信息保障 INAS
保护和管理与数据及信息系统的使用、存储和传输有关的风险。
指导说明
活动包括但不限于:
- 以务实和具成本效益的方式管理风险,确保利益相关者对
- 正式的体系认证和评审
- 技术评估及评价放心,从而确定控制效果。
信息和数据通常受到以下五项原则的保护:
- 可用性 — 确保拥有授权的用户能轻松访问所需的资料
- 完整性 — 保护信息不受未经授权的修改、检索或删除
- 真实性 — 验证用户及设备的身份
- 保密性 — 只允许授权用户访问
- 不可否认性 — 通过确保数据与原始数据的真实性,防止可能发生的拒绝操作。
该技能的责任级别
3 | 4 | 5 | 6 | 7 |
信息保障: 级别 1-2
这种技能通常不会在这些责任和问责级别上被观察到或实践。
信息保障: 级别 3
根据信息保障政策和业务目标,遵循信息系统技术评估的标准方法。作出例行的认证决定。认识超出范围和职责层级的决定,并根据情况进行上报。审查和执行风险评估与风险治理计划。确定典型的风险指标并解释预防措施。保持记录的完整性,从而支持和证明决策。
信息保障: 级别 4
对复杂或高风险信息系统进行技术评估和/或认证。确定除标准组织或领域措施外所需的风险缓解措施。确立交付合作伙伴对认证证据的要求,并将认证要求传达给利益相关者。协助信息保障及认证活动的策划和组织工作。协助信息保障流程的开发与实施。
信息保障: 级别 5
解读信息保障和安全策略,并应用这些策略管理风险。提供建议与指导,确保采用并遵守信息保障架构、战略、策略、标准和准则。计划、组织和执行复杂领域、跨职能领域乃至整个供应链的信息保证和认证工作。协助策略、标准和指导方针的制定。
信息保障: 级别 6
制定信息保障政策、标准和准则。协助制定组织战略,以应对不断变化的业务风险和信息控制要求。推动采用和遵守政策和标准。确保遵从架构原则,明确需求,以及应用严格的安全测试。确保认证过程能够支持和实现组织的目标。监测环境和市场趋势,评估对组织战略、利益和风险的任何影响。
信息保障: 级别 7
指导企业信息保障策略的创建和审查,以支持业务的战略需求。通过制定战略、策略、标准和实践措施,以确保业务战略与信息保障之间的一致性。领导在组织所有的信息和信息系统中提供信息保障专业知识、建议与指导。