Sécurisation de l’information SCTY
Définition et opération d’un cadre de contrôles de sécurité et de stratégies de gestion de la sécurité.
Notes d’orientation
Les activités peuvent inclure, mais ne sont pas limitées à :
- sélectionner et adapter des cadres de sécurité pour protéger la confidentialité, l’intégrité et la disponibilité des systèmes
- mettre en œuvre des contrôles de sécurité, y compris des mesures physiques, procédurales, techniques et de conformité
- garantir la responsabilité et le respect des lois et des normes applicables
- intégrer les principes de sécurité dès la conception tout au long du cycle de vie du système, en veillant à ce que la sécurité soit intégrée dès les premières étapes de la conception, tout au long du développement, du déploiement et de l’exploitation
- identifier et atténuer les risques dans les infrastructures et les applications.
Les contrôles de sécurité comprennent, mais ne sont pas limités à :
- contrôles physiques - protection des biens matériels et des environnements physiques
- contrôles procéduraux ou administratifs - directives et lignes directrices régissant les pratiques organisationnelles en matière de sécurité
- contrôles techniques ou logiques - mesures matérielles et logicielles qui protègent les systèmes d’information
- contrôles juridiques, réglementaires ou de conformité - mesures garantissant le respect des lois, des réglementations et des normes industrielles.
Ces activités sont typiquement effectuées en collaboration avec des spécialistes d’autres domaines incluant, mais sans s’y limiter : légal, infrastructure technique, audit, architecture, génie logiciel.
Comprendre les niveaux de responsabilité de cette compétence
Là où les niveaux inférieurs ne sont pas définis...
- Les tâches et responsabilités spécifiques ne sont pas définies car la compétence exige un niveau plus élevé d’autonomie, d’influence et de complexité dans la prise de décision que ce à quoi on s’attend généralement à ces niveaux. Vous pouvez utiliser les énoncés d’essence pour comprendre les responsabilités génériques associées à ces niveaux.
Là où les niveaux supérieurs ne sont pas définis...
- Les responsabilités et les obligations de rendre compte ne sont pas définies parce que ces niveaux supérieurs impliquent un leadership stratégique et une influence organisationnelle plus large qui va au-delà de la portée de cette compétence spécifique. Voir les énoncés d’essence.
Développer des compétences et démontrer les responsabilités liées à ces compétences
Les niveaux définis montrent la progression progressive des compétences et des responsabilités.
Là où les niveaux inférieurs ne sont pas définis...
Vous pouvez développer vos connaissances et soutenir d’autres personnes qui ont des responsabilités dans ce domaine en :
- Apprendre les concepts et principes clés liés à cette compétence et son impact sur votre rôle
- Exécution de compétences connexes (voir les compétences SFIA connexes)
- Soutenir les autres personnes qui exécutent des tâches et des activités de plus haut niveau
Là où les niveaux supérieurs ne sont pas définis...
- Vous pouvez progresser en développant des compétences connexes qui conviennent mieux aux niveaux supérieurs de leadership organisationnel.
Cliquez ici pour savoir pourquoi les compétences SFIA ne sont pas définies aux 7 niveaux.
Afficher/masquer les descriptions et les niveaux supplémentaires.
Niveaux de responsabilité pour cette compétence
2 | 3 | 4 | 5 | 6 | 7 |
Niveau 1
Sécurisation de l’information: Niveau 2
Contribue à la mise en œuvre et au suivi des directives et protocoles de sécurité dans différents systèmes. Contribue à l’identification et au traitement des risques potentiels en matière de gouvernance et de conformité de la sécurité. Contribue à l’analyse des incidents de sécurité documentés, en faisant remonter l’information le cas échéant. Contribue à l’examen des contrôles d’accès et des autorisations, en veillant au respect des directives de sécurité.
Sécurisation de l’information: Niveau 3
Applique et maintient des contrôles de sécurité spécifiques requis par la politique organisationnelle et les évaluations de risques. Communique les risques et problèmes de sécurité au gestionnaires commerciaux et autres. Effectue des évaluations élémentaires de risques pour petits systèmes d’information. Contribue à l’évaluation de risques résultant d’architectures potentielles de solution technique. Propose des solutions alternatives ou contre-mesures pour mitiger les risques. Définis des configuration de systèmes sécurisés conformes à l’architecture ciblée. Aide à l’enquête sur les attaques suspectées et atteintes à la sécurité.
Sécurisation de l’information: Niveau 4
Fournit orientation sur l’application et l’opération de contrôles élémentaires de sécurité physiques, procéduraux et techniques. Explique l’objectif des contrôles de sécurité et effectue des analyses de risques de sécurité et impact commercial sur des systèmes d’information de complexité moyenne. Identifie les risques émanant d’architectures de solution techniques potentielles. Élabore des solutions alternatives ou contre-mesures et assure qu’elles gèrent les risques identifiés. Enquête des attaques suspectées et soutient la gestion des incidents de sécurité.
Sécurisation de l’information: Niveau 5
Fournit conseils et orientations sur les stratégies de sécurité pour gérer des risques identifiés et assurer l’adoption et le respect des normes. Contribue au développement de directives, normes et lignes directrices concernant la sécurité de l’information. Obtient et intervient sur informations de vulnérabilités et effectue des évaluations de risques de sécurité, analyses d’impacts commerciaux et accréditation de systèmes d’informations complexes. Enquête sur les violations majeures de la sécurité et recommande des améliorations de contrôle approprié. Développe des nouvelles architectures pour gérer les risques posés par les nouvelles technologies et pratiques commerciales.
Sécurisation de l’information: Niveau 6
Développe et communique les directives, normes et instructions organisationnelles de sécurisation de l’information. Assure l’application des principes architecturaux durant la conception pour réduire le risque. Mène l’adoption et le respect des directives, normes et instructions. Contribue à l’élaboration de stratégies organisationnelles qui répondent aux exigences du contrôle de l’information. Identifie et surveille les tendances du marché et environnementaux et évalue activement l’impact sur les stratégies, bénéfices et risques organisationnelles. Dirige l’approvisionnement de conseils experts et l’orientation sur les exigences pour les contrôles de sécurité en collaboration avec des experts en la matière.
Sécurisation de l’information: Niveau 7
Dirige le développement, mise en œuvre, livraison et support d’une stratégie organisationnelle de sécurité d’information alignée à la stratégie commerciale. Assure la conformité entre les stratégies commerciaux et la sécurité d’information. Mène la mise à disposition de ressources expertes, orientation et systèmes requis pour exécuter les plans stratégiques et opérationnels. Sécurise les ressources organisationnelles pour mener à bien la stratégie de sécurité de l’information.