Lektion 1Initiativ: Identitet, åtkomst och privilegiehantering — mål, intressenter, verkställbara kontroller (SSO, MFA, minsta privilegium, PAM), KPI:er (föråldrade privilegierade konton, MFA-täckning)Denna sektion definierar identitets-, åtkomst- och privilegieinitiativet, klargör mål, nyckelintressenter och verkställbara kontroller, samt etablerar praktiska KPI:er för att övervaka åtkomstrisker, privilegie missbruk och autentiserings täckning över tid.
Defining initiative scope and business alignmentStakeholder roles across IT, HR, and business unitsSSO and MFA rollout strategy and governanceLeast privilege, RBAC, and PAM control designKPIs for stale accounts and MFA coverageLektion 2Initiativ: Molnsäkerhet och konfigurationshantering — mål, ägare, baslinjekontroller (CSPM, IaC-skanning, lagringshärdning), KPI:er (felkonfigurationsantal, tid-till-åtgärd)Denna sektion definierar molnsäkerhets- och konfigurationsinitiativet, klargör ägandeskap, baslinjekontroller och verktyg. Den förklarar hur man använder CSPM, IaC-skanning och härdningsstandarder med KPI:er som spårar felkonfigurationer och åtgärdshastighet.
Cloud security ownership and accountability modelBaseline policies for multi-cloud environmentsCSPM deployment and alert tuningIaC scanning in build and deployment stagesKPIs for misconfigs and remediation timeLektion 3Initiativ: Säker mjukvaruutveckling och DevSecOps — mål, intressenter, CI/CD-integrationspunkter (SAST, DAST, SCA), KPI:er (sårbarheter per release, medeltid-till-fix)Denna sektion beskriver säkert utvecklings- och DevSecOps-initiativet, justerar mål med leveranshastighet, definierar intressenter, bäddar in säkerhet i CI/CD och väljer KPI:er som spårar sårbarhetstrender, fix-tider och pipelinesäkerhetskvalitet.
Objectives balancing speed and securityRACI for engineering, security, and productSecurity gates in CI/CD pipelinesSAST, DAST, and SCA integration strategyKPIs for defects, MTTR, and release riskLektion 4Initiativ: Företagsriskhantering — mål, intressenter, riskregisterdesign, acceptanskriterier och KPI:er (topprisker spårade, kvarvarande risknivåer)Denna sektion ramar in företagsriskhanteringsinitiativet och kopplar säkerhet till affärsrisk. Den täcker mål, intressenter, riskregisterdesign, poängsättning, acceptanskriterier och KPI:er som spårar topp-risker, trender och kvarvarande exponeringsnivåer.
Aligning cyber risk with enterprise risk appetiteRisk register structure and taxonomyQualitative and quantitative risk scoringRisk acceptance, transfer, and mitigationKPIs for top risks and residual exposureLektion 5Initiativ: Efterlevnad och revisionsberedskap (ISO 27001, SOC 2, GDPR) — mål, intressenter, kartlägga kontroller, KPI:er (revisionsfynd, kontrollmognad)Denna sektion definierar efterlevnads- och revisionsberedskapsinitiativet och justerar mål med affärsskyldigheter. Den täcker kontrollkartläggning, bevis hantering, intressentroller och KPI:er som spårar fynd, mognad och åtgärdsframsteg.
Regulatory and customer requirement mappingControl framework selection and scopingEvidence collection and documentationInternal audits and readiness assessmentsKPIs for findings and control maturityLektion 6Initiativ: Säkerhetsmedvetenhet, kultur och stöd — mål, intressenter, programelement, KPI:er (phish-benägenhetsprocent, utbildningsfullföljd, säkerhetsmästar täckning)Denna sektion beskriver säkerhetsmedvetenhets- och kulturinitiativet, definierar mål, målgrupper och ägandeskap. Den täcker programelement, mästare, beteendestyrningar och KPI:er som phish-benägenhetsgrad, utbildningsfullföljd och engagemang.
Program goals and target behaviorsStakeholders in HR, comms, and leadershipTraining formats and content strategySecurity champions and local advocatesKPIs for phishing, training, and cultureLektion 7Initiativ: Tredjeparts- och leveranskedjeriskhantering — mål, intressenter, bedömningstakt, KPI:er (tredjepartsriskbetyg, kontraktåtgärds-SLA:er)Denna sektion beskriver tredjeparts- och leveranskedjeriskinitiativet, definierar mål, ägare och bedömningstakt. Den förklarar due diligence, kontinuerlig övervakning, kontrakt och KPI:er för leverantörsriskbetyg och åtgärds-SLA:er.
Vendor inventory and criticality tiersPre-contract due diligence and screeningOngoing assessments and monitoringSecurity clauses and remediation SLAsKPIs for vendor risk and closure timeLektion 8Initiativ: Incidenthantering och krishantering — mål, intressenter, playbooks, tabletop-takt, KPI:er (MTTR, tid-till-detektering, incidentkostnads uppskattningar)Denna sektion definierar incidenthanterings- och krisinitiativet, klargör mål, intressenter och styrning. Den täcker playbookdesign, tabletop-takt, kommunikation och KPI:er som MTTR, detektionstid och affärsimpactmått.
IR objectives and executive sponsorshipRoles, RACI, and escalation pathsPlaybook development and maintenanceTabletop exercises and lessons learnedKPIs for MTTR, detection, and impact
