【資安技能ECSF框架實際應用】以企業職場與學習角度出發，加速企業、政府與教育者溝通

歐洲網路安全技能框架（ECSF）確立12種典型資安工作角色，提供每個職位的概述，以及不同的工作活動，提供識別資安職務類型的工具。其最大好處在於，建立了網路安全專業角色在識別與特徵上的共同理解，並可以與所需的適當技能與能力相對應。

根據歐盟網路安全局（ENISA）的說明，ECSF框架背後是基於市場研究與資安專家合作發展，能針對資訊資安從業人員，列出明確的職業、技能與能力分類，提供歐盟自身使用。

簡單來說，ECSF的目的，就是希望提供出明確的參考資訊，幫助識別當前與未來的網路安全技能短缺，以及減少差距。而從國際角度來看，這不僅成為歐洲企業組織的重要參考資源，以ECSF對資安人才的定義而言，同樣受到全球資安領域的關切，畢竟，全球企業都面臨資安人才短缺的挑戰，這樣的資源都足以作為借鑒。

定義角色背後所需學習的內容，扮演企業與教育者之間橋樑

從ECSF的設計原則來看，框架是以通用為設計考量，ENISA希望確保廣泛對象能夠容易理解與應用當中的概念，促使不同規模的組織，以及技術專業程度與不同核心業務領域之間，都能使用該框架。

因此，除了從中能夠認識12種資安工作角色，從ECSF框架所列的角色職務職能簡介，我們更可以看出，其結構包含兩大層面，那就是以「工作」與「學習」來定義資安角色的概要需求。

具體而言，一個關鍵是從「工作」角度出發，亦即呈現工作角色在組織的作用，這裡細分為任務使命（Mission）、可交付的工作（Deliverables），以及任務（Task）；另一關鍵是從學習角度來看，也就是工作角色需要知道什麼？要做什麼？這裡細分為技能（Skills）、知識（Knowledge），以及歐盟的e-CF能力框架。換言之，ECSF不僅呈現每個角色在工作職場要做的事，同時，也展現每個角色背後所需要學習的內容。

因此，在ECSF框架的職務職能簡介，我們可以看到每個不同的資安工作角色，都描繪所需要的「技能」與「知識」清單，而其數量在5到16項之間。

以資安長為例，其技能清單有16項，包括：評估並加強組織的資訊安全態勢，實施資安政策、認證、標準、方法論與框架，遵守與資安相關的法律、法規與立法，以及管理資安資源，定義資安管理成熟度模型，直接或領導外部承包商ISMS監控與審查等，特別的是，激勵與鼓勵這類軟性技能也涵蓋在內。

除了技能與知識，ECSF最獨特之處在於，可連接專門用於ICT專業領域的歐盟電子技術能力框架：European e-Competence Framework（e-CF）。基本上，e-CF將能力分為5大領域、40個項目，並且畫分出5個成熟度，而在ECSF的每個職務職能簡介中，也列出該資安角色所需具備的e-CF能力。

推動企業採行ECSF，以設想情境幫助理解應用方式

綜觀上述這些具體的清單內容，已經足以協助組織、個人或培訓機構推行，能有明確的參照可用。而在ECSF使用者手冊中，也闡述此框架的運用方式，可利於下列5大面向，包括：

1. 提供企業組織應用，像是聘用資安專業人員

2. 提供學習提供者應用，也就是各類培訓單位，以幫助提高資安專業人員技能

3. 提供個人從業人員應用，幫助做出自己的職業選擇

4. 提供專業協會應用，建立資安社群

5. 提供政策制定者應用，以幫助在戰略上增加該領域

企業該如何應用ECSF？我們注意到，ECSF使用者手冊用說故事的方式來舉例說明，相當特別。如此的確讓大家更容易以自身情境帶入，便於設想。

例如，在第一個情境中，是由兩位創辦人成立的小型雲端服務公司，這兩人各自擅長技術與行銷，但之前都沒有經營或建立公司的經驗。

過了一年之後，公司開始逐漸成長，他們搬進新的辦公室，雇用許多員工來擴展業務，但在此階段中，沒有人能考慮組織架構問題，許多角色與職責都是共同承擔，若遇到挑戰，則透過臨機應變的方式來處理。所幸，這個時期還沒有發生嚴重的資安事件。

後來，這家公司吸引到新的投資者與媒體的目光，然而，大客戶與投資者要求在他們涉入公司經營之前，須為其提供充分的資安保障措施與組織架構，這時創辦人也意識到：公司成功的關鍵在於員工，為了使組織成功發展並提供具彈性的服務，必須要明確定義資安的角色與責任。

因此，他們的問題是：公司要有甚麼樣的組織架構？需要哪些角色及能力？

這時，投資者可以使用ECSF框架，並識別出該組織需要5種關鍵的資安人才，包括：資安長、網路法規政策合規長、網路安全架構師，資安事件應變人才，以及幾名網路安全實施人才。

於是，該公司在內部進行調查後，確定是否有員工能擔任這些角色。

像是公司已有法務人員負責法規面的工作，且對隱私與網路安全法律問題有興趣，因此，人力資源部門可利用ECSF的知識與技能清單，進一步協助增加其能力；而該組織的資通訊架構師，因為在網路安全設計方面已有經驗，可透過培訓增加與更新其能力，滿足組織架構的資安需求。

至於企業內的系統管理員，過去已懂得遵循許多網路安全最佳實務，但大多以身兼數職方式工作，缺乏策略或結構。因此，公司創辦人確定需要招聘一位資安長，除了在網站上列出職缺，同時也根據ECSF對該職務職能的簡介，草擬出該職位的描述。另外，創辦人也確定公司的事件應變功能機制，需24小時不中斷，以確保服務的持續運作。

ECSF框架帶來五大人才效益

（一）促使資安專業的需求與供給之間，也就是在職場、招聘，以及培訓、評估之間，大家都能夠有共同的術語與理解。

（二）由於是從工作職務角度識別關鍵技能要求，因此可讓培訓課程提供者用於發展關鍵技能的課程，而政策制定者也能針對性技能缺口去設法緩解。

（三）ECSF有助於理解資安角色所需的基本技能與法律規範。特別是對於非專業人員和人力資源部門而言，可以更容易理解資安方面的招聘、職業規畫與資源規畫。

（四）促進資安教育、培訓與人力資源發展的協調。

（五）在對應的資安人力發展下，未來將有助於更好抵禦網路攻擊，並確保各個領域的安全。
資料來源：ENISA，iThome整理，2023年5月

強調能夠靈活使用，可自定新工作角色或彈性運用

除了定義12種角色職能技能簡介，ENISA也強調：這個框架將是可以活用的工具，能依據特定環境彈性使用。

例如，在第二個設想情境，是描述一家保險公司正將其產品組合延伸至資安保險，因此需要合適的人來支持這項新業務。為此，人力資源部門展開調查訪問，以確定該職位的需求與主要任務。

之後人力資源主管意識到，這是個複雜的工作角色，沒有適合的角色樣板可以直接套用，因此，借助ECSF框架，從網路法規政策合規長與網路安全稽核師這兩個角色裡面，提取部分內容，以確定新工作角色的重要任務，並確認出執行任務所需的技能與知識。

如此一來，這個新的工作角色就是基於ECSF核心內容建立，也等於提供一個獨特的角色，並且起源結構可追溯。

而在第三個設想情境中，則是一家主要業務非資通訊的大型企業，需要設置一個資安專責部門，但過去該公司並沒有任何這方面的專業知識，因此，董事會決定聘請一位資安長，來定義與組織目標一致的整體資安防護策略。

接下來，新任命的資安長將ECSF框架作為指導方針，當作處理其網路安全風險所需資安角色的參考，並將之視為資安部門角色結構化的靈活工具。例如，利用企業管理PDCA的類似概念，將12個角色畫分到4大領域，分別對應：計畫、實施、維運、改進。

「計畫」領域對應的是資安長、網路法規政策合規長、網路安全風險管理人才，以及網路安全架構師；「實施」領域對應網路安全實施人才、網路安全教師；「維運」領域對應網路事件應變人才、數位鑑識調查人才，以及網路威脅情資專家；「改進」領域對應滲透測試人才、網路安全稽核師，以及網路安全研究人才。

同時，該名資安長也遵循ECSF模組應用的5大步驟，從分析、識別、選擇、採用與應用的角度，以彈性適應其特定需求與目標。

例如，在計畫層面中，資安長決定，由自身負責政策與合規的任務，並招聘資安架構師與網路安全風險管理人才。

在實施層面中，主要利用ECSF的知識與技能，來了解要從外部招聘或是提升內部人員技能，並調查了自家跨國公司內的其他領域訓練團隊，是否具有ECSF所列技能知識並願意加入團隊。

在維運層面中，考量日常網路安全營運需求，因此決定成立全球資安應變中心，同時招聘威脅情報專家提供更多洞察見解，幫助威脅獵捕與風險緩解，至於數位鑑識人才，資安長認為無需招聘，可委託專門資安業者滿足需求。

最後，在改進層面中，資安長決定委託外部服務提供滲透測試，並在評估內部稽核團隊的能力後，決定聘請網路安全稽核師，至於網路安全研究人才，則因為超出組織範圍而決定不需要聘請。

綜合來看，ECSF框架幫助資安長了解資訊安全角色，協助建立組織架構、確定資安角色需求，同時，也協助了人力資源規畫、評估與提升員工技能。

SANS Institute也將ECSF框架融入其培訓，像是在其網站介紹的使用ECSF找到正確職涯發展路徑，當中即依照ECSF的12種資安角色提供相對應的認證課程資訊。

ECSF框架不僅能提供給企業組織應用於聘用資安專業人員，以及各類培訓單位，也有助於資安從業人員的個人職涯選擇。

讓培訓課程開設、個人職涯發展有方向，且能識別強化面向

ECSF框架除了為企業帶來幫助，對於培訓機構與個人也相當有助益。畢竟，ECSF促使不同領域與產業之間，對於網路安全技能相關術語能有共識，同時，ECSF也將職場專業要求與網路安全相關課程，以及學習計畫相連接。

因此，對應市場需求，培訓機構與學術單位能夠利用ECSF的內容，也就是對應的知識與技能，制定符合所需的學習計畫或課程，甚至，在課程設計上，可藉此加速企業、政府與教育者達成協議，並促進跨機構的合作與學習教育。

特別的是，目前我們已經看到有培訓機構開始應用ECSF作為溝通方式。例如，專門研究與教育的SANS Institute組織，在其網站介紹使用ECSF找到正確職涯發展路徑，也依據ECSF定義的12種角色，提供相應的認證課程資訊。

以網路安全架構師的資安人才角色而言，SANS Institute所列課程與認證，包含兩項，分別是：SEC530的可防禦安全架構與工程－為混合企業實施零信任，相關認證為GDSA；另一課程為SEC549的企業雲端安全架構。

對於個人而言，由於ECSF框架在資安職務職能，提供一定的清晰度，可幫忙做出職業選擇，無論是吸引新鮮人投入網路安全領域，或協助新鮮人規畫未來的職業道路。舉例來說，透過ECSF的職務職能簡介，新鮮人能了解實際工作場所的要求與期望，從自身技能興趣了解可投入的方向，幫助不知從何開始的新進人員，確定自身需要開發、掌握與學習的技能或知識，了解轉職所需的能力與技能，促進職涯發展。

對於政策制定者與政府利益相關者而言，也能在國家網路安全能力建設的發展上，用ECSF來幫助識別優先重點發展與培養的目標，以及透過資料分析來決定人才政策的推動方向。

ECSF的12種資安人才學習需求簡覽