Le cadre mondial des aptitudes et des compétences pour le monde numérique

Sécurisation de l'information SCTY

Définition et opération d’un cadre de contrôles de sécurité et de stratégies de gestion de la sécurité.

Notes d’orientation

Les objectifs de contrôles de sécurité et stratégies de gestion sont:

  • maintien de la sécurité, confidentialité, intégrité, disponibilité, imputabilité des systèmes d’information
  • assurance que les systèmes d’information soient conformes aux législations, règlements et normes de rigueur.

Les activités peuvent inclure -- mais ne sont pas limitées à :

  • sélection, adoption et adaptation de cadres de contrôles de sécurité
  • conception, justification et implémentation de stratégies de gestion de la sécurité
  • identification de risques avec des architectures de solution techniques
  • assurance que les principes de sécurité soient suivis durant la conception et le développement afin de réduire le risque.

Exemples de types de contrôle de sécurité incluent -- mais ne se limitent pas -- à :

  • contrôles physiques 
  • contrôles procéduraux ou administratifs 
  • contrôles techniques ou logiques 
  • contrôles légaux, réglementaires ou de conformité.

Ces activités sont typiquement effectuées en collaboration avec des spécialistes d’autres domaines incluant -- mais pas limité à -- légal, infrastructure technique, audit, architecture, génie logiciel.

Niveaux

Définis aux niveaux suivants : 3 4 5 6 7

Sécurisation de l'information: Niveaux 1-2

Cette compétence n'est pas typiquement observée lorsqu'on travaille à ces niveaux de responsabilité.

Sécurisation de l'information: Niveau 3

Applique et maintient des contrôles de sécurité spécifiques requis par la politique organisationnelle et les évaluations de risques. Communique les risques et problèmes de sécurité au gestionnaires commerciaux et autres. Effectue des évaluations élémentaires de risques pour petits systèmes d’information. Contribue à l’évaluation de risques résultant d’architectures potentielles de solution technique. Propose des solutions alternatives ou contre-mesures pour mitiger les risques. Définis des configuration de systèmes sécurisés conformes à l’architecture ciblée. Aide à l’enquête sur les attaques suspectées et atteintes à la sécurité.

Sécurisation de l'information: Niveau 4

Fournit orientation sur l’application et l’opération de contrôles élémentaires de sécurité physique, procédural et technique. Explique l’objectif des contrôles de sécurité et effectue des analyses de risques de sécurité et impact commercial sur des systèmes d’information de complexité moyenne. Identifie les risques émanant d’architectures de solution techniques. Élabore des solutions alternatives ou contre-mesures et assure qu’elles mitigent les risques. Enquête des attaques suspectées et soutient la gestion des incidents de sécurité.

Sécurisation de l'information: Niveau 5

Fournit avis et conseils sur les stratégies de sécurité pour gérer des risques identifiés et assurer l’adoption et le respect des normes. Contribue au développement de directives, normes et instructions concernant la sécurité de l’information. Obtient et intervient sur informations de vulnérabilités et effectue des évaluations de risques de sécurité, analyses d’impacts commerciaux et accréditation de systèmes d’informations complexes. Enquête sur les violations majeures de la sécurité et recommande des améliorations de contrôle approprié. Développe des nouvelles architectures pour mitiger les risques de nouvelles technologies et pratiques commerciales.

Sécurisation de l'information: Niveau 6

Développe et communique les directives, normes et instructions organisationnelles de sécurisation de l'information. Assure l’application des principes architecturaux durant la conception pour réduire le risque. Mène l’adoption et le respect des directives, normes et instructions. Contribue à l’élaboration de stratégies organisationnelles qui répondent aux exigences du contrôle de l’information. Identifie et surveille les tendances du marché et environnementaux et évalue activement l’impact sur les stratégies, bénéfices et risques organisationnelles. Dirige l’approvisionnement de conseils experts et l’orientation sur les exigences pour les contrôles de sécurité en collaboration avec des experts en la matière.

Sécurisation de l'information: Niveau 7

Dirige le développement, mise en œuvre, livraison et support d’une stratégie organisationnelle de sécurité d’information alignée à la stratégie commerciale. Assure la conformité entre les stratégies commerciaux et la sécurité d’information. Mène la mise à disposition de ressources expertes, orientation et systèmes requis pour exécuter les plans stratégiques et opérationnels. Sécurise les ressources organisationnelles pour mener à bien la stratégie de sécurité de l’information.