デジタル世界のためのグローバルなスキルとコンピテンシーのフレームワーク

侵入テスト

侵入者が組織のセキュリティ目標(特定の知的財産権の保護など)を破壊する方法、または特定の敵対的な目標を達成する方法(秘密のコマンド、制御インフラストラクチャの確立など)を実証する侵入テストの設計と実行により、組織の脆弱性を評価する。侵入テストの結果は、様々な脆弱性のビジネスリスクに対する深い洞察を提供する。

このスキルに対する責任レベル

4 5 6

侵入テスト: レベル 1-3

このスキルは、通常、これらのレベルの責任と説明責任では観察または実践されません。

侵入テスト: レベル 4

マルウェア攻撃およびその他のサイバーセキュリティの脅威に関する最新の知識を維持することができる。リスクおよび典型的な脆弱性の深い技術的な分析によりテストケースを作成することができる。新しいおよび既存のソフトウェアまたはサービスをテストするためのテストスクリプト、資料およびテストパックを作成することができる。環境、データ、リソースおよびツールに対する要件を特定することができる。合意された手法と基準を用いて、複雑なテストスクリプトを解釈、実行および文書化することができる。アクションと結果を記録、分析することができる。検証結果を検証し、必要に応じてテストを修正することができる。プロジェクト全体の進捗状況、異常、リスクおよび問題に関する報告書を作成することができる。システム品質に関する報告を行い、テストケースに関する測定基準を収集することができる。他者をサポートするために専門的な助言を提供することができる。

侵入テスト: レベル 5

ビジネス活動の定義された領域における侵入テストの計画を調整、管理することができる。運用中のものおよび将来実装を計画しているものの両方について、脆弱性の存在、防御およびコントロールの軽減の有効性に関する客観的な洞察を提供することができる。テスト業務の整合性に対する責任を負い、これらの業務の実施を調整することができる。脆弱性テストの計画と実行に関する正式な助言と指針を提供することができる。テストの戦略を定義し伝達することができる。すべてのテストプロセスを管理し、企業のセキュリティテスト標準に寄与する。

侵入テスト: レベル 6

組織の準備状況を改善し、防御実務のための訓練を改善し、現在のパフォーマンスレベルを検査するために、組織の方針、プロセスおよび防御の全範囲にわたり、脆弱性を検出するための包括的なアプローチを実施することができる。テストの方針を決定し、サポートプロセスを所有している。組織内の全脆弱性テスト業務の管理に責任を負う。テストプロセスの代替案の実用性について評価助言することができる。検証プロセスに対する改善を開始し、その実装を指示することができる。サプライヤーの開発能力および検証能力を評価することができる。あらゆる検証の側面に関して顧客との関係を管理することができる。

侵入テスト: レベル 7

このスキルは、通常、このレベルの責任と説明責任で観察または実践されることはありません。