iT邦幫忙

2024 iThome 鐵人賽

DAY 17
0
影片教學

資安 Vtuber 語野飛:陪你讀 NIST CSF 2.0 學資安治理系列 第 17

[資安 Vtuber 讀資安治理] Day17 NIST CSF 2.0 PR.AT 意識培訓

  • 分享至 

  • xImage
  •  

Yes

知識內容

  • PR.AT 意識培訓

    • 透過持續的意識提升和培訓,將網路安全意識融入組織文化中,並提升所有人員的網路安全知識和技能,
      使其成為組織網路安全防禦的第一道防線。

    • PR.AT-01
      對所有人員進行安全意識與培訓

      • 目的

        • 確保組織內所有人員具備必要的知識和技能

        • 以便在執行一般任務時將網路安全風險銘記於心

        • 降低人為疏失導致的安全事件發生機率

      • 核心

        • 將網路安全意識融入組織文化中

          • 不只是 IT 部門責任

          • 而是每個人的責任

        • 企業提供實用資安知識和技能培訓,員工習得

          • 識別威脅

          • 應對威脅

          • 回報威脅

      • 措施

        • 提供基礎網路安全意識和培訓

          • 員工、廠商

          • 合作夥伴、供應商

          • 所有其他使用組織非公開資源使用者

        • 培訓使用者識別和應對常見攻擊

          • 社交工程攻擊

          • 資安釣魚郵件

          • 常見攻擊手法

          • 回報攻擊可疑行為

        • 強調遵守可接受使用政策

          • 員工了解資安政策

          • 教育遵守重要性

        • 遵守網路安全衛生習慣

          • Cyber Hygiene

          • 強調日常維護預防

          • 定期修補軟體

          • 選擇強式密碼

          • 保護憑證安全

        • 說明違反網路安全政策的後果

          • 違反政策的後果

          • 個人與組織影響

        • 要求年度複習資安意識

          • 強化現有資安實務

          • 介紹新的資安實務

          • 確保知識與時俱進

      • 舉例

        • 許多公司每年會要求員工參加資安意識教育訓練

        • 資安法規要求員工每年參與三小時資安意識課程

        • 許多公司會採購資安意識平台發布資安新聞資訊

        • 公司會定期利用釣魚演練測試員工應對與警覺性

    • PR.AT-02
      針對特定角色人員提供安全意識與培訓

      • 目的

        • 針對組織內具有特殊職責或存取權限的人員

        • 提供更深入、更具針對性的資安意識和培訓

        • 確保能勝任工作,並降低其專業領域內資安風險

      • 核心

        • 先識別需要額外網路安全培訓的特定角色

        • 根據不同角色職責和面臨的風險設計對應課程

      • 措施

        • 識別需要額外網路安全培訓的特定角色

          • IT (最高權限)

          • 財務(敏感資料)

          • 高階主管(決策)

          • 業務(關鍵資料)

        • 提供基於角色的網路安全意識和培訓

          • 釐清職責

          • 整理可能面臨風險

          • 量身客製內容

          • 安全軟體操作

          • 事件應變流程

          • 資安治理與策略

        • 定期評估特定角色使用者對資安實務理解

          • 更進階的測驗

          • 實際操作評估

          • 確保將所學應用

        • 要求年度複習強化特定角色人員知識技能

          • 最新的威脅情報

          • 最新的安全漏洞

          • 最新的防護措施

      • 舉例

        • 公司針對系統管理員提供專門的資安培訓

          • 系統安全設定

          • 漏洞管理

          • 入侵偵測

          • 事件應變

        • 公司針對財務人員提供專門的資安培訓

          • 資料安全培訓

          • 安全處理資料流程

          • 資料儲存安全實務

          • 資料傳輸過程保護

          • 資料安全相關法規

小試身手

  • 以下哪一項 不屬於 PR.AT 意識培訓的核心目標?

    • a) 將網路安全意識融入組織文化中

    • b) 提升所有人員的網路安全知識和技能

    • c) 確保組織獲得最新的資安技術

    • d) 降低人為疏失導致的安全事件發生機率

    • 答案

      • c

        • 選項 a)、b) 和 d) 都是 PR.AT 的核心目標,選項 c) 雖然與網路安全有關,但並非 PR.AT 的直接目標。PR.AT 更著重於提升人員的安全意識和技能,而非組織獲得最新技術。
  • PR.AT 意識培訓被歸類在哪一個核心功能中?

    • a) 識別 (IDENTIFY)

    • b) 保護 (PROTECT)

    • c) 偵測 (DETECT)

    • d) 回應 (RESPOND)

    • 答案

      • b

        • PR.AT 是「保護」(PROTECT) 核心功能中的一個重要類別。
  • 以下哪一項是 PR.AT-01 (對所有人員進行安全意識與培訓) 的建議措施?

    • a) 不需要系統管理員提供專門的漏洞管理培訓

    • b) 說明違反網路安全政策的可能後果

    • c) 不需要定期評估特定角色使用者對資安實務的理解

    • d) 不需要要求高階主管參與年度資安策略規劃會議

    • 答案

      • b

        • 選項 a) 和 c) 若改成系統管理員與特定角色都要則是屬於 AT-02 的內容,選項 d) 可以定期要求高階主管參與,選項 b) 是針對 PR.AT-01 提供的明確建議,讓所有人員了解違反資安政策的後果,才能有效降低人為疏失。
  • 以下哪一項是企業落實 PR.AT-01 的常見做法?

    • a) 公司會定期利用釣魚演練測試員工應對與警覺性

    • b) 公司不會針對系統管理員提供專門的入侵偵測培訓

    • c) 公司不會要求財務部門主管每年提交資料安全風險評估報告

    • d) 公司聘請外部資安顧問團隊進行年度資訊安全健檢

    • 答案

      • a

        • 選項 b) 和 c) 屬若為針對管理員與要求財務則符合 PR.AT-02 (針對特定角色人員提供安全意識與培訓) 的範疇。選項 d) 雖然有助於提升組織的整體資安防護,但選項 a) 是企業落實 PR.AT-01 的常見做法,透過模擬真實攻擊情境,提升所有人員的警覺性和應變能力。
  • 以下哪一項措施最符合 PR.AT-02 (針對特定角色人員提供安全意識與培訓) 的核心精神?

    • a) 公司為所有新進員工提供相同的網路安全基礎培訓課程。

    • b) 公司訂閱網路安全新聞網站,並要求所有員工定期閱讀。

    • c) 公司根據不同部門的業務需求和資料敏感度,設計客製化的網路安全培訓課程。

    • d) 公司在辦公室張貼網路安全海報,提醒員工注意網路安全風險。

    • 答案

      • c

        • PR.AT-02 強調「針對特定角色的職責和面臨的風險設計對應的培訓課程」,因此選項 c) 最符合其核心精神。選項 a)、b) 和 d) 屬於較為通用的網路安全意識提升措施,並未針對特定角色的需求進行設計。

上一篇
[資安 Vtuber 讀資安治理] Day16 NIST CSF 2.0 PR 保護與 PR.AA 驗證存取 (2/2)
下一篇
[資安 Vtuber 讀資安治理] Day18 NIST CSF 2.0 PR.DS 資料安全
系列文
資安 Vtuber 語野飛:陪你讀 NIST CSF 2.0 學資安治理30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言