数字世界的全球技能和能力框架

信息安全 SCTY

选择、设计、调整、实施和操作控制和管理策略,维护信息系统的安全性、保密性、完整性、可⽤性,可追溯性和相关合规性,并遵守法律、法规和相关标准。

该技能的责任级别

3 4 5 6 7

信息安全: 级别 1-2

这种技能通常不会在这些责任和问责级别上被观察到或实践。

信息安全: 级别 3

向业务经理和其他人传达信息安全风险和问题。对小型信息系统实施基本的风险评估。协助完成漏洞评估。根据组织策略和本地风险评估的要求,应用和维护特定的安全控制。根据安全策略采取安全漏洞应对措施,并记录安全事件以及所采取的措施。

信息安全: 级别 4

阐述应用和操作基础性的、具体化的、程序化的以及技术性的安全控制措施的目的,并提供建议和指导方针。为中等复杂信息系统实施安全风险、漏洞评估和业务影响分析。调查可疑的攻击行为,并管理安全故障。在适当情况下使用取证技术。

信息安全: 级别 5

提供有关安全策略的建议和指导,以管理已识别的风险并确保采⽤和遵守标准。获取漏洞信息并对其采取⾏动,对复杂的信息系统实施安全风险评估,业务影响分析和认证。调查重要的安全漏洞,并提出适当的控制改进措施。协助制定信息安全策略、标准和指导方针。

信息安全: 级别 6

制定并传达公司的信息安全策略、标准和准则。有助于制定满足信息控制要求的组织战略。识别和监测环境和市场趋势,并对业务战略、利益和风险的影响做出前瞻性的评估。与法律、技术支持等其他职能的专家合作,就安全控制的需求提供权威性的建议。确保在设计过程中应用架构原则,以降低风险并推动采用和遵守策略、标准和指导方针。

信息安全: 级别 7

指导与业务战略需求相匹配的企业信息安全战略的开发、实施、交付和支持。确保业务战略和信息安全之间的合规性,为组织的所有信息系统执⾏战略和运营计划提供必要的信息安全资源专业知识、指导和系统。