مقدمه
در ایران، اکوسیستم امنیت سایبری با چند تهدید همزمان روبهروست: حملات دولت ها ، رشد حملات باجافزاری، وابستگی شدید به Legacy Systems، ضعف در Governance، خلأ در مدیریت ریسک سازمانی، پیچیدگی زنجیره تأمین، و از همه مهمتر نبود نقش «CISO» در ساختارهای رسمی. بیشتر سازمانها امنیت را بهعنوان یک وظیفهٔ فنی میبینند، نه یک مسئولیت مدیریتی و استراتژیک. همین مسئله موجب میشود امنیت به شکل واکنشی و جزیرهای اجرا شود، هزینهها افزایش یابد و ریسکهای حیاتی بدون مالک باقی بمانند.
دورهٔ حاضر با ادغام بهترین چارچوبهای جهان - ISSMP و CISMو CCISOو Harvard – خلأیی را پر میکند که تاکنون در ایران برایش راهکاری وجود نداشته است.
این دوره نهتنها دانش امنیت را منتقل میکند، بلکه CISO را به یک رهبر سازمانی تبدیل میکند: کسی که میتواند ریسک را ترجمه کند، مدیریت ارشد را قانع کند، بودجه بگیرد، برنامه امنیت بنویسد، تابآوری سازمان را افزایش دهد، و فرهنگ امنیت را در کسبوکار نهادینه کند.
در محیطی که تهدیدها به سرعت تغییر میکنند و فناوریهای نوین مثل Cloud، Kubernetes، AI و Zero Trust وارد سازمان شدهاند، وجود یک CISO حرفهای دیگر یک انتخاب نیست، بلکه پیشنیاز بقای سازمان است.
این دوره توسط آکادمی آموزش روزبه و شرکت هامون با بالاترین سطح استاندارد برگزار میشود.
برای ثبت نام و رزرو با واتس اپ 09902857290 یا شرکت هامون www.haumoun.com واحد آموزش تماس حاصل نمایید.
بخش ۱: Security Governance، استراتژی و مدیریت مالی
این بخش ستون فقرات دوره است و با معیارهای ISSMP و Harvard طراحی شده.
نشانهٔ بلوغ یک CISO درک او از Governance است، نه ابزارهای فنی.
زیرسرفصلها
ساختارهای Governance و مدلهای صدور اختیار (RACI، ATO و نقش Authorizing Official)
تحلیل نابالغی امنیت در ایران: نبود ATO، عدم پذیرش ریسک، سیاستگذاری واکنشی
طراحی Security Strategy منطبق با مأموریت کسبوکار و مدل Operating Model
مدیریت مالی امنیت: Budgets، CapEx، OpEx، ROI و Cost Avoidance
ساخت KPIs و KRIs در سطح هیئتمدیره و ارائهٔ گزارش Executive-Level
در این فصل، CISO یاد میگیرد که امنیت را از نگاه مدیرعامل ببیند: چطور بودجه توجیه شود؟ چطور نشان دهد که یک کنترل امنیتی باعث کاهش ریسک مالی شده؟ چطور ریسک را قابلفهم، عددی و قابلتصمیم کند؟
استانداردهای ارجاع: ISSMP Domain 1 و Domain 5، CISM Governance Domain، CCISO Domain 1، Harvard Cyber Risk Framework.
بخش ۲: Enterprise Risk Management و Third‑Party / Supply Chain Security
بخش دوم کاملًا منطبق بر CISM و ISSMP است، با ادغام نگاه Harvard به «Risk Framing».
زیرسرفصلها
مدلهای کمی و کیفی تحلیل ریسک (FAIR، ISO 27005، NIST 800‑30)
پذیرش، انتقال، کاهش و اجتناب از ریسک + ضعف ساختاری ایران در پذیرش ریسک
مدیریت ریسک اشخاص ثالث: Vendor Scoring، TPRM و SLA/OLA امنیتی
مدلسازی ریسک زنجیره تأمین دیجیتال (Software Supply Chain، DevOps، CI/CD)
ساخت Risk Register و Roadmap برای هیئتمدیره
اینجا CISO یاد میگیرد که ریسک را نه از دید تکنیکال بلکه از دید مالی، عملیاتی و حقوقی تحلیل کند. در ایران، شکست بسیاری از پروژهها به دلیل نبود Risk Owner است. این فصل ریشه این مشکل را میشکافد و ساختار درست را ارائه میدهد.
ارجاعات: CISM Domain 2، CCISO Risk Domain، ISSMP Risk Management Framework.
بخش ۳: Security Program Management، Enterprise Architecture و Maturity
این فصل قلب عملیاتی نقش CISO است و دقیقاً بر ISSMP Domain 4 و CCISO Domain 3 منطبق است.
زیرسرفصلها
طراحی Enterprise Security Architecture بر اساس SABSA، TOGAF و Zero Trust
ساخت Security Program و Security Portfolio
طراحی Security Controls Stack: IAM، PAM، EDR/XDR، DLP، SIEM، DRP، CSPM
مدیریت بلوغ امنیت با CMMI و مدل MIT CISR
تحول دیجیتال، Cloud، Container Security و تأثیر آن بر نقش CISO
اینجا CISO یاد میگیرد چگونه یک سازمان بزرگ را معمارانه ایمن کند؛ چطور سیاستها را بر اساس معماری تعریف کند، چطور برنامههای چندلایه امنیتی طراحی کند، و چطور بلوغ سازمان را افزایش دهد.
در ایران، بیشتر سازمانها ابزار دارند اما معماری ندارند؛ این فصل دقیقاً این مشکل را رفع میکند.
بخش ۴: قانون، تطبیق، Governance و Audit
در این فصل استانداردهای ISSMP Domain 2، CISM و CCISO Domain 5 ترکیب شدهاند.
زیرسرفصلها
قوانین و مسئولیتهای حقوقی CISO (ایران + استانداردهای بینالمللی)
اصول کاهش مسئولیت حقوقی مدیران (Liability Reduction)
طراحی نظام Compliance منطبق بر ISO 27001، 27014، NIST CSF، GDPR-like Models
مدیریت Audit داخلی و خارجی
Governance تطبیقی: ساخت چرخهٔ Policy : Control : Evidence : Audit
در ایران، بسیاری از مدیران از امضا کردن بیزارند زیرا مسئولیت حقوقی شفاف نیست. این فصل یاد میدهد چطور CISO میتواند ساختار مسئولیت را درست تعریف کند، Risk Acceptance را رسمیسازی کند و بار حقوقی را شفاف و قابل مدیریت کند.
بخش ۵: SOC Oversight، Incident Response و Business Resilience
این فصل ادغام CISM، CCISO، ISSMP و Harvard در یک بستهٔ عملیاتی است.
زیرسرفصلها
اصول رهبری SOC برای C‑Level: Metrics، Runbooks، MTTD/MTTR، Threat Hunting
Incident Response Lifecycle و نقش CISO در بحران
مدیریت رسانه، هیئتمدیره و بحران سازمانی (Harvard Crisis Leadership)
BCP، DRP و Cyber Resilience: طراحی نقشه محافظت از کسبوکار
مدیریت بحرانهای خاص ایران: حملات باجافزاری، تخریب داده، تهدیدات هدفمند
در این فصل تمرکز بر این است که CISO در بحران چگونه تصمیم بگیرد، چگونه شرکت را از سقوط نجات دهد، و چگونه Narrative درست بسازد تا سازمان نترسد، رسانهها هدایت شوند، و تیمها کارآمد بمانند.
بخش ۶: Leadership، نفوذ بینفردی و قدرت اقناع (Harvard + CCISO)
جایی که CISO از «کارشناس امنیت» به «رهبر تحول» تبدیل میشود.
زیرسرفصلها
مهارتهای نفوذ، قدرت اقناع، ارتباط با هیئتمدیره و مدیریت انتظارات
هنر داستانسازی امنیت (Cyber Storytelling)
مدیریت تعارض: DevOps، Finance، Project Management
Internal Networking: ایجاد متحدان در IT، HR، Finance، Legal
تغییر فرهنگ سازمانی و مدیریت ریسک انسانی
اینجا همان چیزی است که Harvard Cyber Program بر آن تمرکز دارد:
امنیت یک عملیات انسانی است، نه صرفاً فنی.
بدون نفوذ، CISO فقط یک کارشناس بیقدرت است.
بخش ۷: برنامهریزی امنیت، Roadmap و اجرای تحول
این فصل خروجیمحور است و نتیجه نهایی دوره را میسازد.
زیرسرفصلها
طراحی Security Master Plan
تدوین Roadmap سهساله منطبق بر خطرات و بودجه
اجرای پروژههای امنیتی در سازمانهای ایرانی با چالشهای واقعی
ساخت KPIهای تحول امنیت
ارزیابی نهایی بلوغ و ساخت Governance Cycle
این فصل تضمین میکند که دانشجو پس از پایان دوره بتواند واقعاً یک برنامه امنیتی بنویسد و اجرا کند.
این دوره توسط آکادمی روزبه و شرکت هامون با بالاترین سطح استاندارد برگزار میشود.
برای ثبت نام و رزرو با واتس اپ 09902857290 یا شرکت هامون www.haumoun.com واحد آموزش تماس حاصل نمایید.
