信息安全 SCTY

确定和运行安全控制与安全管理策略的框架。

该技能的责任级别

安全控制和管理策略的目的是：

活动可能包括但不限于：

安全控制类型的示例包括但不限于：

此类活动通常与其他领域的专家合作进行，包括但不限于法律、技术基础设施、审计、架构、软件工程。

定义的级别显示了技能和责任的增量进展。

您可以通过以下方式发展您的知识并支持在该领域负有责任的其他人：

级别 1 - 跟随: 该级别的本质：在密切监督下执行常规任务，遵照指示并需要指导来完成工作。学习并应用基本技能和知识。

级别 2 - 协助: 该级别的本质：为他人提供帮助，在日常监督下工作，利用自己的判断力解决常规问题。通过培训和在职经验积极学习。

级别 3 - 应用: 该级别的本质：使用标准方法和程序执行各种任务，有时是复杂和非常规任务。在一般指导下工作，行使自主权，在截止日期内管理自己的工作。在工作场所积极主动地提高技能和影响力。

根据组织政策和当地风险评估的要求，应用和维护特定的安全控制。与业务经理和其他人员沟通安全风险和问题。对小型信息系统进行基本的风险评估。协助识别潜在技术解决方案架构存在的风险。提出可选择的解决方案或对策来降低风险。根据预期的架构确定安全的系统配置。支持调查可疑的攻击和安全漏洞。

级别 4 - 帮助: 该级别的本质：执行各种复杂的活动，支持和指导他人，在适当时委派任务，在一般指导下自主工作，并为实现团队目标贡献专业知识。

就基本物理、程序和技术安全控制的应用和操作提供指导。阐述安全控制的目的，并对中等复杂程度的信息系统进行安全风险和业务影响分析。识别潜在技术解决方案架构存在的风险。设计可选择的解决方案或对策，并确保其减轻已识别的风险。调查可疑攻击并支持安全事件管理。

级别 5 - 确保，建议: 该级别的本质：在其专业内提供权威性指导，并在广泛的指导下开展工作。负责交付从分析、执行到评估的重要工作成果。

提供有关安全策略的建议与指导，以管理已识别的风险并确保采用和遵守标准。协助制定信息安全策略、标准和指导方针。获取漏洞信息并对其采取行动，对复杂的信息系统实施安全风险评估、业务影响分析和认证。调查重要的安全漏洞，并提出适当的控制改进措施。开发新型架构，减轻新技术和业务实践带来的风险。

级别 6 - 主动，影响: 该级别的本质：对组织有重大影响，做出高层决策，制定政策，展现领导力，促进组织协作，并在关键领域接受问责。

制定并传达公司的信息安全策略、标准和准则。确保在设计过程中应用架构原则，以降低风险并推动采用和遵守策略、标准和指导方针。协助制定满足信息控制要求的组织战略。识别和监测环境和市场趋势，并对业务战略、利益和风险的影响做出前瞻性的评估。与主题专家合作，就安全控制的需求提供权威性的建议与指导。

级别 7 - 制定战略，激励，动员: 该级别的本质：在最高组织级别运作，决定组织的总体愿景和战略，并对全面成功负责。

指导与业务战略相匹配的企业信息安全战略的开发、实施、交付和支持。确保业务战略和信息安全之间的合规性。领导提供执行战略和运营计划所必要的信息安全专业知识、指导和系统。确保组织资源以执行信息安全策略。