Pelajaran 1Keamanan jaringan dan infrastruktur: segmentasi, firewall, IDS/IPS, praktik terbaik grup keamanan cloudMenjelaskan cara mengamankan jaringan dan infrastruktur cloud untuk SaaS. Mencakup segmentasi, firewall, grup keamanan, IDS/IPS, akses bastion, dan penguatan bidang manajemen sambil selaras dengan model tanggung jawab bersama.
Network zoning and tenant segmentationFirewall and security group rule designSecure remote admin and bastion patternsIDS/IPS deployment and tuning basicsCloud provider network security featuresPelajaran 2Kontrol akses dan manajemen identitas: autentikasi kuat, hak istimewa minimal, kontrol akses berbasis peranMenggambarkan cara merancang kontrol akses untuk platform SaaS menggunakan autentikasi kuat dan hak istimewa minimal. Menjelaskan RBAC, ABAC, proses joiner-mover-leaver, dan tinjauan akses berkala yang selaras dengan kontrol Annex A ISO 27001.
Identity lifecycle and JML process designStrong authentication and MFA enforcementRole-based and attribute-based access modelsLeast privilege and privileged access controlPeriodic access reviews and recertificationsPelajaran 3Manajemen dan respons insiden: deteksi, triage, penahanan, analisis akar penyebab, komunikasiMenggambarkan siklus hidup respons insiden untuk lingkungan SaaS. Menjelaskan deteksi, triage, penahanan, pemberantasan, pemulihan, analisis akar penyebab, komunikasi, dan perbaikan pasca-insiden yang selaras dengan ISO 27035.
Incident classification and severity levelsTriage, containment, and evidence handlingEradication, recovery, and service restorationRoot cause analysis and lessons learnedInternal and external incident communicationPelajaran 4Kriptografi dan manajemen kunci: enkripsi data saat istirahat dan transit, manajemen siklus hidup kunciMencakup kontrol kriptografi untuk data SaaS saat istirahat dan transit. Menjelaskan pilihan algoritma, konfigurasi TLS, pembuatan kunci, penyimpanan, rotasi, dan pemisahan tugas menggunakan HSM atau layanan manajemen kunci cloud.
Data at rest encryption for SaaS storageTLS configuration and data in transit securityKey generation, storage, and rotation rulesUse of HSMs and cloud KMS servicesKey access control, logging, and escrowPelajaran 5Pengembangan aman dan manajemen perubahan: SDLC aman, tinjauan kode, manajemen dependensi, gerbang keamanan CI/CDBerfokus pada praktik SDLC aman untuk produk SaaS. Menjelaskan persyaratan keamanan, pemodelan ancaman, tinjauan kode, manajemen dependensi, gerbang keamanan CI/CD, dan manajemen perubahan terkendali dengan persetujuan dan rencana rollback yang tepat.
Defining security requirements in the SDLCThreat modeling for cloud SaaS featuresSecure code review and pair review practicesDependency and open source risk managementCI/CD security gates and change approvalsPelajaran 6Cadangan, pemulihan, dan kontinuitas bisnis: strategi cadangan, waktu/tujuan pemulihan, pengujianMenjelaskan cara merancang, mengimplementasikan, dan menguji kontrol cadangan dan pemulihan untuk beban kerja SaaS. Berfokus pada RPO/RTO, cadangan immutable, penyimpanan offsite, dan penyelarasan dengan tujuan kontinuitas bisnis dan pemulihan bencana.
Defining RPO and RTO for SaaS servicesBackup scope, frequency, and retention rulesImmutable, offsite, and geo-redundant backupsBackup encryption, access control, and loggingBackup restore drills and BC/DR test planningPelajaran 7Pencatatan, pemantauan, dan peringatan: pencatatan terpusat, dasar SIEM, retensi, integritas logMenggambarkan cara merancang pencatatan dan pemantauan terpusat untuk SaaS. Mencakup sumber log, retensi, integritas, onboarding SIEM, penyetelan peringatan, dan dasbor yang mendukung deteksi, forensik, dan kebutuhan pelaporan kepatuhan.
Selecting and onboarding log sourcesLog normalization, parsing, and enrichmentLog retention, protection, and integritySIEM use cases and alert rule designMonitoring dashboards and KPIs for ISBsPelajaran 8Manajemen risiko pihak ketiga/pemasok: penilaian pemasok, kontrak, persyaratan SLA/keamananMencakup manajemen siklus hidup pemasok yang mendukung layanan SaaS. Merinci uji tuntas, penilaian risiko, klausul kontrak, SLA, dan pemantauan berkelanjutan untuk memastikan pihak ketiga memenuhi ekspektasi ISO 27001 dan keamanan cloud.
Supplier classification and criticality levelsSecurity due diligence and risk assessmentsContractual security, privacy, and audit clausesDefining and monitoring security SLAsOngoing vendor monitoring and reassessmentPelajaran 9Keamanan endpoint dan host: EDR, baseline penguatan, manajemen konfigurasiMenjelaskan keamanan endpoint dan host untuk server, kontainer, dan perangkat admin. Mencakup baseline penguatan, EDR, manajemen konfigurasi, image aman, dan pemantauan kepatuhan untuk aset cloud dan on-premise.
Hardening baselines for servers and VMsEDR deployment and alert triage basicsSecure golden images and template controlConfiguration management and drift detectionAdmin workstation and jump host securityPelajaran 10Manajemen kerentanan dan patching: inventaris aset, pemindaian kerentanan, prioritisasi, SLA remediasiMerinci cara menjalankan program manajemen kerentanan yang terstruktur. Mencakup inventaris aset, pemindaian, prioritisasi berbasis risiko, SLA remediasi, penanganan pengecualian, dan pelaporan ke manajemen dan auditor.
Building and maintaining asset inventoriesVulnerability scanning for cloud workloadsRisk-based prioritization and scoringPatch deployment windows and SLAsException handling and risk acceptance
