域1：安全与风险管理 第2章-人员安全与风险管理

        第二章的内容确实较为丰富，需要细心且耐心地逐步消化和理解。不妨放慢阅读速度，对每个要点都进行深入思考，确保自己真正掌握了其核心意义。这样，虽然可能花费更多时间，但能够更扎实地掌握第二章的知识，为后续的学习打下坚实的基础。

---

第2章、人员安全与风险管理

1、人员是安全的关键元素。

在所有安全解决方案中，人员经常被视为最脆弱的元素。 无论部署了什么物理或逻辑控制措施，人总是可以找到方法来规避、绕过控制措施，或使控制措施失效。不过，当人员受到适当的培训，并被激励去保护自己和组织的安全时，他们也可以成为关键的安全资产

2、岗位描述的重要性。

如果没有岗位描述，就不能对应该招聘哪类人员达成共识。因此，制订岗位描述是定义与人员相关的安全需求并招聘新员工的第一步。

3、 雇用新员工对安全的影响。

为实施恰当的安全计划，必须为岗位描述、岗位分类、 工作任务、岗位职责、防范串通、候选人筛选、背景调查、安全调查、雇佣协议和保密协议等设立标准。确保新员工了解所需的安全标准，从而保护组织的资产。

4、 入职和离职。

入职是将新员工添加到组织的流程，包括组织特性的社会化和引导。 离职是在员工离开组织后，将其身份从 IAM 系统中删除的流程。

5、 最小特权原则。

最小特权原则指出用户应获得完成其工作任务或工作职责所需的最小访问权限。

6、保密协议(NDA) 的必要性。

NDA 用于保护组织内的机密信息，使其不被前雇员披露。当人员签署 NDA 时，他们同意不向组织外部的任何人披露任何被定义为机密的信息。

7、 员工监督。

在员工的整个雇佣过程中，管理人员应定期审查或审核每位员工的岗位描述、工作任务、特权和职责。

8、强制休假的必要性。

为了审计和核实员工的工作任务和特权，可执行一到两周的强制休假。该方法能够轻易发现特权滥用、欺诈或疏忽。

9、 UBA和UEBA。

用户行