Le cadre mondial des compétences et des compétences pour le monde numérique

Sécurité de l'information SCTY

Définition et exploitation d’un cadre de contrôles de sécurité et de stratégies de gestion de la sécurité.

Levels of responsibility for this skill

3 4 5 6 7

Notes d’orientation

Les contrôles de sécurité et les stratégies de gestion ont pour objectif :

  • assurer la sécurité, la confidentialité, l’intégrité, la disponibilité et la responsabilité des systèmes d’information
  • assurer la conformité des systèmes d’information à la législation, à la réglementation et aux normes pertinentes.

Les activités peuvent inclure, mais sans s’y limiter :

  • sélectionner, adopter et adapter des cadres de contrôle de la sécurité
  • concevoir, justifier et mettre en œuvre des stratégies de gestion de la sécurité
  • identifier les risques avec des architectures de solutions techniques
  • veiller à l’application des principes de sécurité pendant la conception et le développement afin de réduire les risques.

Exemples de types de contrôle de sécurité (liste non exhaustive) :

  • contrôles physiques 
  • contrôles procéduraux ou administratifs 
  • contrôles techniques ou logiques 
  • contrôles légaux, réglementaires ou de conformité.

En règle générale, ces activités sont effectuées en collaboration avec des spécialistes d’autres domaines, y compris mais sans s’y limiter, la branche juridique, l’infrastructure technique, la vérification, l’architecture, le génie logiciel.

Comprendre les niveaux de responsabilité de cette compétence

Là où les niveaux inférieurs ne sont pas définis...
  • Les tâches et responsabilités spécifiques ne sont pas définies car la compétence exige un niveau plus élevé d’autonomie, d’influence et de complexité dans la prise de décision que ce à quoi on s’attend généralement à ces niveaux. Vous pouvez utiliser les énoncés d’essence pour comprendre les responsabilités génériques associées à ces niveaux.
Là où les niveaux supérieurs ne sont pas définis...
  • Les responsabilités et les obligations de rendre compte ne sont pas définies parce que ces niveaux supérieurs impliquent un leadership stratégique et une influence organisationnelle plus large qui va au-delà de la portée de cette compétence spécifique. Voir les énoncés d’essence.

Développer des compétences et démontrer les responsabilités liées à ces compétences

Les niveaux définis montrent la progression progressive des compétences et des responsabilités.

Là où les niveaux inférieurs ne sont pas définis...

Vous pouvez développer vos connaissances et soutenir d’autres personnes qui ont des responsabilités dans ce domaine en :

  • Apprendre les concepts et principes clés liés à cette compétence et son impact sur votre rôle
  • Exécution de compétences connexes (voir les compétences SFIA connexes)
  • Supporting others who are performing higher level tasks and activities
Là où les niveaux supérieurs ne sont pas définis...
  • Vous pouvez progresser en développant des compétences connexes qui conviennent mieux aux niveaux supérieurs de leadership organisationnel.

Afficher/masquer les descriptions et les niveaux supplémentaires.

Sécurité de l'information: Niveau 3

Niveau 3 – Mettre en pratique: Essence du niveau : Effectuer des tâches variées, parfois complexes et non routinières, en utilisant des méthodes et des procédures standard. Travaille sous une direction générale, fait preuve de discrétion et gère son propre travail dans le respect des délais. Améliore de manière proactive ses compétences et son impact sur le lieu de travail.

Applique et tient à jour les contrôles de sécurité requis dans la politique organisationnelle et les évaluations locales des risques. Communique les risques et les problèmes de sécurité aux directeurs commerciaux et autres responsables. Effectue l’évaluation élémentaire des risques pour les petits systèmes d’information. Participe à l’évaluation des risques posés par les architectures potentielles de solutions techniques. Propose des solutions de rechange ou des contre-mesures pour mitiger les risques. Définit des configurations de systèmes sécurisés conformes aux architectures ciblées. Soutient les enquêtes sur les attaques présumées et les failles de sécurité.

Sécurité de l'information: Niveau 4

Niveau 4 – Activer: Essence du niveau : Effectuer diverses activités complexes, soutenir et guider les autres, déléguer des tâches le cas échéant, travailler de manière autonome sous une direction générale et apporter son expertise pour atteindre les objectifs de l'équipe.

Donne des conseils sur l’application et le fonctionnement des contrôles physiques, procéduraux et techniques élémentaires de sécurité. Explique l’objectif des contrôles de sécurité; analyse les risques pour la sécurité et leur impact commercial pour les systèmes d’information de complexité moyenne. Identifie les risques posés par les architectures de solutions techniques potentielles. Élabore des solutions de rechange ou des contre-mesures et veille à ce qu’elles mitigent les risques. Enquête sur les attaques présumées et soutient la gestion des incidents de sécurité.

Sécurité de l'information: Niveau 5

Niveau 5 – Assurer, conseiller: Essence du niveau : Fournit des conseils faisant autorité dans son domaine et travaille sous une direction générale. Il est responsable de l'obtention de résultats significatifs, de l'analyse à l'évaluation en passant par l'exécution.

Donne son avis et des conseils sur les stratégies de sécurité pour gérer les risques identifiés et assurer l’adoption et le respect des normes. Contribue à l’élaboration des politiques, normes et directives relatives à la sécurité de l’information. Obtient l’information sur les failles de sécurité et intervient pour les éliminer, évalue les risques pour la sécurité, analyse l’impact sur les affaires et accrédite les systèmes d’information complexes. Enquête sur les graves infractions à la sécurité et recommande des solutions pour améliorer les contrôles. Développe de nouvelles architectures pour mitiger les risques posés par les nouvelles technologies et pratiques commerciales.

Sécurité de l'information: Niveau 6

Niveau 6 – Initier, influencer: Essence du niveau : exerce une influence significative sur l'organisation, prend des décisions de haut niveau, élabore des politiques, fait preuve de leadership, favorise la collaboration au sein de l'organisation et accepte de rendre des comptes dans des domaines clés.

Développe et communique les politiques, normes et directives organisationnelles relatives à la sécurité de l'information. Veille à l’application des principes architecturaux durant la conception afin de réduire les risques. Dirige l’adoption et le respect des politiques, normes et directives. Contribue à l’élaboration des stratégies organisationnelles qui répondent aux exigences de contrôle de l’information. Identifie et surveille les tendances du marché et du secteur et évalue proactivement l’impact sur les stratégies de l’entreprise, ainsi que les avantages et les risques. Dirige l’approvisionnement d’avis et de conseils autorisés sur les exigences relatives aux contrôles de la sécurité, en collaboration avec des experts en la matière.

Sécurité de l'information: Niveau 7

Niveau 7 – Définir la stratégie, inspirer, mobiliser: Essence du niveau : Opère au plus haut niveau de l'organisation, détermine la vision et la stratégie globales de l'organisation et assume la responsabilité du succès global.

Dirige le développement, la mise en œuvre, la livraison et le soutien d’une stratégie organisationnelle de sécurité de l’information alignée sur la stratégie commerciale. Assure la conformité entre les stratégies commerciales et la sécurité de l’information. Dirige les prestations d’expertise et de conseil sur la sécurité de l’information, ainsi que l’approvisionnement de systèmes nécessaires pour la mise en œuvre des plans stratégiques et opérationnels. Assure la sûreté des ressources organisationnelles pour mettre en œuvre la stratégie de sécurité de l’information.