Linux基金會與OpenSSF發布網路安全技能框架，協助企業盤點IT職務資安能力

近年美國國家標準暨技術研究院（NIST）推動的NICE網路安全人才框架，以及歐盟網路安全局（ENISA）發布的歐洲網路安全技能框架（ECSF），都試圖以共同語言定義資安職務角色、任務與能力需求。臺灣金融監督管理委員會與教育部也分別針對金融領域與新興資安產業，發展出個別領域的資安人才職能地圖。Linux基金會與OpenSSF最新推出的Cybersecurity Skills Framework，則延續上述框架的應用方向，協助企業把網路安全能力落實到不同IT職務，而不僅限於專職資安人員。

這套框架由OpenSSF與Linux基金會教育部門（Linux Foundation Education）共同製作，涵蓋應用程式開發人員、網站開發人員、DevOps工程師、網路工程師、資料庫工程師、平臺架構師、IT專案經理，以及治理、風險與法遵（GRC）經理等角色。基本上，此框架的設計重點，是將網路安全能力從資安團隊擴展到更廣泛的技術團隊，使開發、維運、架構設計與管理角色都能對應所需的安全能力。

Linux基金會指出，企業面對的網路安全威脅規模與複雜度持續升高，但人才準備度仍有落差。根據Linux基金會《2024年科技人才現況報告》，64%的組織表示應徵者缺乏必要技能，新進技術人員從招募到完成培訓，平均需要10.2個月。Linux基金會另一項研究也顯示，在眾多開源專案負責人當中，有74%的人員維持正式的網路安全報告機制，但仍有62%缺乏專門負責安全事件應變的人員。

從設計方式來看，Cybersecurity Skills Framework將實務網路安全能力分為基礎、中階與進階熟練度，並對應到美國國防部8140網路人力管理指令（DoD 8140）、美國網路安全暨基礎設施安全局的NICE框架（CISA NICE Framework），以及歐洲電子能力框架（ICT e-CF）等標準。企業可透過免費網頁介面選擇職務族群、調整技能分類、刪除不適用項目，或加入自定技能需求。

Linux基金會與OpenSSF表示，未來將每年更新這套框架，並接受社群回饋。 對企業而言，這類框架的意義不只是建立職務清單，而是讓不同IT角色能更清楚理解自身在安全設計、法遵、漏洞管理與事件回應等面向的責任，讓安全責任更明確地落實到不同技術職務。