在2017年,美國NIST將國家網路安全人才框架NICE的第三版,發布為NIST SP 800-181標準文件,定義出52個工作角色,以及1007種任務、630種知識、374種技能,以及176種能力,然而,在發展出這樣具規模的基礎之後,如何能讓此NICE框架變得更普遍適用,受到廣大的探討。
到了2020年11月,NIST發布SP 800-181的 r1版本,與過去有很大的不同,我們可以看到框架內容已有大幅簡化。發展此框架的團隊表示,是基於之前版本的缺點與用戶回饋,做出修正與優化,希望以敏捷、靈活、具實用性、模組化的特性出發,以快速連接資安生態系,因此重構了NICE Framework。
簡單來說,SP 800-181 r1是針對網路安全人才架構的修訂版,而這次修訂的重點在於,簡化框架的組織架構與術語,使框架變得更加靈活且易於使用,以便開發與管理網路安全風險的人才。
新版NICE框架的五大重點
新版NICE框架有哪些重要的變化?我們從2020年修訂版的改變,歸納出五大重點。
■ 第一,簡化並優化架構
在SP 800-181 r1中,NICE框架將原本類別與專業領域的設計,轉換成以「任務」、「知識」與「技能」為核心,並增加靈活、互通與模組化的特性。
也就是說,NICE此版取消2017年版在類別與專業領域上的設計,取而代之的是,將任務、知識、技能轉化為關鍵基礎模組,NIST稱之為Building Blocks,以提供更模組化的方法。而且,修訂版為了增加可使用性,還提供了與其他框架與標準的比較與對照。
不過,NICE框架開發團隊也表示,如果組織認為之前的框架結構很有用,仍然可以繼續使用,或是依據新版的NICE Framework概念做整合。
■ 第二,重構任務、知識與技能關係
另一變動在於,修改之前框架中對於任務、知識、技能與能力之間的關聯。
例如,關於「技能(Skill)」、「能力(Ability)」這兩項,從原本聚焦於技能與能力的展現,簡化成只保留「技能」一項,並且改變為聚焦在學習者行動上的展現;同時,新版框架還將重點放在提供一個簡化的關聯方法,讓使用者可將任務、知識與技能,應用於建立與之相關的工作角色。
此舉看來也更貼近NICE框架最初的目的,就是希望更妥善地幫助機構,快速建立能管理網路安全風險的團隊。
r1修訂版為了簡化NICE框架的維護,刪除2017年框架附錄A與B提供的任務、知識、技能、工作角色的列表,NIST表示,之後將發布新的獨立文件。現階段,之前版本的列表同樣仍可利用,用戶可在NICE框架資源中心找到這些資訊。
■第三,模組化設計,可用現有TKS亦可自行建立
重構後的新版NICE框架,NIST強調,主要是基於一個建築積木(Building Blocks)的概念而成,而這個建築積木的概念,可視為基礎要素,涵蓋面向包括:使用「任務」描述所要完成的工作,以「知識」與「技能」描述執行該工作所需的要求。
因此,具體而言,NICE框架主要由三個基礎要素組成,分別是:
●任務陳述語句(Task Statements)
●知識陳述語句(Knowledge Statements)
●技能陳述語句(Skill Statements)
上述這三個基礎元素合稱為TKS,新版NICE框架的核心,就是基於TKS來提供一種結構 ,讓組織與個人都能清楚理解框架的範圍與內容。
我們在釐清其關聯時,必須強調的是,這不是強制性的結構,而是可以透過這些基礎元素的結合,轉化成指導方針,並用於增強理解。
換句話說,NIST強調的重點在於,NICE是個框架,這意味著它不會給你答案,組織與個人將可根據自身需求,靈活應用這些基礎元素,增強對網路安全領域的理解與應用能力,像是建構自己的職位描述,以及設計培訓與人才發展計畫。
因此,對於企業或組織而言,可以使用既有的任務、知識與技能(TKS)陳述語句,也可以建立新的TKS陳述語句。但NIST提醒,修改既有TKS內容時必需謹慎,因為這可能導致使用外部資源時,出現後續無法對焦的狀況。
至於TKS可被應用的培訓情境有哪些?例如,可決定晉升資格的員工技能追蹤計畫,或是完成課程所需的知識,又或是完成組織的每週任務清單等。
如何建立TKS的陳述語句?新版文件透過例子來說明。以任務陳述語句而言,主要是描述所要完成的工作,可定義為實現組織目標的活動,包括業務目標、技術目標,或是使命願景的目標。
舉例來說,關於「排除系統硬體與軟體故障」這樣的任務陳述語句,就是呈現出正要執行的活動,另外,陳述語句可以不用說明具體目標,例如,進行互動式培訓演練這樣的任務,因為目標可能因為任務驅動與組織需求而異。
而從學習角度來看,須有效地解決任何軟體或硬體的問題,學習者必須熟悉並理解相關的知識目標,也就是說,必須學習並獲得這些知識與技能,才能夠完成任務。
■ 第四、提供結合彈性,以稱職度來整合定義
基本上,NICE框架提供共同的基礎,讓眾多機構組織可以借鑒,但有些機構可能需根據其獨特情況調整模型。
為了讓TKS可以更好被活用,新版NICE框架有一特點,就是重新加入了稱職度(Competency)的概念,並成為TKS之外的另一基礎要素。
具體而言,「稱職度」是透過相關的任務、知識與技能陳述語句,幫助組織評估學習者是否達到所需能力的好方法。
而這個稱職度使用方式上,應由雇主驅動導向的方式來定義,並提供組織在獨特情境的洞察力。
在用法上,稱職度的概念如何提供彈性?基本上,企業組織在使用時,可將不同的任務、知識與技能陳述語句組合在一起,形成廣泛的能力類別,以滿足不斷變化的需求。
總體而言,建立稱職度的潛在用途,包括:描述指定職位中的任務類型、追蹤工作人員能力、描述團隊要求,以及展示學習者能力等。
以適用場景來看,這樣的發展過程,可幫助企業雇主與培訓機構。例如,企業雇主可將其用於招聘與考核,像是使用稱職度定義職位描述;培訓提供者或學術顧問可評估學習者的技能與知識,像是使用稱職度來證明學習者已獲得符合其能力的知識與技能,或是使用稱職度來定義證照(證照或學位)。
■ 第五、重新定位工作角色,不等同於職業的工作角色
新版NICE框架的最後一塊拼圖,就是工作角色(Work Roles)。
在之前的版本中,工作角色主要是與知識、技能、能力相關聯,而在新版框架中,則是鼓勵透過任務(Task)來描述工作角色,因此關聯性上有所改變。
之所以倡議使用具體的任務來描述工作,NICE團隊解釋,主要原因在於,這樣的方法更具靈活性,可以讓學習者更容易理解與學習。
基本上,現在的工作角色,是由一些具體的任務組成,這些任務需要完成實際的工作。換言之,NICE框架更加關注工作角色所需要的實際任務,而不是僅僅抽象地描述知識、技能與能力。
具體而言,工作角色不同於職位職稱,雖然一些工作角色可能與工作職稱重疊,但這主要是取決於組織指定職稱的方式;同時要知道的,工作角色也不等同於職業,兩者是不同的概念。例如,一個工作角色可以對應到許多不同的職稱,相反地,一個職稱可能也需要擁有多個工作角色的技能才能擔任。
以「任務」、「知識」與「技能」為核心的模組建構方法 美國NIST在2020年11月發布的SP 800-181 r1,也是第四版的NICE網路安全人才框架(NICE Framework),將原有內容簡化,以模組化、易於使用為出發,使用「任務」描述所要完成的工作,以「知識」與「技能」描述執行該工作時學習者所需的要求,並聚焦於學習者行動上的展現,而這三項基礎要素合稱為TKS。圖片來源/NIST
靈活應用NICE框架,可自行建立任務、知識、技能的項目 NICE框架的基礎構成要素,是任務、知識與技能(TKS)的陳述語句,NICE團隊指出,組織與個人依據自身需求,使用既有的TKS內容,或是自行新增。因此,他們也給出建立這些描述的基本原則。
透過評估稱職度的組織方式,讓TKS的運用變得更靈活 為了讓NICE框架更易於使用,除了具有以任務、知識、技能組成TKS的基礎要素,NICE團隊還提出稱職度(Competency)的概念,用以幫助組織評估學習者是否達到所需能力,此一概念顯然為框架本身帶來了更多應用彈性。例如圖左的組織架構,就是說明可透過稱職度來定義職位描述,圖右則是說明以稱職度來定義證照(證照或學位)。圖片來源/NIST
以模組化重新出發,並能利用團隊概念解決複雜挑戰
總而言之,在這樣的NICE框架形式之下,能更好展現模組化概念,這意味著:無論職稱是什麼,身處職場的學習者,都需在不同角色執行許多任務。
也就是說,對於學習者而言,應了解自己所負責的工作角色和其中的任務,可以更容易理解和培養自己所需要的知識與技能。
另外,NICE框架也不會去定義類似基本、中階、高階這樣的熟練程度,如果有需要,這些屬性會透過其他模型或資源來展現。
最後,還有個團隊(Team)的概念也相當值得一提。畢竟,許多組織常運用集體力量,將具有互補技能與經驗的個人進行編制,以團隊來解決複雜挑戰。因此,在使用方法上,團隊可以使用工作角色或稱職度來定義。
特別的是,在此文件中也用一個簡單的例子,來說明規畫資安團隊的運用。其設想情境是要建立一個網路安全小組,並依據NIST CSF五大核心功能畫分,以制定團隊中的5個工作角色。
此時,可參考2017版框架分類出的52個工作角色,做為範本,從中選取3個角色,分別是安全控制評估專家、網路防禦分析師、網路防禦事件應變人員,以對應保護、偵測、回應。
另外,則是自行新建立兩個工作角色,取名為風險管理師、溝通協調專家,對應識別與復原的部分。而從這樣的例子來看,也顯現NICE框架是可以自行活用的。
另外,我們看到NIST也提供一些使用案例,例如,位於美國馬里蘭州的摩根州立大學,將NICE框架用於課程開發,使學生可以做好KSA的準備,進而縮短從學習到工作的過渡;位於澳洲坎培拉的新南威爾斯大學,將之用於培訓與教育課程,希望透過NICE框架,準確匹配學生期望與學校交付的內容。
摩根大通公司將之用於企業人力發展和流動,希望讓人員更清楚地瞭解自己在現有工作中,以及未來職業發展中的優勢和發展機會,同時企業可根據員工的評估結果來提供相關的培訓建議。Lynx Technology Partners公司也是很好的案例,他們幫助客戶了解並降低可能面臨的風險,而這也包括能力差距相關的潛在危險,因此,適合能力評估與職業路徑的NICE框架,被他們用於開發全面的能力計畫。
工作角色轉變為以具體任務組成,隸屬框架最上層 工作角色在新版NICE框架重新被定位,不再是以知識、技能、能力來定位工作角色,而是以任務來描繪工作角色。同時,要釐清的是,這裡所定義的工作角色,不等同於工作職稱(儘管一些工作角色仍會有重疊情況),這也顯現NICE框架更加關注工作角色所需要的實際任務。圖片來源/NIST
針對NICE框架的「稱職度」,未來將提供更多補充資源
關於前述提到的稱職度,除了在NIST SP 800-181 r1有基本的描述,另外我們注意到,NICE組織還有額外的計畫,他們在2021年開始制定NISTIR 8355的草案,其內容就是聚焦NICE框架稱職度(NICE Framework Competencies)。
基本上,這個NICE框架稱職度的內容,就是希望進一步提供更多的參考資源與報告,以利於評估學習者的網路安全工作,將TKS這些基礎要素群組化,形成更高層次的能力陳述語句,此外,同時發布的還有一份建議稱職度領域的初步清單。現階段,NISTIR 8355還在發展中,以2023年4月而言,我們已經看到發布第二版草稿。圖片來源/NIST
本文出自《CYBER TALENT 臺灣資安人才專刊》
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-24
2024-12-23