Rheoli gweithgareddau profi diogelwch gwybodaeth

URN: TECIS60451
Sectorau Busnes (Suites): Diogelwch Gwybodaeth
Datblygwyd gan: e-skills
Cymeradwy ar: 2016

Trosolwg

Y weithgaredd o asesu system i weld a oes gwendidau diogelwch yw profi diogelwch gwybodaeth. Mae profi diogelwch rhwydwaith neu seilwaith yn cynnwys asesu dyfeisiau rhwydwaith, gweinyddwyr, a gwasanaethau seilwaith rhwydwaith eraill fel Gwasanaeth Enw Parth (DNS) i weld a oes gwendidau diogelwch. Yn gyffredinol, mae profi diogelwch rhaglenni yn cyfeirio at brofi rhaglenni meddalwedd arferol neu fasnachol i weld a oes gwendidau diogelwch. Mae profi diogelwch rhaglenni ar y we yn canolbwyntio'n benodol ar raglenni sydd ar gwe, ac mae profi diogelwch rhaglenni symudol yn canolbwyntio ar brofi rhaglenni symudol.
Defnyddir rhai mathau cyffredin o brofion diogelwch. Fel arfer, mae asesiad o wendidau yn cynnwys sganio am faterion diogelwch. Defnyddir cyfuniad o gyfarpar awtomataidd a thechnegau asesu â llaw i gadarnhau a oes gwendid, ond heb fanteisio ar y gwendid hwn mewn gwirionedd.
Mae profion treiddio yn nodi gwendidau ac yn manteisio arnynt. Y nod yw efelychu ymosodwr go iawn a all dorri i mewn i system a dwyn neu addasu data neu effeithio ar argaeledd systemau. Mae profion amser cynnal yn cynnwys asesu'r system ar gyfer materion diogelwch o safbwynt defnyddiwr terfynol. Mae adolygu cod yn golygu asesu rhaglen drwy adolygu ei god ffynhonnell. Mae peidio ag adolygu cod yn gadael system yn agored i fwy o risg o fygythiadau mewnol maleisus.
Mae'r safon hon yn diffinio'r cymwyseddau sy'n gysylltiedig â rheoli gweithgareddau profion diogelwch er mwyn helpu i benderfynu ar lefel cadernid system wybodaeth i wrthsefyll bygythiadau a gwendidau diogelwch gwybodaeth. Mae hyn yn cynnwys rheoli adnoddau, gweithgareddau ac amcanion i'w cyflawni. Mae hyn yn cynnwys cynllunio, cynnal ac adrodd ar brofion treiddio cynhwysfawr, yn ogystal â dylunio polisïau, safonau a phrosesau sefydliadol a'u rhoi ar waith.


Meini prawf perfformiad

Mae'n rhaid eich bod chi'n gallu:

  1. arwain a rheoli tîm profi diogelwch gwybodaeth, gan ddyrannu adnoddau'n effeithiol a rhoi hyfforddiant a datblygiad ar waith yn unol â gofynion sefydliadol
  2. dylunio, rhoi ar waith a chynnal prosesau, gweithdrefnau, dulliau, cyfarpar a thechnegau'r safonau profi diogelwch gwybodaeth i adlewyrchu natur newidiol bygythiadau a risgiau diogelwch i'r sefydliad
  3. ymchwilio, nodi ac ymgorffori dulliau cyfoes i brofi a nodi gwendidau mewn systemau rhwydwaith a gwybodaeth
  4. dewis a phennu'r cyfarpar mwyaf priodol i'w ddefnyddio yn ystod gweithgareddau profi diogelwch gwybodaeth
  5. diffinio cwmpas aseiniadau profi diogelwch gwybodaeth yn gywir yn unol â senarios profi a gofynion sefydliadol
  6. dylunio a gweithredu ymosodiadau rheoledig ar rwydweithiau a systemau gwybodaeth yn rhan o brofion treiddio cynhwysfawr yn unol â safonau sefydliadol
  7. adolygu’r gwendidau a nodwyd o ganlyniad i brofion diogelwch gwybodaeth a nodi’r effaith bosibl ar systemau ac asedau gwybodaeth y sefydliad
  8. adolygu canlyniadau profion diogelwch gwybodaeth yn feirniadol, gan nodi materion diogelwch a phennu blaenoriaethau ar gyfer gweithredu a/neu uwchgyfeirio lle bo’n briodol
  9. cyfleu canlyniadau profion diogelwch gwybodaeth i ystod o gynulleidfaoedd, gan gyfiawnhau a rhoi tystiolaeth o faterion diogelwch a gwneud argymhellion ar eu hadfer

Gwybodaeth a Dealltwriaeth

You need to know and understand:

  1. pwrpas, cyfyngiadau a defnyddioldeb profion diogelwch gwybodaeth
  2. sut i ddefnyddio'r ystod o offer a thechnegau y gellir eu cymhwyso ar gyfer profion diogelwch gwybodaeth
  3. rôl a phwysigrwydd gweithgareddau profi diogelwch gwybodaeth rhagweithiol, megis profion gwendid a threiddio i nodi materion diogelwch o fewn seilwaith ac asedau rhwydwaith a systemau gwybodaeth y sefydliad
  4. canlyniadau a deilliannau gweithgareddau profi diogelwch gwybodaeth wrth nodi materion diogelwch a llywio a chyfarwyddo gweithgareddau adfer
  5. pwysigrwydd sicrhau bod profion diogelwch gwybodaeth yn cael eu cynnal yn rhagweithiol ac fel mater o drefn/yn rheolaidd drwy gydol cylch bywyd ac oes systemau rhwydwaith a gwybodaeth
  6. yr ystod o weithgareddau sganio a phrofi y gellir eu defnyddio i nodi gwendidau yn rhwydwaith a system wybodaeth sefydliad
  7. yr ystod o wendidau cyfredol a nodwyd sy'n bodoli ac y mae angen eu profi
  8. pwysigrwydd cadw gwybodaeth gyfeirio gyfredol am fygythiadau a gwendidau newydd
  9. y safonau allanol, y fframweithiau arferion gorau a'r codau ymddygiad y dylai asedau mewn seilwaith systemau gwybodaeth sefydliad gydymffurfio â nhw
  10. sut i ddylunio, datblygu a rhoi metrigau ar waith ar gyfer monitro statws diogelwch gwybodaeth, rhaglenni, systemau a rhwydweithiau trwy brofion diogelwch gwybodaeth
  11. sut i gynnal rhestrau o raglenni neu ddyfeisiadau awdurdodedig neu waharddedig i'w defnyddio mewn systemau monitro diogelwch gwybodaeth amddiffynnol

Cwmpas/ystod


Cwmpas Perfformiad


Gwybodaeth Cwmpas


Gwerthoedd


Ymddygiadau


Sgiliau


Geirfa


Dolenni I NOS Eraill


Cysylltiadau Allanol


Fersiwn rhif

1

Dyddiad Adolygu Dangosol

2019

Dilysrwydd

Ar hyn o bryd

Statws

Gwreiddiol

Sefydliad Cychwynnol

The Tech Partnership

URN gwreiddiol

TECIS60451

Galwedigaethau Perthnasol

Swyddog Technoleg Gwybodaeth a Chyfathrebu, Technoleg Gwybodaeth a Chyfathrebu, Gweithwyr Proffesiynol Technoleg Gwybodaeth a Chyfathrebu

Cod SOC


Geiriau Allweddol

Diogelwch gwybodaeth, seiberddiogelwch, profion diogelwch gwybodaeth, profion treiddio