17-4 ()
美国隐私法美国
美国 - 澄清在海外合法使用数据 (云) 法案
美国 - 关于上市公司网络安全披露的委员会声明和指南
美国 - 能源部 (能源部) 外国原子能活动的援助
美国 - 家庭教育权利和隐私法 (FERPA)
美国 - 2014 年联邦信息安全现代化法案 (FISMA)
美国 - 保护化学设施免受恐怖袭击法案

美国各州和地区

阿拉巴马州 - 策略 621：数据泄露通知 - 草稿
阿拉斯加 - 第 48 章 - 个人信息保护法
亚利桑那 - 安全系统中的违规通知
阿肯色州代码标题 4，副标题 7，第 110 章，个人信息保护法
加州 - 民法第 1798 条
加州 - 数据库泄露法案 (加利福尼亚州 SB 1386)
加州 - 教育代码 EDC，标题 3，第 14 部分，第 65 部分，第 2.5 章 - 社交媒体隐私
加州 - (CPRA)
加州 - SB-327 信息隐私：连接的设备
加州消费者信用报告机构法案
科罗拉多隐私法 (CPA)
加州消费者隐私法案 (CCPA)
科罗拉多消费者数据隐私保护
科罗拉多修订的法规，第 6-1-716 条，安全漏洞通知
康涅狄格州 - 显示和使用社会安全号码和个人信息
康涅狄格州一般法规 - 对接收机密信息的国家承包商的一般规定
保护个人信息的康涅狄格州信息安全计划
康涅狄格州法律 - 违反包含个人信息的计算机化数据的安全
D.C. 法律 16-237 - 消费者个人信息违反通知法
特拉华州 - 学生数据隐私保护法案
特拉华州计算机安全漏洞 - 商业和贸易字幕 II - 12B-100 到 12B-104
佛罗里达州标题 XXXII，第 501 章，第 501.171 节，机密个人信息的安全性
佐治亚州 (美国) 个人身份保护法
关岛关于个人信息泄露的通知
夏威夷 - 个人信息安全漏洞第 487N 章
爱达荷州身份盗窃
伊利诺伊州 (740 ILCS 14/1) 生物识别信息隐私法案
伊利诺伊州个人信息保护法案
印第安纳州披露安全漏洞
爱荷华州 - 学生个人信息保护法案
爱荷华州代码。标题十六。第 715C 章。个人信息安全漏洞保护
堪萨斯州消费者信息，安全漏洞法规
肯塔基州数据泄露通知
路易斯安那州数据库安全漏洞通知法 (第 382 号)
缅因州 - 保护在线消费者信息隐私法案
缅因州 - 个人数据风险通知
马里兰州政府代码 - 政府机构的信息保护
马里兰州个人信息保护法案 - 安全漏洞通知要求，HB 1154
马里兰州的学生数据隐私法案
马萨诸塞州 - 201 CMR 17.00：英联邦居民个人信息保护标准
马萨诸塞州数据泄露通知法 93H 第 1-6 节
密歇根州身份盗窃保护法案
密西西比州安全漏洞通知
蒙大拿州 - 身份盗窃的障碍
内布拉斯加州的数据保护和消费者数据安全违规通知法案
内华达州第 603A 章 - 个人信息的安全和隐私
内华达州参议院法案 220 在线隐私法
新罕布什尔州隐私权法案
新泽西州安全漏洞披露
新墨西哥州第 57 章 - 隐私保护 (第 57-12B-1 至 4 条)
新墨西哥州消费者信息隐私法案
新墨西哥州的数据泄露通知法案
纽约 - 23 NYCRR 第 500 部分
纽约市管理代码 - 安全漏洞通知
纽约一般商业法 - 数据安全漏洞通知和数据安全保护
《纽约隐私法》
北卡罗来纳州 - 身份盗窃保护法案
北达科他州第 51-30 章个人信息安全漏洞通知
俄亥俄州 - 安全漏洞通知
俄亥俄州数据保护法 2018
俄克拉荷马州安全违规通知法案
俄勒冈州消费者身份盗窃信息保护法案
宾夕法尼亚州违反个人信息通知法案
波多黎各 - 《数据银行安全法》的公民信息
罗得岛 - 身份盗窃保护法
南卡罗来纳州 - 违规通知
南达科他州 - 违规通知
田纳西州 47-18-2107 发布个人消费者信息
得克萨斯州 - 身份盗窃执法和保护法案
保护社会安全号码的得克萨斯州隐私策略
犹他州消费者信用保护法案
犹他州电子信息或数据隐私
佛蒙特州 - 数据隐私和消费者保护法案
弗吉尼亚州违反个人信息法
弗吉尼亚消费者数据隐私法 (CDPA)
华盛顿 - 消费者安全违规通知标准
西弗吉尼亚州 - 违反消费者信息安全
威斯康星州安全漏洞通知

区域

Asia-Pacific 国家/地区

亚太经合组织 () 隐私框架
澳大利亚 - ASD Essential 8
澳大利亚 - ASD Essential 8 成熟度级别 1
澳大利亚 - ASD 基本 8 成熟度级别 2
澳大利亚 - ASD 基本 8 成熟度级别 3
澳大利亚 - 国家档案法
澳大利亚 - 公共记录局维多利亚记录保存标准
澳大利亚 - 垃圾邮件法案 2003
澳大利亚隐私 (信用报告) 代码
澳大利亚隐私法案
澳大利亚公共记录法
澳大利亚能源部门网络安全框架 (AESCSF)
澳大利亚信息安全注册评估员计划 (IRAP) ISM 版本 3.5 - 官方
澳大利亚信息安全注册评估员计划 (IRAP) ISM 版本 3.5 - 受保护
澳大利亚保诚监管局 CPS
维多利亚州保护数据安全标准 V2.0 (VPDSS 2.0)
澳大利亚政府信息管理标准 - 澳大利亚国家档案馆 (NAA)
中国 - 个人信息安全规范
中华人民共和国网络安全法
香港 - 银行业务守则及支付卡
香港 - 个人资料 (隐私) 条例
印度数字个人数据保护法
印度信息技术 (合理的安全做法和过程以及敏感个人数据或信息) 规则
印度 - 信息技术法
印度储备银行网络安全框架
印度尼西亚 - 法律 11/2008
日本 - 禁止未经授权的计算机访问法
日本 - 政府机构和相关机构信息安全措施的共同模型
日本 - 政府机构和相关机构的信息安全措施共同标准
日本隐私标志 - JIS Q 15001：2017
日本个人信息保护法 (2003年第57号法)
韩国 - 信用信息使用和保护法案
韩国 - 促进信息和通信网络利用和数据保护法
韩国个人信息保护法
马来西亚 - 个人数据保护法 (PDPA)
马来西亚技术风险管理 (RMiT)
缅甸 - 保护公民隐私和安全的法律
尼泊尔 - 信息权法
新西兰 - 隐私法 / 2020
新西兰 - 公共记录法
新西兰 - 储备银行 BS11 外包政策
新西兰 - 电信信息隐私代码
新西兰运行状况数据保留策略
新西兰健康信息隐私代码
新西兰健康信息安全框架 (HISF)
新西兰信息安全手册 (NZISM)
巴基斯坦 - 电子数据保护法 - 草案
菲律宾 BSP 信息安全管理准则
2012 年菲律宾数据隐私法案
新加坡 - 外包服务提供商控制目标和程序的 ABS 指南
新加坡 - 银行法 (第19章)
新加坡 - 网络安全 2018
新加坡 - IMDA IoT 网络安全指南
新加坡 - 新加坡金融管理局技术风险管理框架
新加坡 - 多层云安全 (MTCS) 标准
新加坡 - 个人数据保护法 / 2012
新加坡垃圾邮件控制法案
台湾 - 电子支付机构内部审核和内部控制制度实施细则 - 2015
台湾 - 金融控股公司及银行内部审核制度实施细则
台湾 - 金融信息服务企业从事银行间资金转移结算审批管理条例
台湾 - 电子支付机构信息系统和安全管理标准条例
台湾 - 商业秘密法
台湾个人资料保护法 (PDPA)
泰国 PDPA
台湾 - 商业秘密法
乌兹别克斯坦 - 乌兹别克斯坦共和国个人数据法
越南 - 消费者权益保护法
越南 - 网络安全法
越南 - 网络信息安全法
越南 - 信息技术法

欧洲、中东和非洲 (EMEA)

阿尔巴尼亚 - 个人数据保护法第 9887 号
2003年奥地利电信法
亚美尼亚 - 亚美尼亚共和国个人数据保护法
白俄罗斯信息化、信息化和保护信息法
比利时 - 关于处理个人数据的自然人保护法
比利时 NBB 2015 年 12 月
波斯尼亚-黑塞哥维那个人数据保护法
博茨瓦纳 - 数据保护法
保加利亚个人数据保护法 2002
科威特中央银行网络安全框架
CSRD) (企业可持续发展报告指令
塞浦路斯个人数据处理法
捷克 - 关于个人数据处理第 110/2019 Coll. 号法案 - 2019
捷克 - 关于网络安全和相关法律的变更 (网络安全法) - 第181号法
丹麦 - 数据保护法
丹麦 - 在 End-User 终端设备中存储和访问信息时需要信息和同意的行政命令
欧洲议会和理事会指令 2013/40/EU
迪拜 - 健康数据保护条例
迪拜消费者保护条例 (电信管理局)
迪拜 ISR
埃及 - 数据保护法
爱沙尼亚 - 个人数据保护法
爱沙尼亚 - 信息系统的安全措施系统
EU - 指令 2006/24/EC
EU - ePrivacy 指令 2002 58 EC
欧盟 GDPR (一般数据保护条例)
EudraLex - 欧盟药品规则
欧洲网络和信息安全局 (ENISA) - 云计算信息保障框架
芬兰 - 数据保护法
芬兰云服务信息安全评估标准
法国 - 数据保护法
佐治亚州个人数据保护法
德国 - 风险管理最低要求批注文本
德国 - 云计算合规性控制目录 (C5)
德国 - 联邦数据保护法
德国 - 金融机构 IT 的监管要求 (BAIT)
加纳 - 数据保护法
爱尔兰数据保护法
以色列 - 数据保护 (将数据传输到国外数据库) 条例
以色列隐私法
Jordan 云平台 & 服务策略
肯尼亚数据保护法
卢森堡法案
马耳他 - 数据保护法
2004 年毛里求斯数据保护法
黑山 - 个人数据保护法
北约指令 AC/322-D (2021) 0032
尼日利亚数据保护条例
NIS2 指令 (欧盟) 2022/2555 欧洲议会和理事会
阿曼 - 电子交易法
卡塔尔云安全策略
卡塔尔国家信息保障 (NIA)
摩尔多瓦个人数据保护法
罗马尼亚 - 数据保护法 190/2018
俄罗斯 - 关于信息、信息技术和信息安全的联邦法律 149-FZ
俄罗斯联邦关于个人数据的联邦法律
沙特阿拉伯 - 沙特阿拉伯金融管理局 (SAMA)
沙特阿拉伯 - 国家网络安全局 (NCA)
南非消费者保护 ACT 68 2008
2002年南非电子通信和交易法
南非 - 促进获取信息法
南非 POPIA
斯洛伐克个人数据保护法
西班牙 - 国家安全框架
瑞士 - 联邦数据保护法 (FADP)
土耳其 - 信息和通信安全指南
土耳其 - KVKK 个人数据保护 6698
阿联酋 - 打击网络犯罪联邦法令法
阿联酋 - 有关电子交易和商业的联邦法律
阿联酋 - 2019 年联邦法律 2019 年关于在健康领域使用信息通信技术 (ICT)
UAE - NESA 信息保障标准
阿联酋数据隐私法
阿联酋监管政策 TRA - 物联网
阿联酋关于电信业的联邦法令法
乌干达 - 数据保护和隐私法
英国 - 国防供应商网络安全标准 05-138
英国 - 海上石油活动条例 / 2011
UK Cyber Essentials
英国数据保护法
英国数据保留法案
英国隐私和电子通信
乌克兰 - 个人数据保护法
也门 - 也门信息获取权法

拉丁美洲

安提瓜和巴布达 - 数据保护法/2013
巴哈马 - 数据保护法
巴巴多斯 - 2019 年数据保护法案
巴巴多斯 - 电子交易法
百慕大 - 电子交易法
《圣卢西亚数据保护法》
特立尼达和多巴哥数据保护 (2011 年第 13 号法案)

北美

加拿大 - 违反安全保障条例
加拿大 - 不列颠哥伦比亚省 - 信息隐私 & 安全性 - FOIPPA
加拿大 - 金融机构网络安全 Self-Assessment 监督办公室指南
加拿大 - 个人健康信息保护法 (PHIPA) 2020
加拿大 - 个人信息保护和电子文件法 (PIPEDA)
加拿大 - 受保护的 B
加拿大网络安全 - 中小型组织的基线网络安全控制
CAN-SPAM 法案
信息安全管理法 - 不列颠哥伦比亚省，加利福尼亚州
墨西哥 - 联邦消费者保护法
墨西哥 - 联邦保护私人方持有的个人数据法

南美洲

阿根廷 - 个人数据保护法 25.326
巴西 - 消费者保护法第 8078 号 (Office 365)
巴西 - 一般数据保护法 (LGPD)
哥伦比亚 - 第 1377/2013 号法令
哥伦比亚 - 2018 年外部通函 007
哥伦比亚 - 第 1266/2008 号法律 - 人身权数据法
秘鲁立法法 29733 数据隐私保护法