:::

資安長的職能與人才發展


隨著遠端或混合工作成為疫後新常態,企業使用雲端、VPN與API等服務的比例增加,對駭客來說,有更多角度與漏洞可以進行惡意攻擊。面對資安事件層出不窮,企業肩負保護客戶資產的重責,資訊安全隨即成為主要推動的治理策略之一。

為強化企業資訊安全管理機制,金管會在2021年12月28日修正「公開發行公司建立內部控制制度處理準則」,要求「(1)實收資本額達新臺幣100億元以上、(2)前一年底屬於臺灣50指數成分公司、以及(3)藉電子方式媒介商品所有權移轉或提供服務(如電子銷售平台、人力銀行等)收入占最近年度營業收入達80%以上,或占最近二年度營業收入達50%以上者,」應在2022年底前指派資訊安全長(Chief Information Security Officer, CISO)並設置資訊安全專責單位,包含資訊安全專責主管及至少二名資訊安全專責人員。

 

資安需求高漲  資安人才供不應求

2022年初,有業者保守估計臺灣的資訊安全相關人才缺口至少有2萬人,而至2022年底,據國家科學及技術委員會科技辦公室副執行秘書李育杰指出,根據資安管理法所訂定出的分級與相對應的人才需求數量,光是政府本身所需要的資安人才就有1,552人。臺灣整體中小企業加總起來超過100萬家,資安人才需求更高達8、9萬人。

因應產業需求與政府政策的推動,各行各業都需要資安人才,協助企業建構阻擋資安風險的防火牆。在上述法規的推動之下,資安長職務是高階人才熱門職缺,設置資安長已成為企業的當務之急。

資安長究竟要提拔資訊背景的人員?還是法遵背景的人員?也是目前企業所面臨的煩惱之一。資安長除了須具備資安專業知識外,更重要的是擁有整體企業治理的思維,例如預算、營運及法律等相關議題,都需要具備可以處理與因應的能力。因此在人才缺口上,短期內企業僅能提拔潛力人才擔任資安長,以致於有不少企業都是由法務部門主管或是資訊部門主管來兼任。

 

資安長的必要職能—企業資安治理

資安長需要具備哪些職能,才能達到符合工作績效的表現?111年數位部數位產業署委託資策會針對產業實務用人需求,進行產業資安專業人才職能分析,依據「訂定關鍵人才」、「盤點核心職能」、「驗證職能內涵」三階段,彙整出基礎、中階、高階共三層級之產業資安人才職能要項,並發展產業資安人才發展職能地圖。資安長主要工作為配合組織治理方向與法規要求,規劃中長期資安策略Roadmap (3-5年),並有能力說服老闆與董事會,確認資安策略方案與目標,創造組織資安的價值。主要職責包含規劃中長期資安策略藍圖、資安資源配置以及推動公司資安文化,並持續進行資安策略調整與監督。所需具備各項職能如下表一:

 
表一、產業資安人才職能要項—高階人才

類別

職能分類

職能項目

資安治理

知識型

  • 法律法規
  • 風險管理
  • 資安治理

技能型

  • 資安策略制定能力
  • 資安財務與效益分析能力
  • 資安治理與監督能力
  • 營運韌性規劃能力

資安管理

知識型

  • 安全防護

技能型

  • 資安目標政策制定與督導能力
  • 資安趨勢與議題洞察能力
  • 事件應變與危機處理能力
  • 資安防護與應變督導能力

軟性技能

  • 團隊建立與領導
  • 問題分析與解決
  • 邏輯思考與洞察
  • 溝通協調

資料來源:ACW資安網路學院/產業資安人才發展職能地圖

 

由上表一可知,資安長需要擁有資安治理及管理的能力,但此能力並不是將人才提拔到資安長的位置就能馬上擁有,也因為資安長屬於高階主管,要一同肩負企業的營運方向,對上需要與董事會報告,對下需要帶領組織團隊,如何讓資安長快速成長並積極培養資安長人選是企業必需思考的議題。

 

資安長交流社群  高階人才培育助力

以往資安長培訓主要是以證照課程為主,大多數企業以證照為基準,做為人才是否能勝任資安長的判斷依據,例如EC-Council資安長認證CCISO、資安經理人EISM或ISO27001等國際性證照。然而,證照僅是資安長入門門檻,面臨資安事件時,實務經驗仍是左右危機處理效率的關鍵因素。

高階主管的培訓主要重視實戰經驗,由於資安長目前職缺尚少,企業內部以往幾乎未有資安高階主管相關職務。因此,資安長培訓較難從內部培養,而是需要藉由跨產業跨企業的資安長分享自身資安實務經驗,透過課程、研討會或是圓桌會議等方式,讓資安長快速掌握資安治理心法。經過跨領域交流及討論,資安長可以瞭解到不同產業所注重的資安議題,也可以學習到不同企業的資安防護策略與長處,讓資安長可以將優點應用在自身企業中。

國內目前有許多單位積極推動資安長社群,協助企業資安長進行經驗分享與交流。包含臺北市電腦商業同業公會成立的臺灣資安主管聯盟CISO,聯合產業多家公司之力,共同從公司資安治理的角度,增進各產業資安主管的資訊安全技術應用與經驗交流、培育資安專業人才。另有中華民國資訊軟體協會的資安長聯誼會,以聯防概念出發,每次活動都邀請不同領域實務經驗分享及資訊情報交流,以達預警及超前部署資安防護之綜效。

資安高階人才的培育策略,除了資安專業證照以及職務累積的實務經驗,也可以在資安長社群聯盟,透過以交流為主的課程設計,讓資安長能更快掌握必要的關鍵職能,制定符合企業所需的資安防護策略,提升資安韌性,進而促使企業永續發展。

 

參考資料:

  1. 金融監督管理委員會,「公開發行公司建立內部控制制度處理準則」部分條文修正草案已完成預告程序,將於近期發布,新聞稿,2021/12。
  2. ACW資安網路學院,產業資安人才發展職能地圖,2022/11。 
作者:游佳臻/資策會數位教育研究所副分析師