Tydzień 1 — Fundament (dni 1–7)
D1 CIA i po co są kontrole Poufność, integralność, dostępność + rola kontroli bezpieczeństwa. D2 Aktywa: lista 10 Zrób listę aktywów (systemy, dane, konta, procesy). D3 Zagrożenia vs podatności Rozróżnij: co może się stać vs co to umożliwia. D4 Ryzyko: macierz P×I Prosty model: prawdopodobieństwo i wpływ. D5 Kontrole: prewencja/detekcja/reakcja Przykłady kontroli: blokuj, wykrywaj, reaguj. D6 Dowody (proof) Co jest dowodem spełnienia kontroli (artefakt). D7 Podsumowanie tygodnia 1 strona notatek + 3 ryzyka, które widzisz najczęściej.
Tydzień 2 — Polityki (dni 8–14)
D8 Polityka haseł + MFA Minimum: MFA, manager haseł, brak współdzielenia kont. D9 Backup: RPO/RTO Po ludzku: ile danych możesz stracić i jak długo trwa powrót. D10 Dostępy i role Zasada najmniejszych uprawnień + proces nadawania/odbierania. D11 Urządzenia i aktualizacje Update, EDR/AV (pojęciowo), szyfrowanie, blokada ekranu. D12 Incydenty: proces Kto zgłasza, kto reaguje, co zbierać jako dowody. D13 Szkolenia: sensowny plan Minimum: phishing, hasła, zgłaszanie incydentów, dane. D14 Podsumowanie polityk Skrót: 5 polityk w 5 akapitach (prosto i jasno).
Tydzień 3 — Audyt (dni 15–21)
D15 Dowody audytowe Co jest dowodem, co opinią, a co “ładnym PDF-em”. D16 Wywiad: 10 pytań Przygotuj pytania do IT/HR/finansów o bezpieczeństwo. D17 Checklista: 10 kontroli Lista kontroli, które sprawdzisz w mini-audycie. D18 Niezgodności Opis: stan obecny, ryzyko, wymaganie, rekomendacja. D19 Rekomendacje “testowalne” Takie, które da się sprawdzić (MFA, backup testowany itd.). D20 Plan działań 30/60/90 Priorytety: quick wins vs większe zmiany. D21 Szkic raportu Wstęp, zakres, obserwacje, ryzyka, rekomendacje, plan.
Tydzień 4 — Portfolio (dni 22–30)
D22 Zakres mini-audytu Wybierz 4 obszary: dostęp, backup, aktualizacje, incydenty. D23 Ocena ryzyka: 5 ryzyk P/I + kontrola redukująca + właściciel ryzyka. D24 Dowody: co byś zebrał Lista artefaktów: ustawienia, polityki, logi, raporty. D25 10 rekomendacji Ułóż rekomendacje w priorytetach (1–3 najważniejsze). D26 Raport v1 Pierwsza wersja: krótko, jasno, bez lania wody. D27 Raport v2 Popraw czytelność: nagłówki, checklisty, konkrety. D28 Repo GitHub Checklist, macierz ryzyka i raport (PDF/MD) w jednym miejscu. D29 Post na LinkedIn “Mini-audyt: 3 wnioski + 3 rekomendacje” + link do repo. D30 Final CV + następny krok: drugi mini-audyt lub staż/junior.