NISTSpecial Publication 800-181

全国网络安全教育倡议（NICE）网络安全劳动力框架

威廉纽豪斯

应用网络安全部信息技术实验室

斯蒂芬妮凯斯

国防部副首席信息官网络人力战略和政策司办公室

本杰明Scribner

网络教育和意识分支DHS国家保护和计划局

Greg Witte

G2，Inc.安纳波利斯交界处，MD

本出版物可从https://doi.org/10.6028/NIST.SP.800-181免费获取

August 2017

美国商务部长Wilbur L. Ross，Jr.秘书

美国国家标准与技术研究院Kent Rochford，美国国家标准与技术局NIST负责人兼商务部副部长

权威.... 6

计算机系统技术报告.... 7

摘要.... 7

关键词.... 7

修订.... 7

补充内容.... 7

致谢.... 8

商标信息.... 8

执行摘要.... 8

1介绍.... 8

1.1NICE框架背景.... 9

1.2目的和适用性.... 10

1.3受众和用户.... 10

1.3.1雇主.... 10

1.3.2当前和未来的网络安全工作者.... 11

1.3.3教育者/培训者.... 11

1.3.4技术提供者.... 11

1.4 这个特别出版物的组织.... 11

2 NICE框架组件和关系.... 12

2.1 NICE框架的组成部分.... 12

2.1.1 类别.... 12

2.1.2 专业领域.... 12

2.1.3 工作角色.... 13

2.1.4 知识、技能和能力 (KSAs)13

2.1.5 任务.... 13

2.2 NICE框架组件关系.... 13

3 使用NICE框架.... 14

3.1 确定网络安全劳动力需求.... 14

3.2 高技能网络安全人才的招聘和录用.... 15

3.3网络安全劳动力成员的教育和培训.... 16

3.4 高技能网络安全人才的保留与发展.... 16

4 扩展.... 17

4.1能力.... 17

4.2职位名称.... 17

4.3 网络安全指南和指南文件.... 17

附录 A – NICE框架元素列表.... 错误!未定义书签。

A.1 NICE框架劳动力类别.... 错误!未定义书签。

A.2 NICE框架专业领域.... 错误!未定义书签。

A.3 NICE框架工作角色.... 错误!未定义书签。

A.4 NICE框架任务.... 错误!未定义书签。

A.5 NICE框架知识描述.... 错误!未定义书签。

A.6 NICE框架技能描述.... 错误!未定义书签。

A.7 NICE框架能力描述.... 错误!未定义书签。

附录 B – 工作角色明细清单.... 错误!未定义书签。

B.1安全准备（SP）.... 错误!未定义书签。

B.2操作和维护（OM）.... 错误!未定义书签。

B.3监督和治理（OV）.... 错误!未定义书签。

B.4保护和防御（PR）.... 错误!未定义书签。

B.5分析（AN）.... 错误!未定义书签。

B.6收集和操作（CO）.... 错误!未定义书签。

B.7调查（IN）.... 错误!未定义书签。

附录 C – 劳动力开发工具.... 错误!未定义书签。

C.1 DHS网络安全劳动力开发工具包.... 错误!未定义书签。

C.1.1熟练程度和职业道路.... 错误!未定义书签。

C.2 Baldrige Cybersecurity Excellence Builder工具.... 错误!未定义书签。

C.3职位描述起草工具.... 错误!未定义书签。

附录 D – 指南和指南文件的交叉参考.... 错误!未定义书签。

D.1 网络安全框架.... 错误!未定义书签。

D.1.2 网络安全框架与NICE框架的示例集成.... 错误!未定义书签。

D.2 系统安全工程.... 错误!未定义书签。

D.3 美国人事管理办公室联邦网络安全法规.... 错误!未定义书签。

附录 E – 缩略语.... 错误!未定义书签。

附录 F – 参考文献.... 错误!未定义书签。

权威

本出版物由NIST根据2014年联邦信息安全现代化法案（FISMA）44美国法令的法定责任制定。§3551及以下，公法（P.L.）113-283。NIST负责制定信息安全标准和准则，包括对联邦信息系统的最低要求，但这些标准和准则不适用于国家安全系统，未经适当的联邦官员明确批准对这些系统行使政策权限。本指南符合管理和预算局（OMB）A-130号通告的要求。

本出版物中没有任何内容应该与商务部长根据法定权力制定的强制性和对联邦机构具有约束力的标准和准则相抵触。这些准则也不应被解释为改变或取代商务部长现任部门，OMB主任或任何其他联邦官员。本出版物可能由非政府组织自愿使用，且不受美国版权保护。但是，NIST会认可归属。

国家标准与技术研究所SP 800-181，研究所.站.TECHNOL.规格.公布. 800-181,144页（2017年8月）CODEN：NSPUE2本出版物可从以下网站免费获取：

https：//doi.org/10.6028/NIST.SP.800-181

某些商业实体，设备或材料可能在本文件中被识别以充分描述实验程序或概念。此类标识并不意味着暗示NIST的推荐或认可，也不是意味着实体，材料或设备必定是可用于此目的最佳选择。

本出版物中可能提及NIST正根据其分配的法定责任正在开发其他出版物。本出版物中的信息，包括概念和方法，之前由联邦机构使用这些伴随出版物。因此，在每个出版物完成之前，现有的要求，准则和程序仍然有效。出于规划和过渡的目的，联邦机构可能希望密切关注NIST发布的这些新出版物。

鼓励组织在公众评议期间审查所有草稿，并向NIST提供反馈意见。除上面提到的以外，许多NIST网络安全出版物可在http://csrc.nist.gov/publications上找到。

本出版物的评论可能会提交给：

美国国家标准与技术研究院收件人：NICE，应用网络安全部，信息技术实验室100 Bureau Drive（Mail Stop 2000）Gaithersburg，MD 20899-2000电子邮件：[email protected]

所有意见均根据信息自由法（FOIA）发布。

计算机系统技术报告

NIST的信息技术实验室（ITL）通过为国家的测量和标准基础设施提供技术领导来促进美国的经济和公共福利。ITL开发测试，测试方法，参考数据，概念验证实施和技术分析，以促进信息技术的发展和生产性使用。ITL的职责包括制定管理，行政，技术和物理标准以及联邦信息系统中除国家安全相关信息之外的具有成本效益的安全和隐私准则。SP（特别出版物）800系列报告了ITL在信息系统安全方面的研究，指导方针和推广工作，以及与行业，政府和学术机构的合作活动。

摘要

本出版物描述了国家网络安全教育计划（NICE）网络安全劳动力框架（NICE框架），该框架描述了网络安全工作的跨学科性质。它是描述和分享网络安全工作信息以及完成任务所需的知识，技能和能力（KSAs）的基本参考资源，可以加强组织的网络安全状态。作为对网络安全工作进行分类和描述的常用词汇，NICE框架改善了有关如何识别，招聘，培养和留住网络安全人才的沟通。NICE框架是一个参考资料来源，组织或部门可以根据这些资料开发额外的出版物或工具，以满足他们在网络安全劳动力开发，规划，培训和教育的不同方面界定或提供指导的需求。

关键词

能力; 网络安全;网络空间; 教育; 知识; 角色; 技能; 专业领域; 任务; 训练; 工作角色。

修订

请访问NICE框架修订网站[1]以确定是否有任何对NICE框架的更新。

补充内容

有关NICE框架的参考电子表格，请访问https://www.nist.gov/file/372581。

致谢

作者非常感谢并欣赏个人和组织在公共和私营部门的重要贡献，他们通过深思熟虑提出了建设性意见，提高了本出版物的整体质量，彻底性和实用性。我们感谢NIST的国家网络安全教育计划（NICE）主任Rodney Petersen的领导和工作。我们希望感谢Tanya Brewer，Dean Bushmiller，Lynne Clarke，Jerri Damavandy，Lisa Dorr，Ryan Farr，Jim Foti，JodiGuss，Keith Hall，Chris Kelsall，Elizabeth Lennon，Jeff Marron，Joshua Musicante，Stephen Olechnowicz，Lori Pfannenstein，Chuck Romine，Kevin Sanchez-Cherry，Danielle Santos，Stephanie Shively，Matthew Smith，Kevin Stine，Bluma Sussman，Caroline Tan，Baris Yakin和Clarence Williams对本出版物的个人贡献。

第一个NICE框架于2012年9月公布，并于2013年4月作为国家网络安全工作框架1.0版[2]发布。作者承认JaneHomeyer，Anne Quigley，Rex Min，Noel Kyle，Maya Yankelevich和Peggy Maxson以及蒙大拿威廉姆斯和罗伊伯吉斯在发布于2014年4月开发国家网络安全劳动力框架2.0版中的领导地位 [3]。

最后，作者对计算机安全方面的开创性工作表示敬意，他们的工作可追溯到20世纪60年代。计算机安全领域早期先驱者的远见，洞察力和专注努力为本书中提到的任务，知识，技能和能力提供了哲学和技术基础。

商标信息

所有商标或注册商标属于其各自的组织。

执行摘要

1 介绍

国家标准与技术研究院（NIST）在美国商务部领导的全国网络安全教育计划（NICE）中与政府，学术界和私营部门之间是一种伙伴关系，旨在激励和促进强大的网络以及网络安全教育，培训和劳动力发展生态系统。NICE通过与政府，学术界和行业合作伙伴进行协调，以现有成功项目为基础，促进变革和创新，并带来领导力和远见，以增加专业网络安全专业人员的数量，从而帮助我们的国家保持安全和经济竞争力。

NICE致力于培养一支具有全球竞争力的综合性网络安全员工队伍，从聘用到退休，准备好保护我们的国家免受现有和新出现的网络安全挑战。

在整个文档中，“网络安全员工队伍”这个组合术语是对工作角色的简化，这些角色对组织保护其数据，系统和操作的能力有影响。其中包括传统上被称为信息技术（IT）安全角色的新工作角色。这些角色已被添加到该员工框架中，以突出其对组织整体网络安全状况的重要性。此外，本文中描述的一些工作角色包括较短期的网络将包括网络已成为该领域规范的对话领域。

网络安全员工不仅包括以技术为重点的员工，还包括在准备其组织以成功实施其任务时应用网络安全知识的人员。需要有知识和熟练的网络安全人员来解决组织整体风险管理流程中的网络安全风险。

1.1NICE框架背景

NICE框架的概念在2010年NICE建立之前就开始了，虽然网络安全劳动力还没有明确规定和评估。为了应对这一挑战，联邦首席信息官（CIO）理事会在2008年接受了任务，为了解联邦政府内的网络安全角色提供了一个标准框架。来自众多联邦机构的主题专家的焦点小组投入帮助联邦首席信息官委员会编写了一份研究报告，其中提到了其他信息技术专业发展努力已经开始的地方，并且机构确定了进行网络安全工作所需的十三种具体作用。

在对网络安全“领域”内进行多学科探索的基础上，全面的国家网络安全倡议包括将工作重点放在若干机构的共同努力下开发网络安全工作人员框架。第一稿于2011年9月发布，征询公众意见。审核已纳入1.0版[2]。

随后美国政府范围审查指出具体领域需要进一步审查和完善。国土安全部（DHS）通过汇集焦点小组与来自全国各地以及行业，学术界和政府的主题专家投入并验证了最终建议，生成第二版NICE框架2.0版[3]，并与2014年公开发布共享。

国防部长办公室（OSD）通过与服务部门的内部合作以及与私营部门的外部合作扩展了2.0版本。美国国土安全部和NIST的共同作者与OSD合作，完善并扩展成为本出版物，其目标是强调私营部门的适用性，并强化NICE框架是公共和私营部门参考资源的愿景。

1.2目的和适用性

本出版物是支持能够满足组织网络安全需求的员工的基本参考资源。它为组织提供了一个共同的，一致的词典来对网络安全工作进行分类和描述。

使用NICE框架作为基本参考将改善识别，招聘和培养网络安全人才所需的沟通。NICE框架将允许雇主在专业发展计划中使用专注一致的语言，使用行业认证和学历证书，并为其员工选择相关的培训机会。

NICE框架有助于使用更一致，可比较和可重复的方法为组织内职位选择和指定网络安全角色。它还提供了一个通用的词汇，学术机构可以用它来开发网络安全课程，更好地为学生提供当前和预期的网络安全人员需求。

NICE框架的应用提供描述所有网络安全工作的能力。NICE框架的适用性目标是任何网络安全工作或职位都可以通过识别来自NICE框架的一个或多个组件的相关材料来描述。对于每个工作或职位，任务或业务流程的背景和优先级将推动从NICE框架中选择哪些材料。

组织或部门可以使用NICE框架来开发额外的出版物或工具，以满足他们的需求，以定义或提供劳动力发展，规划，培训和教育的不同方面的指导。

1.3受众和用户

NICE框架可以被视为非规范性的网络安全劳动力词典。NICE框架的参考用户应该在本地实施不同的劳动力发展，教育或培训为目的。

1.3.1雇主

使用NICE框架的通用词典使雇主能够盘点和发展他们的网络安全人员队伍。NICE框架可以被雇主和组织领导用来：

盘点并跟踪他们的网络安全人员，以更好地了解所执行的知识，技能，能力和任务的优势和差距;
确定培训和资格要求，以开发关键的知识，技能和能力来执行网络安全任务;
一旦确定工作角色和任务，改进职位说明和职位空缺通知，选择相关的KSA和任务;
确定最相关的工作角色并制定职业路径，以指导员工获得这些角色所需的技能; 和
在招聘经理和人力资源（HR）员工之间建立共同的术语，以招聘，保留和培训高度专业化的员工队伍。

NICE框架支持网络安全领域的人员以及那些可能希望进入网络安全领域的人员，以探索网络安全类别和工作角色中的任务。它还协助那些支持这些工作者的人员，如人力资源配备专家和指导顾问，帮助求职者和学生了解哪些网络安全工作的作用以及哪些相关的知识，技能和能力正在被雇主重视，用于未定义的网络安全工作和职位。

当空缺通知和开放职位描述使用NICE框架的通用词典对网络安全任务和这些职位所需的培训提供清晰一致的描述时，这些工作人员得到进一步支持。

当培训提供商和行业认证提供商使用NICE框架的通用词典时，网络安全领域的人员或可能希望进入网络安全领域的人员可以找到培训和/或认证提供者，以便教授必要的任务以确保网络安全工作或进入新职位。使用通用词典可帮助学生和专业人员获得KSA，这些KSA通常由网络安全职位包含特定工作角色的人员进行演示。这种理解有助于他们找到包含学习成果和知识单位的学术课程，这些单元可映射到由雇主评估的KSA和任务。

1.3.3教育者/培训者

NICE框架为教育工作者提供了一个参考资料，用于开发涵盖NICE框架中描述的KSA和任务的课程，证书或学位课程，培训课程，课程，研讨会，训练或挑战。

人力资源人员配置专家和辅导员可以使用NICE框架作为职业探索的资源。

1.3.4技术提供者

NICE框架允许技术提供商识别与他们提供的硬件和软件产品及服务相关的网络安全工作角色以及KSA和任务。然后，技术提供商可以创建适当的支持材料，协助网络安全人员对其产品进行适当的配置和管理。

1.4 这个特别出版物的组织

本特别出版物的其余部分安排如下：

第2章定义了NICE框架的组成部分：（i）分类; （ii）专业领域; （iii）工作角色; （iv）相关的知识，技能和能力及每个工作角色的任务。
第3章介绍如何使用NICE框架
第4章指出了其他出版物，指导方针，指南和工具可以扩大NICE框架影响的领域。
附录A描述了NICE框架的类别，专业领域，工作角色，KSA和任务清单。
附录B提供了每个工作角色的详细列表，包括相关的KSA和任务。
附录C提供了一些劳动力开发工具的例子
附录D提供了指南或指南文件的一些例子，它们将这些文件的一些内容交叉引用到NICE框架中的组件
附录E给出了本文档中使用的选定首字母缩略词和缩写。
附录F给出了本文引用的参考文献。

2NICE框架组件和关系

2.1NICE框架的组成部分

NICE框架组织网络安全和相关工作。本节介绍并定义NICE框架的核心组件，以支持这些领域。

2.1.1 类别

类别提供了NICE框架的总体组织结构。有七个类别，全部由专业领域和工作角色组成。这种组织结构基于广泛的工作分析，它将具有共同主要职能的工作人员和工作组织在一起，无论职位或其他职业条款如何。

2.1.2 专业领域

类别包含网络安全工作分组，称为专业领域。在国家网络安全劳动力框架1.0版中有31个专业领域[2]，国家网络安全工作框架2.0版中有32个[3]。每个专业领域都是网络安全和相关工作中集中工作或功能的领域。在以前版本的NICE框架中，任务和KSA与每个专业领域相关联。KSA和任务现在与工作角色相关联。

2.1.3 工作角色

工作角色是网络安全和相关工作中最详细的组合，其中包括以知识，技能和能力（KSA）形式履行角色所需的属性列表以及在该角色中执行的任务。

通过从NICE框架中选择与该工作或职位相关的一个或多个工作角色来描述在工作或职位上执行的工作，以支持任务或业务流程。

为了协助组织和沟通有关网络安全责任，工作角色分为特定类别和专业领域，如附录A所示。

2.1.4 知识、技能和能力 (KSAs)

知识，技能和能力（KSAs）是执行工作角色所需要的属性，通常通过相关的经验，教育或培训来证明。

知识是直接应用于功能表现的一组信息。
技能通常被定义为执行可观察到的学习型心理行为的能力。心理领域的技能描述了物理操纵工具或手段的能力，如手或锤子。网络安全所需的技能应该少依赖于对工具和工具的物理操纵，更多地依靠对组织或个人的网络安全状况产生影响的工具，框架，流程和控制。
能力是执行可观察行为或导致可观察到产品行为的能力。

任务是一项具体定义的工作，与其他确定的任务相结合，组成了特定专业领域或工作角色的工作。

2.2NICE框架组件关系

NICE框架组件描述了网络安全工作。如图1所示，每个类别都由专业领域组成，每个专业领域都由一个或多个工作角色组成。每个工作角色又包括KSA和任务。

以这种方式对组件进行分组可简化有关网络安全劳动力主题的交流，并有助于与其他框架保持一致。附录B和在NICE框架网站[5]上发布的参考电子表格[4]中显示了特定的工作角色与KSA和任务的关联。

图1 - NICE框架组件之间的关系

3 使用NICE框架

使用NICE框架了解组织需求并评估满足这些需求的程度可以帮助组织规划，实施和监控成功的网络安全计划。

3.1 确定网络安全劳动力需求

网络安全是一个迅速变化和扩大的领域。这种扩张需要一批熟练的工作人员来帮助组织履行网络安全职能。随着组织确定需要什么来充分管理当前和未来的网络安全风险，领导者需要考虑网络安全人员的能力和所需的能力。

图2展示了NICE框架如何成为帮助雇主建立一支有能力并且准备好的网络安全人员队伍的中心参考。

图2 - 为有能力和准备好的网络安全人员提供构建模块

图2左侧的圆形箭头表示可能会影响组织开发有能力且随时准备就绪的员工的能力：

使用NICE框架的通用词汇表澄清网络安全教育者，培训者/认证者，雇主和雇员之间的沟通。
执行关键性分析将识别对于具有给定工作角色的成功绩效和对于多个工作角色而言关键的KSA和任务。
运行能力程度分析将通知组织对期望职位（例如入门级，专家）的期望，职位通常由多个工作角色组成。熟练程度分析应该能够完善相关任务的选择，而KSA则是组成该职位的工作角色所需要的。

附录C列出了一些支持识别网络安全劳动力需求的现有劳动力开发工具。

3.2 高技能网络安全人才的招聘和录用

参考NICE框架将帮助企业完成战略性人力资源规划和招聘。NICE框架材料在创建或修改职位空缺通知和招聘岗位描述时将用于帮助候选人寻找他们感兴趣，有能力或有资格的特定职位。用于描述职位职责和责任的任务以及用于描述岗位所需技能和资格的KSA应允许候选人和招聘经理更有效地沟通。使用NICE框架术语的职位描述和职位空缺公告支持审核候选人的更一致的评估标准。

对于关注员工差距的组织，审核NICE框架的任务列表可以确定组织未执行的具体任务。这些任务允许组织确定差距的工作角色和专业领域。组织能够更好地提供教育，培训和认证以及将其产品映射到NICE框架与社区进行交流。该组织可以确定将允许现有工作人员解决差距的培训。组织的招聘经理使用这种方式从NICE框架提取的数据，可以识别拥有KSAs的申请人执行网络安全任务。

3.3网络安全劳动力成员的教育和培训

NICE框架确定工作角色中的任务可能使教育工作者为学习者准备具体的KSA，他们可以从中展示执行网络安全任务的能力。

学术机构是准备和教育网络安全人员的关键部分。公共和私人实体之间的合作，例如通过NICE计划，使这些机构能够确定所需的共同知识和能力。反过来，制定和提供与NICE框架词汇相一致的课程，使机构能够为学生提供雇主所需的技能。随着网络安全领域寻找期望工作的学生人数增加，越来越多的学生将被吸引到学术网络安全计划中作为职业发展的途径。

3.4高技能网络安全人才的保留与发展

熟练的网络安全人员的一个关键方面是发展和保留已经加入的熟练人才。当前的员工拥有难以取代的现有关系，机构知识和组织经验。员工离职后重新填补职位可能会带来新的广告和招聘成本，培训费用，生产力下降以及士气下降。以下列表说明了NICE框架支持保留和发展网络安全人才的一些方式：

组织可以开发职业途径，描述日益具有挑战性和不断发展的工作角色所需的资格，例如NICE框架列举的那些角色。
对KSAs和任务的详细了解有助于现有员工了解发展其能力所需的具体步骤，以促进准备就绪。
一个组织可能会提供轮换工作人员以提供开发和使用新技能的机会。
组织可以确定在相关领域努力改进KSAs的人员，认识那些表现良好的人员。
组织可以为员工制定发展/改进计划，帮助他们制定出他们如何获得新工作角色所需的KSA。
可以确定集体培训机会，以使员工为组织的工作角色提高共同知识，技能和能力做好准备。
组织可以使用基于特定网络安全技能和能力的培训和考试来评估现实环境中的熟练程度。
组织可以利用现有人员填补关键的网络安全人员需求，利用审查现有员工简历的能力来识别具有理想KSA的人员。
NICE框架对希望从其他职位转入网络安全工作角色的现有员工有所帮助。一个组织可以描述需要的KSA，以使非网络安全工作角色的可靠员工成为网络安全工作人员的一部分，从事网络安全任务。

4 扩展

组织或部门可以使用NICE框架来开发额外的出版物或工具来满足他们的需求，并定义或提供劳动力发展，规划，培训和教育的不同方面的指导。

NICE框架中交叉引用元素的新参考资料将通过NICE网站共享[5]。

以下几个领域是可以开发其他出版物或工具的几个例子。

4.1能力

劳动部就业和培训管理局[6]将能力定义为能够运用或使用知识，技能，能力，行为和个人特征成功完成关键工作任务，特定职能或在特定角色或职位上工作。除了列举技术KSAs外，能力模型还考虑行为指标并描述非技术性考虑因素，例如个人效能，学术和工作场所能力。关于这些考虑因素的更多信息可以从劳工部的CareerOneStop站点获得[7]。