Informationssicherheit SCTY

Das Definieren und der Einsatz eines Rahmenwerks von Sicherheitskontrollen und Sicherheitsmanagementstrategien.

Ebenen der Verantwortung für diese Fähigkeit

Leitfaden

Sicherheitskontrollen und ‑managementstrategien dienen dazu:

Die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Zuständigkeit von Informationssystemen aufrechtzuerhalten
Sicherzustellen, dass Informationssysteme die Gesetze, Richtlinien und relevanten Standards erfüllen.

Zu den Aktivitäten gehören unter anderem:

Das Auswählen, Übernehmen und Anpassen von Rahmenwerken zur Sicherheitskontrolle
Das Entwickeln, Rechtfertigen und Implementieren von Sicherheitsmanagementstrategien
Das Identifizieren von Risiken anhand von technischen Lösungsarchitekturen
Die Gewährleistung, dass während Entwurf und Entwicklung Sicherheitsprinzipien angewendet werden, um Risiken zu reduzieren

Einige Beispiele für Arten von Sicherheitskontrollen sind:

Physische Kontrollen
Organisatorische oder administrative Kontrollen
Technische oder logische Kontrollen
Gesetze, Vorschriften oder die Richtlinientreue betreffende Kontrollen

Diese Aktivitäten werden in der Regel in Zusammenarbeit mit Spezialisten anderer Bereiche wie unter anderem Recht, technischer Infrastruktur, Audit, Architektur und Softwareentwicklung durchgeführt.

Verständnis der Verantwortungsebenen dieser Fähigkeit

Wo niedrigere Ebenen nicht definiert sind...

Spezifische Aufgaben und Verantwortlichkeiten sind nicht definiert, da die Fähigkeit ein höheres Maß an Autonomie, Einfluss und Komplexität bei der Entscheidungsfindung erfordert, als auf diesen Ebenen typischerweise erwartet wird. Sie können die Essenzaussagen verwenden, um die generischen Verantwortlichkeiten zu verstehen, die mit diesen Ebenen verbunden sind.

Wo höhere Ebenen nicht definiert sind...

Verantwortlichkeiten und Verantwortlichkeiten sind nicht definiert, da diese höheren Ebenen strategische Führung und einen breiteren organisatorischen Einfluss beinhalten, der über den Rahmen dieser spezifischen Fähigkeit hinausgeht. Siehe die Essenzaussagen.

Entwicklung von Fähigkeiten und Nachweis von Verantwortlichkeiten im Zusammenhang mit dieser Fähigkeit

Die definierten Stufen zeigen die schrittweise Entwicklung von Fähigkeiten und Verantwortung.

Wo niedrigere Ebenen nicht definiert sind...

Sie können Ihr Wissen erweitern und andere unterstützen, die in diesem Bereich Verantwortung tragen, indem Sie:

Erlernen der wichtigsten Konzepte und Prinzipien im Zusammenhang mit dieser Fähigkeit und ihren Auswirkungen auf Ihre Rolle
Ausführen verwandter Fähigkeiten (siehe verwandte SFIA-Fähigkeiten)
Unterstützung anderer, die Aufgaben und Aktivitäten auf höherer Ebene ausführen

Wo höhere Ebenen nicht definiert sind...

Sie können Fortschritte machen, indem Sie verwandte Fähigkeiten entwickeln, die besser für höhere Ebenen der Unternehmensführung geeignet sind.

Klicken Sie hier, um zu erfahren, warum SFIA-Fähigkeiten nicht auf allen 7 Ebenen definiert sind.

Ein-/Ausblenden zusätzlicher Beschreibungen und Levels.

Ebene 1

Ebene 1 – Befolgen: Wesentliche Merkmale der Stufe: Führt Routineaufgaben unter genauer Aufsicht aus, befolgt Anweisungen und benötigt Anleitung zur Erledigung der Arbeit. Erlernt und wendet grundlegende Fähigkeiten und Kenntnisse an.

Ebene 2

Ebene 2 – Mitwirken: Wesentliche Merkmale dieser Ebene: Bietet anderen Hilfe an, arbeitet unter regelmäßiger Aufsicht und löst routinemäßige Probleme nach eigenem Ermessen. Lernt aktiv durch Schulungen und praktische Erfahrungen.

Informationssicherheit: Ebene 3

Ebene 3 – Anwenden: Wesentliche Merkmale der Ebene: Führt abwechslungsreiche Aufgaben aus, die manchmal komplex und nicht routinemäßig sind, und verwendet dabei standardmäßige Methoden und Verfahren. Arbeitet innerhalb des Ermessensspielraums unter allgemeiner Anleitung und erledigt die eigene Arbeit in den vorgegebenen Fristen. Verbessert proaktiv die Fähigkeiten und den Einfluss am Arbeitsplatz.

Wendet spezifische Sicherheitskontrollen an und hält diese entsprechend den Unternehmensrichtlinien und den lokalen Risikobewertungen aufrecht. Meldet Sicherheitsrisiken und ‑probleme der Geschäftsleitung und anderen Personen. Führt grundlegende Risikobewertungen für kleine Informationssysteme durch. Trägt zur Identifizierung von Risiken aus potenziellen technischen Lösungsarchitekturen bei. Schlägt alternative Lösungen oder Gegenmaßnahmen vor, um die Risiken zu mindern. Definiert sichere Systemkonfigurationen in Übereinstimmung mit den vereinbarten Architekturen. Unterstützt die Untersuchung vermuteter Angriffe und Sicherheitsvorfälle.

Informationssicherheit: Ebene 4

Ebene 4 – Möglich machen: Wesentliche Merkmale der Ebene: Führt verschiedene komplexe Tätigkeiten aus, unterstützt und leitet andere an, delegiert Aufgaben bei Bedarf, arbeitet selbstständig unter allgemeiner Anleitung und trägt mit seinem Fachwissen zum Erreichen der Teamziele bei.

Bietet Anleitung für die Anwendung und den Betrieb grundlegender physischer, verfahrenstechnischer und technischer Sicherheitskontrollen. Erklärt den Zweck von Sicherheitskontrollen und führt Analysen zu Sicherheitsrisiken und Auswirkungen auf den Geschäftsbetrieb für Informationssysteme mittlerer Komplexität durch. Identifiziert Risiken, die sich aus potenziellen technischen Lösungsarchitekturen ergeben. Entwirft alternative Lösungen oder Gegenmaßnahmen und stellt sicher, dass diese die festgestellten Risiken mindern. Untersucht vermeintliche Angriffe und unterstützt das Management von Sicherheitsvorfällen.

Informationssicherheit: Ebene 5

Ebene 5 – Sicherstellen, beraten: Wesentliche Merkmale der Ebene: Bietet kompetente Anleitung in seinem Bereich und arbeitet unter geringer Anleitung. Verantwortlich für die Erzielung bedeutender Arbeitsergebnisse, von der Analyse über die Ausführung bis hin zur Auswertung.

Erteilt Ratschläge und Anleitungen zu Sicherheitsstrategien im Umgang mit identifizierten Risiken und zur Gewährleistung der Übernahme und Einhaltung von Standards. Trägt zur Entwicklung von Richtlinien, Standards und Leitlinien zur Informationssicherheit bei. Bezieht Informationen über Sicherheitslücken, reagiert darauf und führt Bewertungen von Sicherheitsrisiken, Analysen zu Geschäftsauswirkungen und Zulassungen für komplexe Informationssysteme durch. Untersucht schwerwiegende Sicherheitsverstöße und empfiehlt angemessene Verbesserungen der Kontrollen. Entwickelt neue Architekturen, um die Risiken durch neue Technologien und Geschäftspraktiken zu mindern.

Informationssicherheit: Ebene 6

Ebene 6 – Anregungen geben, Einfluss nehmen: Wesentliche Merkmale der Ebene: Verfügt über erheblichen Einfluss auf die Organisation, trifft Entscheidungen auf hoher Ebene, gestaltet Richtlinien, zeigt Führungsqualitäten, fördert die Zusammenarbeit in der Organisation und übernimmt in Schlüsselbereichen Verantwortung.

Entwickelt und kommuniziert die Richtlinien, Standards und Leitlinien zur Informationssicherheit des Unternehmens. Gewährleistet, dass während des Entwurfs architektonische Prinzipien angewendet werden, um Risiken zu reduzieren. Fördert die Übernahme und Einhaltung von Richtlinien, Standards und Leitlinien. Trägt zur Entwicklung von Geschäftsstrategien bei, die sich mit den Anforderungen an die Informationskontrolle befassen. Identifiziert und überwacht Umwelt- und Markttrends und bewertet die Auswirkungen auf Geschäftsstrategien, Vorteile und Risiken proaktiv. Bietet zuverlässige Ratschläge und Anleitungen zu den Anforderungen an Sicherheitskontrollen in Kooperation mit Fachexperten.

Informationssicherheit: Ebene 7

Ebene 7 – Strategie festlegen, inspirieren, mobilisieren: Wesen der Ebene: Arbeitet auf höchster Organisationsebene, bestimmt die allgemeine Vision und Strategie der Organisation und übernimmt Verantwortung für den Gesamterfolg.

Steuert die Entwicklung, Implementierung, Bereitstellung und Unterstützung der Strategie zur Informationssicherheit eines Unternehmens gemäß der Geschäftsstrategie. Gewährleistet die Übereinstimmung zwischen Geschäftsstrategien und Informationssicherheit. Leitet die Bereitstellung von Fachwissen, Anleitung und Systemen für die Informationssicherheit, die zur Durchführung strategischer und betrieblicher Pläne erforderlich sind. Sichert die Ressourcen des Unternehmens zur Durchführung der Strategie zur Informationssicherheit.