「資安職能基準」下如何提升台灣企業的資安韌性？資安人才是重要的發展動力！

近年來，美國和歐洲先後推出資安人才框架（NICE 和 ECSF）並都收穫良好績效，因此也吸引各國仿效其資安發展架構，而台灣政府也於近日宣布將跟進國際趨勢打造國內通用的「資安職能基準」，進而建構台灣資安體系。此外，隨著台灣企業資安需求的擴大，如何招募資安人才也成為公司的首要目標，而究竟企業能如何辨識具有潛力的資安人員，又該怎麼強化內部的資安韌性呢？讓本文帶您一起來看！

政府推動「資安職能基準」，攜手企業打造資安體系

根據 iThome 2023 年資安大調查指出，37.5% 的台灣企業有招募資安人才的需求，進而揭露了目前台灣缺乏資安人才的普遍困境。對此台灣國家資通安全研究院表示，他們正在開發適用於各產業的「資安職能參考基準」，也期待透過國內資安人才的培訓計畫和提升企業資安意識的目標來建構完善的台灣資安體系。而以過去發佈的金融資安人才職能地圖來看，金管會在統計數據後表示推動相關計畫確實能帶動產業的正向發展，進而加強了現下政府建立資安職能基準的信心。

企業網羅資安人才的關鍵指標

根據 Equinix 2022 全球科技業趨勢調查顯示， 亞太地區中有 63％ 的 IT 決策者認為公司面臨技術人才不足問題，對此企業大多會從其他產業尋覓與職務適配性較高之員工，而其中有 33% 的人最終會投入公司的資安部門，由此可見資安人才在企業中的關鍵角色。另外，隨著畢業季來臨，不計其數的社會新鮮人也將投入職場，而企業該如何從中識別具備發展潛力的資安人才，進而強化企業內部的資安實力呢？以下透過三項關鍵指標帶您來看資安人才應具備的能力。

關鍵指標一：網路安全的相關技能

伴隨嚴峻的網路安全挑戰，作為企業的資安人員應具備偵測安全危機的敏銳度，因此，了解如何使用入侵檢測軟體（像是安全訊息和事件管理 (SIEM) 產品、入侵檢測系統 (IDS) 和入侵防禦系統 (IPS) 等等）可以幫助企業快速識別可疑的網路活動或安全違規行為。另外，資安人員除了要為組織善盡預防之責，還需具備處理安全事件的反應能力以最大程度地減少公司損失，而這也考驗著資安人員的數位鑑識（Digital Forensics）和惡意軟體分析能力。

關鍵指標二：工作場域的軟性實力

根據 ISACA 2022 網路安全報告中指出，2,000 名網路安全專業人士認為職場中的軟實力是拉開彼此差距的關鍵因素，包括溝通能力、靈活性、領導能力等等皆備受重視。而這是因為組織內重視團隊運作，所以資安人員常常需要向沒有技術背景的人傳達技術概念， 也代表在工作場域中除了要評估資安人員覺察安全威脅的硬實力，同樣不能忽視促進團隊合作的軟實力。

關鍵指標三：雲端趨勢的專業素養

根據 Burning Glass 的數據顯示， 隨著越來越多企業採用雲端平台，全球雲端安全需求預計會在 2020 到 2025 年間增長 115%，也使得雲端資安專家成為企業之側重目標。此外，當內部的資安人員具備雲端相關之專業知識，企業便能儘早洞察潛在的雲端資安問題並尋找適用之雲端資安服務來解決困境。（HENNGE 是雲端資安的防護專家，旨在透過 HENNGE One 為企業打造安全的雲端應用環境！）

企業如何強化內部資安韌性

資安人才的培育往往需要長時間的累積，然而，相對專業能力的訓練而言，培養企業內部的資安意識可以從基層做起，企業也可以採用最簡單的方式來讓員工習慣接觸資安訊息，進而強化內部的資安韌性並逐步靠攏政策發展目標。

成立資安週會實踐內部資訊分享

企業可讓內部資安人員於週會上分享資安領域的相關趨勢，這樣一來不僅不耗費企業額外的成本，還能讓員工更加了解產業面臨的資安狀況或者即將進行的內部調整。由於員工是組成企業的重要基石，因此當公司決定採行新政策時員工勢必也要跟進最新的系統或服務，而若是內部能釋出相關訊息也能讓員工更即時的了解企業的資安發展脈絡，進而提升企業內部的資安意識。

訂閱資安週報掌握最新的資安趨勢

對於工作繁忙的員工而言，處理工作事項已經佔用了絕大多數的上班時間，因此大多數人並不會自發性的去搜尋無關工作內容的資訊。對此， HENNGE 透過「台灣資安新聞彙整」每週固定更新資安相關訊息，只要訂閱資安週報就能讓員工在節省搜尋時間的同時掌握最新的資安趨勢，這樣以來也能幫助企業從基層開始打造資安體質。

結論

就目前情況而言，台灣企業正在面臨資安人才不足的問題，而政府推動的資安職能基準也仍需時間帶來改變，因此企業現下應以提升內部的資安意識為主要的改善目標。然而，當政策經過時間的累積，相信無論是資安人員的養成或是企業的資安環境皆能變得成熟，也更有利於台灣資安體系的全面性發展。