NIST发布NICE网络安全人才框架
National Initiative for Cybersecurity Education (NICE)是美国国家网络安全教育计划,是2008年美国发布的,由NIST组织实施的。本指南是NIST发布SP 800-180《NICE的网络安全人才框架(NCWF)》,2016年12月发布的草稿, 参与编写部门是:NIST 信息技术实验室的Applied Cybersecurity Division,DOD、DHS和一个公司G2。
执行摘要
国家网络安全教育计划(NICE)是政府、学术界和私营部门之间的合作,致力于促进强大网络安全教育,培训和人才发展的生态系统。 NICE通过与政府,学术界和行业合作伙伴的协作来实现这一使命,以促进变革和创新,并带来领导和愿景,增加熟练的网络安全专家人数,帮助我们保持国家安全。
NICE致力于培养有竞争力的综合网络安全人才队伍,保护国家网络安全。尽管越来越多的人对网络安全非常关注,但许多管理人员报告说,熟练的网络安全工作人员不足。为了解决这些需求,本指南介绍了NICE网络安全人才框架(NCWF)。
随着网络安全的威胁和保护措施的发展和演变,需要网络安全人才来适应、设计、开发、实施、维护、评估和了解网络安全的各个方面。网络安全人才不仅包括技术人员,还包括在工作中应用网络安全知识的人员。网络安全人员可以实施和维护保护措施,采取行动来满足安全需求。
本指南是支持能够满足组织网络安全需求的人才的基础参考。它描述了NCWF如何为组织提供共同的、一致的词汇表来分类和描述网络安全工作。该文件定义了NCWF组件,即类别、专业领域和工作角色。基于这些组件,NCWF提供的常用词汇使网络安全工作能够保持一致的组织和沟通。
NCWF可以被视为网络安全人员字典,NCWF的消费者可以将其引用到不同的人才培养,教育和/或培训目的上。几个主要受众包括:
•雇主,帮助评估其网络安全员工队伍,确定网络安全人员的关键差距,并改进职位描述;
•目前和未来的员工,帮助探索任务和工作角色,并协助理解KSA;
•培训和认证提供者,希望帮助当前和未来的网络安全人员成员获得并展示KSAs;
•教育提供者:可以使用NCWF作为参考,开发涵盖KSA的课程,课程,研讨会和研究;
•技术提供者:可以识别网络安全相关的工作角色和具体任务和KSAs,与他们提供的服务和硬件/软件产品相关联。
作为组织信息技术(IT)、网络安全和网络相关工作的机制,NCWF通过以下组件帮助组织组织角色和职责:
•类别(Categories) - 通用的网络安全功能高级别组合;
•专业领域 (Specialty Areas)- 网络安全工作的领域;
•工作角色(Work Roles) - IT、网络安全或网络相关工作分组,其中包括执行任务所需的特定知识,技能和能力;
•任务(Tasks) - 可以分配给在NCWF某个工作角色的专业人员的具体工作活动;
•知识,技能和能力(KSAs) - 执行任务所需的属性,通常通过相关经验或基于绩效的教育和培训来证明。
NCWF组件协同工作,描述网络安全工作的范围,从高层到非常细粒度。每个类别(Categories)由专业领域 (Specialty Areas)组成,每个专业领域 (Specialty Areas)包含一个或多个工作角色(Work Roles)。每个工作角色(Work Roles)又包含多个知识,技能和能力(KSAs)。
(一)介绍
主要介绍本指南的背景、目标、适用性。前面已经介绍一部分,此处略。
图1说明了NCWF如何帮助建立强大的网络安全员工队伍。。
如图所示,几个关键的投入提高了NCWF的价值:
•统一了词汇表:支持教育者,雇主和雇员的术语的一致使用。
•关键性分析:有助于识别形成任务和KSA,形成基准集(例如,多重工作角色或特定的基于角色的培训)。该分析还有助于识别特定工作角色的重要的任务和KSA。
•熟练程度分析:支持了解工作角色中的人员所期望的KSA的水平。例如,一个给定的工作角色的人可能表现出不同的理解和能力,因为这个工作人员从入门级到专家进步。
(二)NCWF关系和组件
2.1 NCWF组件
2.1.1 类别(Categories)
分类提供NCWF的总体组织结构。共有七类,全部由专业领域和工作角色组成。
2.1.2 专业领域 (Specialty Areas)
NCWF共有32个专业领域,每个专业领域都是网络安全的某个工作或功能的一个领域。本指南是NCWF2.0 ,这部分与1.0版本是有一些变化的,现版本中任务和KSA是与工作角色相关联的。
2.1.3 工作角色(Work Roles)
工作角色是IT、网络安全或网络相关工作的分组。这些角色包括一个人执行一组功能或任务所需的知识、技能和能力的列表。
对于网络安全人员来说,所执行的工作是通过从与NCWF中选择一个或多个工作角色来描述的,以支持任务或业务流程。
2.1.4 任务(Tasks)
工作角色要求员工履行某些职责或任务。任务是就是工作,可以分配给工作角色所执行的工作。
2.1.5 知识,技能和能力(KSAs)
技能和能力知识,技能和能力(KSAs)是执行工作所需的属性,通常通过相关经验、教育或培训来证明。
2.2 NCWF组件关系
各种NCWF组件一起工作来描述信息技术(IT)、网络安全和网络相关工作。如图所示,每个类别(Categories)都由专业领域 (Specialty Areas)支持,每个专业领域 (Specialty Areas)都由一个或多个工作角色(Work Roles)支持。反过来,每个工作角色(Work Roles)由许多具体任务(Tasks)和关联的KSA组成。其中,KSA中的K001到K006是所有网络安全活动的核心,适用于每个工作角色。
以这种方式分组组件有助于组织工作角色、相关任务和KSAs,简化了关于网络安全主题的沟通,并有助于与外部框架保持一致。工作角色与任务,知识,技能和能力的具体关联见附录B。
(三)应用NCWF
3.1确定网络安全人员需求
DHS网络安全人员培养工具包(CWDT) - 为帮助组织了解和建立网络安全员工提供工具和指导,描述了准备建立网络安全员工队伍的第一步。 CWDT包括一个网络安全人力规划能力成熟度模型(CMM),一个自评估工具,帮助组织评估其网络安全人员计划能力的成熟度。
一旦组织确定了网络安全要求(如通过网络安全审核或内部自我评估),NCWF有助于指定有助于实现这些工作的工作角色和任务。
3.2网络安全人员的教育和培训
信息安全教育和培训的获取近年来有了显着的增长,部分原因是联邦政府为改进和扩大网络安全教育计划所做的努力。尽管取得了这样的成功,但许多组织仍然发现,这些计划没有准备充分的学生来支持工作角色所要的需求。 NCWF规划了网络安全词汇,帮助教育工作者为学生准备具有知识、技能和能力。
学术机构是准备和教育网络安全人才的关键。公共和私人实体之间的合作,例如通过NICE计划,使这些机构能够确定所需的共同知识和能力。反过来,开发和提供与NCWF词汇协调一致的课程,使得学生可以满足雇主的网络安全职位需求。 NSA / DHS National Centers of Academic Excellence in Cyber Defense(CAE-CD)就是开发了一个映射文件,展示了CAE-CD知识单元与NCWF之间的关系。
3.3招聘聘请高素质的网络安全人才
NCWF的应用将帮助组织实现更好的战略性员工队伍规划和招聘。 NCWF可帮助候选人准确地查找他们感兴趣和合格的特定职位。通过使用NCWF任务定义来描述工作职责和职责,以及使用NCWFKSAs来描述职位所需的技能和资格,候选人和招聘经理将获得对期望的一致理解。
3.4保留和发展高素质的网络安全人才
使用NCWF将有助于加强组织的网络安全员工队伍。 对现有员工的投资,例如通过重点培训和留住现有人才的举措,将有助于组织准备并实现其风险管理目标。
3.5网络安全框架(CSF)
具体介绍略。
附录
1、NCWF 人才类别(Categories)
类别 | 描述 |
---|---|
安全提供(SP) | 概念化、设计和构建安全信息技术(IT)系统,负责系统和/或网络开发的各个方面。 |
操作和维护(OM) | 提供必要的支持,管理和维护,以确保有效和高效的信息技术(IT)系统性能和安全性。 |
监督和治理(OG) | 提供领导、管理、指导或发展和宣传,以便组织可以有效地进行网络安全工作。 |
保护和防御(PR) | 识别、分析和减轻对内部信息技术(IT)系统和/或网络的威胁。 |
分析(AN) | 对网络安全信息进行专业化的审查和评估,以确定其有用性。 |
搜集和运营(CO) | 提供专门的拒绝和欺骗行为,以及可能用于开发情报的网络安全信息的收集。 |
调查(IN) | 调查与信息技术(IT)系统、网络和数字化证据有关的网络安全事件或犯罪行为。 |
2、NCWF 专业领域 (Specialty Areas)
类别 | 专业领域 | 专业领域描述 |
---|---|---|
安全供应(SP) | 风险管理(RM) | 监督、评估和支持文档化、验证、评估和授权流程,以确保现有和新的信息技术(IT)系统符合组织的网络安全和风险要求。确保符合外部、内部的合规性和保证。 |
软件开发(DEV) | 根据软件保障最佳实践,开发和编写新的(或修改现有的)计算机应用程序,软件或专用实用程序。 | |
系统架构(ARC) | 开发系统概念并对系统开发生命周期的功能阶段进行工作;将技术和环境条件(例如法律和法规)转化为系统和安全设计和过程。 | |
技术研发(RD) | 进行技术评估和整合过程;提供和支持原型功能和/或评估其实用性。 | |
系统需求计划(RP) | 与客户协商收集和评估功能需求,并将这些需求转化为技术解决方案。为客户提供有关信息系统适用性以满足业务需求的指导。 | |
测试和评估(TE) | 开发和进行系统测试,以评估符合规范和要求的方法,通过应用成本效益计划,评估,验证和验证包含IT的系统或系统元素的技术,功能和性能特征(包括互操作性)的原则和方法。 | |
系统开发(SYS) | 系统开发生命周期的开发工作。 | |
操作和维护(OM) | 数据管理(DA) | 开发和管理允许数据存储,查询和利用的数据库和/或数据管理系统。 |
知识管理(KM) | 管理过程和工具,使组织能够识别、记录和评估情报和信息内容的。 | |
客户服务和技术支持(TS) | 解决问题:安装、配置、故障排除,并根据客户要求或咨询(例如分级客户支持)提供维护和培训。 | |
网络服务(NET) | 安装、配置、测试、维护和管理网络及其防火墙,包括硬件(如集线器,网桥,交换机,多路复用器,路由器,电缆,代理服务器和保护分发器系统)以及软件允许信息的所有频谱传输的共享和传输,以支持信息和信息系统的安全。 | |
系统管理(SA) | 安装、配置、故障排除和维护服务器配置(硬件和软件),以确保其机密性,完整性和可用性。另外,管理帐户,防火墙和补丁。负责访问控制,密码和帐户创建和管理。 | |
系统分析(AN) | 进行系统安全性的集成/测试、操作和维护。 | |
监督和治理(OG) | 法律咨询和宣传(LG) | 就相关主题领域内的各种相关主题向领导和工作人员提供合法的建议和建议。 跟踪法律和政策变化,代表客户提出诉讼,不限于广泛的书面和口头工作产品(包括法律简报和诉讼)。 |
培训,教育和意识(ED) | 对相关主题领域的人员进行培训。 培训、计划、协调、交付和/或评估培训课程,方法和技巧。 |
|
网络安全管理(MG) | 监督信息系统或网络的网络安全计划; 包括在组织,具体计划或其他责任领域管理信息安全的影响,包括战略、人员、基础设施、要求、政策执行、应急计划、安全意识和其他资源。 |
|
战略规划和政策(PL) | 支持组织网络空间安全改进和增强,制定政策、计划、倡导变更。 | |
网络安全领导(EX) | 监督、管理和/或领导工作和执行网络安全工作的工作人员 | |
获取和计划/项目管理(PM) | 应用知识(数据、信息、流程、组织交互、技能和分析人员)以及系统、网络和信息交换功能来管理程序。 执行管理职责,管理硬件、软件和信息系统采购计划及其他计划。 为采用信息技术(IT)(包括国家安全系统),采用IT相关法律和政策的采购提供直接支持,并在整个采购周期内提供IT相关指导。 |
|
保护和防御(PR) | 网络安全防范分析(DA) | 使用多源的的防御措施和信息,识别、分析和报告网络中发生或可能发生的事件,以保护信息、信息系统和网络免受威胁。 |
网络安全防御基础设施支持(INF) | 测试、实施、部署、维护、审查和管理有效管理基础设施硬件和软件,有效管理计算机网络防御服务提供商的网络和资源,监控网络积极修复未经授权的活动。 | |
事件响应(IR) | 响应危机或紧急情况,以缓解即时和潜在的威胁。根据需要使用缓解,准备和响应和恢复方法,最大限度地延长生命的生存,维护财产和信息安全。调查和分析所有相关响应活动。 | |
脆弱性评估和管理(VA) | 对威胁和漏洞进行评估;确定与可接受的配置、企业或地方政策差距;评估风险水平;制定和/或推荐适当的缓解对策。 | |
分析(AN) | 威胁分析(TA) | 识别和评估网络安全罪犯或外国情报机构的能力和活动; 产生调查结果,以帮助初步化或支持执法和反情报调查或活动。 |
利用分析(XA) | 分析收集的信息,以确定脆弱性和开发潜力。 | |
多源分析(AN) | 分析来自多个来源的情报社区,学科和机构的威胁信息。 放置情报信息形成上下文; 了解可能的影响。 | |
目标(TD) | 适用于一个或多个地区、国家、非国家实体的知识或技术。 | |
语言分析(LA) | 应用语言、文化和技术专长来支持其他地区的信息收集,分析和安全活动。 | |
搜集和运营(CO) | 收集操作(CL) | 使用适当的策略并通过收集管理流程确定的优先级执行收集。 |
网络运营规划(PL) | 执行深入的联合针对性和网络安全规划流程。 收集信息并制定详细的运行计划和订单。 在综合信息和网络空间业务的全方位业务中进行战略和业务层面的规划。 |
|
网络行动(OP) | 执行活动,收集犯罪或外国情报机构的证据,以减轻可能的或实时的威胁,防止间谍或内部威胁、外来破坏、国际恐怖主义活动或支持其他情报活动。 | |
调查(IN) | 网络调查(CI) | 适用于多种调查工具和过程的策略,技术和程序, 包括但不限于面试和讯问技巧,监视,反监视和监视检测,并适当平衡起诉与情报收集。 |
数字取证(FO) | 收集、处理、保存、分析和呈现计算机相关证据, 以支持网络脆弱性减轻和/或犯罪,欺诈,反间谍或执法调查。 |
3、NCWF 角色
类别 | 专业领域 | 角色 | NCWF ID | 角色描述 |
---|---|---|---|---|
安全供应(SP) | 风险管理(RM) | 授权官员/指定代表 |
| SP-RM-001 | 高级官员或执行机构正式承担职责,确保组织在信息系统运营中有关的行动(包括使命,职能,形象或声誉)、组织资产、个人、其他组织和国家在可接受的风险级别上。(CNSSI) | | | | 安全控制评估员 | SP-RM-002 | 对信息技术(IT)系统内部的管理、操作和技术安全控制和控制增强措施进行独立的综合评估,以确定控制的整体有效性(NIST SP 800-37中定义)。 | | | 软件开发(DEV) | 软件开发人员 | SP-DEV-001 | 开发、创建、维护和写入/编码新的(或修改现有的)计算机应用程序,软件或专用实用程序。 | | | | 安全软件评估员 | SP-DEV-002 | 分析新的或现有的计算机应用程序,软件或专用实用程序的安全性,并提供可操作的结果。 | | | 系统架构(ARC) | 企业架构师 | SP-ARC-001 | 开发和维护业务,系统和信息流程,以支持企业的任务需求; 开发描述基线和目标架构的信息技术(IT)规则和要求。 | | | | 安全架构师 | SP-ARC-002 | 在整个开发生命周期内设计企业和系统安全; 将技术和环境条件(例如法律和法规)转化为安全设计和过程。 | | | 技术研发(RD) | 研发专员 | SP-RD-001 | 开展软件和系统工程和软件系统研究,以开发新功能,确保网络安全得到充分整合。 进行全面的技术研究,以评估网络空间系统的潜在漏洞。 | | | 系统需求计划(RP) | 系统需求计划员 | SP-RP-001 | 与客户协商评估功能需求并将功能需求转化为技术解决方案。 | | | 测试和评估(TE) | 系统测试和评估专家 | SP-TE-001 | 计划,准备和执行系统测试,以根据规格和要求评估结果,并分析/报告测试结果。 | | | 系统开发(SYS) | 信息系统安全开发人员 | SP-SYS-001 | 在整个系统开发生命周期中设计,开发,测试和评估信息系统的安全性。 | | | | 系统开发人员 | SP-SYS-002 | 在整个系统开发生命周期中设计,开发,测试和评估信息系统。 |
4、角色任务
**这个角色任务表太多了,共计928行,有兴趣可以看标准。
**
5、技能描述
**本指南列出的skill也很多,共359个
**
6、NCWF Ability Descriptions
9、人员角色详细列表
本指南针对每个人员角色,给出了角色ID、角色名字,例如对于SP-DEV-002来说
角色名称:安全软件评估员
角色描述:分析新的或现有的计算机应用、软件或专用实用程序的安全性,并提供可操作的结果。
角色需要完成的任务:25个任务。
需要的skill是:
- 执行漏洞扫描和漏洞识别。
- 对明确的安全隐患进行加固措施。
- 开发和应用安全系统访问控制的技能。
- 明确信息系统和网络的保护的需求(即安全控制)。
- 将黑匣子安全测试工具集成到软件版本的质量保证过程中。
- 掌握安全测试计划设计(例如单元、集成、系统、验收)。
- 将应用中的公钥基础设施(PKI)加密和数字签名功能用于应用程序(例如S / MIME电子邮件,SSL流量)。
- 熟练使用代码分析工具。
- 执行根本原因分析。
需要的Ability是:
- 能够使用和理解复杂的数学概念(例如离散数学)。
美国NICE计划和《NICE网络安全人才队伍框架》
经过历时七年业界范围内的广泛讨论,NIST 终于发布了《NICE 网络安全人才队伍框架》,这个框架是非常少数的对人这个生产里要素相关的重量级框架。
经过历时七年业界范围内的广泛讨论,NIST 终于发布了《NICE 网络安全人才队伍框架》,这个框架是非常少数的对人这个生产里要素相关的重量级框架,非常值得阅读。
一、NICE 计划背景
2009 年之后,美国信息安全事件频发对未来美国社会、经济、国家安全造成严重影响。时任总统的奥巴马认为需要美国急需提高整个国家的网络空间安全意识和素养,启动了一系列的工作:
- 2010 年 4 月,美国启动“国家网络空间安全教育计划”(National Initiative of CybersecurityEducation,NICE),期望通过国家的整体布局和行动,在信息安全常识普及、正规学历教育、职业化培训和认证等三个方面开展系统化、规范化的强化工作,来全面提高美国的信息安全能力。
- 2011 年 8 月,美国国家标准技术研究院发布了《NICE 战略计划(草案)》,并在网上公开征集意见。
- 2011 年 9 月,公布《NICE 网络空间安全人才队伍框架(草案)》(NICE Cybersecurity Workforce Framework),并在网上公开征求各方意见。
- 2017 年 5 月,“总统签署了美国总统发布了“加强联邦网络和关键基础设施网络安全的行政命令”。在某种程度上,该命令指出,美国的政策是“支持网络安全和相关领域的技能人才的增长和维持,作为实现我们在网络空间目标的基础。”
- 2017 年 8 月,历时 7 年的讨论和修改,NIST 正式公布了《NICE 网络安全人才队伍框架》
- 2018 年 9 月,总统签署发布美国《国家网络战略》,再次强调要把培养卓越的网络安全人才队伍作为国家网络战略的重要目标。
2017 年 8 月,经过历时七年业界范围内的广泛讨论,NIST 终于发布了《NICE 网络安全人才队伍框架》(中文 v2.0、中文版 v1.8)。
国家网络安全教育计划是(NICE)由 NIST 牵头,国土安全局(DHS)、国防部(DoD)、教育部(ED)、美国国家科学基金会(NSF)、国家情报总监办公室(ODNI)、美国联邦人事管理局(OPM)等共同领导,旨在建立一个动态的、可持续的网络安全教育计划,目的是确保各级政府正确使用良好的网络安全实践活动,从而最终提升整个国家的安全态势感知能力。NICE 计划管理架构如下:
其中由 DHS 牵头的网络安全人才架构部分主要侧重于网络安全专业人才的管理。目的是评估工作人员的专业化水平,为预测未来网络安全需求推荐最佳的实践活动,为招募和挽留人才制定国家策略。
《NICE 网络安全人才队伍框架》通过对行业内分析各类组织的职位描述的分析(包括公开渠道、DoD 和联邦政府内部数据),并通过广泛、充分的行业内讨论对安全行业内的工作类型、专业领域、工作角色、知识、技能、能力和任务进行了体系化的梳理。
二、《NICE 网络安全人才队伍框架》的核心概念
《NICE 网络安全人才队伍框架》本身定义了一套包含通用的词汇、分类法及其他数据标准在内的共同语言,来帮助行业讨论和理解网络空间安全专业人员的工作和技能要求。
《NICE 网络安全人才队伍框架》用类别(Category)、专业领域(Specialty Area)和工作角色(Work Role)这三类组件来描述网络空间安全工作,并且定义了四类组件来为每个工作角色定义相关的网络空间安全知识(Knowledge)、技能(Skill)、能力(Ability)、任务(Task)。
用多个《NICE 网络安全人才队伍框架》组件来描述信息技术(IT)、网络空间安全和网络空间相关工作。每个类别下有多个专业领域的分支,每个专业领域下又有多个岗位角色的分支,每个 岗位角色又是由大量独立的工作职责和与之对应的 KSA(“知识”、“技能”、“能力”的统称) 组成。特别说明的是,KSA 序号 K0001 到 K0006 是所有网络空间安全活动的核心,适用于每一个岗位角色。
- 类别(Category):《NICE 网络安全人才队伍框架》的顶层概念(和职位头衔无关),一共有 7 个类别。每个类别都由专业领域(Specialty Area)和岗位角色(Work Role)组成。
- 专业领域(Specialty Area):各个类别下包含的网络空间安全工作分组被称为专业领域(Specialty Areas)。在 v1.0 框架中有 31 个专业领域,在 v2.0 框架中有 32 个专业领域。每个专业领域代表了网络空间安全领域的一类专门工作职能。
- 工作角色(Work Role):是 IT、网络空间安全或网络空间相关工作最细化的分组。工作角色阐明了从业人员完成规定职能和职责所必须具备的知识、技能和能力。一个网络安全从业人员一般承担了一个或者多个工作角色并履行相关职责。
- 任务(Task):每个工作角色都需要通过完成一些任务来履行其职责。
KSA(知识、技能和能力):KSA(知识、技能和能力)是完成一项工作必需的属性,一般通过相关的工作经验、教育背景或培训经历体现。为每个岗位角色清晰定义了胜任该职责和职能所必须具备的任职资历和能力。
三、《NICE 网络安全人才队伍框架》核心内容
《NICE 网络安全人才队伍框架》中核心内容如上图,其中涉及 7 大类别的 32 个专业领域,38 种工作角色的 1007 类任务所需的 1180 种知识、技能和能力(KSA)。
其中,类别是围绕不同的目标对专业领域进行了分类所形成的:安全交付(Securely Provision):概念化、设计、采购和(或)构建安全的信息技术系统,包括系统和(或)网络开发的各个方面。个人感觉主要是 SDLC 相关的工作。
- 运营与维护(Operate and Maintain):提供必要的支持、管理和维护,以确保有效和高效的信息技术系统性能和安全性。个人感觉主要是日常基础设施维护相关的工作。
- 监管与治理(Oversee and Govern) :提供领导、管理、指导(或开发和宣传),以便组织能够有效地开展网络安全工作。个人感觉主要是合规与规划相关的工作。
- 保护与防御(Protect and Defend):识别、分析和减轻对内部信息技术系统和(或)网络的威胁。个人感觉主要是入侵检测、防护,漏洞管理等相关的工作。
- 分析(Analyze):对输入的网络安全信息进行高度专业化的审查和评估,以确定其对情报的有用性。个人感觉主要是威胁情报和渗透测试相关的工作。
- 搜集与行动(Collect and Operate):提供可用于开发情报的网络安全信息的收集,提供专门的拒止和欺骗行动。个人感觉主要是红队与反制相关的工作。
- 调查(Investigate):调查与信息技术系统、网络和数字证据有关的网络安全事件或犯罪。个人感觉主要是司法取证相关的工作。
四、《NICE 网络安全人才队伍框架》相关工具
组织可以使用 NICE 框架来定义组织、岗位、任职要求等一系列与网络空间安全人员管理和人员的选用育留相关政策。除此之外,NIST 等组织还提供了一系列的工具:
- NICE 框架的电子表格:包含了 NIST SP 800-181 中所有的概念的定义。
- 美国国土安全部网络安全劳动力开发工具包:帮助组织了解自身的网络空间安全工作人员和员工需求,可帮助组织进行网络空间安全人才盘点,可帮助组织评估其网络安全人力规划能力的成熟度。
- Baldrige 网络空间卓越构建工具:组织绩效自评工具。
PushbuttonPD 职位描述起草工具:协助用户按照 NICE 框架起草职位描述
五、其他
在企业环境中,无论是业务、攻击者(对手)、计算环境、监管中的哪一个发生变化,安全都需要随之而变。个人认为正因为这种快速变化,导致安全行业各个层面都缺乏共同语言,甚至对行业发展产生了一些不良的影响。这是一个全球范围的现象,美国的 NIST、MITRE 等组织正在尝试通过 《关键基础设施网络安全框架》、ATT&CK、《NICE 网络安全人才队伍框架》等一系列的工作从不同层面来解决这个问题。特别是 NIST 新开发的重量级框架中都尤其重视制定的标准/指南/框架中经常看到专门的章节来描述如何与其他标准/指南/框架关联在一起使用。
资料Executive Order 13800
- NICE Cybersecurity Workforce Framework
- DoD Cyber Workforce
- National Initiative for Cybersecurity Education (NICE) Cybersecurity Workforce Framework (NIST.SP.800-181)
- 正式发布 v2.0 中文翻译
- 草案 v1.8 中文翻译
- National Initiative for Cybersecurity Education (NICE) Framework Work Role Capability Indicators: Indicators for Performing Work Roles
- NICE Cybersecurity Workforce Framework 101
- Cyber Security Work Roles
- NICCS workforce development
相关文献
- 美公布《网络安全人才框架》 快来看你在美国能做什么工作
- 指南 | 国家网络安全教育计划(NICE)网络安全劳动力框架
- 美国网络空间安全教育战略计划
- 美国 NICE 网络空间安全人才队伍框架探析
- 国土安全部迫切需要采取行动明确网络安全人才地位和关键技能要求
- NICE 的网络安全人才框架之二 安全提供(SP)
- NICE 的网络安全人才框架之三 操作和维护(OM)
- NICE 的网络安全人才框架之四 监督和治理(OV)
- NICE 的网络安全人才框架之五 保护和防御(PR)
- NICE 的网络安全人才框架之六 分析(AN)