• 安全框架 security frameworks
• 控制 controls
• 設計原則的詳細內容 design principles in more detail
• 如何應用於安全審計以幫助保護組織和人員how they can be applied to security audits to help protect organizations and people.

安全框架 security frameworks

• 安全框架是用來幫助組織減少數據和隱私風險的指導方針，例如針對社交工程攻擊和勒索軟體。Security frameworks are guidelines used for building plans to help mitigate risks and threats to data and privacy, such as social engineering attacks and ransomware.
• 安全框架不僅關注虛擬空間，也涵蓋物理安全，例如使用門禁卡進入建築物。
• 員工是安全的最大威脅，因此教育員工識別潛在威脅並快速報告安全問題至關重要。
• 組織需要提供員工培訓，以提高安全意識並減少安全漏洞的可能性。
• What does a security professional use to create guidelines and plans that educate employees about how they can help protect the organization? Security frameworks
• 安全控制與框架結合使用，以實現組織的安全目標。

控制措施 controls

控制措施用於降低特定風險。如果缺乏適當的控制措施，組織可能會面臨重大財務損失和聲譽損害，因為它們暴露於風險中，例如非法進入、創建虛假員工賬戶或提供免費福利。

三種常見的控制類型：加密、身份驗證和授權。

• 加密 encryption
• 身份驗證 authentication, and
• 授權 authorization

加密 encryption

• 加密是將數據從可讀格式轉換為編碼格式的過程。
• 加密涉及將數據從明文轉換為密文。
• 密文是原始的編碼消息，對人類和計算機來說都是不可讀的。
• 密文數據在解密為其原始明文格式之前無法被讀取。
• 加密用於確保敏感數據的保密性，例如客戶的帳戶信息或社會安全號碼

身份驗證（authentication）

• 身份驗證作為保護敏感數據的控制手段。
• 身份驗證是一個用來確認某人或某事的過程 Authentication is the process of verifying who someone or something is. ex:登錄過程（使用用戶名和密碼）是身份驗證的最基本形式
• 多因素身份驗證（Multi-factor authentication，簡稱MFA），這是一種更安全的身份驗證方法
• MFA要求用戶提供兩種或以上的驗證方式，除了密碼之外，還可能需要安全碼或生物識別技術（如指紋、聲音或面部掃描）。 biometrics, such as a fingerprint, voice, or face scan.
• 利用生物識別技術的社交工程攻擊，如「語音釣魚」（vishing）。這是一種通過電子語音通信來竊取敏感信息或冒充已知來源的攻擊手法。舉例來說，攻擊者可能冒充某人的聲音來盜取身份，從而進行犯罪。

授權 authorization

• 授權是控制用戶訪問資源的一種方式，可以有效地管理誰可以訪問哪些資源，並保護系統中的敏感資訊，確保只有合法的用戶能夠獲得必要的數據和資源。
• 例如，如果一名初級安全分析師在聯邦政府工作，他/她可能會獲得訪問某些數據的權限，這些數據通常是以深網或內部數據的形式存在，僅限於聯邦政府的員工使用。authorization is used to verify that a person has permission to access a resource