Cadres réglementaires et de contrôle de la sécurité de l'information et des systèmes

Les professionnels de la sécurité de l'information doivent être au fait du système juridique, réglementaire et normatif entourant la sécurité de l'information et les crimes informatiques qui s'appliquent à leur contexte d'affaires. Ils doivent être sensibilisés aux devoirs et responsabilités de leur entreprise quant aux données qu'elle recueille, conserve et utilise autant de leurs partenaires externes que sur ses propres employés et connaître les mesures à mettre en oeuvre pour se protéger. Ils doivent aussi comprendre les obligations de l'organisation lorsque des tiers sont impliqués et connaître les différents cadres de contrôle généralement adoptés par les organisations. Au total, l'analyste doit comprendre le contexte dans lequel il oeuvre en matière de sécurité de l'information et être en mesure d'évaluer le moment où des ressources spécialisées sont requises, moment où les connaissances de base acquises leur permettront de jouer le rôle d'intermédiaire.