Bài học 1Sáng kiến: Quản lý Danh tính, Truy cập và Đặc quyền — mục tiêu, bên liên quan, kiểm soát thực thi (SSO, MFA, đặc quyền tối thiểu, PAM), KPI (tài khoản đặc quyền cũ, phạm vi MFA)Phần này xác định sáng kiến danh tính, truy cập và đặc quyền, làm rõ mục tiêu, bên liên quan chính và kiểm soát thực thi, đồng thời thiết lập KPI thực tế để giám sát rủi ro truy cập, lạm dụng đặc quyền và phạm vi xác thực theo thời gian.
Defining initiative scope and business alignmentStakeholder roles across IT, HR, and business unitsSSO and MFA rollout strategy and governanceLeast privilege, RBAC, and PAM control designKPIs for stale accounts and MFA coverageBài học 2Sáng kiến: An ninh Đám mây và Quản lý Cấu hình — mục tiêu, chủ sở hữu, kiểm soát cơ bản (CSPM, quét IaC, củng cố lưu trữ), KPI (số lượng cấu hình sai, thời gian khắc phục)Phần này xác định sáng kiến an ninh đám mây và quản lý cấu hình, làm rõ quyền sở hữu, kiểm soát cơ bản và công cụ. Nó giải thích cách sử dụng CSPM, quét IaC và tiêu chuẩn củng cố, với KPI theo dõi cấu hình sai và tốc độ khắc phục.
Cloud security ownership and accountability modelBaseline policies for multi-cloud environmentsCSPM deployment and alert tuningIaC scanning in build and deployment stagesKPIs for misconfigs and remediation timeBài học 3Sáng kiến: Phát triển Phần mềm An toàn và DevSecOps — mục tiêu, bên liên quan, điểm tích hợp CI/CD (SAST, DAST, SCA), KPI (lỗ hổng đưa vào mỗi bản phát hành, thời gian trung bình sửa chữa)Phần này chi tiết sáng kiến phát triển phần mềm an toàn và DevSecOps, phù hợp mục tiêu với tốc độ giao hàng, xác định bên liên quan, nhúng an ninh vào CI/CD và chọn KPI theo dõi xu hướng lỗ hổng, thời gian sửa và chất lượng an ninh đường ống.
Objectives balancing speed and securityRACI for engineering, security, and productSecurity gates in CI/CD pipelinesSAST, DAST, and SCA integration strategyKPIs for defects, MTTR, and release riskBài học 4Sáng kiến: Quản lý Rủi ro Doanh nghiệp — mục tiêu, bên liên quan, thiết kế sổ đăng ký rủi ro, tiêu chí chấp nhận và KPI (rủi ro hàng đầu được theo dõi, mức rủi ro dư thừa)Phần này khung sáng kiến quản lý rủi ro doanh nghiệp, liên kết an ninh với rủi ro kinh doanh. Nó bao quát mục tiêu, bên liên quan, thiết kế sổ đăng ký rủi ro, chấm điểm, tiêu chí chấp nhận và KPI theo dõi rủi ro hàng đầu, xu hướng và mức phơi nhiễm dư thừa.
Aligning cyber risk with enterprise risk appetiteRisk register structure and taxonomyQualitative and quantitative risk scoringRisk acceptance, transfer, and mitigationKPIs for top risks and residual exposureBài học 5Sáng kiến: Tuân thủ và Sẵn sàng Kiểm toán (ISO 27001, SOC 2, GDPR) — mục tiêu, bên liên quan, ánh xạ kiểm soát, KPI (phát hiện kiểm toán, độ trưởng thành kiểm soát)Phần này xác định sáng kiến tuân thủ và sẵn sàng kiểm toán (ISO 27001, SOC 2, GDPR) — mục tiêu, bên liên quan, ánh xạ kiểm soát, KPI (phát hiện kiểm toán, độ trưởng thành kiểm soát), phù hợp mục tiêu với nghĩa vụ kinh doanh. Nó bao quát ánh xạ kiểm soát, quản lý bằng chứng, vai trò bên liên quan và KPI theo dõi phát hiện, độ trưởng thành và tiến độ khắc phục.
Regulatory and customer requirement mappingControl framework selection and scopingEvidence collection and documentationInternal audits and readiness assessmentsKPIs for findings and control maturityBài học 6Sáng kiến: Nhận thức An ninh, Văn hóa và Hỗ trợ — mục tiêu, bên liên quan, yếu tố chương trình, KPI (tỷ lệ dễ bị lừa phishing, hoàn thành đào tạo, phạm vi nhà vô địch an ninh)Phần này phác thảo sáng kiến nhận thức an ninh, văn hóa và hỗ trợ, xác định mục tiêu, đối tượng và quyền sở hữu. Nó bao quát yếu tố chương trình, nhà vô địch, gợi ý hành vi và KPI như tỷ lệ dễ bị lừa phishing, hoàn thành đào tạo và phạm vi nhà vô địch an ninh.
Program goals and target behaviorsStakeholders in HR, comms, and leadershipTraining formats and content strategySecurity champions and local advocatesKPIs for phishing, training, and cultureBài học 7Sáng kiến: Quản lý Rủi ro Bên thứ ba và Chuỗi cung ứng — mục tiêu, bên liên quan, nhịp độ đánh giá, KPI (đánh giá rủi ro bên thứ ba, SLA khắc phục hợp đồng)Phần này chi tiết sáng kiến rủi ro bên thứ ba và chuỗi cung ứng, xác định mục tiêu, chủ sở hữu và nhịp độ đánh giá. Nó giải thích thẩm định cẩn trọng, giám sát liên tục, hợp đồng và KPI cho đánh giá rủi ro nhà cung cấp và SLA khắc phục.
Vendor inventory and criticality tiersPre-contract due diligence and screeningOngoing assessments and monitoringSecurity clauses and remediation SLAsKPIs for vendor risk and closure timeBài học 8Sáng kiến: Phản ứng Sự cố và Quản lý Khủng hoảng — mục tiêu, bên liên quan, sổ tay, nhịp độ tabletop, KPI (MTTR, thời gian phát hiện, ước tính chi phí sự cố)Phần này xác định sáng kiến phản ứng sự cố và quản lý khủng hoảng, làm rõ mục tiêu, bên liên quan và quản trị. Nó bao quát thiết kế sổ tay, nhịp độ tabletop, giao tiếp và KPI như MTTR, thời gian phát hiện và ước tính chi phí sự cố.
IR objectives and executive sponsorshipRoles, RACI, and escalation pathsPlaybook development and maintenanceTabletop exercises and lessons learnedKPIs for MTTR, detection, and impact
