網(wǎng)絡安全意識標準與評價

1、網(wǎng)絡安全意識標準與評價技術創(chuàng)新，變革未來網(wǎng)絡安全意識的定義國外網(wǎng)絡安全意識提升方法國外網(wǎng)絡安全意識相關標準網(wǎng)絡安全意識評價方法網(wǎng)絡安全意識評價指標體系目錄AwarenessAwareness Training: Creates the sensitivity to the threats and vulnerabilities of computer systems and the recognition of the need to protect data, information, and the means of processingthem.NISTSP500-172最早的定義（19

2、89）網(wǎng)絡安全意識：用戶識別或避免可能危害網(wǎng)絡安全的行為的能力和警覺NIST SP 800-16（the ability of the user to recognize or avoid behaviors that would compromise cybersecurity）【 Wikipedia 】 Security awareness is the knowledge and attitude members of an organization possess regarding the protection of the physical, and especially info

3、rmational, assets of that organization.(安全意識是 組織成員在保護組織的物理資產(chǎn)（尤其是信息資產(chǎn)）方面所擁有的知識和態(tài)度。)【 ibm 】 Security awareness is knowledge combined with attitudes and behaviors that serve to protect our information assets. Being cybersecurity aware means you understand what the threats are and you take the right ste

4、ps to prevent them.(安全意識是指用于保護信息資產(chǎn)的知識、態(tài)度和行為相結合。好的網(wǎng)絡安全意識 意味著您了解威脅是什么，并采取正確的步驟加以防范。)定義網(wǎng)絡安全意識的定義國外網(wǎng)絡安全意識提升方法國外網(wǎng)絡安全意識相關標準網(wǎng)絡安全意識評價方法網(wǎng)絡安全意識評價指標體系目錄對人的漏洞保持警覺：持續(xù)創(chuàng)新宣傳對人的漏洞打補丁：培訓教育當有一個失敗的模擬后(員工點擊了模擬釣魚郵件)，重復釣魚攻擊的易感率就會降低大概20%對人的漏洞做滲透測試：釣魚模擬【Phishme 年度報告】對發(fā)送超過4000萬模擬釣魚郵件，覆蓋全世界的23個行業(yè)，得出了以下結論：5. 當簡單的報告工具被部署到公司80%以

5、上的人口時，用戶發(fā)現(xiàn)惡意郵件，并上報的概率就大于 了易感率，即便是第一年。6. 積極報告可疑的釣魚事件，可以將探測到入侵的時間降低到平均的1.2小時， 目前行業(yè)的平均水平是146天。利用人的漏洞做入侵檢測：釣魚上報網(wǎng)絡安全意識的定義國外網(wǎng)絡安全意識提升方法國外網(wǎng)絡安全意識相關標準網(wǎng)絡安全意識評價方法網(wǎng)絡安全意識評價指標體系目錄NIST SP 800-16A Role-Based Model for Federal Information Technology/ Cybersecurity Training 規(guī)范了信息技 術安全意識和培訓項目的設計、開發(fā)、應用和評價要求。NIST SP 800-

6、50Building an Information Technology Security Awareness and Training Program聯(lián)邦組織應遵循 的網(wǎng)絡安全意識和培訓的方法。NIST SP 800-66R1An Introductory Resource Guide for Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security RulePCI DSSBest Practices for Implementing a Security Awareness P

7、rogramNIST SP 800-53Security and Privacy Controls for Federal Information Systems and Organizations提供了FIPS 200 中確定的網(wǎng)絡安全意識和培訓領域基線和控制級別。NIST SP 800-181National Initiative for Cybersecurity Education (NICE) Cybersecurity Workforce Framework TEA（培訓、教育和意識）領域的任務、知識、技能和能力。NIST SP 800-100Information Securit

8、y Handbook: A Guide for Managers網(wǎng)絡安全意識和培訓國外網(wǎng)絡安全意識標準14A Role-Based Model for Federal Information Technology/ Cybersecurity TrainingNISTSP800-16基本知識先進的網(wǎng)絡 技術和協(xié)議體系結構法規(guī)計算機網(wǎng)絡 防御配置管理密碼學和加 密數(shù)據(jù)安全數(shù)據(jù)庫數(shù)字取證新興技術企業(yè)連續(xù)性身份管理/ 隱私事件管理工業(yè)控制系 統(tǒng)信息保證WEB安全信息系統(tǒng)IT系統(tǒng)和操IT安全意識 作和培訓管理建模與仿真網(wǎng)絡和電信 安全人員安全物理和環(huán)境 安全采購安全風險管 理軟件系統(tǒng)和應用 安全29類

9、557個知識技能項NISTSP800-16R3知識技能14Building an Information Technology Security Awareness and Training ProgramNISTSP800-50An Introductory Resource Guide for Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security RuleNISTSP800-66R1Best Practices for Implementing a Security Awa

10、reness ProgramPCIDSSSecurity and Privacy Controls for Information Systems and OrganizationsNISTSP800-53R5威脅模擬、社工、APT、可疑行為網(wǎng)絡安全意識的定義國外網(wǎng)絡安全意識提升方法國外網(wǎng)絡安全意識相關標準網(wǎng)絡安全意識評價方法網(wǎng)絡安全意識評價指標體系目錄風險評估 事件處置 安全演練風險評估 技術保障 管理保障 資源保障風險評估 事件處置 安全演練數(shù)據(jù)安全 載體安全 邊界安全 環(huán)境安全風險意識 合規(guī)意識 響應意識基于知識考試的評價方法16基于培訓活動的評價方法 Determining employee awareness using the Human Aspects of Information Security Questionnaire (HAIS-Q) 基于問卷調(diào)查的評價方法郵件釣魚短信釣魚二維碼釣魚WIFI釣魚USB外設釣魚基于威脅模擬的評價方法網(wǎng)絡安全意識的定義國外網(wǎng)絡安全意識提升方法國外網(wǎng)絡安全意識相關標準網(wǎng)絡安全意識評價方法網(wǎng)絡安全意識評價指標體系目錄群體指標體系個體指標知識網(wǎng)絡及應用 知識網(wǎng)