治理委員由負責管理組織所有風險的高階主管組成，主要目標是為組織的安全功能提供監督，同時確保安全功能持續鴻足組織及其利害關係人的兩求。他們會事查正在進行和計劃進行的項目、遠替指標以及可能涉及整個企業的任何其他安全事項。

每一次收購都會帶來一系列獨特的情況，來自兩個組織的安全專家應該聚在一起，評估每個組織的安全控制，並找出如何消除冗餘，確保系統之問的蓑容性。

可能的風險點：

應對的措施：

•識別和分類所有涉及剝商的資產；這包括硬體、軟體和資訊資產。

•將受影響的系統與你的剩餘基礎設施脫鉤。

•審查所有的存取權限。

•諮詢你的法律和合規團隊，以確保你遵循園繞資料保留、刪除等的所有必要監管和合規要求。

首席資訊安全官是組織內負責全面管理和監督資訊安全計畫的高階主管。

首席資訊安全官推動組織的安全策略和願景，並最終對公司係統和資訊的安全負責。

CSO是組織內的高階管理人員，通常負責所有的實體安全和人員安全事務。

許多組織已經將 CSO 的職責合併到 CISO的角色中

是組織用於防止、偵測、減少或對抗安全威脅的技術、操作或管理保護措施。

技術控制：基於系統的保護措施和對策，如防火牆、I1DS/PS 和資料遺失預防(DLP) •

操作控制：主要由人執行的保護措施和對策，如安全警衛。

管理控制：包括控制資訊安全風險的政策、程序和其他對策。

謹慎原則是指合理且謹慎地保護資訊安全的行為，包括維護資訊的保密性、完整性和可用性，適用於所有人員。這個原則適用於任何個人或組織，無論其在資訊安全方面的專業水平如何。

盡職調查是指在資訊安全方面採取的一系列措施，以確保合理的安全措施已被實施和有效地工作。這些措施包括開發正式的安全框架、制定安全政策、標準、基準、指導方針和程序等等。在這方面，高階管理層有責任確保盡職調查的實施。

美國國會於 1987 年領布，已皮除，被《FISMA》取代。

美國聯邦資訊安全管理法案，所有美國聯邦政府機構和為這些機構提供資訊服務的非政府組織都要進行基於風險的安全評估，以符合 NIST 風險管理框架 (RMF)

上市公司財務相關的法規

支付卡產業的法規

代表系統和組織控制，是一個審計框架，有三種常用的SOC 審計和報告類型，怡當地命名 SOC1、SOC2 和SOC3

SOC1：財務報表相關的審計

SOC2：詳細的審計和合規報告，一般不對外開放。

SOC3：SOC2 的簡版，可對外開放。

隱私權要求是指在資訊處理中保護個人資訊的安全和保密性，將對個人資訊的存取限制在授權方的授權使用範國內。本質上，隱私是指對個人識別資訊進行保護，以保障個人的隱私權。

1.4.2.1PII

網路犯罪是指直接涉及電腦或網路的犯罪活動，主要包括：

資料外洩是未經授權的情況下，資訊被網路犯罪者存取或竊取的特殊網路犯罪。遣受資料外洩的組織可能面臨聲譽損害、身分盜竊事件、罰款或因竊盜而失去智慧財產權。加密是保護組織免受資料外洩的簡單方法。

《電腦詐欺和濫用法》 (CFAA)：美國針對網路犯罪的第一部刑事法律，將許多類型的駭客活動視為聯邦犯罪。 CFAA 的修正案受到了抵制。

《電子通訊隱私法》(ECPA)：限制美國政府截獲通訊和儲存訊息，政府必須滿足嚴格要求才能獲得電 子通訊的搜索令。

《身分盜竊與假設威懾法》：將竊取個人身價視為聯邦犯罪。

軟體是智慧財產權的一種重要形式。組織在開發軟體方面投入了大量的財政和人力資源，然後透過許可協議來保護軟體，許可協議有以下四種常見類型：

資訊安全專業人員的一個非常重要的責任是保護屬於他們組織的智慧財產權，防止未經授權的使用或揭露。

1.版權(Copyrights)

2.商標 (Trademarks)

3.專利 (Patents)

4.商業機密 (Trade Secrets)

《國際武器貿易條例》 (TAR) 是國防物品相關的任何東西

《出口管理條例》(EAR） 涵蓋了許多廣泛的技術類別，包括敏感的電子和電腦、雷射、導航、海洋技術，以及更多。

1.《隱私權法 (Privacy Act) 》

2.《健康保險可攜性與責任法案 (HIPAA)》

3.《兒童網路隱私權保護法 (COPPA) 》

4. 《金融服務現代化法案 (GLBA) 》

5.《健康資訊科技促進經濟與臨床健康法案(HITECH)》

1.《資料保護指令 (DPD)＞

2.《一般資料保護規範 (GDPR)》

3. 《安全港》和《隱私權盾》是美國與歐盟之問的隱私權保護協議，都已失效。

組織內部調查，旨在找到問題的根本原因並解決，使業務恢復正常運作。

安全政策是一組聲明，非常仔細地描述一個組織長期的安全期望，確定了管理組織裡資訊系統和資料保護的原則和規則。

•對政策的遵守是強制性的，而政策通常是由組織的最高層批准的。

一些常見的安全政策：可接受的使用政策、存取控制政策、變更管理政策、遠端存取政策、災難復原政策

安全標準規定了組織必須遵循的安全控制的具體細節，如：組織批准的加密協定、資料儲存的位置、配置參數以及其他技術和操作細節。當涉及到複雜的配置標準時，往往會藉鏡業界標準，如網路安全中心提供的安全配置指南。

對安全標淮的遵守是強制性的。安全基線與標準有關，它為系統、網路或設備建立了一個最低的安全水平，如果達不到基線要求則不能上線。

安全程序是員工在執行特定安全任務時可以遵循的一步一步的指示。

指南是安全專業人員向組織的其他成員提供建議的地方，包括資訊安全的最佳實踐。對安全指南的遵守是非強制性的。

1.先建立你的 BC 專案團隊、範圍和預算

2．識別關鍵業務(CBF) 和其他基本業務要素，包括

3．對關鍵業務進行風險分析：

1．最大可容忍停機時間 （MTD）或最大可接受停機時間 (MAO）表示關鍵業務功能不可用的總時間長度。 MTD 必須由系統所有者決定，他對組織的 CBF 的正常運作負有最終責任。

2．恢復時間目標 (RTO）是關鍵業務中斷後必須恢復的最大時間段，以避免不可接受的業務後果。 RTO 必須小於或等於 MTD。

3 . 恢復點目標(RPO）是可容忍的資料損失的測量，以時間段來表示。

業務連續性計畫旨在保護組織的關鍵業務功能和客戶，確保組織能在特定的服務等級和時間段內繼續有效運營，以滿足法律和監管要求，以及組織設定的 MTD、RTO 和RPO。

業務連續性計劃BCP階段

關鍵業務功能

威脅、脆弱性和風險

資料備份和復原計劃

FBCP 相關人員

通訊計劃

BCP 測試要求

確保緊急情況下組織內外人員的安全是 BCP的首要目標。提供適當的培訓和教育，以便員工了解如何在緊急情況下採取行動。

評估關鍵業務功能，確定災難發生時所需資源。為關鍵資料處理設施和能力製定備用站點計劃，確保持續運作。

預測軟硬體故障，制定控制措施以降低風險。實施資料備份和冗餘系統，包括電力、水、通訊和網路連接等基礎設施。

教育背景

工作經驗

-公民身份

-犯罪記錄

藥物檢測

績效評估

信用和財務歷史

社群媒體活動

注意：國外公司一般不重視體檢（普通的身體健康檢查）

最常見的員工協議是保密協議 (NDA) 和競業協議 (NCA)

1• 保密協設 (NDA)

2 • 競業協設 (NCA)

除了 NDA 和 NCA，員工可能需要簽署組織的其他要求，如可接受使用政策（AUP)、行為準則或利益衝突政策。

入職後，首先簽署僱佛協議，根據職位可能需要簽署保密協議 (NDA) 和競業協議（NCA)等；根據員工職位分配系統存取權限。然後，為員工提供培訓，包括組織文化、策略、流程、技能等

在員工的整個職位期間，經理應定期審查或評估每位員工的工作說明、任務、權限和責任，以確保他們仍能滿足職位要求。

•特權蠕變 (privilege creep）（特權漂移）：隨著員工工作內容的增加，可能獲得超出職位要求的權限。

•強制休假 (mandatory vacations)：要求員工離開崗位 1-2週，由其他員工頂替，以發現濫用、欺詐或疏忽。

•共謀(collusion）：透過職責分離、強制休假、工作輪調和交叉訓練等措施降低員工意願合作實施非法或濫用計畫的可能性，因被發現的風險較高。

•使用者和實體行為分析 (UEBA)：對使用者和實體進行分析，有助於優化人員管理計畫。

員工離職時，需注意以下幾點：

供應商、顧問和承包商協議和控制 當多個實體或組織參與一個專案時，就會有多方風險 (multiparty risk)。透過服務等級協定(SLA）確保供應商的產品或服務水準達到預期，如果達不到，將涉及賠償，從而確保服務品質。供應商、顧問和承包商有時被稱為外包(outsourcing）。組織也可以透過供應商管理系統(VMS）提高外包管理的效率。

人員安全管理需滿足法律法規的要求，如 PCI DSS。

人員安全管理也需滿足隱私策略的要求，如 GDPR。

提醒員工有義務保護資訊和防範威脅，同時應該知道他們的行為可能會被審查。

調崗時移除不再需要的存取權限，遵循最小特權原則。

離職分自願和非自願的。當員工以良好的狀態離職時，通過組織的離職程序即可。

如果是非自願離職，則應採取適當的行動來保護組織的資產

•離職面談，提醒簽署的 NDA 等相關協議

•在通知員工解僱的同時切斷系統存取權限，進行離職清單檢查

•通知其餘員工不再允許被解僱的員工進入組織

離職清單包括：撤銷存取權限、收回鑰匙、徵章、設備和文件。

-實施存取控制

口對文件交換進行審查

管理和監控維護鉤子（後門）

進行現場評估

檢討流程和政策

制定服務水準協議

•員工培訓：為員工和其他相關人 員提供初始和週期性培訓，確保政策遵守。

•安全意識：提高對資訊安全的關注與理解。

•職位相關培訓：根據員工的職位需求提供特定培訓。

•吸策後果明確：在政策中閘述不遵守的潛在後果，如紀律措施、 停職或解僱。

•遵從法律法規：確保組織政策符合適用的法律、法規和其他法律義務。

•吸策一致性：組織的要求、控制和程序必須與政策一致。

•最小化原則：僅收集完成合法就業過程所需的資訊。

•限制存取：僅向需要了解此類資訊的人員提供存取權限。

•使用加密 ：盡可能採用加密技術，防止資訊在非正常管道被讀取。

•固有風險是指在實施任何控制措施之前所存在的風險

•剩餘風險是指在控制措施到位後仍存在的風險水平

可能有意或無意地破壞資產安全的個人或實體，例如駭客、不滿員工或自然災害等。

系統中存在的弱點或漏洞，如果被威脅者利用，可能產生風險。

資產是任何有價值的東西，其中可能包括人、財產和資訊。

風險是威脅、 脆弱性和資產之間的交叉點。風險評估是一系列的活動，包括識別潛在的威脅和脆弱性，確定這些威脅利用已識別的漏洞的影響和可能性。

1.風險識別：辨識資產和它們對組織的價值

2.風險分析：確定一個威脅利用一個漏洞的可能性

3.風險評估：確定這些潛在威脅的業務影響

4.風險處理：在威脅的影響和反措施的成本之間提供一個經濟平衡

首先識別組織的資產並確定這些資產的價值，然後識別和描述對資產構成風險的脆弱性和威脅。

風險分析是從脆弱性評估和威脅分析開始，計算發生風險的可能性並根據影響程度進行排序。

1.10.2.4.1 定性風險分析

1.10.2.4.2 定量風險分析

透過停止或移除導致風險的活動或技術來消除已確定的風險。

透過實施政策和技術措施，減少風險可能造成的傷害。

也叫風險分配(Risk Assignmen0),將與風險相關的責任和潛在損失轉移到第三方。

常見的方式：購買保險。

當避免、減輕或轉移風險的成本超過已實現威脅的預期損失時，接受風險成為一種選擇。

•人員相關：

•管理有關

•技術有關：

•物理相關：

從預防、偵測、矯正的角度考感，確保風險對策的有效性。如：加密無法解決某個特定風險，就換個方式，例如：考慮備份。

確保安全措施的成本與被保護資產的價值相符。

考慮對策的實施和使用是否過於困難，避免因為錯誤使用而增加風險。

•預防：防止事件發生，例如防火牆、系統備份、IPS。

•偵測：識別事件活動和潛在入侵者，例如 1DS。

•修正：事故發生後修復組件或系統，例如補丁升級。

•威惙：勸阻潛在攻擊者，如圍欄、警犬。

•復原：使環境恢復正常運作狀態，例如係統和資料備份、災難復原站點。

•補償：提供替代控制措施。

•檢驗：評估員通第要求組織提供安全策略、個人資料等清單，以便進行查閱、審查、觀家、研究或分析，並形成初步觀點。

•訪談：評估員與關鍵利害關係人會面，進一步了解已實施的安全控制措施及其運作方式。

。測試：透過測試確認安全控制措施依照文件規定實施、 有效並如預期運作。

內部稽核（如自我評估）

•外部審計（如監管機構或其他第三方審計）

•組織風險狀況的重大變化

•安全或隱私控制的重大變化

•凝似或確認的安全漏洞（或其他事件）

通常包含五個等級：

NIST800-37Rev.2 中風險管理架構（RMF)的6個階段：

越早執行威脅建模，成本效益越高。一般從以下三個方面

1.

2.

3.

4. DREAD（已廢棄，從損害、可複製性、可利用性、受影響的用戶、可發現性對漏洞進行定量風險排序）

5. 其他威脅建模方法

•Spoofing identity(欺騙身分）

•Tampering with data(篡改資料)

•Repudiation（否認）

•Information disclosure(資訊外洩）

•Denial of service (拒絕服務）

•Elevation of privilege(提權）

PASTA 是一種基於風險的威脅建模方法，它將商業目標與技術需求相結合，使產出結果更容易被高階管理部門理解。與STRIDE 不同，PASTA 方法是一個嚴格意義上的威脅識別框架，它為識別和減輕威脅提供了一個強大的過程。

PASTA 的過程包括以下七個階段：

圖有問題的部件或不符合標準的部件

仿冒或偽造的零件

圖裝有韌體級惡意軟體的電子元件

被植入了木馬

使用的組件庫存在漏洞

資料外洩

1.NIST IR 7622

2.ISO 28000

3.英國國家網路安全中心 (NCSC) 指導意見

社會工程是一種操縱人心的策路，其中攻擊者透過偽裝成他人，企圖獲取敏感資訊。

網路釣魚是最常見的社會工程形式，也是主要的安全隱患來源。

安全衛士是安全最佳實踐的倡導者，而這些員工並沒有把安全當作他們的主要工作。

遊戲化是將遊戲元素應用於非遊戲場景，以吸引1和教育目標受眾。

如培訓完成率、參與人數等簡要指標。

測驗是評估訓練成效的一種有效方法。

安全意識日旨在提高安全宣傳，同時可以透過匿示 名問卷收集員工對安全計畫的看法和建議。

評估方法包括在訓練結束後收集關於安全事件數量或報告的疑似網路釣魚事件數量的增減數