因應資安人才不足,建立人才職能框架,以利培訓課程與證照檢驗,是全球與臺灣都關注的議題。

由於資安面向廣泛、技能需求多元,過去美國曾發布NICE網路安全人才框架,定義7大類別、33個專業領域,以及52個工作角色,到了2022年10月,歐盟網路安全局(ENISA)亦發布ECSF網路人才技能框架,定義出資安團隊12種角色

在臺灣,為了克服資安人才需求缺口持續擴大的挑戰,2022年初,國家資通安全研究院(資安院)開始積極行動,先從供給與需求面來調查我國資安人才現況,分析資安人才職缺情形;今年初接續打造適合我國的通用資安職能基準,強調以ECSF的12類人才為基礎,建構符合我國需求的資安人才類別雛形。在我們今年3月進行這方面的報導時,也已經提到這麼做的重要性。

最近終於有重要的實質進展,因為在8月24日資安院舉行的研討會,宣布最新的工作成果,當中揭露2023臺灣資安人才培力研究報告的藍皮書,副院長林盈達表示,我國資安人才類別框架的發展,已定義「12+7」種類型,並完成政府與民間的資安課程開設調查,提出未來開課方向的建議,他預告,培訓課程將從資安長的人才類別先啟動,預計最晚今年底就會開設。

到了明年,他們還將公布資安事件工程師的課程,目的也就是要幫助國內培訓更多人力,可擔任安全維運中心(SOC)的第一線人員,甚至第二線的人員。

將我國資安人才類型分為19種,廣泛企業皆可參考

符合我國產業特色的19項資安工作角色有哪些?

資安院人才培力中心主任鄭瑋表示,我們人才類型框架的規畫,主要依據先前技服中心提出資安人才類型層面,以策略類、管理類、技術類為基礎,參考美國、歐洲的作法,並納入國內產業長年存在一人身兼多職的情形,因此不採用從美國NICE框架的52種人才類別來適度減化的作法,而是設法與類別較簡易的歐洲ENISA ECSF框架進行介接,也就是以12種人才類別為主。

不僅如此,他們也考量臺灣的國情與地緣政治因素,需要更多投入保護與防禦的人才,以及希望反映更多資安產業需求的工作角色,因此進一步擴充而增設了7大人才類別。

具體而言,我國這19項資安工作角色,包括:

● 與ECSF框架共通的12種:資安長、資安架構師、資安風險管理師、資安法遵師、資安稽核師、資安教育員、資安研究員、資安產品開發工程師、滲透測試工程師、資安事件工程師、威脅分析工程師,以及資安鑑識工程師。

● 額外新增的7種:資安系統規畫師、資安顧問師、資安專案經理、資安檢測工程師、資安系統維運員、資安監控防禦工程師、漏洞分析工程師。

這份藍皮書中,特別說明這樣的19種資安人才類別產出,並不代表一個組織同時需要那麼多元的工作角色,主要目的是讓組織在拓展資安業務時,能夠提供設立這些工作職務上的建議。

實務上,有可能一人負責多種的工作職務,而且,有些是產業資安專屬職務,有些是資安產業專屬職務。例如,這裡設計的資安顧問師、資安專案經理、資安研究員,以及資安產品開發工程師,就是針對「資安產業」的獨有職務。

還有一個需要注意的不同之處,鄭瑋表示,ECSF將資安開發跟維運工程師歸在同一類,因此資安院將之拆解為資安產品開發工程師,以及資安系統規畫師。

總體而言,這19種人才類別,主要是參考國內外資源,同時顧及我國現況與通用性所制訂,希望重新調整資安人才類別的精細程度,瞭解資安職業職務涵蓋範圍,建立產業人才能力規格的職能基準。

畢竟,過去我國勞動部勞動力發展署定義的職能基準,與資安相關的僅有4種,不僅未對不同職務內容予以細分,而且光是資安工程師一職,幾乎就囊括所有資安相關職務。

如今有了更細膩畫分,等於建構出我國資安人才培訓、用才時的基礎,不只是可用於精準盤點人力資源,釐清人力的流向與缺口,也能便於推動後續的課程規畫。

至於近年國內也有單位投入研究,發展針對政府機關、金融產業,以及新興資安產業的資安職務職能框架,但這些主要是領域專屬,非普遍通用。

國家資通安全研究院副院長林盈達表示,我國資安人才類別框架已有重要進展,提出適合我國產業的19類人才,而對應這些人才的培訓課程也在陸續規畫中,預計優先從資安長的人才類別啟動,最晚今年底就會開課,對於後續培訓面與證照面的發展,也持續邀集各方專家提供規畫上的建議。

國家資通安全研究院人才培力中心主任鄭瑋表示,我國資安人才類別框架已畫分出19類,主要以歐盟ENISA ECSF的12種人才類型為主,並顧及我國現況與通用性額外增加7種。另外,資安院也依據美國NICE框架的7大類別,將不同人才類型歸類,幫助外界瞭解這些人才類型的性質與定位。

未來要擴大培訓課程,需積極推動種子教師培育

完成定義我國資安人才類型後,將接續盤點所需技能與知識,訂定課綱和教材,來幫助國內培育最需要的資安人才。

面對19種資安人才的培訓,推動優先順序成為關注焦點。

現階段,由於近年金管會已要求上市櫃公司設置資安長,這些資安長該具備哪些職能與知識,以及如何與董事會與業務單位溝通,成為當今最受臺灣各界關注的部分。

而從資安院人培中心2022年職缺調查結果來看,儘管臺灣對於維運型人才的需求最迫切,但考量國內市場「一人多工」的實務情形,我們不能只是培育維運人員需具備單一職能,也要擴及保護與防禦、安全交付的資安職能,才能對業界資安防護帶來更大助益。

因此,目前根據資安院的規畫,今年12月底會先啟動資安長的培訓課程,明年再啟動資安事件工程師的培訓課程。

對於我國在職培訓資安課程現況,鄭瑋表示,資安院人培中心在2022年9月進行相關調查,最後以15間開課單位,205堂培訓課程來觀察,以釐清課程與職能的對應關係。

當中有哪些特殊發現?2022年職缺類型數量最多的,是運營與維護類型人才,但這方面的開課數量並非最多,只有37門,安全交付的職缺也不少,這方面的課程開設數量只有3門,相當稀缺。

若依照我國資安人才類別來看,目前開課數量前三名,分別是:資安監控防禦工程師、資安系統維護員(學習資安業務運作與設備控管)、漏洞分析工程師。至於推動企業資安治理的資安長,以及資安事件回應能力的資安事件工程師,居於第四、第五。

再與我國職缺需求等相互對照來考量,未來在開課的規畫上,除了資安長的課程,民間企業與組織的維運課程仍須持續開設,同時也考慮於維運課程加入防禦與安全交付方面的訓練,因為這將有助於第一線人員技術面的強化,對職涯多發展性也有幫助。

整體而言,對於資安院所要推動的未來開課策略,鄭瑋指出下列三大重點。

首先,需發展適合個資安人才類別的培訓。她強調要以一綱多本為發展,由資安院訂定職能課綱,並要與公家與民間訓練機構合作開發教材。

第二,可以建立訓練機構與講師遴選機制。然而,這方面將遇到開課量能的挑戰。早年我國重視「拔尖」,也就是培養頂尖資安人才,如今重視普及的人才,需要培養更多具備實務經驗的資安人才,然而從過去開設培訓中心狀況來看,若每年只能開三個培訓班,頂多培育150人,無法滿足現在資安人才需求急遽擴大,所以,我們需要更彈性且量能可擴大的方式,並透過建立訓練機構跟講師遴選,顧及教學品質。

第三,推動種子教師培育規畫。這樣才有機會持續擴大培訓講師的能力與數量,以滿足各個資安類型領域專長,與不斷增長的培訓需求。

特別的是,根據藍皮書中的調查分析,針對19類人才類型而言,我們可以具體看到國內目前有對應到的開課單位與相關機構,如資安院、工業技術研究院、ACW資安網路學院、台灣金融研訓院、國家高速網路中心、安碁學苑、中華民國資訊軟體協會的CISA數位轉型大學,以及資展國際(iSpan)。

換言之,除了建立訓練的組織機構,以及講師遴選制度,這些機構也都可能是培訓我國19類資安人才的重要支柱,但如何協助擴大講師與課程,需要多方合作。畢竟,有些人才類型需求最急迫,應有更多機構開設對應課程,有些人才類型更是無法對應到現有培訓課程。

資安證照也是不可或缺的一環,目前已有初步進展

最後一個部分是資安人才證照,目前資安院人培中心在這方面的研究分析,尚處於早期階段,僅針對資安署公告的104張資安證照作分類,並試著將19種資安人才類別所需證照,作出歸類,給予工作類別與職能上證照考取的建議。

對於資安證照課程的開課單位,他們亦進行盤點,目前已知的機構,除了開課最多的恆逸教育訓練中心,還有像是全智網科技、中華民國電腦稽核協會、工研院產業學院、CISA數位轉型大學、緯育Tiba Me、領導力企管、巨匠電腦、資展國際、中華資安國際、台灣金融研訓院、國際商貿文化交流基金會等。

還有幾項資安證照方面的議題,也是資安院關注重點。例如,考取國際資安證照的費用相當昂貴,如何用國內證照部分或完全替代國際證照體系,也成為關鍵議題,像是,近幾年來,經濟部推出iPAS資訊安全工程師中級或初級認證;此外,國際證照體系可能有供需缺口,如OSCP提供滲透測試實踐的認證,但這裡主要是培養紅隊技能,是否也能讓這些人員取得藍隊技能的證照,進而厚植人才基礎。

整體而言,隨著我國資安人才類別框架成形,後續有很多發展可仰賴這個基礎來進行。例如建構各個人才類別的知識與技能需求,以及發展培訓課程,還能仿效美國CyberSeek開發資安人才的職涯路徑圖,以及根據地區別設計人才需求熱度計,即時呈現那些資安人才類別需求最高。

【應用資安人才類別於資安防線】對於應用資安人才類別於資安防線,資安院人培中心主任鄭瑋也用三線防禦模型的概念來闡釋,並藉助不同情境來舉例說明。以解決資安問題的流程為例,第一道防線就是聚焦日常SOC維運監控、資安事件應變與通報,這部分的資安工作角色包含:資訊系統維運人員、資安事件工程師、資安監控防禦工程師,第二道防線聚焦事件狀況後續分析,以及釐清事件根因,這部分的的資安工作角色可已有資安鑑識員、資安研究員、資安威脅分析師,第三道防線則是屬於長期的資安規畫與評估,像是資安長與資安風險管理師。

 

 

從必修、通識做起,資安教育才能最快普及

關於基礎資安教育的推展,同樣是各界熱烈關注的議題。8月底召開的臺灣資安人才培力研究報告研討會也討論此事,顯然大家都很重視。

輔仁大學資訊工程系特聘教授許見章提出一些建議,引發很多迴響,他指出,從教育體系檢視學生修課歷程的資安專業科目,可得知學生在大學、研究所,最多只能修5門課、15學分,關鍵是老師開課能量不足,如今政府重視產業如何補足這部份資源很重要。他亦指出,想要大量培養資安人才,透過產業來彌補是其中一種作法,學生在校期間若能把資安專業科目納入必修課,會帶來更多幫助,然而現在這些科目卻是選修,效果有限。

提升全民資安意識,其實也是學校教育可以努力的方向,許見章認為在通識課當中,如果能加入資安意識科目,或納入必修,甚至像軍訓課能折抵役期,將讓更多學生積極認識資安,或對資安專業產生興趣,這也呼應資安即國安。對此國家資通安全研究院副院長林盈達表示,他們不僅要與教育部溝通,也要試著與國防部協商可行性。但如何有效推動更多跨部會的合作,也將是後續一大考驗。

熱門新聞

Advertisement