您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。

資安職能

請以左右鍵切換職能規劃(最左邊)、實體課程(左邊)、數位課程(中左)、職能評量(中右)、訓練機構(右邊)、相關資訊(最右邊)之頁籤

發展藍圖

公務人員資安職能規劃,係針對公務人員所擔任之職務與負責任務,規劃其執行業務時應具備之資訊安全知識與技能。依據不同職務與任務,規劃資安實務訓練課程、發展教材並建立資安能力之評量制度。

資安職能藍圖將公務人員依資安職務分為四類

*

圖說:資安職能藍圖將公務人員依資安職務分為四類:主管/一般人員/資訊人員/資安人員,依職務需求規劃養成課程,並建立評量制度,進行資安職能培育。

人員職能分析

依據公務人員之資安作業內涵分為4類人員,相關的類別定義與職務能力需求,詳見表1:

表1 人員類別與職能需求

類別1:主管
類別定義:擔任主管職務相關人員
相關職務:如機關(副)首長、部門主管(含資訊主管)等
職務能力:
1.基本資安認知與技能:具備處理日常資訊業務之資安知識與技能,包括:資安概論、個人電腦安全、email安全、瀏覽網站安全、儲存媒體安全及資安法律基本認知等能力。
2.資安管理的決策能力:管理職部分,應具備資訊安全管理制度認知、管理及決策能力,包括:業務持續管理、資安事件應變處理管理等能力。

類別2:一般人員
類別定義:一般人員
相關職務:如行政、會計、總務人員等單位內資訊系統的使用者
職務能力:基本資安認知與技能:具備處理日常資訊業務之資安知識與技能,包括:資安概論、個人電腦安全、電子郵件安全、瀏覽網站安全、儲存媒體安全及資安法律基本認知等能力

類別3:資訊人員
類別定義:負責資訊作業相關人員
相關職務:如系統分析設計人員、系統設計人員、系統管理人員及系統操作人員等
職務能力:
1.基本資安認知與技能:具備處理日常資訊業務之資安知識與技能,包括:資安概論、個人電腦安全、email安全、瀏覽網站安全、儲存媒體安全及資安法律基本認知等能力

2.系統資安防護能力:資訊系統專業人員:應具備資訊系統的安全防護認知與技能。包括:軟體的弱點與修護、防護軟體的原理與應用等

類別4:資安人員
類別定義:負責資通安全業務相關人員 如資安管理人員、資安稽核人員、資安聯絡人員等
相關職務:資安管理人員、資安稽核人員、資安聯絡人員等
職務能力:
˙基本資安認知與技能
˙資安制度建置能力
˙資安事件應變處理能力
˙資安稽核能力
能力說明:
1.除一般日常資訊業務之資安認知外,另需具備資訊安全管理制度的建置能力,包括風險評鑑與管理、資安政策與程序的撰擬等
2.瞭解資安事件的通報程序與事件處理能力
3.資安稽核工作人員,應熟悉稽核項目的要求與資安稽核技巧等能力

*

職能養成

依據各類別之公務人員在處理資訊職務上所需之資安能力,進一步規劃必選修領域課程之建議,有助於公務人員資安能力之養成,詳見公務人員職能養成訓練.pdf

*

實體課程簡介

依據公務人力資安職能發展藍圖,本計畫逐年完成資安職能課程教材開發,自98年至今已開發10門符合公務人員學習之實體課程教材,資安職能實體課程簡介,詳見表1:

表1 資安職能實體課程簡介

1

課程名稱:電子郵件安全

訓練對象:公務人員資安/資訊人員

課程時間:18小時

先備知識:具備電子郵件使用經驗、TCP/IP網路運作基本知識及領域名稱服務(DNS)運作基本知識。

課程目標旨在強化資訊人員對於電子郵件安全的技術與管理能力,提升組織進行電子郵件威脅之安全防護能力,維護電子郵件服務安全與正常運作,並能針對電子郵件服務的新發展維持新知。課程內容包含電子郵作運作架構與安全技術、電子郵件格式標準、電子郵件傳輸通訊標準、電子郵件的弱點與威脅、電子郵件安全防護、電子郵件伺服器端與個人端之安全設定、電子郵件安全管理程序及電子郵件服務的新發展與法規遵循等。

單元目標與知識技能指標

2

課程名稱:Web應用程式安全

訓練對象:公務人員資安/資訊人員

課程時間:18小時

先備知識:具備Web服務/網站委外經驗或維運經驗或開發經驗

課程目標旨在協助政府機關學習並強化對於Web應用程式委外、開發、驗收及維運等業務,應具備之資安知識與資安控制管理技能,確保Web應用程式服務之機密性、完整性及可用性。課程內容包含Web AP的威脅與風險、防火牆建置、源碼檢測報告解讀與驗證、滲透測試、安全的軟體開發生命週期(SSDLC)等。

單元目標與知識技能指標

3

課程名稱:資訊安全通識

訓練對象:公務人員資安/資訊人員

課程時間:18小時

先備知識:具備電腦與網路基本概念

課程目標旨在幫助學員建立資訊安全領域的基礎背景,具備職務上所需要的資安知識與技能,同時為其他的資安相關的教育訓練課程建立先備知識。課程以實用性為主軸,配合資訊安全在管理、技術及操作等相關層面,各項安全控制措施實作所需之知識與技能。課程內容包含資訊安全基本觀念、政府機關資訊安全相關法令/規範及指引介紹、資訊安全風險管理、業務永續運作計畫、作業安全、資訊委外安全、存取控制、網路安全、加密與簽章、應用程式安全、實體與環境安全、資訊安全新發展等。

單元目標與知識技能指標

4

課程名稱:資安事件處理

訓練對象:公務人員資安/資訊人員

課程時間:12小時

先備知識:具備資訊安全領域專業知識與數位鑑識基本概念

課程目標在於使學員藉由學習資安事故處理原則與程序以及數位鑑識處理原則,藉以融入處理資安事故方法之內,使學員清楚瞭解資安事故通報程序以及數位證據保全之方法。課程內容包含資安事件處理的基本定義、處理時機、資料保存議題及資安事件處理程序。透過對不同資安事件類型情境套用處理程序,並經由實務操作方式,增加學員對事件處理的經驗,掌握事件應變要點。

單元目標與知識技能指標

5

課程名稱:電子資料暨個資保護管理

訓練對象:公務人員資安/資訊人員

課程時間:18小時

先備知識:具備資料保護與資訊安全管理之相關概念

課程目標旨在瞭解符合我國「個人資料保護法」對政府機關之法律與規範要求,在電子資料生命週期各階段流程中對於電子資料的威脅與防護方法,並有能力結合個資的保護落實規劃、執行、檢查與行動的PDCA循環管理程序。課程內容包含電子資料與個資保護管理綜合概觀、電子資料與個資保護管理的相關法規、個資保護與管理建置的流程、以資訊安全管理制度落實電子資料及個資的保護、電子資料與個資生命週期與處理程序、電子資料與個資生命週期各階段的安全威脅與解決辦法、電子資料的加密保全、電子檔案的備份、持續保存、存取控制與稽核電子資料防洩漏技術、資料庫資料防護概念與技術、資料庫稽核、去識別化技術與管理實務、勒索軟體防範及數位證據保存等。

單元目標與知識技能指標

6

課程名稱:資訊系統風險管理

訓練對象:公務人員資安/資訊人員

課程時間:12小時

先備知識:具備以下其中之一:資訊安全與風險管理概念、資訊系統風險評鑑參考指引、CNS 27001、CNS 27005、ISO 31000、ISO 31010

課程目標旨在瞭解風險管理架構、學習鑑別分析與評估風險、養成風險處理能力及控管風險。課程內容包含風險管理的重要性與資訊安全防護應有之認知,說明「高階風險評鑑作法」、「詳細風險評鑑作法」及「基準風險評鑑作法」之差異與使用時機。學習如何建立適合組織特性之資訊資產與資訊系統的分類、分級、弱點、威脅及衝擊等評鑑準則,風險控制措施之分類與訂定控管之目標與績效指標的方法,如何運用風險管理審查與進行矯正預防,以及如何評估風險管理的成效。

單元目標與知識技能指標

7

課程名稱:政府資訊委外安全

訓練對象:公務人員資安/資訊人員

課程時間:12小時

先備知識:曾主辦或協辦政府資訊業務採購作業經驗者、瞭解機關資安政策暨資訊委外相關規定、已閱讀政府資訊作業委外安全參考指引

課程目標旨在訓練學員辦理資訊作業委外前,視各類委外作業形態,依政府採購流程「計畫作業階段」、「招標階段」、「決標階段」、「履約管理階段」、「驗收階段」、「保固維護」及「爭議處理」等作業階段,評估各階段資安要求重點,並有效檢視與強化資訊作業委外安全管理。課程內容包含資訊委外的服務基本常識、服務形態、服務資安策略、委外生命週期,委外風險說明與風險處理原則、委外利害關係分工與風險溝通、委外各階段作業說明、資訊委外各階段資訊安全需求、資訊委外作業資安檢核項目及相關參考法規。並透過對不同資訊作業委外安全個案研討,並經由實務操作方式,增加學員對各階段作業安全需求分析的經驗。

單元目標與知識技能指標

8

課程名稱:資安健診

訓練對象:公務人員資安/資訊人員/資安健診業務承辦人

課程時間:12小時

先備知識:TCP/IP網路運作基本知識/使用者及伺服器端作業系統操作/網路及系統安全運作及管理知識

課程目標旨在讓參與各政府相關人員瞭解資安健診委外服務的目的和過程,包含檢視的項目和內容,教導學員具備資安健診之基本知識與技能,瞭解如何透過資訊安全健診服務,認識內部環境與外在威脅現況,強化整體資訊安全環境保護的瞭解,進而提升組織資訊安全與維護資訊業務正常運作。課程內容包含資安健診之必要性、網路架構檢視、有線網路惡意活動檢視,使用者端電腦檢視、伺服器主機檢視、安全設定檢視、檢視結果之改善建議等。

單元目標與知識技能指標

9

課程名稱:行動裝置安全

訓練對象:公務人員資安/資訊人員

課程時間:12小時

先備知識:行動裝置使用知識、行動裝置APP使用知識

課程目標旨在協助我國持續關注行動裝置的安全威脅,採講述教學與討論教學方法,並輔以實機操作方式,協助政府單位訓練相關人員,瞭解行動裝置帶來方便性之外的資安威脅與衝擊,以及單位內部應如何因應與管理,期能建構未來政府、機關、民眾在使用行動裝置應用時之安全環境。課程內容從行動裝置的管理(MDM) 、行動通訊應用管理(MAM) 與行動通訊內容管理(MCM)等各方面,瞭解行動裝置的資安威脅與相關風險、程式開發時所面臨的風險與相關實務分析、以及行動裝置安全防護與管理及其安全使用建議。

單元目標與知識技能指標

10

課程名稱:雲端服務安全管理

課程時間:18小時

適合對象:公務人員資安/資訊人員

先備知識:具備資訊安全與雲端運算環境的相關概念

課程目標旨在幫助學員建立雲端服務安全管理方面的基礎知識背景與技能,進而在機構內評估雲端服務安全的風險,在導入雲端服務之後能察覺雲端服務的威脅,透過雲端資訊安全管理的方法與分工分責,保障機構雲端服務的安全。課程內容包含雲端運算與服務簡介、雲端運算與服務安全簡介、政府機關雲端服務使用安全管理、雲端服務安全問題的特性/分類與案例分析、國際雲端服務安全運作簡介、雲端服務安全性評估的原理與方法、雲端服務的安全性評估實作與案例分享、雲端安全管理的改善/治理與制度、雲端服務安全的展望。

單元目標與知識技能指標

*

教材文件架構

資安職能課程以實用性為主軸,配合資訊安全在管理面、技術面及操作面等相關層面,進行課程教材開發,歷經多次資安專家審查會議,始得建構符合公務人員所需之資安專業知識與技能之課程。每門課程教材開發之文件架構,詳見圖1,文件說明詳見表1:

教材文件包括:課程綱要、課程發展計畫、課程教材講義、訓練課程實作練習與測驗、課程講師教學輔助教材、學員實作輔助教材、課程學習指引、行政手冊

圖1 課程教材開發之文件架構

表1 課程教材開發之文件說明

1

文件名稱:課程綱要

文件說明:課程的綱領,說明整體課程目標與範圍,課程應達到的學習成果,包括應習得的知識與技能之詳細說明

2

文件名稱:課程發展計畫

文件說明:依據課程綱要,發展課程結構與規劃,包括目標、對象、先備知識、時程、教學設計、形成性評量、師資及班務規劃

3

文件名稱:課程教材講義

文件說明:依據課程發展計畫,發展課程內容教材,以簡報方式呈現(含說明),作為授課主要之教材

4

文件名稱:講師教學輔助教材

文件說明:講師教學資源(軟體、文件) 、講師教學示範影片、測驗與作業內容解答或參考建議

5

文件名稱:學員實作輔助教材

文件說明:依據發展計畫,教材講義之輔助資源,包括實作練習操作之軟體或檔案與其他補充內容,以光碟提供學員使用

6

文件名稱:課程實作練習與測驗

文件說明:依據發展計畫,發展教學設計之練習、測驗及作業內容

7

文件名稱:課程學習指引

文件說明:依據課程綱要,發展課程結構與課程規劃,包括:課程目標、訓練對象、先備知識、課程簡介等等

8

文件名稱:行政手冊

文件說明:說明課程之行政準備作業,包括電腦教室之軟硬體環境需求、行政作業的流程等

數位課程表

為了普及資安知識與技能的學習,除了開發資安職能實體課程外,本中心亦有開發數位課程,提供另一學習資源與管道,以協助資安職能之養成。目前線上服務之資安數位課程課程清單詳見表1。

表1 資安數位課程清冊

基本認知類(9門),包括:

1.資訊安全概論

2.資安管理-個人篇

3.資安管理-主管篇

4.個人資料保護法介紹

5.資安管理制度(ISMS)標準ISO 27001:2013介紹

6.Windows安全防護應用

7.涉外人員資通安全作業實務

8.資安案例分享_e-mail社交工程及防護

資安管理類(10門),包括:

1.資安風險管理概觀

2.資安風險評鑑實務

3.個人資料保護_管理篇

4.資訊安全管理系統政策制定與資訊安全組織建立

5.資訊資產管理

6.存取控制概觀

7.資訊安全稽核介紹與實務

8.個人資料保護_舉證責任與數位鑑識之觀點

9.行動設備安全

10.個人資訊管理系統國際標準介紹-以BS10012為例

 

 

資安技術類(12門),包括:

1.網路安全概論

2.防火牆原理、架構及種類介紹

3.防火牆部署與管理

4.密碼學原理與技術(對稱式與非對稱式密碼技術)

5.無線區域網路安全防護

6.營運持續管理(BCM)概觀

7.應用服務安全實作_Web應用程式之威脅與防護

8.網路攻擊技術分析

9.弱點掃瞄技術

10.惡意軟體介紹與防治

11.電腦數位鑑識_基礎篇

12.APT目標攻擊因應之道

*

數位課程使用

資安數位課程學習平台網址https://elearn.hrd.gov.tw/mooc/index.php

 

職能評量制度

依據職能發展藍圖,建置資安職能證書評量制度,以有效量測公務人員之資安能力。建立資安職能評量標準化作業,訂定資安職能評量執行規範,以有效管理職能評量作業,詳見圖1。

資安職能評量標準化作業

圖說 資安職能評量制度,訂定資安職能評量執行規範以及9份規則文件

資安職能評量制度摘要:

  1. 主辦單位:國家資通安全會報技術服務中心
  2. 考試對象:公務人員
  3. 考試方式:電腦化考試(主)或紙本考試(輔)
  4. 考試題型:50題選擇題(10題複選/40題單選)
  5. 考試時間:75分鐘
  6. 通過分數:70分
  7. 考試場次:另行公告
  8. 考試場地:另行公告
  9. 考試報名:參加職能訓練課程後,隨課後考試。
  10. 職能評量諮詢:(02)6631-1889

 

資安訓練機構認證制度

依據:「國家資通安全發展方案(106~109年)」之「推動策略四、孕育優質資安人才」,提升政府資安人力專業職能,建立資安訓練機構認證制度

目的:遴選資安訓練機構,擴增資安人才培訓管道

遴選規範與辦法:認證制度文件包含執行規範、5項規則與補助辦法,詳見下表說明

申請資格:107年申請條件須為「資安職能訓練機構設立規則」中第三條第一類依法設立之公私立大專院校,且近2年曾經執行資訊或資安相關訓練課程業務,並具備TTQS評核結果為銀牌以上者

107年訓練機構遴選數量:依訓練機構所在縣市分區評比,經初、複審遴選出北區2所、中區1所、南區1所訓練機構。各區分布如下:

北區:台北市、新北市、基隆市、桃園市、新竹縣、宜蘭縣、花蓮縣

中區:苗栗縣、台中市、彰化縣、南投縣、雲林縣

南區:嘉義縣、台南市、高雄市、屏東縣、台東縣

遴選時間

初審:7/17
複審:7/25-31

遴選結果

北區:中國文化大學、健行科技大學

中區:逢甲大學

南區:崑山科技大學

證書效期:

本次通過認證所核發證書,自公告日(107/8/3)起效期為2年
 

認證制度文件

包含執行規範、5項規則與補助辦法。如下表:

文件編號

文件名稱

內容概述

TR-PR-01

資安職能訓練執行規範

資安職能訓練機構認證制度文件彙整與依據

TR-WI-01

資安職能訓練機構設立規則

訓練機構資格、條件及應遵守事項

TR-WI-02

資安職能訓練機構遴選作業規則

訓練機構遴選方式與評選項目說明

TR-WI-03

資安職能訓練機構認證規則

訓練機構取得認證與廢證

TR-WI-04

資安職能訓練機構訓練作業規則

訓練應執行事項之前、中、後階段作業

TR-WI-05

資安職能訓練機構教學查核規則

訓練機構教學查核方式、指標及查核結果

TR-WI-06

資安職能訓練機構經費補助辦法

資安職能訓練機構申請經費補助資格、程序等說明

 

職能評量科目

本中心已發展10門公務人員資安職能評量科目,各科目之評量指標詳見表1,評量證書的樣本詳見圖1。

表1 公務人員資安職能評量科目與評量指標

序號 職能評量科目 評量指標

1

電子郵件安全

電子郵件安全_評量指標

2

Web應用程式安全

Web應用程式安全_評量指標

3

資訊安全通識

資訊安全通識_評量指標

4

資安事件處理

資安事件處理_評量指標

5

電子資料暨個資保護管理

電子資料暨個資保護管理_評量指標

6

資訊系統風險管理

資訊系統風險管理_評量指標

7

政府資訊委外安全

政府資訊委外安全_評量指標

8

資安健診

資安健診_評量指標

9

行動裝置安全

行動裝置安全_評量指標

10

雲端服務安全管理

雲端服務安全管理_評量指標

 

*

職能證書管理

  • 評量證書有效年限:3 年
  • 證書維護方式:
    • 重新考試
    • 再訓練與評量
    • 以下2項皆須達成
      1. 完成資安職能評量維護課程:3小時(由主辦單位舉辦)
      2. 20題評量,成績達70分以上(含)

資安職能諮詢窗口:(02)6631-1889


2018/8/3 14:42:12