前言
依據臺灣證券交易所(下稱證交所)市場統計數據顯示,截至去(2023)年12月底證券電子下單占市場成交比率逾78%,顯示網際網路普及,使市場結構與投資人行為逐漸轉變,但與此同時網路威脅也快速增長。早期的電腦病毒到現今的進階持續性威脅(Advanced Persistent Threats,簡稱APT),網路攻擊樣態不斷演進和複雜化。為了保護個人、企業及國家安全,使各國機關及企業對具備專業技能和風險管理能力的資安專才需求殷切,亦對於國際資安證照日趨重視。現今資安人才儼然成為組織內不可或缺的重要資產,透過專業人才的推動及發酵,有助於企業建構更完善的資安縱深防禦策略,並進一步協助企業通過國際資安驗證,提升聲譽及市場競爭力。
資安證照五花八門,探索關鍵證照核心知識與專業範疇
金融監督管理委員會(下稱金管會)針對資安人才培育進行強化,於2020年8月發布「金融資安行動方案1.0」內提出3項措施,其中第1項即是訂定金融資安人才職能地圖,並接續於2021年6月發布「金融資安人才職能地圖」,將人才架構分成3大板塊(監督治理、安全開發及資安維運),亦為資安單位在職能分組上常見方式。
今日資安專業證照相當多元,不僅是由各資安專業協會所推行之證照,甚至大型的資訊、資安企業,也會推出有關自身產品的相關證照,例如思科(Cisco)的網路設備,或是亞馬遜(Amazon)的雲端運算服務(AWS)等,讓客戶更安全地利用旗下產品作為企業解決方案。
不同資安證照都有其對應的工作職能及專業知識,可大致區分為「資安治理」及「資安技術運作」面向,子領域包含如治理面向的風險管理策略及電腦稽核等,技術面向的鑑識調查及安全開發流程等,提供個人職涯上各面向的專業技能。
資安證照重要性不亞於實際工作經驗,透過準備證照過程,除了補足資安知識缺口,通過測驗後多數機構亦要求持證人需持續進行專業進修,透過參加專門主題之研討會、資通安全大會等各式專業發展活動,累積足夠訓練時數,以因應不斷更新的資安知識和技能。
目前不同資安證照的申請和維護要求皆有所不同,具體細節需參照相關證照的規範,一般常見例如相關背景學歷搭配相關領域工作累積年資,確保申請者具備結合理論與實務運作能力。另基於資安認證繁多,那些是可以優先考慮準備的資安證照,建議可參考我國數位發展部資通安全署最新公布之「資通安全專業證照清單」。
我國資安專業證照清單發布,打造堅實資安人才技能
我國政府已成立數位發展部資通安全署(下稱資安署)為專責單位,將我國資安列為重要關鍵領域。由資安署更新並公告的「資通安全專業證照清單」,有助於政府單位及企業參考。透過標準化的認證體系提升資安從業人員的專業水準,除能培育具備國際競爭力的資安專業人才外,還能促進各單位更加重視員工資安能力的認證和培養。
上開清單將證照分為管理類及技術類兩大類,並列出國際上可信賴的發證機構(如ISC²、CompTIA、ISACA、Offensive Security、Cisco等)及經濟部所推出的相關證照。企業可參考該清單應用於不同情境,例如:
- 設計對外徵才之能力要求與內部人員晉升標準,確保其具備相應職位的專業知識和技能。
- 建立內部人才在職培訓計畫及獎勵辦法,依據資安職能發展路徑,選擇合適的證照精進專業能力,有利於培養符合證照要求的專業人才。
- 優化第三方管理,在選擇資安方案或服務時,可參照證照清單來評估外部合作夥伴或供應商的資安能力,確保服務品質及降低潛在風險。
「資通安全專業證照清單」包含從初階至進階之相關證照,以下重點說明備受市場所關注之資安證照:
CISSP(Certified Information Systems Security Professional)
- CISSP涵蓋資安八大核心領域,屬於兼具資安領域廣度及深度的認證。證照內容包含資安策略的制定與風險管理,以確保企業資安框架穩固,於設計和實施防範攻擊的安全架構方面,則涵蓋通訊與網路安全保護、嚴謹的身份驗證和授權機制,確保合理訪問權限及防範網路攻擊。另也強調在軟體開發生命周期中各階段融入安全考量,執行資安檢測和風險評估,驗證安全措施的有效性,並持續資安監控和發展事件響應策略,確保對資安威脅的及時應對。
- 適合角色:兼具治理及技術類型,適合資安長及資安管理階層。
- 發行機構:ISC² (International Information System Security Certification Consortium)。
CISA(Certified Information Systems Auditor)
- CISA專注於資訊系統審計的過程,包括審計策略、風險評估技術、審計計劃的設計與執行,並強調控制有效性的評估,以確保審計作業中能夠應用基於風險的方法,從而保護資訊系統的機密性、完整性與可用性。此外,該認證也包含對資訊技術的理解,涵蓋系統開發與維護、資訊系統基礎設施的管理,以及在技術環境中實施有效的審計與控制措施。
- 適合角色:治理類型,適合資訊及資安風險管理人員、電腦稽核人員。
- 發行機構:ISACA(Information Systems Audit and Control Association)。
OSCP(Offensive Security Certified Professional)
- OSCP專注於網絡攻擊和滲透測試的應用能力,強調掌握如何識別並利用漏洞,從初步的偵查階段、嗅探系統防禦的薄弱點到深入的滲透攻擊,在受控環境中實際完成滲透任務,並提供詳細的報告,展示其在真實場景中的應用能力。
- 適合角色:技術類型,適合資安滲透及漏洞評估工程師、資安攻擊紅隊人員。
- 發行機構:Offensive Security。
另一方面,除了該清單所列示之證照外,於資安管理系統及營運持續管理系統方面,亦有部分證照包含個人及組織級別之資安國際認證,有助於協助組織導入管理體系框架,搭配持續改善管理機制(PDCA),建立組織目標並依據落實度審查結果進行改進的循環過程,達成有效控制風險的管理目標。相關重要認證臚列如下:
ISO/IEC 27001(Information Security Management Systems)
- ISO/IEC 27001強調維持一套適用於企業的資訊安全管理系統,透過制定清晰的資訊安全政策,並考量內外部利害關係人的期望,建立可量化的資安目標及決定企業可接受的風險水平,進而部署從實體安全、人員安全、資料安全、事件通報各方面的安全控制措施及文件化標準程序。另透過定期的內部審核和監控,確保資訊安全管理體系的有效運行和持續改進。
- 適合角色: 治理類型,適合資訊安全從業人員、電腦稽核人員。
- 發行機構:ISO(International Organization for Standardization)。
ISO 22301(Business Continuity Management Systems)
- ISO 22301專注於業務持續性管理系統(BCMS)的建立和維護。藉由制定全局性的業務持續性策略,確保在各類突發事件中仍能不中斷業務運營。透過風險評估與營運衝擊分析幫助組織識別和評估各種風險及其對業務的潛在影響,制定相應的應對計劃。事業恢復計劃與演練包括緊急小組編制和實際測試業務恢復計劃的可行性,確保在發生重大事件後能夠迅速於可容忍時間內恢復營運。
- 適合角色:治理類型,適合資訊安全及持續營運從業人員、電腦稽核人員。
- 發行機構:ISO(International Organization for Standardization)。
證交所推動資安證照不遺餘力
證交所配合金管會金融資安行動方案2.0規定,鼓勵各證券商擴大導入國際資安管理標準,及配置多元專長資安人才。目前證券業有關資安證照要求規範於「證券商內部控制制度標準規範」、「建立證券商資通安全檢查機制」及其附表內,並區分為兩面向,一為證券商應取得資訊安全管理系統證書,二為證券商資安人員應持有資通安全專業證照數量,並套用證券商分級制度管理進行規範。
依「證券商內部控制制度標準規範」,資安證照相關之現行規範如下:
- CC-12000資訊安全政策(八)、公司應依其所屬資安分級辦理核心系統導入資訊安全管理系統,並通過公正第三方之驗證,且持續維持驗證有效性。
- CC-13000安全組織(七)、公司應依其所屬資安分級要求資訊安全人員取得並維持相當資通安全專業證照。
另依「建立證券商資通安全檢查機制」及其附表,資安證照相關之現行規範詳下表:
為輔導證券商資安人員取得證照,證交所今(2024)年也開辦多場證券商資通安全人員專業證照課程,邀請外部專業培訓機構針對ISO 27001:2022資訊安全管理系統進行解說,若於課程結訓後順利考取證照之第四級證券商可向本公司申請獎勵金。截至目前為止,已有20餘家證券商資安人員取得專業證照,有效提升資安人員專業能力,強化證券商整體資安水平。另為因應智慧監理的轉型措施,證交所已完成電子化申報專區平台建置,業於7月3日舉辦說明會,請證券商每半年定期申報,包含各證券商取得資安國際驗證證書,及資安人員取得資安專業證照數量等資訊,俾利全面掌握各證券商執行情形,落實辦理資安分級防護應辦事項。
結語
金管會及資安署分別公布之「金融資安人才職能地圖」及「資通安全專業證照清單」,為資安領域的專業人才培養與認證提供了明確的指導方向,不僅為資安人員提供了清晰的職業發展路徑,也大大推動了資安認證在臺灣的普及及標準化。證交所亦致力協助業者,以提升整體證券產業資安專業水準和應對網絡威脅能力為目標。
從資安治理到資安攻防技術,多元的資安證照為企業及員工提供了系統化和全面性的學習與發展機會,透過取得相關國際資安證照,不僅是對現有知識的驗證,在過程中逐漸磨練技能、累積新知,亦是接軌國際資安至關重要的一步。證券資安人才專業提升除了有助於個人職業生涯成長,也能為企業和整體市場共創更穩定、更安全的交易環境,對企業永續發展及保障市場安全應具正面效益。