為提升臺灣金融業對資安的重視,金融監督管理委員會(金管會)逐步建議與提出要求,特別是在2018年3月,修訂了「金融控股公司及銀行業內部控制及稽核制度實施辦法」,新增第三十八條之一,開始明訂銀行業應設置資訊安全專責單位及主管,以展現機構對資訊安全的重視。
上述這樣的要求,在2021年擴及到更多金融機構,也就是說,不只銀行業,保險業與證券業也應設置資訊安全專責單位及主管。
而且,相關要求是逐年提升,像是需指派協理以上擔任資安專責單位主管,到需指派副總級以上兼任資安長。透過上述循序漸進的方式,不僅讓國內金融機構知道政策推動方向,及早做好資安人力強化的布局,甚至,後續還將這樣的要求擴及國內1700多家上市櫃公司,同時,也為國內市場創造更大的資安人才需求。
不過,對於普遍金融業而言,在網路威脅日益嚴峻之下,原本就有資安人力規畫的需求,而金管會之所以要求公司副總擔任資安長,其意義更是在於期望公司提升其對資安議題的決策能量,增進董事會成員將資安風險納入經營考量,然而,不論資安長或主管、資安人員等職位,企業或組織要如何找到合適的人才,成為一大挑戰,是臺灣,也是全球都熱烈關注的重要課題。
為了因應這樣的需求,金管會在2021年6月,發布了《金融資安人才職能地圖》,其設計就是參考行政院國家資通安全會報技術服務中心,所規畫的公務人員資安職能訓練,以及美國NIST發布的NICE網路安全人才框架,擬訂金融產業資安人才培訓所需架構,同時也參考了國內外資安訓練資源設計課程,希望為金融產業從事資安實務工作的在職人士,以及有志從事金融資安的產業人士,促進彼此之間對於職能的認知,以及產業資安人才培訓。
我國金融監督管理委員會針對資安人才培育的強化,在 2020 年 8 月發布的「金融資安行動方案1.0」提出三項措施,第一項就是訂定金融資安人才能地圖,這項計畫目前已經完成;在後續的2.0版方案中,開設人才專班與鼓勵取得證照將持續進行,並新增配置多元專長資安人力的目標。
協助克服資安徵才不易的挑戰,金管會發展人才職能地圖
關於金管會發布的金融資安人才職能地圖,簡單來說,其目的就是幫助國內的金融產業,可以更好招募資安人才投入金融領域,並促使金融機構培訓資安人才時能更有計畫性。
對於這項職能地圖的發展,金管會資訊服務處長林裕泰表示,這是2020年就有的構想,時任處長蔡福隆期間,正擬定金融資安行動方案1.0,因此詢問了金融機構對於資安加強方面的期望,在許多答覆之中,都談到金融機構內部相當需要資安人才,但面臨找不到適合人力的現況。
因此,金管會開始思索對策,如何從培訓層面提供幫助,像是如何從金融機構內部,將資訊業務的人,或是對資安有興趣但不是資訊業務的人,可以轉向資安職涯發展,或是連帶影響外部訓練機構或學校,讓有興趣的人士或學生也可找到相關課程,吸引加入金融領域。
於是,有了發展金融業資安人才職務地圖的構想,而金管會在2020年發布的金融資安行動方案1.0,此時除了強化金管會內部的資安監理職能,提升資安檢查人員專業技能,為了幫助國內金融機構,針對整體金融業的第7項資安人才培育的部分,提到三項重點措施,其中,關於金融資安人才職能地圖的制定,就是第一目標,而在有此基礎之後,也將協調周邊單位開設金融資安人才養成專班,並鼓勵金融資安人員取得國際資安證照。
基本上,金管會推行這個計畫,就是吸引更多人參與金融機構資安,也方便金融機構在招聘、求才與培育時,可了解從事資安工作所需的經驗或知識。
接下來,負責這項計畫執行的F-ISAC,開始試著將金融領域資安,以及外部很多教育訓練機構開設的資安課程,做進一步的整理與分析,並建構適用於國內金融機構的內容。最終,2021年7月,《金融資安人才職能地圖》正式對外發布。
金管會資訊服務處處長林裕泰表示,關於「金融資安人才職能地圖」的規畫,是在2020年時就已有的構想,期望從培訓層面來提供幫助,幫助國內金融產業可以更好招募資安人才,並促使金融機構培訓資安人才時能更有計畫性。攝影/羅正漢
人才培育架構畫分3大類,涵蓋資安認知與10大專業領域
在架構上,金融資安人才職能地圖主要畫分三大類別,分別是監督治理、安全開發及資安維運,在各類別之下,涵蓋10個專業領域,或者我們也可將其視為10種工作職務。
以監督治理而言,涵蓋專業領域包括:策略規畫、法令遵循、風險管理、資安管理、 資安稽核。
以安全開發而言,涵蓋系統規畫、軟體開發、品管測試。
以資安維運而言,涵蓋系統網路管理、弱點管理、資安防護、事件應變。
另有一項「資安認知」,則被視為三大類別都要具備的基礎領域。
同時,框架中也針對上述這10加1種領域,一一對應至單位(規畫或執行),以及所需的工作核心職能。
金融資安人才培育架構涵蓋3大類別,並且以10大專業領域與資安認知領域組成
幫助人才培訓更有方向,課程設計是職能地圖一大重點
除了對於能力的要求,金融資安人才職能地圖有何特點?簡單來說,這份職能地圖特別強調課程設計的搭配。
基本上,金管會在此將課程內容區分為通識、基礎、進階,共三個等級,使得培育人員檢視具備各領域所需職能時,可以有循序漸進的方式,同時,對於上述各項基礎資安認知及專業領域,也都列出所需具備的核心職能與課程。
為此,這份職能地圖有三個重要的附錄,包含「課程設計」、「領域核心職能與課程對照表」,以及「學習地圖」,不論是金融業者、周邊單位、培訓機構、資安人員,以及有意投入金融資安領域的民眾來使用,都可以直接對照著檢視或參照,就能使用。
基本上,從附錄一的課程總表,以及附錄三的學習地圖來看,在通識課程方面有3門,基礎課程有19門,至於進階課程有13門。
簡單來說,通識課程等於是必修,主要為資訊安全概論、ISMS資訊安全管理系統,以及資安法規介紹,也就是10個領域的資安人才,都要接受這方面的培訓。
在基礎課程方面,屬基本資安能力養成,聚焦人員日常資安維運作業能力,資安防護技術導入及建置,開發安全應用程式、網路攻擊及防禦技術應用等;在進階課程方面,則是針對各類資安主題深入探究,較為特別,同時也包含了專業分析與規畫、理論,以及實務整合應用的能力。
而透過學習地圖的呈現,我們可以一目了然瞭解到10個專業領域(職務)在培訓上,所需的基礎與進階課程,等於讓培訓計畫能有系統性的參照。
例如,以程式設計的領域而言,除了必修的通識項目,這裡制訂的基礎課程有6門,包括資安防護基準、辦公室作業安全、程式開發安全、網頁/行動應用程式安全、金融行動支付安全,以及軟體測試除錯;而進階課程將聚焦在特定資安主題,例如,包含金融業密碼學應用實務、區塊鏈安全、進階程式及網站安全、晶片卡及ATM安全,SWIFT Security bootcamp,以及信用卡PCI DSS資安合規政策。
金融資安專業更重視符合規範,法規遵循知識技能成為必備
從上述內容來看,我們可以發現金融資安人才職能地圖的不同之處。
比起普遍企業能通用的職能地圖,這份框架不僅是強調培訓課程的展現,並擴及金融領域專屬的知識技能,其他還囊括FinTech 應用與科技風險、人工智慧於金融資安應用等。
令人好奇的是,上述這些特性就是金融領域人才專業需求的最大不同嗎?對此,林裕泰表示,與八大關鍵基礎設施相比,金融領域資安防護範圍,基本上都還是以IT基礎架構的環境為主,也就是說,與普遍企業的資安或資訊經驗,其實不會差別太大,不像許多關鍵基礎設施產業會涵蓋OT環境領域。
但要論起特別之處,林裕泰特別點出一件事:金融業屬於受到高度監管的產業,並且是非常講究合規的產業,因此,不管是上述提到的ATM、信用卡等,不論是在國際標準、產業標準或政府法令規範中,都會面對許多的法規遵循要求。也就是說,在金融領域中,對於規範訂定的對象,底層要用那些資安或資訊技術來符合規範,可能是金融產業更重要的特性。所以說,在看待人才時,懂資安合規的層面也會相當側重。
因此,從上述這些金融領域專業的課程來看,不一定都是技術面的內容,會更強調如何促使相關技術組合應用並符合規範。
金管會現正擴大培訓計畫,促進產業資安人才技能提升
為了提升人員能力,可透過課程來引導學習與驗證,然而,這些課程開設是否存在挑戰?林裕泰表示,金管會有三個主要的訓練機構,包括金融研訓院、證期會、保發中心,這些單位本來就會規畫年度訓練課程,現在他們也都參照現有的職能地圖內容去微調課程,或是做為新課程規畫的參考,因此,這將帶動正向的發展。
不過,林裕泰也強調,這樣的職能地圖框架屬於軟性的內容,並非硬性規定,主要也是順應資安與資訊都是屬於快速變動的產業環境,而且,人才來源有很多種管道,大公司與小公司對職能的要求也不一樣——大公司可能人多,需要的分工就會很細,專精就能做好工作,而小公司也許只有一個人或是兩三個人,就要負責全部的東西,因此知識技能需求要更廣。
所以,林裕泰認為,有了這樣的職能地圖作為參考指標,是有助於教育訓練跟內部人才配置的參考應用。
但在考量使用的設計上,從金管會的角度來看,還是要回歸初衷,讓各方在不論是討論與人才教育訓練時,都能有較為共通可以對焦的內容。
整體而言,金管會已陸續開設了一些資安訓練課程,以增加資安人力的培訓。然而,有些課程很快就額滿,無法滿足需求,還有一些實作和技術性較強的課程開設較為困難。因此,在金融行動方案2.0的框架下,金管會希望增加開課能量,並逐漸將一些進階技術性深入的課程形成常態。
例如,以F-ISAC本身的任務而言,雖然不是屬於訓練機構,但在政策的配合下,現在也開設一些技術性更深入的課程,具有先導意義。未來,F-ISAC希望能夠將這些課程轉變成常態性的學習課程,引進一些企業目前可能尚未重視的內容。
事實上,這幾年F-ISAC也會舉辦紅藍軍對抗等演練的訓練計劃,並與專業訓練機構合辦資安技術認證的課程,例如,前幾年曾開設EC Council認證的SOC分析師(CSA)課程。
而2023年的目標,除了希望繼續加強實戰攻防的課程,也預計開設ECIH資安危機處理員的認證課程,請學員上課並考照,增加各個領域的認知。
鼓勵多元資安職能人才配置及專業資安證照取得
關於金融資安人才職能地圖的最後一個重點在於,先前金融行動方案的人才培育中已經提到,鼓勵金融資安人員取得國際資安證照,而在金融資安人才職能地圖中,附錄四也提供了「課程與資通安全專業證照對照表」。
對此,林裕泰表示,其實,一開始職能地圖的設計上,只是單純依照不同職務列出所需要的知識技能,後來才將證照納入。
但回過頭來看,現在有了資安證照的綜整對應,也能夠提供職能地圖的使用者額外的幫助。例如,一些人可能沒有接受正統的資訊安全訓練,但他們對資訊安全非常有熱情,並希望自學相關知識。在這種情況下,透過取得相關的資訊安全證照,可以提供一條取得入門及進階技能的管道。
另一方面,有的人本身就已考取多種類型證照,不可能再去遷就職能地圖所列課程重新學習,因此,在附錄四提供的對照表,就是將每個證照與可免除的課程層級做出對應。
對於金管會鼓勵金融資安人員取得證照,林裕泰表示,從公司治理的角度來看,金融機構內部仍然保有用人用才的彈性,不會強制要求員工取得證照。
但金管會也是會有調查統計,主要是了解整個人力的應用趨勢。包括培訓機構培訓了多少人,金融機構內有考取資安證照的有多少人,但這不會公布,畢竟取得國際資安證照屬於鼓勵性質,因此沒有對外揭露變成數量比拚的結果。
以金管會的設想來看,證照可視為人員技能提升的誘因與激勵,像是金融機構可以透過課程補助、薪資提高和福利措施等方式,促進員工的主動學習,鼓勵員工取得證照以提升技能水準,並且也促進了金融機構的正向發展。
至於金融機構人員在職需要那些證照,還是回到公司本身的角度,去進行審核與鼓勵取得,而金管會也同樣站在支持的立場,協助業者降低培訓成本,鼓勵資安人員考取相關證照。
特別的是,在金融行動方案2.0中,金管會針對原先鼓勵取得證照的措施上,有了更進一步的目標,就是推動多元證照取得。
在過往調查中,以國內金融業者人員而言,取得類似ISO 27001 LA的證照,已經算是普遍,未來他們也希望進一步促進證照取得多元化。
也就是說,金融機構應評估自身IT與資安的運作架構,以及是自行開發或委外為主等,思考人力配置是否足夠,思考內部運作型態需要什麼樣的多元人才,因為金融業資安範疇並非只有ISO 27001 LA,也應該要根據系統開發、網路管理、資安設備管理,以及駭客攻防等不同面向,擬定相應的證照取得策略。由此角度來看,證照不僅是幫助學習的手段,也可成為金融業可以盤點自身的一種方式。
另外,關於職能地圖是否持續改版,以及我們知道金融開放上雲,國內外資安專家強調重視雲端安全方面人才,對此,林裕泰表示,其內容本來就需要不斷修正,2023年行動資安方案2.0推出時,就有執行方向的不同,所以也會進行微調,但變動不至於太大。
「資安管理」專業領域職能一覽
在「金融資安人才職能地圖」提供的領域核心職能與課程對照表中,針對10大專業領域與資安認知,一一列出該領域職能與課程需求。以「資安管理」專業領域為例,就列出四大核心職能,以及該領域所對應的通識、基礎與進階課程,讓培育人員時有循序漸進的依據。圖片來源/金管會
臺灣金融職能地圖不只規畫課程,也考量資安專業證照而特別列出免修對照表
金管會在鼓勵金融資安人員取得國際資安證照上,不僅協助業者降低培訓成本,在對應課程設計上,還會定期依據行政院公布的資通安全專 業證照,衡量該證照評鑑項目,提供已有證照且有效者可免除相關培訓課程清單,無須再耗費心力於不需要的課程。
本文出自《CYBER TALENT 臺灣資安人才專刊》
熱門新聞
2024-09-29
2024-10-02
2024-10-01
2024-10-03
2024-10-04
2024-10-01
2024-10-01