職位職責Gob responsibilities)指員工常規執行的具體工作任務。

職位描述並非專用於招募過程，應在組織的整個生命週期中對它們進行維護

對特定職位候選人的篩選是基於職位描述所定義的敏感性和分類級別

背景調查包括

透過查看個人社交網路的線上訊息，快速收集個人的態度、智慧、忠誠、常識、勤奮、誠實、尊重、一致性和遵守社會規範和/或企業文化的整體情況

對合格的求職者進行面試

如何招募滿意的員工，需要詳細描述工作職責

入職是在組織中新增員工的流程

簽署僱傭協議

保密協議(Non-disclosure agreement, NDA)

競業協議（Non-competition Agreement，NCD）

在員工的整個僱用期內，管理者應該定期審查或審計每位員工的職位描述、工作任務、特權和職責

使用者行為分析(user behavior analytics, UBA)

使用者與實體行為分析(user and entitybehavior analytics, UEBA)

UBA/UEBA 監控收集的資訊可用於改善人員安全策略、程序、培訓和相關的安全監督計畫。

離職是與入職相反的流程，指在員工離開公司後，將其身分從 IAM 系統刪除

一個完整的離職流程： 可能包括停用和/或刪除使用者帳戶、撤銷憑證、取消存取代碼以及終止其他被特別授予的特權。通常要停用以前員工的帳戶，以便將其身分資訊保留幾個月以進行審計

在解僱過程中，安全部門和人力資源(HR)部門之間建立牢固的關係對於維持控制和最小化風險是非常重要的。

離職安全事宜

解僱：時間就是一切

服務等級協定(SLA)是一種確保提供服務的組織在服務提供者、供應商或承包商以及客戶組織達成協議的基礎上保持適當服務水準的方法

SLA 以及供應商、顧問和承包商的控制是降低風險和規避風險的重要部分

供應商管理系統(VMS)：VMS 是一種軟體解決方案，可協助人員配備服務、硬體、軟體和其他所需產品和服務的管理和採購。

外包是一個術語，通常是指使用外部第三方，如供應商、顧問或承包商，而不是在內部執行任務或操作。外包可以作為一種風險因應選項，稱為轉移或轉移風險

合規是符合或遵守規則、策略、法規、標準或要求的行為

合規是一種行政或管理的安全控制形式

合規執法是指對未能遵守策略、訓練、最佳實務和/或法規而實施的製裁或後果

合規也是一個監理問題

隱私的一些定義

個人識別資訊（Personally identifiable information ,PII）

歐盟的《一般資料保護規範》 (GDPR)（規範[EU]2016/679)

美國隱私權法律法規

風險管理是一個詳細的過程

風險管理的主要目標是將風險降至可接受的水平

IT 基礎設施面臨的風險不只源自於電腦方面

風險管理兩個基本要素

風險意識是為提高組織內部風險認知而進行的工作，風險意識有助於組織了解遵守安全策略的重要性以及安全失效的後果

風險容忍度

資產(asset) ： 資產可以是業務流程或任務中使用到的任何事物，核心是保護資產且符合成本效益。

資產估值： 資產估值是根據多個因素給予資產指定的貨幣價值，包括對組織的重要性、在關鍵流程中的使用情況、實際成本和非貨幣性支出（如時間、關注度、生產效率和研發等）。

威脅(threat) ： 任何可能發生的、對組織或特定資產造成不良或非預期結果的潛在事件都是威脅

威脅代理人/主體： 威脅代理人或威脅主體有目的地利用脆弱性。

威脅事件 ：威脅事件是對脆弱性的意外和有意利用

威脅向量： 威脅向顯或攻擊向量指攻擊或攻擊者為了造成傷害而存取目標時所採取的路徑或手段。外部的不能消除，例如駭客自己無法控制

脆弱性(vulnerability)： 脆弱性是資產中的弱點，是防護措施或控制措施的弱點，或防護或措施／控制措施的缺乏，內部的，脆弱性多時會形成債務（技術或管理）

暴露(exposure)： 暴露是指威脅導致資產受到破壞的可能性

風險(risk) ： 風險是威脅利用脆弱性對資產造成損害的可能性或機率以及可能造成損害的嚴重程度

防護措施(safeguard) ： 防護措施、安全控制、保護機製或控制措施指任何能消除或減少脆弱性，或能抵禦一個或多個特定威脅的事物。

攻擊(attack) ： 攻擊是指威脅主體故意嘗試利用脆弱性造成資產破壞、遺失或洩露

破壞(breach) ： 破壞、入侵或滲透是指安全機制被威脅主體繞過或阻止

風險分析是從清點所有組織資產開始的，一旦完成清點，就需要對每項資產進行估值

防護措施的年度成本<產的年度損失期望

評估價值的方法

風險管理的一個基礎部分是識別與檢查威脅

這涉及為組織已識別的資產建立一個盡可能詳盡的威脅清單。該清單應該包括威脅主體以及威脅事件

在編制威脅清單時，一定要考慮到各種來源的威脅。

有關威脅範例、概念和分類的詳細且正式的清單

大多數情況下，執行風險評估和分析的應該是一個團隊

風險評估/分析主要是高階主管的職責

高階主管負責透過定義工作的範圍和目標來啟動和支援風險分析和評估

風險是因人而異的，或至少是因組織而異的，基於其資產、威脅、威脅代理/威脅主體及其風險容忍度。

風險評估方法

風險評估的目標是識別風險（基於資產－威脅組合）並按重要性進行優先排序

將定量分析和定性分析混合使用到組織最終的風險評估過程的方式稱為混合評估或混合分析

定性風險分析方法

定量風險分析方法

風險緩解、減輕、降低(risk mitigation) ： 降低風險或緩解風險是指透過實施防護措施、安全控制

風險轉移(risk assignment)： 風險轉移或風險轉移指將風險帶來的損失轉嫁給另一個實體或組織

風險威懾(risk deterrence)： 風險威懾是對可能違反安全和策略的違規者實施威懾的過程。

風險規避(risk avoidance) ：風險規避是選擇替代的選項或活動的過程，替代選項或活動的風險低於預設的、通用的、權宜的或廉價的選項。例如，選擇飛往目的地（而不是開車前往）是一種規避風險的方式

風險接受(risk acceptance) ： 風險接受或風險容忍是成本/效益分析顯示控制措施的成本將超過風險可能造成的損失之後的結果

風險拒絕(risk rejection)： 一個不可接受的但可能發生的風險回應是拒絕風險或忽略風險。

固有風險（初始/起始風險）：是在執行任何風險管理工作之前，環境、系統或產品中存在的自然、原生或預設的風險等級。

殘餘風險（Residual risk）:是管理階層選擇接受而不去減輕的風險

總風險:指在沒有實施防護措施的情況下組織面臨的全部風險。

控制間隙：指透過實施防護措施而減少的風險

對於每個資產－威脅組合（即已識別的風險），必須編制一份可能的和可用的防護措施清單。

防護措施的年度成本(ACS)影響因素

針對特定資產的特定風險所採用的特定防護措施的成本I 收益計算公式

定量風險分析相關的各種公式

安全控制、安全對策和防護措施可以是管理性、邏輯性/技術性、物理性的。這三種安全機制應以分層的概念、縱深防禦的方式去實現，以提供最大收益（見圖 2.4) 。三管齊下

管理性控制措施：是依據組織的安全策略和其他法規或要求而規定的策略和程序

邏輯性/技術性控制：措施包括硬體或軟體機制，可用於管理存取權限以及為 IT 資源和系統提供安全保護。

實體性控制措施：是專為設施和真實世界物件提供保護的安全機制

安全控制”指執行各種控制任務

預防控制：部署預防控制以阻撓或阻止非預期的或未經授權的活動的發生，事前

威懾控制：部署威懾控制以阻止違反安全策略的行為，事前

偵測控制：部署偵測控制以發現或偵測非預期的或未經授權的活動，事中

補償控制：為其他現有的控制提供各種選項，從而幫助增強和支援安全策略。

修正控制：會修改環境，使系統從發生的非預期的或未經授權的活動中恢復到正常狀態小事件。事後

復原控制：是修正控制的擴展，但具有更高階、更複雜的能力，事後

指示控制：用於指導、限製或控制主體的行為，以強製或鼓勵主體遵守安全策略

安全控制評估(security control assessment, SCA)：是根據基準或可靠性期望對安全基礎設施的各個機制進行的正式評估。

SCA 的目標是確保安全機制的有效性，評估組織風險管理流程的品質和徹底性，並產生關於已部署的安全基礎設施的優缺點的報告。

聯邦機構基於NIST SP 800-53 Rev.5「 資訊系統和組織的安全和隱私控制」實施SCA

SCA 被定義為政府流程

安全控制提供的效益應該是可被監視和測量的

風險報告：包括編制風險報告，並將該報告呈現給利害關係人

風險登記冊或風險日誌：是一份風險清單文檔，它列出組織或系統或單一項目內的所有已識別的風險

風險矩陣或風險熱圖：是一種在基本圖形或圖表上執行的風險評估形式。它有時被稱為定性風險評估

考點：考慮看的相關方、受眾是誰

考點：考慮報告的內容，改進措施，或改進建議

安全在不斷變化。因此，隨著時間的推移，任何已實施的安全解決方案都需要更新。

使用風險成熟度模型(risk maturity model, RMM)評估企業風險管理(enterprise risk management, ERM)計劃

RMM級別

遺留設備風險

風險框架是關於如何評估、解決和監控風險的指南或方法

風險管理架構(risk management framework, RMF)

威脅建模在設計階段，設計安全

網路安全框架(cybersecurity framework,CSF)

ISO/IEC 31000“ 風險管理－指南”文檔

其它框架

說服某人執行未經授權的操作

說服某人洩漏機密資訊。

對人員進行培訓，介紹社會工程攻擊以及如何識別常見的攻擊特徵。

透過電話為人員執行活動時需要進行身分認證。

定義受限訊息，這些訊息絕對不能透過電話或標準電子郵件等純文字通訊方式傳達。

請務必驗證維修人員的身份憑證並驗證是否有授權人員撥打了真實的服務屯話。

切勿在未通過至少兩個獨立且受信任的來源驗證資訊的情況下，執行來自電［郵件的指令

與任何你不認識或不認識你的人打交道時，無論是面對面、透過電話或透過網路／網絡，都需要謹慎行事

防禦社會工程攻擊最重要的措施是使用者教育和意識培訓

權威：是一種有效的技巧，因為大多數人可能會順從池回應權威。關鍵是讓目標相信攻擊者是擁有有效內部或外部權限的人

恐嚇：有時可以被視為權威原則的衍生性商品。恐嚇利用權威、信任甚至威脅傷害來推動某人執行命令或指示

共識：或社會認同是利用一個人的自然傾向的行為。人們傾向於模仿他人正在做的事情或過去曾經做過的事情

稀缺性：是一種用來使某人相估某個目標因其稀缺性而具有更高價值的技術。這可能與僅少量生產的產品或有限的機會有關，也可能與大部分庫存售出後剩餘的少數產品有關。

熟悉：或喜歡是一種社會工程原理，它試圖利用一個人對熟悉事物的固有信任。

信任：在這社會工程原則中，攻擊者努力與受害者建立關係。

緊迫性：通常與稀缺性相呼應，因為稀缺性代表錯失的風險更大，所以迅速採取行動的需求就會增加。

獲取資訊是指從系統或人員收集或匯聚資訊的活動。

前置詞是在其他通訊的開頭或標題中新增的術語、表達式或短語。通常使用前置詞是為了進一步完善或建立補會工程攻擊的藉口，例如垃圾郵件、惡作劇和網路釣魚

網路釣魚(phishing)是一種補會工程攻擊形式，主要是從任何潛在的目標竊取憑證或身份

偷渡下載：是指當使用者造訪網站時，在其不知情的情況下自行安裝惡意軟體。偷渡下載利用了瀏覽器或外掛程式中的漏洞

防禦網路釣魚措施

魚叉式網路釣魚(spear phishing)是一種更有針對性的網路釣魚形式，其中資訊是專門針對一個特定使用者群體製作的

防範魚叉式網路釣魚

網路釣鯨(whaling)是魚叉式網路釣魚的一種變體，針對的是特定的高價值人員（依照頭銜、產業、媒體報告等），如執行長(CEO)和其他C－層高管、管理員或高淨值客

簡訊服務(SMS)網路釣魚或簡訊釣魚(smishing, 叩時訊息垃圾郵件）是一種社會工程攻擊，它發生在標準文字訊息服務之上或透過標準義本訊息服務進行

語音網路釣魚(vishing, 即基於語音的網路釣魚）或 SplT（網路電話垃圾郵件）是透過任何電話或語音通訊系統進行的網路釣魚。

方式

垃圾郵件(spam)是任何類型的不受歡迎和/或未經請求的電子郵件

肩窺(shoulder surfing)是一種通常發生在現實世界或以面對面形式發生的社會工程攻擊。

當有人能夠看到使用者的鍵盤或顯示器時，就會發生肩窺。

發票詐騙(invoice scam)是一種社會工程攻擊，通常透過提供虛假發票然後強烈誘使付款，以期從組織或個人那裡竊取資金。

惡作劇(hoax)是一種社會工程，旨在說股目標執行會導致問題或降低其 IT 安全性的操作。

假冒(impersonation)是假冒他人身分的行為

可以透過個人、電話、電子郵件、登入某 人的帳戶或透過任何其他通訊方式進行。假冒也可稱為偽裝、欺騙，甚至是身分欺詐

一個未經授權的實體利用一個合法員工的授權，在該員工並不知情的情況下進入一個設施時，就發生了尾隨(tailgating)行為。

一個類似尾隨的問題是捎帶(piggybacking) 。當未經授權的實體透過誘騙獲得受害者的同意並在合法工作人員的授權下進入設施時，就發生了捎帶

誘餌是指攻擊者將 USB 記憶體、光碟甚至錢包放在員工可能會遇到的位置。

可用雙重門防止

垃圾箱搜尋(dumpster diving)是透過挖掘垃圾、廢棄設備或廢棄地點來獲取有關目標組織或個人的資訊的行為

型的收集內容包括舊日曆、通話潔單、手寫的會議記錄、廢棄表格、產品盒、使用手冊、便利貼、列印的報告或印表機的測試表

身分盜竊和身分詐欺指的是所有類型的以欺詐或欺騙的方式非法獲取和使用他人的個人資料的犯罪，通常是為了獲得經濟利益

詐欺:是指將虛假的東西稱作真實的。身分詐欺是指透過使用從受害者那裡竊取的訊息，虛假地聲稱自己是他人

欺騙：指的是任何隱藏有效身分的行為， 通常透過使用其他身分來實現。

誤植網域(typo squatting)是一種在使用者錯誤輸入目標資源的網域名稱或 1P 位址時擷取和重定向流量的做法

錯誤拼字輸入域名

URL劫持

影響力運動(influence campaign)是試圖引導、凋整或改變公眾輿論的社會工程攻擊。駭客可能會對個人或組織發動此類攻擊，但大多數影響力活動似乎都是由民族國家針對其真工的或其所認為的外部敵人發起的。

混合戰爭

社群媒體

實施安全訓練的一個前提條件是建立安全意識。建立安全意識的目標是讓使用者將安全放到首位並認可這一點

所有人員都應充分認識到自身的安全責任和義務。他們透過接受培訓，知道該做什麼和不該做什麼。

訓練是指教導員工執行他們的工作任務和遵守安全策略。培訓通常由組織主辦，面向具有類似職位職能的員工群體。

教育是更詳細的上作，學生/使用者學習的內容比完成其工作任務實際需要知道的內容多得多

改變培訓的目標重點。有時關注個人，有時關注客戶，有時關注組織。

改變培訓主題順序或重點。某次訓練可聚焦於社會工程，然後將下一次培訓聚佳在行動裝置安全，還可將之後的訓練聚焦在居家和旅遊安全

使用多種簡報方法，如現場介紹、預先錄製的影片、電腦軟體／模擬軟體、虛擬實境(VR)體驗、非現場培訓、互動式網站，或指定閱讀準備好的課件或現成的書籍

過角色扮演的方式，計參與者扮演攻擊者和防御者，並且允許不同的人提供與攻擊的防禦或應對相關的想法。

必須對所有培訓材料進行定期的內容審查，這很重要。審查有助於確保培訓材料和簡報與業務目標、組織使命和安全目標保持一致

最有效的檢測評估方式進行社工