####### 工作和教育背景
####### 检查推荐信
####### 验证学历
####### 访谈同事
####### 个人面试
####### 信用核查
####### 性格测试和评估
####### 在线背景调查
####### 社交网络账户审查
####### 背景调查遵循法律法规
####### 职责变化时签订额外的保密协议
####### 离职时提醒NDA或重新签署NDA
####### 电话号码
####### 电子邮件地址
####### 邮寄地址
####### 社会保险号
####### 姓名
####### MAC地址
####### IP地址
####### 实际执行是IT和安全部门的团队
####### 用主观的和无形的价值来表示资产损失,并考虑观点、感受、直觉、偏好、想法和直觉反应
######## 一般先定性再定量
######## 基于场景,而非基于计算
######### 基于判断、直觉和经验
######## 定性分析方法
######### 头脑风暴
######### 故事板
######### 焦点小组
######### 调查
######### 问卷
######### 检查清单
######### 一对一的会议
######### 采访
######### 场景
########## 对单个主要威胁的书面描述
######### Delphi技术
########## 匿名的反馈和响应过程
####### 用实际的货币来计算资产损失
######## 1.编制资产清单,为每个资产分配资产价值AV
######## 2.列出资产-威胁组合
######## 3.对于每个资产组合,计算暴露因子 exposure factor EF
######## 4.对每个资产组合,计算单一损失期望 single loss expectancy SLE
######## 5.执行威胁分析,计算年度发生率 ARO
######## 6.计算年度损失期望 ALE
######## 7.研究每种威胁的控制措施,计算ARO\EF\ALE的变化
######## 8.进行成本\效益分析,为每个威胁选择最合适的防护措施
####### 书面上的评估和分析
####### 使用风险评估软件
####### 生成标准化报告
####### 实施加密措施
####### 使用防火墙
####### 购买网络安全或传统保险
####### 外包
####### 实施审计
####### 安全摄像头
####### 警告横幅
####### 使用安保人员
####### 选择替代的选项或活动
####### 控制措施的成本将超过风险可能造成的损失
####### 通常由高管以书面签名形式说明为何不实施保护措施
####### 不可接受的但可能发生的风险响应
####### 法庭上通常被认为存在疏忽
####### 控制间隙是指通过实施保护措施而减少的风险。
####### 迭代化操作,自我回顾以进行持续改进。
####### 基于调查市场
####### 咨询专家
####### 审查安全框架
####### 法规
####### 指南
####### 防护措施、安全控制和安全对策主要通过降低潜在的破坏比例(如ARO)来降低风险
####### 选择部署任何防护措施都会是组织付出一定代价
####### 受保护资产的价值决定了保护机制的最大支出
####### 防护措施实施前的ALE-防护措施是时候的ALE-防护措施的年度成本ACS=防护措施对公司的价值
####### 还要考虑法律责任和审慎的应尽关系和尽职审查
####### 以有限的成本获取最佳的安全
######## 因缺乏资金就没有对不可接受的威胁或风险进行防范,这种借口是不可接受的。
####### 安全可对业务任务和功能进行支持和赋能
####### 可以是管理性、逻辑性或物理性的安全机制
######## 分层的、纵深防御的方式实现
####### 风险矩阵或风险热图,有时被称为定性风险评估
####### 持续改进
######## 可使用风险成熟度模型RMM评估企业风险管理ERM计划
######## 遗留设备风险,生产期终止EOL,EOSL,EOS系统应尽快替换,例如Adobe Flash PLayer于2020年12月31日达到其EOSL,应按照其建议将其卸载
####### RMF
######## 为联邦机构制定的强制性要求 2010年
######### 准备
######### 分类
######### 选择
######### 实施
######### 评估
######### 授权
######### 监控
######## 作为一种风险管理流程来识别和应对威胁
####### CSF
######## 为关键基础设施和商业祖师设计 2014年
####### 利用人类天性和人类行为的攻击形式
######## 任何未遂的或成功的社会工程违规行为都应得到彻底调查和响应
####### 两种主要形式
######## 说服某人执行未经授权的操作
######## 说服某人泄露机密信息
####### 最重要的防护措施是用户教育和意识培训
######## 入职培训和定期接受巩固培训
######## 由管理员或培训官员向他们发送电子邮件提醒其有关威胁
####### 社会工程攻击的原理是关注人性的各个方面并加以利用
######## 社会工程的种类
######### 权威
######### 恐吓
######### 共识
######### 稀缺性
######### 熟悉
######### 信任
######### 紧迫性
######## 获取信息
######## 前置词
######## 网络钓鱼
######### 网络钓鱼模拟器
######## 鱼叉式网络钓鱼
######### 针对特定用户群体制作
######### 被称为商业电子邮件泄露BEC
######## 网络钓鲸
######## 短信钓鱼
######## 语音网络钓鱼
######## 垃圾邮件
######### 垃圾邮件过滤器
######## 肩窥
######## 发票诈骗
######## 恶作剧
######## 假冒和伪装
######## 尾随和捎带
######## 垃圾箱搜寻
######## 身份欺诈
######## 误植域名
######## 影响力运动
######### 混合战争
######### 社交媒体
####### 培训是一种管理性控制
####### 安全意识和培训通常由内部提供
####### 改进
######## 改变培训的重点,可以是个人、客户、组织
######## 改变培训的主体顺序或重点
######## 使用多种演示方法
######## 角色扮演
######## 发展和鼓励安全带头人
######### 通常是非安全人员
######## 通过游戏化的方式提升安全意识和改进培训
######### 改进安全培训的其他方式
########## 夺旗演习
########## 模拟网络钓鱼
########## 基于计算机的培训CBT
########## 基于角色的培训
####### 有效性评估
######## 培训后进行一次测试,三到六个月后在进行一次后续测试
####### 1.负责向客户提供核心服务业务的运营部门
####### 2.考虑关键支持服务部门,如IT部门,设施和维护人员
####### 3.负责物理安全的公司安全团队
####### 4.高级管理人员和对组织持续运营至关重要的其他人员
####### 有些组织会聘请专职的业务连续性经理
####### 有些组织会由IT管理者兼任
####### 1.可能没有考虑日常运营的业务人员需要的知识
####### 2.计划详情的操作要素咋计划实施前一直不能确定下来
####### 1.可能导致存在个人倾向。领导者应接受并加以利用,在最终计划中实现健康的平衡
####### 2.如果缺乏恰当的领导力,个人倾向可能转变为破坏性的地盘争斗,进而破坏BCP成果,损害整个组织
####### 主要耗费人力资源
####### 需要一些硬件和软件资源
####### 主要资源是人力资源
####### 大量实施工作
####### 直接的财务费用
####### 使用其BCP实施权力
####### 人员
######## 管理层为团队成员提供完成所分配任务必需的全部资源
####### 建筑物、设施
######## 加固预备措施
######## 替代站点
####### 基础设施
######## 物理性加固系统
######### 计算机安全灭火系统
######### 不间断电源
######## 备用系统
######### 冗余组件
######### 完全冗余系统/通讯链路
####### BCP团队在开发计划后,应定期开会讨论BCP计划并审核计划测试的结果,确保其一直能满足组织需求
####### 计算机软件版权属于文学作品范畴
######## 版权默认归作品创作者所有,因受雇佣而创作的作品除外
######## 一个或多个创作者的作品,版权保护时间是最晚去世者离世后的70年。
######## 受雇佣创作和匿名创作是第一次发表后的95年,和从创建之日起的120年的时间较短的一个。
######## 《数字千年版权法》
######### 备受争议
######### DMCA第一个条款主要目的是防止数字介质的复制,如DVD和CD
########## 图书馆和学校不受限制
######### 不要求ISP对用户的临时性活动承担责任
####### 保护创造性作品
####### 不需要正式注册就能获得法律保护
####### 使用TM符号表明将文字或标语当做商标来保护
####### 注册商标可以用R圈符号来表示已注册
####### 商标申请被接受的两个重点要求
######## 1.不与其他商标类似,以免造成混淆
######## 2.该商标不能是所提供的产品与服务的说明
####### 美国商标有效期10年
####### 自发明之日起20年的保护期限
####### 专利的三个重点要求
######## 1.必须具有新颖性
######## 2.必须具有实用性
######## 3.必须具有创造性
####### 专利一直用于保护硬件设备和制造过程
####### 外观设计专利
######## 仅持续15年
####### 避免版权或专利的公开性
####### 避免版权和专利的保护时间期限
####### 1996年经济间谍法案
####### 大型软件开发公司采取商业秘密
####### 自行保存,不向任何人登记
####### 1.合同许可协议书使用书面合同,列出软件供应商和客户之间的责任
####### 2.开封生效许可协议被写在软件包装的外部
####### 3.单击生效许可协议更常见
####### 4.云服务许可协议将单击协议发挥到极致
####### 第四修正案是美国隐私权的基础
######## 限制搜查令
####### 1974年隐私法案
######## 限制当事人书面同意
######### 人口普查,执法,国家档案,健康等例外
######## 只适用于政府机构
####### 1986年《电子通信隐私法案》
######## 将对手机通话的监听定义为非法
####### 1994年《通信执法协助法案》
####### 1996年《经济间谍法案》
####### 1996年健康保险流通与责任法案
####### 2009年《健康信息技术促进经济和临床健康法案》
######## 约束商业伙伴
####### 1998年《儿童在线隐私保护法》
####### 1999年《Gramm-Leach-Bliley法案》
######## 对金融机构有了严格监管
####### 2001年《美国爱国者法案》
####### 《家庭教育权利和隐私法案》
####### 《身份盗用与侵占防治法》
####### 员工在工作场所使用雇主的所有通信设备,对隐私没有合理的预期
####### 1995年欧盟数据保护指令DPD
######## 1998年生效,世界上第一部基础广泛的隐私法
####### 2016年《通用数据保护条例》
######## 2018年生效,监管范围是扩大到整个欧盟的数据
######### 适用于所有收集欧盟居民数据或代表收集数据的人员处理这些信息的组织
######## 适用于收集欧盟居民信息的非欧盟组织
######## 具有国际性,但能否在全球执行,是个待定的问题
####### 跨境信息共享
######## 1.标准合同条款-欧盟网站可下载,集成到合同中
######## 2.具有约束力的公司规则
######### 规则得到每个使用他们的欧盟成员国批准
####### 2020年美国、欧盟隐私盾无效
####### PIPEDA《个人信息保护和电子文件法》
######## 包含了个人可识别的个人信息
######## 排除了不符合个人信息定义的信息
######## 不适用于非营利组织,市政当局、学校和医院
####### 州隐私法
######## 以欧盟GDPR为蓝本
######### 2020年生效
####### 是合同义务,通过接受信用卡的企业与处理业务的银行之间的商业协议条款来强制执行安全性
####### 内部审计
####### 外部审计
####### 监管机构或其代理机构
####### 非正式审计
######## 合规的股东报告
######## PCI DSS非强制性要求的评估报告
####### 1.负责跟踪监管环境
####### 2.监视控制以确保持续合规
####### 3.促进合规审计,并履行组织的合规报告责任
####### 最初的供应商选择和评估流程
####### 持续管理审查
####### 根据组织的关注事项,供应商提供的服务类型调整安全审查范围