PR.AT 意識培訓
透過持續的意識提升和培訓,將網路安全意識融入組織文化中,並提升所有人員的網路安全知識和技能,
使其成為組織網路安全防禦的第一道防線。
PR.AT-01
對所有人員進行安全意識與培訓
目的
確保組織內所有人員具備必要的知識和技能
以便在執行一般任務時將網路安全風險銘記於心
降低人為疏失導致的安全事件發生機率
核心
將網路安全意識融入組織文化中
不只是 IT 部門責任
而是每個人的責任
企業提供實用資安知識和技能培訓,員工習得
識別威脅
應對威脅
回報威脅
措施
提供基礎網路安全意識和培訓
員工、廠商
合作夥伴、供應商
所有其他使用組織非公開資源使用者
培訓使用者識別和應對常見攻擊
社交工程攻擊
資安釣魚郵件
常見攻擊手法
回報攻擊可疑行為
強調遵守可接受使用政策
員工了解資安政策
教育遵守重要性
遵守網路安全衛生習慣
Cyber Hygiene
強調日常維護預防
定期修補軟體
選擇強式密碼
保護憑證安全
說明違反網路安全政策的後果
違反政策的後果
個人與組織影響
要求年度複習資安意識
強化現有資安實務
介紹新的資安實務
確保知識與時俱進
舉例
許多公司每年會要求員工參加資安意識教育訓練
資安法規要求員工每年參與三小時資安意識課程
許多公司會採購資安意識平台發布資安新聞資訊
公司會定期利用釣魚演練測試員工應對與警覺性
PR.AT-02
針對特定角色人員提供安全意識與培訓
目的
針對組織內具有特殊職責或存取權限的人員
提供更深入、更具針對性的資安意識和培訓
確保能勝任工作,並降低其專業領域內資安風險
核心
先識別需要額外網路安全培訓的特定角色
根據不同角色職責和面臨的風險設計對應課程
措施
識別需要額外網路安全培訓的特定角色
IT (最高權限)
財務(敏感資料)
高階主管(決策)
業務(關鍵資料)
提供基於角色的網路安全意識和培訓
釐清職責
整理可能面臨風險
量身客製內容
安全軟體操作
事件應變流程
資安治理與策略
定期評估特定角色使用者對資安實務理解
更進階的測驗
實際操作評估
確保將所學應用
要求年度複習強化特定角色人員知識技能
最新的威脅情報
最新的安全漏洞
最新的防護措施
舉例
公司針對系統管理員提供專門的資安培訓
系統安全設定
漏洞管理
入侵偵測
事件應變
公司針對財務人員提供專門的資安培訓
資料安全培訓
安全處理資料流程
資料儲存安全實務
資料傳輸過程保護
資料安全相關法規
以下哪一項 不屬於 PR.AT 意識培訓的核心目標?
a) 將網路安全意識融入組織文化中
b) 提升所有人員的網路安全知識和技能
c) 確保組織獲得最新的資安技術
d) 降低人為疏失導致的安全事件發生機率
答案
c
PR.AT 意識培訓被歸類在哪一個核心功能中?
a) 識別 (IDENTIFY)
b) 保護 (PROTECT)
c) 偵測 (DETECT)
d) 回應 (RESPOND)
答案
b
以下哪一項是 PR.AT-01 (對所有人員進行安全意識與培訓) 的建議措施?
a) 不需要系統管理員提供專門的漏洞管理培訓
b) 說明違反網路安全政策的可能後果
c) 不需要定期評估特定角色使用者對資安實務的理解
d) 不需要要求高階主管參與年度資安策略規劃會議
答案
b
以下哪一項是企業落實 PR.AT-01 的常見做法?
a) 公司會定期利用釣魚演練測試員工應對與警覺性
b) 公司不會針對系統管理員提供專門的入侵偵測培訓
c) 公司不會要求財務部門主管每年提交資料安全風險評估報告
d) 公司聘請外部資安顧問團隊進行年度資訊安全健檢
答案
a
以下哪一項措施最符合 PR.AT-02 (針對特定角色人員提供安全意識與培訓) 的核心精神?
a) 公司為所有新進員工提供相同的網路安全基礎培訓課程。
b) 公司訂閱網路安全新聞網站,並要求所有員工定期閱讀。
c) 公司根據不同部門的業務需求和資料敏感度,設計客製化的網路安全培訓課程。
d) 公司在辦公室張貼網路安全海報,提醒員工注意網路安全風險。
答案
c