歐洲網路安全技能框架(ECSF)確立12種典型資安工作角色,提供每個職位的概述,以及不同的工作活動,提供識別資安職務類型的工具。其最大好處在於,建立了網路安全專業角色在識別與特徵上的共同理解,並可以與所需的適當技能與能力相對應。

根據歐盟網路安全局(ENISA)的說明,ECSF框架背後是基於市場研究與資安專家合作發展,能針對資訊資安從業人員,列出明確的職業、技能與能力分類,提供歐盟自身使用。

簡單來說,ECSF的目的,就是希望提供出明確的參考資訊,幫助識別當前與未來的網路安全技能短缺,以及減少差距。而從國際角度來看,這不僅成為歐洲企業組織的重要參考資源,以ECSF對資安人才的定義而言,同樣受到全球資安領域的關切,畢竟,全球企業都面臨資安人才短缺的挑戰,這樣的資源都足以作為借鑒。

定義角色背後所需學習的內容,扮演企業與教育者之間橋樑

從ECSF的設計原則來看,框架是以通用為設計考量,ENISA希望確保廣泛對象能夠容易理解與應用當中的概念,促使不同規模的組織,以及技術專業程度與不同核心業務領域之間,都能使用該框架。

因此,除了從中能夠認識12種資安工作角色,從ECSF框架所列的角色職務職能簡介,我們更可以看出,其結構包含兩大層面,那就是以「工作」與「學習」來定義資安角色的概要需求。

具體而言,一個關鍵是從「工作」角度出發,亦即呈現工作角色在組織的作用,這裡細分為任務使命(Mission)、可交付的工作(Deliverables),以及任務(Task);另一關鍵是從學習角度來看,也就是工作角色需要知道什麼?要做什麼?這裡細分為技能(Skills)、知識(Knowledge),以及歐盟的e-CF能力框架。換言之,ECSF不僅呈現每個角色在工作職場要做的事,同時,也展現每個角色背後所需要學習的內容。

因此,在ECSF框架的職務職能簡介,我們可以看到每個不同的資安工作角色,都描繪所需要的「技能」與「知識」清單,而其數量在5到16項之間。

以資安長為例,其技能清單有16項,包括:評估並加強組織的資訊安全態勢,實施資安政策、認證、標準、方法論與框架,遵守與資安相關的法律、法規與立法,以及管理資安資源,定義資安管理成熟度模型,直接或領導外部承包商ISMS監控與審查等,特別的是,激勵與鼓勵這類軟性技能也涵蓋在內。

除了技能與知識,ECSF最獨特之處在於,可連接專門用於ICT專業領域的歐盟電子技術能力框架:European e-Competence Framework(e-CF)。基本上,e-CF將能力分為5大領域、40個項目,並且畫分出5個成熟度,而在ECSF的每個職務職能簡介中,也列出該資安角色所需具備的e-CF能力。

推動企業採行ECSF,以設想情境幫助理解應用方式

綜觀上述這些具體的清單內容,已經足以協助組織、個人或培訓機構推行,能有明確的參照可用。而在ECSF使用者手冊中,也闡述此框架的運用方式,可利於下列5大面向,包括:

1.     提供企業組織應用,像是聘用資安專業人員

2.     提供學習提供者應用,也就是各類培訓單位,以幫助提高資安專業人員技能

3.     提供個人從業人員應用,幫助做出自己的職業選擇

4.     提供專業協會應用,建立資安社群

5.     提供政策制定者應用,以幫助在戰略上增加該領域

企業該如何應用ECSF?我們注意到,ECSF使用者手冊用說故事的方式來舉例說明,相當特別。如此的確讓大家更容易以自身情境帶入,便於設想。

例如,在第一個情境中,是由兩位創辦人成立的小型雲端服務公司,這兩人各自擅長技術與行銷,但之前都沒有經營或建立公司的經驗。

過了一年之後,公司開始逐漸成長,他們搬進新的辦公室,雇用許多員工來擴展業務,但在此階段中,沒有人能考慮組織架構問題,許多角色與職責都是共同承擔,若遇到挑戰,則透過臨機應變的方式來處理。所幸,這個時期還沒有發生嚴重的資安事件。

後來,這家公司吸引到新的投資者與媒體的目光,然而,大客戶與投資者要求在他們涉入公司經營之前,須為其提供充分的資安保障措施與組織架構,這時創辦人也意識到:公司成功的關鍵在於員工,為了使組織成功發展並提供具彈性的服務,必須要明確定義資安的角色與責任。

因此,他們的問題是:公司要有甚麼樣的組織架構?需要哪些角色及能力?

這時,投資者可以使用ECSF框架,並識別出該組織需要5種關鍵的資安人才,包括:資安長、網路法規政策合規長、網路安全架構師,資安事件應變人才,以及幾名網路安全實施人才。

於是,該公司在內部進行調查後,確定是否有員工能擔任這些角色。

像是公司已有法務人員負責法規面的工作,且對隱私與網路安全法律問題有興趣,因此,人力資源部門可利用ECSF的知識與技能清單,進一步協助增加其能力;而該組織的資通訊架構師,因為在網路安全設計方面已有經驗,可透過培訓增加與更新其能力,滿足組織架構的資安需求。

至於企業內的系統管理員,過去已懂得遵循許多網路安全最佳實務,但大多以身兼數職方式工作,缺乏策略或結構。因此,公司創辦人確定需要招聘一位資安長,除了在網站上列出職缺,同時也根據ECSF對該職務職能的簡介,草擬出該職位的描述。另外,創辦人也確定公司的事件應變功能機制,需24小時不中斷,以確保服務的持續運作。

ECSF框架帶來五大人才效益

(一)促使資安專業的需求與供給之間,也就是在職場、招聘,以及培訓、評估之間,大家都能夠有共同的術語與理解。

(二)由於是從工作職務角度識別關鍵技能要求,因此可讓培訓課程提供者用於發展關鍵技能的課程,而政策制定者也能針對性技能缺口去設法緩解。

(三)ECSF有助於理解資安角色所需的基本技能與法律規範。特別是對於非專業人員和人力資源部門而言,可以更容易理解資安方面的招聘、職業規畫與資源規畫。

(四)促進資安教育、培訓與人力資源發展的協調。

(五)在對應的資安人力發展下,未來將有助於更好抵禦網路攻擊,並確保各個領域的安全。
資料來源:ENISA,iThome整理,2023年5月

強調能夠靈活使用,可自定新工作角色或彈性運用

除了定義12種角色職能技能簡介,ENISA也強調:這個框架將是可以活用的工具,能依據特定環境彈性使用。

例如,在第二個設想情境,是描述一家保險公司正將其產品組合延伸至資安保險,因此需要合適的人來支持這項新業務。為此,人力資源部門展開調查訪問,以確定該職位的需求與主要任務。

之後人力資源主管意識到,這是個複雜的工作角色,沒有適合的角色樣板可以直接套用,因此,借助ECSF框架,從網路法規政策合規長與網路安全稽核師這兩個角色裡面,提取部分內容,以確定新工作角色的重要任務,並確認出執行任務所需的技能與知識。

如此一來,這個新的工作角色就是基於ECSF核心內容建立,也等於提供一個獨特的角色,並且起源結構可追溯。

而在第三個設想情境中,則是一家主要業務非資通訊的大型企業,需要設置一個資安專責部門,但過去該公司並沒有任何這方面的專業知識,因此,董事會決定聘請一位資安長,來定義與組織目標一致的整體資安防護策略。

接下來,新任命的資安長將ECSF框架作為指導方針,當作處理其網路安全風險所需資安角色的參考,並將之視為資安部門角色結構化的靈活工具。例如,利用企業管理PDCA的類似概念,將12個角色畫分到4大領域,分別對應:計畫、實施、維運、改進。

「計畫」領域對應的是資安長、網路法規政策合規長、網路安全風險管理人才,以及網路安全架構師;「實施」領域對應網路安全實施人才、網路安全教師;「維運」領域對應網路事件應變人才、數位鑑識調查人才,以及網路威脅情資專家;「改進」領域對應滲透測試人才、網路安全稽核師,以及網路安全研究人才。

同時,該名資安長也遵循ECSF模組應用的5大步驟,從分析、識別、選擇、採用與應用的角度,以彈性適應其特定需求與目標。

例如,在計畫層面中,資安長決定,由自身負責政策與合規的任務,並招聘資安架構師與網路安全風險管理人才。

在實施層面中,主要利用ECSF的知識與技能,來了解要從外部招聘或是提升內部人員技能,並調查了自家跨國公司內的其他領域訓練團隊,是否具有ECSF所列技能知識並願意加入團隊。

在維運層面中,考量日常網路安全營運需求,因此決定成立全球資安應變中心,同時招聘威脅情報專家提供更多洞察見解,幫助威脅獵捕與風險緩解,至於數位鑑識人才,資安長認為無需招聘,可委託專門資安業者滿足需求。

最後,在改進層面中,資安長決定委託外部服務提供滲透測試,並在評估內部稽核團隊的能力後,決定聘請網路安全稽核師,至於網路安全研究人才,則因為超出組織範圍而決定不需要聘請。

綜合來看,ECSF框架幫助資安長了解資訊安全角色,協助建立組織架構、確定資安角色需求,同時,也協助了人力資源規畫、評估與提升員工技能。

SANS Institute也將ECSF框架融入其培訓,像是在其網站介紹的使用ECSF找到正確職涯發展路徑,當中即依照ECSF的12種資安角色提供相對應的認證課程資訊。

ECSF框架不僅能提供給企業組織應用於聘用資安專業人員,以及各類培訓單位,也有助於資安從業人員的個人職涯選擇。

讓培訓課程開設、個人職涯發展有方向,且能識別強化面向

ECSF框架除了為企業帶來幫助,對於培訓機構與個人也相當有助益。畢竟,ECSF促使不同領域與產業之間,對於網路安全技能相關術語能有共識,同時,ECSF也將職場專業要求與網路安全相關課程,以及學習計畫相連接。

因此,對應市場需求,培訓機構與學術單位能夠利用ECSF的內容,也就是對應的知識與技能,制定符合所需的學習計畫或課程,甚至,在課程設計上,可藉此加速企業、政府與教育者達成協議,並促進跨機構的合作與學習教育。

特別的是,目前我們已經看到有培訓機構開始應用ECSF作為溝通方式。例如,專門研究與教育的SANS Institute組織,在其網站介紹使用ECSF找到正確職涯發展路徑,也依據ECSF定義的12種角色,提供相應的認證課程資訊。

以網路安全架構師的資安人才角色而言,SANS Institute所列課程與認證,包含兩項,分別是:SEC530的可防禦安全架構與工程-為混合企業實施零信任,相關認證為GDSA;另一課程為SEC549的企業雲端安全架構。

對於個人而言,由於ECSF框架在資安職務職能,提供一定的清晰度,可幫忙做出職業選擇,無論是吸引新鮮人投入網路安全領域,或協助新鮮人規畫未來的職業道路。舉例來說,透過ECSF的職務職能簡介,新鮮人能了解實際工作場所的要求與期望,從自身技能興趣了解可投入的方向,幫助不知從何開始的新進人員,確定自身需要開發、掌握與學習的技能或知識,了解轉職所需的能力與技能,促進職涯發展。

對於政策制定者與政府利益相關者而言,也能在國家網路安全能力建設的發展上,用ECSF來幫助識別優先重點發展與培養的目標,以及透過資料分析來決定人才政策的推動方向。

ECSF的12種資安人才學習需求簡覽

本文出自《CYBER TALENT 臺灣資安人才專刊》

熱門新聞

Advertisement