資安人力不足、資安人力不易培育都是行之有年的全球議題,所涉及的部分,並不只是資安人才的供給能否能跟上需求,更重要的是,企業組織該如何培育資安人才,或是更有能力招聘擁有合適資安技能的人才。

多年來,坊間一直都有培訓機構提供資安教育訓練課程,資安業者自身也有內部的培訓,而教育部從2015年開始,逐步啟動「資訊安全人才培育計畫」,並延續第二期計畫至今。

在2018年,我們注意到,國內各界對於資安人力培育取得了更多進展。例如,當時行政院資通安全處曾經打算籌設資安學院;在學界,交通大學成立的「亥客書院」開發出資安職能地圖,以工作性質與資安領域切分資安職能,提出16種面向,希望提供拋磚引玉範例;同時,iThome從2018開始每年進行的iThomeCIO大調查,在瞭解企業資安災情、資安投資現況之餘,對於資安人力需求的現況,也持續是調查重點。

特別的是,在2018年後,我們探討資安相關議題時,開始得知美國有一項NICE網路安全人才框架NICE,是資安人力培育可借鑑的參考資源。只是,當時鮮少有人公開提倡。

2022年歐盟網路安全局(ENISA)發布ECSF歐洲網路人才技能框架後,我國恰巧在這段期間,設立以數位發展部為監督機關的國家資通安全研究院,正打造我國通用的資安人才技能框架。

發展資安技能框架受多國重視,我國資安職能基準已在開發

事實上,我們這幾年在關注資安人力議題時,除了注意到美國NICE框架的發展,以及歐洲ECSF框架的出現,最近兩年,我們也看到國內獲得一些進展,包括:金融監督管理委員會、教育部,已針對金融領域、新興資安產業,發展出個別領域的資安人才職能地圖。

2023年初,我們得知國家資通安全研究院在這方面也開始展開行動。

對於臺灣通用資安人才技能框架的發展情形,國家資通安全研究院人才培力中心主任鄭瑋表示,國內除了各部會針對轄下專屬領域有各自的計畫,之前在行政院技服中心方面,也有政府機關人員的《資安職能訓練發展藍圖》,如今,國家資通安全研究院人才培力中心將會站在整體角度,規畫出國內各產業都能通用的職能參考基準,也就是說,不論是資安產業、產業資安皆可適用,並待日後資安主責機關頒布,而成為我國的資安「職能基準」。

不過,她也透露,這套職能標準的研析與開發,會需要幾年時間來完成,儘管實務上若從主觀角度出發,可以很快完成,但他們仍希望秉持客觀與嚴謹性,建立一套可重複的研究方法,因此需要花上不少時間,而之後也將公布分類方法與細部考量。目前,他們第一年將選定「資安長」與「事件分析工程師」這兩類職務來規畫,並希望後期熟練後可以加快步調。

而在國際有哪些國家重視這方面議題?鄭瑋表示,他們研究這方面議題時,不只看到美國與歐洲支持,同時還檢視一些國家所制定的資安人力框架,包括:加拿大的CanadianCybersecuritySkillsFramework、澳洲的ASD Cyber Skills Framework,以及OT領域的新加坡Operational Technology Cybersecurity Competency Framework。這或許也反映各國已日益積極面對資安人力不足,以及技能差距的問題,因為,在2020年之後,已有不少國家都在設法改善。發展臺灣資安職能的標準是否有必要?若沒有,又會怎樣呢?鄭瑋表示,如果有個通用的資安「職能基準」,大家溝通時,就能更精確地表述自己培養了哪些人才,以及自己需要哪類人才,從而更精確地滿足需求。

否則,縱然找工作和找人才的數字逐年靠近,但仍可能出現無法匹配的情況。現階段,人培中心參考歐洲ECSF框架,並以美國NICE框架為輔助,建構適用於我國環境的通用職能基準。

發展資安技能框架受多國重視,我國通用資安職能基準已在開發 因應資安人培育,隨著美國NICE網路安全人才框架與歐盟網路安全技能ECSF框架的推動,國家資通安全研究院人才培力中心主任鄭瑋表示,國內除了各部會針對轄下專屬領域有各自的計畫,之前在行政院技服中心方面,也有政府機關人員的《資安職能訓練發展藍圖》,如今,國家資通安全研究院人才培力中心正開發不論資安產業、產業資安都能適用的資安職能參考基準,日後則由資安主責機關頒布為資安「職能基準」。

對於金融與新興資安產業而言,臺灣目前已有可參考的職能地圖

除了正在發展臺灣通用的資安職能基準,國內個別專屬領域的職能地圖發展動向,也備受關注。

在我們進一步追蹤之下,除了已知的金融業領域、新興資安領域,同時我們還注意到,包括政府機關、半導體領域,未來也將有類似的發展。

例如,以金管會而言,2021年6月正式發布《金融資安人才職能地圖》;在教育部先進資通安全人才培育計畫之下,其子計畫資安產業媒合與校友追蹤服務中,在2022年,也推出《臺灣資安職務地圖-2022新興資安產業版》。

建構金融資安人才職能地圖,幫助金融業招募與培訓 金融監督管理委員會2021年發布《金融資安人才職能地圖》,該單位資訊服務處處長林裕泰表示,不僅金管會旗下訓練機構以此作為課程規畫的參照,這份職能地圖得到許多回饋,不只資安單位可用,企業的人資單位也都為了資安人力的培訓與招募來徵詢。攝影/羅正漢

之所以發展金融資安人才職能地圖,其實是金管會推動金融資安行動方案1.0時就有的計畫,因為金管會當時向金融業者徵詢意見時,就注意到金融機構面臨找不到適合人力的現況。

如今,該職能地圖的發布已經快要兩年,因此,我們也想瞭解是否已有一些成效或回饋?金管會資訊服務處處長林裕泰表示,他們在這方面收到很多金融機構的諮詢,令他們印象深刻的是,對方不見得都是公司資安部門,人事部門的反應也相當熱烈,主要詢問的內容就是可否藉助金融資安人才職能地圖,用於培訓與招募。

同時,金管會也會統計相關資訊,像是旗下培訓機構培訓人數,金融機構內考取資安證照的人數,這麼做主要是為了瞭解整個產業的人力應用趨勢。整體而言,目前他們的觀察是,培訓計畫具有正向帶動的效果。

關於《臺灣資安職務地圖-2022新興資安產業版》,在2022年已發布,負責這項計畫的輔仁大學資訊工程系特聘教授許見章表示,基本上,透過臺灣資安職務地圖的指引,能讓不同角度的人了解資安人才需求;對於求職者而言,可依其興趣,由職務地圖規畫學涯及生涯學習路徑;對於產業界而言,將可依其需求,由職務職能地圖來檢視對求才職位的適合性;對於學校及資安訓練機構而言,則能依照教育目標與核心能力養成,開設對應的職能訓練課程。

而在這份職能地圖發布後,許見章表示收到產官學的正向回饋,可應用在企業資安人才培育、篩選及團隊建立的依據,同時,在輔仁大學人工智慧與資訊安全學位學程中,也已經將其課程對應部分基本職能及專業職能,例如,安全程式設計、軟體工程概論的課程,對應職能地圖中的PC13安全系統開發。

至於另兩個不同領域專屬的相關計畫也會進行,例如,經濟部工業局亦委託資策會執行半導體人才專業職能基準的規畫,預計在2023年發布;以國家資通安全研究院人才培力中心而言,之後將接續發展政府機關人才的版本。

建構資安知識技能體系,是確保國家網路安全根本

再從國際角度來看,讓我們將時間拉回過去,早期並無可參考的相關標準,事實上,面對資安人力與職能的挑戰,自2010年起,全球才有較具體的行動。

例如,在國際間,主要帶領全球資訊科技發展的美國,對於資安科技發展也相當重視。大家都知道美國資安產業發展得相當蓬勃,但可能沒想過的是,該國政府其實很早就意識到,要確保國家網路安全,背後的資安人才亦是關鍵之一,但是當時對於網路安全人才一職,並沒有清楚的定義與評估。

為了應對這一挑戰,美國聯邦資訊長委員會在2008年擔起了這項任務,希望在美國國土安全部建立IT安全基本知識體系(EBK)的基礎上,提供一個標準框架,以了解該國聯邦政府內的網路安全角色。最終目標,就是希望透過提高網路安全專業人員的數量與素質,來強化國家網路安全能力。

於是該國政府2010年啟動國家網路安全教育倡議(NICE)計畫,匯集來自多個聯邦機構的專家小組意見,協助美國聯邦資訊長委員會製作研究報告,2012年9月正式發布NICE網路安全人才框架,2014年4月第二版出爐。

這框架的用意很明顯,就是幫助組織建立能應對資安挑戰的工作人員團隊,並提供通用且一致的詞彙,建立詳盡的分類與描述,希望有助於識別、招募與發展安全人才時的溝通,甚至為企業雇主、既有與未來的資安人力,教育機構與培訓者,以及技術供應商帶來幫助。

同樣地,我國政府在2010年亦重視這方面的議題,在行政院國家資通安全會報「國家資通訊安全發展方案(98-101)」的政策之下,由行政院國家資通安全會報技術服務中心負責,提出公務人員資安職能規畫,目標是以訓練、評量方式,規畫相對應的資安課程與評量制度,盼能建立長期適用的公務人員資安職能規畫。

儘管當時的畫分較簡易,只以公務人員職務畫分4類型,包括一般主管、一般使用者、資訊人員、資安人員,再依據執行日常任務時所需的資安能力,提供訓練參考課程,但至少當時,資安職能問題已受關注。

至於一般的企業組織,雖然當時已有少數懂得將資安風險納入營運風險考量,但多數仍在單純享受資訊數位化與雲端技術的好處,因此,並未審慎考量資安風險,而在當時資安需求不高的氛圍下,本土資安產業也才慢慢興起,因此我國資安人才的發展,自然也容易因此受限,而相關人才大多從自身經驗、資安證照體系而來,或以資安社群為出發。

懂得盤點團隊所需人才與技能,成為最近三年的最夯議題

近年來,NICE框架仍在進化中。尤其是在2017這年,美國國家標準與技術研究所(NIST)又有動作,NICE框架發布為NISTSP800-181標準,加上2020年修訂版推出,明顯帶動資安人才知識技能體系建構潮流。

特別是去年2022年9月,歐洲也打造出他們專屬的資安人才框架ECSF,是由歐盟網路安全局(ENISA)發布。

其設計用意與美國的NICE框架相當,都是為了建立資安工作技能的共通語言,當中並確定歐洲資安領域最需要的12大類工作職務,以及相關所需知識、技能,以幫助當地個人、企業主與培訓計畫提供者的之間溝通。

因為,他們也認為,未來數位世界的安全,將大幅依賴有效且適當的資安人才能力,加上資安工作的市場預計將進一步蓬勃發展,因此,人員的資安技能該如何強化,以及網路安全培訓課程應如何設計,均能參考ECSF框架而獲得一些幫助,因為它不只是具體工具,也是加強歐洲網路安全文化的重要基礎。

綜合來看,在國際與臺灣對於資安技能與職能的盤點之下,對於一般企業組織而言,過往可能對資安人力的職能培訓沒有方向,也無從評估其「稱職度」,現在有了這些人才技能框架、職務職能地圖,等於有了具體參考資源。同樣的,培訓機構在資安課程內容規畫方向的盤點,以及資安人員對職涯的探索,現在也有具體的參考資源能借鑑。

不過,自從這類資安人才框架發布以來,有些資安界人士認為,資安職能的範疇不用畫分那麼細,甚至表示他們不知道有這麼多類型資安角色。

但是,從整體角度來說,這些職務角色的區分仍然很有意義。像是金管會資訊服務處處長林裕泰就表示,他們會考慮到金融業有規模大小之別,以銀行、保險業而言,這些業者的資訊部門、資安部門可能就有幾十個人,而證券業的資訊資安技術部門人員明顯就少,可能只有2到3人。

因此,儘管這些職能可以分得很細,對於小規模的公司適用性並非那麼貼切,但他們本身在設計職能地圖時,還是必須將一些職能拆解出來,這是因為大規模公司整體運用的資訊設備、技術較多,涵蓋的層面廣,需要不同人才。

換言之,若只將資安工作角色數量定義太少,也不適當,因為若是分類的粒度太粗,對於需要細部進行分工的企業與組織而言,能夠參考的部分會受限。

我們認為,對於企業應用而言,如果基於美國NICE框架與歐洲ECSF框架的發展來看,現在其實都會強調要如何彈性去應用,而非只有照本宣科一途,因此大家在看待這類資源所定義的人才類型時,應該要體認到,每個企業都可以根據自己需求,來參考這樣的基礎,並以此定義自家資安團隊所需的角色,以及所需要的知識技能。

本文出自《CYBER TALENT 臺灣資安人才專刊》

熱門新聞

Advertisement