Linux Foundation 與 OpenSSF 發布 Cybersecurity Skills Framework,將資安能力映射到 14 類 IT 職務、三個熟練等級與國際標準,協助企業盤點技能缺口並強化培訓。
Linux Foundation 與 OpenSSF 於 5 月 14 日發布 Cybersecurity Skills Framework,目的在於協助企業面對資安人才不足、以及 IT 職務資安能力標準不一致的問題。[2][3] 這套框架被定位為可調整的全球參考指南,讓管理者能把網路安全能力對應到不同 IT 職務,進一步盤點組織內部的技能缺口。[2][5]
相較於傳統將資安責任集中在專職 security team 的做法,這次發布的框架明確把安全能力延伸到更廣泛的技術角色,包含 web and software developers、DevOps engineers、network engineers、database engineers、platform architects、IT project managers 與 GRC managers 等。[2][3] 這代表安全治理不再只是單一部門的任務,而是被重新定義為跨職能能力模型。[2][5]
Linux Foundation 指出,企業面對的 cyber threats 規模與複雜度持續升高,但人才準備度仍有落差。[2][3] 官方同步提到,框架採用 free web interface,企業可選擇 job families、移動 skills category、刪除不適用項目,並加入自定需求,讓導入方式更貼近實務。[2][3][5]
從結構設計來看,Cybersecurity Skills Framework 的核心不是單純列出職缺,而是以 job role 為單位定義安全責任,再把能力拆解為 foundational、intermediate、advanced 三個熟練層級。[2][3][5] 這種分層方式的價值,在於企業可以依角色成熟度安排訓練,而不是把所有人都套用同一套資安課程。[2][5]
此框架還將技能對應到 DoD 8140、CISA NICE Framework 與 ICT e-CF 等既有標準,顯示它不是試圖取代現有模型,而是把多個標準整合成更便於企業使用的操作層工具。[2][3][5] 對管理者而言,這類 mapping 的意義在於能把抽象的 security competency 轉換成可評估、可訓練、可追蹤的工作項目。[2][5]
根據發布內容,框架特別強調 secure design、compliance、vulnerability management 與 incident response 等面向。[2][3] 這些能力之所以重要,是因為現代資安風險往往在開發、部署、維運與治理流程中被逐步累積,而非只發生在攻擊事件當下。[2][5] 因此,將安全要求前置到 SDLC、架構設計與日常維運,才是縮小風險面的關鍵。[2][3]
Linux Foundation 也提供了組織層面的量化背景:其《2024年科技人才現況報告》顯示,64% 的組織表示應徵者缺乏必要技能,新進技術人員從招募到完成培訓平均需要 10.2 個月。[8] 另外一項研究指出,在開源專案負責人中,有 74% 建立正式資安通報機制,但仍有 62% 缺乏專門負責安全事件應變的人員。[8] 這些數據說明,企業的瓶頸不只在招不到人,更在於缺少可立即落地的能力盤點框架。[8]
值得注意的是,該框架由 OpenSSF 與 Linux Foundation Education 共同製作,並宣稱由 practitioners 而非 vendors 推動。[3][5] 這通常意味著其設計偏向實作導向:重視組織如何快速辨識 gap、排序 training priority,並把技能要求嵌入各 IT 職務,而不是停留在概念型政策文件。[2][5]
這套框架的直接受眾是 enterprise leaders 與 HR、IT、資安主管,因為它提供了跨職務的共同語言,能協助組織建立更精準的 role-based competency map。[2][3] 對大型企業而言,這有助於將開發、維運、架構與治理部門的安全責任切分清楚,降低權責模糊造成的漏洞。[2][5]
對 application development、DevOps、network operations、database administration 與 GRC 管理等團隊來說,影響則更具體:原本被視為「資安團隊才需要懂」的技能,可能變成每個相關職位的基本要求。[2][3] 這會改變招募條件、onboarding 流程、內訓教材與績效評估方式。[2][5]
從產業面看,Linux Foundation 與 OpenSSF 將此框架定位為可廣泛適用於 open source、proprietary 或混合環境的工具。[5] 這表示它不只適合軟體供應鏈安全,也適合一般企業 IT 組織做內部能力治理;對於正在推動 Zero Trust、DevSecOps 或 supply chain security 的組織,這套框架可作為人才面與流程面的橋接層。[2][5]
從治理角度來看,若企業能把安全責任具體落到每個 IT role,將有助於提升漏洞管理、法遵落實與 incident response 的一致性。[2][3] 反過來說,若不建立這種 mapping,組織很容易出現「系統出了問題才找資安」的被動模式,導致事件處理延遲與責任分散。[2][5]
企業導入此框架時,應先將其視為 能力盤點工具,而不是單純的人資文件。[2][5] 實務上可先以核心 IT 職務為範圍,對照現有職責、技能與訓練紀錄,再找出與框架要求之間的差距,建立分階段補強計畫。[2][3]
第二步應聚焦於高風險職務,例如開發、DevOps、網路與平台架構角色,因為這些工作直接影響 secure design、patching、access control 與 incident response 的落實程度。[2][3] 若企業能優先補強這些崗位,通常可更快降低攻擊面與操作錯誤風險。[2][5]
第三步是把 framework 的三層熟練度轉成可執行的 training path,讓員工知道自己目前位階需要補足哪些技能、下一階段應達到何種程度。[2][3][5] 這比一次性大規模訓練更有效,因為它能把學習目標與工作責任直接對接。[2][5]
第四步應將法遵與事件回應納入同一套能力模型中,避免安全責任只停留在技術控制,而忽略流程與治理。[2][3] 對 GRC、IT project management 與 architecture 角色而言,理解控制措施如何被設計、審查與追蹤,往往比單純熟悉工具更重要。[2][3]
第五步則是建立定期 review 機制。Linux Foundation 與 OpenSSF 已表明將每年更新框架並接受社群回饋,企業也應同步檢視職務變化與新技術導入後的技能缺口,避免 competency model 迅速過時。[2][5]
5步驟修補清單