在網絡安全領域，我們到底需要什么樣的人才角色？為更好地促進行業的人才培養，歐洲網絡安全技能框架（ECSF）定義了12個網絡安全關鍵角色，并定義了相應的任務，能力，技能和知識，希望網絡安全行業達成共識，促進對網絡安全技能的認可，并為設計網絡安全相關培訓計劃提供了支持。

在2022年9月，ENISA網絡安全技能大會上，歐盟委員會發布了兩份文檔：角色文件（The ECSF Role profiles document）和用戶手冊(The ECSF user manual document)。本文重點翻譯了角色文件里面十二個角色，以及對應的任務和所需的技能。對我們中國網絡安全市場有什么作用呢？首先是為組織在搭建網絡安全方面的角色時提供參考，另外也給網絡安全能力建設拓展思路。--編者

一、12個網絡安全角色清單

二、各角色崗位任務，關鍵技能描述

1. 首席信息安全官（CISO）

職位名稱：首席信息安全官（CISO）

工作概要：負責管理組織的網絡安全策略及其實施，以確保數字系統、服務和資產得到充分的安全保護。

關鍵技能：

評估并提高組織的網絡安全狀況

分析和實施網絡安全政策、認證、標準、方法論及框架

分析并遵守與網絡安全相關的法規和法規

實施網絡安全建議和最佳實踐

管理網絡安全資源

制定、倡導和領導網絡安全戰略的執行

影響組織的網絡安全文化

設計、應用、監測和審查信息安全管理系統（ISMS），直接實施或領導其外包

審查和加強安全文件、報告、服務等級協議（SLA），并確保安全目標得以實現

識別和解決網絡安全相關問題

建立網絡安全計劃

與內部和外部利益相關者進行溝通、協調和合作

提前預測組織信息安全戰略所需的變化，并制定新計劃

定義并應用網絡安全管理成熟度模型

預測網絡安全威脅、需求和即將到來的挑戰

激勵和鼓勵人們

2. 網絡事件響應者

職位名稱：網絡事件響應者

工作概要：監控組織的網絡安全狀態，處理網絡攻擊期間的事件，并確保 ICT 系統的持續運行。

關鍵技能：

實踐網絡安全事件處理和響應的所有技術、功能和操作方面。

收集、分析和關聯來自多個來源的網絡威脅信息。

操作系統、服務器、云和相關基礎設施方面的工作。

在壓力下工作。

溝通、展示和報告。

3. 網絡法律、政策與合規官

職位名稱：網絡法律、政策與合規官

工作概要：根據組織的策略和法律要求，管理符合網絡安全相關標準、法律和監管框架的合規性。

關鍵技能：

全面了解業務戰略、模型和產品，并能夠考慮到法律、監管和標準要求

在實施組織流程、財務和業務戰略時，執行涉及數據保護和隱私問題的工作實踐

領導制定適當的網絡安全和隱私政策和程序，以補充業務需求和法律要求；并進一步確保其被接受、理解和實施，并在相關方之間進行溝通

使用標準、框架、公認的方法和工具進行、監督和審查隱私影響評估

向利益相關者和用戶解釋和傳達數據保護和隱私主題

理解、實踐并遵守道德要求和標準

理解法律框架修改對組織的網絡安全和數據保護策略和政策的影響

與其他團隊成員和同事合作

4. 網絡威脅情報專家

職位名稱：網絡威脅情報專家

工作概要：收集、處理、分析數據和信息，生成可以采取行動的情報報告，并將它們傳遞給目標利益相關者。

關鍵技能：

與其他團隊成員和同事協作

收集、分析和關聯來自多個來源的網絡威脅信息

識別威脅行為者TTPs和攻擊活動

自動化威脅情報管理程序

進行技術分析并報告

識別對網絡相關活動產生影響的非網絡事件

對威脅、行為者和TTP進行建模

與內部和外部利益相關者溝通和協作

與相關利益相關者進行溝通、演示和報告

使用和應用CTI平臺和工具

5. 網絡安全架構師

職位名稱：網絡安全架構師

工作概要：規劃和設計安全設計的解決方案（基礎設施、系統、資產、軟件、硬件和服務）以及網絡安全控制

關鍵技能：

進行用戶和業務安全需求分析

繪制網絡安全架構和功能規范

拆解和分析系統，以制定安全和隱私要求，并確定有效的解決方案

基于安全和隱私設計以及默認網絡安全原則來設計系統和架構

指導和實施人員以及IT/OT人員進行溝通

與相關利益相關者進行溝通、演示和報告

根據利益相關者的需求和預算提出網絡安全架構

選擇適當的規范、程序和控件

建立整個架構的故障點恢復力

協調安全解決方案的集成

6. 網絡安全審計員

職位名稱：網絡安全審計員

工作概要：在組織的生態系統中執行網絡安全審計，確保遵守法定要求、監管要求、信息政策要求、安全要求、行業標準以及最佳實踐。

關鍵技能：

根據證據以系統化和確定性的方式組織和工作

遵循并實踐審計框架、標準和方法

應用審計工具和技術

分析業務流程，評估和審查軟件或硬件安全性以及技術和組織控制

拆解和分析系統以識別弱點和無效控制

傳達、解釋和適應法律和監管要求以及業務需求

收集、評估、維護和保護審計信息

以誠信、公正和獨立的方式進行審計

7. 網絡安全教育者

職位名稱：網絡安全教育者

工作概要：提高人類的網絡安全知識、技能和競爭力

關鍵技能：

確定網絡安全意識、培訓和教育的需求

設計、開發和提供涵蓋網絡安全需求的學習計劃

開發包括使用網絡范圍環境進行模擬的網絡安全演習

提供網絡安全和數據保護專業認證的培訓

利用現有的網絡安全相關培訓資源

為意識、培訓和教育活動開發評估程序

與相關利益相關者溝通、演示和報告

識別并選擇適合目標受眾的教學方法

激勵和鼓勵人們

8. 網絡安全實施者

職位名稱：網絡安全實施者

工作概要：在基礎設施和產品上開發、部署和運營網絡安全解決方案（系統、資產、軟件、控制和服務）。

關鍵技能：

與相關利益相關者溝通、演示和報告

將網絡安全解決方案整合到組織的基礎設施中

根據組織的安全策略配置解決方案

評估解決方案的安全性和性能

開發代碼、腳本和程序

識別和解決網絡安全相關問題

與其他團隊成員和同事協作

9. 網絡安全研究員

職位名稱：網絡安全研究員

工作概要：研究網絡安全領域，并將結果納入網絡安全解決方案。

關鍵技能：

提出新思路并將理論運用于實踐

分析系統以識別弱點和無效控制

分析系統以制定安全和隱私要求并確定有效解決方案

監控網絡安全相關技術的新進展

與相關利益相關者溝通、演示和報告

識別和解決網絡安全相關問題

與其他團隊成員和同事協作

10. 網絡安全風險經理

職位名稱：網絡安全風險經理

工作概要：管理組織的網絡安全相關風險，使其與組織戰略保持一致。制定、維護和傳達風險管理流程和報告。

關鍵技能：

實施網絡安全風險管理框架、方法學和指南，并確保遵守法規和標準

分析和整合組織質量和風險管理實踐

使企業資產所有者、高管和其他利益相關者能夠做出基于風險的信息決策，以管理和減輕風險

建立一個對網絡安全風險有認知的環境

與相關利益相關者溝通、演示和報告

提出并管理風險共享選項

11. 數字取證調查員

職位名稱：數字取證調查員

工作概要：確保網絡犯罪調查揭示所有數字證據以證明惡意活動

關鍵技能：

以道德和獨立的方式工作；不受內部或外部因素的影響和偏見

收集信息同時保持其完整性

識別、分析和關聯網絡安全事件

以簡單、直接和易于理解的方式解釋和呈現數字證據

制定并傳達詳細、有理有據的調查報告

12. 滲透測試員

職位名稱：滲透測試員

工作概要：評估安全控制的有效性，揭示和利用網絡安全漏洞，評估它們在受到威脅行為者利用時的關鍵性。

關鍵技能：

開發代碼、腳本和程序

執行社會工程

識別和利用漏洞

進行道德黑客攻擊

創造性思維

識別和解決與網絡安全相關問題

與相關利益相關者進行溝通、展示和報告

有效使用滲透測試工具

進行技術分析并提交報告

分解和分析系統以識別弱點和無效控制

審查代碼并評估其安全性