مقدمة

تهدف دورة إدارة تهديدات الأمن السيبراني وتقييم المخاطر إلى تزويدكم بالمهارات اللازمة لإجراء تقييمات فعالة للمخاطر الأمنية لحماية منظمتكم. تغطي هذه التدريبات القوانين والتنظيمات الأمنية السيبرانية الحاسمة التي تفرض تدابير أمنية صارمة في جميع القطاعات. سيتعلم المشاركون كيفية إنشاء خطة تقييم الامتثال وتطبيق استراتيجية إدارة المخاطر المستندة إلى المعايير للحفاظ على وضعية أمان سيبراني قوية. يُتوقع أن يكون لدى المشاركين معرفة أساسية بعمليات الأعمال ومفاهيم التكنولوجيا، على الرغم من عدم الحاجة إلى خبرة تقنية متقدمة.

أهداف الدورة

• استخدام طرق مثبتة ومستندة إلى المعايير لتقييم وإدارة مخاطر الأمان السيبراني للأصول الرقمية لمنظمتكم.
• اختيار وتنفيذ تدابير الأمان السيبراني التي تضمن الالتزام بالأطر القانونية والتنظيمية المعمول بها.
• تمديد تدابير الأمان السيبراني إلى أنظمة التحكم الصناعية وبيئات الحوسبة السحابية.

محاور الدورة

اليوم الأول: مقدمة في تقييم وإدارة مخاطر الأمان السيبراني

• ضمان الامتثال للتنظيمات الأمنية السيبرانية.
• حماية المنظمة من التهديدات الأمنية السيبرانية الجوهرية.
• شرح إطار إدارة المخاطر.
• استخدام معايير NIST/ISO لإدارة مخاطر الأمان السيبراني.
• تعريف متطلبات أمان النظام.
• تعريف النظام.

• رسم حدود الأمان السيبراني للنظام.
• تحديد الاتصالات بين الأنظمة.
• تضمين ميزات محددة لأنظمة التحكم الصناعية والحوسبة السحابية.
• تحديد مكونات مخاطر الأمان السيبراني.

• تقييم تأثير الاختراقات الأمنية على السرية، السلامة، والتوافر.

• تطبيق نماذج مناسبة لتصنيف مخاطر الأمان السيبراني.
• وضع أساس لإدارة مخاطر الأمان السيبراني الفعالة.

• توثيق قرارات تقييم وإدارة المخاطر الحاسمة في خطة أمان النظام (SSP).

• تعيين أفراد لأدوار الحوكمة الأمنية السيبرانية

اليوم الثاني: اختيار تدابير الأمان السيبراني الفعالة

• إنشاء خط أساس لتدابير الأمان السيبراني.
• استكشاف فئات تدابير الأمان السيبراني.

• تحديد خط الأساس للتدابير بناءً على ملف مخاطر الأمان السيبراني.
• تعديل الخط الأساس ليتماشى مع خصائص النظام.

• تحليل بنية تدابير الأمان السيبراني، التحسينات، والمعايير.

• ربط الطبقات الإضافية للتحكم مع الخط الأساس المُنشأ.
• تقييم الحاجة لضمان متقدم.
• تصنيف تدابير الأمان السيبراني الخاصة بالنظام، التعويضية، وغير المنطبقة.

اليوم الثالث: تقليل مخاطر الأمان السيبراني من خلال تنفيذ تدابير فعالة

• تحديد النهج لتنفيذ تدابير الأمان السيبراني.
• زيادة فعالية الأمان من خلال دمج الأمان من مرحلة التصميم.

• تقليل المخاطر المتبقية في الأنظمة القديمة بإضافة تدابير أمان إضافية.
• تطوير خطة تقييم الأمان السيبراني.

• تحديد عمق تقييمات تدابير الأمان السيبراني.

• تعزيز التحقق من خلال التتابع الاستراتيجي والتكامل.
• ضمان الامتثال من خلال الاختبارات، المقابلات، والفحوصات.
• صياغة توصية بالتفويض الأمني السيبراني.

• تقييم المخاطر الأمنية السيبرانية الشاملة للنظام.

• إدارة المخاطر المتبقية.
• توثيق خطة العمل والإنجازات (POA&M)، تقييم المخاطر الأمنية السيبرانية، والتوصيات.

اليوم الرابع: تفويض عمليات الأمان السيبراني

• مواءمة السلطة مع المسؤولية.
• تعريف تسامح المنظمة مع مخاطر الأمان السيبراني.

• تحديد أولويات صنع القرار في المواقف ذات المخاطر العالية.
• اتخاذ قرارات مستنيرة بناءً على تقييمات مخاطر الأمان السيبراني.

• تقييم التأثير التشغيلي لتطبيقات الأمان السيبراني.

• الموازنة بين المخاطر المتبقية والكفاءة التشغيلية.
• إصدار تفويض لتشغيل (ATO) لتدابير الأمان السيبراني.

اليوم الخامس: الحفاظ على الامتثال الأمني السيبراني المستمر

• تبرير الحاجة لإعادة التفويض المستمر استناداً إلى معايير الأمان السيبراني.
• تقييم تأثير التغييرات على وضع الأمان السيبراني للنظام.

• تنفيذ إدارة التكوين الأمني السيبراني بفعالية.
• إجراء إعادة تقييم دورية لتدابير الأمان السيبراني.
• الحفاظ على وضعية أمان سيبراني آمنة.

• تقديم تدريبات توعية أمنية سيبرانية أولية ومستمرة.

• جمع مقاييس الأمان السيبراني المستمرة.
• تنفيذ عمليات لإدارة ضعف الأمان السيبراني، الاستجابة للحوادث، والتخطيط لاستمرارية الأعمال.