Moduł 6

Security Program Management and Oversight

Cel

Po tym module masz rozumieć, że cyberbezpieczeństwo nie jest tylko konfiguracją narzędzi. Organizacja potrzebuje zasad, właścicieli ryzyka, procedur, audytów, zgodności, szkoleń i kontroli dostawców.

Po module powinieneś umieć:

odróżnić policy, standard, procedure i guideline
wyjaśnić governance i jego rolę w bezpieczeństwie
rozumieć risk management jako proces
rozróżnić risk appetite i risk tolerance
dobrać strategię odpowiedzi na ryzyko
wykonać proste obliczenia SLE, ARO i ALE
wyjaśnić BIA, RTO, RPO, MTTR i MTBF
rozpoznać ryzyka związane z dostawcami
dobrać SLA, MOU, NDA i right-to-audit clause do scenariusza
odróżnić compliance od security
wyjaśnić due diligence i due care
rozumieć typy audytów i assessmentów
zaprojektować podstawowy program security awareness.

Wprowadzenie

W poprzednich modułach omawialiśmy technikę: kontrole, podatności, architekturę, monitoring i incident response. Ten moduł odpowiada na pytanie: jak organizacja zarządza bezpieczeństwem jako programem, a nie zbiorem pojedynczych narzędzi?

Na egzaminie Security+ pytania z tej domeny często wyglądają mniej technicznie, ale są bardzo ważne. Możesz dostać scenariusz o dostawcy, audycie, polityce, ryzyku, danych osobowych, szkoleniu phishingowym albo decyzji biznesowej. Najlepsza odpowiedź często nie będzie narzędziem, tylko procesem, dokumentem, rolą albo strategią ryzyka.

[OBRAZ: IMG_M06_S01_GRC_OVERVIEW]

1. Governance

Problem

Bez governance organizacja ma przypadkowe decyzje bezpieczeństwa. Jeden zespół wymaga MFA, drugi nie. Jeden system ma backup, drugi nie. Dostawca ma dostęp bez umowy. Pracownicy nie wiedzą, jak zgłaszać incydenty. Brakuje właścicieli ryzyka.

Wyjaśnienie od podstaw

Governance to sposób nadzorowania i kierowania bezpieczeństwem w organizacji. Obejmuje zasady, odpowiedzialności, decyzje, role, raportowanie i zgodność działań z celami biznesowymi.

Governance odpowiada na pytania:

kto podejmuje decyzje bezpieczeństwa
kto jest właścicielem ryzyka
jakie zasady obowiązują
jak mierzymy zgodność
jak raportujemy ryzyko
jak egzekwujemy polityki
jak łączymy bezpieczeństwo z celami organizacji.
Policy, standard, procedure, guideline

To bardzo ważne rozróżnienie egzaminacyjne.

Dokument	Znaczenie	Przykład
Policy	Wysokopoziomowa zasada organizacyjna.	„Wszystkie systemy przetwarzające dane poufne muszą być chronione.”
Standard	Konkretne wymaganie techniczne lub organizacyjne.	„Hasło musi mieć minimum 14 znaków.”
Procedure	Instrukcja krok po kroku.	„Jak zgłosić incydent bezpieczeństwa.”
Guideline	Zalecenie lub dobra praktyka.	„Rekomenduje się używanie menedżera haseł.”

Jak to działa krok po kroku

Kierownictwo określa cele i poziom akceptowanego ryzyka.

Organizacja tworzy polityki.

Standardy przekładają polityki na konkretne wymagania.

Procedury pokazują, jak wykonywać działania.

Wytyczne pomagają stosować dobre praktyki.

Audyty i monitoring sprawdzają, czy zasady są przestrzegane.

Wyniki trafiają do raportowania i decyzji zarządczych.

Przykład praktyczny

Polityka mówi: „Dostęp do systemów krytycznych musi być ograniczony i monitorowany”.

Standard mówi: „Dostęp administracyjny wymaga MFA i PAM”.

Procedura mówi: „Administrator składa wniosek w systemie PAM, wybiera zasób, uzasadnia dostęp i uzyskuje zatwierdzenie”.

Guideline mówi: „Dostęp uprzywilejowany powinien być przyznawany na najkrótszy możliwy czas”.

Przykład egzaminacyjny

Scenariusz

Firma chce opisać krok po kroku, jak pracownik ma zgłaszać podejrzany e-mail. Jaki dokument jest najlepszy?

Poprawna odpowiedź:

Procedure, ponieważ opisuje konkretne kroki działania.

Z czym nie mylić

Nie myl policy ze standardem. Policy mówi „co i dlaczego” na wysokim poziomie. Standard mówi „jakie konkretne wymaganie musi być spełnione”.

Typowe błędy

Częsty błąd to tworzenie polityk bez procedur. Pracownicy wtedy znają ogólną zasadę, ale nie wiedzą, co dokładnie zrobić.

Definicja do zapamiętania

Governance to system zasad, odpowiedzialności i nadzoru, który sprawia, że bezpieczeństwo jest zarządzane świadomie, mierzalnie i zgodnie z celami organizacji.

2. Risk management

Problem

Organizacja nie może usunąć wszystkich ryzyk. Ma ograniczony budżet, czas, ludzi i technologię. Musi zdecydować, które ryzyka są najważniejsze i jak na nie odpowiedzieć.

Wyjaśnienie od podstaw

Risk management to proces identyfikowania, oceniania, priorytetyzowania i obsługi ryzyk.

Ryzyko w bezpieczeństwie zwykle wynika z relacji:

zasób + zagrożenie + podatność + wpływ = ryzyko

Przykład: publiczna aplikacja webowa jest zasobem, cyberprzestępca jest zagrożeniem, brak aktualizacji jest podatnością, a możliwy wyciek danych jest wpływem.

Jak to działa krok po kroku

Identyfikujesz zasoby.

Identyfikujesz zagrożenia.

Identyfikujesz podatności.

Oceniasz prawdopodobieństwo.

Oceniasz wpływ.

Nadajesz priorytet.

Wybierasz strategię odpowiedzi.

Dokumentujesz ryzyko w risk register.

Monitorujesz ryzyko w czasie.

Risk register

Risk register to rejestr ryzyk. Zawiera zwykle:

opis ryzyka
właściciela ryzyka
prawdopodobieństwo
wpływ
poziom ryzyka
strategię odpowiedzi
plan działania
termin
status
ryzyko rezydualne.

Przykład praktyczny

Ryzyko: „Nieaktualny system HR może zostać wykorzystany do wycieku danych pracowników”.

Właściciel: dyrektor HR lub właściciel systemu.

Prawdopodobieństwo: średnie.

Wpływ: wysoki.

Strategia: mitigate przez aktualizację, segmentację i monitoring.

Status: w trakcie.

Przykład egzaminacyjny

Scenariusz

Organizacja chce śledzić ryzyka, właścicieli, plany mitygacji i status działań. Jakiego narzędzia lub dokumentu potrzebuje?

Poprawna odpowiedź:

Risk register.

Z czym nie mylić

Risk management nie oznacza automatycznie eliminowania każdego ryzyka. Czasem ryzyko jest akceptowane, transferowane lub unikane.

Typowe błędy

Częsty błąd to zarządzanie ryzykiem wyłącznie przez dział IT. Właścicielem ryzyka często powinien być właściciel biznesowy, bo to biznes ponosi skutki.

Definicja do zapamiętania

Risk management to proces świadomego identyfikowania, oceniania, dokumentowania i obsługi ryzyk zgodnie z celami organizacji.

3. Risk appetite i risk tolerance

Problem

Dwie organizacje mogą mieć to samo ryzyko, ale podjąć inne decyzje. Bank, szpital, startup i firma produkcyjna mają różne poziomy akceptowanego ryzyka.

Wyjaśnienie od podstaw

Risk appetite to ogólny poziom ryzyka, jaki organizacja jest gotowa zaakceptować w dążeniu do celów.

Risk tolerance to bardziej konkretna dopuszczalna granica odchylenia dla danego ryzyka, procesu lub wskaźnika.

Można to uprościć tak:

risk appetite = ogólne nastawienie organizacji do ryzyka
risk tolerance = konkretna granica, której nie chcemy przekroczyć.

Jak to działa krok po kroku

Kierownictwo określa ogólne podejście do ryzyka.

Dla konkretnych obszarów ustala dopuszczalne progi.

Zespoły projektują kontrole zgodne z tymi progami.

Monitoring sprawdza, czy ryzyko nie przekracza tolerancji.

Przekroczenia są raportowane i eskalowane.

Przykład praktyczny

Organizacja ma niską tolerancję na utratę danych klientów. Może zaakceptować krótką niedostępność portalu informacyjnego, ale nie zaakceptuje publicznego dostępu do danych osobowych. To wpływa na inwestycje w szyfrowanie, DLP, monitoring i access reviews.

Przykład egzaminacyjny

Scenariusz

Zarząd określił, że firma może zaakceptować maksymalnie 30 minut niedostępności systemu sprzedażowego. Co to jest?

Najlepsza odpowiedź:

Risk tolerance albo konkretny próg operacyjny związany z dostępnością.

Z czym nie mylić

Risk appetite nie jest tym samym co brak kontroli. To nie „ile ryzyka ignorujemy”, tylko świadome określenie poziomu ryzyka akceptowanego przez organizację.

Typowe błędy

Częsty błąd to brak powiązania risk appetite z decyzjami technicznymi. Jeśli organizacja ma niską tolerancję na przestoje, musi inwestować w high availability, monitoring i testowane odtwarzanie.

Definicja do zapamiętania

Risk appetite to ogólna gotowość organizacji do przyjęcia ryzyka, a risk tolerance to konkretna granica akceptowalnego odchylenia.

4. Strategie odpowiedzi na ryzyko

Problem

Po zidentyfikowaniu ryzyka organizacja musi zdecydować, co z nim zrobić. Nie każde ryzyko trzeba natychmiast usuwać, ale każde istotne ryzyko powinno mieć świadomą decyzję.

Wyjaśnienie od podstaw

Najważniejsze strategie:

Strategia	Znaczenie	Przykład
Accept	Akceptacja ryzyka.	Firma akceptuje niskie ryzyko, bo koszt kontroli jest większy niż możliwa strata.
Avoid	Uniknięcie ryzyka.	Firma rezygnuje z projektu, który tworzyłby zbyt duże ryzyko.
Transfer	Przeniesienie części ryzyka.	Ubezpieczenie cyber albo outsourcing usługi.
Mitigate	Zmniejszenie ryzyka.	MFA, segmentacja, patching, backup, monitoring.

Jak to działa krok po kroku

Ryzyko zostaje ocenione.

Organizacja porównuje je z appetite i tolerance.

Właściciel ryzyka wybiera strategię.

Decyzja jest dokumentowana.

Działania są wdrażane.

Ryzyko rezydualne jest monitorowane.

Przykład praktyczny

Firma ma ryzyko phishingu. Nie może go całkowicie uniknąć, bo poczta jest potrzebna. Może je mitygować przez szkolenia, email security, MFA, raportowanie podejrzanych wiadomości i symulacje phishingowe.

Przykład egzaminacyjny

Scenariusz

Firma wykupiła cyber insurance, aby ograniczyć finansowe skutki potencjalnego incydentu. Jaka to strategia?

Poprawna odpowiedź:

Transfer.

Z czym nie mylić

Transfer nie usuwa ryzyka. Ubezpieczenie może zmniejszyć wpływ finansowy, ale firma nadal musi mieć kontrole bezpieczeństwa.

Typowe błędy

Częsty błąd to akceptowanie ryzyka bez formalnej decyzji. „Nie zrobiliśmy nic” nie jest poprawną akceptacją ryzyka, jeśli nie ma właściciela i dokumentacji.

Definicja do zapamiętania

Strategia odpowiedzi na ryzyko określa, czy organizacja ryzyko akceptuje, unika go, transferuje czy mityguje.

5. BIA, RTO, RPO, MTTR i MTBF

Problem

Nie wszystkie systemy mają taką samą ważność. Bez Business Impact Analysis organizacja może źle ustawić priorytety odtwarzania: przywrócić mało ważny system przed krytycznym albo robić backup zbyt rzadko.

Wyjaśnienie od podstaw

Business Impact Analysis (BIA) to analiza wpływu przerwy w działaniu systemu lub procesu na organizację.

Najważniejsze pojęcia

Pojęcie	Znaczenie
RTO	Recovery Time Objective — jak szybko system musi wrócić.
RPO	Recovery Point Objective — ile danych można maksymalnie utracić, mierzone czasem.
MTTR	Mean Time to Repair — średni czas naprawy.
MTBF	Mean Time Between Failures — średni czas między awariami.

Te pojęcia są wymienione w oficjalnych celach domeny 5.2 w kontekście Business Impact Analysis.

Jak to działa krok po kroku

Organizacja identyfikuje proces biznesowy.

Wskazuje wspierające go systemy.

Określa skutki przestoju.

Ustala RTO i RPO.

Dobiera backup, replikację i odtwarzanie.

Testuje plan.

Aktualizuje BIA po zmianach.

Przykład praktyczny

System sprzedażowy ma RTO = 1 godzina i RPO = 15 minut. To oznacza, że organizacja chce przywrócić go w ciągu godziny i zaakceptuje utratę maksymalnie 15 minut danych. Zwykły backup raz dziennie nie spełni RPO.

Przykład egzaminacyjny

Scenariusz

Firma może utracić maksymalnie 30 minut danych transakcyjnych. Który wskaźnik to opisuje?

Poprawna odpowiedź:

RPO.

Z czym nie mylić

RTO i RPO są bardzo często mylone. RTO dotyczy czasu niedostępności. RPO dotyczy utraty danych.

Typowe błędy

Częsty błąd to ustalenie ambitnego RTO/RPO bez sprawdzenia, czy architektura faktycznie je spełnia. Deklaracja nie wystarczy — trzeba testować odzyskiwanie.

Definicja do zapamiętania

BIA określa wpływ przerw na biznes, RTO mówi, jak szybko wrócić, RPO mówi, ile danych można utracić, MTTR mierzy czas naprawy, a MTBF czas między awariami.

[OBRAZ: IMG_M06_S02_RISK_BIA_METRICS]

6. SLE, ARO i ALE

Problem

Czasami ryzyko trzeba wyrazić liczbowo. Pozwala to porównać koszt kontroli z potencjalną stratą.

Wyjaśnienie od podstaw

Single Loss Expectancy (SLE) to oczekiwana strata z jednego zdarzenia.

Annualized Rate of Occurrence (ARO) to przewidywana częstotliwość zdarzenia w roku.

Annualized Loss Expectancy (ALE) to oczekiwana roczna strata.

Wzór:

ALE = SLE × ARO

Jak to działa krok po kroku

Ustalasz wartość pojedynczej straty.

Szacujesz, jak często zdarzenie występuje w roku.

Mnożysz SLE przez ARO.

Porównujesz wynik z kosztem kontroli.

Decydujesz, czy kontrola ma sens ekonomiczny.

Przykład praktyczny

Jedna awaria kosztuje firmę 50 000 zł. Szacowana częstotliwość to dwa razy w roku.

SLE = 50 000 zł

ARO = 2

ALE = 100 000 zł rocznie

Jeśli kontrola kosztuje 30 000 zł rocznie i znacząco zmniejsza ryzyko, może być uzasadniona.

Przykład egzaminacyjny

Scenariusz

SLE wynosi 20 000 zł, ARO wynosi 0,5. Ile wynosi ALE?

Poprawna odpowiedź:

10 000 zł.

Z czym nie mylić

Nie myl SLE z ALE. SLE dotyczy jednego zdarzenia. ALE dotyczy oczekiwanej straty rocznej.

Typowe błędy

Częsty błąd to traktowanie obliczeń jako dokładnej prognozy. W praktyce są to szacunki pomagające w decyzji, a nie gwarancja przyszłości.

Definicja do zapamiętania

SLE to strata z jednego zdarzenia, ARO to roczna częstość zdarzenia, a ALE to oczekiwana roczna strata obliczana jako SLE × ARO.

7. Third-party risk management

Problem

Organizacja może mieć dobre zabezpieczenia wewnętrzne, ale nadal być narażona przez dostawców. Dostawca może przetwarzać dane klientów, mieć dostęp VPN, utrzymywać aplikację, dostarczać oprogramowanie albo obsługiwać chmurę.

Wyjaśnienie od podstaw

Third-party risk management to proces oceny i nadzorowania ryzyka wynikającego ze współpracy z dostawcami, partnerami, podwykonawcami i usługami zewnętrznymi.

Obejmuje:

vendor assessment
due diligence
due care
supply chain analysis
right-to-audit clause
monitoring dostawcy
umowy i wymagania bezpieczeństwa
offboarding dostawcy.

Oficjalna domena 5.3 obejmuje procesy związane z oceną i zarządzaniem ryzykiem stron trzecich.

Jak to działa krok po kroku

Organizacja identyfikuje dostawcę i usługę.

Sprawdza, jakie dane i systemy będą dostępne dla dostawcy.

Ocenia zabezpieczenia dostawcy.

Ustala wymagania w umowie.

Wdraża kontrolowany dostęp.

Monitoruje zgodność i incydenty.

Okresowo ponawia ocenę.

Po zakończeniu współpracy odbiera dostęp i potwierdza usunięcie lub zwrot danych.

Dokumenty i klauzule

Element	Kiedy stosować
Service-Level Agreement (SLA)	Gdy trzeba określić poziomy usług, np. dostępność, czas reakcji.
Memorandum of Understanding (MOU)	Gdy strony opisują porozumienie lub współpracę, często mniej formalnie niż kontrakt.
Non-Disclosure Agreement (NDA)	Gdy trzeba chronić poufność informacji.
Right-to-audit clause	Gdy organizacja chce mieć prawo audytować dostawcę.
Rules of engagement	Przy testach bezpieczeństwa, aby określić zakres i zasady.

Przykład praktyczny

Firma zleca zewnętrznemu dostawcy obsługę systemu HR. Dostawca ma dostęp do danych pracowników. Firma powinna sprawdzić zabezpieczenia dostawcy, podpisać NDA, określić SLA, wymagać raportowania incydentów i mieć proces odebrania dostępu po zakończeniu umowy.

Przykład egzaminacyjny

Scenariusz

Firma chce mieć prawo sprawdzić, czy dostawca spełnia wymagania bezpieczeństwa zapisane w umowie. Co powinno znaleźć się w kontrakcie?

Poprawna odpowiedź:

Right-to-audit clause.

Z czym nie mylić

Nie myl SLA z NDA. SLA określa poziom usługi. NDA chroni poufność informacji.

Typowe błędy

Częsty błąd to ocena dostawcy tylko przed podpisaniem umowy. Ryzyko dostawcy trzeba monitorować przez cały czas współpracy.

Definicja do zapamiętania

Third-party risk management to ocena, kontrola i monitorowanie ryzyka wynikającego z dostępu, usług i zależności od dostawców.

[OBRAZ: IMG_M06_S03_VENDOR_RISK_FLOW]

8. Compliance i privacy

Problem

Organizacja może mieć dobre zabezpieczenia techniczne, ale nadal naruszać prawo, umowy, standardy branżowe albo polityki wewnętrzne. Z drugiej strony sama zgodność nie oznacza pełnego bezpieczeństwa.

Wyjaśnienie od podstaw

Compliance oznacza zgodność z wymaganiami: prawnymi, regulacyjnymi, kontraktowymi, branżowymi lub wewnętrznymi.

Privacy dotyczy ochrony danych osobowych i praw osób, których dane dotyczą.

W pojęciach prywatności często pojawiają się:

Pojęcie	Znaczenie
Data subject	Osoba, której dane dotyczą.
Data controller	Podmiot decydujący, po co i jak dane są przetwarzane.
Data processor	Podmiot przetwarzający dane w imieniu administratora/controllera.

Jak to działa krok po kroku

Organizacja identyfikuje wymagania.

Mapuje wymagania na kontrole.

Wdraża polityki, procedury i zabezpieczenia.

Dokumentuje zgodność.

Monitoruje naruszenia.

Przygotowuje raporty.

Reaguje na niezgodności.

Przykład praktyczny

Firma korzysta z dostawcy chmurowego do przetwarzania danych klientów. Firma może być controllerem, a dostawca processorem. Umowa powinna określać, jak dane są chronione, gdzie są przetwarzane, kto ma dostęp i jak zgłaszane są incydenty.

Przykład egzaminacyjny

Scenariusz

Organizacja decyduje, dlaczego i w jaki sposób dane klientów są przetwarzane. Jaką pełni rolę?

Poprawna odpowiedź:

Data controller.

Z czym nie mylić

Compliance nie jest tym samym co security. Organizacja może spełniać minimalne wymagania audytu, ale nadal mieć ryzyka, których audyt nie objął.

Typowe błędy

Częsty błąd to traktowanie zgodności jako celu końcowego. Zgodność jest ważna, ale bezpieczeństwo wymaga ciągłego zarządzania ryzykiem.

Definicja do zapamiętania

Compliance oznacza spełnianie wymagań formalnych, a privacy koncentruje się na ochronie danych osobowych i praw osób, których dane dotyczą.

9. Due diligence i due care

Problem

Po incydencie organizacja może być oceniana nie tylko za to, że doszło do problemu, ale też za to, czy podjęła rozsądne działania, aby mu zapobiec.

Wyjaśnienie od podstaw

Due diligence to staranne sprawdzenie przed podjęciem decyzji. Przykład: ocena bezpieczeństwa dostawcy przed podpisaniem umowy.

Due care to rozsądne, bieżące działania podejmowane w celu ochrony organizacji. Przykład: regularne aktualizacje, przeglądy dostępów i szkolenia.

Jak to działa krok po kroku

Przed decyzją organizacja sprawdza ryzyko — due diligence.

Po podjęciu decyzji wdraża i utrzymuje kontrole — due care.

Dokumentuje działania.

Monitoruje skuteczność.

Poprawia procesy.

Przykład praktyczny

Firma wybiera dostawcę usług płatniczych. Due diligence to sprawdzenie jego zabezpieczeń, certyfikacji, historii incydentów i warunków umowy. Due care to późniejsze monitorowanie SLA, incydentów, dostępów i zmian w usłudze.

Przykład egzaminacyjny

Scenariusz

Firma przed podpisaniem umowy sprawdza zabezpieczenia i raporty audytowe dostawcy. Co wykonuje?

Poprawna odpowiedź:

Due diligence.

Z czym nie mylić

Due diligence jest zwykle „przed”, due care jest „w trakcie”. Oba są potrzebne.

Typowe błędy

Częsty błąd to wykonanie due diligence raz, a potem brak due care. Dostawca i ryzyko zmieniają się w czasie.

Definicja do zapamiętania

Due diligence to staranne sprawdzenie przed decyzją, a due care to rozsądne utrzymywanie ochrony po podjęciu decyzji.

10. Audyty i assessmenty

Problem

Organizacja musi sprawdzać, czy kontrole istnieją i działają. Bez audytów i assessmentów bezpieczeństwo opiera się na deklaracjach.

Wyjaśnienie od podstaw

Audit to formalna ocena zgodności z wymaganiami, politykami, standardami lub regulacjami.

Assessment to ocena stanu bezpieczeństwa, ryzyka lub dojrzałości. Może być mniej formalna niż audyt.

Typy:

Typ	Znaczenie
Internal audit	Audyt wykonywany przez organizację wewnętrznie.
External audit	Audyt wykonywany przez podmiot zewnętrzny.
Self-assessment	Samoocena organizacji lub zespołu.
Independent third-party assessment	Ocena przez niezależną stronę trzecią.
Attestation	Formalne poświadczenie spełnienia wymagań lub stanu kontroli.

Domena 5.5 obejmuje typy i cele audytów oraz assessmentów.

Jak to działa krok po kroku

Ustala się zakres.

Wybiera się kryteria.

Zbiera się dowody.

Porównuje się stan faktyczny z wymaganiami.

Dokumentuje się findings.

Tworzy się plan naprawczy.

Sprawdza się wykonanie działań.

Przykład praktyczny

Audyt wykrywa, że konta byłych pracowników nie są usuwane w wymaganym czasie. Finding trafia do raportu. Plan naprawczy obejmuje automatyzację deprovisioningu, raporty HR-IAM i cykliczne przeglądy kont.

Przykład egzaminacyjny

Scenariusz

Firma potrzebuje niezależnego potwierdzenia, że jej kontrole spełniają wymagania klienta. Co będzie najbardziej odpowiednie?

Poprawna odpowiedź:

External audit albo independent third-party assessment, zależnie od odpowiedzi dostępnych w pytaniu.

Z czym nie mylić

Audyt nie jest tym samym co penetration test. Audyt ocenia zgodność lub kontrole. Penetration test sprawdza, czy określone słabości można wykorzystać w kontrolowanym zakresie.

Typowe błędy

Częsty błąd to traktowanie audytu jako „polowania na winnych”. Dobrze prowadzony audyt powinien poprawiać kontrolę, przejrzystość i odpowiedzialność.

Definicja do zapamiętania

Audyt formalnie sprawdza zgodność i działanie kontroli, a assessment ocenia stan bezpieczeństwa, ryzyka lub dojrzałości.

11. Security awareness

Problem

Nawet najlepsze kontrole techniczne mogą zostać osłabione przez błędy ludzi: kliknięcie phishingu, użycie słabego hasła, podłączenie nieznanego nośnika, udostępnienie danych, zignorowanie procedury albo wpuszczenie osoby bez identyfikatora.

Wyjaśnienie od podstaw

Security awareness to program budowania świadomości bezpieczeństwa wśród pracowników i współpracowników. Nie chodzi o jednorazowe szkolenie, ale o powtarzalny proces uczenia, przypominania, mierzenia i poprawiania zachowań.

Oficjalny cel 5.6 obejmuje m.in. kampanie phishingowe, rozpoznawanie phishingu, reagowanie na zgłoszone podejrzane wiadomości, anomalous behavior recognition, user guidance and training, insider threat, password management, removable media, social engineering, operational security, hybrid/remote work oraz initial i recurring reporting and monitoring.

Jak to działa krok po kroku

Organizacja identyfikuje ryzykowne zachowania.

Tworzy materiały i procedury.

Prowadzi szkolenie początkowe.

Wysyła przypomnienia i mikro-szkolenia.

Organizuje symulacje, np. phishing campaigns.

Mierzy zgłoszenia, kliknięcia i reakcje.

Dostosowuje program do wyników.

Powtarza cykl.

Przykład praktyczny

Po wzroście phishingu firma uruchamia kampanię: szkolenie, symulowane wiadomości, przycisk „zgłoś phishing”, instrukcje dla użytkowników i raporty dla zespołu bezpieczeństwa. Celem nie jest zawstydzanie osób, które kliknęły, ale poprawa zachowania organizacji.

Przykład egzaminacyjny

Scenariusz

Firma chce poprawić zdolność pracowników do rozpoznawania i zgłaszania podejrzanych wiadomości. Co jest najlepszym podejściem?

Poprawna odpowiedź:

Security awareness program z kampaniami phishingowymi, instrukcją zgłaszania i cyklicznym monitoringiem wyników.

Z czym nie mylić

Security awareness nie zastępuje kontroli technicznych. Szkolenie użytkowników powinno działać razem z MFA, email security, DLP, monitoringiem i procedurami.

Typowe błędy

Częsty błąd to jednorazowe szkolenie raz w roku bez mierzenia skuteczności. Drugi błąd to karanie użytkowników za zgłoszenia lub pomyłki, co zniechęca do raportowania.

Definicja do zapamiętania

Security awareness to ciągły program kształtowania bezpiecznych zachowań przez szkolenia, komunikację, ćwiczenia, raportowanie i monitoring.

[OBRAZ: IMG_M06_S04_SECURITY_AWARENESS_CYCLE]

Kluczowe pojęcia

Pojęcie	Znaczenie
Governance	Nadzór, zasady, odpowiedzialności i raportowanie bezpieczeństwa.
Policy	Wysokopoziomowa zasada organizacyjna.
Standard	Konkretne wymaganie, które trzeba spełnić.
Procedure	Instrukcja krok po kroku.
Guideline	Zalecenie lub dobra praktyka.
Risk management	Proces identyfikowania, oceniania i obsługi ryzyk.
Risk register	Rejestr ryzyk, właścicieli, działań i statusów.
Risk appetite	Ogólna gotowość organizacji do przyjęcia ryzyka.
Risk tolerance	Konkretna granica akceptowalnego ryzyka lub odchylenia.
Accept	Akceptacja ryzyka.
Avoid	Uniknięcie ryzyka przez rezygnację z działania.
Transfer	Przeniesienie części skutków ryzyka, np. ubezpieczenie.
Mitigate	Zmniejszenie ryzyka przez kontrole.
BIA	Business Impact Analysis, analiza wpływu na biznes.
RTO	Maksymalny akceptowalny czas niedostępności.
RPO	Maksymalna akceptowalna utrata danych mierzona czasem.
MTTR	Średni czas naprawy.
MTBF	Średni czas między awariami.
SLE	Oczekiwana strata z jednego zdarzenia.
ARO	Roczna częstość zdarzenia.
ALE	Oczekiwana roczna strata.
Third-party risk	Ryzyko wynikające z dostawców i partnerów.
SLA	Umowa o poziomie usługi.
NDA	Umowa o poufności.
MOU	Porozumienie między stronami.
Right-to-audit	Prawo audytu dostawcy.
Compliance	Zgodność z wymaganiami.
Due diligence	Staranne sprawdzenie przed decyzją.
Due care	Rozsądna bieżąca troska o bezpieczeństwo.
Audit	Formalna ocena zgodności lub kontroli.
Assessment	Ocena stanu bezpieczeństwa, ryzyka lub dojrzałości.
Security awareness	Program budowania świadomości bezpieczeństwa.

Przykłady

Przykład 1: Policy, standard, procedure i guideline

Firma chce poprawić bezpieczeństwo haseł.

Policy: „Konta użytkowników muszą być chronione przed nieautoryzowanym dostępem”.

Standard: „Hasła muszą mieć minimum 14 znaków, a dostęp zdalny wymaga MFA”.

Procedure: „Jak użytkownik resetuje hasło i potwierdza tożsamość”.

Guideline: „Używaj menedżera haseł i unikaj ponownego użycia haseł”.

Przykład 2: Ryzyko dostawcy

Dostawca systemu płatności będzie przetwarzał dane klientów. Firma powinna wykonać due diligence, podpisać NDA, ustalić SLA, wymagać zgłaszania incydentów, zapisać right-to-audit i monitorować dostawcę przez cały okres umowy.

Przykład 3: BIA i RTO/RPO

System zamówień jest krytyczny. BIA pokazuje, że godzina niedostępności powoduje duże straty. Firma ustala RTO = 1 godzina i RPO = 15 minut, więc potrzebuje częstej replikacji, testów odtwarzania i monitoringu.

Przykład 4: Security awareness

Firma zauważa wzrost zgłoszeń phishingu. Uruchamia szkolenia, symulacje, prostą procedurę raportowania i mierzy, ilu pracowników zgłasza wiadomości zamiast klikać linki. Wyniki służą do poprawy programu.

Praktyczne zastosowania

Tworzenie hierarchii dokumentów bezpieczeństwa.

Prowadzenie risk register.

Priorytetyzacja inwestycji bezpieczeństwa.

Ustalanie RTO i RPO dla systemów.

Ocena dostawców przed podpisaniem umowy.

Przygotowanie do audytu.

Budowanie programu security awareness.

Łączenie bezpieczeństwa technicznego z decyzjami biznesowymi.

Częste pomyłki

Pomyłka	Dlaczego jest błędna	Poprawne rozumienie
„Policy i procedure to to samo.”	Policy jest ogólna, procedure jest krok po kroku.	Policy mówi co, procedure mówi jak.
„Compliance oznacza pełne bezpieczeństwo.”	Zgodność może obejmować tylko część ryzyk.	Security wymaga ciągłego risk management.
„Transfer usuwa ryzyko.”	Transfer zmniejsza część skutków, zwykle finansowych.	Ryzyko nadal trzeba kontrolować.
„RTO i RPO to to samo.”	RTO dotyczy czasu niedostępności, RPO utraty danych.	RTO = jak szybko wrócić; RPO = ile danych można utracić.
„Najtańszy dostawca jest najlepszy.”	Dostawca może zwiększyć ryzyko.	Trzeba ocenić bezpieczeństwo i umowy.
„NDA określa dostępność usługi.”	NDA chroni poufność.	SLA określa poziom usługi.
„Audyt to penetration test.”	Audyt ocenia zgodność, pentest sprawdza możliwość wykorzystania słabości.	To różne typy oceny.
„Security awareness to jednorazowe szkolenie.”	Skuteczny program jest cykliczny i mierzony.	Awareness wymaga powtarzania i monitoringu.

Typowe błędy

Brak właściciela ryzyka

Ryzyko jest znane, ale nikt nie jest odpowiedzialny za decyzję.

Dokumenty bez egzekwowania

Polityka istnieje, ale nikt nie sprawdza zgodności.

Akceptacja ryzyka bez formalnej decyzji

Brak działania nie jest tym samym co zatwierdzona akceptacja.

BIA bez testów odtwarzania

RTO i RPO są zapisane, ale organizacja nie sprawdziła, czy potrafi je spełnić.

Jednorazowa ocena dostawcy

Dostawca jest sprawdzony przed umową, ale później nikt nie monitoruje zmian.

Compliance jako jedyny cel

Organizacja „zalicza audyt”, ale nie poprawia realnego bezpieczeństwa.

Szkolenia bez mierzenia skuteczności

Brak danych o zgłoszeniach, kliknięciach i zmianie zachowania.

Co trzeba umieć na egzamin

W domenie 5.0 trzeba szczególnie umieć:

rozróżnić policy, standard, procedure i guideline
wyjaśnić governance
wskazać elementy risk management
rozróżnić risk appetite i risk tolerance
dobrać accept, avoid, transfer lub mitigate
rozumieć BIA, RTO, RPO, MTTR i MTBF
obliczyć ALE z SLE i ARO
rozpoznać dokumenty dostawców: SLA, NDA, MOU, right-to-audit
wyjaśnić due diligence i due care
rozpoznać controller, processor i data subject
odróżnić audit od assessment
dobrać awareness training do scenariusza.

Checklista

User powinien umieć:

Wyjaśnić governance.
Odróżnić policy, standard, procedure i guideline.
Opisać proces risk management.
Wyjaśnić risk register.
Odróżnić risk appetite od risk tolerance.
Dobrać strategię accept, avoid, transfer lub mitigate.
Wyjaśnić BIA, RTO, RPO, MTTR i MTBF.
Obliczyć ALE = SLE × ARO.
Wyjaśnić third-party risk management.
Odróżnić SLA, MOU, NDA i right-to-audit.
Wyjaśnić compliance i privacy.
Odróżnić data subject, controller i processor.
Wyjaśnić due diligence i due care.
Odróżnić audit od assessment.
Zaprojektować prosty program security awareness.
Pytania kontrolne
Czym jest governance?
Czym różni się policy od standardu?
Czym różni się procedure od guideline?
Co zawiera risk register?
Czym różni się risk appetite od risk tolerance?
Czym różni się accept od avoid?
Czym różni się transfer od mitigate?
Co oznacza BIA?
Czym różni się RTO od RPO?
Czym różni się MTTR od MTBF?
Jak oblicza się ALE?
Czym różni się SLA od NDA?
Po co stosuje się right-to-audit clause?
Czym różni się due diligence od due care?
Czym różni się data controller od data processor?
Dlaczego compliance nie oznacza pełnego security?
Czym różni się audit od assessment?
Jakie elementy powinien mieć program security awareness?
Odpowiedzi z wyjaśnieniami
Governance to nadzór, zasady i odpowiedzialności związane z bezpieczeństwem.
Pomaga zarządzać bezpieczeństwem jako programem, a nie zbiorem przypadkowych działań.
Policy jest wysokopoziomową zasadą, a standard konkretnym wymaganiem.
Procedure opisuje kroki, a guideline daje zalecenia.
Risk register zawiera ryzyka, właścicieli, prawdopodobieństwo, wpływ, strategię, status i działania.
Risk appetite to ogólna gotowość do przyjęcia ryzyka, a risk tolerance to konkretny próg akceptacji.
Accept oznacza świadomie zaakceptować ryzyko, avoid oznacza zrezygnować z działania tworzącego ryzyko.
Transfer przenosi część skutków ryzyka, mitigate zmniejsza ryzyko przez kontrole.
BIA to Business Impact Analysis, czyli analiza wpływu zakłócenia na biznes.
RTO mówi, jak szybko system musi wrócić, a RPO mówi, ile danych można utracić.
MTTR mierzy średni czas naprawy, a MTBF średni czas między awariami.
ALE = SLE × ARO.
Jeśli SLE = 50 000 zł, a ARO = 2, ALE = 100 000 zł.
SLA określa poziom usługi, NDA chroni poufność informacji.
Right-to-audit clause daje prawo sprawdzenia dostawcy pod kątem wymagań.
Due diligence to staranne sprawdzenie przed decyzją, due care to rozsądne działania ochronne w trakcie.
Controller decyduje o celu i sposobie przetwarzania, processor przetwarza dane w jego imieniu.
Compliance oznacza zgodność z wymaganiami, ale wymagania mogą nie obejmować wszystkich ryzyk.
Audit jest formalną oceną zgodności, assessment ocenia stan bezpieczeństwa, ryzyka lub dojrzałości.
Program awareness powinien obejmować szkolenie początkowe, cykliczne przypomnienia, phishing campaigns, procedurę zgłaszania, pomiar wyników i poprawę programu.
Zadania praktyczne
Laboratorium 1: Policy, standard, procedure, guideline

Cel:

Nauczyć się rozróżniać dokumenty governance.

Kontekst:

Firma chce uporządkować zasady dotyczące haseł i MFA.

Kroki:

Napisz krótką policy dotyczącą ochrony kont.
Napisz trzy standardy techniczne.
Napisz procedurę resetu hasła w 5 krokach.
Napisz dwie guidelines dla użytkowników.
Wskaż, które dokumenty są obowiązkowe, a które zalecane.

Oczekiwany rezultat:

Cztery różne dokumenty lub fragmenty dokumentów.

Kryteria zaliczenia:

Policy jest wysokopoziomowa.
Standardy są konkretne i mierzalne.
Procedura ma kroki.
Guideline jest zaleceniem.
Nie pomylono policy z procedure.

To ćwiczenie wykonuj wyłącznie w legalnym, kontrolowanym środowisku laboratoryjnym. Nie stosuj go wobec cudzych systemów, sieci ani kont.

Laboratorium 2: Risk register i strategia odpowiedzi

Cel:

Przećwiczyć dokumentowanie ryzyka.

Kontekst:

Ryzyko	Przykład
Phishing użytkowników	Możliwe przejęcie kont.
Brak backupu systemu sprzedażowego	Możliwa długotrwała niedostępność.
Dostawca ma dostęp VPN 24/7	Możliwe nadużycie lub przejęcie dostępu.
Stary system legacy bez patchy	Podatność niemożliwa do szybkiej naprawy.

Kroki:

Dla każdego ryzyka wskaż właściciela.
Oceń prawdopodobieństwo i wpływ: niski/średni/wysoki.
Wybierz strategię: accept, avoid, transfer lub mitigate.
Zaproponuj działania.
Wskaż ryzyko rezydualne.

Oczekiwany rezultat:

Prosty risk register.

Kryteria zaliczenia:

Każde ryzyko ma właściciela.
Strategia pasuje do scenariusza.
Dla legacy system rozważono kontrolę kompensacyjną.
Dla dostawcy uwzględniono ograniczenie dostępu.
Nie potraktowano braku działania jako formalnej akceptacji.

To ćwiczenie wykonuj wyłącznie w legalnym, kontrolowanym środowisku laboratoryjnym. Nie stosuj go wobec cudzych systemów, sieci ani kont.

Laboratorium 3: BIA i obliczenie ALE

Cel:

Połączyć wpływ biznesowy z prostą analizą ilościową.

Kontekst:

System zamówień generuje 20 000 zł przychodu na godzinę. Awaria trwa średnio 3 godziny. Zdarza się około 2 razy w roku. Firma chce ograniczyć stratę przez inwestycję w rozwiązanie HA kosztujące 50 000 zł rocznie.

Kroki:

Oblicz SLE.
Ustal ARO.
Oblicz ALE.
Porównaj ALE z kosztem kontroli.
Wskaż dodatkowe czynniki, których same liczby nie pokazują.

Oczekiwany rezultat:

SLE = 60 000 zł.
ARO = 2.
ALE = 120 000 zł.
Kontrola za 50 000 zł może być uzasadniona, jeśli realnie ograniczy straty.

Kryteria zaliczenia:

Poprawnie obliczono SLE.
Poprawnie wskazano ARO.
Poprawnie obliczono ALE.
Uwzględniono, że liczby są szacunkiem.
Uwzględniono reputację, klientów i SLA jako dodatkowe czynniki.

To ćwiczenie wykonuj wyłącznie w legalnym, kontrolowanym środowisku laboratoryjnym. Nie stosuj go wobec cudzych systemów, sieci ani kont.

Mini-test

Pytanie 1

Który dokument opisuje wysokopoziomową zasadę organizacyjną?

A. Policy

B. Procedure

C. Packet capture

D. NetFlow

Poprawna odpowiedź:

Wyjaśnienie:

Policy opisuje wysokopoziomową zasadę.

Dlaczego pozostałe odpowiedzi są gorsze:

B: Procedure opisuje kroki.
C i D: To źródła danych technicznych, nie dokumenty governance.
Pytanie 2

Firma chce określić konkretne wymaganie: „hasło musi mieć minimum 14 znaków”. Co to jest?

A. Standard

B. Guideline

C. BIA

D. DLP

Poprawna odpowiedź:

Wyjaśnienie:

Standard definiuje konkretne wymaganie, które można sprawdzić.

Dlaczego pozostałe odpowiedzi są gorsze:

B: Guideline jest zaleceniem.
C: BIA analizuje wpływ biznesowy.
D: DLP chroni przed wypływem danych.
Pytanie 3

RTO określa:

A. Ile danych można maksymalnie utracić
B. Jak szybko system musi wrócić po przerwie
C. Numer podatności
D. Umowę o poufności

Poprawna odpowiedź:

Wyjaśnienie:

RTO dotyczy maksymalnego akceptowalnego czasu niedostępności.

Dlaczego pozostałe odpowiedzi są gorsze:

A: To RPO.
C: To CVE.
D: To NDA.
Pytanie 4

SLE wynosi 10 000 zł, ARO wynosi 3. Ile wynosi ALE?

A. 3 000 zł

B. 10 003 zł

C. 30 000 zł

D. 300 000 zł

Poprawna odpowiedź:

Wyjaśnienie:

ALE = SLE × ARO = 10 000 × 3 = 30 000 zł.

Dlaczego pozostałe odpowiedzi są gorsze:

A, B, D: Nie wynikają z poprawnego wzoru.
Pytanie 5

Firma kupuje cyber insurance. Jaka to strategia odpowiedzi na ryzyko?

A. Transfer

B. Avoid

C. Eradication

D. Deprovisioning

Poprawna odpowiedź:

Wyjaśnienie:

Ubezpieczenie przenosi część skutków finansowych ryzyka.

Dlaczego pozostałe odpowiedzi są gorsze:

B: Avoid oznacza rezygnację z ryzykownego działania.
C: Eradication to etap incident response.
D: Deprovisioning dotyczy kont.
Pytanie 6

Który dokument chroni poufność informacji przekazywanych dostawcy?

A. NDA

B. SLA

C. RPO

D. MTBF

Poprawna odpowiedź:

Wyjaśnienie:

NDA to Non-Disclosure Agreement, czyli umowa o poufności.

Dlaczego pozostałe odpowiedzi są gorsze:

B: SLA określa poziom usługi.
C: RPO dotyczy utraty danych.
D: MTBF dotyczy awaryjności.
Pytanie 7

Firma chce mieć prawo sprawdzić zabezpieczenia dostawcy. Co powinna dodać do umowy?

A. Right-to-audit clause

B. Data masking

C. Tailgating

D. Password spraying

Poprawna odpowiedź:

Wyjaśnienie:

Right-to-audit clause daje prawo do audytu dostawcy.

Dlaczego pozostałe odpowiedzi są gorsze:

B: To metoda ochrony danych.
C: To technika wejścia fizycznego za kimś.
D: To atak na hasła.
Pytanie 8

Organizacja decyduje, po co i jak przetwarzać dane klientów. Jaką pełni rolę?

A. Data controller

B. Data subject

C. Packet broker

D. Cold site

Poprawna odpowiedź:

Wyjaśnienie:

Controller decyduje o celu i sposobie przetwarzania danych.

Dlaczego pozostałe odpowiedzi są gorsze:

B: Data subject to osoba, której dane dotyczą.
C i D: Nie dotyczą prywatności.
Pytanie 9

Firma przed podpisaniem umowy sprawdza bezpieczeństwo dostawcy. Co wykonuje?

A. Due diligence

B. Due care

C. Recovery

D. Tokenization

Poprawna odpowiedź:

Wyjaśnienie:

Due diligence to staranne sprawdzenie przed decyzją.

Dlaczego pozostałe odpowiedzi są gorsze:

B: Due care to bieżące rozsądne działania.
C: Recovery to odtwarzanie działania.
D: Tokenization to ochrona danych.
Pytanie 10

Najlepszy opis security awareness to:

A. Jednorazowe szkolenie bez pomiaru
B. Cykliczny program uczenia, ćwiczeń, raportowania i poprawy zachowań
C. Szyfrowanie dysków serwerowych
D. Wyłączenie logów

Poprawna odpowiedź:

Wyjaśnienie:

Awareness powinien być cykliczny, mierzony i dostosowywany do ryzyk.

Dlaczego pozostałe odpowiedzi są gorsze:

A: Jednorazowe szkolenie jest niewystarczające.
C: To kontrola techniczna.
D: Pogarsza bezpieczeństwo.
Fiszki

Przód fiszki	Tył fiszki
Co to jest governance?	Nadzór, zasady i odpowiedzialności dotyczące bezpieczeństwa.
Policy vs standard?	Policy jest ogólna; standard jest konkretnym wymaganiem.
Procedure vs guideline?	Procedure to kroki; guideline to zalecenie.
Co to jest risk register?	Rejestr ryzyk, właścicieli, działań i statusów.
Risk appetite vs risk tolerance?	Appetite jest ogólny; tolerance to konkretny próg.
Accept vs avoid?	Accept akceptuje ryzyko; avoid rezygnuje z działania tworzącego ryzyko.
Transfer vs mitigate?	Transfer przenosi część skutków; mitigate zmniejsza ryzyko kontrolami.
Co oznacza BIA?	Business Impact Analysis, analiza wpływu na biznes.
RTO vs RPO?	RTO = jak szybko wrócić; RPO = ile danych można utracić.
MTTR vs MTBF?	MTTR = średni czas naprawy; MTBF = średni czas między awariami.
Co oznacza SLE?	Oczekiwana strata z jednego zdarzenia.
Co oznacza ARO?	Roczna częstość zdarzenia.
Co oznacza ALE?	Oczekiwana roczna strata: SLE × ARO.
Co to jest third-party risk?	Ryzyko wynikające z dostawców i partnerów.
SLA vs NDA?	SLA określa poziom usługi; NDA chroni poufność.
Co to jest MOU?	Memorandum of Understanding, porozumienie między stronami.
Co daje right-to-audit clause?	Prawo do audytu dostawcy.
Due diligence vs due care?	Diligence = sprawdzenie przed; care = bieżąca troska.
Data subject vs controller?	Subject to osoba; controller decyduje o przetwarzaniu.
Controller vs processor?	Controller decyduje; processor przetwarza w jego imieniu.
Compliance vs security?	Compliance to zgodność; security to zarządzanie realnym ryzykiem.
Audit vs assessment?	Audit formalnie sprawdza zgodność; assessment ocenia stan lub ryzyko.
Co to jest security awareness?	Cykliczny program budowania bezpiecznych zachowań.

Obrazy do wygenerowania

IMG_M06_S01_GRC_OVERVIEW

Miejsce w materiale:

Sekcja „Wprowadzenie”.

Cel obrazu:

Pokazać, jak governance, risk i compliance łączą się w program bezpieczeństwa.

Opis obrazu do wygenerowania:

Diagram z trzema filarami: Governance, Risk Management, Compliance. Pod Governance: policy, standard, procedure, roles. Pod Risk Management: risk register, appetite, tolerance, treatment. Pod Compliance: audits, legal/regulatory requirements, privacy. Nad filarami: Security Program Management. Pod spodem: continuous improvement.

Styl:

Infografika organizacyjna / diagram GRC.

Elementy obowiązkowe:

governance
risk management
compliance
policies
standards
procedures
risk register
audits
privacy
continuous improvement.

Elementy, których unikać:

ozdobników bez znaczenia
zbyt dużej liczby skrótów
nieczytelnych ikon.
IMG_M06_S02_RISK_BIA_METRICS

Miejsce w materiale:

Sekcja „BIA, RTO, RPO, MTTR i MTBF”.

Cel obrazu:

Wyjaśnić różnicę między RTO, RPO, MTTR i MTBF.

Opis obrazu do wygenerowania:

Oś czasu pokazująca awarię. Przed awarią punkt ostatniej kopii danych opisany jako RPO. Od momentu awarii do przywrócenia systemu strzałka RTO. Osobno pokaż MTTR jako średni czas naprawy i MTBF jako średni czas między awariami. Dodaj krótką ramkę: „BIA determines business impact”.

Styl:

Diagram osi czasu / infografika edukacyjna.

Elementy obowiązkowe:

outage
last backup/recovery point
RPO
RTO
MTTR
MTBF
BIA.

Elementy, których unikać:

skomplikowanych wzorów
zbyt długich opisów
przypadkowych ikon.
IMG_M06_S03_VENDOR_RISK_FLOW

Miejsce w materiale:

Sekcja „Third-party risk management”.

Cel obrazu:

Pokazać proces oceny i nadzoru dostawcy.

Opis obrazu do wygenerowania:

Diagram procesu: identify vendor → data/system access analysis → due diligence → contract requirements → SLA/NDA/right-to-audit → controlled onboarding → monitoring → reassessment → offboarding/access removal/data return. Dodaj boczną etykietę: supply chain risk.

Styl:

Schemat procesu zarządzania dostawcą.

Elementy obowiązkowe:

vendor identification
due diligence
contract requirements
SLA
NDA
right-to-audit
monitoring
reassessment
offboarding
access removal.

Elementy, których unikać:

nazw realnych firm
szczegółów prawnych
nadmiaru tekstu.
IMG_M06_S04_SECURITY_AWARENESS_CYCLE

Miejsce w materiale:

Sekcja „Security awareness”.

Cel obrazu:

Pokazać awareness jako cykl, a nie jednorazowe szkolenie.

Opis obrazu do wygenerowania:

Cykliczny diagram: identify risky behaviors → develop training → initial training → phishing campaign/simulation → reporting suspicious activity → measure results → targeted reinforcement → recurring training. W środku: „behavior change, not one-time training”.

Styl:

Schemat cyklu edukacyjnego.

Elementy obowiązkowe:

initial training
recurring training
phishing campaign
suspicious message reporting
metrics
reinforcement
hybrid/remote work
insider threat awareness.

Elementy, których unikać:

zawstydzania użytkowników
symboli kary
przesadnego tekstu.
Pokrycie wymagań egzaminacyjnych

Wymaganie egzaminacyjne SY0-701	Gdzie jest omówione	Poziom pokrycia	Uwagi
5.1 Summarize elements of effective security governance	Governance; policy/standard/procedure/guideline	Pełny	Omówiono dokumenty, role, odpowiedzialności i nadzór.
5.2 Explain elements of the risk management process	Risk management; appetite/tolerance; BIA; SLE/ARO/ALE	Pełny	Uwzględniono strategie ryzyka, risk register, BIA i metryki.
5.3 Explain third-party risk assessment and management	Third-party risk management	Pełny	Uwzględniono due diligence, SLA, MOU, NDA, right-to-audit i monitoring.
5.4 Summarize elements of effective security compliance	Compliance i privacy	Pełny	Uwzględniono zgodność, privacy, controller, processor i data subject.
5.5 Explain types and purposes of audits and assessments	Audyty i assessmenty	Pełny	Omówiono internal/external audit, self-assessment, independent assessment i attestation.
5.6 Given a scenario, implement security awareness practices	Security awareness	Pełny	Uwzględniono phishing campaigns, anomalous behavior, user guidance, reporting i monitoring.

Co warto powtórzyć przed przejściem dalej

Policy vs standard vs procedure vs guideline.

Risk appetite vs risk tolerance.

Accept vs avoid vs transfer vs mitigate.

RTO vs RPO.

MTTR vs MTBF.

SLE, ARO, ALE.

SLA vs NDA vs MOU.

Due diligence vs due care.

Controller vs processor vs data subject.

Audit vs assessment.

Awareness jako cykl.

Kontrola kompletności modułu

Zakres z konspektu pokryty:

governance
polityki, standardy, procedury i wytyczne
risk management
risk register
risk appetite i risk tolerance
strategie odpowiedzi na ryzyko
BIA, RTO, RPO, MTTR, MTBF
SLE, ARO, ALE
third-party risk management
SLA, MOU, NDA i right-to-audit
compliance i privacy
due diligence i due care
audyty i assessmenty
security awareness
ćwiczenia, mini-test, fiszki, obrazy i pokrycie wymagań.

Zakres wymagający pogłębienia:

więcej pytań scenariuszowych z dokumentów i strategii ryzyka pojawi się w module 7
połączenie BIA z technicznym disaster recovery można powtórzyć razem z modułem 3
awareness można dodatkowo przećwiczyć przez scenariusze phishingowe w module egzaminacyjnym.

Najważniejsze rzeczy do zapamiętania:

Governance nadaje kierunek i odpowiedzialność.
Risk management wymaga właściciela, oceny, decyzji i monitorowania.
RTO dotyczy czasu powrotu, RPO utraty danych.
ALE = SLE × ARO.
Third-party risk trzeba monitorować przez cały cykl współpracy.
Compliance nie jest równoznaczne z pełnym bezpieczeństwem.
Awareness działa, gdy jest cykliczny, mierzony i wspierany procedurami.

Czy materiał wystarcza do opanowania tej części:

Tak, jako pełne wprowadzenie do domeny 5.0 Security Program Management and Oversight na poziomie Security+ SY0-701.

Potencjalne luki:

Warto zrobić dodatkową powtórkę z obliczeń SLE/ARO/ALE.
Warto przećwiczyć scenariusze z doborem dokumentu: SLA, NDA, MOU, policy, standard, procedure.
Warto połączyć ten moduł z modułem 7 przez pytania egzaminacyjne typu „best answer”.
Kontrola głębokości wyjaśnień
Ważne pojęcia zostały rozwinięte, a nie tylko wymienione.
Przy kluczowych pojęciach pokazano problem, mechanizm, przykład praktyczny, scenariusz egzaminacyjny, pomyłki i definicję.
Dodano checklistę, pytania kontrolne, odpowiedzi, laboratoria, mini-test, fiszki i opisy obrazów.
Ćwiczenia są defensywne i przeznaczone do legalnego, kontrolowanego środowiska.
Struktura odpowiada zasadom generowania właściwego materiału szkoleniowego.