安全专业人员的技能

规划并实施组织范围内的流程和程序，管理影响经营成败和业务完整性的风险，特别是哪些因信息技术的使用、能源供应的减少或对材料、硬件或数据的不恰当处理所引发的风险。

选择、设计、调整、实施和操作控制和管理策略，维护信息系统的安全性、保密性、完整性、可⽤性，可追溯性和相关合规性，并遵守法律、法规和相关标准。

保护信息和数据在存储和传输过程中的完整性、可⽤性、真实性、不可否认性和保密性。以务实和具有成本效益的⽅式进行风险管理，确保利益相关方的信⼼。

整体治理所有类型的信息（结构化或⾮结构化、内部⽣成或外部⽣成），⽤于⽀持决策制定、业务流程和数字服务。完成战略和策略的开发和推广，包括信息结构和分类的设计，数据内容的采购和维护政策的制定，以及策略、流程的制定，并通过⼯作实践和培训促进遵守数据持有、使⽤和披露等所有⽅⾯的法规。

独⽴评估活动、流程、交付物、产品或服务与指定标准、最佳实践或其他已记录的要求之间的⼀致性。例如，可能涉及资产管理、⽹络安全⼯具、防⽕墙及互联⽹安全、可持续性、实时系统、应⽤设计及特定的认证。

收集、处理、保存、分析和展⽰与计算机有关的证据，以⽀持安全漏洞弥补和/或刑事、诈骗、反间谍或执法调查。

通过设计和执行渗透测试来评估组织脆弱性，通过测试可显示对手是如何颠覆组织的安全目标或达成特定的敌对目标。渗透测试可能是一个独立的活动，也可能是在批准操作之前准入测试的一个方面。可以对各种漏洞的业务风险进行更深入的洞察。

提供运营安全管理及管理性服务。通常包括授权及监测对IT设施或基础设施的访问、调查非授权的访问及遵守相关法规。

开发和利用任何特定领域（信息或通信技术，数字工作，特定技术，方法论，产品或应用领域）的专业知识，以便提供专家建议。

作为规划整个组织业务持续性的功能的一部分，提供服务持续性的规划和支持，或与其密切合作。识别支持关键业务流程的信息系统。评估关键系统在可用性，完整性和机密性方面存在的风险。协调流程以及应急计划的规划，设计，测试和维护，以揭示风险并保持商定水平的持续性。

处理及协调对故障报告的适当与及时回复，包括传递帮助请求至适当的职能部门供其解决，监测解决活动并维持客户对故障恢复进度持好评。

通过数据收集、创新、实验、评估和传播系统地创造新知识。确定研究目标和研究的方法。积极参与研究团体；通过数字媒体、会议、期刊、书籍和研讨会进行正式和非正式地交流。

开发和运作一种衡量能力, 以支持商定的组织信息需求。规划、实施和控制过程、产品和服务的属性, 以评估性能、进度, 并对实际或潜在的问题、问题和风险提供指示和洞察力。确定需求, 选择措施和测量尺度, 建立数据收集和分析方法, 设定目标值和阈值。度量可以应用于组织、项目、过程和工作产品。

使组织的供应商绩效目标和活动与采购战略和计划保持一致，并平衡成本，效率和服务质量。建立基于协作，信任和开放式沟通的工作关系，以鼓励与供应商的共同创新和服务改进。供应商主动参与, 以互惠互利的角度解决运营事件、问题、性能不佳和其他导致冲突的根源。使用明确的升级途径来讨论和解决问题。使用一组商定的指标管理多个供应商（内部和外部）的绩效和风险。

通过捕获、分享、开发和利用组织的集体知识，对重要知识进行系统的管理，从而为组织创造价值，以提高绩效、支持决策并降低风险。发展支持性和协作性的知识共享文化，以推动知识管理的技术解决方案被成功采用。通过促进内部和外部协作和沟通，提供对非正式的、隐性的知识以及正式的、有文档记录的显性知识的访问。

传递业务或技术技能及知识，提升专业态度，从⽽促进（学员）的学习及发展。运⽤⼤量技术、资源及媒介，包括⽹上学习、在线虚拟环境、⾃我评估、互助学习、模拟及当前新的⽅法。

系统地识别、分析、管理、监测和改进利益相关者关系, 以便确立和改善互利的结果。通过协商和审议影响, 取得行动的承诺。设计要采取的关系管理方法;包括角色和职责、治理、策略、过程、工具和支持机制。创造性地结合正式和非正式的沟通渠道, 以达到预期的结果。