اصل سوم اصول اخلاقی ISC2 (Canon III) بیان میکند:
Provide diligent and competent service to principals.
«به ذینفعان خود خدماتی شایسته، دقیق و مبتنی بر شایستگی حرفهای ارائه کن.»
این اصل بر یک نکته بسیار ظریف اما حیاتی تأکید دارد:
داشتن عنوان، مدرک یا دسترسی فنی بهتنهایی کافی نیست؛ متخصص امنیت موظف است فقط در حوزهای فعالیت کند که واقعاً در آن صلاحیت، دانش و تجربه دارد و کار را با دقت حرفهای انجام دهد.
در تحلیل حرفهای، Canon III مفهوم Due Care و Due Diligence را به رفتار فردی متخصص امنیت پیوند میدهد. Due Care یعنی انجام حد معقول و مورد انتظار از یک متخصص در شرایط مشابه، و Due Diligence یعنی استمرار این دقت در طول زمان. ISC2 با این اصل میگوید که کوتاهی، سادهانگاری یا «سرهمبندی فنی»—even بدون نیت سوء—میتواند غیراخلاقی باشد.
اهمیت این اصل زمانی روشن میشود که بدانیم تصمیمهای متخصص امنیت معمولاً بر پایه اعتماد گرفته میشوند. مدیران، مشتریان یا کاربران فرض میکنند فردی که مسئول امنیت است، بهروز، آگاه و شایسته عمل میکند. اگر متخصصی دانشی را که ندارد ادعا کند، یا بدون بررسی کافی توصیهای حیاتی بدهد، این اعتماد نقض میشود—even اگر هنوز حادثهای رخ نداده باشد.
Canon III همچنین با «نه گفتن حرفهای» گره خورده است. متخصص امنیت اخلاقاً موظف است:
پروژهای را که خارج از تخصص اوست نپذیرد
یا در صورت پذیرش، از افراد شایستهتر کمک بگیرد
یا مدیریت را از محدودیتهای دانش و ریسکهای تصمیم آگاه کند
این اصل، امنیت اطلاعات را از رفتار قهرمانانه و فردمحور دور میکند و به سمت کار حرفهای، مستند و مسئولانه سوق میدهد.
مثالها
مثال ۱: یک مدیر امنیت که تجربهای در امنیت صنعتی (OT/ICS) ندارد، مسئول ایمنسازی سیستمهای کنترل نیروگاه میشود و بدون تحلیل تخصصی تصمیمگیری میکند. پذیرش این مسئولیت بدون شایستگی لازم، نقض Canon III است.
مثال ۲: یک مشاور امنیتی متوجه میشود تهدید جدیدی را بهخوبی نمیشناسد، اما برای حفظ اعتبار، گزارش را سطحی و ناقص ارائه میدهد. این رفتار برخلاف ارائه خدمت «competent» و «diligent» است.
مثال ۳: تحلیلگر SOC میداند در تشخیص یک هشدار پیشرفته مطمئن نیست، اما موضوع را escalate نمیکند. این کوتاه حتی بدون سوءنیت نقض اصل سوم اخلاقی محسوب میشود.
