請以左右鍵切換職能規劃(最左邊)、實體課程(左邊)、數位課程(中間)、職能評量(右邊)、相關資訊(最右邊)之頁籤
發展藍圖
公務人員資安職能規劃,係針對公務人員所擔任之職務與負責任務,規劃其執行業務時應具備之資訊安全知識與技能。依據不同職務與任務,規劃資安實務訓練課程、發展教材並建立資安能力之評量制度。

人員職能分析
依據公務人員之資安作業內涵分為4類人員,相關的類別定義與職務能力需求,詳見表1:
表1 人員類別與職能需求
類別1:主管
類別定義: 擔任主管職務相關人員
相關職務: 如機關(副)首長、部門主管(含資訊主管)等
職務能力:
1.基本資安認知與技能:具備處理日常資訊業務之資安知識與技能,包括:資安概論、個人電腦安全、email安全、瀏覽網站安全、儲存媒體安全及資安法律基本認知等能力。
2.資安管理的決策能力: 管理職部分,應具備資訊安全管理制度認知、管理及決策能力,包括:業務持續管理、資安事件應變處理管理等能力。
|
類別2:一般人員
類別定義:一般人員
相關職務:如行政、會計、總務人員等單位內資訊系統的使用者
職務能力:基本資安認知與技能:具備處理日常資訊業務之資安知識與技能,包括:資安概論、個人電腦安全、電子郵件安全、瀏覽網站安全、儲存媒體安全及資安法律基本認知等能力
|
類別3:資訊人員
類別定義:負責資訊作業相關人員
相關職務: 如系統分析設計人員、系統設計人員、系統管理人員及系統操作人員等
職務能力:
1.基本資安認知與技能::具備處理日常資訊業務之資安知識與技能,包括:資安概論、個人電腦安全、email安全、瀏覽網站安全、儲存媒體安全及資安法律基本認知等能力
2.系統資安防護能力:資訊系統專業人員:應具備資訊系統的安全防護認知與技能。包括:軟體的弱點與修護、防護軟體的原理與應用等
|
類別4:資安人員
類別定義:負責資通安全業務相關人員 如資安管理人員、資安稽核人員、資安聯絡人員等
相關職務:資安管理人員、資安稽核人員、資安聯絡人員等
職務能力:
˙基本資安認知與技能
˙資安制度建置能力
˙資安事件應變處理能力
˙資安稽核能力
能力說明:
1.除一般日常資訊業務之資安認知外,另需具備資訊安全管理制度的建置能力,包括風險評鑑與管理、資安政策與程序的撰擬等
2.了解資安事件的通報程序與事件處理能力
3.資安稽核工作人員,應熟悉稽核項目的要求與資安稽核技巧等能力
|
職能養成
依據各類別之公務人員在處理資訊職務上所需之資安能力,進一步規劃必選修領域課程之建議,有助於公務人員資安能力之養成,詳見公務人員職能養成訓練.pdf
實體課程簡介
依據公務人力資安職能發展藍圖,本計畫逐年完成資安職能課程教材開發,自98年至103年已開發11門符合公務人員學習之實體課程教材,資安職能實體課程簡介,詳見表1:
表1 資安職能實體課程簡介
1 |
實體課程名稱:電子郵件安全
訓練對象:公務人員資安/資訊人員
實體課程時間:18小時,分成13個單元
課程內容包含電子郵作運作架構、電子郵件格式標準、電子郵件傳輸通訊標準、電子郵件的弱點與威脅、電子郵件安全防護、電子郵件伺服器端與個人端之安全設定及電子郵件安全管理程序等。本課程目標旨在強化資訊人員對於電子郵件安全的技術與管理能力,提昇組織進行電子郵件威脅之安全防護能力,維護電子郵件服務安全與正常運作。
|
2
|
實體課程名稱:Web應用程式安全
訓練對象:公務人員資安/資訊人員
實體課程時間:18小時,分成5單元
課程內容包含Web AP的威脅趨勢與常見資安風險、Web AP的開發建置與安全防護 、Web AP的源碼檢測、Web AP的滲透測試、Web AP防火牆 、 Web AP安全相關檢測工具、安全的軟體開發生命週期(SSDLC)及網站安全性檢查注意要點。本課程目標旨在協助政府機關學習並強化對於Web應用程式(網站)委外、開發、驗收、維運等業務,應具備之資安知識與資安控制管理技能,確保Web應用程式(網站)服務正常運作。
|
3
|
實體課程名稱:資迅安全通識
訓練對象:公務人員資安/資訊人員
實體課程時間:15小時,分成11個單元
課程內容涵蓋資訊安全管理面、操作面及技術面的資安議題與防護措施,依據政府機關資訊安全相關法令、規範及指引要求,導引出政府機關人員於實作資訊安全相關要求時,所需具備之資安基本知識與技能。內容包含:資訊安全風險管理、業務永續運作計畫、作業安全、資訊委外安全、存取控制、網路安全、加密與簽章、應用程式安全及實體與環境安全等
|
4
|
實體課程名稱:資安事故處理
訓練對象:公務人員資安/資訊人員
實體課程時間:12小時,分成5個單元
課程內容包含資安事件處理的基本定義、處理時機、資料保存議題及資安事件處理程序。透過對不同資安事件類型情境套用處理程序,並經由實務操作方式,增加學員對事件處理的經驗,掌握事件應變要點
|
5
|
實體課程名稱:電子資料保護
訓練對象:公務人員資安/資訊人員
實體課程時間:12小時,分成12個單元
課程內容包含電子資料保護的重要基礎概念,認識電子資料的定義與範圍、電子資料的分類分級與管理、瞭解電子資料的安全威脅與電子資料的生命週期;在技術方面,學習在電子資料生命週期,各階段流程中的資料保護安全機制與具體作法,數位權限管理(DRM)機制的應用,以達到完整的識別與鑑別、授權及可歸責性(AAA)控管;在實務方面,學習電子檔案加密與防護,及資料庫防護作業等相關工具之應用
|
6
|
實體課程名稱:資訊系統風險管理
訓練對象:公務人員資安/資訊人員
實體課程時間:12小時,分成7個單元
課程內容包含風險管理的重要性與資訊安全防護應有之認知,說明「高階風險評鑑作法」、「詳細風險評鑑作法」及「基準風險評鑑作法」之差異與使用時機。學習如何建立適合組織特性之資訊資產與資訊系統的分類、分級、弱點、威脅及衝擊等評鑑準則,風險控制措施之分類與訂定控管之目標與績效指標的方法,如何運用風險管理審查與進行矯正預防,以及如何評估風險管理的成效。
|
7
|
實體課程名稱:個人資料保護管理
訓練對象:公務人員資安/資訊人員
實體課程時間:12小時 ,分成6個單元
本課程設計以「個人資料保護參考指引」為主,內容包括:個資定義與相關規範、新版個資法簡介 、個資保護方法論各階段說明(定義階段、規劃階段、執行階段、維護階段)等。如何在執行業務的不同階段適時地引用個資保護方法論的程序與範本,將是本課程的重點。
|
8
|
實體課程名稱:政府資訊委外安全
訓練對象:公務人員資安/資訊人員
實體課程時間:12小時,分成10個單元
課程內容包含資訊委外服務定義、資訊委外服務類別與項目、資訊委外各階段作業說明、資訊委外各階段資訊安全需求、資訊委外作業資安檢核項目及相關參考法規。並透過對不同資訊作業委外安全個案研討,並經由實務操作方式,增加學員對各階段作業安全需求分析的經驗。
|
9
|
實體課程名稱:政府資通安全管理評鑑
訓練對象:公務人員資安/資訊人員
實體課程時間:18小時,分成6個單元
本課程的主要目標為讓學員瞭解「政府資通安全管理評鑑機制」的架構與實行方式。本課程以實用性為主軸,配合資訊安全在管理面、技術面及操作面等相關層面,各項安全控制措施實作所需之知識與技能,全面完整的涵蓋「政府資通安全管理評鑑機制」各功能流程,並配合淺顯易懂的介紹或實例說明,避免深入複雜的學理研究。
|
10
|
實體課程名稱:資安健診
訓練對象:公務人員資安/資訊人員
實體課程時間:12小時,分成7個單元
以資安服務共同供應契約說明為基礎,讓參與各政府相關人員瞭解資安健診委外服務的目的和過程,包含檢視的項目和內容,教導學員具備資安健診之基本知識與技能,了解如何透過資訊安全健診服務,認識內部環境與外在威脅現況,強化整體資訊安全環境保護的瞭解,進而提升組織資訊安全與維護資訊業務正常運作。
|
11
|
實體課程名稱:行動裝置安全
訓練對象:公務人員資安/資訊人員
實體課程時間:12小時,分成11個單元
本課程擬從行動裝置的管理( MDM) 、行動通訊應用管理(MAM) 與行動通訊內容管理(MCM)等各方面,了解行動裝置的資安威脅與相關風險、程式開發時所面臨的風險與相關實務分析、以及行動裝置安全防護與管理及其安全使用建議。
|
教材文件架構
資安職能課程以實用性為主軸,配合資訊安全在管理面、技術面及操作面等相關層面,進行課程教材開發,歷經多次資安專家審查會議,始得建構符合公務人員所需之資安專業知識與技能之課程。每門課程教材開發之文件架構,詳見圖1,文件說明詳見表1:

圖1 課程教材開發之文件架構
表1 課程教材開發之文件說明
1
|
文件名稱:課程綱要
文件說明:課程的綱領,說明整體課程目標與範圍,課程應達到的學習成果,包括應習得的知識與技能之詳細說明
|
2
|
文件名稱:課程發展計畫
文件說明:依據課程綱要,發展課程結構與規劃,包括目標、對象、先備知識、時程、教學設計、形成性評量、師資及班務規劃 |
3
|
文件名稱:課程教材講義
文件說明:依據課程發展計畫,發展課程內容教材,以簡報方式呈現(含說明),作為授課主要之教材
|
4
|
文件名稱:講師教學輔助教材
文件說明:講師教學資源(軟體、文件) 、講師教學示範影片、測驗與作業內容解答或參考建議
|
5
|
文件名稱:學員實作輔助教材
文件說明:依據發展計畫,教材講義之輔助資源,包括實作練習操作之軟體或檔案與其他補充內容,以光碟提供學員使用
|
6
|
文件名稱:課程實作練習與測驗
文件說明:依據發展計畫,發展教學設計之練習、測驗及作業內容
|
7
|
文件名稱:課程學習指引
文件說明:依據課程綱要,發展課程結構與課程規劃,包括:課程目標、訓練對象、先備知識、課程簡介等等
|
8
|
文件名稱:行政手冊
文件說明:說明課程之行政準備作業,包括電腦教室之軟硬體環境需求、行政作業的流程等
|
數位課程表
為了普及資安知識與技能的學習,除了開發資安職能實體課程外,本中心亦有開發數位課程,提供另一學習資源與管道,以協助資安職能之養成。目前線上服務之資安數位課程共計有33門,課程清單詳見表1。
表1 資安數位課程清冊
基本認知類(10門),包括:
1.資訊安全概論
2.資安管理-個人篇
3.資安管理-主管篇
4.個人資料保護法介紹
5.資安管理制度(ISMS)標準ISO 27001:2013介紹
6.個人電腦基本防護設定
7.Windows 安全防護應用
8.可攜式設備及儲存媒體安全管理
9.涉外人員資通安全作業實務
10.資安案例分享_e-mail社交工程及防護
|
資安管理類(8門),包括:
1.資安風險管理概觀
2.資安風險評鑑實務
3.個人資料保護_管理篇
4.資訊安全管理系統政策制定與資訊安全組織建立
5.資訊資產管理
6.存取控制概觀
7.資訊安全稽核介紹與實務
8.個人資料保護_舉證責任與數位鑑識之觀點
|
資安技術類(15門),包括:
1.網路安全概論
2.防火牆原理、架構及種類介紹
3.防火牆部署與管理
4.密碼學原理與技術(對稱式與非對稱式密碼技術)
5.無線區域網路安全防護
6.網路封包、流量解析與監控
7.作業系統漏洞修補
8.VoIP安全威脅與防護
9.網路攻擊技術分析
10.Web2.0安全防護
11.弱點掃瞄技術
12.惡意軟體介紹與防治
13.電腦數位鑑識_基礎篇
14.行動設備安全
15.APT目標攻擊因應之道
|
數位課程使用
職能評量制度
依據職能發展藍圖,建置資安職能證書評量制度,以有效量測公務人員之資安能力。建立資安職能評量標準化作業,訂定資安職能評量執行規範,以有效管理職能評量作業,詳見圖1。

圖1 資安職能評量標準化作業
資安職能評量制度摘要:
-
主辦單位:國家資通安全會報技術服務中心
-
考試對象:公務人員
-
考試方式:電腦化考試(主)或紙本考試(輔)
-
考試題型:50題選擇題(10題複選/40題單選)
-
考試時間:75分鐘
-
通過分數:70分
-
考試場次:技服中心公告
-
考試場地:技服中心公告
-
考試報名:參加職能訓練課程後,隨課後考試。
-
職能評量諮詢:技服中心(02)6631-1666 或 [email protected]
職能評量科目
技服中心已發展11門公務人員資安職能評量科目,各科目之評量指標詳見表1,評量證書的樣本詳見圖1。
表1 公務人員資安職能評量科目與評量指標

圖1 公務人員資安職能評量證書樣本
職能證書管理
-
評量證書有效年限:3 年
-
證書維護方式:
-
重新考試
-
再訓練與評量:以下2項皆須達成
-
完成資安職能評量維護課程:3小時(由主辦單位舉辦)
-
20題評量,成績達70分以上(含)
2015/9/22 12:07:08