שיעור 1יוזמה: ניהול זהות, גישה והרשאות — יעדים, בעלי עניין, בקרים נאכפים (SSO, MFA, הרשאה מינימלית, PAM), KPI (חשבונות מורשים מיושנים, כיסוי MFA)חלק זה מגדיר את יוזמת הזהות, הגישה וההרשאות, מבהיר יעדים, בעלי עניין מרכזיים ובקרים נאכפים, תוך קביעת KPI מעשיים למעקב אחר סיכוני גישה, שימוש לרעה בהרשאות וכיסוי אימות לאורך זמן.
Defining initiative scope and business alignmentStakeholder roles across IT, HR, and business unitsSSO and MFA rollout strategy and governanceLeast privilege, RBAC, and PAM control designKPIs for stale accounts and MFA coverageשיעור 2יוזמה: אבטחת ענן וניהול תצורה — יעדים, בעלים, בקרים בסיסיים (CSPM, סריקת IaC, חיזוק אחסון), KPI (מספר תצורות שגויות, זמן לתיקון)חלק זה מגדיר את יוזמת אבטחת ענן וניהול תצורה, מבהיר בעלות, בקרים בסיסיים וכלים. הוא מסביר כיצד להשתמש CSPM, סריקת IaC ותקני חיזוק, עם KPI שמעקבים אחר תצורות שגויות ומהירות תיקון.
Cloud security ownership and accountability modelBaseline policies for multi-cloud environmentsCSPM deployment and alert tuningIaC scanning in build and deployment stagesKPIs for misconfigs and remediation timeשיעור 3יוזמה: פיתוח תוכנה מאובטח ו-DevSecOps — יעדים, בעלי עניין, נקודות שילוב CI/CD (SAST, DAST, SCA), KPI (פגיעויות מוכנסות לפריסה, זמן ממוצע לתיקון)חלק זה מפרט את יוזמת פיתוח תוכנה מאובטח ו-DevSecOps, מיישר יעדים עם מהירות מסירה, מגדיר בעלי עניין, משבץ אבטחה ל-CI/CD, ובוחר KPI שמעקבים אחר מגמות פגיעויות, זמני תיקון ואיכות אבטחת צינור.
Objectives balancing speed and securityRACI for engineering, security, and productSecurity gates in CI/CD pipelinesSAST, DAST, and SCA integration strategyKPIs for defects, MTTR, and release riskשיעור 4יוזמה: ניהול סיכונים ארגוני — יעדים, בעלי עניין, עיצוב רישום סיכונים, קריטריוני קבלה ו-KPI (סיכונים מובילים מעוקבים, רמות סיכון שיוריות)חלק זה ממסגר את יוזמת ניהול סיכונים ארגונית, מקשר אבטחה לסיכון עסקי. הוא מכסה יעדים, בעלי עניין, עיצוב רישום סיכונים, ציון, קריטריונים קבלה ו-KPI שמעקבים אחר סיכונים מובילים, מגמות ורמות חשיפה שיוריות.
Aligning cyber risk with enterprise risk appetiteRisk register structure and taxonomyQualitative and quantitative risk scoringRisk acceptance, transfer, and mitigationKPIs for top risks and residual exposureשיעור 5יוזמה: ציות ומוכנות ביקורת (ISO 27001, SOC 2, GDPR) — יעדים, בעלי עניין, מפת בקרות, KPI (ממצאי ביקורת, בשלות בקרה)חלק זה מגדיר את יוזמת ציות ומוכנות ביקורת (ISO 27001, SOC 2, GDPR) — מיישר יעדים עם חובות עסקיות. הוא מכסה מפת בקרות, ניהול ראיות, תפקידי בעלי עניין ו-KPI שמעקבים אחר ממצאים, בשלות וקידמה תיקון.
Regulatory and customer requirement mappingControl framework selection and scopingEvidence collection and documentationInternal audits and readiness assessmentsKPIs for findings and control maturityשיעור 6יוזמה: מודעות אבטחה, תרבות והעצמה — יעדים, בעלי עניין, אלמנטי תוכנית, KPI (אחוז חשוף לפישינג, השלמת הכשרה, כיסוי אלופי אבטחה)חלק זה מתווה את יוזמת מודעות אבטחה, תרבות והעצמה, מגדיר יעדים, קהלים ובעלות. הוא מכסה אלמנטי תוכנית, אלופים, דחיפות התנהגותיות ו-KPI כמו שיעור פישינג, השלמת הכשרה ומעורבות.
Program goals and target behaviorsStakeholders in HR, comms, and leadershipTraining formats and content strategySecurity champions and local advocatesKPIs for phishing, training, and cultureשיעור 7יוזמה: ניהול סיכוני צד שלישי ושרשרת אספקה — יעדים, בעלי עניין, קצב הערכה, KPI (דירוגי סיכון צד שלישי, SLA תיקון חוזיים)חלק זה מפרט את יוזמת סיכוני צד שלישי ושרשרת אספקה, מגדיר יעדים, בעלים וקצב הערכה. הוא מסביר בדיקת נאותות, ניטור רציף, חוזים ו-KPI לדירוגי סיכון ספקים ו-SLA תיקון.
Vendor inventory and criticality tiersPre-contract due diligence and screeningOngoing assessments and monitoringSecurity clauses and remediation SLAsKPIs for vendor risk and closure timeשיעור 8יוזמה: תגובה לאירועים וניהול משברים — יעדים, בעלי עניין, פלייבוקים, קצב tabletop, KPI (MTTR, זמן זיהוי, הערכות עלות אירוע)חלק זה מגדיר את יוזמת תגובה לאירועים וניהול משברים, מבהיר יעדים, בעלי עניין ושליטה. הוא מכסה עיצוב פלייבוק, קצב tabletop, תקשורת ו-KPI כמו MTTR, זמן זיהוי והערכות עלות אירוע.
IR objectives and executive sponsorshipRoles, RACI, and escalation pathsPlaybook development and maintenanceTabletop exercises and lessons learnedKPIs for MTTR, detection, and impact
