將中小企業與NGO納入資安防禦網！資安院打造健檢團與服務團，可結合課程讓老師帶學生實務參與

資安人才短缺是全球性的挑戰，臺灣亦不例外，而如何將資安文化與意識向一般民眾普及，更是一大難題。為建構全民參與的社會資安防護體系，政府與上市櫃公司雖已積極強化資安投入，但中小企業與非營利組織（NGO）也是臺灣創新的重要動力，同樣需要被納入防護網。為此，國家資通安全研究院（資安院）正積極著手發展相關對策。

自2022年以來，資安院正持續著手建立我國網路安全人才技能框架，設計職能課綱並與民間訓練機構合作，還要建立訓練機構與推動種子教師培育。

除了持續建構上述資安職能人培體系，還有更廣泛的全社會防禦人培計畫也在發展。資安院於8月底舉行的2025全社會資安韌性推動實務研討會，揭露3大拓展方向與初步成果，包括：（一）公民意識圈：目標強化社會大眾與學子資安意識，（二）實務應用圈：目標強化企業內部資安運作與事件應變能力，（三）核心戰略圈：目標建立具備防禦韌性國家級資安人才。

在眾多推動措施中，我們特別關注兩項專案：「資安服務團」與「資安健檢團（Cybersecurity Clinic）」，因為它們都採用實地輔導方式，協助中小企業、微型企業與NGO強化防護能力。

幫助中小企業與NGO有新方法，不僅推動資安服務團，更發展結合校園能量的資安健檢團

對於推動全社會資安韌性，資安院院長林盈達語重心長表示，我們需要做的事其實非常之多，這次公布的成果是一部分，主要來自資安院在Google.org支持下啟動的「NICS台灣資安計畫」，協助對象為臺灣中小企業與非營利組織。

其中，有兩項重點專案有初步成果，分別是資安健檢團與資安服務團。林盈達表示，資安院正透過這些專案，逐步累積實務經驗，嘗試描繪出中小微型企業的防護基準，這將有助於未來將計畫擴大規模，讓更多業者與單位因此受惠。

當前整體資安防禦面臨的重大挑戰，在於資源分配存在落差。儘管近年大型企業已不斷強化資安防禦，或因應法規要求提升防護等級，但中小企業與非營利組織往往因為資源有限，難以要求他們做到同等水準的防護。因此，如何透過政策協助這些單位強化資安能量，已成為提升整體資安韌性的關鍵。

這次新推動的資安服務團與資安健檢團有何特色？資安院人才培力中心經理胡馨元提出具體的說明。

以「資安服務團」而言，胡馨元表示，過去政府機關推動資安都會有輔導過程，以及稽核是否符合資安法，因此，資安服務團也藉助了這樣的概念，由資安院與外部資安專業人員組成服務團，來提供深度服務。

過去兩年來，資安服務團已經深入協助30家企業與組織，服務範圍亦涵蓋全國13個縣市。胡馨元表示，在服務過程中，團隊會實地前往組織兩天，提供基礎資安防護、網路安全管理的建議與協助，也會顧及資安治理基礎，涵蓋資安法規遵循、內部管理制度、資產盤點與個資保護等面向，同時也觸及系統開發與委外安全，例如安全軟體開發生命週期（SSDLC）、委外管理原則，以及供應鏈資安。

以「資安健檢團」而言，其串聯合作方式相當特別，能讓學生實際接觸企業防禦所面臨的挑戰，也同時將資安觀念回饋到小型企業與NGO。對於這樣的做法，我們認為，有機會形成兼顧人才培育並連結社會的模式。

胡馨元解釋，資安院主要透過媒合國內各大專院校資工或資管系的老師，在校內開設公益性的資安服務課程。一開始，學生先要在課堂中學習基礎資安技術，之後由授課教師、助教與學生共同組成資安健檢團，實地走入企業組織，了解其面臨的資安挑戰，並提供建議與解決方案，同時也培養諮詢與溝通上的軟實力。

甚至，他們也鼓勵學校老師可找不同科系背景的學生加入課程，不論是資管系、圖資系、法律系等各種，之後分組到不同組織去服務時，可以激發出更多元的想法。

目前，資安健檢團與全國10間大專院校合作，已經開設3個學期總計12門課程，帶領400位學生參與，並且服務範圍涵蓋8個縣市的70多家企業組織。

上述模式與概念其實並非資安院獨創，而是源自柏克萊加州大學長期網路安全研究中心（CLTC）的Cybersecurity Clinic課程課綱。胡馨元表示，這種作法已在美國當地發展出「美國網路安全診所的聯盟」，並吸引多所頂尖大學參與。

值得一提的是，臺灣在去年也加入該聯盟，首批會員包括逢甲大學、臺灣大學與陽明交通大學。胡馨元指出，臺灣是該聯盟在美國之外的首個海外成員，而臺灣的經驗也為聯盟帶來啟發。因此今年該聯盟於亞太地區積極行動，將Cybersecurity Clinic的概念，引入到新加坡、斯里蘭卡等國家。

不過，帶領學生團隊進入企業健檢是否存在挑戰與風險要注意？這是大家都會設想的問題，現場也有這方面的提問。

逢甲大學專任講師陳子皓說明了資安健檢團服務經驗，他表示，這樣的課程對學生幫助很大，因為傳統大學課程多半偏重理論，透過實務參與，學生能更清楚理解企業真正需要的資安服務與防禦措施，這與參加校園黑客社或CTF競賽的訓練方向是截然不同。

陳子皓並強調，更重要的是，必須引導學生正確使用技術。在課程開始前，會先訂立規範並簽署保密協定（NDA），他在課程與健檢過程中也會不斷提醒「要保持善良」，持續讓學生在過程中學會思考與理解資安專業倫理界線。由於學生仍處於探索社會、形成價值觀的階段，這會是帶領過程中需要持續注意的一環。

另外他也觀察到，目前這些被輔導的中小型企業與NGO，普遍職員不到20人，或是僅有5到6名正職人員，而且許多中小公司的資安觀念也相對停滯，認為只要「內網」就等同於安全，像是一家傳產CNC製造業，20多年來從未接觸過任何資安服務，至於NGO人力更有限，資安意識也相對薄弱，因此他們認為，未來更需要先做好更多觀念溝通，可以讓輔導過程更加順利。

在上述兩項重點專案之外，還有幾個資安人才培育的重要發展項目，我們認為同樣值得關注。例如，資安院人才培力中心主任鄭瑋指出他們正發展一系列「資安防護指南」手冊，以及臺版Cyberseek計畫已在進行，預計在明年上線

至於其他更進階的國家級人才推動策略，除了先前開設資安長課程，資安院也推動資安策略演練，這部分會透過桌上兵推方式來建立協助概念。資安院人才培力中心經理鄭翔云也介紹各類桌上推演的定位，指出資安院NICS OTEX桌上推演重視策略策略層級演練，目標是企業決策層主管與資安長。

呼應國家資通安全發展的「全社會資安防禦」政策

除了資安院公布全社會防禦人培進展，在同日舉行的「2025數位政府高峰會」上，數位發展部資通安全署署長蔡福隆也針對今年推動的「第七期國家資通安全發展方案」，強調資安署主要推動的4大策略，而其中一項策略就是－－全社會資安防禦，當中不僅需要充實資安人力、穩定資安預算，還有三大重點：

●完善國家資安應變機制：完善應變機制、支援重大事件、強化資安會報統籌。
●提升全民資安職能及意識：提升社會資安意識、培育高階資安人才、推動資安人才框架。
●建構全社會資安防護網：強化科技偵察犯罪、精進資安鑑識能量、強化數據隱私保護。
而資安院目前的推動方向，也就同樣呼應此一發展策略。