分類
Project Management

好好說話》主管兩難:教多了員工不思考,教太少卻怕出包⋯怎麼辦

摘要

1.教新人是管理基本功,但對忙碌的主管來說,這項差事卻可能費時費力,成效不彰。

2.教導例行性工作時,要先確認對方的程度,由主管演示一遍,再請對方操作一遍,確認要注意之處。

3.本文整理了例行性工作教學的理想步驟,以及教學時須注意的2個觀念。

王主任最近的心情不太美麗。公司新進幾位員工,每一個都非常難帶。

像是昨天,王主任拿了一本手冊要新人A影印:「20頁到25頁,你去幫我印18份。」印完一看,頁面沒有置中,紙張一對摺,左半頁的字就被切掉。「你要細心一點啊!這是給客戶的資料,很多人會把資料對摺再看,印的時候手冊裝訂處要對準中央,懂嗎?印了18份都不能用,快去重印!」

A一臉委屈地走了,過了5分鐘,他回來,王主任又一頓罵:「中間都變黑,字看不清楚啊!還有些字都扭曲變形了,你印的時候,要把書完全攤開用力壓住啊!」

好不容易印好18份影本,會議開始後⋯⋯王主任又跑出會議室:「喂,多來了兩個客戶,你再去印兩份來。啊?你不知道原稿在哪?這不是你剛才印的嗎?你怎麼都不會用點心?」

經過一陣折騰,王主任決定改變作法。今天,同份會議資料,他請新人B去印。這次,他給了詳盡指示,他把B帶到影印機旁,一邊講解、一邊把影印機的按鍵操作全部一次,印出一份完美影本。

他拍拍B的肩膀:「好了,你接著做吧!」結果B僵在原地,一副不知所措的樣子。

「我剛不是教過一次了嗎?」王主任很納悶。

主管們,別讓你的員工「思考外包」

王主任做錯了什麼?錯在他沒有先釐清兩位新人對影印工作的上手程度。王主任幾乎天天影印,但新進年輕員工,可能平時都用電腦,用筆寫字的機會都少,何況使用影印機。

教導例行性工作時,建議先問下屬:「我想請你去做這件事,你會嗎?」這句話不只能夠釐清對方對工作的熟悉度,也能引導對方提問,避免下屬陷入明明不懂、卻不敢問的情況。

人類有個不可思議的習性,當身邊有人仔細教學時,就會產生「反正我不想,他也會幫我想」的偷懶想法,變得不願思考。凡事幫下屬打點妥貼的主管,因此可能帶出「思考外包」的下屬。

理想的教學步驟,是在確認對方程度後,先示範操作一次,接著讓對方做一次,中途不插嘴、不插手,看到有錯也要忍住,留時間給對方檢查錯誤。等到對方說「我覺得應該可以了」,再一起檢查,逐一告知要注意的地方。確認對方正確操作一次後,先行離開,告訴對方「做完再叫我」,讓他獨立完成工作。

當主管不在場了,下屬遇到困難,就不會直接開口問,反而會回想主管示範的步驟、自己剛才操作的過程。記憶更深刻,重複幾次後,自然會做得更有效率。

你可以這樣做

1.別急著給答案

承上,凡事幫忙想好答案的主管,只會帶出被動、不愛動腦的下屬。作為主管,給出明確指示確實重要,但也要留下一些素材給下屬思考。

以王主任來說,若新人來問「要印幾份?」他可以回:「預計18人參加,不過有時也會有人不請自來,你覺得怎麼辦才好?」

新人可能會答:「不然我多印3份?」

這時可以繼續引導:「是不錯,但萬一用不到那3份,會很浪費紙。」

盡量提供思考線索,新人可能就會想到「不然我先帶著原稿,開會前再確認一次人數,份數不夠再補印。」

2.忍住「自己來比較快」的念頭

獨當一面的下屬,可以讓主管更輕鬆,但培育要花時間。自身能力強的主管,尤其容易因為下屬動作太慢而火大,因此萌生「與其交給他,不如自己做比較快」的念頭。

但,如果王主任很急躁,往後遇到影印問題,都決定自己處理。那他的行事曆,勢必排滿各種緊急卻不重要的任務。

主管之所以為主管,是因為擔負著管理的工作:規劃、組織、領導、控制。處理文書、操作機具、外部聯繫,這些都不是管理的工作。身為主管,要有管理自覺,耐住性子、放手練兵,才能帶出獨當一面的下屬。

*本文經整理參考自《給主管的教科書》(商周出版)

資料來源:https://www.businessweekly.com.tw/management/blog/3008084?utm_source=facebook.com&utm_medium=social&utm_content=bw&utm_campaign=content&fbclid=IwAR2n2Qb_6oDdKwIgLcJvYp9CiPxWpdAO9pBv2TmxHoYlmRSZuyjH3I1MJLE

分類
CISA

SOAP(Simple Object Access Protocol)

OAP(原為Simple Object Access Protocol首字母縮寫,即簡單物件存取協定)是交換資料的一種協定規範,使用在電腦網路Web服務(web service)中,交換帶結構的資訊。SOAP為了簡化網頁伺服器(Web Server)從XML資料庫中提取資料時,節省去格式化頁面時間,以及不同應用程式之間按照HTTP通信協定,遵從XML格式執行資料互換,使其抽象於語言實現、平台和硬體。此標準由IBMMicrosoftUserLandDevelopMentor在1998年共同提出,並得到IBM、蓮花(Lotus)、康柏(Compaq)等公司的支援,於2000年提交給全球資訊網聯盟World Wide Web Consortium,W3C),目前SOAP 1.1版是業界共同的標準,屬於第二代的XML協定(第一代具主要代表性的技術為XML-RPC以及WDDX)。

資料來源:https://zh.wikipedia.org/wiki/%E7%AE%80%E5%8D%95%E5%AF%B9%E8%B1%A1%E8%AE%BF%E9%97%AE%E5%8D%8F%E8%AE%AE

分類
CISSP

微服務-API 閘道器

https://ithelp.ithome.com.tw/upload/images/20211028/20132160vo7Cp5OeRE.png
-API 閘道器和服務網格(來源:Liran Katz)
實施 API 閘道器以促進跨境通信;他們控制著南北和東西向的交通。外部或邊緣 API 閘道器將來自客戶端的入站請求路由到適當的服務;內部 API 閘道器促進了各種服務網格範圍之間的通信。服務網格促進特定範圍內的服務到服務通信。
API 閘道器架構可以是整體式的,也可以是分佈式的。
在整體式API 閘道器架構中,通常只有一個 API 閘道器部署在企業網路的邊緣(例如,非軍事區 (DMZ)),並在企業級為 API 提供所有服務。
在分佈式API閘道器架構中,有多個微閘道器實例,部署在更靠近微服務API的地方。微閘道器通常是低的覆蓋區,其可以被用來定義和執行自定義策略,因此適合用於基於微服務的應用程序,必須通過特定的服務的安全策略來保護可腳本API閘道器。
微閘道器通常作為使用 Node.js 等開發平台的獨立容器實現。它不同於服務網格架構的 sidecar 代理,後者是在 API 端點本身實現的。
來源:來源:NIST SP 800-204

服務網格(Service Mesh)
服務網格是一個專用的基礎設施層,它通過服務發現、路由和內部負載平衡、流量配置、加密、身份驗證和授權、指標和監控來促進服務到服務的通信。
服務網格為微服務應用程序中的每個服務創建一個小型代理服務器實例。這種專門的代理汽車有時在服務網格術語中被稱為“ sidecar 代理”。Sidecar 代理形成了數據平面,而執行安全性(訪問控制、通信相關)所需的運行時操作是通過從控制平面向 sidecar 代理注入策略(例如訪問控制策略)來啟用的。這也提供了在不修改微服務代碼的情況下動態更改策略的靈活性。
來源:NIST SP 800-204

API閘道器(API Gateway)
API 閘道器的主要功能是始終將入站請求路由到正確的下游服務,可選擇執行協議轉換 (即 Web 協議之間的轉換,例如 HTTP 和 WebSocket,以及內部使用的 Web 不友好協議,例如作為 AMQP 和 Thrift 二進制 RPC)並且有時組合 requests。在極少數情況下,它們被用作前端后端 (BFF) 的一部分,從而支持具有不同外形因素(例如,瀏覽器、移動設備)的客戶端。
來自客戶端的所有請求首先通過 API 閘道器,然後將請求路由到適當的微服務。API 閘道器通常會通過調用多個微服務並聚合結果來處理請求。
由於API閘道器是微服務的入口點,所以它應該配備必要的基礎服務(除了其主要的請求整形服務),如服務發現、認證和存取控制、負載平衡、緩存、提供自定義API對於每種類型的客戶端,應用感知健康檢查、服務監控、攻擊檢測、攻擊響應、安全日誌記錄和監控以及斷路器。
來源:NIST SP 800-204

參考
NIST SP 800-204
網路層複習
服務網格與 API 閘道器:有什麼區別?
API 閘道器和服務網格的區別
API 閘道器與服務網格
API 閘道器和服務網格:打開應用現代化的大門

資料來源: Wentz Wu QOTD-20210823

分類
CISSP

ATO Attack

什麼是 ATO 攻擊?

通過 SolarWinds Passportal 2019 年 12 月 30 日

帳戶接管 (ATO) 攻擊呈上升趨勢,使個人和企業面臨財務損失和聲譽受損的風險。這些攻擊涉及登錄憑據的洩露——通常針對在線帳戶或云平台。例如,在個人層面,ATO 對個人賬戶的攻擊可能會導致最終用戶意識到黑客入侵了他們的銀行或亞馬遜賬戶。然而,商業環境中的 ATO 攻擊在範圍上可能更具破壞性。

鑑於 ATO 攻擊可能造成嚴重後果,託管服務提供商 (MSP) 應了解密碼安全與 ATO 攻擊之間的關係,以幫助其客戶避免成為欺詐活動的受害者。

什麼是 ATO 攻擊?

帳戶接管攻擊本質上是身份盜竊的一種形式。身份盜竊涉及竊取和使用個人身份識別信息 (PII),例如駕照號碼或社會安全號碼,以冒充他人。ATO 攻擊是身份盜竊的一種形式,黑客使用竊取的 PII 訪問在線帳戶,例如電子商務、銀行或電子郵件帳戶。

這種類型的帳戶接管很難被發現,並且通常會導致被盜帳戶上的欺詐交易。ATO 攻擊可能會給敏感信息被盜的人帶來費用或其他損失。黑客可能會使用被盜用的帳戶來轉移資金、進行購買或將數據用於其他目的。如果這種情況發生在業務環境中,則會影響生產力和公司安全。ATO 攻擊很容易損害公司聲譽——尤其是在違規行為很普遍的情況下。

ATO 攻擊的步驟是什麼?

ATO 攻擊通常包括以下步驟:

  • 數據洩露:數據洩露可能由於系統、網絡或網站中的漏洞而發生。在違規期間,黑客可能會訪問用戶名、電子郵件、密碼或帳戶安全問題和答案等信息。
  • 憑據破解:憑據破解或填充是犯罪者試圖發現和使用完整登錄憑據的過程,通常是通過自動化機器人。黑客可能會猜測密碼,使用單詞列表方法,或者只是通過機器人使用蠻力。這些操作可能會導致無效登錄嘗試突然增加——這是黑客試圖訪問帳戶的潛在跡象。
  • 金融交易:竊取用戶名和密碼的黑客實際上可能不會將它們用於 ATO 攻擊——他們可能會在暗網上出售這些敏感數據,供更專業的 ATO 黑客購買和使用。
  • 欺詐性帳戶使用:當黑客確實決定對帳戶執行欺詐性操作時,這些行為可能有多種形式。例如,不良行為者可能會竊取更多敏感數據,例如地址。他們可能會直接竊取資金。對於電子商務網站,他們可能會利用用戶的信用或獎勵。如果他們訪問您的電子郵件,他們可能會使用您的帳戶發送垃圾郵件或網絡釣魚電子郵件。在許多情況下,直到事後很久才發現損壞。

我的密碼是否安全免受 ATO 攻擊?

許多身份盜竊的受害者甚至可能不知道他們的數據已被盜。您的用戶名、電子郵件或密碼可能已經成為數據洩露的一部分。雖然有一些簡單的工具可以幫助您檢查您的信息是否存在於暗網上,但針對 ATO 攻擊的最佳防禦是智能預防。

為防止 ATO 攻擊,最終用戶和公司等應考慮一些安全和密碼最佳實踐。這些預防措施有助於確保盡可能保護客戶信息。

設置密碼要求: 您不一定需要使用強密碼生成器,但公司應該要求強密碼,如美國國家標準與技術研究院 (NIST)的最新指南所述。這些密碼要求包括: 

  • 至少需要八個字符,但不一定需要任何特殊字符。
  • 限制序列或重複。
  • 避免使用特定於上下文的詞和常用密碼。
  • 請記住——不一定需要混合使用大小寫字母和特殊字符。
  • 重要的是,需要根據已洩露密碼列表篩選新密碼。

考慮強密碼示例: 對於最終用戶,了解說明上述某些原則的強密碼想法可能會有所幫助。例如,避免僅使用英語單詞或單詞模式,例如“ILoveCats”。機器人可以非常快速地測試“字典”詞——尤其是常用詞,比如“密碼”。但是,包含數字或添加額外的單詞以獲得更高的字符數會很有用。 

應用更新:未能更新和修補軟件或網站可能導致黑客急於利用的漏洞。確保也更新防病毒軟件。

使用多因素解決方案:雙因素或多因素身份驗證解決方案(可能需要電子郵件或文本確認以確認用戶身份)比傳統登錄更安全。 

設置安全規則:某些安全規則和措施可以幫助防範黑客。嘗試只允許固定次數的登錄嘗試,永久阻止已知為惡意的 IP 地址,並確保充分的防火牆保護。像 CAPTCHA 這樣的工具可以幫助防止機器人自動登錄。

實施密碼管理工具: 使用密碼管理工具是確保高度安全的極好方法。密碼工具可以支持身份驗證功能、快速密碼重置功能、審計和憑據注入(在不洩露明文的情況下應用憑據的過程)。

實施密碼保護

如果您是希望為客戶提供密碼保護的 MSP,請從 SolarWinds ® Passportal開始。Passportal 專為希望為客戶提供符合最佳實踐和合規性要求的密碼管理的MSP 構建

使用 Passportal,MSP 可以輕鬆設置密碼要求,並確保客戶能夠在發生 ATO 攻擊時快速更改密碼。該工具還提供了一個自動強密碼生成器,以幫助防止憑據黑客攻擊並防止 ATO 攻擊。如果您正在尋找一種方法來保護客戶免受所有太常見的帳戶接管,請從SolarWinds Passportal的演示開始。

資料來源:https://www.passportalmsp.com/blog/what-is-an-ato-attack

分類
CISSP

微服務(microservices)

https://ithelp.ithome.com.tw/upload/images/20211026/20132160hOiqBvwcvp.png
-微服務架構
微服務是一種分佈式架構風格。它具有多種優點,例如:
. 可以提高可擴展性。
. 開發團隊可以獨立工作並變得更加敏捷。
. 服務的獨立性提高了代碼的可重用性。
. 系統的整體架構可以與組織結構保持一致。
但是,由於分佈式架構的性質,微服務的可用性、可管理性和監控可能需要更多的開銷。可擴展性和可用性的概念經常被混淆。可伸縮性是關於服務可以服務多少客戶端,而可用性是客戶端可以可靠和及時地訪問服務的程度。
服務或系統可以採用不同的可擴展性策略,例如,縱向擴展或橫向擴展。擴展策略可能不會提高可用性。橫向擴展策略在不同程度上有助於提高可用性,例如,沒有心跳檢查的基於 DNS 的循環負載均衡器呈現的可用性程度低於檢查服務健康狀態的基於集群的負載均衡器。
以下是 NIST SP 800-204 的摘錄:

微服務的優勢
. 對於大型應用程序,將應用程序拆分為鬆散耦合的組件可以實現分配給每個組件的開發團隊之間的獨立性。然後,每個團隊都可以通過選擇自己的開發平台、工具、語言、中間件和硬件來優化,基於它們對正在開發的組件的適用性。
. 每個組件都可以獨立縮放。資源的有針對性的分配導致資源的最大利用。
. 如果組件具有 HTTP RESTful 接口,只要接口保持不變,就可以在不中斷應用程序整體功能的情況下更改實現。
. 每個組件中涉及的代碼庫相對較小,使開發團隊能夠更快地生成更新,並為應用程序提供響應業務流程或市場條件變化的敏捷性。
. 組件之間的鬆散耦合能夠抑制微服務的中斷,從而將影響限制在該服務上,而不會對其他組件或應用程序的其他部分產生多米諾骨牌效應。
. 當組件使用異步事件處理機制鏈接在一起時,組件中斷的影響是暫時的,因為所需的功能將在組件再次開始運行時自動執行,從而保持業務流程的整體完整性。
. 通過將服務定義與業務能力對齊(或通過基於業務流程或能力的整體應用程序功能的分解邏輯),基於微服務的系統的整體架構與組織結構保持一致。當與組織單位相關的業務流程發生變化並因此需要修改和部署相關服務時,這促進了敏捷響應。
. 微服務的獨立功能特性促進了跨應用程序的代碼更好的可重用性。
. 必須監控多個組件(微服務)而不是單個應用程序。需要一個中央控制台來獲取每個組件的狀態和應用程序的整體狀態。因此,必須創建具有分佈式監控和集中查看功能的基礎設施。
. 多個組件的存在會造成可用性問題,因為任何組件都可能隨時停止運行。
. 一個組件可能必須為某些客戶端調用另一個組件的最新版本,並為另一組客戶端調用同一組件的先前版本(即版本管理)。
. 運行集成測試更加困難,因為需要一個測試環境,其中所有組件都必須工作並相互通信。
. 當基於微服務的應用程序內的交互設計為 API 調用時,必須實現安全 API 管理所需的所有必要流程。
. 微服務架構可以分解縱深防禦的做法。許多架構都有一個運行在 DMZ 中的 Web 服務器,預計會受到威脅,然後是 Web 服務器與之通信的後端服務,最後是後端服務與之通信的數據庫。後端服務可以充當暴露的 Web 服務器和數據庫中的敏感數據之間更堅固的層。微服務架構往往會破壞這一點,現在 Web 服務器和後端服務被分解為微服務,可能比以前的模型暴露得更多。這會導致調用者和敏感數據之間的保護層更少。因此,安全地設計和實現微服務本身以及服務網格或API 網關部署模型。

參考
NIST SP 800-204

資料來源: Wentz Wu QOTD-20210822

分類
CISSP

面向服務的架構 (SOA)、Web 服務和微服務

https://ithelp.ithome.com.tw/upload/images/20211025/20132160gPcsiV1rta.jpg
-面向服務的架構 (SOA)
面向服務的架構 (SOA) 可以通過 Web 服務或微服務來實現。Web 服務方法導致 SOA,而微服務架構是 SOA 的擴展。基於 SOA 的企業應用程序集成 (EAI) 通常為企業應用程序實現共享的企業服務總線 (ESB) 以交換消息。微服務託管在一個或多個容器中,這些容器在 Google Kubernetes (K8S)、Docker Swarm 或 Apache Mesos 的編排下協作。

面向服務的架構 (SOA)
服務是一個自包含的松耦合邏輯。在 SOA 中,傳統的單體應用程序被劃分為協作以實現共同目標的服務。服務提供商向私人或公共服務註冊機構註冊服務;服務消費者根據註冊中心查找或發現感興趣的服務以消費(綁定和調用)這些服務。
-SOA 的查找-綁定-執行範式(來源:Qusay H. Mahmoud)
“幾年前,IBM、微軟和 SAP 曾經託管公共 UDDI 服務器,但現在已經停產了。”
https://ithelp.ithome.com.tw/upload/images/20211025/20132160zvejsQ5fti.jpg
~ user159088 on stackoverflow
https://ithelp.ithome.com.tw/upload/images/20211025/2013216028cuEcZdQk.png
-SOA 元模型,The Linthicum Group,2007

微服務
微服務:微服務是一個基本元素,它源於將應用程序的組件架構分解為鬆散耦合的模式,這些模式由自包含的服務組成,這些服務使用標准通信協議和一組定義良好的 API 相互通信,獨立於任何供應商、產品或技術。
微服務是圍繞能力構建的,而不是服務,構建在 SOA 之上,並使用敏捷技術實現。微服務通常部署在應用程序容器內。
資料來源:NIST SP 800-180(草案)

容器編排
https://ithelp.ithome.com.tw/upload/images/20211025/20132160pFFykVlUwI.png
-Mesos、Swarm 和 Kubernetes(來源:Nane Kratzke
https://ithelp.ithome.com.tw/upload/images/20211025/2013216084Za3rKWKO.png
-Kubernetes 架構(來源:Dorothy Norris)

參考
SOA宣言
面向服務的架構
是否有任何公共 UDDI 註冊中心可用?
UDDI 註冊中心:可由啟用總線的 Web 服務引用的 Web 服務目錄
模式:微服務架構
2019年容器編排
使用 Kubernetes、Docker Swarm 和 Mesos 進行 Neo4j 容器編排
Kubernetes vs. Mesos——架構師的視角
Apache Mesos PNG 4
SOA 與微服務:有什麼區別?
企業服務總線
企業應用集成
面向服務的架構 (SOA) 和 Web 服務:企業應用程序集成 (EAI) 之路
面向服務架構的 Web 服務方法

資料來源: Wentz Wu網站

分類
CISSP

NIST 通用風險模型-威脅來源

https://ithelp.ithome.com.tw/upload/images/20211019/20132160IrgoB7nC2L.jpg
-NIST 通用風險模型 (NIST SP 800-30 R1)
NIST 通用風險模型描述了威脅源如何發起利用漏洞導致不利影響的威脅事件(例如,TTP、策略、技術和程序)。垃圾郵件發送者、恐怖分子和機器人網絡運營商是威脅來源,而網絡釣魚則是威脅事件。
風險與威脅
https://ithelp.ithome.com.tw/upload/images/20211019/20132160b5MvBtKgcI.jpg
-什麼是風險?

資料來源: Wentz Wu QOTD-20210818

分類
CISSP

驗證及確認

驗證及確認(Verification and validation)兩者是獨立的過程,若兩者一起使用,可以用來檢查產品、服務或系統滿足需求規格並且符合其原來預期的目的[1]。這些是品質管理系統(例如ISO 9000)的關鍵組件。有時會在「驗證及確認」前面加上「獨立」(independent)一詞,表示驗證及確認是由公正的第三方執行的。「獨立驗證及確認」可以簡稱為「IV&V」。

在實務上,在質量管理方面,驗證及確認的定義可以不一致。有時甚至可以交換使用[2][3][4]

電氣電子工程師學會(IEEE)採用的標準PMBOK指南中在第 4 版中的定義如下 [5]

  • 「確認(Validation):保證產品、服務或系統滿足客戶和其他已識別的利益相關者的需求。它通常涉及外部客戶的接受度和適應性。與驗證形成對比。」
  • 「驗證(Verification):評估產品、服務或系統是否符合規定、需求、規格或其他附加條件。多半是組織內部的流程。與確認形成對比。」

資料來源:https://zh.wikipedia.org/wiki/%E9%A9%97%E8%AD%89%E5%8F%8A%E7%A2%BA%E8%AA%8D

分類
CISSP

通用漏洞評分系統 (CVSS)

https://ithelp.ithome.com.tw/upload/images/20211013/20132160ufJCtaw4OH.jpg
-CVSS 指標組(來源:FIRST
通用漏洞評分系統 (CVSS) 標准定義了三個指標組:基本、時間和環境指標組。基本指標組是強制性的,而時間和環境指標組是可選的。
基本指標組有兩個指標集,可利用性指標和影響指標,用於評估風險。風險包括兩個關鍵因素:不確定性(可能性或可能性)和影響(影響)。針對風險可能性或可能性的漏洞可利用性標準。如果一個風險的可能性很大,但對安全目標(機密性、完整性和可用性)沒有影響,那麼它就無關緊要或不是風險。
https://ithelp.ithome.com.tw/upload/images/20211013/201321609fehbo5rCq.jpg
-CVSS 度量和方程(來源:FIRST

參考
通用漏洞評分系統 v3.1:規範文檔
常見漏洞評分系統計算器

資料來源: Wentz Wu QOTD-20210817

分類
CISSP

cissp重點_20211008

– 資安的定義: 手段、標的與目標

– 三階目標與風險管理: 1-2-3-4

– 安全控制措施的種類

– 戰略管理: 組成、形成與執行(政策框架與專案管理

– 將安全融入組織的各個業務流程: 人事與採購 (甲、乙、丙方及保證制度)

– 業務持續管理: 七步驟

– 資產安全: 盤點、分類、保護

– NIST RMF

– 資料治理: 企業自有資料與個資、智財、資料生命週期與狀態、資料清洗與殘留

– 存取控制概念: 主體、客體、安全核心及3A

– 隨意型存取控制(DAC)

– 安全評鑑、稽核與變更管理概念

– 日常維運及持續改善概念

– 工程的定義

– 意識、教育與訓練