Bezpieczeństwo informacji SCTY
Definiowanie i stosowanie ram kontroli bezpieczeństwa i strategii zarządzania bezpieczeństwem.
Uwagi zawierające wskazówki
Działania mogą obejmować między innymi:
- wybieranie i dostosowywanie ram bezpieczeństwa w celu ochrony poufności, integralności i dostępności systemów;
- wdrażanie środków kontroli bezpieczeństwa, w tym środków fizycznych, proceduralnych, technicznych i środków zgodności;
- zapewnienie rozliczalności i zgodności z odpowiednimi przepisami i normami;
- wdrażanie zasad bezpiecznego projektowania w całym cyklu życia systemu, dbając o stosowanie odpowiednich zabezpieczeń od najwcześniejszych etapów projektowania, poprzez rozwój, wdrażanie i operacje;
- identyfikowanie i ograniczanie ryzyka w infrastrukturze i aplikacjach.
Kontrole bezpieczeństwa obejmują między innymi:
- kontrole fizyczne – ochrona aktywów materialnych i środowiska fizycznego;
- kontrole proceduralne lub administracyjne – polityki i wytyczne regulujące praktyki bezpieczeństwa organizacji;
- kontrole techniczne lub logiczne – sprzęt i oprogramowanie chroniące systemy informatyczne;
- kontrole prawne, regulacyjne lub zgodności z przepisami – środki zapewniające przestrzeganie przepisów prawa, regulacji i standardów branżowych.
Działania te są zazwyczaj prowadzone we współpracy ze specjalistami z innych dziedzin, w tym – między innymi – z zakresu prawa, infrastruktury technicznej, audytu, architektury i inżynierii oprogramowania.
Zrozumienie poziomów odpowiedzialności związanych z tą umiejętnością
Tam, gdzie niższe poziomy nie są zdefiniowane...
- Konkretne zadania i obowiązki nie są zdefiniowane, ponieważ umiejętność wymaga wyższego poziomu autonomii, wpływu i złożoności w podejmowaniu decyzji, niż zwykle oczekuje się na tych poziomach. Możesz użyć stwierdzeń esencji, aby zrozumieć ogólne obowiązki związane z tymi poziomami.
Tam, gdzie wyższe poziomy nie są zdefiniowane...
- Obowiązki i odpowiedzialność nie są zdefiniowane, ponieważ te wyższe poziomy obejmują strategiczne przywództwo i szerszy wpływ organizacyjny, który wykracza poza zakres tej konkretnej umiejętności. Zapoznaj się z esencjonalnymi stwierdzeniami.
Rozwijanie umiejętności i wykazywanie się obowiązkami związanymi z tą umiejętnością
Zdefiniowane poziomy pokazują stopniowy postęp w umiejętnościach i odpowiedzialności.
Tam, gdzie niższe poziomy nie są zdefiniowane...
Możesz rozwijać swoją wiedzę i wspierać innych, którzy są odpowiedzialni w tym obszarze poprzez:
- Poznanie kluczowych pojęć i zasad związanych z tą umiejętnością i jej wpływem na Twoją rolę
- Wykonywanie powiązanych umiejętności (zobacz powiązane umiejętności SFIA)
- Wspieranie innych, którzy wykonują zadania i działania na wyższym poziomie
Tam, gdzie wyższe poziomy nie są zdefiniowane...
- Możesz się rozwijać, rozwijając powiązane umiejętności, które są lepiej dostosowane do wyższych poziomów przywództwa organizacyjnego.
Pokaż/ukryj dodatkowe opisy i poziomy.
Poziom odpowiedzialności za tę umiejętność
2 | 3 | 4 | 5 | 6 | 7 |
Poziom 1
Bezpieczeństwo informacji: Poziom 2
Pomaga we wdrażaniu i monitorowaniu polityk i protokołów bezpieczeństwa w różnych systemach. Przyczynia się do identyfikacji i rozwiązywania potencjalnych zagrożeń w zakresie zarządzania bezpieczeństwem i zgodności. Wspiera analizę udokumentowanych incydentów związanych z bezpieczeństwem, eskalując je w stosownych przypadkach. Pomaga w przeglądzie kontroli dostępu i uprawnień, zapewniając przestrzeganie zasad bezpieczeństwa.
Bezpieczeństwo informacji: Poziom 3
Stosuje i utrzymuje określone środki kontroli bezpieczeństwa zgodnie z wymogami zasady organizacyjnej i lokalnych ocen ryzyka. Informuje kierowników firm i inne osoby o zagrożeniach i problemach związanych z bezpieczeństwem. Wykonuje podstawowe oceny ryzyka dla małych systemów informacyjnych. Przyczynia się do identyfikacji ryzyka wynikającego z potencjalnych architektur rozwiązań technicznych. Proponuje alternatywne rozwiązania lub środki zaradcze w celu zmniejszenia ryzyka. Definiuje bezpieczne konfiguracje systemów zgodnie z zamierzoną architekturą. Wspiera badanie domniemanych ataków i naruszeń bezpieczeństwa.
Bezpieczeństwo informacji: Poziom 4
Zapewnia wytyczne dotyczące stosowania i działania elementarnych fizycznych, proceduralnych i technicznych środków kontroli bezpieczeństwa. Wyjaśnia cel kontroli bezpieczeństwa i przeprowadza ocenę ryzyka dla bezpieczeństwa i analizę wpływu na działalność dla systemów informacyjnych o średniej złożoności. Identyfikuje ryzyka, które wynikają z potencjalnych architektur rozwiązań technicznych. Projektuje alternatywne rozwiązania lub środki zaradcze i gwarantuje, że ograniczają one zidentyfikowane ryzyka. Prowadzi dochodzenia w sprawie domniemanych ataków i wspiera zarządzanie zdarzeniami bezpieczeństwa.
Bezpieczeństwo informacji: Poziom 5
Zapewnia porady i wskazówki dotyczące strategii bezpieczeństwa, aby zarządzać wskazanym ryzykiem i zapewnić przyjęcie i przestrzeganie standardów. Przyczynia się do rozwoju polityki, standardów i wytycznych w zakresie bezpieczeństwa informacji. Uzyskuje informacje o zabezpieczeniach i działa na ich podstawie oraz przeprowadza oceny ryzyka dla bezpieczeństwa, analizy wpływu na działalność i akredytację rozbudowanych systemów informatycznych. Bada główne gałęzie bezpieczeństwa i zaleca ulepszenie odpowiednich środków kontroli. Przyczynia się do rozwoju polityki bezpieczeństwa informacji, standardów i wytycznych w tym zakresie.
Bezpieczeństwo informacji: Poziom 6
Rozwija i komunikuje korporacyjne zasady, standardy i wytyczne bezpieczeństwa informacji. Gwarantuje stosowanie zasad architektury podczas projektowania w celu zmniejszenia ryzyka i kieruje przyjęciem i przestrzeganiem zasad, standardów i wytycznych. Przyczynia się do rozwoju strategii organizacyjnych, które dotyczą wymagań kontroli informacji. Wskazuje i monitoruje trendy środowiskowe i rynkowe i proaktywnie ocenia wpływ na strategie biznesowe, korzyści i ryzyka. Zapewnia miarodajne porady i wskazówki dotyczące wymagań środków kontroli bezpieczeństwa przy współpracy z ekspertami z danej dziedziny.
Bezpieczeństwo informacji: Poziom 7
Kieruje rozwojem, wdrożeniem, dostawą i wsparciem strategii bezpieczeństwa informacji przedsiębiorstwa zgodnie ze strategicznymi wymaganiami firmy. Gwarantuje zgodność pomiędzy strategiami biznesowymi oraz bezpieczeństwem informacji. Kieruje przekazaniem doświadczenia, wytycznych i systemów dla bezpieczeństwa informacji niezbędnych w celu realizacji planów strategicznych i operacyjnych. Zabezpiecza zasoby organizacyjne i wykonuje strategię bezpieczeństwa informacji.