Der globale Kompetenz- und Kompetenzrahmen für eine digitale Welt

Informationssicherheit SCTY

Das Definieren und der Einsatz eines Rahmenwerks von Sicherheitskontrollen und Sicherheitsmanagementstrategien.

Leitfaden

Sicherheitskontrollen und ‑managementstrategien dienen dazu:

  • Die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Zuständigkeit von Informationssystemen aufrechtzuerhalten
  • Sicherzustellen, dass Informationssysteme die Gesetze, Richtlinien und relevanten Standards erfüllen.

Zu den Aktivitäten gehören unter anderem:

  • Das Auswählen, Übernehmen und Anpassen von Rahmenwerken zur Sicherheitskontrolle
  • Das Entwickeln, Rechtfertigen und Implementieren von Sicherheitsmanagementstrategien
  • Das Identifizieren von Risiken anhand von technischen Lösungsarchitekturen
  • Die Gewährleistung, dass während Entwurf und Entwicklung Sicherheitsprinzipien angewendet werden, um Risiken zu reduzieren

Einige Beispiele für Arten von Sicherheitskontrollen sind:

  • Physische Kontrollen 
  • Organisatorische oder administrative Kontrollen 
  • Technische oder logische Kontrollen 
  • Gesetze, Vorschriften oder die Richtlinientreue betreffende Kontrollen

Diese Aktivitäten werden in der Regel in Zusammenarbeit mit Spezialisten anderer Bereiche wie unter anderem Recht, technischer Infrastruktur, Audit, Architektur und Softwareentwicklung durchgeführt.

Ebenen der Verantwortung für diese Fähigkeit

3 4 5 6 7

Informationssicherheit: Ebenen 1-2

Diese Fähigkeit wird auf diesen Ebenen der Verantwortung und Rechenschaftspflicht normalerweise nicht beobachtet oder praktiziert.

Informationssicherheit: Ebene 3

Wendet spezifische Sicherheitskontrollen an und hält diese entsprechend den Unternehmensrichtlinien und den lokalen Risikobewertungen aufrecht. Meldet Sicherheitsrisiken und ‑probleme der Geschäftsleitung und anderen Personen. Führt grundlegende Risikobewertungen für kleine Informationssysteme durch. Trägt zur Identifizierung von Risiken aus potenziellen technischen Lösungsarchitekturen bei. Schlägt alternative Lösungen oder Gegenmaßnahmen vor, um die Risiken zu mindern. Definiert sichere Systemkonfigurationen in Übereinstimmung mit den vereinbarten Architekturen. Unterstützt die Untersuchung vermuteter Angriffe und Sicherheitsvorfälle.

Informationssicherheit: Ebene 4

Bietet Anleitung für die Anwendung und den Betrieb grundlegender physischer, verfahrenstechnischer und technischer Sicherheitskontrollen. Erklärt den Zweck von Sicherheitskontrollen und führt Analysen zu Sicherheitsrisiken und Auswirkungen auf den Geschäftsbetrieb für Informationssysteme mittlerer Komplexität durch. Identifiziert Risiken, die sich aus potenziellen technischen Lösungsarchitekturen ergeben. Entwirft alternative Lösungen oder Gegenmaßnahmen und stellt sicher, dass diese die festgestellten Risiken mindern. Untersucht vermeintliche Angriffe und unterstützt das Management von Sicherheitsvorfällen.

Informationssicherheit: Ebene 5

Erteilt Ratschläge und Anleitungen zu Sicherheitsstrategien im Umgang mit identifizierten Risiken und zur Gewährleistung der Übernahme und Einhaltung von Standards. Trägt zur Entwicklung von Richtlinien, Standards und Leitlinien zur Informationssicherheit bei. Bezieht Informationen über Sicherheitslücken, reagiert darauf und führt Bewertungen von Sicherheitsrisiken, Analysen zu Geschäftsauswirkungen und Zulassungen für komplexe Informationssysteme durch. Untersucht schwerwiegende Sicherheitsverstöße und empfiehlt angemessene Verbesserungen der Kontrollen. Entwickelt neue Architekturen, um die Risiken durch neue Technologien und Geschäftspraktiken zu mindern.

Informationssicherheit: Ebene 6

Entwickelt und kommuniziert die Richtlinien, Standards und Leitlinien zur Informationssicherheit des Unternehmens. Gewährleistet, dass während des Entwurfs architektonische Prinzipien angewendet werden, um Risiken zu reduzieren. Fördert die Übernahme und Einhaltung von Richtlinien, Standards und Leitlinien. Trägt zur Entwicklung von Geschäftsstrategien bei, die sich mit den Anforderungen an die Informationskontrolle befassen. Identifiziert und überwacht Umwelt- und Markttrends und bewertet die Auswirkungen auf Geschäftsstrategien, Vorteile und Risiken proaktiv. Bietet zuverlässige Ratschläge und Anleitungen zu den Anforderungen an Sicherheitskontrollen in Kooperation mit Fachexperten.

Informationssicherheit: Ebene 7

Steuert die Entwicklung, Implementierung, Bereitstellung und Unterstützung der Strategie zur Informationssicherheit eines Unternehmens gemäß der Geschäftsstrategie. Gewährleistet die Übereinstimmung zwischen Geschäftsstrategien und Informationssicherheit. Leitet die Bereitstellung von Fachwissen, Anleitung und Systemen für die Informationssicherheit, die zur Durchführung strategischer und betrieblicher Pläne erforderlich sind. Sichert die Ressourcen des Unternehmens zur Durchführung der Strategie zur Informationssicherheit.