青骥编译 l 欧洲网络安全技能框架(ECSF)角色定义

一、12个网络安全角色清单

二、各角色岗位任务，关键技能描述

1. 首席信息安全官（CISO）

职位名称：首席信息安全官（CISO）

工作概要：负责管理组织的网络安全策略及其实施，以确保数字系统、服务和资产得到充分的安全保护。

关键技能：

• 评估并提高组织的网络安全状况
• 分析和实施网络安全政策、认证、标准、方法论及框架
• 分析并遵守与网络安全相关的法规和法规
• 实施网络安全建议和最佳实践
• 管理网络安全资源
• 制定、倡导和领导网络安全战略的执行
• 影响组织的网络安全文化
• 设计、应用、监测和审查信息安全管理系统（ISMS），直接实施或领导其外包
• 审查和加强安全文件、报告、服务等级协议（SLA），并确保安全目标得以实现
• 识别和解决网络安全相关问题
• 建立网络安全计划
• 与内部和外部利益相关者进行沟通、协调和合作
• 提前预测组织信息安全战略所需的变化，并制定新计划
• 定义并应用网络安全管理成熟度模型
• 预测网络安全威胁、需求和即将到来的挑战
• 激励和鼓励人们

2. 网络事件响应者

职位名称：网络事件响应者

工作概要：监控组织的网络安全状态，处理网络攻击期间的事件，并确保 ICT 系统的持续运行。

关键技能：

• 实践网络安全事件处理和响应的所有技术、功能和操作方面。
• 收集、分析和关联来自多个来源的网络威胁信息。
• 操作系统、服务器、云和相关基础设施方面的工作。
• 在压力下工作。
• 沟通、展示和报告。

3. 网络法律、政策与合规官

职位名称：网络法律、政策与合规官

工作概要：根据组织的策略和法律要求，管理符合网络安全相关标准、法律和监管框架的合规性。

关键技能：

• 全面了解业务战略、模型和产品，并能够考虑到法律、监管和标准要求
• 在实施组织流程、财务和业务战略时，执行涉及数据保护和隐私问题的工作实践
• 领导制定适当的网络安全和隐私政策和程序，以补充业务需求和法律要求；并进一步确保其被接受、理解和实施，并在相关方之间进行沟通
• 使用标准、框架、公认的方法和工具进行、监督和审查隐私影响评估
• 向利益相关者和用户解释和传达数据保护和隐私主题
• 理解、实践并遵守道德要求和标准
• 理解法律框架修改对组织的网络安全和数据保护策略和政策的影响
• 与其他团队成员和同事合作

4. 网络威胁情报专家

职位名称：网络威胁情报专家

工作概要：收集、处理、分析数据和信息，生成可以采取行动的情报报告，并将它们传递给目标利益相关者。

关键技能：

• 与其他团队成员和同事协作
• 收集、分析和关联来自多个来源的网络威胁信息
• 识别威胁行为者TTPs和攻击活动
• 自动化威胁情报管理程序
• 进行技术分析并报告
• 识别对网络相关活动产生影响的非网络事件
• 对威胁、行为者和TTP进行建模
• 与内部和外部利益相关者沟通和协作
• 与相关利益相关者进行沟通、演示和报告
• 使用和应用CTI平台和工具

5. 网络安全架构师

职位名称：网络安全架构师

工作概要：规划和设计安全设计的解决方案（基础设施、系统、资产、软件、硬件和服务）以及网络安全控制

关键技能：

• 进行用户和业务安全需求分析
• 绘制网络安全架构和功能规范
• 拆解和分析系统，以制定安全和隐私要求，并确定有效的解决方案
• 基于安全和隐私设计以及默认网络安全原则来设计系统和架构
• 指导和实施人员以及IT/OT人员进行沟通
• 与相关利益相关者进行沟通、演示和报告
• 根据利益相关者的需求和预算提出网络安全架构
• 选择适当的规范、程序和控件
• 建立整个架构的故障点恢复力
• 协调安全解决方案的集成

6. 网络安全审计员

职位名称：网络安全审计员

工作概要：在组织的生态系统中执行网络安全审计，确保遵守法定要求、监管要求、信息政策要求、安全要求、行业标准以及最佳实践。

关键技能：

• 根据证据以系统化和确定性的方式组织和工作

• 遵循并实践审计框架、标准和方法

• 应用审计工具和技术

• 分析业务流程，评估和审查软件或硬件安全性以及技术和组织控制

• 拆解和分析系统以识别弱点和无效控制

• 传达、解释和适应法律和监管要求以及业务需求

• 收集、评估、维护和保护审计信息

• 以诚信、公正和独立的方式进行审计

7. 网络安全教育者

职位名称：网络安全教育者

工作概要：提高人类的网络安全知识、技能和竞争力

关键技能：

• 确定网络安全意识、培训和教育的需求
• 设计、开发和提供涵盖网络安全需求的学习计划
• 开发包括使用网络范围环境进行模拟的网络安全演习
• 提供网络安全和数据保护专业认证的培训
• 利用现有的网络安全相关培训资源
• 为意识、培训和教育活动开发评估程序
• 与相关利益相关者沟通、演示和报告
• 识别并选择适合目标受众的教学方法
• 激励和鼓励人们

职位名称：网络安全实施者

工作概要：在基础设施和产品上开发、部署和运营网络安全解决方案（系统、资产、软件、控制和服务）。

关键技能：

• 与相关利益相关者沟通、演示和报告
• 将网络安全解决方案整合到组织的基础设施中
• 根据组织的安全策略配置解决方案
• 评估解决方案的安全性和性能
• 开发代码、脚本和程序
• 识别和解决网络安全相关问题
• 与其他团队成员和同事协作

9. 网络安全研究员

职位名称：网络安全研究员

工作概要：研究网络安全领域，并将结果纳入网络安全解决方案。

关键技能：

• 提出新思路并将理论运用于实践
• 分析系统以识别弱点和无效控制
• 分析系统以制定安全和隐私要求并确定有效解决方案
• 监控网络安全相关技术的新进展
• 与相关利益相关者沟通、演示和报告
• 识别和解决网络安全相关问题
• 与其他团队成员和同事协作

10. 网络安全风险经理

职位名称：网络安全风险经理

工作概要：管理组织的网络安全相关风险，使其与组织战略保持一致。制定、维护和传达风险管理流程和报告。

关键技能：

• 实施网络安全风险管理框架、方法学和指南，并确保遵守法规和标准
• 分析和整合组织质量和风险管理实践
• 使企业资产所有者、高管和其他利益相关者能够做出基于风险的信息决策，以管理和减轻风险
• 建立一个对网络安全风险有认知的环境
• 与相关利益相关者沟通、演示和报告
• 提出并管理风险共享选项

11. 数字取证调查员

职位名称：数字取证调查员

工作概要：确保网络犯罪调查揭示所有数字证据以证明恶意活动

关键技能：

• 以道德和独立的方式工作；不受内部或外部因素的影响和偏见

• 收集信息同时保持其完整性

• 识别、分析和关联网络安全事件

• 以简单、直接和易于理解的方式解释和呈现数字证据

• 制定并传达详细、有理有据的调查报告

12. 渗透测试员

职位名称：渗透测试员

工作概要：评估安全控制的有效性，揭示和利用网络安全漏洞，评估它们在受到威胁行为者利用时的关键性。

关键技能：

• 开发代码、脚本和程序

• 执行社会工程

• 识别和利用漏洞

• 进行道德黑客攻击

• 创造性思维

• 识别和解决与网络安全相关问题

• 与相关利益相关者进行沟通、展示和报告

• 有效使用渗透测试工具

• 进行技术分析并提交报告

• 分解和分析系统以识别弱点和无效控制

• 审查代码并评估其安全性