iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 29
0
Security

網路釣魚實戰30天系列 第 31

網路釣魚實戰(第29天) [別再被網釣“釣的嫑嫑的]

終於來到了連續出門釣魚30天旅程中的倒數最後一天了!!今天船長準備要連同大家一起將魚貨滿滿的載回家啦~(大家應該都知道不是真的釣魚吧?!)

之前已經為大家介紹了很多與網路釣魚有關的工具和實例,如:E-mail蒐集工具、模擬真實的網路釣魚攻擊與測試反網路釣魚組織及**降低瀏覽到惡意的網站**或是詐騙的網站等,這些都是屬於和網路的魚有關的技術層面,希望透過這樣的介紹,可以讓大家多了解有關網路釣魚的型態及工具,也可以學到很多有關網路釣魚的知識,更可以提高防護能力,進而降低被網路釣魚的機率!

但網路釣魚的事件還是會層出不窮!還是會有很多人會上鉤啊!
(老師一直再說,有在聽嗎? 有在聽嗎? 有在聽嗎?沒有嘛~)
所以除了之前介紹的技術層面以外,就組織的管理層面來說也是相當的重要!

再來要和大家簡單介紹國際資訊安全標準:ISO/IEC 27001:2013中,對於組織管理上如何要求有關人員的能力,讓大家了解教育訓練的必要性及及重要性!!!
依國際資訊安全標準:ISO/IEC 27001:2013裡的本文及附錄A控制措施裡的要求事項,皆有提到教育訓練是必要執行的項目!如:

本文7.2-能力:
確定人員於組織執行工作時,影響其資訊安全之必要能力,並確保人員在適當的教育、專業訓練、或工作經驗能夠勝任,另外可於適當時,執行取得人員必要能力之方案,並評估此方案之有效性,最後也要保存人員有能力證據之文件化資訊。
控制措施A.7.2.2-資訊安全認知、教育及訓練:
組織所有員工及相關之承包者,均應接受與其工作職能相關的組織政策及程序之適切認知、教育及訓練,並定期更新。


由此可見在國際資訊安全標準ISO/IEC 27001:2013中,對於實施“教育訓練”於組織所有人員有關各種資訊安全議題是非常要求的!
本次介紹的“網路釣魚實戰30天”就是重要的資訊安全議題之一!!
除了大家在技術上的能力要提高以外,對於組織人員的資訊安全意識一樣要透過教育訓練不斷的宣導,才能更加的根深蒂固在每個人的心中。


正所謂“工欲善其身,必先利其器”,在這充滿各種惡意及詐騙的網路釣魚區域中, 大家當然要吃好吃滿各種能力果實(真的以為自己是航海王?) 多多了解網路釣魚是如何進行的及如何事先防護,這樣才能降低被網路釣魚的機率唷~

參考資料:
(1)ISO/IEC 27001:2013
(2)CNS 27001資訊安全管理系統國家標準


上一篇
網路釣魚實戰(第28天) [重判8年?真的假的啊!]
下一篇
網路釣魚實戰(第30天) [跟網路釣魚說再見~~~]
系列文
網路釣魚實戰30天32

尚未有邦友留言

立即登入留言