亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

在組織中開展常態(tài)化釣魚模擬演練,可以幫助員工了解最新的釣魚攻擊手法，提升員工的反釣魚意識與能力。每年的HVV攻防演練，釣魚攻擊已經(jīng)成為一種最常用也是最有效的手法之一。就像健身房鍛煉一樣，我們訓(xùn)練得越頻繁，肌肉就就越會形成條件反射，被鍛煉過的肌肉哪怕過一段時(shí)間沒練了，一旦重拾運(yùn)動量，也會比從未鍛煉過的肌肉更快地增大和變強(qiáng)。企業(yè)常態(tài)化開展釣魚模擬演練提供了這種肌肉記憶與思維訓(xùn)練，這樣員工就能無意識地、本能地發(fā)現(xiàn)并報(bào)告可疑的釣魚攻擊企圖。

下文羅列了一些涉及釣魚模擬演練和釣魚培訓(xùn)合規(guī)要求的一些國際法律法規(guī)、標(biāo)準(zhǔn)和框架，供業(yè)內(nèi)同行參考。

PCI-DSS：《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》

PCI-DSS (Payment Card Industry Data Security Standard) 即《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》，是由PCI安全標(biāo)準(zhǔn)委員會制定和維護(hù)的一套安全標(biāo)準(zhǔn)，旨在提高信用卡、借記卡和現(xiàn)金卡交易的安全性，保障持卡人的數(shù)據(jù)安全，防止其個(gè)人信息免受泄漏、濫用和欺詐。

PCI DSS 4.0.1引入了新的安全意識培訓(xùn)要求，從2025年3月31日開始，組織必須遵守PCI DSS 4.0中的新要求，新要求更加強(qiáng)調(diào)網(wǎng)絡(luò)釣魚意識培訓(xùn)。隨著網(wǎng)絡(luò)犯罪分子不斷改進(jìn)他們的攻擊策略，PCI DSS現(xiàn)在要求企業(yè)積極主動地對員工進(jìn)行有關(guān)網(wǎng)絡(luò)釣魚和社會工程學(xué)攻擊的安全意識教育。

與網(wǎng)絡(luò)釣魚相關(guān)的主要條款包括：

• 要求5.4.1：組織必須實(shí)施自動化反網(wǎng)絡(luò)釣魚防御，以幫助檢測和防止攻擊。
• 要求12.6.3.1：組織必須加強(qiáng)現(xiàn)有的安全意識培訓(xùn)，納入網(wǎng)絡(luò)釣魚和社會工程學(xué)相關(guān)內(nèi)容。

PCI DSS意識到網(wǎng)絡(luò)釣魚攻擊在支付行業(yè)的流行和復(fù)雜性，這些更新要求強(qiáng)調(diào)了需要改進(jìn)培訓(xùn)方法，以應(yīng)對不斷發(fā)展的網(wǎng)絡(luò)釣魚和社工策略，而常態(tài)化釣魚模擬演練是培訓(xùn)員工識別和避免釣魚攻擊的最有效方法之一。

COBIT:《信息及其相關(guān)技術(shù)控制目標(biāo)框架》

COBIT(Control Objectives for Information and related Technology)由IT治理研究所(ITGI)和信息系統(tǒng)審計(jì)與控制協(xié)會(ISACA)聯(lián)合開發(fā)，該框架適用于組織的整個(gè)IT 結(jié)構(gòu)（而不僅僅是信息安全）。

COBIT框架沒有專門針對安全意識和培訓(xùn)的章節(jié)，但在以下章節(jié)中有具體提及：

• PO6 溝通管理目標(biāo)和方向
• PO7 管理 IT 人力資源
• DS5 確保系統(tǒng)安全
• DS7 教育和培訓(xùn)用戶

例如：PO7-管理IT人力資源-7.4人員培訓(xùn)—為IT員工提供適當(dāng)?shù)娜肼毰嘤?xùn)和持續(xù)培訓(xùn)，以保持其知識、技能、能力、內(nèi)部控制和安全意識達(dá)到實(shí)現(xiàn)組織目標(biāo)所需的水平。COBIT提供了一系列成熟度模型，用于培訓(xùn)的COBIT成熟度模型（DS7 -教育和培訓(xùn)用戶）為其5個(gè)成熟度級別中的每一級都明確了安全意識、培訓(xùn)與教育要求。例如Level 4-可管理和可測量級：所有員工都接受適當(dāng)水平的有關(guān)道德操守和系統(tǒng)安全意識及實(shí)踐的正式培訓(xùn)，以防止影響可用性、機(jī)密性和完整性的故障所造成的傷害。Level 5-優(yōu)化級：為安全培訓(xùn)和教育計(jì)劃提供充足的預(yù)算、資源、設(shè)施和教學(xué)人員。

SOC2：《系統(tǒng)與組織控制2》

SOC2(System & Organization Controls 2)由美國注冊會計(jì)師協(xié)會(AICPA) 制定，歸屬于 AICPA 的信任服務(wù)標(biāo)準(zhǔn)。SOC2 適用于需要存儲、處理或處置客戶數(shù)據(jù)的技術(shù)服務(wù)提供商或 SaaS 公司，可以擴(kuò)展到處理/提供數(shù)據(jù)的其他第三方供應(yīng)商。SOC2 提供了一個(gè)框架，包含的五項(xiàng)信任服務(wù)標(biāo)準(zhǔn)/五個(gè)關(guān)鍵原則包括:安全性、可用性、機(jī)密性、處理完整性和隱私性。SOC2 審計(jì)的目的是向第三方客戶、合作伙伴或投資者證明，被審計(jì)的組織是認(rèn)真對待信息安全和隱私保護(hù)的。

SOC2 框架雖然沒有白紙黑字地直接要求組織開展釣魚模擬演練和釣魚培訓(xùn)，但釣魚模擬演練和釣魚培訓(xùn)是一種基于人的(People-Based)控制措施，符合保護(hù)組織中人的深度防御策略，有助于證明符合SOC 2安全信任服務(wù)標(biāo)準(zhǔn)所需的控制。

CMMC：《網(wǎng)絡(luò)安全成熟度模型認(rèn)證》

CMMC的全稱是網(wǎng)絡(luò)安全成熟度模型認(rèn)證（Cybersecurity Maturity Model Certification），是美國國防部(DoD)為規(guī)范其供應(yīng)鏈網(wǎng)絡(luò)安全防護(hù)能力而推出的一套強(qiáng)制性認(rèn)證體系。該認(rèn)證旨在通過分級評估機(jī)制，確保參與國防合同的企業(yè)、組織或供應(yīng)商滿足不同層級的網(wǎng)絡(luò)安全要求，從而保護(hù)受控未分類信息(CUI)和聯(lián)邦合同信息(FCI)的安全。

CMMC的建立背景源于美國國防供應(yīng)鏈中頻發(fā)的網(wǎng)絡(luò)安全漏洞事件,CMMC通過引入第三方評估機(jī)構(gòu)(C3PAO)的審核機(jī)制，強(qiáng)制要求企業(yè)通過認(rèn)證才能參與國防項(xiàng)目，以此提升整體供應(yīng)鏈的網(wǎng)絡(luò)安全水平。CMMC適用于所有與美國國防部直接或間接合作的企業(yè)，涵蓋軍工制造、信息技術(shù)服務(wù)、科研機(jī)構(gòu)等領(lǐng)域。

CMMC 2.0版本將成熟度分為三個(gè)等級：Level 1（需要滿足15項(xiàng)安全要求）, Level 2（涉及110項(xiàng)安全要求）, Level 3（涉及134項(xiàng)安全要求），CMMC模型由14個(gè)安全域構(gòu)成，其中一項(xiàng)包括意識與培訓(xùn)(AT)。 Level 2級別特別關(guān)注兩類安全意識與培訓(xùn)：基于崗位角色的(Role-Based)風(fēng)險(xiǎn)意識與培訓(xùn)，以及內(nèi)部人員威脅(Insider Threat)意識與培訓(xùn)。Level 2級別重點(diǎn)關(guān)注高級威脅(Advanced Threat)意識與培訓(xùn)，以及實(shí)踐性培訓(xùn)演練（Practical Training Exercises）

CMMC 模型也沒有白紙黑字地指明要求開展釣魚模擬演練和釣魚培訓(xùn)，但組織想要獲得Level 2及Level 3級別認(rèn)證，證明開展釣魚培訓(xùn)和模擬演練是必不可少的一環(huán)。

SIMM 5320-A: 《加州信息管理手冊之釣魚演練標(biāo)準(zhǔn)》

SIMM(State-wide Information Management Manual)是美國加利福尼亞州制定的手冊，包含州政府機(jī)構(gòu)為滿足信息技術(shù)政策所必須使用的標(biāo)準(zhǔn)、指南、表格和模板等。加州政府強(qiáng)調(diào)保護(hù)州政府免受惡意電子郵件攻擊需要同時(shí)使用安全技術(shù)措施和安全意識措施。定期開展釣魚培訓(xùn)和模擬演練是一個(gè)成熟的信息安全管理計(jì)劃的重要組成部分，因此被列入加州政府管理手冊(SAM)5320。該釣魚演練標(biāo)準(zhǔn)(SIMM 5320-A)規(guī)定了一套各州機(jī)構(gòu)/實(shí)體與加州科技部(CDT)信息安全辦公室(OIS)和加州網(wǎng)絡(luò)安全集成中心(Cal-CSIC)協(xié)調(diào)釣魚演練的具體要求。

該標(biāo)準(zhǔn)列出了七種關(guān)鍵網(wǎng)絡(luò)釣魚技術(shù)，包括鏈接操縱、短信釣魚、語音釣魚、網(wǎng)站偽造、惡意彈窗釣魚、視頻電話會議釣魚以及社交媒體釣魚。該標(biāo)準(zhǔn)要求各州機(jī)構(gòu)/實(shí)體開展釣魚演練時(shí)，必須至少提前72小時(shí)（三個(gè)工作日）通知CDT OIS和Cal- CSIC。該標(biāo)準(zhǔn)還對釣魚演練規(guī)劃、釣魚演練同意與事前通知、釣魚演練事件響應(yīng)生命周期等做出了詳細(xì)規(guī)定。

GDPR:《通用數(shù)據(jù)保護(hù)條例》

GDPR(General Data Protection Regulation)由歐盟制定，該法規(guī)于2018年實(shí)施，旨在協(xié)調(diào)整個(gè)歐洲的數(shù)據(jù)隱私法，賦予歐洲公民個(gè)人數(shù)據(jù)的權(quán)力，并重塑組織處理數(shù)據(jù)隱私的方式。它促使企業(yè)重新思考自己的網(wǎng)絡(luò)安全與隱私政策，尤其是在員工安全意識與培訓(xùn)方面。網(wǎng)絡(luò)安全與隱私保護(hù)不僅僅是一個(gè)技術(shù)問題，而是一個(gè)“以人為中心”的問題。許多數(shù)據(jù)泄露是由于“人為錯(cuò)誤”造成的（例如中招網(wǎng)絡(luò)釣魚攻擊、糟糕的密碼習(xí)慣、敏感文檔處理不當(dāng)、數(shù)據(jù)共享方式不當(dāng)?shù)鹊榷伎赡軐?dǎo)致代價(jià)高昂的數(shù)據(jù)泄露），因此，員工在保護(hù)個(gè)人數(shù)據(jù)方面發(fā)揮著關(guān)鍵作用。對于想要符合GDPR合規(guī)要求的組織來說，全面的員工安全意識培訓(xùn)不是可有可無的可選項(xiàng)，而是“必選項(xiàng)”。安全意識培訓(xùn)有助于減少人為錯(cuò)誤的可能性，增強(qiáng)組織應(yīng)對網(wǎng)絡(luò)攻擊的彈性，并培養(yǎng)一種優(yōu)先考慮數(shù)據(jù)保護(hù)的安全文化。

根據(jù)GDPR序言(Recital)第81條，明確提到需要充分的安全培訓(xùn)，強(qiáng)調(diào)了培訓(xùn)員工處理個(gè)人數(shù)據(jù)的重要性。另外GDPR第39條規(guī)定：數(shù)據(jù)保護(hù)官（DPO）的任務(wù)之一是監(jiān)督數(shù)據(jù)控制者和處理者在保護(hù)個(gè)人數(shù)據(jù)方面的合規(guī)情況，定期提供安全培訓(xùn)，提升員工在數(shù)據(jù)處理活動中的安全意識。

GDPR法規(guī)中沒有開展釣魚培訓(xùn)和演練的明示條款，但要建立符合GDPR的網(wǎng)絡(luò)安全框架，安全培訓(xùn)計(jì)劃必須涵蓋一些關(guān)鍵領(lǐng)域，例如：識別網(wǎng)絡(luò)威脅(Recognising Cyber Threats)，網(wǎng)絡(luò)釣魚和社會工程學(xué)攻擊是員工安全意識培訓(xùn)計(jì)劃中必不可少的內(nèi)容。除了正式的安全培訓(xùn)外，釣魚模擬演練有助于測試員工識別釣魚攻擊企圖的能力，并提升員工應(yīng)對真實(shí)釣魚攻擊的警惕性。

NCSC-CAF：《英國國家網(wǎng)絡(luò)安全中心網(wǎng)絡(luò)評估框架》

英國國家網(wǎng)絡(luò)安全中心(NCSC)的網(wǎng)絡(luò)評估框架(CAF)提供了一套系統(tǒng)、全面的方法來評估組織的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理與網(wǎng)絡(luò)彈性程度。該框架還為組織如何實(shí)施安全意識與培訓(xùn)計(jì)劃提供了指導(dǎo)。基于CAF框架的評估既可以由責(zé)任組織本身（自我評估）進(jìn)行，也可以由獨(dú)立的外部實(shí)體（可能是監(jiān)管機(jī)構(gòu)）進(jìn)行。

CAF框架提出了評估網(wǎng)絡(luò)安全與彈性的四個(gè)頂層目標(biāo)和14項(xiàng)原則。CAF框架-目標(biāo)B（防止網(wǎng)絡(luò)攻擊）-原則B6-員工安全意識與培訓(xùn)，要求員工應(yīng)具備適當(dāng)?shù)陌踩庾R、知識和技能，以有效履行與網(wǎng)絡(luò)和信息系統(tǒng)安全有關(guān)的組織職責(zé)。

原則B6.a為“網(wǎng)絡(luò)安全文化”，組織應(yīng)塑造并維護(hù)積極的網(wǎng)絡(luò)安全文化。網(wǎng)絡(luò)安全文化評估結(jié)論分為三種類型：未實(shí)現(xiàn)(Not Achieved)、部分實(shí)現(xiàn)(Partially Achieved)和已實(shí)現(xiàn)(Achieved)。原則B6.b為“網(wǎng)絡(luò)安全培訓(xùn)”，評估結(jié)論也分為三個(gè)層次：未實(shí)現(xiàn)(Not Achieved)、部分實(shí)現(xiàn)(Partially Achieved)和已實(shí)現(xiàn)(Achieved)。雖然CAF框架沒有釣魚演練和釣魚培訓(xùn)的字眼，但“部分實(shí)現(xiàn)”和“已實(shí)現(xiàn)”的組織運(yùn)用了一系列教學(xué)技術(shù)實(shí)施安全意識培訓(xùn)，模擬演練是構(gòu)架起理論知識與實(shí)踐操作相結(jié)合的一座橋梁，可以讓員工在模擬環(huán)境中應(yīng)用所學(xué)知識。

DORA:《數(shù)字運(yùn)營彈性法案》

DORA(Digital Operational Resilience Act)是由歐盟針對金融機(jī)構(gòu)的新網(wǎng)絡(luò)安全規(guī)則，該法案已于2025年1月17日正式生效，該法案旨在加強(qiáng)歐盟境內(nèi)運(yùn)營的任何金融服務(wù)公司，無論規(guī)模大小，包括銀行、保險(xiǎn)公司、信貸機(jī)構(gòu)、投資公司、電子貨幣機(jī)構(gòu)、加密資產(chǎn)公司、信用評級機(jī)構(gòu)等金融實(shí)體的IT安全。

DORA法案第二章第13條~學(xué)習(xí)與持續(xù)發(fā)展（Learning and Evolving）中的第6點(diǎn)要求金融實(shí)體應(yīng)將信息通信技術(shù)安全意識和數(shù)字運(yùn)營彈性培訓(xùn)作為其員工安全培訓(xùn)計(jì)劃的必修模塊，其中包括網(wǎng)絡(luò)釣魚意識。這些計(jì)劃和培訓(xùn)應(yīng)適用于所有雇員和高級管理人員，其復(fù)雜程度應(yīng)與其職責(zé)范圍相稱。在適當(dāng)?shù)那闆r下，金融實(shí)體還應(yīng)根據(jù)第30(2)條第(i)點(diǎn)，將ICT第三方服務(wù)提供商納入其相關(guān)安全培訓(xùn)計(jì)劃。

該法案還要求金融機(jī)構(gòu)不斷測試其抵御網(wǎng)絡(luò)攻擊和運(yùn)營中斷的彈性能力。包括：執(zhí)行定期漏洞掃描和滲透測試，模擬網(wǎng)絡(luò)攻擊(包括釣魚演練)，以評估安全響應(yīng)和恢復(fù)能力，測試備份系統(tǒng)和恢復(fù)過程等。

另外值得一提的是NIS2（網(wǎng)絡(luò)和信息安全指令）-該歐盟指令于2024年10月17日生效，要求基本和數(shù)字服務(wù)提供商對員工進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)培訓(xùn)，以保護(hù)關(guān)鍵基礎(chǔ)設(shè)施。每條法規(guī)/法案都有獨(dú)特的要求，但它們都有一個(gè)共識：未經(jīng)充分培訓(xùn)和演練的員工是一種安全風(fēng)險(xiǎn)。DORA側(cè)重于針對ICT中斷的主動恢復(fù)能力，而NIS2則加強(qiáng)關(guān)鍵服務(wù)保護(hù)，兩者都符合GDPR等更廣泛的網(wǎng)絡(luò)安全法規(guī)。

聲明：本文來自超安全，稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請聯(lián)系rhliu@skdlabs.com，我們將及時(shí)按原作者或權(quán)利人的意愿予以更正。