系统管理员应该熟悉哪些法律问题？

它在很大程度上取决于您所在的行业（以下仅适用于美国）......

• 医疗保健：HIPAA
• 教育： FERPA
• 如果您的公司在美国证券交易委员会进行交易：萨班斯奥克斯利法案
• 如果您的公司进行信用卡交易 - PCI DSS

我从事的许多较小的工作都非常糟糕，PCI DSS 以明文、可公开访问的数据库服务器存储 CC 信息......只是被忽视的基础知识。

以下仅适用于美国；

CIPA：儿童互联网保护法

特别是如果您受雇于州或联邦教育实体： http: //www.fcc.gov/cgb/consumerfacts/cipa.html

FOIA：信息自由法

同样，如果您受雇于政府实体： http: //www.fcc.gov/foia/

FERPA：家庭教育权利和隐私法

教育：http ://www.ed.gov/policy/gen/guid/fpco/ferpa/index.html

请注意网络分析和入侵检测的法律方面。在某些地方，未经授权的使用nmap可能被视为犯罪，因为出于安全（非恶意）目的而试图闯入系统也可能被视为犯罪。

请注意最终用户（如果您与他们打交道）以及您的服务器和其他系统管理员的软件许可问题。如果您选择在业务服务器上运行盗版软件，请了解可能的后果。

请注意您营业场所的隐私法，以及当地、州和联邦法律。知道您是什么信息，不允许存储什么信息。还要从法律术语和贵公司准则的规定中了解您可以查看和不允许查看的信息。

另一方面，请注意您营业地点的信息保留法。了解您需要保留哪些信息、需要保留多长时间以及在请求时必须向谁透露。能够在隐私和遵守法规之间划清界限（并知道何时支持其中之一）。

我在英国，我想说对普通电子商务企业来说最重要的法律是：

• 数据保护法
• 远程销售法规和商品说明法
• 《公司法》的某些部分 - 例如，即使您不出售任何东西，您也必须在商业网站上提供您的注册公司编号和地址。我见过那个坏了很多次。
• PCI 合规性（好吧，不是法律，但很重要）

这个问题实际上只有在您告诉我们您所在的位置时才能回答。

我个人认为 SysAdmin 是负责每一位数据的人，因此在数据丢失/暴露/滥用时承担最大的风险（即使您不会面临法律后果，您的老板也会来找您你必须解释为什么数据可能会从你的公司流出）。

我个人确保：

• 如果需要，我可以访问每条信息（一切，毕竟当狗屎击中它时，我站在粉丝的错误一边）
• 我把这件事告诉我的老板
• 我告诉我的老板，未经许可我不会访问任何东西
• 我告诉我的老板，如果我对数据访问请求感到不舒服，我会要求另一方监视我和请求者
• 我希望以书面方式签署并盖章以上所有内容

我确保的其他事项：

• 听到一切
• 查看一切
• 无话可说

这些要点与窥探文件或类似的东西无关，而只是与同事和同事定期聊天并尝试将不同的部分组合在一起。

什么都不说意味着从某个角度不参与聊天，人们经常来找我，要求我丢失密码、要恢复的文件或其他东西。这可能会导致对其他努力工作的人的某些看法，我不希望那样。

• 告诉大家我和老板商定的事情

这可以是人与人之间的交谈、公司邮件或带有友好提醒的海报，即公司中有一个可以访问所有数据的聚会。

这些不完全是法律同事或我偶然发现的例子。但这就是“无话不说”发挥作用的部分。很抱歉用例子让你失望了。

您的数据保护立法。您雇主的 AUP -由内而外地了解它- 它也适用于您！

如果发生数据泄露，有各种关于 PII（个人身份信息）的州立法。加利福尼亚州的 1386 要求必须通知所有受数据泄露（信息泄露）影响的人。许多其他州也有类似的规定。

此外，作为对 PCI-DSS 的澄清，这不是严格的法律要求，卡品牌（MasterCard、Visa、Discover、AmEx）要求其商业银行要求供应商遵守 PCI-DSS。如果您违反 PCI，您不会受到法律起诉，但是您的商业银行可能会在您违反时每天罚款数千美元（或更多）。如果您不遵守规定，您最终将失去进行信用卡交易的能力，这对于大多数在线零售商来说将是一个死亡之吻。

PCI DSS 适用于使用信用卡的客户，以及每次启用日志记录时您可能需要在未来生成这些日志的机会。有时最好不要记录任何东西。

电子发现是一个很大的“陷阱”。这些是美国在发生诉讼时保存电子信息并将其提供给另一方的要求。

在公司第一次被起诉之前，系统管理员应该花一些时间与公司的律师会面，以便您制定计划以在必要时遵守这些要求。在提起诉讼时未能立即保存所有必要的电子记录（并以正确的方式）并极大地伤害了公司（包括输掉本来可能不会输掉的诉讼）。

在警察或皇家委员会环境中，您在处理数字证据时需要小心。当您所做的只是帮助将某种媒体从一种格式转换为另一种格式时，您最不想做的就是被要求在法庭上作证。