同時,對於有意加強資安的企業,以及有意往資安專業發展的學生、轉職人士,都能更清楚要加強的面向。 因此,如果能有一個通用的資安「職能基準」,其最大意義就是讓大家在溝通時,就能更精確地表述企業與組織本身培養哪些人才,以及自己需要哪類人才,讓需求可以更為精確。 特別的是,為了辨別資安人才缺口,資安院人培中心已先進行了一項調查,在2022年5月公布的需求調查結果中,他們發現我國企業的資安相關求職廣告中,懸缺最多的是在第一線進行維運防禦的人才,比例高達54.25%,從客觀角度來看,這結果很可能與學校近年積極培養的研發人才方向不太吻合。 不過,由於NICE對於資安專業能力的分類更為細膩,因此,他們會將其內容,也就是針對當中的知識、技術與能力(KSAs)描述進一步提煉,以便對應到12類的資安人才類別。 一、初次受核定或等級變更後之一年內,至少二名資通安全專職人員,分別各自持有證照及證書各 一張以上,並持續維持證照及證書之有效性。
- 同時,對於有意加強資安的企業,以及有意往資安專業發展的學生、轉職人士,都能更清楚要加強的面向。
- 鄭瑋解釋,關於職能標準的研究分析與開發,若研究員是根據自身經驗、從主觀的角度出發,是可以很快完成這項工作,但若要秉持客觀與嚴謹性,將有很多嚴謹的資訊組織原則要考慮。
- 培訓學員習得資訊安全工作之相關知識與技能,藉由組織內部能力或尋求外部廠商、專家協助,建立組織符合法規與組織安全需求之系統、網路與安全防護架構,並具備執行相關維運作業與執行資訊安全相關活動之職能基礎。
- 國立中興大學創新產業暨國際學院108年起取得中區資安職能訓練機構資格,也是中區唯一的資安職能評量考場,兩年開辦14班,為中部地區重要的資安人員培訓機構。
本課程採直播或現場授課之方式實施並配合本機與ALS演練平台進行演練;讓學員得以實踐主機端及應用程式端的入侵/滲透基礎操作,以提升其維護或委外監督之能力。 她表示,NISTCyberseek的做法可以參考,不過,這樣的網站看來可能還是有點複雜,他們日後若要做,應該會讓網站更簡明一些。 她還提到人培中心最近也在籌備翻新網站,未來的展望是讓我國的資安人才也能有這樣的入口,可以在上面得到所需的資訊與資源。 她表示,制定職能基準與其他制定標準的工作是一樣的,不只完成報告文件,而是要建立系統性的方法與規範。 而資訊科學當中的有些原則,可以幫助人們在組織資訊的同時,顧及分類的嚴謹性、可靠性與實用性。 整體而言,從整體市場來看,未來有了資安職能基準,就能更快、更有機會達成「供需平衡」。
資安職能訓練: 課程大綱
而從具體行動目標來看,可分為4大步驟,包括:(一)辨別人才缺口,(二)打造資安人才職能框架,(三)發展資安培訓綱要與課程,(四)發展評量機制與鑑測指引。 隨著近年各國相繼推動資安人才技能框架,包括國際上知名的美國NICE網路安全人才框架,以及歐盟的ECSF網路安全技能框架,期望為當地資安人才培育,奠定更好的基礎,而臺灣政府同樣重視這樣的議題。 教育部目前積極在學校的資安教育,發展及推廣「資安認知教育課程(通識)」、「重要核心資安課程」、「進階資安課程」及「跨領域資安應用」等資安人才技術能力與專業。
一、初次受核定或等級變更後之一年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。 資安職能訓練2023 2.「資通安全職能訓練」指經行政院資通安全處認證之資安訓練機構舉辦之資安職能訓練課程(取得方式詳附件)。 依據資訊作業委外服務參考原則,針對資訊作業委外安全之定義、作業形態、策略、生命週期(SDLC)、風險說明與處理及委外利害關係人分工與風險溝通等,進行說明解釋,讓學員了解資訊委外整體性並進行軟體稽核作業。
資安職能訓練: 報名方式
之所以選擇ECSF,主要原因在於,ECSF所定義的12種人才類別,比起NICE框架的52類別來得簡明,亦可能較適合臺灣。
更困難的一點在於,需要建立可重複的研究方法,讓未來大部分的專家都能按照該「方法」去匹配這些職能元素,這很可能會是最花時間的挑戰。 因為,如果要將ECSF框架對接到NICE框架,市場上還沒有出現較為可信且權威的版本,估計需要數年進行研究分析。 政府組態基準簡稱(GCB)目的在於規範資通設備(如:密碼長度、更新期限、螢幕保護時程等)降低成為駭客入侵管道,進而引發資安事件的風險。
資安職能訓練: 課程費用與繳費
以發展職能的細項來說,技能與知識的排列與區分,應該要由最基礎到最進階,由具體目標到抽象目標。 具體來說,教育學者有提出很多和理解知識相關的詞彙框架,以一項知識為例,「暸解」、「識別」這些動詞應出現在較為基礎的知識層級,而「分析」與「應用」、「評估」則會出現在較為進階的層級。 不能隨意選擇「看似合理」、「看似就是這樣翻譯」、「研究員主觀覺得沒問題」的詞彙。 資安職能訓練 基本上,所有的職能元素,包含工作角色、任務、知識、技能、能力使用的詞性、語法、語意都需要積極管理。 舉例來說,NICE框架中的「知識」項目,便沒有使用動詞,而是使用名詞,因為知識是去理解一件事情,它本身就是一件事情(名詞);同樣是運用和執行一項工具(英文的uptake),也不能因為中文的詞彙差不多,而隨心所欲地有時採取「使用」,有時又採取「利用」或「運用」,如果這麼任性而為,也就不是「標準」了。
教育部表示,第一期計畫已開設資通安全職能訓練課程12班次,受訓學員共計263人次,為確保教育體系資通安全職能訓練課程教學品質,採小班實體教學,每班學員約在20至30人之間,完成資安職能訓練課程後一年內可參加行政院國家資通安全會報技術服務中心評量測驗,通過者可取得證書。 在此之前,臺灣的各個公部門,針對不同範疇和對象,也已經形成了各式資安職能基準相關資源。 例如,過去技服中心提出「資安職能訓練發展藍圖」,主要適用於公務機關人員,當中從策略、管理、技術(網路管理、事件處理、資安檢測、軟體安全)等面向出發,發展公務機關所需資安職能課程與教材。 以上述例子而言,如果雙方都知道徵求的職缺,其實,是與ECSF的CyberSecurityImplementer職能有關,如此一來,在媒合上將會更有效率。 資安職能訓練 二、單位的資訊人員(定義)管理核心資通系統或資訊人員也要符合資安法要求。
資安職能訓練: 教育訓練/線上課程
為強化資安專職(責)人員職能訓練學習成效,依「資安職能訓練發展藍圖」學習路徑(基礎→專業),自本(111)年7月1日起資安職能訓練增加科目先備條件如下: (一) 未持有「資通安全概論」評量有效證書者,僅可報名「基礎」科目(即「資通安全概論」)。 (二) 持有「資通安全概論」評量有效證書者,可報名「專業」科目,續依課程發展藍圖分策略面、管理面、技術面報名,並取得資安職能評量證書。 興大創新產業暨國際學院王升陽院長指出,中區資安職能訓練機構至今兩年,資安職能訓練相關業務開班成長80%,學員人次成長107%,可見各界對資通安全之重視及人才需求之迫切。 資安為臺灣未來核心產業,興大配合國家「資安即國安」之政策,提供專業的師資及教學設備,為政府各機關訓練資安專業人才,建立資訊安全管理面與技術面之知識與能力,為民眾的資通安全把關。 中興大學創新產業暨國際學院所開設的資安系列課程,包含資通安全概論、資安健診、資通系統風險管理、WEB應用程式安全等,由興大資訊管理學系林詠章主任帶領專業師資群授課,學員主要來自公務機關及特定非公務機關,各機關依資通安全責任等級報名評量考取相關證照。 培訓學員習得資訊安全工作之相關知識與技能,藉由組織內部能力或尋求外部廠商、專家協助,建立組織符合法規與組織安全需求之系統、網路與安全防護架構,並具備執行相關維運作業與執行資訊安全相關活動之職能基礎。
另外,鄭瑋也特別提及,今年還有一項重點執行項目就是,全民資安意識的推廣,會在第二季緊鑼密鼓展開。 這是因為,有了職能參考基準,資安院人培中心將能更精準觀察國內整體人才培育的現況,包括:可精準盤點人力資源,釐清人力流向與缺口,並可以方便推動後續的課程規畫、開發課程、與發展鑑測指引。 在臺灣,除了在金融與新興資安產業等領域已有發展,更值得我們關注的是,在我國數位發展部監督下的行政法人國家資通安全研究院,旗下人才培力中心如今亦開始行動,將打造臺灣資安「職能參考基準」,並且是各產業都能通用的內容,提供更貼近於國內環境的資安職能資源。 國立中興大學創新產業暨國際學院108年起取得中區資安職能訓練機構資格,也是中區唯一的資安職能評量考場,兩年開辦14班,為中部地區重要的資安人員培訓機構。 日前該學院歷經眾多學校競爭訓練機構遴選,今年榮獲行政院資通安全處一期三年的中區資安職能訓練機構資格。 初次受核定或等級變更後之二年內,全部核心資通系統導入CNS 或ISO27001 等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可之標準,於三年內完成公正第三方驗證,並持續維持其驗證有效性。
資安職能訓練: 開發通用職能基準的挑戰很大,而且建構可重複研究方法很耗時
以目前資安院人培中心的計畫來看,預計是每年選定2到3種人才類型,完成職能參考基準與課綱的規畫,而第一年首先聚焦的是「資安長」與「事件分析工程師」。 資安職能訓練2023 鄭瑋表示,在評估國際間近年所推行的資安技能框架之後,包括美國、歐洲、加拿大、澳洲與新加坡等,他們認為,美國的NICE框架及歐洲ECSF框架,其實都提供很好的基礎,可以作為我國在發展職能參考基準時的基底,現在已決定以歐盟的ECSF框架,作為中心規畫的主要參考。 在現今網路資訊高度發展的時代,電腦與網路等資訊系統不但成為各國關鍵基礎建設,更成為現代國家或區域衝突的重點攻擊對象,直接影響國家競爭力和全民福祉。 資安職能訓練 面對這樣的發展趨勢,從政府到企業,對於維護個資、保護其(數位)資產的安全,已然成為必要且必備之基礎能力。
- 她表示,制定職能基準與其他制定標準的工作是一樣的,不只完成報告文件,而是要建立系統性的方法與規範。
- 例如,過去技服中心提出「資安職能訓練發展藍圖」,主要適用於公務機關人員,當中從策略、管理、技術(網路管理、事件處理、資安檢測、軟體安全)等面向出發,發展公務機關所需資安職能課程與教材。
- 而從具體行動目標來看,可分為4大步驟,包括:(一)辨別人才缺口,(二)打造資安人才職能框架,(三)發展資安培訓綱要與課程,(四)發展評量機制與鑑測指引。
- 之所以選擇ECSF,主要原因在於,ECSF所定義的12種人才類別,比起NICE框架的52類別來得簡明,亦可能較適合臺灣。
- 更困難的一點在於,需要建立可重複的研究方法,讓未來大部分的專家都能按照該「方法」去匹配這些職能元素,這很可能會是最花時間的挑戰。
- 一、初次受核定或等級變更後之一年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
- 特別的是,為了辨別資安人才缺口,資安院人培中心已先進行了一項調查,在2022年5月公布的需求調查結果中,他們發現我國企業的資安相關求職廣告中,懸缺最多的是在第一線進行維運防禦的人才,比例高達54.25%,從客觀角度來看,這結果很可能與學校近年積極培養的研發人才方向不太吻合。
一、各班次各機關(構)限派2名,每班總額30人,報名額滿其餘列為備取。 報名者經審核後符合資格者,由訓練機構通知繳費,完成繳費始得參與訓練。 補助程序依各訓練機構辦理,3日課程派訓機關需支付4,000元、2日課程派訓機關需支付3,000元: ● 學員身份為資通安全責任等級A、B、C級公務機關人員。 四、學雜費於報名繳費後至訓練日前書面申請退費者,退還已繳費用90%;自訓練日起申請退費者,不予退還。
