آموزش CASP + آماده سازی گواهی: 1 مدیریت ریسک

مقدمه Introduction

• خوش آمدی Welcome

• آنچه باید بدانید What you should know

• درباره امتحان About the exam

• اصول مدیریت ریسک Risk management fundamentals

1. استراتژی ها و کنترل های کاهش خطر (هدف 1.3) 1. Risk Mitigation Strategies and Controls (Obj. 1.3)

• سه‌گانه سیا The CIA triad

• طبقه بندی امنیت داده ها Data security classification

• مشارکت ذینفعان در تصمیم گیری سیا Stakeholders input into CIA decision making

• دسته های کنترل دسترسی Access control categories

• انواع کنترل دسترسی Access control types

• نمره کل سیا The aggregate CIA score

• سناریوی شدید و برنامه ریزی سناریوی بدترین حالت Extreme scenario and worst-case scenario planning

• سناریوی شدید و مثال سناریوی بدترین حالت Extreme scenario and worst-case scenario example

• تجزیه و تحلیل ریسک خاص سیستم System-specific risk analysis

• تعیین خطر Risk determination

• بزرگی تأثیر Magnitude of impact

• احتمال تهدید Likelihood of threat

• بازگشت سرمایه گذاری Return on investment

• کل هزینه مالکیت Total cost of ownership

• استراتژی های مدیریت ریسک Risk management strategies

• فرآیند مدیریت ریسک Risk management process

• بهبود و نظارت مستمر Continuous improvement and monitoring

• برنامه ریزی پیوسته تجارت (BCP) Business continuity planning (BCP)

• حاکمیت فناوری اطلاعات IT governance

2. تأثیرات تجاری و صنعت و خطرات امنیتی مرتبط (هدف 1.1) 2. Business and Industry Influences and Associated Security Risks (Obj. 1.1)

• مدیریت ریسک محصولات جدید ، فناوری ها و رفتارهای کاربر Risk management of new products, technologies, and user behaviors

• مدل ها و استراتژی های تجاری Business models and strategies

• شراکت Partnerships

• برون سپاری Outsourcing

• برون سپاری و امنیت شخص ثالث Third-party outsourcing and security

• ابر Cloud

• اکتساب یا ادغام و واگذاری یا دیمگر Acquisition or mergers and divestiture or demerger

• ادغام صنایع متنوع Integrating diverse industries

• تأثیرات داخلی و خارجی Internal and external influences

• کمبود محیط De-perimeterization

3. امنیت ، سیاست های حفظ حریم خصوصی و رویه های مدیریت ریسک (هدف 1.2) 3. Security, Privacy Policies, and Procedures in Risk Management (Obj. 1.2)

• تغییرات و تدوین سیاست Changes and policy development

• تغییرات و فرآیند یا توسعه مراحل Changes and process or procedure development

• انطباق قانونی و نظارتی Legal and regulatory compliance

• ارزیابی ریسک یا بیانیه کاربردی Risk assessment or Statement of Applicability

• تحلیل اثرات تجاری Business Impact Analysis

• توافق نامه همکاری و توافق نامه امنیتی ارتباطات متقابل Interoperability Agreement and Interconnection Security Agreement

• تفاهم نامه Memorandum of Understanding

• توافق نامه سطح خدمات و توافق سطح عملیاتی Service Level Agreement and Operating Level agreement

• توافقنامه عدم افشاء Non-Disclosure Agreement

• توافق نامه مشارکت تجاری Business Partnership Agreement

• توافق نامه خدمات کارشناسی ارشد Master service agreement

• ملاحظات حریم خصوصی Privacy considerations

• جداسازی وظایف Separation of duties

• چرخش شغل و تعطیلات اجباری Job rotation and mandatory vacations

• حداقل امتیاز Least privilege

• پاسخ حادثه Incident response

• پزشکی قانونی دیجیتال Digital forensics

• مراحل کار و خاتمه Employment and termination procedures

• نظارت مداوم Continuous monitoring

• آموزش و آگاهی کاربر User training and awareness

• الزامات حسابرسی و فرکانس Auditing requirements and frequency

4- اندازه گیری ها و اندازه گیری ها در مدیریت ریسک (هدف 1.4) 4. Measurements and Metrics in Risk Management (Obj. 1.4)

• معیارها و پایه های اصلی Benchmarks and baselines

• راه حل های نمونه سازی اولیه و آزمایش های متعدد Prototyping and multiple test solutions

• تجزیه و تحلیل سود هزینه Cost benefit analysis

• جمع آوری و تجزیه و تحلیل اندازه گیری Metrics collection and analysis

• تجزیه و تحلیل و تفسیر داده های روند Analyzing and interpreting trend data

• بررسی کنترل های امنیتی Reviewing security controls

• مهندسی معکوس و از بین بردن راه حل های امنیتی Reverse engineering and deconstructing security solutions

• تجزیه و تحلیل راه حل های امنیتی برای پاسخگویی به نیازهای کسب و کار شما Analyzing security solutions to meet your business' needs

• فیلمهای آموخته شده و گزارشهای بعد از عمل videos learned and after-action reports

• حل مشکلات دشوار که جواب درستی ندارند Solving difficult problems that have no right answer

نتیجه Conclusion

• مراحل بعدی Next steps