資安職能分析 - ACW 資安網路學院

資料來源：經濟部工業局108年度資安專業人才職能分析報告（2019/11）. 圖1 資安人才培訓整體運作機制. 108年經濟部委託資策會規劃資安專業人才職能分析，資策會依據 ... 資安課程列表 資安課程地圖 資安線上課程 資安實體課程 資安職涯規劃 資安職能分析 資安專業證照 資安實作場域 首頁資安職能分析資安職能分析 人才培訓規劃必須契合產業需求，才能培養產業所需人才，因此人才培訓機制應從產業人才需求調查開始、盤點資安人才專業職能、進而展開資安學習地圖、據以規劃資安培訓課程、培訓資安專業人才，並資安人才鑑定評估人才是否具備資安專業，最後協助人才進入產業，就業媒合促進供需接軌，如圖1所表示。

資料來源：經濟部工業局108年度資安專業人才職能分析報告（2019/11）圖1資安人才培訓整體運作機制 108年經濟部委託資策會規劃資安專業人才職能分析，資策會依據產業資料蒐集及專家職務訪談結果，先將資安人才可分成三類型：技術型資安人、應用型資安人、政治型資安人，並依據各項職責細分為各項資安專業人才主要職責如下圖2。

資料來源：經濟部工業局108年度資安專業人才職能分析報告（2019/11）圖2產業資安專業人才主要職責 並依據上述工作職責完成產業資安專業人才職能分析定稿如表1資安技術職能、表2資安管理職能、與表3資安政策職能。

表1資安技術類職能 角色 資安技術人員、資安工程師 工作描述 負責企業系統、網路與資訊安全的日常維運與相關防護工作 主要職責 工作任務 行為指標 專業職能 網路與通訊安全 Ÿ傳輸安全管理 Ÿ無線網路管理 Ÿ公開資訊與網頁安全 Ÿ依據資訊資產分類，擬定傳輸之安全要求 Ÿ依需求選擇與建置安全通道機制與產品 Ÿ制定無線網路使用之準則及使用之認證方式與傳輸加密強度 Ÿ定期掃描各區域之無線網路使用狀況 Ÿ建置網頁監視系統 Ÿ定期網頁弱點掃描並進行必要修補 • 防火牆配置 • 無線網路安全 • 公開資訊與網頁安全 • 通訊安全 • 網路路由與網路服務 系統與程式安全 Ÿ系統與開發安全管控 Ÿ系統弱點管理 Ÿ系統測試與驗收 Ÿ制定符合需求之系統安全需求 Ÿ了解程式碼開發安全及開發安全程式碼 Ÿ定期執行弱點掃描、滲透測試 Ÿ修補與追蹤相關弱點，並對無法修補之部分採行必要之補償措施 Ÿ系統測試 Ÿ程式原始碼掃描與修補 • 設定安全組態 • 作業系統安全 • 資料庫管理 • 平台攻擊手法 • 程式與開發安全 資安服務維運 Ÿ身分認證與存取控制 Ÿ帳號、密碼與金鑰管理 Ÿ日誌收容與分析管理 Ÿ資料安全傳輸與備份 Ÿ研擬資訊資產安全等級分類方式與原則 Ÿ擬定權限及帳號之定期審查及變更管理流程並實作 Ÿ建立稽核日誌保護機制，例如建立資安監控中心(SOC)或日誌伺服器 Ÿ依特性進行系統、網路、資安與終端設備稽核日誌收容 Ÿ設定系統、網路、資安與終端設備之時間同步 Ÿ定期檢視設定是否正常運作 • 帳號密碼管理 • 最小權限 • 身分認證與存取控制 • 加解密管理 • 金鑰管理 • 密碼學原理與應用 • 傳輸安全管理 • 日誌收容分析管理 • 時間同步 • 資料安全與備份 資安防護監控 Ÿ惡意程式防護 Ÿ弱點管理 Ÿ威脅與攻擊手法 Ÿ入侵偵測與防禦 Ÿ滲透測試與漏洞修補 Ÿ根據組織資訊安全需求，進行資安防護及監控措施 Ÿ蒐集與分析駭客攻擊手法、攻擊防護與應變措施 Ÿ系統、網路、資安設備、終端、應用程式等弱點資訊、通報與修補 Ÿ找出作業系統、應用程式安全，資料庫與網頁等安全威脅與攻擊手法 Ÿ進行作業系統、網站、應用程式等滲透測試與源碼測試 • 惡意程式防護 • 弱點檢測與管理 • 網路/系統威脅與攻擊手法與對策 • 入侵偵測與防禦 • 滲透測試與漏洞修補 • 原始碼掃描與追蹤修改 事故應變處理 Ÿ事故通報與期初處理 Ÿ事故分析與修復 Ÿ事故鑑識與證據留存 Ÿ備援機制規劃與實作 Ÿ緊急應變與營運持續規劃 Ÿ事故偵測與通報 Ÿ事故期初處置，以減少中斷時間 Ÿ針對事故發生原因，進行評估與分析 Ÿ保存必要之證據以作為相關法律議題處理之資料 Ÿ建置備援系統與備援機制 Ÿ制定緊急應變計畫書與營運持續作業程序 • 事故通報與期初處理 • 事故分析與修復 • 事故鑑識與證據留存 • 營運持續作業方式 • 緊急應變與持續改善 新興科技安全 Ÿ雲端維運安全管理 Ÿ行動裝置安全管控 Ÿ物聯網安全 Ÿ其他新興科技導入安全管理 Ÿ了解雲端架構及協助進行雲端維運安全管理 Ÿ了解行動裝置安全議題並協助建置行動裝置安全管控機制 Ÿ了解物聯網安全議題並協助建置行動裝置安全管控機制 • 新興科技導入與安全 • 雲端安全管理 • 行動裝置安全 • 物聯網安全 • AI智能安全 資料來源：經濟部工業局108年度資安專業人才職能分析報告（2019/11）   表2資安管理類職能 角色 資安管理/規劃人員、資安經理人 工作描述 建立符合法規與組織安全需求之資訊安全架構，並維運組織資訊安全相關活動 主要職責 工作任務 行為指標 專業職能 資安架構規劃 Ÿ資訊安全管理系統 Ÿ網路與系統架構規劃 Ÿ系統安全管控規劃 Ÿ資安架構規劃 Ÿ委外管控 Ÿ具備資訊安全管理系統(ISMS)之基本觀念與建置實務 Ÿ與關鍵利害關係人討論以找出網路、主機、終端設備之安全要求 Ÿ針對網路服務、協定及相關支援，設計相對的安全機制 Ÿ依據安全要求，選擇與建置合適之資安防護設備 Ÿ制定委外合約，明定所有資訊安全相關要求，並監督委外廠商之合約履行 Ÿ ISMS標準控制項 Ÿ端點安全架構 Ÿ網路安全架構 Ÿ系統安全架構 Ÿ委外監督管理 Ÿ惡意程式檔案分析 資產與風險管理 Ÿ建立資產清冊 Ÿ風險分析與評估 Ÿ風險處理 Ÿ建立符合需求之資訊資產分類方式 Ÿ盤點並建立資產清冊 Ÿ討論與決定可接受風險判定準則 Ÿ進行風險分析與評估並產製報告 Ÿ擬定風險處理計畫 Ÿ確認計畫有效性 Ÿ資產安全等級分類 Ÿ資產清冊建立與盤點 Ÿ風險分析與評估 Ÿ風險處理方式 Ÿ風險計畫訂定 Ÿ通報應變作業管理 Ÿ持續改善作業管理 資安法規遵循 Ÿ識別適用法規 Ÿ個人料保護與智慧財產權 Ÿ獨立稽核與遵循性檢查 Ÿ識別產業所需遵循法規 Ÿ維運作業對個人資料蒐集、處理、利用，皆需符合個人資料保護法 Ÿ文字、文宣、圖片、軟體、音樂等使用需符合著作權法 Ÿ針對所有重要業務進行獨立稽核 Ÿ定期確認法規遵循性 Ÿ標準與法規識別 Ÿ資通安全管理法 Ÿ個人資料保護法與施行細則(含GDPR) Ÿ智慧財產權 Ÿ獨立稽核作業 教育訓練 Ÿ資安意識與認知宣導 Ÿ職能教育訓練   Ÿ協助準備意識宣導與資訊安全認知教育訓練教材 Ÿ協助執行識意宣導與資訊安全教教育訓練 Ÿ協助執行社交工程演練 Ÿ協助準備執行資訊安全作業所需技能教育訓練教材 Ÿ協助執行執行資訊作業所需技能教育訓練 Ÿ資安認知宣導 Ÿ社交工程演練 Ÿ資安作業相關職能教育訓練 資料來源：經濟部工業局108年度資安專業人才職能分析報告（2019/11）   表3資安政策類職能 角色 資安政策制定、資安長 工作描述 主掌企業資訊安全與風險管理業務、制定相關資安政策與戰略部署 主要職責 工作任務 行為指標 專業職能 資安政策與資源配置 負責企業資安政策制定與核定資安資源配置 Ÿ熟悉資訊安全政策、資訊安全管理制度與相關規範 Ÿ訂定組織資訊安全目標風險管理計畫，使之符合規範 Ÿ配置資安相關資源包含人員與資產等 Ÿ資訊安全政策制定與規範 Ÿ資訊安全目標及計劃 Ÿ資訊安全之角色及責任 Ÿ資安資源配置 資安治理與監督 負責組織資安治理與監督管理 Ÿ依據資安目標，跨部門溝通協調，使公司不同單位符合資安規範 Ÿ規劃資安治理架構與執行治理成熟度評估 Ÿ掌握資安發展趨勢，俾使公司資安政策符合趨勢發展 Ÿ跨部門溝通協調 Ÿ資安治理架構 Ÿ治理成熟度評估 Ÿ資安監督管理 Ÿ資安趨勢 資料來源：經濟部工業局108年度資安專業人才職能分析報告（2019/11） 頂部 跨域資安強化產業推動計畫版權所有©2022 本網站為經濟部工業局委辦，著作權為其所有，非經同意，不得為任何形式之利用