資安人才工作揭秘:資安職務內容與必備技能

資安人才工作揭秘:資安職務內容與必備技能

科技日新月異,網路攻擊與資安風險日益嚴重,因此企業對於資訊安全人才的需求持續攀升。根據調查顯示,臺灣大型企業現有的平均資安人力僅 3.4 人,希望擴編到至少 6.1 人,而最需要資安人才的產業依序為金融業、政府與學校,再來是醫療業與服務業,可見資安人才在市場仍屬供不應求。為此,本文將介紹資安人才的工作內容、資安人才所需的關鍵能力,以及必備的技能和素養。

一、資安人才選擇多!資安工作有這些

ECSF 的 12 種資安工作

2022 年 9 月,隸屬歐盟底下的歐洲網路和資訊安全局(ENISA)發佈了名為歐洲網路安全技能框架(European Cybersecurity Skills Framework,簡稱 ECSF)的新規範。這個框架旨在應對資安人才短缺的挑戰,為歐盟成員國以及歐洲地區的其他國家提供可行的解決方案。

簡單來說,ECSF 可用於定義歐洲網路安全專業人員的種類,其中包括 12 種網路安全工作角色,而每種角色都有特定的任務和必備技能。

  • 資安長(CISO)
  • 網路事件處理人才
  • 網路法規與政策合規長
  • 網路威脅情報專家
  • 網路安全架構師
  • 網路安全稽核師
  • 網路安全教師
  • 網路安全實施人才
  • 網路安全研究人才
  • 網路安全風險管理人才
  • 數位鑑識調查人才
  • 滲透測試人才

台灣資安院「12+7」資安人才

在台灣,資安院於 2023 年宣布當年臺灣資安人才培力研究報告的藍皮書,表示根據 ECSF 框架,將我國資安人才類別改良為「12+7」種類型,這是因為考量臺灣的國情與地緣政治因素,資安院認為需要投入更多保護與防禦的人才,並反映更多資安產業還有需求的工作角色。

簡而言之,我國這 19 項資安工作角色包括與 ECSF 框架共通的 12 種,以及新增的 7 種:資安系統規畫師、資安顧問師、資安專案經理、資安檢測工程師、資安系統維運員、資安監控防禦工程師、漏洞分析工程師

以下將就幾項資安工作進行介紹,分別為資安策略人才、資安管理人才,以及資安技術人才。

二、資安策略人才:資安長(CISO)

早在 2021 年底,金管會要求上市(櫃)公司在 2023 年底前根據營運規模和業務情況,必須完成設置資安長和資安專責人員。這意味著「強化資安防禦」不僅是口號,更應盡快成為企業經營中的重要一環。

而「資安長」需要具備的包括以下四種能力:溝通能力、危機處理能力、法令遵循相關知識,以及資安基礎知識。

資安長必備技能 1:溝通協調

資安長得向董事會報告企業內部的資安狀況與績效的,因此必須向上溝通能力,以及與其他單位的橫向溝通能力。溝通協調在資安工作中佔據重要地位,而在過程中提供客觀的參考指標將更具說服力,以風險評估、安全事件回應時間為例:

●  同產業前五名公司在資安投資上的資源

●  在資安事件發生時,公司必須有自信能在 12 小時內使系統恢復運作

資安長必備技能 2:危機處理

當企業面臨猝不及防的資安威脅時,資安長的危機處理能力就相當重要。在危機發生時,資安長需要展現公司及其資安團隊的應變能力,迅速釐清問題並提出解決方案。

資安長必備技能 3:法遵及資安基礎知識

資安長需要具備法遵相關知識和資安基礎知識,才能理解資安檢測報告、弱點掃描和滲透測試的結果,有助於資安長確定企業的資安問題所在。

三、資安管理人才:資安監管與治理

資安風險管理工程師

  • 工作內容:

資安風險管理師將管理與評估公司的資訊安全,將公司資產進行安全等級分類,深入風險分析與評估後,制定明確的風險處理方式。資安風險管理師還要考慮到不同資產的價值、敏感性,以及可能面臨的各種風險,包括外部攻擊、內部威脅等。

  • 所需技能:

資安風險管理師需要具備全面的資訊安全知識和技能,並能運用這些知識制定適用於企業的風險管理策略。因此資安風險管理師需要專業知識與技能、良好的商業洞察力和風險意識。

資安風險管理師管理與評估公司的資安,制定風險處理方式
資安風險管理師管理與評估公司的資安,制定風險處理方式。

資安教育與法遵人員

  • 工作內容:

根據組織的資安戰略與法律要求,資安教育與法遵得全面管理所有合規事宜,包括與網路安全相關的標準、法律和監管框架。資安風險管理師負責確保組織在資安相關事務上的遵從性,透過制定、實施和維護合規程序,確保公司在法規和行業標準方面的合法性和合規性

此外,資安教育與法遵在推動整體資安文化時,也需要致力於讓組織內的員工掌握如何遵守相關政策和程式,包括開發培訓計畫,提供相應的教育和培訓,使員工能夠理解並遵從組織制定的資安政策,進一步提升整個組織對資訊安全的識別和預防能力。

透過有效的合規管理和資安教育,資安教育與法遵能夠協助建立一個強化的組織文化,使每位成員都能夠扮演積極角色,提高整體資訊安全水準。

四、資安技術人才:資安產品需要資安工程師

資安產品工程師

  • 工作內容:

資安產品工程師在基礎架構和產品層面,負責資安產品的運作,並提供用戶與客戶相關的資安支援,同時與 IT 人員和 OT 人員密切合作。

  • 所需技能:

在技能方面,資安產品工程師需要熟悉技術開發、系統導入、維護管理、制定升級策略,以及資安產品的測試。

資安滲透測試工程師

  • 工作內容:

資安滲透測試工程師主要負責執行各項資安任務,包括滲透測試、弱點掃描、紅隊演練、DDoS 演練(主機相關服務、應用程式、API 等),同時協助進行資訊安全教育訓練,並參與攻擊和防禦對策的研究。通常情況下,資安的滲透測試每半年至一年進行一次,因此並非所有資安部門都會內部聘用專職人員,而是傾向採用外包方式,由專業的外部團隊負責執行。

  • 所需技能:

資安滲透測試工程師需具備以下技能和資格,包括熟悉 Linux 指令和 Windows 系統操作、熟悉資安檢測的評估標準(如 OWASP),以及熟練運用滲透測試工具(如 Burp Suite、Kali Linux 等)。

資安滲透工程師擁有 CEH、ECSA 等資安認證,同時具備針對資安事故進行調查和應變處理的實務能力。

數位鑑識工程師

  • 工作內容:

以數位鑑識審計為例,發生資安危機時,數位鑑識審計需協助企業針對各類電子裝置,如個人電腦、硬碟和手機,進行數位資料蒐證,運用多種鑑識手法分析並還原事件真相。

同時,數位鑑識審計在跨國訴訟的 eDiscovery 過程中扮演關鍵角色,參與證據的蒐集、資料處理、審閱並負責報告的產出。

  • 所需技能:

溝通和報告撰寫技能以清晰傳達鑑識結果,同時具備強大的邏輯思考和解決問題的能力,才能應對複雜的數位鑑識挑戰。此外,流利的語言能力也能確保在國際案件中順利協作。

額外的加分項目包括熟悉數位鑑識軟體,例如 Relativity、EnCase、Cellebrite,以及具備相關專業證照,例如 CFE、ACE、EnCE、CHFI、GCFA、GCFE、CCFP 等等。

資安產品工程師、資安滲透測試工程師、數位鑑識工程師,都是重要的資安技術人才
資安產品工程師、資安滲透測試工程師、數位鑑識工程師,都是重要的資安技術人才。

五、資安人才是你嗎?找資安工作就在 Cake

職缺
公司
薪資
職缺需求
資安工程師
BitoGroup
 
 
50,000 ~ 95,000 TWD / 月
1. 熟悉Linux / Windows 作業系統與Docker / k8s 部署與管理
2. 熟悉主流的雲服務(如:GCP 、 AWS 、 Azure)資訊產業經驗者及相關認證
3. 熟悉 CI/CD 工具,並協助資訊安全設備建置、維運與整合
4. 經歷資安事件調查實戰經驗
5. 惡意程式分析經驗
6. 封包分析工具使用經驗,如:Wireshark / Moloch 等
7. 逆向程式分析工具使用經驗,如 IDA Pro 等
8. Log 分析工具
 
資安顧問 / 資安工程師
 
蓋亞資訊有限公司
50,000 ~ 80,000 TWD / 月
孰悉資安相關服務(如 VA/PT/Code Review/SOC 監控等)
網路架構
作業系統(Windows/Linux)
資安設備(FW/IPS/WAF 等)

集團資安工程師
 
和泰汽車股份有限公司
40,000 ~ 83,000 TWD / 月
對雲端領域有高度興趣,能夠投入心力研究技術並主動提案。
具 Azure 工作經驗及證照者佳。

延伸閱讀:區塊鏈工作有哪些?區塊鏈職缺、必備技能與自學資源整理

3 Benefits of Subscribing to Cake's Newsletter

  • Bi-weekly newsletter updates
  • Industry trends and skills recommendation
  • Latest job openings and job search information
Newsletter

Resume Builder

Build your resume only in minutes!

More Articles you might be interested in

Latest relevant articles

什麼是銀行 RM、ARM?法金與企金都在做些什麼?

銀行業的職位基本上可以分為「個人金融(個金)」及「企業金融(企金)」兩大類,其中企金又被稱為法人金融(法金),像客戶關係管理、企業投資規劃專員就是屬於企業金融的範圍。 本篇文章將介紹 RM 和 ARM 這兩個隸屬於「企業金融」的職位,包含工作內容、 RM 和 ARM 的職務差別、薪水與面試技巧等,希望幫助想要踏入金融產業的大家順裡找到想要的職位。