資安最大的風險是人！不可忽略的社交工程演練

先來看一看，筆者從甲方資安專職人員剛轉戰顧問時，菜鳥顧問最常被指派的就是處理教育訓練，如果要講授的對象是一般人員及主管的話，筆者最喜歡放的一部影片，如下。(是趨勢科技2013拍攝的，已經快十年前，現在2022快2023年了，影片中的手法還是很好用，也是企業員工最容易疏忽的地方)

透過NIST CSF 了解 資安意識訓練(資安教育訓練)

如果是採用NIST CSF 會發現框架中的 PR.AT: Awareness and Training

仔細切入到該文本會發現內容如下：

PR.AT 1-4 子類別包括網絡安全意識目標。

• NIST：所有用戶都被告知和培訓（PR.AT-1）
• 特定用戶組了解他們的角色和職責：特權用戶 (PR.AT-2)
• 外部合作夥伴（客戶、供應商等）——（PR.AT-3）
• 管理（PR.AT-4）
• 安全和網絡安全人員 (PR.AT-5)

真心話老實說：NIST CSF真的是給一個很彈性的框架，有許多安全控制措施(還是給參照到SP800/CIS/ISO27001)

實務上因為內容很多，一般人或是沒有深入研讀整體框架跟脈絡的資安人或顧問，都不一定容易實踐，所以細部研究，以筆者的案場經驗會變成如下：

• 以 (SP800-53 或 CIS 或 ISO27001)為控制措施基礎，再去符合NIST CSF; 台灣多數有導ISMS(ISO27001)，會以此作為延伸，或是放棄該驗證，把原本有的程序轉換到NIST CSF框架。
• 先建立NIST CSF框架，實作指引參考 SP800-53 或 CIS 或 ISO27001

更好理解的框架，可以採用 OWASP CDM框架 (Structure of the Cyber Defense Matrix)，來理解NIST CSF的精神，加上OWASP的見解，就形成 CDM框架，如下圖：

最終會變得如下圖： (更多說明可以參考：OWASP Cyber Defense Matrix 或 【用Cyber Defense Matrix搭配資安框架改善資安弱點】資安策略成效要靠真實威脅調整 )

參考資料：
OWASP Cyber Defense Matrix
PR.AT: Awareness and Training | CSF Tool
BLOG POST: CYBER SECURITY AWARENESS NIST
【用Cyber Defense Matrix搭配資安框架改善資安弱點】資安策略成效要靠真實威脅調整
「戰場」經營管理　有效資安防禦 | CTIMES