NO.64 | 2020.02.27
banner
title有備而來 友善列印>>
《資通安全管理法》資通安全專業證照芻議_郭麗靜 經理

      《資通安全管理法》是我國資通訊安全政策重要變革,已於108年1月1日生效實施。《資通安全管理法》將我國需要實施資通安全控管範圍從政府機關擴大為特定非公務機關(包含關鍵基礎設施提供者、公營事業及政府捐助財團法人),在主法當中特別於第11條明定公務機關應設置資通安全長,負責整體資通訊安全相關業務的推動及監督。同時,也要求資通安全專業人才之培育,並在子法《資通安全責任等級分級辦法》應辦事項之三構面之一「認知與訓練」要求政府機關及特定非公務機關須有資通安全專業證照,資通安全責任等級A級須至少持有4張、B級須至少持有2張及C級至少持有1張(參閱圖1)。其中每位資通安全專職(或專責)人員至少應取得1張資通安全專業證照,以證明擁有具資通安全相關知識,並且也呼應主法中對於資安專才培育之要求。


 
 
 圖1 《資通安全責任等級分級辦法》應辦事項-資通安全專責人員及證照數示意圖
(資料來源:《資通安全責任等級分級辦法》 本中心整理)


 
 
      《資通安全責任等級分級辦法》應辦事項明定「資通安全專業證照,指由主管機關認可之國內外發證機關(構)所核發之資通安全證照」。行政院國家資通安全會報亦陸續發佈資通安全專業證照認可審查作業流程及資通安全專業證照清單,供各相關機關參考。最近一期已於109年1月20日公告108年第4季更新資通安全專業證照清單,分別包含管理面(15張)與技術面(74張)認可證書(參閱圖2),管理類證書接受共4家單位發佈證書,包含:TAF/國際認可資安管理系統驗證機構、EC-Council、GIAC與ISACA,其中常見的證書有:ISO/IEC 27001:2013主導稽核員及ISO 22301營運持續管理系統主導稽核員等,而其他國外單位像EC-Council可以取得資安長認證CCISO或資安經理人認證EISM證書。另外技術類證書則相較管理類更多樣,包含接受共9家單位發佈證書,國內是經濟部iPAS 資訊安全工程師中級能力鑑定,國外則是與資安證照相關單位如(ISC)2、CompTIA、CREST、EC-Council、GIAC、ISFCE、Offensive Security與Cisco,資安相關議題也相當廣泛,包括滲透測試、網路安全、事故回應、安全架構及駭客技術等,各機關可依需求進行資安相關議題選擇及考證。


 
圖2 資通安全專業證照清單彙整示意圖
(資料來源:行政院國家資通安全會報 本中心整理)

 




資料來源:行政院國家資通安全會報
https://nicst.ey.gov.tw/Page/D94EC6EDE9B10E15/7ba35454-3644-4199-828d-cff2f2d077fc