開啟臺灣通用資安職能基準之路， 資安院人培中心積極展開行動

隨著近年各國相繼推動資安人才技能框架，包括國際上知名的美國NICE網路安全人才框架，以及歐盟的ECSF網路安全技能框架，期望為當地資安人才培育，奠定更好的基礎，而臺灣政府同樣重視這樣的議題。

在臺灣，除了在金融與新興資安產業等領域已有發展，更值得我們關注的是，在我國數位發展部監督下的行政法人國家資通安全研究院，旗下人才培力中心如今亦開始行動，將打造臺灣資安「職能參考基準」，並且是各產業都能通用的內容，提供更貼近於國內環境的資安職能資源。

資安院將開發國內通用的「職能基準」，未來亦有政府機關版本

關於這份資安「職能參考基準」如今的發展情形如何？是否針對國內資安人才培育能提出整體性的推動戰略？都是不少人非常想瞭解的。

簡單來說，國家資通安全研究院前身是行政院國家資通安全會報技術服務中心（簡稱技服中心），與原國家實驗研究院資安卓越中心整併改制而成。

對此，國家資通安全研究院人才培力中心鄭瑋表示，為了健全資安人才生態發展，目前人培中心已有整體規畫，將從需求出發，並以三大層面作為發展方向，分別是：基礎資安教育、中階在職培訓，以及進階專業培養，藉此建構出我國資安人才培育生態。

而從具體行動目標來看，可分為4大步驟，包括：（一）辨別人才缺口，（二）打造資安人才職能框架，（三）發展資安培訓綱要與課程，（四）發展評量機制與鑑測指引。

由此可見，打造資安人才職能框架，發展完整職能參考基準，就是整體發展的一個重要階段。

在此之前，臺灣的各個公部門，針對不同範疇和對象，也已經形成了各式資安職能基準相關資源。例如，過去技服中心提出「資安職能訓練發展藍圖」，主要適用於公務機關人員，當中從策略、管理、技術（網路管理、事件處理、資安檢測、軟體安全）等面向出發，發展公務機關所需資安職能課程與教材。 

此外，還有金管會的金融資安人才職能地圖，以及教育部針對新興資安產業人才的職能地圖等。

在2023年，隨著全球各國發展資安人才技能框架的態勢，對於國內整體環境，不論產業資安、資安產業，如今的國家資通安全研究院人才培力中心（以下簡稱資安院人培中心），已經開始著手行動，將設計一個通用的資安職能參考基準，之後再由主責機關頒布為資安「職能基準」。另外，後續他們還將會與資安署合作，發展政府機關人才專用的版本。

現階段，這份資安職能參考基準已有初步進展。鄭瑋表示，在評估國際間近年所推行的資安技能框架之後，包括美國、歐洲、加拿大、澳洲與新加坡等，他們認為，美國的NICE框架及歐洲ECSF框架，其實都提供很好的基礎，可以作為我國在發展職能參考基準時的基底，現在已決定以歐盟的ECSF框架，作為中心規畫的主要參考。

之所以選擇ECSF，主要原因在於，ECSF所定義的12種人才類別，比起NICE框架的52類別來得簡明，亦可能較適合臺灣。

畢竟，在臺灣的產業結構中，對於中型企業、小型企業或政府機關而言，通通常需要組建規模較小、但功能全面的資安團隊，因此，12個類別會是更容易推行與實施。

不過，由於NICE對於資安專業能力的分類更為細膩，因此，他們會將其內容，也就是針對當中的知識、技術與能力（KSAs）描述進一步提煉，以便對應到12類的資安人才類別。

簡言之，我國的資安職能參考基準，主要以ECSF的12類人才類別為主要參考，其細節則是借助NICE框架的定義來設計。不過，鄭瑋表示，這也將是目前開發資安職能標準上的一大挑戰。

因為，如果要將ECSF框架對接到NICE框架，市場上還沒有出現較為可信且權威的版本，估計需要數年進行研究分析。

以目前資安院人培中心的計畫來看，預計是每年選定2到3種人才類型，完成職能參考基準與課綱的規畫，而第一年首先聚焦的是「資安長」與「事件分析工程師」。換言之，這兩類人才也是現在國內環境最迫切的需要。

為了建立臺灣通用的資安職能參考基準，國家資通安全研究院人才培育中心展開行動，將以歐洲ECSF框架所定義的12種人才類別為主要考參。從美國NICE框架KSA知識體系提煉與對應，以建構一套客觀與嚴謹，且符合我國使用的職能基準

目前最欠缺維運防禦人才，有了職能基準，能使需求變得更精確

為何各國都在積極推動資安人才框架？為何臺灣發展資安「職能基準」很重要？

鄭瑋指出，過去，資通安全被認為是籠統的大專業，大家並未對「資安人才」的職能加以區分。

而從多年來的人力供需狀況來看，企業實際上是缺人的，學校雖然是培養資安技術與架構的研發人才的主力，但這些人才畢業之後，有很大的比例可能會流向其他行業。

特別的是，為了辨別資安人才缺口，資安院人培中心已先進行了一項調查，在2022年5月公布的需求調查結果中，他們發現我國企業的資安相關求職廣告中，懸缺最多的是在第一線進行維運防禦的人才，比例高達54.25%，從客觀角度來看，這結果很可能與學校近年積極培養的研發人才方向不太吻合。

因此，如果能有一個通用的資安「職能基準」，其最大意義就是讓大家在溝通時，就能更精確地表述企業與組織本身培養哪些人才，以及自己需要哪類人才，讓需求可以更為精確。

否則，縱然求職與求才的數字是逐年靠攏，但很可能仍然處於彼此無法良好匹配的情形。

她並用一個場景來舉例說明：當一家雲端服務開發商需要一位前端工程師，並希望該人員要具備加解密、身份認證流程設計，以及實作的能力，然而，這家公司在徵才時，可能不清楚如何描述這些技能與知識的需求，因此，往往會在職缺項目當中，寫成：「有資安經驗佳」或「資訊安全相關設計」，在這樣的情況下，很可能導致具備這些專長的人才無法察覺到這個機會，而企業也很有可能因此找不到需要且適合的人才。以上述例子而言，如果雙方都知道徵求的職缺，其實，是與ECSF的CyberSecurityImplementer職能有關，如此一來，在媒合上將會更有效率。

整體而言，從整體市場來看，未來有了資安職能基準，就能更快、更有機會達成「供需平衡」。同時，對於有意加強資安的企業，以及有意往資安專業發展的學生、轉職人士，都能更清楚要加強的面向。

而從政府的角度來看，同樣也是會帶來好處。這是因為，有了職能參考基準，資安院人培中心將能更精準觀察國內整體人才培育的現況，包括：可精準盤點人力資源，釐清人力流向與缺口，並可以方便推動後續的課程規畫、開發課程、與發展鑑測指引。

國家資通安全研究院人才培力中心主任鄭瑋表示，發展資安領域的「職能基準」，是資安人才培育的一個開始，現在正在進行，2023年將先聚焦資安長與事件分析工程師的職務。另外，鄭瑋也特別提及，今年還有一項重點執行項目就是，全民資安意識的推廣，會在第二季緊鑼密鼓展開。而這正是多年來國內所一直欠缺的資安強化面向。

開發通用職能基準的挑戰很大，而且建構可重複研究方法很耗時

由於資安院人培中心的資安「職能基準」還在開發階段，甚至要數年之久，我們不禁好奇，為何需要花上這麼久的時間?再開發職能基準的過程會面臨那些挑戰？

儘管我們知道，以美國NICE框架而言，2008年提出概念，在該國多個機構的合力發展之下，也是2012年才發布，到了2020年還在持續改版。

鄭瑋解釋，關於職能標準的研究分析與開發，若研究員是根據自身經驗、從主觀的角度出發，是可以很快完成這項工作，但若要秉持客觀與嚴謹性，將有很多嚴謹的資訊組織原則要考慮。

更困難的一點在於，需要建立可重複的研究方法，讓未來大部分的專家都能按照該「方法」去匹配這些職能元素，這很可能會是最花時間的挑戰。

為了讓外界容易理解這方面的挑戰，鄭瑋進一步說明。她表示，制定職能基準與其他制定標準的工作是一樣的，不只完成報告文件，而是要建立系統性的方法與規範。而資訊科學當中的有些原則，可以幫助人們在組織資訊的同時，顧及分類的嚴謹性、可靠性與實用性。

以NICE框架的職能元素為例，關於知識、技能與能力的分類，總共有多達1千多項，要讓每一項產出的元素全部達到這些原則，需要非常細部的研究工作。至於詳細情形，鄭瑋特別用下列幾個例子來說明：

■減少用詞模糊性

在書寫或翻譯職能參考基準的元素時，需要避免使用讓人一眼看過去就無法看懂的項目，否則這份參考就不容易被使用。

■使用控制詞彙

不能隨意選擇「看似合理」、「看似就是這樣翻譯」、「研究員主觀覺得沒問題」的詞彙。基本上，所有的職能元素，包含工作角色、任務、知識、技能、能力使用的詞性、語法、語意都需要積極管理。舉例來說，NICE框架中的「知識」項目，便沒有使用動詞，而是使用名詞，因為知識是去理解一件事情，它本身就是一件事情（名詞）；同樣是運用和執行一項工具（英文的uptake），也不能因為中文的詞彙差不多，而隨心所欲地有時採取「使用」，有時又採取「利用」或「運用」，如果這麼任性而為，也就不是「標準」了。

■建立語彙之間的階層關係

以發展職能的細項來說，技能與知識的排列與區分，應該要由最基礎到最進階，由具體目標到抽象目標。具體來說，教育學者有提出很多和理解知識相關的詞彙框架，以一項知識為例，「暸解」、「識別」這些動詞應出現在較為基礎的知識層級，而「分析」與「應用」、「評估」則會出現在較為進階的層級。

■嚴謹規範元素之間的關係

之前學者專家曾提出NICE框架的缺失，例如有些KSA元素是孤懸的，也就是KSA項目制訂出來之後，卻沒有被任何工作角色對應承接，雖然後續NICE很快修正，但，這也是他們在開發上會需要注意的部分。

對於我國資安「職能基準」未來將會具備的特性，鄭瑋也透露，將強調資訊組織方法、資訊公開與互動性等特色。具體而言，他們會希望公布分類方法與細部考量，這麼做的好處是，能夠達到可再現性與可擴充性，也就是說，讓未來國家資通安全研究院內或院外的相關研究人員，都能按照同樣的方法，去擴充與維護這個職能基準，或是客製化自己需要的版本。例如，各部會可用同樣的方法，去客製化自己需要的版本，無論是醫療、關鍵基礎設施等。

當然，資料的互通性同樣有很多原則需要顧及，不論是否提供完整的，而他們也希望後期熟練後可以加快步調。

無論如何，目前這項職能基準的發展已在進行，未來也希望資安院人培中心研究員在越來越熟練之下，可以加快開發的腳步，將12種人才類型的職能基準與課綱規畫陸續完成。

建立整合就職調查的臺灣資安人才專屬網站，也是可行的方法

值得一提的是，對於未來人才培訓的規畫，我們之前注意到美國CyberSeek或歐洲CyberHEAD的作法，這些也值得借鏡，透過成立資安人才專門的網站，整合就職調查與培訓資源，並提供就職的路線，形成資安人才入口網站，讓使用者可以在這個網站得到所需的資訊與資源。

鄭瑋也對這種方式提出看法。她表示，NISTCyberseek的做法可以參考，不過，這樣的網站看來可能還是有點複雜，他們日後若要做，應該會讓網站更簡明一些。她還提到人培中心最近也在籌備翻新網站，未來的展望是讓我國的資安人才也能有這樣的入口，可以在上面得到所需的資訊與資源。

推動國內資安人才培育，資安院從三大構面發力

過去我國在國家資通安全發展方案等施政計畫之下，在資安人才培育方面依據各部會職掌，交由不同部會來處理對應的人才培育。例如，教育部主要負責大專院校人才培育、學程教育，因應資安人才培育需求形成各項計畫與子計畫（AIS3），最為著名，而 經濟部也開設產業人才相關課程與在職培訓，過去的行政院國家資通安全會報技術服務 中心，也長期針對政府機關，開發資安職能訓練課程教材，辦理資安系列競賽以挖掘潛在資安人才等。 如今，隨著數位發展部國家資通安全研究院的設置，資安院旗下人才培力中心主任鄭瑋表示，他們將從三大層面著手推動。

1.基礎資安教育　首先是全民資安意識的推廣，資安院人培中心將在2023年第二季投入能量，促進全民資安基礎智識與意識的養成，這是以往臺灣極度欠缺的一環，如今終於有所行動；再者，將培養國高中職學生對專業資安領域的啟蒙學習，並引介資安國手知能經驗；另外，將持續透過資安系列競賽（如舉辦多年的金盾獎），鼓勵更多學校學生投入。

2. 中階在職培訓　此層面將是最重要的一環，當職能參考標準制定逐漸完善後，將發展課綱與指南供產官學參考使用，並藉此建立相應的課程，最後建立鑑測評量的引導建議。若能盡快完備此一層面，將有助於帶動整體資安人才生態，成為資安維運、開發的基石，再往上精進為高階人才。

3. 進階專業培養　高階資安人才不可欠缺，過去在教育部先進資通安全實務人才培育計畫之下，不僅鼓舞學生對資訊安全的學習熱情，並有針對部分資安領域的高階人才的養成與培育，祭出多項計畫與措施，而國家資通安全研究院也希望藉由公法人身分，結合社群的技術能力與實戰經驗，多培育進階專業的資安人才。

畢竟，高階的資安人才是我國強健的實力展現，目前資安願人培中心亦有初步計畫，例如，預計在2023年舉辦3場高階人才的訓練班，並以「事件分析工程師」人才類型為主。同時，國家資通安全研究院也將設法藉此訓練班，培養出更多種子師資，並建立專家人才資料庫，以累積未來計畫推動能量。

本文出自《CYBER TALENT 臺灣資安人才專刊》