隨著近年各國相繼推動資安人才技能框架,包括國際上知名的美國NICE網路安全人才框架,以及歐盟的ECSF網路安全技能框架,期望為當地資安人才培育,奠定更好的基礎,而臺灣政府同樣重視這樣的議題。
在臺灣,除了在金融與新興資安產業等領域已有發展,更值得我們關注的是,在我國數位發展部監督下的行政法人國家資通安全研究院,旗下人才培力中心如今亦開始行動,將打造臺灣資安「職能參考基準」,並且是各產業都能通用的內容,提供更貼近於國內環境的資安職能資源。
資安院將開發國內通用的「職能基準」,未來亦有政府機關版本
關於這份資安「職能參考基準」如今的發展情形如何?是否針對國內資安人才培育能提出整體性的推動戰略?都是不少人非常想瞭解的。
簡單來說,國家資通安全研究院前身是行政院國家資通安全會報技術服務中心(簡稱技服中心),與原國家實驗研究院資安卓越中心整併改制而成。
對此,國家資通安全研究院人才培力中心鄭瑋表示,為了健全資安人才生態發展,目前人培中心已有整體規畫,將從需求出發,並以三大層面作為發展方向,分別是:基礎資安教育、中階在職培訓,以及進階專業培養,藉此建構出我國資安人才培育生態。
而從具體行動目標來看,可分為4大步驟,包括:(一)辨別人才缺口,(二)打造資安人才職能框架,(三)發展資安培訓綱要與課程,(四)發展評量機制與鑑測指引。
由此可見,打造資安人才職能框架,發展完整職能參考基準,就是整體發展的一個重要階段。
在此之前,臺灣的各個公部門,針對不同範疇和對象,也已經形成了各式資安職能基準相關資源。例如,過去技服中心提出「資安職能訓練發展藍圖」,主要適用於公務機關人員,當中從策略、管理、技術(網路管理、事件處理、資安檢測、軟體安全)等面向出發,發展公務機關所需資安職能課程與教材。
此外,還有金管會的金融資安人才職能地圖,以及教育部針對新興資安產業人才的職能地圖等。
在2023年,隨著全球各國發展資安人才技能框架的態勢,對於國內整體環境,不論產業資安、資安產業,如今的國家資通安全研究院人才培力中心(以下簡稱資安院人培中心),已經開始著手行動,將設計一個通用的資安職能參考基準,之後再由主責機關頒布為資安「職能基準」。另外,後續他們還將會與資安署合作,發展政府機關人才專用的版本。
現階段,這份資安職能參考基準已有初步進展。鄭瑋表示,在評估國際間近年所推行的資安技能框架之後,包括美國、歐洲、加拿大、澳洲與新加坡等,他們認為,美國的NICE框架及歐洲ECSF框架,其實都提供很好的基礎,可以作為我國在發展職能參考基準時的基底,現在已決定以歐盟的ECSF框架,作為中心規畫的主要參考。
之所以選擇ECSF,主要原因在於,ECSF所定義的12種人才類別,比起NICE框架的52類別來得簡明,亦可能較適合臺灣。
畢竟,在臺灣的產業結構中,對於中型企業、小型企業或政府機關而言,通通常需要組建規模較小、但功能全面的資安團隊,因此,12個類別會是更容易推行與實施。
不過,由於NICE對於資安專業能力的分類更為細膩,因此,他們會將其內容,也就是針對當中的知識、技術與能力(KSAs)描述進一步提煉,以便對應到12類的資安人才類別。
簡言之,我國的資安職能參考基準,主要以ECSF的12類人才類別為主要參考,其細節則是借助NICE框架的定義來設計。不過,鄭瑋表示,這也將是目前開發資安職能標準上的一大挑戰。
因為,如果要將ECSF框架對接到NICE框架,市場上還沒有出現較為可信且權威的版本,估計需要數年進行研究分析。
以目前資安院人培中心的計畫來看,預計是每年選定2到3種人才類型,完成職能參考基準與課綱的規畫,而第一年首先聚焦的是「資安長」與「事件分析工程師」。換言之,這兩類人才也是現在國內環境最迫切的需要。
為了建立臺灣通用的資安職能參考基準,國家資通安全研究院人才培育中心展開行動,將以歐洲ECSF框架所定義的12種人才類別為主要考參。從美國NICE框架KSA知識體系提煉與對應,以建構一套客觀與嚴謹,且符合我國使用的職能基準
目前最欠缺維運防禦人才,有了職能基準,能使需求變得更精確
為何各國都在積極推動資安人才框架?為何臺灣發展資安「職能基準」很重要?
鄭瑋指出,過去,資通安全被認為是籠統的大專業,大家並未對「資安人才」的職能加以區分。
而從多年來的人力供需狀況來看,企業實際上是缺人的,學校雖然是培養資安技術與架構的研發人才的主力,但這些人才畢業之後,有很大的比例可能會流向其他行業。
特別的是,為了辨別資安人才缺口,資安院人培中心已先進行了一項調查,在2022年5月公布的需求調查結果中,他們發現我國企業的資安相關求職廣告中,懸缺最多的是在第一線進行維運防禦的人才,比例高達54.25%,從客觀角度來看,這結果很可能與學校近年積極培養的研發人才方向不太吻合。
因此,如果能有一個通用的資安「職能基準」,其最大意義就是讓大家在溝通時,就能更精確地表述企業與組織本身培養哪些人才,以及自己需要哪類人才,讓需求可以更為精確。
否則,縱然求職與求才的數字是逐年靠攏,但很可能仍然處於彼此無法良好匹配的情形。
她並用一個場景來舉例說明:當一家雲端服務開發商需要一位前端工程師,並希望該人員要具備加解密、身份認證流程設計,以及實作的能力,然而,這家公司在徵才時,可能不清楚如何描述這些技能與知識的需求,因此,往往會在職缺項目當中,寫成:「有資安經驗佳」或「資訊安全相關設計」,在這樣的情況下,很可能導致具備這些專長的人才無法察覺到這個機會,而企業也很有可能因此找不到需要且適合的人才。以上述例子而言,如果雙方都知道徵求的職缺,其實,是與ECSF的CyberSecurityImplementer職能有關,如此一來,在媒合上將會更有效率。
整體而言,從整體市場來看,未來有了資安職能基準,就能更快、更有機會達成「供需平衡」。同時,對於有意加強資安的企業,以及有意往資安專業發展的學生、轉職人士,都能更清楚要加強的面向。
而從政府的角度來看,同樣也是會帶來好處。這是因為,有了職能參考基準,資安院人培中心將能更精準觀察國內整體人才培育的現況,包括:可精準盤點人力資源,釐清人力流向與缺口,並可以方便推動後續的課程規畫、開發課程、與發展鑑測指引。
國家資通安全研究院人才培力中心主任鄭瑋表示,發展資安領域的「職能基準」,是資安人才培育的一個開始,現在正在進行,2023年將先聚焦資安長與事件分析工程師的職務。另外,鄭瑋也特別提及,今年還有一項重點執行項目就是,全民資安意識的推廣,會在第二季緊鑼密鼓展開。而這正是多年來國內所一直欠缺的資安強化面向。
開發通用職能基準的挑戰很大,而且建構可重複研究方法很耗時
由於資安院人培中心的資安「職能基準」還在開發階段,甚至要數年之久,我們不禁好奇,為何需要花上這麼久的時間?再開發職能基準的過程會面臨那些挑戰?
儘管我們知道,以美國NICE框架而言,2008年提出概念,在該國多個機構的合力發展之下,也是2012年才發布,到了2020年還在持續改版。
鄭瑋解釋,關於職能標準的研究分析與開發,若研究員是根據自身經驗、從主觀的角度出發,是可以很快完成這項工作,但若要秉持客觀與嚴謹性,將有很多嚴謹的資訊組織原則要考慮。
更困難的一點在於,需要建立可重複的研究方法,讓未來大部分的專家都能按照該「方法」去匹配這些職能元素,這很可能會是最花時間的挑戰。
為了讓外界容易理解這方面的挑戰,鄭瑋進一步說明。她表示,制定職能基準與其他制定標準的工作是一樣的,不只完成報告文件,而是要建立系統性的方法與規範。而資訊科學當中的有些原則,可以幫助人們在組織資訊的同時,顧及分類的嚴謹性、可靠性與實用性。
以NICE框架的職能元素為例,關於知識、技能與能力的分類,總共有多達1千多項,要讓每一項產出的元素全部達到這些原則,需要非常細部的研究工作。至於詳細情形,鄭瑋特別用下列幾個例子來說明:
■減少用詞模糊性
在書寫或翻譯職能參考基準的元素時,需要避免使用讓人一眼看過去就無法看懂的項目,否則這份參考就不容易被使用。
■使用控制詞彙
不能隨意選擇「看似合理」、「看似就是這樣翻譯」、「研究員主觀覺得沒問題」的詞彙。基本上,所有的職能元素,包含工作角色、任務、知識、技能、能力使用的詞性、語法、語意都需要積極管理。舉例來說,NICE框架中的「知識」項目,便沒有使用動詞,而是使用名詞,因為知識是去理解一件事情,它本身就是一件事情(名詞);同樣是運用和執行一項工具(英文的uptake),也不能因為中文的詞彙差不多,而隨心所欲地有時採取「使用」,有時又採取「利用」或「運用」,如果這麼任性而為,也就不是「標準」了。
■建立語彙之間的階層關係
以發展職能的細項來說,技能與知識的排列與區分,應該要由最基礎到最進階,由具體目標到抽象目標。具體來說,教育學者有提出很多和理解知識相關的詞彙框架,以一項知識為例,「暸解」、「識別」這些動詞應出現在較為基礎的知識層級,而「分析」與「應用」、「評估」則會出現在較為進階的層級。
■嚴謹規範元素之間的關係
之前學者專家曾提出NICE框架的缺失,例如有些KSA元素是孤懸的,也就是KSA項目制訂出來之後,卻沒有被任何工作角色對應承接,雖然後續NICE很快修正,但,這也是他們在開發上會需要注意的部分。
對於我國資安「職能基準」未來將會具備的特性,鄭瑋也透露,將強調資訊組織方法、資訊公開與互動性等特色。具體而言,他們會希望公布分類方法與細部考量,這麼做的好處是,能夠達到可再現性與可擴充性,也就是說,讓未來國家資通安全研究院內或院外的相關研究人員,都能按照同樣的方法,去擴充與維護這個職能基準,或是客製化自己需要的版本。例如,各部會可用同樣的方法,去客製化自己需要的版本,無論是醫療、關鍵基礎設施等。
當然,資料的互通性同樣有很多原則需要顧及,不論是否提供完整的,而他們也希望後期熟練後可以加快步調。
無論如何,目前這項職能基準的發展已在進行,未來也希望資安院人培中心研究員在越來越熟練之下,可以加快開發的腳步,將12種人才類型的職能基準與課綱規畫陸續完成。
建立整合就職調查的臺灣資安人才專屬網站,也是可行的方法
值得一提的是,對於未來人才培訓的規畫,我們之前注意到美國CyberSeek或歐洲CyberHEAD的作法,這些也值得借鏡,透過成立資安人才專門的網站,整合就職調查與培訓資源,並提供就職的路線,形成資安人才入口網站,讓使用者可以在這個網站得到所需的資訊與資源。
鄭瑋也對這種方式提出看法。她表示,NISTCyberseek的做法可以參考,不過,這樣的網站看來可能還是有點複雜,他們日後若要做,應該會讓網站更簡明一些。她還提到人培中心最近也在籌備翻新網站,未來的展望是讓我國的資安人才也能有這樣的入口,可以在上面得到所需的資訊與資源。
推動國內資安人才培育,資安院從三大構面發力
過去我國在國家資通安全發展方案等施政計畫之下,在資安人才培育方面依據各部會職掌,交由不同部會來處理對應的人才培育。例如,教育部主要負責大專院校人才培育、學程教育,因應資安人才培育需求形成各項計畫與子計畫(AIS3),最為著名,而 經濟部也開設產業人才相關課程與在職培訓,過去的行政院國家資通安全會報技術服務 中心,也長期針對政府機關,開發資安職能訓練課程教材,辦理資安系列競賽以挖掘潛在資安人才等。 如今,隨著數位發展部國家資通安全研究院的設置,資安院旗下人才培力中心主任鄭瑋表示,他們將從三大層面著手推動。
1.基礎資安教育 首先是全民資安意識的推廣,資安院人培中心將在2023年第二季投入能量,促進全民資安基礎智識與意識的養成,這是以往臺灣極度欠缺的一環,如今終於有所行動;再者,將培養國高中職學生對專業資安領域的啟蒙學習,並引介資安國手知能經驗;另外,將持續透過資安系列競賽(如舉辦多年的金盾獎),鼓勵更多學校學生投入。
2. 中階在職培訓 此層面將是最重要的一環,當職能參考標準制定逐漸完善後,將發展課綱與指南供產官學參考使用,並藉此建立相應的課程,最後建立鑑測評量的引導建議。若能盡快完備此一層面,將有助於帶動整體資安人才生態,成為資安維運、開發的基石,再往上精進為高階人才。
3. 進階專業培養 高階資安人才不可欠缺,過去在教育部先進資通安全實務人才培育計畫之下,不僅鼓舞學生對資訊安全的學習熱情,並有針對部分資安領域的高階人才的養成與培育,祭出多項計畫與措施,而國家資通安全研究院也希望藉由公法人身分,結合社群的技術能力與實戰經驗,多培育進階專業的資安人才。
畢竟,高階的資安人才是我國強健的實力展現,目前資安願人培中心亦有初步計畫,例如,預計在2023年舉辦3場高階人才的訓練班,並以「事件分析工程師」人才類型為主。同時,國家資通安全研究院也將設法藉此訓練班,培養出更多種子師資,並建立專家人才資料庫,以累積未來計畫推動能量。
本文出自《CYBER TALENT 臺灣資安人才專刊》
熱門新聞
2024-10-14
2024-10-13
2024-10-14
2024-10-13
2024-10-14
2024-10-14