数字世界的全球技能和能力框架

信息安全 SCTY Beta

(new)

确定和运行安全控制与安全管理策略的框架。

SFIA 9 简体中文翻译:测试版

SFIA 9 英文版现已可用。

  • 这是 SFIA 9 的简体中文测试版。
  • 我们使用 Phrase Localization Platform 创建了这个版本,结合了:
    • SFIA 8 的翻译内容
    • 7 家领先机器翻译提供商的贡献
  • 我们将在审核和质量检查后更新此翻译。
  • 如果您发现任何错误或有任何问题,请与我们联系。

注意:虽然机器翻译有助于创建初始版本,但专业审核能确保准确性和符合语境的用语。

指导说明

(modified)

活动可能包括但不限于:

  • 选择和调整安全框架以保护系统的机密性、完整性和可用性
  • 实施安全控制措施,包括物理、程序、技术和合规性措施
  • 确保问责制并遵守相关法律和标准
  • 在系统的整个生命周期中嵌入 Secure by Design 原则,确保从最早的设计阶段到开发、部署和运维都集成安全性
  • 识别和缓解基础设施和应用程序中的风险。

安全控制包括但不限于:

  • 物理控制 - 保护有形资产和物理环境
  • 程序或管理控制 - 管理组织安全实践的策略和准则
  • 技术或逻辑控制 - 保护信息系统的硬件和软件措施
  • 法律、法规或合规控制 - 确保法律、法规和行业标准的措施。

此类活动通常与其他领域的专家合作进行,包括但不限于法律、技术基础设施、审计、架构、软件工程。

了解此技能的责任级别

在未定义较低级别的情况下...
  • 没有定义具体的任务和职责,因为该技能需要比这些级别的通常预期的更高的自主性、影响力和决策复杂性。您可以使用本质语句来了解与这些级别相关的一般职责。
如果未定义更高的级别...
  • 职责和问责制没有定义,因为这些更高层次涉及战略领导和更广泛的组织影响力,超出了这一特定技能的范围。请参阅本质陈述。

发展技能并展示与该技能相关的责任

定义的级别显示了技能和责任的增量进展。

在未定义较低级别的情况下...

您可以通过以下方式发展您的知识并支持在该领域负有责任的其他人:

  • 学习与此技能相关的关键概念和原则及其对您的角色的影响
  • 执行相关技能(请参阅相关的 SFIA 技能)
  • 支持他人执行更高级别的任务和活动
如果未定义更高的级别...
  • 你可以通过发展更适合更高层次组织领导的相关技能来取得进步。

显示/隐藏额外的描述和级别。

该技能的责任级别

2 3 4 5 6 7

信息安全: 级别 2

级别 2 - 协助: 该级别的本质:为他人提供帮助,在日常监督下工作,利用自己的判断力解决日常问题。通过培训和在职经验积极学习。

(new)

协助跨不同系统实施和监控安全策略和协议。有助于识别和解决安全治理和合规性方面的潜在风险。支持对记录的安全事件进行分析,并在适当时上报。协助审查访问控制和权限,确保遵守安全策略。

信息安全: 级别 3

级别 3 - 应用: 该级别的本质:使用标准方法和程序执行各种任务,有时是复杂和非例行的任务。在一般指导下工作,行使酌处权,在截止日期内管理自己的工作。在工作场所积极主动地提高技能和影响力。

(unchanged)

根据组织政策和当地风险评估的要求,应用和维护特定的安全控制。与业务经理和其他人员沟通安全风险和问题。对小型信息系统进行基本的风险评估。协助识别潜在技术解决方案架构存在的风险。提出可选择的解决方案或对策来降低风险。根据预期的架构确定安全的系统配置。支持调查可疑的攻击和安全漏洞。

信息安全: 级别 4

级别 4 - 帮助: 该级别的本质:执行各种复杂的活动,支持和指导他人,在适当时委派任务,在一般指导下自主工作,并为实现团队目标贡献专业知识。

(unchanged)

就基本物理、程序和技术安全控制的应用和操作提供指导。阐述安全控制的目的,并对中等复杂程度的信息系统进行安全风险和业务影响分析。识别潜在技术解决方案架构存在的风险。设计可选择的解决方案或对策,并确保其减轻已识别的风险。调查可疑攻击并支持安全事件管理。

信息安全: 级别 5

级别 5 - 确保,建议: 级别的本质:在其领域内提供权威性指导,并在广泛的指导下开展工作。负责提供从分析、执行到评估的重要工作成果。

(unchanged)

提供有关安全策略的建议与指导,以管理已识别的风险并确保采用和遵守标准。协助制定信息安全策略、标准和指导方针。获取漏洞信息并对其采取行动,对复杂的信息系统实施安全风险评估、业务影响分析和认证。调查重要的安全漏洞,并提出适当的控制改进措施。开发新型架构,减轻新技术和业务实践带来的风险。

信息安全: 级别 6

级别 6 - 主动,影响: 级别精髓:对组织有重大影响,做出高层决策,制定政策,展现领导力,促进组织协作,并在关键领域接受问责。

(unchanged)

制定并传达公司的信息安全策略、标准和准则。确保在设计过程中应用架构原则,以降低风险并推动采用和遵守策略、标准和指导方针。协助制定满足信息控制要求的组织战略。识别和监测环境和市场趋势,并对业务战略、利益和风险的影响做出前瞻性的评估。与主题专家合作,就安全控制的需求提供权威性的建议与指导。

信息安全: 级别 7

级别 7 - 制定战略,激励,动员: 级别的本质:在组织的最高层运作,决定组织的总体愿景和战略,并对总体成功负责。

(unchanged)

指导与业务战略相匹配的企业信息安全战略的开发、实施、交付和支持。确保业务战略和信息安全之间的合规性。领导提供执行战略和运营计划所必要的信息安全专业知识、指导和系统。确保组织资源以执行信息安全策略。