Cynnal gweithgareddau profi diogelwch gwybodaeth

URN: TECIS60441
Sectorau Busnes (Suites): Diogelwch Gwybodaeth
Datblygwyd gan: e-skills
Cymeradwy ar: 01 Maw 2016

Trosolwg

Y weithgaredd o asesu system i weld a oes gwendidau diogelwch yw profi diogelwch gwybodaeth. Mae profi diogelwch rhwydwaith neu seilwaith yn cynnwys asesu dyfeisiau rhwydwaith, gweinyddwyr, a gwasanaethau seilwaith rhwydwaith eraill fel Gwasanaeth Enw Parth (DNS) i weld a oes gwendidau diogelwch. Yn gyffredinol, mae profi diogelwch rhaglenni yn cyfeirio at brofi rhaglenni meddalwedd arferol neu fasnachol i weld a oes gwendidau diogelwch. Mae profi diogelwch rhaglenni ar y we yn canolbwyntio'n benodol ar raglenni sydd ar gwe, ac mae profi diogelwch rhaglenni symudol yn canolbwyntio ar brofi rhaglenni symudol.
Defnyddir rhai mathau cyffredin o brofion diogelwch. Fel arfer, mae asesiad o wendidau yn cynnwys sganio am faterion diogelwch. Defnyddir cyfuniad o gyfarpar awtomataidd a thechnegau asesu â llaw i gadarnhau a oes gwendid, ond heb fanteisio ar y gwendid hwn mewn gwirionedd.
Mae profion treiddio yn nodi gwendidau ac yn manteisio arnynt. Y nod yw efelychu ymosodwr go iawn a all dorri i mewn i system a dwyn neu addasu data neu effeithio ar argaeledd systemau. Mae profion amser cynnal yn cynnwys asesu'r system ar gyfer materion diogelwch o safbwynt defnyddiwr terfynol. Mae adolygu cod yn golygu asesu rhaglen drwy adolygu ei god ffynhonnell. Mae peidio ag adolygu cod yn gadael system yn agored i fwy o risg o fygythiadau mewnol maleisus.
Mae'r safon hon yn cwmpasu'r cymwyseddau sydd eu hangen i gynnal profion diogelwch er mwyn helpu i benderfynu ar lefel cadernid system wybodaeth i wrthsefyll bygythiadau a gwendidau diogelwch gwybodaeth. Mae'n cynnwys dewis a chymhwyso dulliau profi, gan gynnwys profion treiddio.


Meini prawf perfformiad

Mae'n rhaid eich bod chi'n gallu:

  1. cwmpasu a chynllunio’r dull profi diogelwch gwybodaeth, i dargedu’r bygythiadau a’r gwendidau mwyaf arwyddocaol mewn modd rhagweithiol
  2. defnyddio ystod o ddulliau, cyfarpar a thechnegau priodol i gynnal profion diogelwch gwybodaeth er mwyn nodi gwendidau ar draws systemau gwybodaeth lluosog
  3. cynnal profion diogelwch gwybodaeth, o dan amodau rheoledig, i asesu cydymffurfiaeth â safonau mewnol a/neu allanol perthnasol
  4. dylunio a rhoi cynlluniau ar waith ar gyfer profi rhwydweithiau a systemau gwybodaeth sy'n seiliedig ar raglenni yn unol â safonau sefydliadol
  5. dehongli gofynion sicrwydd gwybodaeth i gynhyrchu'r meini prawf ar gyfer profion diogelwch gwybodaeth
  6. dylunio a datblygu profion cywir i sicrhau bod gofynion sicrwydd gwybodaeth yn cael eu profi yn erbyn safonau mewnol a/neu allanol perthnasol
  7. cynllunio a chynnal profion treiddio yn seiliedig ar ymosodiadau i fanteisio ar wendidau a nodi materion diogelwch penodol
  8. adolygu canlyniadau profion diogelwch gwybodaeth mewn modd beirniadol, gan flaenoriaethu deilliannau ac argymell camau gweithredu
  9. cyfleu canlyniadau profion diogelwch gwybodaeth i ystod o gynulleidfaoedd gan gyfiawnhau unrhyw argymhellion ar faterion diogelwch a diffyg cydymffurfio, a dangos tystiolaeth ohonynt

Gwybodaeth a Dealltwriaeth

You need to know and understand:

  1. y bygythiadau penodol a allai fod yn arbennig o bwysig i unrhyw system wybodaeth benodol
  2. sut i gwmpasu a chynllunio dull profi diogelwch gwybodaeth gan ddilyn gweithdrefnau safonol
  3. y gwahaniaethau rhwng profion gwendidau a phrofion treiddio
  4. sut i ddatblygu a chymhwyso profion diogelwch gwybodaeth ar gyfer rhwydweithiau a rhaglenni
  5. sut i gynnal profion gwendidau
  6. sut i gynnal profion treiddio
  7. yr ystod o gyfarpar a thechnegau y gellir eu defnyddio ar gyfer profion diogelwch gwybodaeth, gan gynnwys profi gwendidau a threiddio a sut i'w cymhwyso
  8. deddfwriaeth berthnasol y DU a'i heffaith ar brofion diogelwch gwybodaeth
  9. sut i ddehongli canlyniadau profion diogelwch gwybodaeth
  10. pwysigrwydd sicrhau bod profion diogelwch gwybodaeth yn cael eu cynllunio i sicrhau bod pob agwedd ar systemau gwybodaeth yn cael eu profi ar draws yr egwyddorion craidd gan gynnwys: cyfrinachedd, uniondeb, argaeledd, awdurdodi, dilysu ac anymwrthod
  11. effaith bosibl y gwendidau a nodwyd ar unrhyw system wybodaeth ac ar y sefydliad
  12. ble i ddod o hyd i'r wybodaeth ddiweddaraf am wendidau neu gamfanteisio, a dylunio profion i'w nodi

Cwmpas/ystod


Cwmpas Perfformiad


Gwybodaeth Cwmpas


Gwerthoedd


Ymddygiadau


Sgiliau


Geirfa


Dolenni I NOS Eraill


Cysylltiadau Allanol


Fersiwn rhif

1

Dyddiad Adolygu Dangosol

01 Ebr 2019

Dilysrwydd

Ar hyn o bryd

Statws

Gwreiddiol

Sefydliad Cychwynnol

The Tech Partnership

URN gwreiddiol

TECIS60441

Galwedigaethau Perthnasol

Swyddog Technoleg Gwybodaeth a Chyfathrebu, Technoleg Gwybodaeth a Chyfathrebu, Gweithwyr Proffesiynol Technoleg Gwybodaeth a Chyfathrebu

Cod SOC


Geiriau Allweddol

Diogelwch gwybodaeth, seiberddiogelwch, profion diogelwch gwybodaeth, profion treiddio