資安職能分析

人才培訓規劃必須契合產業需求,才能培養產業所需人才,因此人才培訓機制應從產業人才需求調查開始、盤點資安人才專業職能、進而展開資安學習地圖、據以規劃資安培訓課程、培訓資安專業人才,並資安人才鑑定評估人才是否具備資安專業,最後協助人才進入產業,就業媒合促進供需接軌,如圖 1 所表示。

資料來源:經濟部工業局108年度資安專業人才職能分析報告(2019/11

1 資安人才培訓整體運作機制

 

108年經濟部委託資策會規劃資安專業人才職能分析,資策會依據產業資料蒐集及專家職務訪談結果,先將資安人才可分成三類型:技術型資安人、應用型資安人、政治型資安人,並依據各項職責細分為各項資安專業人才主要職責如下圖2

資料來源:經濟部工業局108年度資安專業人才職能分析報告(2019/11

2 產業資安專業人才主要職責

 

並依據上述工作職責完成產業資安專業人才職能分析定稿如表1資安技術職能、表2資安管理職能、與表3資安政策職能。

1資安技術類職能

角色

資安技術人員、資安工程師

工作描述

負責企業系統、網路與資訊安全的日常維運與相關防護工作

主要職責

工作任務

行為指標

專業職能

網路與通訊安全

Ÿ 傳輸安全管理

Ÿ 無線網路管理

Ÿ 公開資訊與網頁安全

Ÿ 依據資訊資產分類,擬定傳輸之安全要求

Ÿ 依需求選擇與建置安全通道機制與產品

Ÿ 制定無線網路使用之準則及使用之認證方式與傳輸加密強度

Ÿ 定期掃描各區域之無線網路使用狀況

Ÿ 建置網頁監視系統

Ÿ 定期網頁弱點掃描並進行必要修補

防火牆配置

無線網路安全

公開資訊與網頁安全

通訊安全

網路路由與網路服務

系統與程式安全

Ÿ 系統與開發安全管控

Ÿ 系統弱點管理

Ÿ 系統測試與驗收

Ÿ 制定符合需求之系統安全需求

Ÿ 了解程式碼開發安全及開發安全程式碼

Ÿ 定期執行弱點掃描、滲透測試

Ÿ 修補與追蹤相關弱點,並對無法修補之部分採行必要之補償措施

Ÿ 系統測試

Ÿ 程式原始碼掃描與修補

設定安全組態

作業系統安全

資料庫管理

平台攻擊手法

程式與開發安全

資安服務維運

Ÿ 身分認證與存取控制

Ÿ 帳號、密碼與金鑰管理

Ÿ 日誌收容與分析管理

Ÿ 資料安全傳輸與備份

Ÿ 研擬資訊資產安全等級分類方式與原則

Ÿ 擬定權限及帳號之定期審查及變更管理流程並實作

Ÿ 建立稽核日誌保護機制,例如建立資安監控中心(SOC)或日誌伺服器

Ÿ 依特性進行系統、網路、資安與終端設備稽核日誌收容

Ÿ 設定系統、網路、資安與終端設備之時間同步

Ÿ 定期檢視設定是否正常運作

帳號密碼管理

最小權限

身分認證與存取控制

加解密管理

金鑰管理

密碼學原理與應用

傳輸安全管理

日誌收容分析管理

時間同步

資料安全與備份

資安防護監控

Ÿ 惡意程式防護

Ÿ 弱點管理

Ÿ 威脅與攻擊手法

Ÿ 入侵偵測與防禦

Ÿ 滲透測試與漏洞修補

Ÿ 根據組織資訊安全需求,進行資安防護及監控措施

Ÿ 蒐集與分析駭客攻擊手法、攻擊防護與應變措施

Ÿ 系統、網路、資安設備、終端、應用程式等弱點資訊、通報與修補

Ÿ 找出作業系統、應用程式安全,資料庫與網頁等安全威脅與攻擊手法

Ÿ 進行作業系統、網站、應用程式等滲透測試與源碼測試

惡意程式防護

弱點檢測與管理

網路/系統威脅與攻擊手法與對策

入侵偵測與防禦

滲透測試與漏洞修補

原始碼掃描與追蹤修改

事故應變處理

Ÿ 事故通報與期初處理

Ÿ 事故分析與修復

Ÿ 事故鑑識與證據留存

Ÿ 備援機制規劃與實作

Ÿ 緊急應變與營運持續規劃

Ÿ 事故偵測與通報

Ÿ 事故期初處置,以減少中斷時間

Ÿ 針對事故發生原因,進行評估與分析

Ÿ 保存必要之證據以作為相關法律議題處理之資料

Ÿ 建置備援系統與備援機制

Ÿ 制定緊急應變計畫書與營運持續作業程序

事故通報與期初處理

事故分析與修復

事故鑑識與證據留存

營運持續作業方式

緊急應變與持續改善

新興科技安全

Ÿ 雲端維運安全管理

Ÿ 行動裝置安全管控

Ÿ 物聯網安全

Ÿ 其他新興科技導入安全管理

Ÿ 了解雲端架構及協助進行雲端維運安全管理

Ÿ 了解行動裝置安全議題並協助建置行動裝置安全管控機制

Ÿ 了解物聯網安全議題並協助建置行動裝置安全管控機制

新興科技導入與安全

雲端安全管理

行動裝置安全

物聯網安全

AI智能安全

資料來源:經濟部工業局108年度資安專業人才職能分析報告(2019/11

 

2資安管理類職能

角色

資安管理/規劃人員、資安經理人

工作描述

建立符合法規與組織安全需求之資訊安全架構,並維運組織資訊安全相關活動

主要職責

工作任務

行為指標

專業職能

資安架構規劃

Ÿ 資訊安全管理系統

Ÿ 網路與系統架構規劃

Ÿ 系統安全管控規劃

Ÿ 資安架構規劃

Ÿ 委外管控

Ÿ 具備資訊安全管理系統(ISMS)之基本觀念與建置實務

Ÿ 與關鍵利害關係人討論以找出網路、主機、終端設備之安全要求

Ÿ 針對網路服務、協定及相關支援,設計相對的安全機制

Ÿ 依據安全要求,選擇與建置合適之資安防護設備

Ÿ 制定委外合約,明定所有資訊安全相關要求,並監督委外廠商之合約履行

Ÿ ISMS標準控制項

Ÿ 端點安全架構

Ÿ 網路安全架構

Ÿ 系統安全架構

Ÿ 委外監督管理

Ÿ 惡意程式檔案分析

資產與風險管理

Ÿ 建立資產清冊

Ÿ 風險分析與評估

Ÿ 風險處理

Ÿ 建立符合需求之資訊資產分類方式

Ÿ 盤點並建立資產清冊

Ÿ 討論與決定可接受風險判定準則

Ÿ 進行風險分析與評估並產製報告

Ÿ 擬定風險處理計畫

Ÿ 確認計畫有效性

Ÿ 資產安全等級分類

Ÿ 資產清冊建立與盤點

Ÿ 風險分析與評估

Ÿ 風險處理方式

Ÿ 風險計畫訂定

Ÿ 通報應變作業管理

Ÿ 持續改善作業管理

資安法規遵循

Ÿ 識別適用法規

Ÿ 個人料保護與智慧財產權

Ÿ 獨立稽核與遵循性檢查

Ÿ 識別產業所需遵循法規

Ÿ 維運作業對個人資料蒐集、處理、利用,皆需符合個人資料保護法

Ÿ 文字、文宣、圖片、軟體、音樂等使用需符合著作權法

Ÿ 針對所有重要業務進行獨立稽核

Ÿ 定期確認法規遵循性

Ÿ 標準與法規識別

Ÿ 資通安全管理法

Ÿ 個人資料保護法與施行細則(GDPR)

Ÿ 智慧財產權

Ÿ 獨立稽核作業

教育訓練

Ÿ 資安意識與認知宣導

Ÿ 職能教育訓練

 

Ÿ 協助準備意識宣導與資訊安全認知教育訓練教材

Ÿ 協助執行識意宣導與資訊安全教教育訓練

Ÿ 協助執行社交工程演練

Ÿ 協助準備執行資訊安全作業所需技能教育訓練教材

Ÿ 協助執行執行資訊作業所需技能教育訓練

Ÿ 資安認知宣導

Ÿ 社交工程演練

Ÿ 資安作業相關職能教育訓練

資料來源:經濟部工業局108年度資安專業人才職能分析報告(2019/11

 

3資安政策類職能

角色

資安政策制定、資安長

工作描述

主掌企業資訊安全與風險管理業務、制定相關資安政策與戰略部署

主要職責

工作任務

行為指標

專業職能

資安政策與資源配置

負責企業資安政策制定與核定資安資源配置

Ÿ 熟悉資訊安全政策、資訊安全管理制度與相關規範

Ÿ 訂定組織資訊安全目標風險管理計畫,使之符合規範

Ÿ 配置資安相關資源包含人員與資產等

Ÿ 資訊安全政策制定與規範

Ÿ 資訊安全目標及計劃

Ÿ 資訊安全之角色及責任

Ÿ 資安資源配置

資安治理與監督

負責組織資安治理與監督管理

Ÿ 依據資安目標,跨部門溝通協調,使公司不同單位符合資安規範

Ÿ 規劃資安治理架構與執行治理成熟度評估

Ÿ 掌握資安發展趨勢,俾使公司資安政策符合趨勢發展

Ÿ 跨部門溝通協調

Ÿ 資安治理架構

Ÿ 治理成熟度評估

Ÿ 資安監督管理

Ÿ 資安趨勢

資料來源:經濟部工業局108年度資安專業人才職能分析報告(2019/11

資安人才培訓及國際推展計畫 版權所有 © 2020 本網站為經濟部工業局委辦,著作權為其所有,非經同意,不得為任何形式之利用