黄彦棻摄
日前,Google.org捐赠一百万美金给资通安全研究院(以下简称资安院),希望可以协助台湾的中小企业、微型企业和非政府组织,提升相关的资安意识和资安防护能力。
负责资安人才培训业务的资安院副院长林盈达表示,资安院分两年执行「NICS台湾资安计划」,会分成研究调查、培训教练和实际辅导等三个阶段执行该专案,最终目标除了会开发培训课程的教材外,最终会培养超过二百名已上的种子教师,提供超过三千中中小企业、微型企业和非政府组织相关的资安咨询服务。
资安服务团锁定中小企业和非营利组织,资安诊疗所则以微型企业为主
林盈达表示,首先,资安院会先花六个月的时间,并采用文献分析、深度访谈和焦点座谈等社会科学方法,先去了解台湾中小企业、微型企业和非营利组织的资安防护困难与需求。
他说,第一件事就是去调查中小企业面对资安威胁等方面,需要的是什么样的协助。目前台湾针对中小企业的定义就是:公司员工200人以下或资本额1亿元以下;微型企业是员工人数5人或是10人以下。
至于社会企业或者是非营利组织的规模大小落差比较大,有一些较大单位、成员接近200人,比较小的单位人数可能只有5个人。他认为,透过各种调查方式,然后更实际知道他们不同层次的需求,就可以提出各种相关的资安解决方案。
接下来,资安院会提供相关的组织指引,协助改善中小企业、微型企业和非营利组织既有的资安议题,并对未来潜在的资安问题,具有自我诊断和应对的能力,林盈达指出,资安院也将开发实体和线上的培训教材,以培养更多的资安资安讲师。
最后,则是会建立辅导培训机制。林盈达指出,资安服务团将服务中小企业与非营利组织,资安诊疗所则会锁定微型企业。
他进一步解释,资安服务团会由资安院工程师和资安公司的工程师合作,会开放三十家的中小企业申请辅导,优先协助非营利组织和中小企业,盘点组织资安现况,并提供相关资安技术和顾问服务,同时给予深度防护训练和维护建议;同时,资安服务团则会以两个月的时间提供实地服务,观察中小企业对于资料、系统、网路、电子邮件的保护状况,实际优化系统架构和提高安全性。
至于资安诊疗所则是借鉴美国大学资安健诊所联盟(Consortium of Cybersecurity Clinics,CCC)计划,引进相关教材并与签署合作备忘录(MOU)大专院校教师优先合作,让接受资安培训的学生于之后的实习阶段,先于邻近社区中提供资安咨询服务,并优先服务微型企业和非政府组织,预计提供资安咨询服务的微型企业达三千家。
林盈达表示,台湾资安计划最终的目标则是,不仅希望可以产出指引报告,更希望可以接触超过三千家中小企业、微型企业和非营利组织等单位,并提供上述组织资安教育培训的资源,增强微型企业资安防护;关键是,要训练二百名以上的种子教师(Train the trainers),包括训练在职人士或在学学生,去提供相关的资安咨询服务。
他指出,在职人士主要会针对规模略大、人数接近二百人的中小企业,提供咨询服务;在学学生则会锁定邻近社区的微型企业提供咨询服务,大小不同规模的总数要超过三千个。
协助打造业界现况最佳实务,作为其他中小企业参考
林盈达表示,接受培训的资讯相关科系的在学学生,会在学校就近的社区中的微型企业,提供资安咨询服务。面对中小企业多元的服务样态和所使用的各类资讯服务,为了协助在学学生可以尽快上手,会先把这些中小企业归纳出几种样态,并针对几类业务样态打造出资安服务的BCP(Best Current Practice,现况最佳实务),进而作为其他中小企业的参考。
资安院人才培力中心主任郑玮表示,当初在写Google.org的捐赠计划时就有立定一个目标,至少50%以上要锁定非营利组织,另外,也希望针对相关中小企业的业务性质,如果会涉及处理机敏资讯的公司,更是资安院可以提供服务的对象。
另外,郑玮也说,资安诊疗所培训所使用的教材,是美国柏克莱大学所编纂的内容,资安院也会予以中文化,但是原汁原味的直译,还是部分中文化而已,还需要授课老师和教学团队一起讨论,但未来该份中文化的教材,也将会回馈给Google.org成为中文版本的内容。
林盈达补充表示,资安服务团服务的三十家企业,一半是非营利组织外,剩下的就是看资安院归纳出的产业类别数量,一个类别至少会有一家代表企业;至于另外三千家的微型企业,则会考虑开放报名,并参考美国资安诊疗所的经验,降低不必要的摸索时间。