デジタル世界のためのグローバルなスキルとコンピテンシーのフレームワーク

情報セキュリティ SCTY

セキュリティ制御とセキュリティ管理戦略のフレームワークを定義および運用します。

ガイダンスノート

セキュリティ管理と管理戦略の目的は次の通りです。

  • 情報システムのセキュリティ、機密性、整合性、可用性、説明責任を維持します。
  • 情報システムが法律、規制、および関連する基準に準拠していることを確認します。

アクティビティには次のものが含まれますが、これらに限定されません。

  • セキュリティ制御フレームワークの選択、採用、および適応
  • セキュリティ管理戦略の設計、正当化、および実装
  • テクニカルソリューションアーキテクチャによるリスクの特定
  • リスクを軽減するために、設計および開発中にセキュリティ原則が適用されるようにします。

セキュリティ管理の種類の例には、次のものが含まれますが、これらに限定されません。

  • 物理的制御 
  • 手続き上または管理上の制御 
  • 技術的または論理的制御 
  • 法規制またはコンプライアンス管理

これらの活動は通常、法律、技術インフラストラクチャ、監査、アーキテクチャ、ソフトウェアエンジニアリングなど、他の分野の専門家と協力して実行されます。

このスキルに対する責任レベル

3 4 5 6 7

情報セキュリティ: レベル 1-2

このスキルは、通常、これらのレベルの責任と説明責任では観察または実践されません。

情報セキュリティ: レベル 3

組織のポリシーおよびローカルリスクアセスメントで必要とされる特定のセキュリティ管理を適用および維持します。 セキュリティのリスクと問題をビジネスマネージャーなどに伝えます。 小規模な情報システムの基本的なリスクアセスメントを実行します。 潜在的なテクニカルソリューションアーキテクチャから生じるリスクの特定に貢献します。 リスクを軽減するための代替ソリューションまたは対策を提案します。 目的のアーキテクチャに準拠した安全なシステム構成を定義します。 疑わしい攻撃とセキュリティ違反の調査をサポートします。

情報セキュリティ: レベル 4

基本的な物理的、手続き的、および技術的なセキュリティ管理の適用と運用に関するガイダンスを提供します。 セキュリティ管理の目的を説明し、中程度の複雑さの情報システムのセキュリティリスクとビジネスへの影響の分析を実行します。 潜在的なテクニカルソリューションアーキテクチャから生じるリスクを特定します。 代替ソリューションまたは対策を設計し、それらが特定されたリスクを軽減することを保証します。 疑わしい攻撃を調査し、セキュリティインシデント管理をサポートします。

情報セキュリティ: レベル 5

特定されたリスクを管理し、標準の採用と順守を確実にするためのセキュリティ戦略に関するアドバイスとガイダンスを提供します。 情報セキュリティポリシー、標準、およびガイドラインの開発に貢献します。 脆弱性情報を取得して処理し、複雑な情報システムのセキュリティリスクアセスメント、ビジネス影響分析、および認定を実施します。 セキュリティの重大な違反を調査し、適切な制御の改善を推奨します。 新しいテクノロジーとビジネス慣行によってもたらされるリスクを軽減する新しいアーキテクチャを開発します。

情報セキュリティ: レベル 6

企業の情報セキュリティポリシー、標準、およびガイドラインを作成して伝達します。 リスクを軽減するために、設計時にアーキテクチャの原則が確実に適用されるようにします。 ポリシー、標準、およびガイドラインの採用と順守を促進します。 情報管理要件に対処する組織戦略の開発に貢献します。 環境と市場の傾向を特定および監視し、ビジネス戦略、利益、およびリスクへの影響を積極的にアセスします。 対象分野の専門家と協力して、セキュリティ管理の要件に関する信頼できるアドバイスとガイダンスの提供を主導します。

情報セキュリティ: レベル 7

ビジネス戦略に沿ったエンタープライズ情報セキュリティ戦略の開発、実装、配信、およびサポートを指示します。 ビジネス戦略と情報セキュリティの間のコンプライアンスを保証します。 戦略的および運用計画を実行するために必要な情報セキュリティの専門知識、ガイダンス、およびシステムの提供を主導します。 情報セキュリティ戦略を実行するための組織リソースを保護します。