2020年版NICE框架新變革！模組化與便於彈性使用是重點

在2017年，美國NIST將國家網路安全人才框架NICE的第三版，發布為NIST SP 800-181標準文件，定義出52個工作角色，以及1007種任務、630種知識、374種技能，以及176種能力，然而，在發展出這樣具規模的基礎之後，如何能讓此NICE框架變得更普遍適用，受到廣大的探討。

到了2020年11月，NIST發布SP 800-181的 r1版本，與過去有很大的不同，我們可以看到框架內容已有大幅簡化。發展此框架的團隊表示，是基於之前版本的缺點與用戶回饋，做出修正與優化，希望以敏捷、靈活、具實用性、模組化的特性出發，以快速連接資安生態系，因此重構了NICE Framework。

簡單來說，SP 800-181 r1是針對網路安全人才架構的修訂版，而這次修訂的重點在於，簡化框架的組織架構與術語，使框架變得更加靈活且易於使用，以便開發與管理網路安全風險的人才。

新版NICE框架的五大重點

新版NICE框架有哪些重要的變化？我們從2020年修訂版的改變，歸納出五大重點。

■ 第一，簡化並優化架構

在SP 800-181 r1中，NICE框架將原本類別與專業領域的設計，轉換成以「任務」、「知識」與「技能」為核心，並增加靈活、互通與模組化的特性。

也就是說，NICE此版取消2017年版在類別與專業領域上的設計，取而代之的是，將任務、知識、技能轉化為關鍵基礎模組，NIST稱之為Building Blocks，以提供更模組化的方法。而且，修訂版為了增加可使用性，還提供了與其他框架與標準的比較與對照。

不過，NICE框架開發團隊也表示，如果組織認為之前的框架結構很有用，仍然可以繼續使用，或是依據新版的NICE Framework概念做整合。

■ 第二，重構任務、知識與技能關係

另一變動在於，修改之前框架中對於任務、知識、技能與能力之間的關聯。

例如，關於「技能（Skill）」、「能力（Ability）」這兩項，從原本聚焦於技能與能力的展現，簡化成只保留「技能」一項，並且改變為聚焦在學習者行動上的展現；同時，新版框架還將重點放在提供一個簡化的關聯方法，讓使用者可將任務、知識與技能，應用於建立與之相關的工作角色。

此舉看來也更貼近NICE框架最初的目的，就是希望更妥善地幫助機構，快速建立能管理網路安全風險的團隊。

r1修訂版為了簡化NICE框架的維護，刪除2017年框架附錄A與B提供的任務、知識、技能、工作角色的列表，NIST表示，之後將發布新的獨立文件。現階段，之前版本的列表同樣仍可利用，用戶可在NICE框架資源中心找到這些資訊。

■第三，模組化設計，可用現有TKS亦可自行建立

重構後的新版NICE框架，NIST強調，主要是基於一個建築積木（Building Blocks）的概念而成，而這個建築積木的概念，可視為基礎要素，涵蓋面向包括：使用「任務」描述所要完成的工作，以「知識」與「技能」描述執行該工作所需的要求。

因此，具體而言，NICE框架主要由三個基礎要素組成，分別是：

●任務陳述語句（Task Statements）

●知識陳述語句（Knowledge Statements）

●技能陳述語句（Skill Statements）

上述這三個基礎元素合稱為TKS，新版NICE框架的核心，就是基於TKS來提供一種結構 ，讓組織與個人都能清楚理解框架的範圍與內容。

我們在釐清其關聯時，必須強調的是，這不是強制性的結構，而是可以透過這些基礎元素的結合，轉化成指導方針，並用於增強理解。

換句話說，NIST強調的重點在於，NICE是個框架，這意味著它不會給你答案，組織與個人將可根據自身需求，靈活應用這些基礎元素，增強對網路安全領域的理解與應用能力，像是建構自己的職位描述，以及設計培訓與人才發展計畫。

因此，對於企業或組織而言，可以使用既有的任務、知識與技能（TKS）陳述語句，也可以建立新的TKS陳述語句。但NIST提醒，修改既有TKS內容時必需謹慎，因為這可能導致使用外部資源時，出現後續無法對焦的狀況。

至於TKS可被應用的培訓情境有哪些？例如，可決定晉升資格的員工技能追蹤計畫，或是完成課程所需的知識，又或是完成組織的每週任務清單等。

如何建立TKS的陳述語句？新版文件透過例子來說明。以任務陳述語句而言，主要是描述所要完成的工作，可定義為實現組織目標的活動，包括業務目標、技術目標，或是使命願景的目標。

舉例來說，關於「排除系統硬體與軟體故障」這樣的任務陳述語句，就是呈現出正要執行的活動，另外，陳述語句可以不用說明具體目標，例如，進行互動式培訓演練這樣的任務，因為目標可能因為任務驅動與組織需求而異。

而從學習角度來看，須有效地解決任何軟體或硬體的問題，學習者必須熟悉並理解相關的知識目標，也就是說，必須學習並獲得這些知識與技能，才能夠完成任務。

■ 第四、提供結合彈性，以稱職度來整合定義

基本上，NICE框架提供共同的基礎，讓眾多機構組織可以借鑒，但有些機構可能需根據其獨特情況調整模型。

為了讓TKS可以更好被活用，新版NICE框架有一特點，就是重新加入了稱職度（Competency）的概念，並成為TKS之外的另一基礎要素。

具體而言，「稱職度」是透過相關的任務、知識與技能陳述語句，幫助組織評估學習者是否達到所需能力的好方法。

而這個稱職度使用方式上，應由雇主驅動導向的方式來定義，並提供組織在獨特情境的洞察力。

在用法上，稱職度的概念如何提供彈性？基本上，企業組織在使用時，可將不同的任務、知識與技能陳述語句組合在一起，形成廣泛的能力類別，以滿足不斷變化的需求。

總體而言，建立稱職度的潛在用途，包括：描述指定職位中的任務類型、追蹤工作人員能力、描述團隊要求，以及展示學習者能力等。

以適用場景來看，這樣的發展過程，可幫助企業雇主與培訓機構。例如，企業雇主可將其用於招聘與考核，像是使用稱職度定義職位描述；培訓提供者或學術顧問可評估學習者的技能與知識，像是使用稱職度來證明學習者已獲得符合其能力的知識與技能，或是使用稱職度來定義證照（證照或學位）。

■ 第五、重新定位工作角色，不等同於職業的工作角色

新版NICE框架的最後一塊拼圖，就是工作角色（Work Roles）。

在之前的版本中，工作角色主要是與知識、技能、能力相關聯，而在新版框架中，則是鼓勵透過任務（Task）來描述工作角色，因此關聯性上有所改變。

之所以倡議使用具體的任務來描述工作，NICE團隊解釋，主要原因在於，這樣的方法更具靈活性，可以讓學習者更容易理解與學習。

基本上，現在的工作角色，是由一些具體的任務組成，這些任務需要完成實際的工作。換言之，NICE框架更加關注工作角色所需要的實際任務，而不是僅僅抽象地描述知識、技能與能力。

具體而言，工作角色不同於職位職稱，雖然一些工作角色可能與工作職稱重疊，但這主要是取決於組織指定職稱的方式；同時要知道的，工作角色也不等同於職業，兩者是不同的概念。例如，一個工作角色可以對應到許多不同的職稱，相反地，一個職稱可能也需要擁有多個工作角色的技能才能擔任。

以「任務」、「知識」與「技能」為核心的模組建構方法　美國NIST在2020年11月發布的SP 800-181 r1，也是第四版的NICE網路安全人才框架（NICE Framework），將原有內容簡化，以模組化、易於使用為出發，使用「任務」描述所要完成的工作，以「知識」與「技能」描述執行該工作時學習者所需的要求，並聚焦於學習者行動上的展現，而這三項基礎要素合稱為TKS。圖片來源／NIST

靈活應用NICE框架，可自行建立任務、知識、技能的項目　NICE框架的基礎構成要素，是任務、知識與技能（TKS）的陳述語句，NICE團隊指出，組織與個人依據自身需求，使用既有的TKS內容，或是自行新增。因此，他們也給出建立這些描述的基本原則。

透過評估稱職度的組織方式，讓TKS的運用變得更靈活　為了讓NICE框架更易於使用，除了具有以任務、知識、技能組成TKS的基礎要素，NICE團隊還提出稱職度（Competency）的概念，用以幫助組織評估學習者是否達到所需能力，此一概念顯然為框架本身帶來了更多應用彈性。例如圖左的組織架構，就是說明可透過稱職度來定義職位描述，圖右則是說明以稱職度來定義證照（證照或學位）。圖片來源／NIST

以模組化重新出發，並能利用團隊概念解決複雜挑戰

總而言之，在這樣的NICE框架形式之下，能更好展現模組化概念，這意味著：無論職稱是什麼，身處職場的學習者，都需在不同角色執行許多任務。

也就是說，對於學習者而言，應了解自己所負責的工作角色和其中的任務，可以更容易理解和培養自己所需要的知識與技能。

另外，NICE框架也不會去定義類似基本、中階、高階這樣的熟練程度，如果有需要，這些屬性會透過其他模型或資源來展現。

最後，還有個團隊（Team）的概念也相當值得一提。畢竟，許多組織常運用集體力量，將具有互補技能與經驗的個人進行編制，以團隊來解決複雜挑戰。因此，在使用方法上，團隊可以使用工作角色或稱職度來定義。

特別的是，在此文件中也用一個簡單的例子，來說明規畫資安團隊的運用。其設想情境是要建立一個網路安全小組，並依據NIST CSF五大核心功能畫分，以制定團隊中的5個工作角色。

此時，可參考2017版框架分類出的52個工作角色，做為範本，從中選取3個角色，分別是安全控制評估專家、網路防禦分析師、網路防禦事件應變人員，以對應保護、偵測、回應。

另外，則是自行新建立兩個工作角色，取名為風險管理師、溝通協調專家，對應識別與復原的部分。而從這樣的例子來看，也顯現NICE框架是可以自行活用的。

另外，我們看到NIST也提供一些使用案例，例如，位於美國馬里蘭州的摩根州立大學，將NICE框架用於課程開發，使學生可以做好KSA的準備，進而縮短從學習到工作的過渡；位於澳洲坎培拉的新南威爾斯大學，將之用於培訓與教育課程，希望透過NICE框架，準確匹配學生期望與學校交付的內容。

摩根大通公司將之用於企業人力發展和流動，希望讓人員更清楚地瞭解自己在現有工作中，以及未來職業發展中的優勢和發展機會，同時企業可根據員工的評估結果來提供相關的培訓建議。Lynx Technology Partners公司也是很好的案例，他們幫助客戶了解並降低可能面臨的風險，而這也包括能力差距相關的潛在危險，因此，適合能力評估與職業路徑的NICE框架，被他們用於開發全面的能力計畫。

工作角色轉變為以具體任務組成，隸屬框架最上層　工作角色在新版NICE框架重新被定位，不再是以知識、技能、能力來定位工作角色，而是以任務來描繪工作角色。同時，要釐清的是，這裡所定義的工作角色，不等同於工作職稱（儘管一些工作角色仍會有重疊情況），這也顯現NICE框架更加關注工作角色所需要的實際任務。圖片來源／NIST

針對NICE框架的「稱職度」，未來將提供更多補充資源

關於前述提到的稱職度，除了在NIST SP 800-181 r1有基本的描述，另外我們注意到，NICE組織還有額外的計畫，他們在2021年開始制定NISTIR 8355的草案，其內容就是聚焦NICE框架稱職度（NICE Framework Competencies）。

基本上，這個NICE框架稱職度的內容，就是希望進一步提供更多的參考資源與報告，以利於評估學習者的網路安全工作，將TKS這些基礎要素群組化，形成更高層次的能力陳述語句，此外，同時發布的還有一份建議稱職度領域的初步清單。現階段，NISTIR 8355還在發展中，以2023年4月而言，我們已經看到發布第二版草稿。圖片來源／NIST
 

本文出自《CYBER TALENT 臺灣資安人才專刊》