臺灣科技大學資訊管理系教授兼系主任暨資安中心主任查士朝表示,資安證照比一般技術證照要更有用,主要是一些資安工作會要求資安證照,看待非工作資格相關的證照時,我們可從督促自身掌握該領域基本知識的學習角度出發。 攝影/iThome

在資安人才培育備受重視之際,資安證照的需求亦成為關注焦點,然而,市面上有許多種類的資安證照,認可程度和要求也不盡相同,資安證照實用嗎?現在當紅資安證照又有那些?

對此,我們詢問經常受媒體採訪而回應資安議題,且很早就在臺灣介紹美國NIST SP 800-207零信任架構的專家,也就是臺灣科技大學資訊管理系教授兼系主任暨資安中心主任查士朝。他表示,基本上,資安證照比一般技術證照更有用,最主要原因是一些資安工作會「綁」資安證照,因此會有一定的用處,但是在大部分的情況下,他會建議一般人在準備證照時,如果想考取非工作資格相關的證照,可從督促自己學習的角度來看待,會是比較正面的心態。

而從資安證照的態勢來看,一般而言,主要是與市場需求息息相關。例如,最近政府在資通安全責任等級分級辦法當中,要求要取得相關證照,而未了因應這樣的政府規範,自然而然地,我國8大關鍵基礎設施的政府或企業人士就會設法取得相應的證照,因此,一般傳統的ISO 27001、CISSP、CISM、CISA等,仍然會是主流;另一方面,在執行工作上需顯現自己能力的證照,如CEH、OSCP也屬熱門。

以近期來看,由於2022年底ISO 27001改版,現階段相關換證需求會很大,另外就是比較具鑑別力的證照,像是資安訓練機構Offensive Security推出的證照,因為需要經過實機演練,也變成技術人員提升能力時所考量的重點。

從證照發展態勢來看,最近兩三年,是否有一些新的證照值得特別關注?

查士朝指出,以資安證照的內容來判斷,除了基本資安觀念的證照,技術相關的證照,還有一些是依附在某個技術或標準之下,讓該項技術應用時能夠考慮到安全性的證照。

例如,近年來隨著工控資安受到重視,所以有些人會學習 IEC/ISA 62443相關的資安證照,或在容器架構受重視時,有人會設法取得與雲原生架構相關的證照,如CKA、CKAD、CKS等。

不過,在臺灣的生態環境下,重點還是放在執行資安工作所需要的證照,而對於其他隨著技術或科技潮流的證照,多半只有在個人真的想要學習那項技術時,作為自我成長之用。

而查士朝也分享了自身經驗,他認為,最具價值的證照,是他獲得的博士學位與整個學習的過程,因為這些經驗,給予他在後續考證照時能夠駕輕就熟的能力。

而在考證照的動力上,他提到30歲進入顧問公司,原先以增加客戶信賴的角度出發,但在取得一定張數的證照後,他的動機開始改變,變成擴展對特定領域瞭解的角度出發,由於證照通常會整理該領域應有的基本知識,這時將成為壓力與動機,促使他快速掌握這些知識。

期盼新興的資安系所學歷也能獲得重視,而成為有用證明

另一方面,除了資安證照本身,他也給出不同角度的觀察。例如,從目前企業需要人力來看,包括法遵、資安管理與稽核、資安機制規畫與管理、資安測試、事件偵測與回應等。因此,我們可從這方向思考企業如何看待求職人才。

對於一般企業而言,可能受限於資安整套建置成本不斐,也沒有那麼多的資安人力員額,因此他建議,資安人員先以管理與協調工作為主,技術方面,則讓資訊部門的人學習如何強化資訊安全骨幹。

而他也提到一點,就是危機處理與溝通能力比資安技術更重要,是目前資安證照沒有涵蓋的部分,而他也觀察到,事件偵測與回應相關的職能很重要,但相關的訓練課程與證照並沒有那麼多。

因此他也從學界角度來看,期盼學校培育與證書能帶來影響,例如,自2019年來,國內一些學校紛紛成立資安相關科系乃至於碩士班。由於過去並無這方面的系所,也就等於沒有資安方面的學歷證明,或許在給予更具深度與廣度的教育訓練下,日後這方面的證書也能成為值得重視的認證。

 

本文出自《CYBER TALENT 臺灣資安人才專刊》

熱門新聞

Advertisement