信息安全 SCTY

选择、设计、调整、实施和操作控制和管理策略，维护信息系统的安全性、保密性、完整性、可⽤性，责任，并遵守法规条例和相关标准。

等级

在以下级别定义：

在承担这些级别的责任时，通常不会观察到这项技能。

向业务经理和其他人传达信息安全风险和问题。对小型信息系统实施基本的风险评估。协助漏洞评估。根据企业策略和局部风险评估的要求应用和维护特定的安全控制。根据安全策略采取安全漏洞应对措施，并记录安全事件以及所采取的措施。

阐述应用和操作基础性的、具体化的、程序化的以及技术性的安全控制措施的目的，并提供建议和指导方针。为中等复杂信息系统实施安全风险、漏洞评估和业务影响分析。调查可疑的攻击行为，并管理安全故障。在适当情况下使用取证技术。

提供安全战略的建议和指导，以管理已识别的风险并确保采⽤和遵守标准。获取漏洞信息，并依此采取⾏动，对复杂

信息系统实施安全风险评估，业务影响分析和鉴定。调查重要的安全漏洞，并提出适当的控制改进措施。协助信息安全政策、标准和准则的制定。协助信息安全策略、标准和准则的制定。

制定并传达企业信息安全策略、标准和准则。有助于制定处理信息控制需求的企业战略。识别和监测环境和市场趋向，前瞻性的评估对业务战略、利益和风险的影响。协同其他领域（如法律、技术支持）的专家就安全控制的需求提供权威性的建议。确保在设计过程中应用架构原则，采用并遵守策略、标准和准则。

指导与业务战略需求相匹配的企业信息安全战略的制定、实施、交付和支持。确保业务战略和信息安全之间的合规性，为企业的所有信息系统执⾏战略和运营计划提供必要的信息安全资源专业知识、指导和系统。