資安人才工作揭秘：資安職務內容與必備技能

科技日新月異，網路攻擊與資安風險日益嚴重，因此企業對於資訊安全人才的需求持續攀升。根據調查顯示，臺灣大型企業現有的平均資安人力僅 3.4 人，希望擴編到至少 6.1 人，而最需要資安人才的產業依序為金融業、政府與學校，再來是醫療業與服務業，可見資安人才在市場仍屬供不應求。為此，本文將介紹資安人才的工作內容、資安人才所需的關鍵能力，以及必備的技能和素養。

2022 年 9 月，隸屬歐盟底下的歐洲網路和資訊安全局（ENISA）發佈了名為歐洲網路安全技能框架（European Cybersecurity Skills Framework，簡稱 ECSF）的新規範。這個框架旨在應對資安人才短缺的挑戰，為歐盟成員國以及歐洲地區的其他國家提供可行的解決方案。

簡單來說，ECSF 可用於定義歐洲網路安全專業人員的種類，其中包括 12 種網路安全工作角色，而每種角色都有特定的任務和必備技能。

• 資安長（CISO）
• 網路事件處理人才
• 網路法規與政策合規長
• 網路威脅情報專家
• 網路安全架構師
• 網路安全稽核師
• 網路安全教師
• 網路安全實施人才
• 網路安全研究人才
• 網路安全風險管理人才
• 數位鑑識調查人才
• 滲透測試人才

在台灣，資安院於 2023 年宣布當年臺灣資安人才培力研究報告的藍皮書，表示根據 ECSF 框架，將我國資安人才類別改良為「12+7」種類型，這是因為考量臺灣的國情與地緣政治因素，資安院認為需要投入更多保護與防禦的人才，並反映更多資安產業還有需求的工作角色。

簡而言之，我國這 19 項資安工作角色包括與 ECSF 框架共通的 12 種，以及新增的 7 種：資安系統規畫師、資安顧問師、資安專案經理、資安檢測工程師、資安系統維運員、資安監控防禦工程師、漏洞分析工程師。

以下將就幾項資安工作進行介紹，分別為資安策略人才、資安管理人才，以及資安技術人才。

早在 2021 年底，金管會要求上市（櫃）公司在 2023 年底前根據營運規模和業務情況，必須完成設置資安長和資安專責人員。這意味著「強化資安防禦」不僅是口號，更應盡快成為企業經營中的重要一環。

而「資安長」需要具備的包括以下四種能力：溝通能力、危機處理能力、法令遵循相關知識，以及資安基礎知識。

資安長得向董事會報告企業內部的資安狀況與績效的，因此必須向上溝通能力，以及與其他單位的橫向溝通能力。溝通協調在資安工作中佔據重要地位，而在過程中提供客觀的參考指標將更具說服力，以風險評估、安全事件回應時間為例：

●  同產業前五名公司在資安投資上的資源

●  在資安事件發生時，公司必須有自信能在 12 小時內使系統恢復運作

當企業面臨猝不及防的資安威脅時，資安長的危機處理能力就相當重要。在危機發生時，資安長需要展現公司及其資安團隊的應變能力，迅速釐清問題並提出解決方案。

資安長需要具備法遵相關知識和資安基礎知識，才能理解資安檢測報告、弱點掃描和滲透測試的結果，有助於資安長確定企業的資安問題所在。

• 工作內容：

資安風險管理師將管理與評估公司的資訊安全，將公司資產進行安全等級分類，深入風險分析與評估後，制定明確的風險處理方式。資安風險管理師還要考慮到不同資產的價值、敏感性，以及可能面臨的各種風險，包括外部攻擊、內部威脅等。

• 所需技能：

資安風險管理師需要具備全面的資訊安全知識和技能，並能運用這些知識制定適用於企業的風險管理策略。因此資安風險管理師需要專業知識與技能、良好的商業洞察力和風險意識。

• 工作內容：

根據組織的資安戰略與法律要求，資安教育與法遵得全面管理所有合規事宜，包括與網路安全相關的標準、法律和監管框架。資安風險管理師負責確保組織在資安相關事務上的遵從性，透過制定、實施和維護合規程序，確保公司在法規和行業標準方面的合法性和合規性

此外，資安教育與法遵在推動整體資安文化時，也需要致力於讓組織內的員工掌握如何遵守相關政策和程式，包括開發培訓計畫，提供相應的教育和培訓，使員工能夠理解並遵從組織制定的資安政策，進一步提升整個組織對資訊安全的識別和預防能力。

透過有效的合規管理和資安教育，資安教育與法遵能夠協助建立一個強化的組織文化，使每位成員都能夠扮演積極角色，提高整體資訊安全水準。

• 工作內容：

資安產品工程師在基礎架構和產品層面，負責資安產品的運作，並提供用戶與客戶相關的資安支援，同時與 IT 人員和 OT 人員密切合作。

• 所需技能：

在技能方面，資安產品工程師需要熟悉技術開發、系統導入、維護管理、制定升級策略，以及資安產品的測試。

• 工作內容：

資安滲透測試工程師主要負責執行各項資安任務，包括滲透測試、弱點掃描、紅隊演練、DDoS 演練（主機相關服務、應用程式、API 等），同時協助進行資訊安全教育訓練，並參與攻擊和防禦對策的研究。通常情況下，資安的滲透測試每半年至一年進行一次，因此並非所有資安部門都會內部聘用專職人員，而是傾向採用外包方式，由專業的外部團隊負責執行。

• 所需技能：

資安滲透測試工程師需具備以下技能和資格，包括熟悉 Linux 指令和 Windows 系統操作、熟悉資安檢測的評估標準（如 OWASP），以及熟練運用滲透測試工具（如 Burp Suite、Kali Linux 等）。

資安滲透工程師擁有 CEH、ECSA 等資安認證，同時具備針對資安事故進行調查和應變處理的實務能力。

• 工作內容：

以數位鑑識審計為例，發生資安危機時，數位鑑識審計需協助企業針對各類電子裝置，如個人電腦、硬碟和手機，進行數位資料蒐證，運用多種鑑識手法分析並還原事件真相。

同時，數位鑑識審計在跨國訴訟的 eDiscovery 過程中扮演關鍵角色，參與證據的蒐集、資料處理、審閱並負責報告的產出。

• 所需技能：

溝通和報告撰寫技能以清晰傳達鑑識結果，同時具備強大的邏輯思考和解決問題的能力，才能應對複雜的數位鑑識挑戰。此外，流利的語言能力也能確保在國際案件中順利協作。

額外的加分項目包括熟悉數位鑑識軟體，例如 Relativity、EnCase、Cellebrite，以及具備相關專業證照，例如 CFE、ACE、EnCE、CHFI、GCFA、GCFE、CCFP 等等。