臺灣積極發展資安職務地圖，促進產官學溝通對焦，新興資安產業版首登場

為培育國內資安人才，政府持續推動相關計畫，在「教育部先進資通安全人才培育計畫」（110年－113年）中，已推動資安暑期課程（AIS3）與資安競賽，以及推動「臺灣好厲駭」等多項計畫，為了更進一步促進人才職涯與培訓，近期還有一項子計畫，是聚焦於「資安產業媒合與校友追蹤服務」，當中正發展一個名為「臺灣資安職務地圖」的項目，目的是協助此領域的求職與求才。

過去在資安領域的職能發展上，從學校到產業存在著落差，這或許是國內資安人才規畫或培訓長期以來欠缺的部分，若能讓雙方能有更好的共識，將有利於投入資安的學子瞭解未來職涯發展，而業界也能與學術界合作一起培養人才。

目前臺灣資安職務地圖才剛剛起步，負責這項子計畫的計畫主持人，是先前擔任輔仁大學理工學院院長，現為該校資訊工程系特聘教授的許見章，他表示，現階段這份資安職務地圖，首先聚焦於軟體與服務的新興資安產業。

之所以進行這項人才規畫，主要是資安領域非常廣泛，不只是資安產業需要人才，各種產業也需要資安人才，再加上有不同性質的資安產業，以及存在各種產業的公司，使得資安人才供需呈現多元的形態。

因此，在教育部資安人才培育計畫的脈絡之下，許見章所帶領的團隊，先聚焦新興資安公司，以此為起點，再逐步納入更多產業及政府等機構的完整人才職能地圖，以及培訓課程藍圖。

建立產官學通用語言，盼加速資安職能的學習

關於臺灣資安職務地圖的建立與必要性，許見章表示，目前存在著許多好機會。

例如，現在許多政府補助業界的計畫，均要求至少編列7%資安經費，以強化資安作為，這也造就了國內許多新興資安公司應運而生，同時也讓很多資安工作職務浮現，促成新的工作機會。

不過，該如何適才適用？在執行「資安產業媒合與校友追蹤服務」子計畫時，他們發現，市場上提出的資安職缺可說是五花八門，有很多不同樣態，例如，有些小型資安公司多未設置人力資源（HR）職務，加上許多公司是根據營運目標，或是業務需求，來列出需要的職缺及工作內容，因此，基本上，許多資安人才職缺，都是基於專案或客戶需求而設立。

然而，這也造就了職務名稱與工作內容相當多元的現象，使得有心從事資安工作的在校生或轉職者，不易了解所要投入的工作內容，最後導致產生學非所用或大材小用的衝突。

儘管勞動部有「標準職業分類」及「通俗職業分類」，但可能無法對應到資安職務。相較之下，我們需要參考的具體標準，可能會是美國NIST提出的SP 800-181，亦即國家網路安全教育計畫（NICE），當中已定義出完整的職務角色、任務、知識、技術及能力描述。臺灣目前雖有許多機構能研讀相關文件，但這需要內化，將其轉換，形成國內資安產業可用的完整資安人才培育地圖。

因此，建立臺灣本地適用的資安職務地圖就很重要。許見章表示，這麼做的好處有三點：第一，定義出共通的語言、工作內容及技術能力，可利於產官學界使用相同語言，彼此溝通能夠更聚焦；第二，對於求才方及求職方而言，在工作內容與技術能力，能有一致共識；第三，學界培養人才時，也能因此更符合實務需求。

綜觀國內資安人才需求現況，單就人力銀行列出的資安相關所有職缺，每個月都有多達1,000個以上，因此，如何定義出共通語言、工作內容，以及技術能力等，是現今資訊及資安等不同產業領域都需要的，才能加速人才媒合。

畫分12大職務、4大基本職能，以及13大專業職能

關於這個資安職務地圖的設計，許見章表示，主要參考的資訊，包括：美國NIST的NICE人才框架，NICE之下的Cyberseek研究專案，以及國內勞動部標準職業分類及通俗職業分類、行政院技服中心資安職能訓練發展藍圖等諸多內容，透過反向推導的方式，亦即由企業求才職缺內容，對照至上述資料而發展出來。

以新興資安產業版的臺灣資安職務地圖而言，目前如何畫分？當中總共有12項職務。

最基礎的層級，是5大初階職務，包含：資安檢測工程師、資安產品工程師、事件反應工程師、資安鑑識工程師、資安稽核工程師。

更上一層是4大中階職務，包含：滲透及漏洞測試工程師、資安分析師、資安顧問師、資安產品開發工程師。

最頂級共有3大高階職務，包含：資安工程師、資安架構師，以及資安專案經理。

同時，每個職務都提供對應的基本職能、專業職能、管理職能、證照、工作態度與起薪。

此外，上述這12大職務中的10項，其實與Cyberseek綜整出的10大職務相當。

簡單來說，現階段許見章及其團隊已歸納出4大基本職能，以及13大專業職能。以基本職能而言，包括：程式開發及偵測，作業系統操作及管理，資通安全概論，以及領域知識；以專業職能而言，分成資安產品布署及管理，資安檢測，資安事件應變處理及分析，資安鑑識與處理，以及弱點掃描、入侵偵測及滲透測試，弱點分析及修補，惡意程式檢測及分析，威脅情資收集、探勘與分析，駭客攻防，通訊網路安全，網路架構安全，風險評估，以及安全系統開發。

而在每項專業職能上，許見章也列出具體能力描述。舉例來說，以資安產品布署及管理而言，內含5項知識能力，包括：資安設備規畫建置、部署與維護，規畫設計資安整體架構，設備優化及調整，整合資安產品，雲端安全方案規畫與部署。

因此，基於這份臺灣資安職務地圖的指引，能讓不同角度的人了解資安人才需求；對於求職者而言，可依其興趣，由職務地圖規畫學涯及生涯學習路徑；對於產業界而言，將可依其需求，由職務職能地圖來檢視對求才職位的適合性；對於學校及資安訓練機構而言，則能夠依照教育目標與核心能力養成，開設對應的職能訓練課程。

關於目前各公司公開招募的資安人才需求，從國內外求職網站可得知熱門類型。若交叉比對臺灣資安職務地圖，會呈現何種面貌？他表示，在國內，資安工程師、資安分析師需求最高，其次是滲透及漏洞測試工程師、資安顧問師、資安檢測工程師、資安產品開發工程師，若以Cyberseek的10大職務來看，國際需求以資安工程師最強，其次為資安分析師、滲透及漏洞測試工程師。概略而言，國內與國際的需求相當。

產業資安將是下一重點，建立各領域資安人才發展藍圖

資安人才需求的涵蓋範圍泛，新興資安產業只是其中一環。但若論及「產業資安」，這層面的人才需求是什麼？

許見章表示，新興資安產業與產業資安的人才需求，有很大不同，前者如前所述的12大職務，後者是以傳統資訊人才加入特定領域需求的資安技能。例如，金融產業資安人才就偏重「資安治理」、「資安防禦」及「資安監控」為主，該產業的資安人才職能，則以防護監控、事件分析、系統網路、軟體安全、數位鑑識、資安法規等為主。換言之，不同領域的資安人才需求，彼此之間會有很大的差異，未來他也會逐步發展出不同版本。

綜觀此一發展，未來若各界也能給予更多意見，也將讓這類計畫有更多持續發展與進化的力道。

至於產業資安領域中，臺灣對於人才的需求與培育，近期也日益熱絡。例如，金管會去年發布了金融機構資安職能地圖，這是以金融資安產業需求為出發，內容也已相當完善、具體。隨著未來更多這類型計畫的進行，將有利於在學者的準備，有志從事資安工作者的求職，以及公司的求才，許多學校及資安訓練機構在開設資安訓練課程時，也能更妥善地依據核心能力養成來設計課程。

臺灣資安職務地圖－新興資安產業版

●基本職能：BC1程式開發及偵錯，BC2作業系統操作及管理，BC3資通安全概論，BC4領域知識，BC5產品知識。

●專業職能：PC1資安產品部署及管理，PC2資安檢測，PC3資安事件應變處理（通報、追蹤）及分析，PC4資安鑑識與處理，PC5弱點掃描、入侵偵測及滲透測試，PC6弱點分析及修補，PC7惡意程式檢測及分析（含反向工程），PC8威脅情資收集探勘與分析，PC9駭客攻防，PC10通訊網路安全（含監控與分析），PC11網路架構安全（含部署），PC12風險評估，PC13安全系統開發。

●管理職能：MC1專案管理

●工作態度：AT1獨立思考與研究能力，AT2具備良好溝通協調，AT3自我學系能力，AT4團隊合作精神。

資料來源：資安產業媒合與校友追蹤服務計畫主持人許見章，iThome整理，2022年5月

在教育部先進資通安全實務人才培育計畫之下，負責子計畫4「資安產學媒合與校友追蹤服務計畫」的計畫主持人許見章表示，目前臺灣資安職務地圖現在正發展新興資安產業版，以此為起點，未來還將繼續開發不同版本。這項計畫的團隊成員還有兩位計畫協同主持人，分別是來自臺灣科技大學資訊工程系的教授鮑興國、來自元智大學資訊工程學系的助理教授林家瑜，以及計畫專任助理詹雅婷。（資料照片/洪政偉攝）

在2016年，美國國家標準暨技術研究院（NIST）領導的國家網路安全教育標準協會（NICE），推出一款名為「CyberSeek」的互動式線上工具，目的在幫助資安領域求職者提供更多就業機會，同時幫助企業們識別員工所需的技能，當中並畫分出10個核心資安職位。
ENTRY-LEVEL：Cybersecurity Specialist、Cyber Crime Analyst、Incident & Intrusion Analyst、IT Auditor
MID-LEVEL：Cybersecurity Analyst、Cybersecurity Consultant、Penetration & Vulnerability Tester
ADVANCED-LEVEL：Cybersecurity Manager、Cybersecurity Engineer、Cybersecurity Architect

不同產業資安人才需求有別，除了學界出力，近期臺灣金融產業在此方面也進行相關人才地圖的規畫。例如。在2021年6月時，金融監督管理會發布金融資安人才職能地圖，當中將架構類別分為監督治理、安全開發及資安維運等三項，並設計出學習地圖，供金融業者、周邊單位、培訓機構、資安人員及有意願投入金融資安領域之民眾參考。