臺灣資安計畫打造資安服務團和資安診療所提供資安諮詢

日前，Google.org捐贈一百萬美金給資通安全研究院（以下簡稱資安院），希望可以協助臺灣的中小企業、微型企業和非政府組織，提升相關的資安意識和資安防護能力。

負責資安人才培訓業務的資安院副院長林盈達表示，資安院分兩年執行「NICS臺灣資安計畫」，會分成研究調查、培訓教練和實際輔導等三個階段執行該專案，最終目標除了會開發培訓課程的教材外，最終會培養超過二百名已上的種子教師，提供超過三千中中小企業、微型企業和非政府組織相關的資安諮詢服務。

資安服務團鎖定中小企業和非營利組織，資安診療所則以微型企業為主

林盈達表示，首先，資安院會先花六個月的時間，並採用文獻分析、深度訪談和焦點座談等社會科學方法，先去了解臺灣中小企業、微型企業和非營利組織的資安防護困難與需求。

他說，第一件事就是去調查中小企業面對資安威脅等方面，需要的是什麼樣的協助。目前臺灣針對中小企業的定義就是：公司員工200人以下或資本額1億元以下；微型企業是員工人數5人或是10人以下。

至於社會企業或者是非營利組織的規模大小落差比較大，有一些較大單位、成員接近200人，比較小的單位人數可能只有5個人。他認為，透過各種調查方式，然後更實際知道他們不同層次的需求，就可以提出各種相關的資安解決方案。

接下來，資安院會提供相關的組織指引，協助改善中小企業、微型企業和非營利組織既有的資安議題，並對未來潛在的資安問題，具有自我診斷和應對的能力，林盈達指出，資安院也將開發實體和線上的培訓教材，以培養更多的資安資安講師。

最後，則是會建立輔導培訓機制。林盈達指出，資安服務團將服務中小企業與非營利組織，資安診療所則會鎖定微型企業。

他進一步解釋，資安服務團會由資安院工程師和資安公司的工程師合作，會開放三十家的中小企業申請輔導，優先協助非營利組織和中小企業，盤點組織資安現況，並提供相關資安技術和顧問服務，同時給予深度防護訓練和維護建議；同時，資安服務團則會以兩個月的時間提供實地服務，觀察中小企業對於資料、系統、網路、電子郵件的保護狀況，實際優化系統架構和提高安全性。

至於資安診療所則是借鑑美國大學資安健診所聯盟（Consortium of Cybersecurity Clinics，CCC）計畫，引進相關教材並與簽署合作備忘錄（MOU）大專院校教師優先合作，讓接受資安培訓的學生於之後的實習階段，先於鄰近社區中提供資安諮詢服務，並優先服務微型企業和非政府組織，預計提供資安諮詢服務的微型企業達三千家。

林盈達表示，臺灣資安計畫最終的目標則是，不僅希望可以產出指引報告，更希望可以接觸超過三千家中小企業、微型企業和非營利組織等單位，並提供上述組織資安教育培訓的資源，增強微型企業資安防護；關鍵是，要訓練二百名以上的種子教師（Train the trainers），包括訓練在職人士或在學學生，去提供相關的資安諮詢服務。

他指出，在職人士主要會針對規模略大、人數接近二百人的中小企業，提供諮詢服務；在學學生則會鎖定鄰近社區的微型企業提供諮詢服務，大小不同規模的總數要超過三千個。

協助打造業界現況最佳實務，作為其他中小企業參考

林盈達表示，接受培訓的資訊相關科系的在學學生，會在學校就近的社區中的微型企業，提供資安諮詢服務。面對中小企業多元的服務樣態和所使用的各類資訊服務，為了協助在學學生可以儘快上手，會先把這些中小企業歸納出幾種樣態，並針對幾類業務樣態打造出資安服務的BCP（Best Current Practice，現況最佳實務），進而作為其他中小企業的參考。

資安院人才培力中心主任鄭瑋表示，當初在寫Google.org的捐贈計畫時就有立定一個目標，至少50％以上要鎖定非營利組織，另外，也希望針對相關中小企業的業務性質，如果會涉及處理機敏資訊的公司，更是資安院可以提供服務的對象。

另外，鄭瑋也說，資安診療所培訓所使用的教材，是美國柏克萊大學所編纂的內容，資安院也會予以中文化，但是原汁原味的直譯，還是部分中文化而已，還需要授課老師和教學團隊一起討論，但未來該份中文化的教材，也將會回饋給Google.org成為中文版本的內容。

林盈達補充表示，資安服務團服務的三十家企業，一半是非營利組織外，剩下的就是看資安院歸納出的產業類別數量，一個類別至少會有一家代表企業；至於另外三千家的微型企業，則會考慮開放報名，並參考美國資安診療所的經驗，降低不必要的摸索時間。