الوحدة الأولى: إدارة الأمن والمخاطر (Security and Risk Management)

• فهم، والالتزام، وتعزيز الأخلاقيات المهنية.

• استيعاب وتطبيق مفاهيم الأمن الأساسية.

• تقييم وتطبيق مبادئ حوكمة الأمن.

• تحديد متطلبات الامتثال والمتطلبات الأخرى.

• فهم القضايا القانونية والتنظيمية المرتبطة بأمن المعلومات في سياق شامل.

• التعرف على متطلبات أنواع التحقيقات (إدارية، جنائية، مدنية، تنظيمية، معايير صناعية).

• تطوير، وتوثيق، وتنفيذ السياسات والمعايير والإجراءات والإرشادات الأمنية.

• تحديد، وتحليل، وترتيب أولويات متطلبات استمرارية الأعمال (BC).

• المساهمة في وضع وتطبيق سياسات وإجراءات أمن الموظفين.

• فهم وتطبيق مفاهيم إدارة المخاطر.

• فهم وتطبيق نمذجة التهديدات ومناهجها.

• تطبيق مفاهيم إدارة مخاطر سلسلة التوريد (SCRM).

• إنشاء والحفاظ على برنامج للتوعية والتثقيف والتدريب الأمني.

الوحدة الثانية: أمن الأصول (Asset Security)

• تحديد وتصنيف المعلومات والأصول.

• وضع متطلبات التعامل مع المعلومات والأصول.

• تخصيص الموارد بشكل آمن.

• إدارة دورة حياة البيانات.

• ضمان الاحتفاظ المناسب بالأصول (مثل: نهاية العمر الافتراضي EOL، نهاية الدعم EOS).

• تحديد ضوابط أمن البيانات ومتطلبات الامتثال.

الوحدة الثالثة: هندسة وبنية الأمن (Security Architecture and Engineering)

• البحث، والتطبيق، وإدارة عمليات الهندسة باستخدام مبادئ التصميم الآمن.

• فهم المفاهيم الأساسية لنماذج الأمن (مثل: Biba، نموذج النجمة Star Model، Bell-LaPadula).

• اختيار الضوابط استنادًا إلى متطلبات أمان الأنظمة.

• فهم قدرات الأمان في أنظمة المعلومات (IS) (مثل: حماية الذاكرة، الوحدة الموثوقة TPM، التشفير وفك التشفير).

• تقييم ومعالجة الثغرات في البنى الأمنية، التصاميم، وعناصر الحلول.

• اختيار وتحديد الحلول التشفيرية المناسبة.

• فهم أساليب الهجمات الكسرية على التشفير (Cryptanalytic attacks).

• تطبيق مبادئ الأمان على تصميم المواقع والمرافق.

• تصميم ضوابط أمنية خاصة بالمواقع والمرافق.

الوحدة الرابعة: أمن الاتصالات والشبكات (Communication and Network Security)

• تقييم وتطبيق مبادئ التصميم الآمن في بنى الشبكات.

• تأمين مكوّنات الشبكة.

• تنفيذ قنوات اتصال آمنة وفقًا للتصميم.

الوحدة الخامسة: إدارة الهوية والوصول (Identity and Access Management – IAM)

• التحكم في الوصول المادي والمنطقي إلى الأصول.

• إدارة التعريف والمصادقة للأشخاص، والأجهزة، والخدمات.

• تطبيق الهوية الموحّدة (Federated Identity) مع خدمات طرف ثالث.

• تنفيذ وإدارة آليات التفويض (Authorization Mechanisms).

• إدارة دورة حياة توفير الهوية والوصول (Provisioning Lifecycle).

الوحدة السادسة: تقييم الأمن والاختبارات (Security Assessment and Testing)

• تصميم والتحقق من استراتيجيات التقييم، الاختبار، والتدقيق.

• إجراء اختبارات ضوابط الأمن.

• جمع بيانات عمليات الأمن (تقنية وإدارية).

• تحليل مخرجات الاختبار وإعداد التقارير.

• تنفيذ أو تسهيل المراجعات والتدقيقات الأمنية.

الوحدة السابعة: العمليات الأمنية (Security Operations)

• فهم والامتثال لمتطلبات التحقيقات.

• تنفيذ أنشطة التسجيل والمراقبة.

• القيام بإدارة التهيئة (CM) مثل: التوفير، التوحيد القياسي، الأتمتة.

• تطبيق المفاهيم الأساسية للعمليات الأمنية.

• تطبيق حماية الموارد.

• تنفيذ إدارة الحوادث الأمنية.

• تشغيل وصيانة الضوابط الاكتشافية والوقائية.

• تنفيذ ودعم إدارة التحديثات (Patch Management) وإدارة الثغرات.

• فهم والمشاركة في عمليات إدارة التغيير.

• تنفيذ استراتيجيات الاستعادة.

• تطبيق عمليات التعافي من الكوارث (DR).

• اختبار خطط التعافي من الكوارث (DRP).

• المشاركة في تخطيط وتمارين استمرارية الأعمال (BC).

• تنفيذ وإدارة الأمن المادي.

• معالجة قضايا سلامة وأمن الأفراد.

الوحدة الثامنة: أمن تطوير البرمجيات (Software Development Security)

• فهم ودمج الأمن في دورة حياة تطوير البرمجيات (SDLC).

• تحديد وتطبيق ضوابط الأمن في بيئات تطوير البرمجيات.

• تقييم فعالية أمن البرمجيات.

• تقييم الأثر الأمني للبرمجيات المقتناة.

• وضع وتطبيق إرشادات ومعايير البرمجة الآمنة.