如何建立培訓系統、填補台灣產業資安人才缺口?專訪國家資通安全研究院人才培力中心主任鄭瑋

根據微軟統計,目前全球資安人才缺口高達 350 萬人,然而現在全球每一秒會遭受約 4000 多封釣魚郵件的密碼攻擊,因此該如何補足資安人員缺口、賦予工作者抵禦威脅的武器,讓企業組織在日益頻繁的網路攻擊下得以堅守防線,已成為全球重視的議題。特別是台灣,自金管會去年頒布 2023 年底,有獲利能力的上市櫃公司,皆須設立資安人員與相關單位的規定後,更讓資安人才的缺口更加明顯。

在 2023 年資訊月現場,國家資通安全研究院(後簡稱資安院)旗下人才培力中心也特別展示公私協力的資安實踐成果、展望臺灣資安人才培育藍圖,並分享資安院如何嘗試填補台灣產業資安人才日益擴大的缺口,持續加速培育產業資安在職人才的步伐,同時參考國際資安人才技能框架、系統化培訓過程,為台灣量身打造資安職能資源。

台灣產業資安人才最缺乏這 3 個類別

產業資安人才類別眾多,究竟現今企業亟欲找尋具備哪一類技能的對象?資安院人才培力中心主任鄭瑋分享,資安院研究員以 2022 年 5 月公開於人力銀行平台的資安相關職缺為關鍵字,經人工過濾重複與非相關職缺後,抽取樣本並以內容分析建立編碼,統計出當前台灣產業最迫切需要的資安人才類別前三名:營運與維護、監管與治理、保護與防禦。這三類人才加起來就高達抽樣職缺的八成以上。

營運與維護類人才(54%):此類專業人才負責日常資訊系統管理、技術支援及系統維護。他們是資安防護的第一道防線,必須確保網路和系統穩定運作,其職稱多為資訊人員(MIS, Management Information System)或網管工程師,是目前需求比例最高的資安人才。
● 監管與治理類人才(約15%):這些人才專注於制定、實施資安政策與標準,以及遵守相關法規,確保企業和組織的資安策略與法規保持一致。
● 保護與防禦(約13%):專業在識別、防禦和應對安全威脅,此領域人才具備成熟的技術知識,能夠有效預防和對抗攻擊。

近年臺灣推出了多項資安法規,將公務機關、規模較大且有賺錢的上市櫃公司與關鍵基礎設施皆逐步納入列管範圍,並依規定須在單位內配置足夠數量之資安專職人員或設立資安長與資安專責單位,確實加速公部門與企業強化資安環境的步伐。鄭瑋分享,據資安院的觀察,在多頭政策施力下,「監管與治理」類別的管理人才需求,未來也將水漲船高。 

產業資安人才是這麼練成的

在瞭解目前台灣產業資安人才的缺口後,進一步值得探究的是,該如何系統化培養一位產業資安人才?鄭瑋分享,在參考國際標準後,資安院認為「資安人才」是個相對籠統的名詞,需要先定義與分類,才有辦法規劃相關培訓。因此第一步,資安院研究員便借鑑多國框架,其中以最著名之美國 NICE 和歐盟 ECSF 兩種網路安全人才框架為主,並在考量國內已建立之框架,與考量工作者一人身兼多職的常態後,產出「12+7」類台灣特色資安人才分類作為通泛性參考:

與 ECSF 框架共通的 12 種:資安長、資安架構師、資安風險管理師、資安法遵師、資安稽核師、資安教育員、資安研究員、資安產品開發工程師、滲透測試工程師、資安事件工程師、威脅分析工程師、資安鑑識工程師。
資安院新增的 7 種:資安系統規畫師、資安顧問師、資安專案經理、資安檢測工程師、資安系統維運員、資安監控防禦工程師、漏洞分析工程師。

針對上述 19 種分類,鄭瑋特別提醒:「我們和大家介紹這些角色,但這並不代表一個組織內部必須設有 19 類工作角色,根據公司規模大小、對應的工作項目,大家可以參考這些工作描述,用適合自己的需求建立資安團隊。」

資安院不僅規劃產業資安人才培育系統,也不斷優化訓練與驗測方式,讓人才技能更貼近資安職能所需。

將產業資安人才確實分類後,下一步就進入推動職能訓練的階段,並且在訓練與驗測學習效果的過程,加強實戰(技術類)與實務(策略類、管理類)的工作元素。在產業資安在職人才培訓部分,資安院期待建立產業資安培訓的綱要與課程,並推動「一綱多本」的機制,引導通過遴選的訓練機構開發符合需求的教材;在驗測層面,資安院也計畫發展評量機制和鑑測指引,期透過建立完整評鑑制度,在未來進行以產業資安人才職能為基準的評量與證照管理。

民眾或許會好奇,是否所有職能都適用訓練與驗測這套規劃?鄭瑋舉例說明,資安院會根據各種職能的工作角色來設計訓練方式,例如資安事件應變工程師、滲透測試工程師等技術類人才,就分別需要藍隊防禦、紅隊攻擊的實戰技能;對資安長這類策略性人才來說,就格外需要個案研討或是桌上兵推來增強實務經驗;至於資安教育員、資安研究員等比較偏向教育或研發的職能,未來資安院也可能協助辦理「工作坊」或是「研討會」,讓增能與成果檢驗的方式更加多元,使產業資安人才能獲得貼近真實需求的訓練。

FortiGuard Labs 威脅情資中心的《2023 上半年全球資安威脅報告》指出,2023 上半年亞太地區共偵測到 4120 億次惡意威脅,其中台灣受惡意威脅的數量就高達 2248 億次,相當每秒就有近 1.5 萬次攻擊發生,位居亞太之冠。在這樣的現實環境中,培養更多產業資安人才、賦予人才適切技能,是各產業的首要之務。未來資安院也將在培訓產業資安人才的路途上持續努力,在日益頻繁的資安攻擊中,賦予更多人才資安職能,打造堅實防線。