人才培訓規劃必須契合產業需求,才能培養產業所需人才,因此人才培訓機制應從產業人才需求調查開始、盤點資安人才專業職能、進而展開資安學習地圖、據以規劃資安培訓課程、培訓資安專業人才,並資安人才鑑定評估人才是否具備資安專業,最後協助人才進入產業,就業媒合促進供需接軌,如圖 1 所表示。
資料來源:經濟部工業局108年度資安專業人才職能分析報告(2019/11)
圖1 資安人才培訓整體運作機制
108年經濟部委託資策會規劃資安專業人才職能分析,資策會依據產業資料蒐集及專家職務訪談結果,先將資安人才可分成三類型:技術型資安人、應用型資安人、政治型資安人,並依據各項職責細分為各項資安專業人才主要職責如下圖2。
資料來源:經濟部工業局108年度資安專業人才職能分析報告(2019/11)
圖2 產業資安專業人才主要職責
並依據上述工作職責完成產業資安專業人才職能分析定稿如表1資安技術職能、表2資安管理職能、與表3資安政策職能。
表1資安技術類職能
|
角色 |
資安技術人員、資安工程師 |
||
|
工作描述 |
負責企業系統、網路與資訊安全的日常維運與相關防護工作 |
||
|
主要職責 |
工作任務 |
行為指標 |
專業職能 |
|
網路與通訊安全 |
傳輸安全管理 無線網路管理 公開資訊與網頁安全 |
依據資訊資產分類,擬定傳輸之安全要求 依需求選擇與建置安全通道機制與產品 制定無線網路使用之準則及使用之認證方式與傳輸加密強度 定期掃描各區域之無線網路使用狀況 建置網頁監視系統 定期網頁弱點掃描並進行必要修補 |
• • • • • |
|
系統與程式安全 |
系統與開發安全管控 系統弱點管理 系統測試與驗收 |
制定符合需求之系統安全需求 了解程式碼開發安全及開發安全程式碼 定期執行弱點掃描、滲透測試 修補與追蹤相關弱點,並對無法修補之部分採行必要之補償措施 系統測試 程式原始碼掃描與修補 |
• • • • • |
|
資安服務維運 |
身分認證與存取控制 帳號、密碼與金鑰管理 日誌收容與分析管理 資料安全傳輸與備份 |
研擬資訊資產安全等級分類方式與原則 擬定權限及帳號之定期審查及變更管理流程並實作 建立稽核日誌保護機制,例如建立資安監控中心(SOC)或日誌伺服器 依特性進行系統、網路、資安與終端設備稽核日誌收容 設定系統、網路、資安與終端設備之時間同步 定期檢視設定是否正常運作 |
• • • • • • • • • • |
|
資安防護監控 |
惡意程式防護 弱點管理 威脅與攻擊手法 入侵偵測與防禦 滲透測試與漏洞修補 |
根據組織資訊安全需求,進行資安防護及監控措施 蒐集與分析駭客攻擊手法、攻擊防護與應變措施 系統、網路、資安設備、終端、應用程式等弱點資訊、通報與修補 找出作業系統、應用程式安全,資料庫與網頁等安全威脅與攻擊手法 進行作業系統、網站、應用程式等滲透測試與源碼測試 |
• • • • • • |
|
事故應變處理 |
事故通報與期初處理 事故分析與修復 事故鑑識與證據留存 備援機制規劃與實作 緊急應變與營運持續規劃 |
事故偵測與通報 事故期初處置,以減少中斷時間 針對事故發生原因,進行評估與分析 保存必要之證據以作為相關法律議題處理之資料 建置備援系統與備援機制 制定緊急應變計畫書與營運持續作業程序 |
• • • • • |
|
新興科技安全 |
雲端維運安全管理 行動裝置安全管控 物聯網安全 其他新興科技導入安全管理 |
了解雲端架構及協助進行雲端維運安全管理 了解行動裝置安全議題並協助建置行動裝置安全管控機制 了解物聯網安全議題並協助建置行動裝置安全管控機制 |
• • • • • |
資料來源:經濟部工業局108年度資安專業人才職能分析報告(2019/11)
表2資安管理類職能
|
角色 |
資安管理/規劃人員、資安經理人 |
||
|
工作描述 |
建立符合法規與組織安全需求之資訊安全架構,並維運組織資訊安全相關活動 |
||
|
主要職責 |
工作任務 |
行為指標 |
專業職能 |
|
資安架構規劃 |
資訊安全管理系統 網路與系統架構規劃 系統安全管控規劃 資安架構規劃 委外管控 |
具備資訊安全管理系統(ISMS)之基本觀念與建置實務 與關鍵利害關係人討論以找出網路、主機、終端設備之安全要求 針對網路服務、協定及相關支援,設計相對的安全機制 依據安全要求,選擇與建置合適之資安防護設備 制定委外合約,明定所有資訊安全相關要求,並監督委外廠商之合約履行 |
端點安全架構 網路安全架構 系統安全架構 委外監督管理 惡意程式檔案分析 |
|
資產與風險管理 |
建立資產清冊 風險分析與評估 風險處理 |
建立符合需求之資訊資產分類方式 盤點並建立資產清冊 討論與決定可接受風險判定準則 進行風險分析與評估並產製報告 擬定風險處理計畫 確認計畫有效性 |
資產安全等級分類 資產清冊建立與盤點 風險分析與評估 風險處理方式 風險計畫訂定 通報應變作業管理 持續改善作業管理 |
|
資安法規遵循 |
識別適用法規 個人料保護與智慧財產權 獨立稽核與遵循性檢查 |
識別產業所需遵循法規 維運作業對個人資料蒐集、處理、利用,皆需符合個人資料保護法 文字、文宣、圖片、軟體、音樂等使用需符合著作權法 針對所有重要業務進行獨立稽核 定期確認法規遵循性 |
標準與法規識別 資通安全管理法 個人資料保護法與施行細則(含GDPR) 智慧財產權 獨立稽核作業 |
|
教育訓練 |
資安意識與認知宣導 職能教育訓練
|
協助準備意識宣導與資訊安全認知教育訓練教材 協助執行識意宣導與資訊安全教教育訓練 協助執行社交工程演練 協助準備執行資訊安全作業所需技能教育訓練教材 協助執行執行資訊作業所需技能教育訓練 |
資安認知宣導 社交工程演練 資安作業相關職能教育訓練 |
資料來源:經濟部工業局108年度資安專業人才職能分析報告(2019/11)
表3資安政策類職能
|
角色 |
資安政策制定、資安長 |
||
|
工作描述 |
主掌企業資訊安全與風險管理業務、制定相關資安政策與戰略部署 |
||
|
主要職責 |
工作任務 |
行為指標 |
專業職能 |
|
資安政策與資源配置 |
負責企業資安政策制定與核定資安資源配置 |
熟悉資訊安全政策、資訊安全管理制度與相關規範 訂定組織資訊安全目標風險管理計畫,使之符合規範 配置資安相關資源包含人員與資產等 |
資訊安全政策制定與規範 資訊安全目標及計劃 資訊安全之角色及責任 資安資源配置 |
|
資安治理與監督 |
負責組織資安治理與監督管理 |
依據資安目標,跨部門溝通協調,使公司不同單位符合資安規範 規劃資安治理架構與執行治理成熟度評估 掌握資安發展趨勢,俾使公司資安政策符合趨勢發展 |
跨部門溝通協調 資安治理架構 治理成熟度評估 資安監督管理 資安趨勢 |
