情報保証 INAS
データおよび情報システムの使用、保存、および送信に関連するリスクからの保護および管理を行います。
ガイダンスノート
アクティビティには次のものが含まれますが、これらに限定されません。
- ステークホルダの信頼を確保するための実用的かつ費用効果の高い方法でのリスク管理
- 公式のシステム認証と認定
- 暗号制御の有効性の評価
- 制御の有効性を判断するための技術的アセスメント
情報とデータは通常、次の5つの原則によって保護されます。
- 可用性—許可されたユーザーが必要な情報に簡単にアクセスできるようにします。
- 整合性—不正な変更、取得、または削除から情報を保護します。
- 信頼性—ユーザーとデバイスの身元を検証します。
- 機密保持—許可されたユーザーのみにアクセスを限定する。
- 否認防止—データがその出所に忠実であることを確認することにより、アクションが発生したという事の否定の可能性を防ぎます
このスキルの責任レベルを理解する
下位レベルが定義されていない場合...
- 特定のタスクと責任は、スキルが意思決定において、これらのレベルで通常期待されるよりも高いレベルの自律性、影響力、および複雑さを必要とするため、定義されていません。エッセンス・ステートメントを使用して、これらのレベルに関連する一般的な責任を理解できます。
上位レベルが定義されていない場合...
- 責任と説明責任は、これらのより高いレベルには、この特定のスキルの範囲を超えた戦略的リーダーシップとより広範な組織的影響力が含まれるため、定義されていません。エッセンスステートメントを参照してください。
スキルを開発し、このスキルに関連する責任を示す
定義されたレベルは、スキルと責任の段階的な進歩を示します。
下位レベルが定義されていない場合...
次の方法で、知識を深め、この分野で責任を持つ他の人をサポートすることができます。
- このスキルに関連する重要な概念と原則、およびそれが自分の役割に与える影響を学ぶ
- 関連スキルの実行(関連するSFIAスキルを参照)
- より高いレベルのタスクや活動を行っている他の人を支援する
上位レベルが定義されていない場合...
- より高いレベルの組織のリーダーシップにより適した関連スキルを開発することで進歩することができます。
SFIAスキルが7つのレベルすべてで定義されていない理由については、クリックしてください。
追加の説明とレベルを表示/非表示にします。
このスキルに対する責任レベル
2 | 3 | 4 | 5 | 6 | 7 |
情報保証: レベル 2
日常的な監督下での情報保証活動を支援する。基本的なリスク評価の実施を支援し、情報保証措置の実施を支援する。情報保証に関連する記録と文書の管理を支援する。
情報保証: レベル 3
情報保証ポリシーおよびビジネス目標に対する情報システムの技術的アセスメントのための標準的なアプローチに従います。 定期的な認定決定を行います。 範囲と責任レベルを超えた決定を認識し、それに応じてエスカレーションします。 リスクアセスメントとリスク処理計画をレビューして実行します。 典型的なリスク指標を特定し、予防策を説明します。 決定をサポートおよび正当化するために、記録の整合性を維持します。
情報保証: レベル 4
複雑またはリスクの高い情報システムの技術的アセスメントおよび/または認定を実行します。 標準的な組織またはドメインの対策に加えて、必要なリスク軽減の対策を特定します。 配信パートナーからの認定証拠の要件を確立し、認定要件をステークホルダに伝達します。 情報保証および認定活動の計画と編成に貢献します。 情報保証プロセスの開発と実装に貢献します。
情報保証: レベル 5
情報保証とセキュリティポリシーを解釈し、これらを適用してリスクを管理します。 情報保証アーキテクチャ、戦略、ポリシー、標準、およびガイドラインの採用と遵守を確実にするためのアドバイスとガイダンスを提供します。 複雑なドメイン領域、部門の枠を超えた領域、およびサプライチェーン全体の情報保証と認定を計画、編成、および実施します。 ポリシー、標準、およびガイドラインの開発に貢献します。
情報保証: レベル 6
情報保証ポリシー、基準、ガイドラインを策定する。変化し続けるビジネスリスクと情報管理要件に対応する組織戦略の策定に貢献する。ポリシーと基準の採用と遵守を促進する。アーキテクチャの原則が守られ、要件が定義され、厳格なセキュリティテストが適用されていることを確認する。認定プロセスが組織の目標をサポートし、実現することを保証する。環境と市場の傾向を監視し、組織の戦略、利益、リスクへの影響を評価する。
情報保証: レベル 7
ビジネスの戦略的要件をサポートするためのエンタープライズ情報保証戦略の作成とレビューを指示します。 戦略、ポリシー、基準、および慣行を設定することにより、ビジネス戦略と情報保証の間のコンプライアンスを保証します。 組織のすべての情報および情報システムにわたる情報保証の専門知識、アドバイス、およびガイダンスの提供を主導します。