岗位职责Gob responsibilities)指员工常规执行的具体工作任务。

岗位描述并非专用于招聘过程，应在组织的整个生命周期中对它们进行维护

对特定岗位候选人的筛选基于岗位描述所定义的敏感性和分类级别

背景调查包括

通过查看个人社交网络的在线信息，可快速收集到个人的态度、智慧、忠诚、常识、勤奋、诚实、尊重、一致性和遵守社会规范和／或企业文化的总体情况

对合格的求职者进行面试

如何招到满意的员工，需要详细描述工作职责

入职是在组织中添加新员工的流程

签署雇佣协议

保密协议(Non-disclosure agreement, NDA)

竞业协议（Non-competition Agreement，NCD）

在员工的整个雇佣期内，管理者应该定期审查或审计每位员工的岗位描述、工作任务、特权和职责

用户行为分析(user behavior analytics, UBA)

用户与实体行为分析(user and entitybehavior analytics, UEBA)

UBA/UEBA 监控收集的信息可用于改进人员安全策略、程序、培训和相关的安全监督计划。

离职是与入职相反的一个流程，指在员工离开公司后，将其身份从 IAM 系统删除

一个完整的离职流程： 可能包括禁用和／或删除用户账户、撤销证书、取消访问代码以及终止其他被特别授予的特权。通常要禁用以前员工的账户，以便将其身份信息保留几个月以进行审计

在解雇过程中，安全部门和人力资源(HR)部门之间建立牢固的关系对于维持控制和最小化风险是非常重要的。

离职安全事宜

解雇：时间就是一切

服务水平协议(SLA)是一种确保提供服务的组织在服务提供商、供应商或承包商以及客户组织达成协议的基础上保持适当服务水平的方法

SLA 以及供应商、顾问和承包商的控制是降低风险和规避风险的重要部分

供应商管理系统(VMS)：VMS 是一种软件解决方案，可以协助人员配备服务、硬件、软件和其他所需产品和服务的管理和采购。

外包是一个术语，通常是指使用外部第三方，如供应商、顾问或承包商，而不是在内部执行任务或操作。外包可以作为一种风险应对选项，称为转移或转让风险

合规是符合或遵守规则、策略、法规、标准或要求的行为

合规是一种行政或管理的安全控制形式

合规执法是指对未能遵守策略、培训、最佳实践和／或法规而实施的制裁或后果

合规也是一个监管问题

隐私的一些定义

个人身份信息（Personally identifiable information ,PII）

欧盟的《通用数据保护条例》 (GDPR)（条例[EU]2016/679)

美国隐私法律法规

风险管理是一个详细的过程

风险管理的主要目标是将风险降至可接受的水平

IT 基础设施面临的风险不只源于计算机方面

风险管理两个基本要素

风险意识是为提高组织内部风险认知而开展的工作，风险意识有助于组织了解遵守安全策略的重要性以及安全失效的后果

风险容忍度

资产(asset) ： 资产可以是业务流程或任务中使用到的任何事物，核心是保护资产且符合成本效益。

资产估值： 资产估值是根据多个因素给资产指定的货币价值，包括对组织的重要性、在关键流程中的使用情况、实际成本和非货币性支出（如时间、关注度、生产效率和研发等）。

威胁(threat) ： 任何可能发生的、对组织或特定资产造成不良或非预期结果的潜在事件都是威胁

威胁代理／主体： 威胁代理或威胁主体有目的地利用脆弱性。

威胁事件 ：威胁事件是对脆弱性的意外和有意利用

威胁向量： 威胁向显或攻击向量指攻击或攻击者为了造成伤害而访问目标时所采用的路径或手段。外部的不能消除，比如黑客自己无法控制

脆弱性(vulnerability)： 脆弱性是资产中的弱点，是防护措施或控制措施的弱点，或防护或措施／控制措施的缺乏，内部的，脆弱性多时会形成债务（技术或管理）

暴露(exposure)： 暴露是指威胁导致资产受到破坏的可能性

风险(risk) ： 风险是威胁利用脆弱性对资产造成损害的可能性或概率以及可能造成损害的严重程度

防护措施(safeguard) ： 防护措施、安全控制、保护机制或控制措施指任何能消除或减少脆弱性，或能抵御一个或多个特定威胁的事物。

攻击(attack) ： 攻击是指威胁主体故意尝试利用脆弱性造成资产破坏、丢失或泄露

破坏(breach) ： 破坏、入侵或渗透是指安全机制被威胁主体绕过或阻止

风险分析是从清点所有组织资产开始的，一旦完成清点，就需要对每项资产进行估值

防护措施的年度成本<产的年度损失期望

评估价值的方法

风险管理的一个基础部分是识别与检查威胁

这涉及为组织已识别的资产创建一个尽可能详尽的威胁列表。该列表应该包括威胁主体以及威胁事件

在编制威胁列表时，一定要考虑到各种来源的威胁。

有关威胁示例、概念和分类的详细且正式的清单

大多数情况下，执行风险评估和分析的应该是一个团队

风险评估／分析主要是高层管理人员的职责

高级管理人员负责通过定义工作的范围和目标来启动和支持风险分析和评估

风险是因人而异的，或至少是因组织而异的，基于其资产、威胁、威胁代理／威胁主体及其风险容忍度。

风险评估方法

风险评估的目标是识别风险（基于资产－威胁组合）并按重要性进行优先级排序

将定量分析和定性分析混合使用到组织最终的风险评估过程的方式被称为混合评估或混合分析

定性风险分析方法

定量风险分析方法

风险缓解、减轻、降低(risk mitigation) ： 降低风险或缓解风险是指通过实施防护措施、安全控制

风险转让(risk assignment)： 风险转让或风险转移指将风险带来的损失转嫁给另一个实体或组织

风险威慑(risk deterrence)： 风险威慑是对可能违反安全和策略的违规者实施威慑的过程。

风险规避(risk avoidance) ：风险规避是选择替代的选项或活动的过程，替代选项或活动的风险低于默认的、通用的、权宜的或廉价的选项。例如，选择飞往目的地（而不是驾车前往）是一种规避风险的方式

风险接受(risk acceptance) ： 风险接受或风险容忍是成本／收益分析表明控制措施的成本将超过风险可能造成的损失之后的结果

风险拒绝(risk rejection)： 一个不可接受的但可能发生的风险响应是拒绝风险或忽略风险。

固有风险（初始/起始风险）：是在执行任何风险管理工作之前，环境、系统或产品中存在的自然、原生或默认的风险水平。

残余风险（Residual risk）:是管理层选择接受而不去减轻的风险

总风险:指在没有实施防护措施的情况下组织面临的全部风险。

控制间隙：指通过实施防护措施而减少的风险

对于每个资产－威胁组合（即已识别的风险），必须编制一份可能的和可用的防护措施清单。

防护措施的年度成本(ACS)影响因素

针对特定资产的特定风险所采用的特定防护措施的成本I 收益计算公式

定量风险分析相关的各种公式

安全控制、安全对策和防护措施可以是管理性、逻辑性/技术性、物理性的。这三种安全机制应以分层的概念、纵深防御的方式去实现，以提供最大收益（见图 2.4) 。三管齐下

管理性控制措施：是依据组织的安全策略和其他法规或要求而规定的策略和程序

逻辑性/技术性控制：措施包括硬件或软件机制，可用于管理访问权限以及为 IT 资源和系统提供安全保护。

物理性控制措施：是专为设施和真实世界对象提供保护的安全机制

安全控制”指执行各种控制任务

预防控制：部署预防控制以阻挠或阻止非预期的或未经授权的活动的发生，事前

威慑控制：部署威慑控制以阻止违反安全策略的行为，事前

检测控制：部署检测控制以发现或检测非预期的或未经授权的活动，事中

补偿控制：为其他现有的控制提供各种选项，从而帮助增强和支持安全策略。

纠正控制：会修改环境，使系统从发生的非预期的或未经授权的活动中恢复到正常状态小事件。事后

恢复控制：是纠正控制的扩展，但具有更高级、更复杂的能力，事后

指示控制：用于指导、限制或控制主体的行为，以强制或鼓励主体遵守安全策略

安全控制评估(security control assessment, SCA)：是根据基线或可靠性期望对安全基础设施的各个机制进行的正式评估。

SCA 的目标是确保安全机制的有效性，评估组织风险管理过程的质量和彻底性，并生成关于已部署的安全基础设施的优缺点的报告。

联邦机构基于NIST SP 800-53 Rev.5“ 信息系统和组织的安全和隐私控制”实施SCA

SCA 被定义为一个政府流程

安全控制提供的收益应该是可被监视和测量的

风险报告：包括编制风险报告，并将该报告呈现给利益相关方

风险登记册或风险日志：是一份风险清单文档，它列出组织或系统或单个项目内的所有已识别的风险

风险矩阵或风险热图：是一种在基本图形或图表上执行的风险评估形式。它有时被称为定性风险评估

考点：考虑看的相关方、受众是谁

考点：考虑报告的内容，改进措施，或改进建议

安全在不断变化。因此，随着时间的推移，任何已实施的安全解决方案都需要进行更新。

使用风险成熟度模型(risk maturity model, RMM)评估企业风险管理(enterprise risk management, ERM)计划

RMM级别

遗留设备风险

风险框架是关于如何评估、解决和监控风险的指南或方法

风险管理框架(risk management framework, RMF)

威胁建模在设计阶段，设计安全

网络安全框架(cybersecurity framework,CSF)

ISO/IEC 31000“ 风险管理－指南”文档

其它框架

说服某人执行未经授权的操作

说服某人泄露机密信息。

对人员进行培训，介绍社会工程攻击以及如何识别常见的攻击特征。

通过电话为人员执行活动时需要进行身份认证。

定义受限信息，这些信息绝对不能通过电话或标准电子邮件等纯文本通信方式传达。

始终验证维修人员的身份凭证并验证是否有授权人员拨打了真实的服务屯话。

切勿在未通过至少两个独立且受信任的来源验证信息的情况下，执行来自电［邮件的指令

与任何你不认识或不认识你的人打交道时，无论是面对面、通过电话还是通过互联网／网络，都需要谨慎行事

防御社会工程攻击最重要的措施是用户教育和意识培训

权威：是一种有效的技巧，因为大多数人可能会顺从池响应权威。关键是让目标相信攻击者是拥有有效内部或外部权限的人

恐吓：有时可以被视为权威原理的衍生品。恐吓利用权威、信任甚至威胁伤害来推动某人执行命令或指示

共识：或社会认同是利用一个人的自然倾向的行为。人们倾向于模仿他人正在做的事情或过去做过的事情

稀缺性：是一种用于使某人相估某个目标因其稀缺性而具有更高价值的技术。这可能与仅少量生产的产品或有限的机会相关，也可能与大部分库存售出后剩下的少数产品有关。

熟悉：或喜欢是一种社会工程原理，它试图利用一个人对熟悉事物的固有信任。

信任：这一社会工程原则中，攻击者努力与受害者建立关系。

紧迫性：通常与稀缺性相呼应，因为稀缺性代表错失的风险更大，所以迅速采取行动的需求就会增加。

获取信息是指从系统或人员那里收集或汇聚信息的活动。

前置词是在其他通信的开头或标题中添加的一个术语、表达式或短语。通常使用前置词是为了进一步完善或建立补会工程攻击的借口，例如垃圾邮件、恶作剧和网络钓鱼

网络钓鱼(phishing)是一种补会工程攻击形式，主要是从任何潜在的目标窃取凭证或身份

偷渡下载：是指当用户访问网站时，在其不知情的情况下自行安装恶意软件。偷渡下载利用了浏览器或插件中的漏洞

防御网络钓鱼措施

鱼叉式网络钓鱼(spear phishing)是一种更有针对性的网络钓鱼形式，其中信息是专门针对一个特定用户群体制作的

防范鱼叉式网络钓鱼

网络钓鲸(whaling)是鱼叉式网络钓鱼的一种变体，针对的是特定的高价值人员（按照头衔、行业、媒体报告等），如首席执行官(CEO)和其他 C－层高管、管理员或者高净值客

短消息服务(SMS)网络钓鱼或短信钓鱼(smishing, 叩时消息垃圾邮件）是一种社会工程攻击，它发生在标准文本消息服务之上或通过标准义本消息服务进行

语音网络钓鱼(vishing, 即基于语音的网络钓鱼）或 SplT（互联网电话垃圾邮件）是通过任何电话或语音通信系统进行的网络钓鱼。

方式

垃圾邮件(spam)是任何类型的不受欢迎和／或未经请求的电子邮件

肩窥(shoulder surfing)是一种通常发生在现实世界或以面对面形式发生的社会工程攻击。

当有人能够看到用户的键盘或显示器时，就会发生肩窥。

发票诈骗(invoice scam)是一种社会工程攻击，通常通过提供虚假发票然后强烈诱使付款，以期从组织或个人那里窃取资金。

恶作剧(hoax)是一种社会工程，旨在说股目标执行会导致问题或降低其 IT 安全性的操作。

假冒(impersonation)是假冒他人身份的行为

可以通过个人、电话、电子邮件、登录某 人的账户或通过任何其他通信方式进行。假冒也可被称为伪装、欺骗，甚至是身份欺诈

一个未经授权的实体利用一个合法员工的授权，在该员工并不知情的情况下进入一个设施时，就发生了尾随(tailgating)行为。

一个类似于尾随的问题是捎带(piggybacking) 。当未经授权的实体通过诱骗获得受害者的同意并在合法工作人员的授权下进入设施时，就发生了捎带

诱饵是指攻击者将 USB 存储器、光盘甚至钱包放在员工可能会遇到的位置。

可用双重门防止

垃圾箱搜寻(dumpster diving)是通过挖掘垃圾、废弃设备或废弃地点来获取有关目标组织或个人的信息的行为

型的收集内容包括旧日历、通话洁单、手写的会议记录、废弃表格、产品盒、用户手册、便利贴、打印的报告或打印机的测试表

身份盗窃和身份欺诈指的是所有类型的以欺诈或欺骗的方式非法获取和使用他人的个人数据的犯罪，通常是为了获得经济利益

欺诈:是指将虚假的东西称作真实的。身份欺诈是指通过使用从受害者那里窃取的信息，虚假地声称自己是他人

欺骗：指的是任何隐藏有效身份的行为， 通常通过使用其他身份来实现。

误植域名(typo squatting)是一种在用户错误输入目标资源的域名或 1P 地址时捕获和重定向流量的做法

错误拼写输入域名

URL劫持

影响力运动(influence campaign)是试图引导、凋整或改变公众舆论的社会工程攻击。黑客可能会对个人或组织发起此类攻击，但大多数影响力活动似乎都是由民族国家针对其真工的或其所认为的外部敌人发起的。

混合战争

社交媒体

实施安全培训的一个前提条件是建立安全意识。建立安全意识的目标是让用户将安全放到首位并认可这一点

所有人员都应充分认识到自身的安全责任和义务。他们通过接受培训，知道该做什么和不该做什么。

培训是指教导员工执行他们的工作任务和遵守安全策略。培训通常由组织主办，面向具有类似岗位职能的员工群体。

教育是一项更详细的上作，学生／用户学习的内容比他们完成其工作任务实际需要知道的内容多得多

改变培训的目标重点。有时关注个人，有时关注客户，有时关注组织。

改变培训主题顺序或重点。可将某次培训聚焦于社会工程，然后将下一次培训聚佳在移动设备安全，还可将之后的培训聚焦在家居和旅行安全

用多种演示方法，如现场介绍、预先录制的视频、计算机软件／模拟软件、虚拟现实(VR)体验、非现场培训、互动式网站，或指定阅读准备好的课件或现成的书籍

过角色扮演的方式，计参与者扮演攻击者和防御者，并且允许不同的人提供与攻击的防御或应对相关的想法。

必须对所有培训材料进行定期的内容审查，这很重要。审查有助于确保培训材料和演示文稿与业务目标、组织使命和安全目标保持一致

最有效的检测评估方式进行社工