Sécurité de l'information SCTY
Définition et exploitation d’un cadre de contrôles de sécurité et de stratégies de gestion de la sécurité.
Notes d’orientation
Les contrôles de sécurité et les stratégies de gestion ont pour objectif :
- assurer la sécurité, la confidentialité, l’intégrité, la disponibilité et la responsabilité des systèmes d’information
- assurer la conformité des systèmes d’information à la législation, à la réglementation et aux normes pertinentes.
Les activités peuvent inclure, mais sans s’y limiter :
- sélectionner, adopter et adapter des cadres de contrôle de la sécurité
- concevoir, justifier et mettre en œuvre des stratégies de gestion de la sécurité
- identifier les risques avec des architectures de solutions techniques
- veiller à l’application des principes de sécurité pendant la conception et le développement afin de réduire les risques.
Exemples de types de contrôle de sécurité (liste non exhaustive) :
- contrôles physiques
- contrôles procéduraux ou administratifs
- contrôles techniques ou logiques
- contrôles légaux, réglementaires ou de conformité.
En règle générale, ces activités sont effectuées en collaboration avec des spécialistes d’autres domaines, y compris mais sans s’y limiter, la branche juridique, l’infrastructure technique, la vérification, l’architecture, le génie logiciel.
Levels of responsibility for this skill
3 | 4 | 5 | 6 | 7 |
Sécurité de l'information: Niveaux 1-2
Cette compétence n’est généralement pas observée ou pratiquée à ces niveaux de responsabilité et de responsabilisation.
Sécurité de l'information: Niveau 3
Applique et tient à jour les contrôles de sécurité requis dans la politique organisationnelle et les évaluations locales des risques. Communique les risques et les problèmes de sécurité aux directeurs commerciaux et autres responsables. Effectue l’évaluation élémentaire des risques pour les petits systèmes d’information. Participe à l’évaluation des risques posés par les architectures potentielles de solutions techniques. Propose des solutions de rechange ou des contre-mesures pour mitiger les risques. Définit des configurations de systèmes sécurisés conformes aux architectures ciblées. Soutient les enquêtes sur les attaques présumées et les failles de sécurité.
Sécurité de l'information: Niveau 4
Donne des conseils sur l’application et le fonctionnement des contrôles physiques, procéduraux et techniques élémentaires de sécurité. Explique l’objectif des contrôles de sécurité; analyse les risques pour la sécurité et leur impact commercial pour les systèmes d’information de complexité moyenne. Identifie les risques posés par les architectures de solutions techniques potentielles. Élabore des solutions de rechange ou des contre-mesures et veille à ce qu’elles mitigent les risques. Enquête sur les attaques présumées et soutient la gestion des incidents de sécurité.
Sécurité de l'information: Niveau 5
Donne son avis et des conseils sur les stratégies de sécurité pour gérer les risques identifiés et assurer l’adoption et le respect des normes. Contribue à l’élaboration des politiques, normes et directives relatives à la sécurité de l’information. Obtient l’information sur les failles de sécurité et intervient pour les éliminer, évalue les risques pour la sécurité, analyse l’impact sur les affaires et accrédite les systèmes d’information complexes. Enquête sur les graves infractions à la sécurité et recommande des solutions pour améliorer les contrôles. Développe de nouvelles architectures pour mitiger les risques posés par les nouvelles technologies et pratiques commerciales.
Sécurité de l'information: Niveau 6
Développe et communique les politiques, normes et directives organisationnelles relatives à la sécurité de l'information. Veille à l’application des principes architecturaux durant la conception afin de réduire les risques. Dirige l’adoption et le respect des politiques, normes et directives. Contribue à l’élaboration des stratégies organisationnelles qui répondent aux exigences de contrôle de l’information. Identifie et surveille les tendances du marché et du secteur et évalue proactivement l’impact sur les stratégies de l’entreprise, ainsi que les avantages et les risques. Dirige l’approvisionnement d’avis et de conseils autorisés sur les exigences relatives aux contrôles de la sécurité, en collaboration avec des experts en la matière.
Sécurité de l'information: Niveau 7
Dirige le développement, la mise en œuvre, la livraison et le soutien d’une stratégie organisationnelle de sécurité de l’information alignée sur la stratégie commerciale. Assure la conformité entre les stratégies commerciales et la sécurité de l’information. Dirige les prestations d’expertise et de conseil sur la sécurité de l’information, ainsi que l’approvisionnement de systèmes nécessaires pour la mise en œuvre des plans stratégiques et opérationnels. Assure la sûreté des ressources organisationnelles pour mettre en œuvre la stratégie de sécurité de l’information.