證照仍是學習資安基本功的主要管道，有專家打造「資安證照地圖」

【想瞭解不同證照的定位，可藉助資安證照地圖的區分方式】由資安專家Paul Jerimy所發布的資安證照地圖，是基於2014年Drackar建立的資訊圖表而接續發展，並且持續接受回饋精進其結構，當中具體呈現了每一張證照所屬的技能類別，可供外界比對證照定位。圖片來源／Paul Jerimy

對於從事資安的工作者而言，取得相關證照對自己的生涯有幫助，而從企業已比往年更需要資安人手的態勢來看，除了設法突顯自己具備足夠的實務經驗，我們還能如何證明自己？通過相關考試、拿到證照是一種方法。

有些資安專家沒有證照，卻能透過先前的職場工作經歷展現自身能力，相反地，若是求職者無法輕易展現自己的能力、成績，或是徵才者本身無法鑑別其學經歷是否合適，是否取得相關的證照可能就是最容易判斷彼此需求的做法，同時也是公司對員工進行相關培訓的一種能力養成與驗證體系。

當然，有了資安證照，並不代表有足夠經驗而能處理複雜資安問題，但是，透過親身經歷與職內訓練學資安，雖然很務實，但有可能從這些經驗當中學習到片面、似是而非，甚至是錯誤的觀念，這也是為何需要結合系統化學習過程的資安證照，對於從事資安的人員獲取完整的基本知識及正確的管理觀念，會有很大的幫助。

對於資安從業人員而言，當前我們除了可以透過資安人才技能框架，盤點學習技能方向，也可善用發展已久的既有資安證照體系，從廣泛了解各個領域的證照著手，在過程中依序取得或驗證具備該方面的知識。

資安相關證照多元，國際間有資安專家做出詳細盤點

對於資安證照的發展與現況，大家可能好奇，是否有相關的盤點，我們看到國際間有資安專家做出這方面的整理，形成一套可供外界了解不同證照的定位的「資安證照地圖」（Security Certification Roadmap），能作為一種借鑑。

簡單來說，關於這個資安證照地圖，最早是由Drackar在2014年製作、發布，但由於後續沒有繼續發展，因此由資安專家Paul Jerimy在2018年接手。

在2019年，他先是發布了Security Certification Progression Chart V5.2版，將證照技能類別畫分為11大類，包括：資安管理、數位鑑識、惡意程式分析、事件應變、資安稽核、漏洞成功利用開發者、滲透測試、入侵偵測、ICS安全、系統管理，以及網路管理，並持續將相關證照納入其中；2019年底年又有新的調整，推出6.1版，將技能類別簡化為6大類，包含安全實施（網路安全、Cisco、Windows、Linux、Cloud/SysOps、ICS/OT）、安全架構、安全管理、安全分析、防禦操作，以及攻擊操作。

到了2022年，Paul Jerimy在收到多方回饋後，新建構出資安證照路線圖。將證照技能類別分出8大類，包括：通訊與網路安全、身分識別與存取管理、安全架構與工程（含Cloud/SysOps、ICS/IoT）、資產安全、安全與風險管理（含GRC）、安全評估與測試、軟體安全，以及安全維運（含數位鑑識、事件處理、滲透測試、漏洞成功利用）。截至2023年1月為止，這份資安證照地圖已經納入473項資安證照。

在這些變化之下，除了注意到資安證照的數量可能比大家想像的還多，而從資安證照分類方式的演進與變化，也讓我們進一步思考這些證照的定位。

為了讓大家對於資安證照的價值與潮流，有更好的認識，我們這次詢問兩位有業界經驗的資安專家，透過他們的看法與經驗，帶領我們更深入了解資安證照的重要性及趨勢。