一、前言

根據國際資訊系統安全認證協會（ISC²）於2024年10月發布的2024年資安人力研究報告，全球資安人力缺口約為478萬人，較2023年增加了19.1%，有將近60%的受訪者為，技能落差嚴重影響了他們確保組織安全的能力。技能缺口最嚴重的領域包括人工智慧（34%）、雲端安全（30%）、零信任架構（27%）、數位取證與資安事件回應（25%）、應用程式安全（24%）。這項研究顯示資安人才短缺問題持續惡化，對全球企業和政府部門的網路安全構成重大挑戰。

隨著數位及淨零雙轉型浪潮席捲全球，網路攻擊手法日益精密，資安威脅也從技術層面延伸至國安、經濟與社會層次。台灣身處地緣政治敏感地帶，更是駭客組織與境外敵對勢力攻擊的熱點。因此如何建構一套體系化、標準化、專業化、多元化、全民化與國際化的資安人才培訓體系，加速及擴大台灣資安人培量能刻不容緩。

二、借鏡美歐經驗：建構及推動系統性資安人才發展架構

1、美國：NICE框架與職能導向訓練
美國國家標準與技術研究院（NIST）制定了「國家資安教育計畫（NICE）」建立7大類、33個職能角色、52種任務與超過300項知識與技能指標，成為政府、企業與教育機構之間的共通語言。透過此架構，美國推動K-12資安教育、社區大學訓練計畫、軍民轉職方案與跨部會職能對應，加速資安人才補位。

2、歐盟：ENISA與產業導向課程設計
歐洲資安機構ENISA推動「EU Cybersecurity Skills Framework」，協助各國建立國家級人才發展藍圖，並鼓勵大學與職訓中心與產業合作，設計涵蓋資安治理、資安技術、合規與應變的模組化課程，同時支援微證書（micro-credentials）與數位證照制度。

三、加速及擴大台灣資安人才培訓量能之基本原則

1.體系化：建構完整人才培訓鏈及生態系

參考美國及歐盟的經驗資安人培經驗，人才的養成需從推動職能基準框架建立起始，橫跨課綱/課程設計、教材編製、實戰訓練、能力鑑測、資格認證、在職進修與回流教育、就業媒合、創新創業、產學及國際合作等措施，形成前後連貫及無縫接合的「一條龍」式系統化人培體系，才能讓資安人才的專業技術成長，可以與時俱進並與產業需求接軌。同時，也可以發揮PPP的協 作效益，將有限的資源統合，發揮最大的效益。

2.標準化：制定統一的資安職能規範

台灣可參考美國NIST的NICE框架與歐盟ENISA的資安人才發展藍圖，建立一套適地化的共通資安職能模型框架(含ICT與OT)，訓練內容涵蓋策略、管理及技術三個層次，作為系列資安課程設計、能力鑑測與職涯發展的依據。

3.專業化：強化實戰與專精訓練

除基礎訓練外，可針對滲透測試、惡意程式分析、威脅情報、資安法遵等專業領域設置專精課程，並導入CTF競賽、紅隊/藍隊演練、攻防平台等實戰元素及情境模擬設計，以強化資安人才的實際戰力。

4.多元化：涵蓋不同專業背景與需求

資安人才來源應兼顧高中或大學學生、在職轉職者與社會大眾，培訓內容則應依個人資歷、學習歷程與產業需求調整設計，形成多軌並行、彈性選修的學習機制。參訓人員除了具備資訊相關專長外，其他非資訊領域的如金融、醫療、製造、高科技等人才，亦是充實台灣資安人才不可或缺的寶貴資源。此外，擴大女性資安人才的培訓及職場引介，亦是台灣多元化資安人培策略的重點工作。

5.全民化：資安教育向下扎根

公私協力推動全民資安素養，似可以從中小學、通識課程普及起步，進而提升全民防護意識。對一般民眾可推廣簡單易懂及生活化的資安課程，如社群帳號防護、假訊息識別、個資保護、資安宣導等，期能建構全民防禦網，提升數位台灣的防護力量。

6.國際化：與國際標準接軌

台灣資安人才培訓宜與國際性的資安組織、職能基準制定、專業認證機制等接軌，並加強推動資安國際合作、人才交流，期能強化台灣資安人才的全球競爭力，增進與友好國家的資安協作聯防力量。

四、加速及擴大資安人才培訓的「3x3x3」實踐方法

第一個3：分類培訓—職能訓練、專門技術訓練、通識教育

1.職能訓練：針對董總、CIO、CISO、資安主管、專案管理者、資安應變工程師等不同角色及職能，分別設計適配的政策、法規、風險治理、資安管理及專業技術訓練課程。

2.專門技術訓練：針對資安分析師、滲透測試員、資安事件應變人員等，開設實戰操作訓練班，導入情境演練與攻防競技等專門及專精高階訓練。尤其是AI橫空而出，重新改寫全球資安攻防遊戲規則，如何應用AI加強資安防護，已成為今後資安人才專業訓練重要課題。

3. 通識教育：推廣資安素養入門課程，導入校園教育、家庭教育、社會教育及職場教育，經由各種數位學習平台與管道，加速普及全民防護知識普及。建議似可於每年資訊月同時辦理「資安月」或「資安週」活動，提升全民資安意識。

第二個3：課程適性—區分策略性、管理性、技術性

1. 策略性：訓練內容側重國家資安戰略及政策、資安治理、資安法規、數位主權數位信任與數位永續等議題，適用於政策制定者與高階領導主管。

2. 管理性：訓練內容側重資安風險管理、組織資安政策制定、供應鏈安全、資安稽核及事件應變機制、組織與社會溝通等，適用於部門主管與中階管理者。

3. 技術性：訓練內容側重資安漏洞掃描、滲透測試、惡意程式分析、SOC運營等專業技術，適合針對技術人員深化所需的專業能力。

第三個3：來源多元—精進原有人才、跨域專職人才培訓與國際人才延攬

1. 精進原有人才(upskill）：針對現有IT人員、資安人員持續培訓與能力升級。

2. 跨域轉職人才(reskill）：提供非資訊或資安背景人員（如會計、法務、專案管理者）轉換職涯所需課程，促進人力轉型。新加坡推動退役軍人、非IT背景者轉職資安的模組化訓練，設立SkillsFuture提供資金支持及補助，讓不同年齡、不同職業階段的人員都能參與技能訓練；與雇主合作設計技能架構，根據員工潛能量身訂做訓練計畫，以及推動資安職能認證制度等經驗，可供台灣參考。

3. 國際人才延攬：在國家安全風險可控前提下，主動吸引及延攬具有資安專業的國際人才來台工作，或在駐地國為台灣工作，並透過擴大就業金卡及加速簽證與就業行政流程，提升台灣資安人才密度。經濟部近期推動AI國際人才「2+4」機制，似可研究延伸到資安人才培訓的可行性。

五、打造類「一條龍」的資安人培體系，加速及擴大人培量能

1.資安職能基準制定

依據國內產業需求，參考NICE與ENISA框架，建立台灣適用的資安職能分級模型，納入各類職務對應的知識、技能、能力指標，作為課綱/課程設計的依據。

2.課綱/課程與教材模組化研訂及製作

結合政府、學研及產業共同開發標準課程模組，依照不同訓練層次與領域編寫教材，建構開放共享的資安教材雲平台。部分課程研究採「一綱一本」，部分課程採「一綱多本」，並配合金融、醫療、製造、電信等領域，彈性調適及製作適宜各應用領域的資安教材。

3.廣開各種訓練班次，建置實戰訓練平台

配合資安訓練機構評鑑及專業講師培訓等配套措施，倍增台灣整體的資安人培量能，並透過擴大開設CTF實戰班、資安攻防研習營、滲透測試密集訓練班等系列實戰訓練課程，由政府與學研機構合作於台灣北、中、南建置紅隊/藍隊攻防演練平台，進一步提升台灣資安人才實戰量能。同時，鼓勵企業與學校合作建置資安研訓中心，加速及擴大企業所需的資安專才培訓。

4.建立能力鑑測與專業認證制度

研究建立國家級資安能力評量中心的可行性，發展對應國際證照的台灣本土認證機制，並鼓勵企業以能力鑑測為任用與升遷依據。

5.持續回流訓練，加強輔導與就業媒合

推動在職資安人員持續回流訓練/學習，研究建立「資安人才護照」制度及資安人才資料庫，登錄人員學習歷程與職能等級，並建立資安人員輔導及就業媒合機制，支援個人職涯發展及企業人力盤點與延攬。

六、結語：資安韌性與數位信任，是台灣數位永續的基石

台灣若要在全球資安競爭中站穩腳步及立於不敗之地，關鍵不在各方各自推動辦理眾多的單一課程或計畫，而是要建構「體系化、專業化、標準化、全民化及國際化」的系統性國家資安人才培訓體制，方能發揮制度性、統合性及擴散性的集體力量。除了以上措施外，筆者建議以下亦可列為有關單位後續研究推動的項目：

1.研究成立跨公私領域的資安人才發展協作機制，統合教育部、數發部、經濟部、勞動部、國發會及國科會等部會及相關學研機構與企業的資源，期能發揮台灣資安人培的集體力量。

2.參考美國CyberSeek的經驗，研究導入台灣資安職能地圖與個人職涯發展平台的可行性，讓每位學習者都能看見自己的職涯發展軌跡及職場推進地圖。

3.研析「公司或有限合夥事業投資智慧機械與第五代行動通訊系統及資通安全產品或服務抵減辦法」相關規定，將目前符合投資抵減的資安產品或服務必須具備辦法第4條第1項所列的五項核心功能之一(辨識、保護、偵測、回應及復原)，可以擴及抵減資安專業人才培訓投資的可行性，提供誘因鼓勵企業採可以擴大採行「低投資、高報酬」的投資人培「軟實力」來擴大增益資安產品及服務的「硬實力」。

4.研究評估將台南沙崙綠能科學城作為階段性發展成為亞太地區資安及AI人才培訓基地的可行性，期能發揮台灣在資安及AI人培積累的經驗與優勢，可以擴大國際輸出的外溢效果。

資安不僅是科技議題，更是國安議題，也是台灣強化經濟韌性及確保數位永續的基石。唯有建立全面的前瞻性及統合性的資安人才培訓國家體制，方能發揮集體及倍增、倍速賦能的人培力量，打造及鞏固「資安人才護國」的數位防線，讓台灣在全面加速數位與淨零雙轉型的進程中，提供全民安全及可信賴的數位台灣環境，確保國家安全與全民福祉。