デジタル世界のためのグローバルなスキルとコンピテンシーのフレームワーク

情報セキュリティ SCTY

セキュリティ制御とセキュリティ管理戦略のフレームワークを定義および運用します。

ガイダンスノート

アクティビティには次のものが含まれますが、これらに限定されません。

  • システムの機密性、完全性、可用性を保護するためのセキュリティフレームワークの選択と適応
  • 物理的、手続き的、技術的、コンプライアンス的措置を含むセキュリティ管理の実施
  • 説明責任と関連する法律と基準の遵守の確保
  • セキュリティ・バイ・デザインの原則をシステムのライフサイクル全体に組み込み、初期の設計段階から開発、導入、運用に至るまで、セキュリティが確実に統合されるようにする
  • インフラストラクチャとアプリケーションにおけるリスクの特定と軽減

セキュリティ管理には以下が含まれますが、これらに限定されません。

  • 物理的管理-有形資産と物理的環境の保護
  • 手続き上または管理上の統制-組織のセキュリティ慣行を規定する方針とガイドライン
  • 技術的または論理的制御-情報システムを保護するハードウェアおよびソフトウェアの対策
  • 法律、規制、またはコンプライアンス管理-法律、規制、業界標準を保証する措置。

これらの活動は通常、法律、技術インフラストラクチャ、監査、アーキテクチャ、ソフトウェアエンジニアリングなど、他の分野の専門家と協力して実行されます。

このスキルの責任レベルを理解する

下位レベルが定義されていない場合...
  • 特定のタスクと責任は、スキルが意思決定において、これらのレベルで通常期待されるよりも高いレベルの自律性、影響力、および複雑さを必要とするため、定義されていません。エッセンス・ステートメントを使用して、これらのレベルに関連する一般的な責任を理解できます。
上位レベルが定義されていない場合...
  • 責任と説明責任は、これらのより高いレベルには、この特定のスキルの範囲を超えた戦略的リーダーシップとより広範な組織的影響力が含まれるため、定義されていません。エッセンスステートメントを参照してください。

スキルを開発し、このスキルに関連する責任を示す

定義されたレベルは、スキルと責任の段階的な進歩を示します。

下位レベルが定義されていない場合...

次の方法で、知識を深め、この分野で責任を持つ他の人をサポートすることができます。

  • このスキルに関連する重要な概念と原則、およびそれが自分の役割に与える影響を学ぶ
  • 関連スキルの実行(関連するSFIAスキルを参照)
  • より高いレベルのタスクや活動を行っている他の人を支援する
上位レベルが定義されていない場合...
  • より高いレベルの組織のリーダーシップにより適した関連スキルを開発することで進歩することができます。

追加の説明とレベルを表示/非表示にします。

このスキルに対する責任レベル

2 3 4 5 6 7

情報セキュリティ: レベル 2

レベル2-アシストする: レベルの本質:他者を援助し、日常的な監督下で働き、日常的な問題に対して裁量権を用いて対処します。訓練や実地体験を通じて積極的に学びます。

さまざまなシステムにわたるセキュリティポリシーとプロトコルの実装と監視を支援します。セキュリティガバナンスとコンプライアンスにおける潜在的なリスクの特定と対処に貢献する。文書化されたセキュリティインシデントの分析を支援し、必要に応じてエスカレーションする。アクセス制御と権限の見直しを支援し、セキュリティポリシーの遵守を確保する。

情報セキュリティ: レベル 3

レベル3- 適用する: レベルの本質:標準的な方法と手順を使用して、時には複雑で非定型的なさまざまなタスクを実行します。一般的な指示の下で機能し、裁量権を行使し、期限内に自分の仕事を管理します。職場でのスキルと影響力を積極的に高めます。

組織のポリシーおよびローカルリスクアセスメントで必要とされる特定のセキュリティ管理を適用および維持します。 セキュリティのリスクと問題をビジネスマネージャーなどに伝えます。 小規模な情報システムの基本的なリスクアセスメントを実行します。 潜在的なテクニカルソリューションアーキテクチャから生じるリスクの特定に貢献します。 リスクを軽減するための代替ソリューションまたは対策を提案します。 目的のアーキテクチャに準拠した安全なシステム構成を定義します。 疑わしい攻撃とセキュリティ違反の調査をサポートします。

情報セキュリティ: レベル 4

レベル4-実現する: レベルの本質:多様で複雑な活動を行い、他者をサポートして指導し、適切な場合はタスクを委任し、一般的な指示の下で自律的に作業し、チームの目標を達成するために専門知識を貢献します。

基本的な物理的、手続き的、および技術的なセキュリティ管理の適用と運用に関するガイダンスを提供します。 セキュリティ管理の目的を説明し、中程度の複雑さの情報システムのセキュリティリスクとビジネスへの影響の分析を実行します。 潜在的なテクニカルソリューションアーキテクチャから生じるリスクを特定します。 代替ソリューションまたは対策を設計し、それらが特定されたリスクを軽減することを保証します。 疑わしい攻撃を調査し、セキュリティインシデント管理をサポートします。

情報セキュリティ: レベル 5

レベル5-確信し、忠告する: レベルのエッセンス:各分野で権威ある指導を行い、幅広い指示の下で活動します。分析から実行、評価まで、大きな仕事の成果をもたらす責任があります。

特定されたリスクを管理し、標準の採用と順守を確実にするためのセキュリティ戦略に関するアドバイスとガイダンスを提供します。 情報セキュリティポリシー、標準、およびガイドラインの開発に貢献します。 脆弱性情報を取得して処理し、複雑な情報システムのセキュリティリスクアセスメント、ビジネス影響分析、および認定を実施します。 セキュリティの重大な違反を調査し、適切な制御の改善を推奨します。 新しいテクノロジーとビジネス慣行によってもたらされるリスクを軽減する新しいアーキテクチャを開発します。

情報セキュリティ: レベル 6

レベル6-開始する、影響を与えます。: レベルの本質:組織に大きな影響力を持ち、ハイレベルな意思決定を行い、ポリシーを形成し、リーダーシップを発揮し、組織的なコラボレーションを促進し、主要な領域の説明責任を受け入れます。

企業の情報セキュリティポリシー、標準、およびガイドラインを作成して伝達します。 リスクを軽減するために、設計時にアーキテクチャの原則が確実に適用されるようにします。 ポリシー、標準、およびガイドラインの採用と順守を促進します。 情報管理要件に対処する組織戦略の開発に貢献します。 環境と市場の傾向を特定および監視し、ビジネス戦略、利益、およびリスクへの影響を積極的にアセスします。 対象分野の専門家と協力して、セキュリティ管理の要件に関する信頼できるアドバイスとガイダンスの提供を主導します。

情報セキュリティ: レベル 7

レベル7-戦略を設定し、鼓舞し、動員する: レベルの本質:組織の最高レベルで運営し、組織全体のビジョンと戦略を決定し、全体的な成功に対する説明責任を引き受けます。

ビジネス戦略に沿ったエンタープライズ情報セキュリティ戦略の開発、実装、配信、およびサポートを指示します。 ビジネス戦略と情報セキュリティの間のコンプライアンスを保証します。 戦略的および運用計画を実行するために必要な情報セキュリティの専門知識、ガイダンス、およびシステムの提供を主導します。 情報セキュリティ戦略を実行するための組織リソースを保護します。