الأمن المعلوماتي SCTY
تحديد وتشغيل إطار من أنظمة الرقابة على الأمان واستراتيجيات إدارة الأمان.
ملاحظات إرشادية:
الهدف من أنظمة الرقابة على الأمان واستراتيجيات الإدارة هو:
- الحفاظ على الأمان والسرية والتكامل والتوفر والمحاسبة في نظم المعلومات.
- ضمان اتساق نظم المعلومات مع التشريعات واللوائح والمعايير ذات الصلة.
قد تتضمن الأنشطة على سبيل المثال لا الحصر:
- اختيار أطر للرقابة الأمنية وتطبيقها وتكييفها
- تصميم وتبرير وتنفيذ استراتيجيات إدارة الأمن
- تحديد المخاطر باستخدام هندسة الحلول التقنية
- التأكد من تطبيق مبادئ الأمان أثناء التصميم والتطوير لتقليص المخاطر.
تضم أنظمة الرقابة على الأمان- على سبيل المثال لا الحصر:
- أنظمة الرقابة المادية
- أنظمة الرقابة الإدارية أو الإجرائية
- أنظمة الرقابة التقنية أو المنطقية
- أنظمة الرقابة القانونية والتنظيمية أو أنظمة الرقابة على الامتثال.
تؤدى هذه الأنشطة في العادة بالتعاون مع خبراء في مجالات أخرى منها- على سبيل المثال لا الحصر- المجالات القانونية والبنية التحتية التكنولوجية وتدقيق الحسابات والهيكلة وهندسة البرمجيات.
مستويات المسؤولية عن هذه المهارة
3 | 4 | 5 | 6 | 7 |
الأمن المعلوماتي: المستويات 1-2
لا يتم ملاحظة هذه المهارة أو ممارستها عادة على هذه المستويات من المسؤولية والمساءلة.
الأمن المعلوماتي: المستوى3
يطبق ويحافظ على ضوابط أمنية محددة تحددها سياسة المؤسسة وعمليات تقييم المخاطر المحلية، ويُعرّف مديري المؤسسة وغيرهم من العاملين بالمخاطر والمشكلات الأمنية، ويجري عمليات تقييم أساسية للمخاطر لنظم المعلومات الصغيرة. كما يشارك في تحديد المخاطر الناشئة عن البنى الهندسية الفنية المحتملة للحلول، ويقترح حلولًا أو إجراءات مضادة بديلة للحد من المخاطر. يحدد أنماط التهيئة الآمنة للنظم بما يتفق مع البنى الهندسية المنشودة، كما يدعم التحري عن الهجمات والخروقات الأمنية المحتملة.
الأمن المعلوماتي: المستوى4
يقدم التوجيه بشأن تطبيق وتشغيل الضوابط الأمنية الأولية المادية والإجرائية والفنية، كما يفسر الغرض النهائي من الضوابط الأمنية ويجري تحليلًا للمخاطر الأمنية وآثار العمل لأجل أنظمة المعلومات متوسطة التعقيد. يحدد المخاطر التي تنشأ عن الأنماط المحتملة لهندسة الحلول الفنية ويصمم حلولًا أو إجراءات مضادة بديلة ويتأكد من أنها تخفف من وطأة المخاطر المحددة ويدرس الهجمات المتوقعة ويدعم عملية إدارة الحوادث الأمنية.
الأمن المعلوماتي: المستوى5
يقدم المشورة والتوجيهات حول الاستراتيجيات الأمنية لإدارة المخاطر المحددة وضمان تبني المعايير والالتزام بها. يساهم في تطوير السياسة والمعايير والمبادئ التوجيهية الخاصة بأمن المعلومات. يحصل على المعلومات الخاصة بمواطن الضعف ويتخذ الإجراءات اللازمة حيالها، ويقوم بإجراء تقييمات للمخاطر الأمنية، وتحليل التأثير على العمل، والتصديق على نظم المعلومات المعقدة. يحقِّق في الخروقات الأمنية الجسيمة ويوصي بالتحسينات المناسبة للضوابط ذات الصلة. يطور بنى هندسية جديدة للحد من المخاطر التي تطرحها التقنيات وممارسات العمل الجديدة.
الأمن المعلوماتي: المستوى6
يعمل على تطوير وتعميم السياسة والمعايير والمبادئ التوجيهية الخاصة بأمن المعلومات بالمؤسسة. يضمن تطبيق المبادئ الأساسية لهندسة النظم أثناء التصميم لتقليل الخطر ويعزز تبني السياسات والمعايير والمبادئ التوجيهية والالتزام بها. يساهم في تطوير الاستراتيجيات التنظيمية التي تلبي الاحتياجات اللازمة للرقابة على المعلومات. يحدد ويراقب الاتجاهات البيئية واتجاهات السوق ويقيِّم بشكل استباقي تأثيرها على استراتيجيات العمل وما تنطوي عليه من فوائد ومخاطر. يبادر إلى تقديم المشورة والإرشاد بحكم خبرته بشأن متطلبات الضوابط الأمنية بالتعاون مع الخبراء المتخصصين بالمجال.
الأمن المعلوماتي: المستوى7
يوجه عمليات تطوير وتطبيق وتنفيذ ودعم استراتيجية أمن المعلومات المؤسسية المتوائمة مع استراتيجية العمل. يضمن التطابق بين استراتيجيات العمل وأمن المعلومات ويقود عملية تقديم الخبرات والتوجيهات والنظم الخاصة بأمن المعلومات والضرورية لتنفيذ الخطط الاستراتيجية والتشغيلية، ويوفر الموارد المؤسسية اللازمة لتنفيذ استراتيجية المعلومات الخاصة بالمؤسسة.