Globalne ramy umiejętności i kompetencji w cyfrowym świecie

Zapewnienie bezpieczeństwa informacji INAS

Ochrona przed ryzykiem związanym z wykorzystaniem, przechowywaniem i przekazywaniem danych i systemów informatycznych oraz zarządzanie tym ryzykiem.

Uwagi zawierające wskazówki

Działania obejmują między innymi:

  • zarządzanie ryzykiem w sposób pragmatyczny i oszczędny, aby zapewnić zaufanie zainteresowanych stron
  • formalną certyfikację i akredytację systemu
  • ocenę techniczną i ocenę w celu określenia skuteczności kontroli.

Informacje i dane są zazwyczaj chronione zgodnie z pięcioma zasadami:

  • dostępność – zapewnienie, że upoważnieni użytkownicy mogą łatwo uzyskać dostęp do potrzebnych im informacji
  • integralność – ochrona informacji przed nieuprawnioną modyfikacją, wyszukiwaniem lub usuwaniem
  • autentyczność – walidacja tożsamości użytkowników i urządzeń
  • poufność – ograniczenie dostępu tylko do upoważnionych użytkowników
  • niezaprzeczalność – zapobieganie ewentualnemu zaprzeczeniu, że dana czynność miała miejsce, poprzez zapewnienie, że dane są zgodne z ich pochodzeniem.

Poziom odpowiedzialności za tę umiejętność

3 4 5 6 7

Zapewnienie bezpieczeństwa informacji: Poziomy 1-2

Ta umiejętność nie jest zazwyczaj obserwowana ani praktykowana na tych poziomach odpowiedzialności i rozliczalności.

Zapewnienie bezpieczeństwa informacji: Poziom 3

Stosuje standardowe podejścia do technicznej oceny systemów informatycznych pod kątem polityk zapewnienia bezpieczeństwa informacji i celów biznesowych. Podejmuje rutynowe decyzje dotyczące akredytacji. Rozpoznaje decyzje, które wykraczają poza własny zakres i poziom odpowiedzialności i odpowiednio je eskaluje. Przegląda i przeprowadza oceny ryzyka oraz plany łagodzenia ryzyka. Identyfikuje typowe wskaźniki ryzyka i wyjaśnia środki zapobiegawcze. Utrzymuje integralność zapisów w celu wspierania i uzasadniania decyzji.

Zapewnienie bezpieczeństwa informacji: Poziom 4

Przeprowadza oceny techniczne i/lub akredytację złożonych systemów informacyjnych lub systemów o podwyższonym ryzyku. Określa środki ograniczania ryzyka wymagane jako uzupełnienie standardowych środków stosowanych w organizacji lub w danej dziedzinie. Wyznacza wymóg przedstawienia dowodów akredytacji przez partnerów realizujących projekt i informuje udziałowców o wymogach akredytacyjnych. Uczestniczy w planowaniu i organizacji działań związanych z zapewnieniem bezpieczeństwa i akredytacją informacji. Przyczynia się do rozwoju i wdrażania procesów zapewnienia bezpieczeństwa informacji.

Zapewnienie bezpieczeństwa informacji: Poziom 5

Interpretuje polityki zapewnienia bezpieczeństwa i ochrony informacji i stosuje je w zarządzaniu ryzykiem. Zapewnia porady i wskazówki w celu zapewnienia przyjmowania i zgodności z architekturami, strategiami, zasadami, standardami i wytycznymi bezpieczeństwa informacji. Planuje, organizuje i przeprowadza proces zapewniania bezpieczeństwa i akredytacji informacji w złożonych dziedzinach, obszarach wielofunkcyjnych oraz w całym łańcuchu dostaw. Przyczynia się do rozwoju polityk, standardów i wytycznych.

Zapewnienie bezpieczeństwa informacji: Poziom 6

Rozwija politykę, standardy i wytyczne zapewnienia bezpieczeństwa informacji korporacyjnych. Przyczynia się do rozwoju strategii organizacyjnych dotyczących rozwijającego się ryzyka biznesowego oraz wymagań dotyczących kontroli informacji. Kieruje wdrożeniem i zgodnością z zasadami. Zapewnia stosowanie zasad architekturalnych, definiowanie wymagań oraz stosowanie rygorystycznych testów bezpieczeństwa. Zapewnia, że procesy akredytacyjne wspierają i umożliwiają realizację celów organizacyjnych. Monitoruje trendy środowiskowe i rynkowe oraz ocenia każdy wpływ na strategie organizacyjne, ryzyko i korzyści.

Zapewnienie bezpieczeństwa informacji: Poziom 7

Kieruje tworzeniem i przeglądem strategii zapewnienia bezpieczeństwa informacji przedsiębiorstwa, aby wspierać strategiczne wymagania firmy. Zapewnia zgodność między strategiami biznesowymi i zapewnieniem bezpieczeństwa informacji poprzez wyznaczanie strategii, zasad, standardów i praktyk. Kieruje oferowaniem doświadczenia, porad i wytycznych z zakresu zapewnienia bezpieczeństwa informacji w ramach wszystkich informacji danej organizacji oraz systemów informatycznych.