近期榮幸受邀至某大學進行一場關於資訊職涯的講座,對象主要是資訊科系的學生,在這場演講中,我建議學生要找到兩張幫助自己未來職涯發展的「地圖(Map)」。
第一張map是「Roadmap」,目的是要找到職涯的發展路線。我們知道國內政府機構,必須依據資安法的「資安責任等級」,完成相關的應辦事項包括要有「資安專職人員」,而專職人員很明確地要有相關的資安證照及接受相關的職能訓練。在這幾年ISO27001的推波助瀾下,許多資安專職人員也幾乎人手一張ISO 27001主導稽核員證書,目的就是優先符合資安法。數發部資通安全署每年都會修訂並發布「資通安全專業證照清單*(注1)」,促使各機關專職人員能取得並持續更新自身的專業證照,例如ISO/IEC 27001:2013已於114年10月31日後停止採認,必須要更新ISO/IEC 27001:2022版本。除了專業證照之外,「資安職能訓練發展藍圖*(注2)」也促使專職人員培養策略面、管理面或技術面應具備之能力,其中核心基礎能力為「資通安全概論」,目標就是要建立人員全面性的資通安全及資安法規的認知,從更廣泛的角度來協助建構機關的資安管理制度。由此可見,企業也可以參考政府機構的做法,培養組織內部的資安人才,朝著「Roadmap」=「路線圖」前進,規劃人員從基礎到專業,培養相關的職能以滿足企業建構管理制度之所需。
第二張是「mindmap」,目的是在職涯中整理自己的資訊,變成有用的知識。我們知道每一份工作、每一個角色都有其專業需求。例如:資安管理系統顧問,基本的mindmap就是ISMS的知識,然而顧問師在不同教育階段及工作經驗,影響每個專業領域的認知深淺。有些顧問可能對網路安全一知半解,充其量從ISO 27001:2022知道一些資訊,再深入些的可以找到一些網路安全的文章或管理工具去認識,而這些內容在專技者眼裡可能是平常慣用的工具。此刻顧問可能要轉化成安全與日常應用間的橋梁,從中扮演解釋這些管理工具如何在網路安全上的扮演著合規的用途與實務做法,才能讓技術人員在平日運用工具時進一步想到安全控制。顧問因此可能需要將更多的知識匯集成自己的智慧,進而整理出「心智圖」顯示出工具與安全間的相互關係,未來才能充分解釋「網路安全」從政策到執行的完整體現。
資安人才在目前全球及台灣地區都相當缺乏,在演講當中仍鼓勵學生子弟能加入資安的行列,運用「Roadmap」找到將來的職涯路線,成為專業的角色,並且善用「mindmap」,整理廣泛的資訊,轉化為自身的知識和智慧,以在每一個角色和每一份工作上充分展現其專業素養。人才是組織維護資安的根基,希望藉此文能協助組織們媒合到優秀的資安人才。
注1:資通安全專業證照清單資料來源:https://moda.gov.tw/ACS/laws/certificates/676
注2:資安職能訓練發展藍圖資料來源:https://moda.gov.tw/ACS/operations/training/654
作者:潘柏廷 Conrad Pan
現職:亞瑟國際驗證專任資安技術專家,資深資安教育者,曾任資安輔導顧問,專長領域為資安、個資、人工智慧
