পাঠ 1উদ্যোগ: পরিচয়, অ্যাক্সেস এবং বিশেষাধিকার ব্যবস্থাপনা — উদ্দেশ্য, স্টেকহোল্ডার, প্রয়োগযোগ্য নিয়ন্ত্রণ (SSO, MFA, লেস্ট প্রিভিলেজ, PAM), KPI (পুরানো বিশেষাধিকার অ্যাকাউন্ট, MFA কভারেজ)এই বিভাগটি পরিচয়, অ্যাক্সেস এবং বিশেষাধিকার উদ্যোগ সংজ্ঞায়িত করে, উদ্দেশ্য, কী স্টেকহোল্ডার এবং প্রয়োগযোগ্য নিয়ন্ত্রণ স্পষ্ট করে, অ্যাক্সেস ঝুঁকি, বিশেষাধিকার অপব্যবহার এবং অথেনটিকেশন কভারেজ সময়ের সাথে মনিটর করার জন্য ব্যবহারিক KPI প্রতিষ্ঠা করে।
Defining initiative scope and business alignmentStakeholder roles across IT, HR, and business unitsSSO and MFA rollout strategy and governanceLeast privilege, RBAC, and PAM control designKPIs for stale accounts and MFA coverageপাঠ 2উদ্যোগ: ক্লাউড নিরাপত্তা এবং কনফিগারেশন ব্যবস্থাপনা — উদ্দেশ্য, মালিক, বেসলাইন নিয়ন্ত্রণ (CSPM, IaC স্ক্যানিং, স্টোরেজ হার্ডেনিং), KPI (ভুল কনফিগারেশন সংখ্যা, রিমিডিয়েট করার সময়)এই বিভাগটি ক্লাউড নিরাপত্তা এবং কনফিগারেশন উদ্যোগ সংজ্ঞায়িত করে, মালিকানা, বেসলাইন নিয়ন্ত্রণ এবং টুলিং স্পষ্ট করে। এটি CSPM, IaC স্ক্যানিং এবং হার্ডেনিং স্ট্যান্ডার্ড ব্যবহার করা এবং ভুল কনফিগারেশন এবং রিমিডিয়েশন গতি ট্র্যাক করার KPI ব্যাখ্যা করে।
Cloud security ownership and accountability modelBaseline policies for multi-cloud environmentsCSPM deployment and alert tuningIaC scanning in build and deployment stagesKPIs for misconfigs and remediation timeপাঠ 3উদ্যোগ: সুরক্ষিত সফটওয়্যার ডেভেলপমেন্ট এবং DevSecOps — উদ্দেশ্য, স্টেকহোল্ডার, CI/CD ইন্টিগ্রেশন পয়েন্ট (SAST, DAST, SCA), KPI (রিলিজ প্রতি দুর্বলতা প্রবর্তিত, মিন-টাইম-টু-ফিক্স)এই বিভাগটি সুরক্ষিত ডেভেলপমেন্ট এবং DevSecOps উদ্যোগ বিস্তারিত করে, ডেলিভারি গতির সাথে উদ্দেশ্য সামঞ্জস্য করে, স্টেকহোল্ডার সংজ্ঞায়িত করে, CI/CD-এ নিরাপত্তা এম্বেড করে এবং দুর্বলতা ট্রেন্ড, ফিক্স সময় এবং পাইপলাইন নিরাপত্তা গুণমান ট্র্যাক করার KPI নির্বাচন করে।
Objectives balancing speed and securityRACI for engineering, security, and productSecurity gates in CI/CD pipelinesSAST, DAST, and SCA integration strategyKPIs for defects, MTTR, and release riskপাঠ 4উদ্যোগ: এন্টারপ্রাইজ ঝুঁকি ব্যবস্থাপনা — উদ্দেশ্য, স্টেকহোল্ডার, ঝুঁকি রেজিস্টার ডিজাইন, গ্রহণযোগ্যতার মানদণ্ড এবং KPI (শীর্ষ ঝুঁকি ট্র্যাকড, অবশিষ্ট ঝুঁকির স্তর)এই বিভাগটি এন্টারপ্রাইজ ঝুঁকি ব্যবস্থাপনা উদ্যোগ ফ্রেম করে, নিরাপত্তাকে ব্যবসায়িক ঝুঁকির সাথে যুক্ত করে। এটি উদ্দেশ্য, স্টেকহোল্ডার, ঝুঁকি রেজিস্টার ডিজাইন, স্কোরিং, গ্রহণযোগ্যতার মানদণ্ড এবং শীর্ষ ঝুঁকি, ট্রেন্ড এবং অবশিষ্ট এক্সপোজার স্তর ট্র্যাক করার KPI কভার করে।
Aligning cyber risk with enterprise risk appetiteRisk register structure and taxonomyQualitative and quantitative risk scoringRisk acceptance, transfer, and mitigationKPIs for top risks and residual exposureপাঠ 5উদ্যোগ: সম্মতি এবং অডিট প্রস্তুতি (ISO 27001, SOC 2, GDPR) — উদ্দেশ্য, স্টেকহোল্ডার, নিয়ন্ত্রণ ম্যাপিং, KPI (অডিট ফলাফল, নিয়ন্ত্রণ পরিপক্বতা)এই বিভাগটি সম্মতি এবং অডিট প্রস্তুতি উদ্যোগ সংজ্ঞায়িত করে, ব্যবসায়িক বাধ্যবাধকতার সাথে উদ্দেশ্য সামঞ্জস্য করে। এটি নিয়ন্ত্রণ ম্যাপিং, প্রমাণ ব্যবস্থাপনা, স্টেকহোল্ডার রোল এবং ফলাফল, পরিপক্বতা এবং রিমিডিয়েশন অগ্রগতি ট্র্যাক করার KPI কভার করে।
Regulatory and customer requirement mappingControl framework selection and scopingEvidence collection and documentationInternal audits and readiness assessmentsKPIs for findings and control maturityপাঠ 6উদ্যোগ: নিরাপত্তা সচেতনতা, সংস্কৃতি এবং সক্ষমতা — উদ্দেশ্য, স্টেকহোল্ডার, প্রোগ্রাম উপাদান, KPI (ফিশ-প্রোন শতাংশ, ট্রেনিং সম্পূর্ণতা, নিরাপত্তা চ্যাম্পিয়ন কভারেজ)এই বিভাগটি নিরাপত্তা সচেতনতা এবং সংস্কৃতি উদ্যোগ আউটলাইন করে, উদ্দেশ্য, অডিয়েন্স এবং মালিকানা সংজ্ঞায়িত করে। এটি প্রোগ্রাম উপাদান, চ্যাম্পিয়ন, আচরণগত নাড়াচাড়া এবং ফিশ-প্রোন রেট, ট্রেনিং সম্পূর্ণতা এবং এংগেজমেন্টের মতো KPI কভার করে।
Program goals and target behaviorsStakeholders in HR, comms, and leadershipTraining formats and content strategySecurity champions and local advocatesKPIs for phishing, training, and cultureপাঠ 7উদ্যোগ: তৃতীয় পক্ষ এবং সাপ্লাই চেইন ঝুঁকি ব্যবস্থাপনা — উদ্দেশ্য, স্টেকহোল্ডার, মূল্যায়ন ক্যাডেন্স, KPI (তৃতীয় পক্ষের ঝুঁকি রেটিং, চুক্তিগত রিমিডিয়েশন SLA)এই বিভাগটি তৃতীয় পক্ষ এবং সাপ্লাই চেইন ঝুঁকি উদ্যোগ বিস্তারিত করে, উদ্দেশ্য, মালিক এবং মূল্যায়ন ক্যাডেন্স সংজ্ঞায়িত করে। এটি ডিউ ডিলিজেন্স, কন্টিনিউয়াস মনিটরিং, চুক্তি এবং ভেন্ডর ঝুঁকি রেটিং এবং রিমিডিয়েশন SLA-এর KPI ব্যাখ্যা করে।
Vendor inventory and criticality tiersPre-contract due diligence and screeningOngoing assessments and monitoringSecurity clauses and remediation SLAsKPIs for vendor risk and closure timeপাঠ 8উদ্যোগ: ঘটনা প্রতিক্রিয়া এবং সংকট ব্যবস্থাপনা — উদ্দেশ্য, স্টেকহোল্ডার, প্লেবুক, টেবিলটপ ক্যাডেন্স, KPI (MTTR, টাইম-টু-ডিটেকশন, ঘটনা খরচ অনুমান)এই বিভাগটি ঘটনা প্রতিক্রিয়া এবং সংকট উদ্যোগ সংজ্ঞায়িত করে, উদ্দেশ্য, স্টেকহোল্ডার এবং গভর্নেন্স স্পষ্ট করে। এটি প্লেবুক ডিজাইন, টেবিলটপ ক্যাডেন্স, যোগাযোগ এবং MTTR, ডিটেকশন সময় এবং ব্যবসায়িক প্রভাব মেট্রিক্সের মতো KPI কভার করে।
IR objectives and executive sponsorshipRoles, RACI, and escalation pathsPlaybook development and maintenanceTabletop exercises and lessons learnedKPIs for MTTR, detection, and impact
