数字世界的全球技能和能力框架

信息保障 INAS

保护和管理与数据及信息系统的使用、存储和传输有关的风险。

指导说明

活动包括但不限于:

  • 以务实和具成本效益的方式管理风险,确保利益相关者对
  • 正式的体系认证和评审
  • 评估加密控制的有效性
  • 技术评估及评价放心,从而确定控制效果。

信息和数据通常受到以下五项原则的保护:

  • 可用性 — 确保拥有授权的用户能轻松访问所需的资料
  • 完整性 — 保护信息不受未经授权的修改、检索或删除
  • 真实性 — 验证用户及设备的身份
  • 保密性 — 只允许授权用户访问
  • 不可否认性 — 通过确保数据与原始数据的真实性,防止可能发生的拒绝操作。

了解此技能的责任级别

在未定义较低级别的情况下...
  • 没有定义具体的任务和职责,因为该技能需要比这些级别的通常预期的更高的自主性、影响力和决策复杂性。您可以使用本质语句来了解与这些级别相关的一般职责。
如果未定义更高的级别...
  • 职责和问责制没有定义,因为这些更高层次涉及战略领导和更广泛的组织影响力,超出了这一特定技能的范围。请参阅本质陈述。

发展技能并展示与该技能相关的责任

定义的级别显示了技能和责任的增量进展。

在未定义较低级别的情况下...

您可以通过以下方式发展您的知识并支持在该领域负有责任的其他人:

  • 学习与此技能相关的关键概念和原则及其对您的角色的影响
  • 执行相关技能(请参阅相关的 SFIA 技能)
  • 支持他人执行更高级别的任务和活动
如果未定义更高的级别...
  • 你可以通过发展更适合更高层次组织领导的相关技能来取得进步。

显示/隐藏额外的描述和级别。

该技能的责任级别

2 3 4 5 6 7

信息保障: 级别 2

级别 2 — 协助: 该级别的本质:为他人提供帮助,在日常监督下工作,利用自己的判断力解决常规问题。通过培训和在职经验积极学习。

在例行监督下协助信息保障活动。帮助执行基本风险评估并支持信息保障措施的实施。协助维护与信息保障相关的记录和文档。

信息保障: 级别 3

级别 3 — 应用: 该级别的本质:使用标准方法和程序执行各种任务,有时是复杂和非常规任务。在一般指导下工作,行使自主权,在截止日期内管理自己的工作。在工作场所积极主动地提高技能和影响力。

根据信息保障政策和业务目标,遵循信息系统技术评估的标准方法。作出例行的认证决定。认识超出范围和职责层级的决定,并根据情况进行上报。审查和执行风险评估与风险治理计划。确定典型的风险指标并解释预防措施。保持记录的完整性,从而支持和证明决策。

信息保障: 级别 4

级别 4 — 帮助: 该级别的本质:执行各种复杂的活动,支持和指导他人,在适当时委派任务,在一般指导下自主工作,并为实现团队目标贡献专业知识。

对复杂或高风险信息系统进行技术评估和/或认证。确定除标准组织或领域措施外所需的风险缓解措施。确立交付合作伙伴对认证证据的要求,并将认证要求传达给利益相关者。协助信息保障及认证活动的策划和组织工作。协助信息保障流程的开发与实施。

信息保障: 级别 5

级别 5 — 确保,建议: 该级别的本质:在其专业内提供权威性指导,并在广泛的指导下开展工作。负责交付从分析、执行到评估的重要工作成果。

解读信息保障和安全策略,并应用这些策略管理风险。提供建议与指导,确保采用并遵守信息保障架构、战略、策略、标准和准则。计划、组织和执行复杂领域、跨职能领域乃至整个供应链的信息保证和认证工作。协助策略、标准和指导方针的制定。

信息保障: 级别 6

级别 6 — 主动,影响: 该级别的本质:对组织有重大影响,做出高层决策,制定政策,展现领导力,促进组织协作,并在关键领域接受问责。

制定信息保障政策、标准和准则。协助制定组织战略,以应对不断变化的业务风险和信息控制要求。推动采用和遵守政策和标准。确保遵从架构原则,明确需求,以及应用严格的安全测试。确保认证过程能够支持和实现组织的目标。监测环境和市场趋势,评估对组织战略、利益和风险的任何影响。

信息保障: 级别 7

级别 7 — 制定战略,激励,动员: 该级别的本质:在最高组织级别运作,决定组织的总体愿景和战略,并对全面成功负责。

指导企业信息保障策略的创建和审查,以支持业务的战略需求。通过制定战略、策略、标准和实践措施,以确保业务战略与信息保障之间的一致性。领导在组织所有的信息和信息系统中提供信息保障专业知识、建议与指导。