為培育國內資安人才,政府持續推動相關計畫,在「教育部先進資通安全人才培育計畫」(110年-113年)中,已推動資安暑期課程(AIS3)與資安競賽,以及推動「臺灣好厲駭」等多項計畫,為了更進一步促進人才職涯與培訓,近期還有一項子計畫,是聚焦於「資安產業媒合與校友追蹤服務」,當中正發展一個名為「臺灣資安職務地圖」的項目,目的是協助此領域的求職與求才。

過去在資安領域的職能發展上,從學校到產業存在著落差,這或許是國內資安人才規畫或培訓長期以來欠缺的部分,若能讓雙方能有更好的共識,將有利於投入資安的學子瞭解未來職涯發展,而業界也能與學術界合作一起培養人才。

目前臺灣資安職務地圖才剛剛起步,負責這項子計畫的計畫主持人,是先前擔任輔仁大學理工學院院長,現為該校特聘教授的許見章,他表示,現階段這份資安職務地圖,首先聚焦於軟體與服務的新興資安產業。

之所以進行這項人才規畫,主要是資安領域非常廣泛,不只是資安產業需要人才,各種產業也需要資安人才,再加上有不同性質的資安產業,以及存在各種產業的公司,使得資安人才供需呈現多元的形態。

因此,在教育部資安人才培育計畫的脈絡之下,許見章所帶領的團隊,先聚焦新興資安公司,以此為起點,再逐步納入更多產業及政府等機構的完整人才職能地圖,以及培訓課程藍圖。

建立產官學通用語言,盼加速資安職能的學習

關於臺灣資安職務地圖的建立與必要性,許見章表示,目前存在著許多好機會。

例如,現在許多政府補助業界的計畫,均要求至少編列7%資安經費,以強化資安作為,這也造就了國內許多新興資安公司應運而生,同時也讓很多資安工作職務浮現,促成新的工作機會。

不過,該如何適才適用?在執行「資安產業媒合與校友追蹤服務」子計畫時,他們發現,市場上提出的資安職缺可說是五花八門,有很多不同樣態,例如,有些小型資安公司多未設置人力資源(HR)職務,加上許多公司是根據營運目標,或是業務需求,來列出需要的職缺及工作內容,因此,基本上,許多資安人才職缺,都是基於專案或客戶需求而設立。

然而,這也造就了職務名稱與工作內容相當多元的現象,使得有心從事資安工作的在校生或轉職者,不易了解所要投入的工作內容,最後導致產生學非所用或大材小用的衝突。

儘管勞動部有「標準職業分類」及「通俗職業分類」,但可能無法對應到資安職務。相較之下,我們需要參考的具體標準,可能會是美國NIST提出的SP 800-181,亦即國家網路安全教育計畫(NICE),當中已定義出完整的職務角色、任務、知識、技術及能力描述。臺灣目前雖有許多機構能研讀相關文件,但這需要內化,將其轉換,形成國內資安產業可用的完整資安人才培育地圖。

因此,建立臺灣本地適用的資安職務地圖就很重要。許見章表示,這麼做的好處有三點:第一,定義出共通的語言、工作內容及技術能力,可利於產官學界使用相同語言,彼此溝通能夠更聚焦;第二,對於求才方及求職方而言,在工作內容與技術能力,能有一致共識;第三,學界培養人才時,也能因此更符合實務需求。

綜觀國內資安人才需求現況,單就人力銀行列出的資安相關所有職缺,每個月都有多達1,000個以上,因此,如何定義出共通語言、工作內容,以及技術能力等,是現今資訊及資安等不同產業領域都需要的,才能加速人才媒合。

畫分12大職務、4大基本職能,以及13大專業職能

關於這個資安職務地圖的設計,許見章表示,主要參考的資訊,包括:美國NIST的NICE人才框架,NICE之下的Cyberseek研究專案,以及國內勞動部標準職業分類及通俗職業分類、行政院技服中心資安職能訓練發展藍圖等諸多內容,透過反向推導的方式,亦即由企業求才職缺內容,對照至上述資料而發展出來。

以新興資安產業版的臺灣資安職務地圖而言,目前如何畫分?當中總共有12項職務。

最基礎的層級,是5大初階職務,包含:資安檢測工程師、資安產品工程師、事件反應工程師、資安鑑識工程師、資安稽核工程師。

更上一層是4大中階職務,包含:滲透及漏洞測試工程師、資安分析師、資安顧問師、資安產品開發工程師。

最頂級共有3大高階職務,包含:資安工程師、資安架構師,以及資安專案經理。

同時,每個職務都提供對應的基本職能、專業職能、管理職能、證照、工作態度與起薪。

此外,上述這12大職務中的10項,其實與Cyberseek綜整出的10大職務相當。

簡單來說,現階段許見章及其團隊已歸納出4大基本職能,以及13大專業職能。以基本職能而言,包括:程式開發及偵測,作業系統操作及管理,資通安全概論,以及領域知識;以專業職能而言,分成資安產品布署及管理,資安檢測,資安事件應變處理及分析,資安鑑識與處理,以及弱點掃描、入侵偵測及滲透測試,弱點分析及修補,惡意程式檢測及分析,威脅情資收集、探勘與分析,駭客攻防,通訊網路安全,網路架構安全,風險評估,以及安全系統開發。

而在每項專業職能上,許見章也列出具體能力描述。舉例來說,以資安產品布署及管理而言,內含5項知識能力,包括:資安設備規畫建置、部署與維護,規畫設計資安整體架構,設備優化及調整,整合資安產品,雲端安全方案規畫與部署。

因此,基於這份臺灣資安職務地圖的指引,能讓不同角度的人了解資安人才需求;對於求職者而言,可依其興趣,由職務地圖規畫學涯及生涯學習路徑;對於產業界而言,將可依其需求,由職務職能地圖來檢視對求才職位的適合性;對於學校及資安訓練機構而言,則能夠依照教育目標與核心能力養成,開設對應的職能訓練課程。

關於目前各公司公開招募的資安人才需求,從國內外求職網站可得知熱門類型。若交叉比對臺灣資安職務地圖,會呈現何種面貌?他表示,在國內,資安工程師、資安分析師需求最高,其次是滲透及漏洞測試工程師、資安顧問師、資安檢測工程師、資安產品開發工程師,若以Cyberseek的10大職務來看,國際需求以資安工程師最強,其次為資安分析師、滲透及漏洞測試工程師。概略而言,國內與國際的需求相當。

產業資安將是下一重點,建立各領域資安人才發展藍圖

資安人才需求的涵蓋範圍泛,新興資安產業只是其中一環。但若論及「產業資安」,這層面的人才需求是什麼?

許見章表示,新興資安產業與產業資安的人才需求,有很大不同,前者如前所述的12大職務,後者是以傳統資訊人才加入特定領域需求的資安技能。例如,金融產業資安人才就偏重「資安治理」、「資安防禦」及「資安監控」為主,該產業的資安人才職能,則以防護監控、事件分析、系統網路、軟體安全、數位鑑識、資安法規等為主。換言之,不同領域的資安人才需求,彼此之間會有很大的差異,未來他也會逐步發展出不同版本。

綜觀此一發展,未來若各界也能給予更多意見,也將讓這類計畫有更多持續發展與進化的力道。

至於產業資安領域中,臺灣對於人才的需求與培育,近期也日益熱絡。例如,金管會去年發布了金融機構資安職能地圖,這是以金融資安產業需求為出發,內容也已相當完善、具體。隨著未來更多這類型計畫的進行,將有利於在學者的準備,有志從事資安工作者的求職,以及公司的求才,許多學校及資安訓練機構在開設資安訓練課程時,也能更妥善地依據核心能力養成來設計課程。

臺灣資安職務地圖-新興資安產業版

●基本職能:BC1程式開發及偵錯,BC2作業系統操作及管理,BC3資通安全概論,BC4領域知識,BC5產品知識。

●專業職能:PC1資安產品部署及管理,PC2資安檢測,PC3資安事件應變處理(通報、追蹤)及分析,PC4資安鑑識與處理,PC5弱點掃描、入侵偵測及滲透測試,PC6弱點分析及修補,PC7惡意程式檢測及分析(含反向工程),PC8威脅情資收集探勘與分析,PC9駭客攻防,PC10通訊網路安全(含監控與分析),PC11網路架構安全(含部署),PC12風險評估,PC13安全系統開發。

●管理職能:MC1專案管理

●工作態度:AT1獨立思考與研究能力,AT2具備良好溝通協調,AT3自我學系能力,AT4團隊合作精神。

資料來源:資安產業媒合與校友追蹤服務計畫主持人許見章,iThome整理,2022年5月

在教育部先進資通安全實務人才培育計畫之下,負責子計畫4「資安產學媒合與校友追蹤服務計畫」的計畫主持人許見章表示,目前臺灣資安職務地圖現在正發展新興資安產業版,以此為起點,未來還將繼續開發不同版本。這項計畫的團隊成員還有兩位計畫協同主持人,分別是來自臺灣科技大學資訊工程系的教授鮑興國、來自元智大學資訊工程學系的助理教授林家瑜,以及計畫專任助理詹雅婷。(資料照片/洪政偉攝)

在2016年,美國國家標準暨技術研究院(NIST)領導的國家網路安全教育標準協會(NICE),推出一款名為「CyberSeek」的互動式線上工具,目的在幫助資安領域求職者提供更多就業機會,同時幫助企業們識別員工所需的技能,當中並畫分出10個核心資安職位。
ENTRY-LEVEL:Cybersecurity Specialist、Cyber Crime Analyst、Incident & Intrusion Analyst、IT Auditor
MID-LEVEL:Cybersecurity Analyst、Cybersecurity Consultant、
Penetration & Vulnerability Tester
ADVANCED-LEVEL:Cybersecurity Manager、Cybersecurity Engineer、Cybersecurity Architect

不同產業資安人才需求有別,除了學界出力,近期臺灣金融產業在此方面也進行相關人才地圖的規畫。例如。在2021年6月時,金融監督管理會發布金融資安人才職能地圖,當中將架構類別分為監督治理、安全開發及資安維運等三項,並設計出學習地圖,供金融業者、周邊單位、培訓機構、資安人員及有意願投入金融資安領域之民眾參考。


熱門新聞

Advertisement