RAND：超越技术层面：结合人为因素评估网络风险（2025） 54页

**《超越技术细节：通过纳入人为因素评估网络风险》研究报告总结** 该报告指出，企业评估网络风险多依赖技术因素，常忽视人为因素，而多数网络事件由人为失误导致，因此有必要用现代心理测量技术构建整体方法评估网络风险。 1. **研究方法**：通过文献综述确定与网络安全事件相关的人为因素，依据心理测量理论中效度和信度标准，调查49位网络安全专家和研究人员对22个因素的看法，评估因素的适用性。 2. **关键发现**：个体因素中仅知识、技能和能力（KSAs）适合评估人为网络风险；多数工作场所因素，如工作量、工作场所干扰、组织政策程序等适合，但存在隐私问题；所有外部威胁因素，包括全球威胁情报、特权信息访问、鱼叉式网络钓鱼攻击和职位角色等，均适合评估人为网络风险。 3. **建议**：提出评估人为网络风险的通用方法，强调部分因素更有用，并讨论结合现代心理测量学与回归、机器学习和人工智能等方法评估风险。组织、网络安全服务提供商等可利用研究结果识别风险因素、评估求职者和培训项目效果，还可为网络保险承保提供量化员工风险的方法。