0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

欧洲网络安全技能框架(ECSF)角色定义

jf_C6sANWk1 来源:阿宝1990 2024-02-25 16:38 次阅读

网络安全领域,我们到底需要什么样的人才角色?为更好地促进行业的人才培养,欧洲网络安全技能框架(ECSF)定义了12个网络安全关键角色,并定义了相应的任务,能力,技能和知识,希望网络安全行业达成共识,促进对网络安全技能的认可,并为设计网络安全相关培训计划提供了支持。

在2022年9月,ENISA网络安全技能大会上,欧盟委员会发布了两份文档:角色文件(The ECSF Role profiles document)和用户手册(The ECSF user manual document)。本文重点翻译了角色文件里面十二个角色,以及对应的任务和所需的技能。对我们中国网络安全市场有什么作用呢?首先是为组织在搭建网络安全方面的角色时提供参考,另外也给网络安全能力建设拓展思路。--编者

一、12个网络安全角色清单

5ff4e3f4-d38c-11ee-a297-92fbcf53809c.png

二、各角色岗位任务,关键技能描述

1. 首席信息安全官(CISO)

职位名称:首席信息安全官(CISO)

工作概要:负责管理组织的网络安全策略及其实施,以确保数字系统、服务和资产得到充分的安全保护。

关键技能:

评估并提高组织的网络安全状况

分析和实施网络安全政策、认证、标准、方法论及框架

分析并遵守与网络安全相关的法规和法规

实施网络安全建议和最佳实践

管理网络安全资源

制定、倡导和领导网络安全战略的执行

影响组织的网络安全文化

设计、应用、监测和审查信息安全管理系统(ISMS),直接实施或领导其外包

审查和加强安全文件、报告、服务等级协议(SLA),并确保安全目标得以实现

识别和解决网络安全相关问题

建立网络安全计划

与内部和外部利益相关者进行沟通、协调和合作

提前预测组织信息安全战略所需的变化,并制定新计划

定义并应用网络安全管理成熟度模型

预测网络安全威胁、需求和即将到来的挑战

激励和鼓励人们

2. 网络事件响应者

职位名称:网络事件响应者

工作概要:监控组织的网络安全状态,处理网络攻击期间的事件,并确保 ICT 系统的持续运行。

关键技能:

实践网络安全事件处理和响应的所有技术、功能和操作方面。

收集、分析和关联来自多个来源的网络威胁信息。

操作系统、服务器、云和相关基础设施方面的工作。

在压力下工作。

沟通、展示和报告。

3. 网络法律、政策与合规官

职位名称:网络法律、政策与合规官

工作概要:根据组织的策略和法律要求,管理符合网络安全相关标准、法律和监管框架的合规性。

关键技能:

全面了解业务战略、模型和产品,并能够考虑到法律、监管和标准要求

在实施组织流程、财务和业务战略时,执行涉及数据保护和隐私问题的工作实践

领导制定适当的网络安全和隐私政策和程序,以补充业务需求和法律要求;并进一步确保其被接受、理解和实施,并在相关方之间进行沟通

使用标准、框架、公认的方法和工具进行、监督和审查隐私影响评估

向利益相关者和用户解释和传达数据保护和隐私主题

理解、实践并遵守道德要求和标准

理解法律框架修改对组织的网络安全和数据保护策略和政策的影响

与其他团队成员和同事合作

4. 网络威胁情报专家

职位名称:网络威胁情报专家

工作概要:收集、处理、分析数据和信息,生成可以采取行动的情报报告,并将它们传递给目标利益相关者。

关键技能:

与其他团队成员和同事协作

收集、分析和关联来自多个来源的网络威胁信息

识别威胁行为者TTPs和攻击活动

自动化威胁情报管理程序

进行技术分析并报告

识别对网络相关活动产生影响的非网络事件

对威胁、行为者和TTP进行建模

与内部和外部利益相关者沟通和协作

与相关利益相关者进行沟通、演示和报告

使用和应用CTI平台和工具

5. 网络安全架构师

职位名称:网络安全架构师

工作概要:规划和设计安全设计的解决方案(基础设施、系统、资产、软件、硬件和服务)以及网络安全控制

关键技能:

进行用户和业务安全需求分析

绘制网络安全架构和功能规范

拆解和分析系统,以制定安全和隐私要求,并确定有效的解决方案

基于安全和隐私设计以及默认网络安全原则来设计系统和架构

指导和实施人员以及IT/OT人员进行沟通

与相关利益相关者进行沟通、演示和报告

根据利益相关者的需求和预算提出网络安全架构

选择适当的规范、程序和控件

建立整个架构的故障点恢复力

协调安全解决方案的集成

6. 网络安全审计员

职位名称:网络安全审计员

工作概要:在组织的生态系统中执行网络安全审计,确保遵守法定要求、监管要求、信息政策要求、安全要求、行业标准以及最佳实践。

关键技能:

根据证据以系统化和确定性的方式组织和工作

遵循并实践审计框架、标准和方法

应用审计工具和技术

分析业务流程,评估和审查软件或硬件安全性以及技术和组织控制

拆解和分析系统以识别弱点和无效控制

传达、解释和适应法律和监管要求以及业务需求

收集、评估、维护和保护审计信息

以诚信、公正和独立的方式进行审计

7. 网络安全教育者

职位名称:网络安全教育者

工作概要:提高人类的网络安全知识、技能和竞争力

关键技能:

确定网络安全意识、培训和教育的需求

设计、开发和提供涵盖网络安全需求的学习计划

开发包括使用网络范围环境进行模拟的网络安全演习

提供网络安全和数据保护专业认证的培训

利用现有的网络安全相关培训资源

为意识、培训和教育活动开发评估程序

与相关利益相关者沟通、演示和报告

识别并选择适合目标受众的教学方法

激励和鼓励人们

8. 网络安全实施者

职位名称:网络安全实施者

工作概要:在基础设施和产品上开发、部署和运营网络安全解决方案(系统、资产、软件、控制和服务)。

关键技能:

与相关利益相关者沟通、演示和报告

将网络安全解决方案整合到组织的基础设施中

根据组织的安全策略配置解决方案

评估解决方案的安全性和性能

开发代码、脚本和程序

识别和解决网络安全相关问题

与其他团队成员和同事协作

9. 网络安全研究员

职位名称:网络安全研究员

工作概要:研究网络安全领域,并将结果纳入网络安全解决方案。

关键技能:

提出新思路并将理论运用于实践

分析系统以识别弱点和无效控制

分析系统以制定安全和隐私要求并确定有效解决方案

监控网络安全相关技术的新进展

与相关利益相关者沟通、演示和报告

识别和解决网络安全相关问题

与其他团队成员和同事协作

10. 网络安全风险经理

职位名称:网络安全风险经理

工作概要:管理组织的网络安全相关风险,使其与组织战略保持一致。制定、维护和传达风险管理流程和报告。

关键技能:

实施网络安全风险管理框架、方法学和指南,并确保遵守法规和标准

分析和整合组织质量和风险管理实践

使企业资产所有者、高管和其他利益相关者能够做出基于风险的信息决策,以管理和减轻风险

建立一个对网络安全风险有认知的环境

与相关利益相关者沟通、演示和报告

提出并管理风险共享选项

11. 数字取证调查员

职位名称:数字取证调查员

工作概要:确保网络犯罪调查揭示所有数字证据以证明恶意活动

关键技能:

以道德和独立的方式工作;不受内部或外部因素的影响和偏见

收集信息同时保持其完整性

识别、分析和关联网络安全事件

以简单、直接和易于理解的方式解释和呈现数字证据

制定并传达详细、有理有据的调查报告

12. 渗透测试员

职位名称:渗透测试员

工作概要:评估安全控制的有效性,揭示和利用网络安全漏洞,评估它们在受到威胁行为者利用时的关键性。

关键技能:

开发代码、脚本和程序

执行社会工程

识别和利用漏洞

进行道德黑客攻击

创造性思维

识别和解决与网络安全相关问题

与相关利益相关者进行沟通、展示和报告

有效使用渗透测试工具

进行技术分析并提交报告

分解和分析系统以识别弱点和无效控制

审查代码并评估其安全性

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    9129

    浏览量

    85346
  • 框架
    +关注

    关注

    0

    文章

    403

    浏览量

    17477
  • 网络安全
    +关注

    关注

    10

    文章

    3156

    浏览量

    59710

原文标题:欧洲网络安全技能框架(ECSF)角色定义

文章出处:【微信号:阿宝1990,微信公众号:阿宝1990】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    专家解读 | NIST网络安全框架(1):框架概览

    本文主要探讨NIST CSF框架的起源目标、内容组成,及其在网络安全风险管理中的关键作用,通过采用该框架,组织能够更有效地实施风险识别、安全保护、威胁检测和事件响应,从而构建更加坚固和
    的头像 发表于 05-06 10:30 1356次阅读
    专家解读 | NIST<b class='flag-5'>网络安全</b><b class='flag-5'>框架</b>(1):<b class='flag-5'>框架</b>概览

    网络安全隐患的分析

    的过程和方法。新的安全问题的出现需要新的安全技术和手段来解决,因此,安全是一个动态的、不断完善的过程。  企业网络安全可以从以下几个方面来分析:物理
    发表于 10-25 10:21

    嵌入式设备网络安全有什么策略?

    本文探索了在系统开发过程中重要的安全策略,包括进行嵌入式安全评估和设计的框架定义了一些网络安全概念,并提供了一些嵌入式设备
    发表于 09-19 06:00

    2020 年网络安全的四大变化

    安全部和约翰霍普金斯大学发起的集成的自适应网络安全防护框架 (IACD) 也提出了类似的设想。这不会在一夜之间发生,但是如果发生,像 Check Point、Cisco、FireEye
    发表于 02-07 14:33

    如何扩展工业控制系统的网络安全终端

    理解工业控制系统的网络安全工业4.0正在改变工业控制系统的网络安全扩展工业控制系统的网络安全终端
    发表于 01-27 07:09

    实现网络安全工业4.0的三个步骤

    工业4.0愿望和网络安全含义实现网络安全工业4.0的三个步骤通过硬件安全性实现互联工厂
    发表于 02-19 06:50

    什么是蓝牙mesh网络安全

    蓝牙mesh网络安全性的基本概念
    发表于 02-25 08:22

    网络安全类学习资源相关资料推荐

    目录分类媒体社区类安全公司类应急响应类安全团队类高校社团类CTF类个人类web安全网络运维类安全研发类二进制
    发表于 07-01 13:44

    网络空间安全

    技术恶意代码及防护操作系统安全无线网络安全数据安全信息隐藏隐私保护区块链物联网安全密码学基础网络空间安全概念由来
    发表于 07-02 08:01

    网络安全领域,NIST框架是什么?

    网络安全领域,NIST 框架是什么?
    发表于 04-17 07:56

    网络安全密钥是什么_网络安全密钥怎么修改

    本文开始阐述了网络安全密钥的定义,其次阐述了如何设置无线网络安全密钥以及无线网络的加密方法,最后阐述了
    发表于 03-14 10:29 14.2w次阅读

    网络安全定义

    网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
    的头像 发表于 03-20 15:18 9567次阅读

    NIST网络安全框架助你抵御网络威胁

    网络安全威胁呈指数级增长,制定有效的网络风险管理策略变得越来越重要。NIST网络安全框架助你抵御网络威胁。 据报道,疫情封国之前,2019年
    的头像 发表于 11-02 11:39 3185次阅读

    网络安全技能差距是什么?有什么用?

    使用零信任模式可以帮助解决当今网络安全领域的一些主要挑战,包括技能差距。
    发表于 05-05 17:05 1847次阅读

    带你了解网络安全框架、目标和类型

    数据是数字经济的新石油。 它已成为最重要的资产之一,这就是为什么保护数据已成为国际优先事项的原因。 世界各地的组织都意识到网络安全的重要性并最终采用它。 通过实施网络安全框架,企业可以创建安全
    发表于 07-28 08:03 971次阅读