1. Attestation

Attestation 是組織有遵守標準抑是法規的證明。

2. Internal

分成三个部分：

• Compliance
  評估組織的政策、程序、運作有遵守外部管理單位要求和內部標準。審核的結果一般向資深經理抑是審核委員會報告。
• Audit committee
  審核委員會和內部審核人員定期檢視計畫、討論調查發現、確認組織適當的處理發現的議題。審核委員會 kā 董事會報告調查發現佮推薦方法。
• Self-assessments
  內部員工自行檢視評估組織的運作佮控管，tī 外部審核評估進前 chhōe-chhut ài 改進的所在。

3. External

Auditors 來自組織外部。

• Regulatory
  來自政府單位要求的審核，確認組織遵守相關的法規。
• Examinations
  各種型態的外部檢視，包括包括遵守法規審核佮資安評估。
• Assessment
  評估目前組織狀況，提供改進建議。
• Independent third-party audit
  由佮 hō͘ 審核的組織無利益衝突的獨立外部單位執行審核，提供公正的評估。

4. Penetration testing

Mā 叫做 pen testing，主要目的是評估組織的資安狀況。執行真實世界的攻擊 來發現會 hō͘ hackers 利用的 vulnerabilities 佮弱點。

• Physical
  檢查硬體設備，實際侵入 security 系統抑是 khǹg servers 的所在。
• Offensive
  Red teaming，主要找出系統佮網路的 vulnerabilities。
• Defensive
  Blue teaming，主要 leh 評估組織 kám 有辦法抵抗網路攻擊。
• Integrated
  結合 physical、offensive、defensive，提供 khah 完整評估。
• Known environment
  知道詳細的系統和應用程式的資訊，注重在特別的 target，white hat hacker。
• Partially known environment
  知道有限的公司內部資料，gray hat hacker。
• Unknown environment
  無提供任何公司的資訊，模仿真實世界攻擊者的方法，black hat hacker。

5. Reconnaissance

幫助 penetration testers 評估 target 佮可能的 vulnerabilities。

• Passive reconnaissance：
  不直接接觸 target 的系統方式，收集關於 target 的資料，所以 bē hō͘ 偵測 tio̍h。
  Passive reconnaissance 的技術包括：searching Open Source Intelligence(OSINT)，browsing 公開網站，using search engines，分析 Domain Name System(DNS) 紀錄了解 target 的網路 infrastructure。
• Active reconnaissance：
  佮 target 的系統互動來收集資料，chhōe-chhut vulnerabilities 佮 可能的 entry points。
  Active reconnaissance 的技術包括：使用 port scanners，Sending ping sweeps，Utilizing vulnerability scanners，使用 social engineering 技巧。