欧洲网络安全技能框架(ECSF)角色定义

在网络安全领域，我们到底需要什么样的人才角色？为更好地促进行业的人才培养，欧洲网络安全技能框架（ECSF）定义了12个网络安全关键角色，并定义了相应的任务，能力，技能和知识，希望网络安全行业达成共识，促进对网络安全技能的认可，并为设计网络安全相关培训计划提供了支持。

在2022年9月，ENISA网络安全技能大会上，欧盟委员会发布了两份文档：角色文件（The ECSF Role profiles document）和用户手册(The ECSF user manual document)。本文重点翻译了角色文件里面十二个角色，以及对应的任务和所需的技能。对我们中国网络安全市场有什么作用呢？首先是为组织在搭建网络安全方面的角色时提供参考，另外也给网络安全能力建设拓展思路。--编者

一、12个网络安全角色清单

二、各角色岗位任务，关键技能描述

1. 首席信息安全官（CISO）

职位名称：首席信息安全官（CISO）

工作概要：负责管理组织的网络安全策略及其实施，以确保数字系统、服务和资产得到充分的安全保护。

关键技能：

评估并提高组织的网络安全状况

分析和实施网络安全政策、认证、标准、方法论及框架

分析并遵守与网络安全相关的法规和法规

实施网络安全建议和最佳实践

管理网络安全资源

制定、倡导和领导网络安全战略的执行

影响组织的网络安全文化

设计、应用、监测和审查信息安全管理系统（ISMS），直接实施或领导其外包

审查和加强安全文件、报告、服务等级协议（SLA），并确保安全目标得以实现

识别和解决网络安全相关问题

建立网络安全计划

与内部和外部利益相关者进行沟通、协调和合作

提前预测组织信息安全战略所需的变化，并制定新计划

定义并应用网络安全管理成熟度模型

预测网络安全威胁、需求和即将到来的挑战

激励和鼓励人们

2. 网络事件响应者

职位名称：网络事件响应者

工作概要：监控组织的网络安全状态，处理网络攻击期间的事件，并确保 ICT 系统的持续运行。

关键技能：

实践网络安全事件处理和响应的所有技术、功能和操作方面。

收集、分析和关联来自多个来源的网络威胁信息。

操作系统、服务器、云和相关基础设施方面的工作。

在压力下工作。

沟通、展示和报告。

3. 网络法律、政策与合规官

职位名称：网络法律、政策与合规官

工作概要：根据组织的策略和法律要求，管理符合网络安全相关标准、法律和监管框架的合规性。

关键技能：

全面了解业务战略、模型和产品，并能够考虑到法律、监管和标准要求

在实施组织流程、财务和业务战略时，执行涉及数据保护和隐私问题的工作实践

领导制定适当的网络安全和隐私政策和程序，以补充业务需求和法律要求；并进一步确保其被接受、理解和实施，并在相关方之间进行沟通

使用标准、框架、公认的方法和工具进行、监督和审查隐私影响评估

向利益相关者和用户解释和传达数据保护和隐私主题

理解、实践并遵守道德要求和标准

理解法律框架修改对组织的网络安全和数据保护策略和政策的影响

与其他团队成员和同事合作

4. 网络威胁情报专家

职位名称：网络威胁情报专家

工作概要：收集、处理、分析数据和信息，生成可以采取行动的情报报告，并将它们传递给目标利益相关者。

关键技能：

与其他团队成员和同事协作

收集、分析和关联来自多个来源的网络威胁信息

识别威胁行为者TTPs和攻击活动

自动化威胁情报管理程序

进行技术分析并报告

识别对网络相关活动产生影响的非网络事件

对威胁、行为者和TTP进行建模

与内部和外部利益相关者沟通和协作

与相关利益相关者进行沟通、演示和报告

使用和应用CTI平台和工具

5. 网络安全架构师

职位名称：网络安全架构师

工作概要：规划和设计安全设计的解决方案（基础设施、系统、资产、软件、硬件和服务）以及网络安全控制

关键技能：

进行用户和业务安全需求分析

绘制网络安全架构和功能规范

拆解和分析系统，以制定安全和隐私要求，并确定有效的解决方案

基于安全和隐私设计以及默认网络安全原则来设计系统和架构

指导和实施人员以及IT/OT人员进行沟通

与相关利益相关者进行沟通、演示和报告

根据利益相关者的需求和预算提出网络安全架构

选择适当的规范、程序和控件

建立整个架构的故障点恢复力

协调安全解决方案的集成

6. 网络安全审计员

职位名称：网络安全审计员

工作概要：在组织的生态系统中执行网络安全审计，确保遵守法定要求、监管要求、信息政策要求、安全要求、行业标准以及最佳实践。

关键技能：

根据证据以系统化和确定性的方式组织和工作

遵循并实践审计框架、标准和方法

应用审计工具和技术

分析业务流程，评估和审查软件或硬件安全性以及技术和组织控制

拆解和分析系统以识别弱点和无效控制

传达、解释和适应法律和监管要求以及业务需求

收集、评估、维护和保护审计信息

以诚信、公正和独立的方式进行审计

7. 网络安全教育者

职位名称：网络安全教育者

工作概要：提高人类的网络安全知识、技能和竞争力

关键技能：

确定网络安全意识、培训和教育的需求

设计、开发和提供涵盖网络安全需求的学习计划

开发包括使用网络范围环境进行模拟的网络安全演习

提供网络安全和数据保护专业认证的培训

利用现有的网络安全相关培训资源

为意识、培训和教育活动开发评估程序

与相关利益相关者沟通、演示和报告

识别并选择适合目标受众的教学方法

激励和鼓励人们

8. 网络安全实施者

职位名称：网络安全实施者

工作概要：在基础设施和产品上开发、部署和运营网络安全解决方案（系统、资产、软件、控制和服务）。

关键技能：

与相关利益相关者沟通、演示和报告

将网络安全解决方案整合到组织的基础设施中

根据组织的安全策略配置解决方案

评估解决方案的安全性和性能

开发代码、脚本和程序

识别和解决网络安全相关问题

与其他团队成员和同事协作

9. 网络安全研究员

职位名称：网络安全研究员

工作概要：研究网络安全领域，并将结果纳入网络安全解决方案。

关键技能：

提出新思路并将理论运用于实践

分析系统以识别弱点和无效控制

分析系统以制定安全和隐私要求并确定有效解决方案

监控网络安全相关技术的新进展

与相关利益相关者沟通、演示和报告

识别和解决网络安全相关问题

与其他团队成员和同事协作

10. 网络安全风险经理

职位名称：网络安全风险经理

工作概要：管理组织的网络安全相关风险，使其与组织战略保持一致。制定、维护和传达风险管理流程和报告。

关键技能：

实施网络安全风险管理框架、方法学和指南，并确保遵守法规和标准

分析和整合组织质量和风险管理实践

使企业资产所有者、高管和其他利益相关者能够做出基于风险的信息决策，以管理和减轻风险

建立一个对网络安全风险有认知的环境

与相关利益相关者沟通、演示和报告

提出并管理风险共享选项

11. 数字取证调查员

职位名称：数字取证调查员

工作概要：确保网络犯罪调查揭示所有数字证据以证明恶意活动

关键技能：

以道德和独立的方式工作；不受内部或外部因素的影响和偏见

收集信息同时保持其完整性

识别、分析和关联网络安全事件

以简单、直接和易于理解的方式解释和呈现数字证据

制定并传达详细、有理有据的调查报告

12. 渗透测试员

职位名称：渗透测试员

工作概要：评估安全控制的有效性，揭示和利用网络安全漏洞，评估它们在受到威胁行为者利用时的关键性。

关键技能：

开发代码、脚本和程序

执行社会工程

识别和利用漏洞

进行道德黑客攻击

创造性思维

识别和解决与网络安全相关问题

与相关利益相关者进行沟通、展示和报告

有效使用渗透测试工具

进行技术分析并提交报告

分解和分析系统以识别弱点和无效控制

审查代码并评估其安全性