文/郭慧姿
由於受到中美駭客大戰、病毒的擴散,以及911事件的影響,資訊安全議題在2001年下半年格外受到注目,堪稱全球經濟不景氣當中的一門「顯學」;而儘管景氣持續不佳,預估2002年重要趨勢發展時,資訊安全仍然榜上有名,一般預期資訊安全熱將持續延燒,再加上政府今年將推動ISO17799的中文化,將推廣企業建置ISO17799,預計未來一年資訊安全人才需求量將會急速膨脹。
目前資訊安全人才缺乏
一般預期未來資訊安全人才將會炙手可熱,但是由於資訊安全業界發展時間不長,再加上資訊安全議題受到熱烈討論也是近半年多的事,因此目前不僅台灣缺乏相關專業人才,連美國也出現資訊安全人才荒,而且預估這種情況將會愈來愈嚴重。在國外,由於工作性質的差異,專業資訊安全技術人員的薪資高於網路管理人員將近2倍,而這也是企業選擇委外以節省成本的一大主因。然而由於台灣企業主並非完全了解資訊安全與IT人員二者工作性質的差異,再加上資訊安全人才缺乏,因此目前台灣一般企業的資訊安全工作多由MIS或網管等IT人員兼任,造成企業編制上原本就不多的IT人員,已經繁重的工作量更形雪上加霜,且對資訊安全的掌握度不如預期。
教育訓練現況
隨著企業對資訊安全的重視,目前市場上除了吹起委外之風外,過去乏人問津的資訊安全教育訓練與認證也逐漸受到了重視,業者表示,不論企業是否選擇委外,都應該要有自己的專業人才進行資訊安全管理,因為唯有受過訓練,企業內部人員才能了解如何讓產品發揮完整功效,將內部人員送到教育訓練中心受訓是一個不斷吸取新知的方式;資訊安全產品、教育訓練與委外服務三者環環相扣。
由以上可以看出產品認證與知識是教育訓練兩大主軸,而課程又可以分為技術與管理兩大部分,例如精誠資訊代理Check Point 專業網路安全技術認證課程,該公司專業講師鄭梓宣表示,課程包括CCSA(Check Point Certified Security Administrator)、CCSE (Check Point Certified Security Engineer)等。而鈺松國際則推出ISS產品認證工程師、ISO/BS7799實務建置課程,兼顧技術與管理面向,因為「技術與管理人才士資訊安全人才的兩隻腳,缺一不可」,高國寶指出,「今年也將推出CERT/CC(Computer Emergency Response Team Coordination Center;電腦緊急應變小組協調中心)課程」。另外,立駭科技也自韓國所引進資訊安全訓練和認證課程,該公司教育訓練事業處協理郭偉祥表示,該課程強調練習與操作,而非僅是理論,設計了包含18關的攻防平台,以鍛鍊實務技巧。
而有鑑於目前台灣市場上了解資訊安全解決方案的專業人才不足,因此賽門鐵克推出全球一致的資訊安全專業教育認證制度,該公司資訊安全事業部行銷經理許淑菁強調,該認證制度有助於學員具備資訊安全生涯的技能與憑證,目前賽門鐵克在台灣僅授權Training Partner 進行訓練,課程包含防火牆與VPN、病毒防護、入侵偵測與弱點管理的產品與資訊安全基礎訓練。
師資、人才皆不充裕
其實不僅企業缺乏資訊安全人才,就連專門培育人才的師資其實也不充裕,因此業者對於師資的培養也必須卯足全力,鈺松國際教育訓練中心主任潘胤均就指出,許多業者對於資訊安全教育訓練市場躍躍欲試,但實際上跨入的門檻相當高,目前業者師資來源,不外從大專院校教授合作、開辦師資養成班、從既有公司編制篩選資深工程師再送至原廠教育訓練中心或國際單位受訓,再輔以授課技巧,或是與國際標準機構專業講師合作。目前大部分的業者推出的教育訓練採用與產品原廠授權合作的模式,並使用原廠教材內容,授課講師則需要經過國外原廠教育訓練,甚至飄洋過海取得國際中立機構的認證資格,反觀台灣目前尚無資訊安全人才能力鑑定標準。資策會教育訓練處組長呂理華表示,有鑑於此,根據2000年APEC部長會議決議,經濟部工業局乃於民國90年度下半年著手推動「資訊專業人員能力鑑定國際合作暨推廣計劃」,由資策會參考歐美日做法,進行當中的資訊安全技能規劃。他進一步指出,規劃時著眼點在於資訊安全從業人員需具備何種專業知識與技能,規劃出管理與技術兩類課程,並引導出取得知識與技能需通過哪些鑑定科目,當中包括了鑑定科目的內容與比重,從今年1月開始由電腦技能基金會進行認證制度推廣,未來有興趣的業者都可以加入教育訓練的行列,以協助學員取得認證。
呂理華表示,政府單位如勞委會現行即有一些資訊人員證照制度,不過,這一項由法人機構推動針對高階資訊安全人員的認證規劃是台灣首例;而資策會在規劃之初也考慮了國際交流,以及各家資訊安全業者在技術上的整合,提出了學員若已經通過國際中立機構或業者相關資訊安全認證或同等性質及水準的認證資格,則可向主辦單位提出申請,經核准後可抵免相關考試科目的做法。
對政府的期望
不僅業者進入市場的門檻高,學員光是開始接受教育訓練的門檻就不低,例如,熟悉TCP/IP基礎概念、具備IT實務工作經驗、了解公司網路運作情況、具備資訊安全倫理與法律觀念...,其實學員上起課來相當吃力,再加上課程多半必須連續數天上課以收效益,而且目前上課費用落差極大,尤其因為師資明顯不足,業者平均一天往往收費超過1萬元;據業者表示,目前上課學員還是以金融業、國家情治單位、政府單位與固網業者為主。
上課時間長、費用高等因素都可能讓求才若渴的企業或想更進一步進修的個人怯步,據了解,提供國家資訊安全相關技術服務的技術服務中心即擬定資訊安全人才培育計劃,近期應該有進一步進展。對此,業者多表示樂觀其成的態度,且希望除了加強宣導資訊安全重要性外,政府能夠積極推動ISO17799等資訊安全相關標準以刺激企業對人才的需求,並持續編列預算進行補助,讓資訊安全教育普及化;此外,多鼓勵企業主應該讓專業的人做專業的事,了解這資訊安全人才的專業度與企業本身的需求,也是教育訓練業者的心聲,如此一來,經過受訓的學員才有機會充分發揮所學。另外,業者也預期,待資訊安全人才逐漸補齊,「人才不足」可能就不是企業選擇資訊安全委外的主要原因了。