Globalne ramy umiejętności i kompetencji w cyfrowym świecie

Bezpieczeństwo informacji SCTY

Definiowanie i stosowanie ram kontroli bezpieczeństwa i strategii zarządzania bezpieczeństwem.

Uwagi zawierające wskazówki

Celem kontroli bezpieczeństwa i strategii zarządzania jest:

  • utrzymanie bezpieczeństwa, poufności, integralności, dostępności i odpowiedzialności systemów informacyjnych
  • zapewnienie zgodności systemów informacyjnych z ustawodawstwem, przepisami i odpowiednimi standardami.

Działania mogą obejmować między innymi:

  • wybór, przyjęcie i dostosowanie ram kontroli bezpieczeństwa
  • projektowanie, uzasadnianie i wdrażanie strategii zarządzania bezpieczeństwem
  • identyfikację ryzyka związanego z architekturą rozwiązań technicznych
  • zapewnienie stosowania zasad bezpieczeństwa podczas projektowania i rozwoju w celu zmniejszenia ryzyka.

Przykłady rodzajów kontroli bezpieczeństwa obejmują m.in.:

  • kontrole fizyczne 
  • kontrole proceduralne lub administracyjne 
  • kontrole techniczne lub logiczne 
  • kontrole prawne i regulacyjne lub kontrole zgodności.

Działania te są zazwyczaj prowadzone we współpracy ze specjalistami z innych dziedzin, w tym – między innymi – z zakresu prawa, infrastruktury technicznej, audytu, architektury, inżynierii oprogramowania.

Poziomy

Zdefiniowane na następujących poziomach: 3 4 5 6 7

Bezpieczeństwo informacji: Poziomy 1-2

Ta umiejętność zazwyczaj nie jest obserwowana przy pracy na tych poziomach odpowiedzialności.

Bezpieczeństwo informacji: Poziom 3

Stosuje i utrzymuje określone środki kontroli bezpieczeństwa zgodnie z wymogami zasady organizacyjnej i lokalnych ocen ryzyka. Informuje kierowników firm i inne osoby o zagrożeniach i problemach związanych z bezpieczeństwem. Wykonuje podstawowe oceny ryzyka dla małych systemów informacyjnych. Przyczynia się do identyfikacji ryzyka wynikającego z potencjalnych architektur rozwiązań technicznych. Proponuje alternatywne rozwiązania lub środki zaradcze w celu zmniejszenia ryzyka. Definiuje bezpieczne konfiguracje systemów zgodnie z zamierzoną architekturą. Wspiera badanie domniemanych ataków i naruszeń bezpieczeństwa.

Bezpieczeństwo informacji: Poziom 4

Zapewnia wytyczne dotyczące stosowania i działania elementarnych fizycznych, proceduralnych i technicznych środków kontroli bezpieczeństwa. Wyjaśnia cel kontroli bezpieczeństwa i przeprowadza ocenę ryzyka dla bezpieczeństwa i analizę wpływu na działalność dla systemów informacyjnych o średniej złożoności. Identyfikuje ryzyka, które wynikają z potencjalnych architektur rozwiązań technicznych. Projektuje alternatywne rozwiązania lub środki zaradcze i zapewnia, że ograniczają one zidentyfikowane ryzyka. Prowadzi dochodzenia w sprawie domniemanych ataków i wspiera zarządzanie zdarzeniami bezpieczeństwa.

Bezpieczeństwo informacji: Poziom 5

Zapewnia porady i wskazówki dotyczące strategii bezpieczeństwa, aby zarządzać wskazanym ryzykiem i zapewnić przyjęcie i przestrzeganie standardów. Przyczynia się do rozwoju polityki, standardów i wytycznych w zakresie bezpieczeństwa informacji. Uzyskuje informacje o zabezpieczeniach i działa na ich podstawie oraz przeprowadza oceny ryzyka dla bezpieczeństwa, analizy wpływu na działalność i akredytację rozbudowanych systemów informatycznych. Bada główne gałęzie bezpieczeństwa i zaleca ulepszenie odpowiednich środków kontroli. Przyczynia się do rozwoju polityki bezpieczeństwa informacji, standardów i wytycznych w tym zakresie.

Bezpieczeństwo informacji: Poziom 6

Rozwija i komunikuje korporacyjne zasady, standardy i wytyczne bezpieczeństwa informacji. Gwarantuje stosowanie zasad architektury podczas projektowania w celu zmniejszenia ryzyka i kieruje przyjęciem i przestrzeganiem zasad, standardów i wytycznych. Przyczynia się do rozwoju strategii organizacyjnych, które dotyczą wymagań kontroli informacji. Wskazuje i monitoruje trendy środowiskowe i rynkowe i proaktywnie ocenia wpływ na strategie biznesowe, korzyści i ryzyka. Zapewnia miarodajne porady i wskazówki dotyczące wymagań środków kontroli bezpieczeństwa przy współpracy z ekspertami z danej dziedziny.

Bezpieczeństwo informacji: Poziom 7

Kieruje rozwojem, wdrożeniem, dostawą i wsparciem strategii bezpieczeństwa informacji przedsiębiorstwa zgodnie ze strategicznymi wymaganiami firmy. Gwarantuje zgodność pomiędzy strategiami biznesowymi oraz bezpieczeństwem informacji. Kieruje przekazaniem doświadczenia, wytycznych i systemów dla bezpieczeństwa informacji niezbędnych w celu realizacji planów strategicznych i operacyjnych. Zabezpiecza zasoby organizacyjne i wykonuje strategię bezpieczeństwa informacji.