在網絡安全領域,我們到底需要什么樣的人才角色?為更好地促進行業的人才培養,歐洲網絡安全技能框架(ECSF)定義了12個網絡安全關鍵角色,并定義了相應的任務,能力,技能和知識,希望網絡安全行業達成共識,促進對網絡安全技能的認可,并為設計網絡安全相關培訓計劃提供了支持。
在2022年9月,ENISA網絡安全技能大會上,歐盟委員會發布了兩份文檔:角色文件(The ECSF Role profiles document)和用戶手冊(The ECSF user manual document)。本文重點翻譯了角色文件里面十二個角色,以及對應的任務和所需的技能。對我們中國網絡安全市場有什么作用呢?首先是為組織在搭建網絡安全方面的角色時提供參考,另外也給網絡安全能力建設拓展思路。--編者
一、12個網絡安全角色清單
二、各角色崗位任務,關鍵技能描述
1. 首席信息安全官(CISO)
職位名稱:首席信息安全官(CISO)
工作概要:負責管理組織的網絡安全策略及其實施,以確保數字系統、服務和資產得到充分的安全保護。
關鍵技能:
評估并提高組織的網絡安全狀況
分析和實施網絡安全政策、認證、標準、方法論及框架
分析并遵守與網絡安全相關的法規和法規
實施網絡安全建議和最佳實踐
管理網絡安全資源
制定、倡導和領導網絡安全戰略的執行
影響組織的網絡安全文化
設計、應用、監測和審查信息安全管理系統(ISMS),直接實施或領導其外包
審查和加強安全文件、報告、服務等級協議(SLA),并確保安全目標得以實現
識別和解決網絡安全相關問題
建立網絡安全計劃
與內部和外部利益相關者進行溝通、協調和合作
提前預測組織信息安全戰略所需的變化,并制定新計劃
定義并應用網絡安全管理成熟度模型
預測網絡安全威脅、需求和即將到來的挑戰
激勵和鼓勵人們
2. 網絡事件響應者
職位名稱:網絡事件響應者
工作概要:監控組織的網絡安全狀態,處理網絡攻擊期間的事件,并確保 ICT 系統的持續運行。
關鍵技能:
實踐網絡安全事件處理和響應的所有技術、功能和操作方面。
收集、分析和關聯來自多個來源的網絡威脅信息。
操作系統、服務器、云和相關基礎設施方面的工作。
在壓力下工作。
溝通、展示和報告。
3. 網絡法律、政策與合規官
職位名稱:網絡法律、政策與合規官
工作概要:根據組織的策略和法律要求,管理符合網絡安全相關標準、法律和監管框架的合規性。
關鍵技能:
全面了解業務戰略、模型和產品,并能夠考慮到法律、監管和標準要求
在實施組織流程、財務和業務戰略時,執行涉及數據保護和隱私問題的工作實踐
領導制定適當的網絡安全和隱私政策和程序,以補充業務需求和法律要求;并進一步確保其被接受、理解和實施,并在相關方之間進行溝通
使用標準、框架、公認的方法和工具進行、監督和審查隱私影響評估
向利益相關者和用戶解釋和傳達數據保護和隱私主題
理解、實踐并遵守道德要求和標準
理解法律框架修改對組織的網絡安全和數據保護策略和政策的影響
與其他團隊成員和同事合作
4. 網絡威脅情報專家
職位名稱:網絡威脅情報專家
工作概要:收集、處理、分析數據和信息,生成可以采取行動的情報報告,并將它們傳遞給目標利益相關者。
關鍵技能:
與其他團隊成員和同事協作
收集、分析和關聯來自多個來源的網絡威脅信息
識別威脅行為者TTPs和攻擊活動
自動化威脅情報管理程序
進行技術分析并報告
識別對網絡相關活動產生影響的非網絡事件
對威脅、行為者和TTP進行建模
與內部和外部利益相關者溝通和協作
與相關利益相關者進行溝通、演示和報告
使用和應用CTI平臺和工具
5. 網絡安全架構師
職位名稱:網絡安全架構師
工作概要:規劃和設計安全設計的解決方案(基礎設施、系統、資產、軟件、硬件和服務)以及網絡安全控制
關鍵技能:
進行用戶和業務安全需求分析
繪制網絡安全架構和功能規范
拆解和分析系統,以制定安全和隱私要求,并確定有效的解決方案
基于安全和隱私設計以及默認網絡安全原則來設計系統和架構
指導和實施人員以及IT/OT人員進行溝通
與相關利益相關者進行溝通、演示和報告
根據利益相關者的需求和預算提出網絡安全架構
選擇適當的規范、程序和控件
建立整個架構的故障點恢復力
協調安全解決方案的集成
6. 網絡安全審計員
職位名稱:網絡安全審計員
工作概要:在組織的生態系統中執行網絡安全審計,確保遵守法定要求、監管要求、信息政策要求、安全要求、行業標準以及最佳實踐。
關鍵技能:
根據證據以系統化和確定性的方式組織和工作
遵循并實踐審計框架、標準和方法
應用審計工具和技術
分析業務流程,評估和審查軟件或硬件安全性以及技術和組織控制
拆解和分析系統以識別弱點和無效控制
傳達、解釋和適應法律和監管要求以及業務需求
收集、評估、維護和保護審計信息
以誠信、公正和獨立的方式進行審計
7. 網絡安全教育者
職位名稱:網絡安全教育者
工作概要:提高人類的網絡安全知識、技能和競爭力
關鍵技能:
確定網絡安全意識、培訓和教育的需求
設計、開發和提供涵蓋網絡安全需求的學習計劃
開發包括使用網絡范圍環境進行模擬的網絡安全演習
提供網絡安全和數據保護專業認證的培訓
利用現有的網絡安全相關培訓資源
為意識、培訓和教育活動開發評估程序
與相關利益相關者溝通、演示和報告
識別并選擇適合目標受眾的教學方法
激勵和鼓勵人們
8. 網絡安全實施者
職位名稱:網絡安全實施者
工作概要:在基礎設施和產品上開發、部署和運營網絡安全解決方案(系統、資產、軟件、控制和服務)。
關鍵技能:
與相關利益相關者溝通、演示和報告
將網絡安全解決方案整合到組織的基礎設施中
根據組織的安全策略配置解決方案
評估解決方案的安全性和性能
開發代碼、腳本和程序
識別和解決網絡安全相關問題
與其他團隊成員和同事協作
9. 網絡安全研究員
職位名稱:網絡安全研究員
工作概要:研究網絡安全領域,并將結果納入網絡安全解決方案。
關鍵技能:
提出新思路并將理論運用于實踐
分析系統以識別弱點和無效控制
分析系統以制定安全和隱私要求并確定有效解決方案
監控網絡安全相關技術的新進展
與相關利益相關者溝通、演示和報告
識別和解決網絡安全相關問題
與其他團隊成員和同事協作
10. 網絡安全風險經理
職位名稱:網絡安全風險經理
工作概要:管理組織的網絡安全相關風險,使其與組織戰略保持一致。制定、維護和傳達風險管理流程和報告。
關鍵技能:
實施網絡安全風險管理框架、方法學和指南,并確保遵守法規和標準
分析和整合組織質量和風險管理實踐
使企業資產所有者、高管和其他利益相關者能夠做出基于風險的信息決策,以管理和減輕風險
建立一個對網絡安全風險有認知的環境
與相關利益相關者溝通、演示和報告
提出并管理風險共享選項
11. 數字取證調查員
職位名稱:數字取證調查員
工作概要:確保網絡犯罪調查揭示所有數字證據以證明惡意活動
關鍵技能:
以道德和獨立的方式工作;不受內部或外部因素的影響和偏見
收集信息同時保持其完整性
識別、分析和關聯網絡安全事件
以簡單、直接和易于理解的方式解釋和呈現數字證據
制定并傳達詳細、有理有據的調查報告
12. 滲透測試員
職位名稱:滲透測試員
工作概要:評估安全控制的有效性,揭示和利用網絡安全漏洞,評估它們在受到威脅行為者利用時的關鍵性。
關鍵技能:
開發代碼、腳本和程序
執行社會工程
識別和利用漏洞
進行道德黑客攻擊
創造性思維
識別和解決與網絡安全相關問題
與相關利益相關者進行溝通、展示和報告
有效使用滲透測試工具
進行技術分析并提交報告
分解和分析系統以識別弱點和無效控制
審查代碼并評估其安全性
-
服務器
+關注
關注
12文章
9160瀏覽量
85416 -
框架
+關注
關注
0文章
403瀏覽量
17484 -
網絡安全
+關注
關注
10文章
3159瀏覽量
59752
原文標題:歐洲網絡安全技能框架(ECSF)角色定義
文章出處:【微信號:阿寶1990,微信公眾號:阿寶1990】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論