数字世界的全球技能和能力框架

渗透测试

通过设计及实施渗透测试评估企业漏洞,渗透测试可显示出攻击者如何破坏企业的安全目标(如保护特定的知识产权)或达成其特定目标(如创建秘密命令和控制架构)。渗透测试结果为各种漏洞的业务风险提供了更深层次的理解。

等级

在以下级别定义: 4 5 6

渗透测试: 级别 1-3

在承担这些级别的责任时,通常不会观察到这项技能。

渗透测试: 级别 4

维持对恶意程序攻击及其他网络安全威胁的现有了解。通过对风险及典型漏洞进行深度技术分析创建测试案例。生成测试脚本、资料及测试包,以测试新及现有的软件或服务。具体说明有关环境、数据、资源及工具的规定。使用约定的方法及标准诠释、实施及记录复杂的测试脚本。记录及分析措施及结果。审查测试结果并修改测试(如有必要)。提供有关进程、异常、风险及与整体项目相关的问题的报告。提供有关系统质量的报告,并收集有关测试案例的参数。提供专家建议支持其他同事。

渗透测试: 级别 5

在商业活动定义的范围内,协调及管理渗透测试的规划。对漏洞的存在、防御及减缓控制(包括已经存在及拟于未来实施的)的有效性提供客观的理解。负责测试活动的完整性,并协调这些活动的进行。就漏洞测试的规划及实施提供权威的建议及指导。定义及传达测试策略。管理所有测试流程并协助制定公司的安全测试标准。

渗透测试: 级别 6

在企业策略、流程及防御的整个范围内运用综合的方法寻找漏洞,从而改进企业的准备状态、改善防御工作人员的培训及检查目前的性能水平。制定测试策略并拥有支持性流程。负责管理企业内所有漏洞测试活动。评估替代测试流程的实用性,并就此提出建议。对测试流程作出改进,并指导其实施。评估供应商的开发及测试能力。管理涉及所有测试事宜的客户关系。

渗透测试: 级别 7

在承担这种级别的责任时,通常不会观察到这项技能。