اصل چهارم از اصول اخلاقی ISC2 (Canon IV)صادر کننده CISSP

اصل چهارم (Canon IV) می‌گوید:

Advance and protect the profession.

«به پیشرفت و حفاظت از حرفه امنیت اطلاعات کمک کن.»

این اصل با سه اصل قبلی فرق ظریفی دارد. اگر اصول اول تا سوم بیشتر بر تصمیم‌های فردی در موقعیت‌های حساس تمرکز داشتند، اصل چهارم نگاه کلان و بلندمدت دارد. ISC2 در اینجا از متخصص امنیت می‌خواهد فقط به وظایف شغلی روزمره خود فکر نکند، بلکه مسئولیت خود را نسبت به اعتبار، بلوغ و آینده حرفه امنیت اطلاعات نیز بپذیرد.

در تحلیل مفهومی، Canon IV امنیت اطلاعات را یک «حرفه» مشابه پزشکی، حقوق یا حسابرسی می‌داند. حرفه‌ای که تنها با ابزار و مدرک زنده نمی‌ماند، بلکه با اعتماد عمومی، انتقال دانش، رفتار مسئولانه اعضا و خودتنظیمی اخلاقی حفظ می‌شود. هر رفتار غیرحرفه‌ای حتی اگر به‌ظاهر موفق باشد می‌تواند به اعتبار کل جامعه متخصصان امنیت آسیب بزند.

این اصل چند بُعد مهم دارد. نخست، اشتراک دانش و تجربه؛ متخصص امنیت نباید آگاهانه دانش حیاتی را احتکار کند یا دیگران را گمراه سازد. دوم، منتورینگ و حمایت از نیروهای جوان‌تر؛ رشد حرفه بدون تربیت نسل بعدی ممکن نیست. سوم، مقابله با رفتارهای غیراخلاقی درون حرفه؛ سکوت در برابر تخلف حرفه‌ای دیگران، خود نوعی مشارکت غیرمستقیم محسوب می‌شود. و در نهایت، حفظ استانداردهای حرفه‌ای؛ از اغراق در توانمندی‌ها تا فروش راه‌حل‌های ناامن به نام امنیت.

Canon IV همچنین یادآوری می‌کند که رفتار یک متخصص امنیت، فقط نماینده خودش نیست؛ او نماینده کل حرفه است. به همین دلیل، پایین آوردن استانداردها، ترویج ترس بی‌پایه، یا استفاده ابزاری از عنوان‌های حرفه‌ای، نقض مستقیم این اصل محسوب می‌شود.

مثال‌ها

مثال ۱: یک دارنده CISSP عمداً دانش حیاتی امنیتی را از همکاران جوان‌تر پنهان می‌کند تا موقعیت شغلی خود را حفظ کند. این رفتار برخلاف پیشبرد حرفه امنیت اطلاعات است.

مثال ۲: متخصصی می‌بیند یک مشاور امنیتی به‌طور سیستماتیک راه‌حل‌های ناامن را به مشتریان می‌فروشد، اما سکوت می‌کند چون «به او ربطی ندارد». این سکوت با Canon IV در تضاد است.

مثال ۳: یک متخصص باتجربه با آموزش، راهنمایی و منتورینگ نیروهای تازه‌کار SOC، به ارتقای کیفیت تصمیم‌های امنیتی کمک می‌کند. این رفتار مصداق روشن اجرای اصل چهارم است.