人

AIO 中指的 OSI 第八層指的是 User 哦 … ((冷

呃、好哦！

人員安全

• 聘僱前：身家調查、推薦信、前東家電訪驗證…
  台灣實際比較少的樣子，可能比較適用於國外吧？

• 聘僱時：要求同意工作說明書(Job Descriptions)及書面協議(agreement)。
  工作說明書包含定義了角色及職責
  書面協議是告知用戶他們在屬於公司的系統上能做什麼和不能做什麼的最佳方式。
  公司正在監控你這件事情，絕對不會大辣辣的張貼在顯眼處讓你知道啊…

• 聘僱中：異常行為、安全意識太低被駭帳客入侵、被對手賄賂偷取資料…

• 聘僱後：心懷不滿、憤怒的員工、帳號停用、偷走機密資訊…

  員工終止合約時候，最重要的事情是：「適當的公司員工會收到有關終止的通知。」
  因為包含撤銷憑證、刪除帳戶、刪除訪問權限、資產調整以及更正有關員工的工資單…都在通知項目裡面。

  若有簽定「同業競業條款」，則可能會有不同的限制。
  雖然，競業條款最長不得逾2年。
  但其中有一段「雇主對勞工因不從事競業行為所受損失有合理補償」，所以不從事同業，是應該要有補償的哦！

可疑員工的特點：

1. 突然購買奢侈品
2. 不合理的旅行 (競爭對手國家或地區)
3. 拒絕接受稽核
4. 經濟上有非常大的壓力
5. 對公司或上司非常的不滿
6. 通常在離職 90 天開始意圖「犯罪」

對人的教育訓練

• 意識培訓(Awareness Training)：對非資訊人員亦適用的課程，資安有基本的應變，如社交工作、防詐騙等等…

• 工作訓練(Job Training)：是針對資安工作人員所需要的工作技能

• 專業教育(Professional Education)：以資安相關的決策為主，對象多為管理階層。

=====．=====．=====．=====．=====．=====
因為預計 Day 10 才開始寫技術文啦… 後面要背的東西很多呢… ((眼神死
所以前面都會偏管理面吧… 因為沒有概念後續會有很多User Case 的題目都會寫錯…

雖然不到人資長的部份，但這個也是 CISSP 內的範圍，真的要記很多東西就是了。
這個部份主要在 Domain 1 人員安全的部份有被提到。