デジタル世界のためのグローバルなスキルとコンピテンシーのフレームワーク

脆弱性評価 VUAS

ネットワーク、システム、およびアプリケーションのセキュリティの脆弱性を特定および分類し、それらの影響を軽減または排除します。

ガイダンスノート

アクティビティには次のものが含まれますが、これらに限定されません。

  • 脆弱性アセスメントをサポートするための情報およびテクノロジリソース(資産と機能)のカタログ化と分類
  • 情報およびテクノロジリソースに定量化可能な値、ランク順、および重要性を割り当てる。
  • 各リソースの脆弱性を特定して分析する—手動で、または自動化されたツールと情報ソースを使用する。
  • 脆弱性に関連するリスクの優先順位付け、スコアリング、およびランク付け
  • ビジネスへの影響アセスメント
  • 脆弱性を軽減または排除します。

脆弱性アセスメントツールには、Webアプリケーションスキャナー、プロトコルスキャナー、ネットワークスキャナーが含まれます。

このスキルの責任レベルを理解する

下位レベルが定義されていない場合...
  • 特定のタスクと責任は、スキルが意思決定において、これらのレベルで通常期待されるよりも高いレベルの自律性、影響力、および複雑さを必要とするため、定義されていません。エッセンス・ステートメントを使用して、これらのレベルに関連する一般的な責任を理解できます。
上位レベルが定義されていない場合...
  • 責任と説明責任は、これらのより高いレベルには、この特定のスキルの範囲を超えた戦略的リーダーシップとより広範な組織的影響力が含まれるため、定義されていません。エッセンスステートメントを参照してください。

スキルを開発し、このスキルに関連する責任を示す

定義されたレベルは、スキルと責任の段階的な進歩を示します。

下位レベルが定義されていない場合...

次の方法で、知識を深め、この分野で責任を持つ他の人をサポートすることができます。

  • このスキルに関連する重要な概念と原則、およびそれが自分の役割に与える影響を学ぶ
  • 関連スキルの実行(関連するSFIAスキルを参照)
  • より高いレベルのタスクや活動を行っている他の人を支援する
上位レベルが定義されていない場合...
  • より高いレベルの組織のリーダーシップにより適した関連スキルを開発することで進歩することができます。

追加の説明とレベルを表示/非表示にします。

このスキルに対する責任レベル

2 3 4 5

脆弱性評価: レベル 2

レベル2-アシストする: レベルの本質:他者を援助し、日常的な監督下で働き、日常的な問題に対して裁量権を用いて対処します。訓練や実地体験を通じて積極的に学びます。

自動化および半自動化されたツールを使用して、複雑さの低い日常的な脆弱性アセスメントを実施します。 必要に応じて問題をエスカレーションします。 範囲の文書化と脆弱性アセスメントの結果の評価に貢献します。

脆弱性評価: レベル 3

レベル3- 適用する: レベルの本質:標準的な方法と手順を使用して、時には複雑で非定型的なさまざまなタスクを実行します。一般的な指示の下で機能し、裁量権を行使し、期限内に自分の仕事を管理します。職場でのスキルと影響力を積極的に高めます。

標準的なアプローチに従って、小規模情報システムの基本的な脆弱性評価を実施します。脆弱性評価のための情報および技術資産のカタログの作成を支援する。

脆弱性評価: レベル 4

レベル4-実現する: レベルの本質:多様で複雑な活動を行い、他者をサポートして指導し、適切な場合はタスクを委任し、一般的な指示の下で自律的に作業し、チームの目標を達成するために専門知識を貢献します。

脆弱性アセスメントのために、情報およびテクノロジ資産のカタログを照合および分析します。 中程度の複雑さの情報システムの脆弱性アセスメントとビジネス影響分析を実行します。 脆弱性アセスメントツールと手法の選択と展開に貢献します。

脆弱性評価: レベル 5

レベル5-確信し、忠告する: レベルのエッセンス:各分野で権威ある指導を行い、幅広い指示の下で活動します。分析から実行、評価まで、大きな仕事の成果をもたらす責任があります。

組織内の脆弱性アセスメント活動を計画および管理します。 脆弱性アセスメントツールと手法を評価、選択、レビューします。 合意されたアプローチの採用をサポートするための専門家のアドバイスとガイダンスを提供します。 脆弱性情報を取得して処理し、複雑な情報システムのセキュリティリスクアセスメント、ビジネス影響分析、および認定を実施します。