名詞解釋

美國NIST CSF:美國國家標準與技術研究所（NIST）提出的 網路安全框架 Cybersecurity Framework（CSF）
歐盟ENISA CSF:歐洲網路資訊安全局（ENISA）提出的 網路安全技能框架 Cybersecurity Skills Framework （CSF）

今天的小故事：其實 NIST CSF 與 ENISA CSF是不一樣的東西，前者是 安全框架 ，後者是 技能框架 (說資安人才權責(R&R)框架，不如更貼切) 。

NIST CSF的核心為 5大功能下具有 23個類別 與 108個子類別

根據 iThome 2019年的文章與新聞露出，從那時候起算是比多人在探討NIST CSF，3年後的今天(2022)台灣的資安人應該都至少聽過NIST CSF 或 NIST 這個組織，下圖引用iThome的文章【提升企業網路安全新利器】NIST網路安全框架崛起，成為企業資安共通標準圖片，而其實使用起來就像是 「資安工作檢核表」

秉持不要重複造輪子的精神，此篇文章【快速認識NIST網路安全框架】從五大構面評估企業資安防禦現況與目標 已將NIST CSF整體說明得很清楚，有興趣的讀者可以點連結過去細讀。

今天想講 2022/9/19 剛出爐的 ENISA CSF，是歐盟出爐的資安技能框架，幫助雇主與學習者取得一致認知的職位與職能(技能)

從 歐盟ENISA CSF 可以看到，目前分為兩本文件：

• 角色簡介：列出了 12個典型的網絡安全專業角色 對應的頭銜、任務、技能、知識及能力需求，另已定義可觀察的工作成果產出內容。
• 用戶手冊：全面概述 ECSF 的主要範圍、框架原則和應用機會，還提供3個指導性使用情境(1.加強小公司的網絡安全實踐；2.合規要求不斷提高的大型公司的招聘流程；3.在大型組織中規劃網路安全資源)

結論說在前頭：兩份文件易讀性相當高，以經營公司需要人才為最優先的思維，該框架方便人資／老闆／非資安領域的人知道如何找資安人才或是成為資安人才。

針對角色的說明如下範例：
針對每個角色會用如下圖的說明表格(用戶手冊p9)。

而實際以 CISO 資安官(資安長)，相關職責、能力、技能、交付成果，如下圖(角色簡介p5~p6)

根據用戶手冊p22頁，提供依據PDCA循環改善機制中，各角色的作用：

最後，你說NIST 有沒有相關的人才框架，當然有，就是 NIST NICE Framework，那你說筆者為何要說 ENISA CSF ，因為比NICE 框架易讀性高很多，也方便人資／老闆／非資安領域的人知道如何找資安人才或是成為資安人才。

參考資料：
NIST網路安全框架當紅 | iThome
【提升企業網路安全新利器】NIST網路安全框架崛起，成為企業資安共通標準
【快速認識NIST網路安全框架】從五大構面評估企業資安防禦現況與目標