ISE15/20-21

主题：	人力事务、网络保安、网络保安人才

• 过去20年间，资讯及通讯科技发展日新月异，几乎逐渐渗透到人类生活的每个环节中。时至今日，日常工作与生活皆与互联网息息相关，而企业也多靠赖数码通讯与客戶联系。这趋势虽开拓了物联网^{1注释符号代表物联网是一种技术，提供通讯平台及服务让各式各样的互联智能装置，无须经人手操作而能自动产生、交換和处理数据。随着物联网的普及，客戶将更多互联网装置带进家居。这些装置包括智能电视、智能保安锁，以及控制家居照明和冷暖设备的智能家居控制中心。}、人工智能^{2注释符号代表近年，人工智能不只是一个研究范畴，更是可供广泛应用的科技。在人工智能应用过程中，最令人憧憬的是电脑科学以外的应用范畴，包括交通、医疗、金融服务和市场推广等领域。} 及云端运算^{3注释符号代表云端运算是一方(服务供应商)透过互联网向使用者(客戶)交付电脑资源(硬件和软件)。由于使用者只是使用而非真正购买电脑资源，因此这种交付或提供的方式可称为一种"服务"。请参阅InfoCloud (2020)。} 等创新科技和电子服务，但同时亦为网络世界带来了新的相互依赖关系。
• 在数码网络日益相连的世界中，政府和企业的运作及社会的发展，取决于网络空间的安全性，以及支撑网络空间的基础设施、系统及数据的可靠性和可信性。鉴于电脑及其他装置所收集及储存的敏感资料越来越多，网络安全更为重要，因有关资料一旦遭擅自存取或滥用，可能后果堪虞^{4注释符号代表在2019年，处理一宗重大资料外泄事件(即涉及逾100万个纪录)的平均费用达4,200万美元(3亿2,600万港元)。请参阅Allianz Global Corporate & Specialty (2020)。}。在新型冠状病毒病疫情肆虐期间，不少企业推行在家工作模式，令数据安全风险^{5注释符号代表雇员转为在家工作，带来额外的网络安全挑战，因为雇员透过家居网络或个人装置上网/登入公司网络，未必如办公室环境般安全。} 更备受关注。
• 事实上，近年对网络威胁的认知已大为提升。根据2019年进行的一项调查^{6注释符号代表2019年的调查旨在识别102个国家及地区的企业于未来12个月及往后面对的首要商业风险。请参阅Allianz Global Corporate & Specialty (2020)。}，网络安全事故^{7注释符号代表网络安全事故包括电脑病毒攻击、勒索软件、拒绝服务攻击、黑客入侵、盜窃资料、网上骗案、涂改网页和资料外泄。} 被视为全球最重大的商业风险。企业依赖训练有素的网络保安专业人员分析、管理及应对网络空间的风险和威胁，市场对网络保安专才的需求因而日趋殷切^{8注释符号代表网络保安指保护互联网系统(包括硬件、软件和相关基础设施)、系统內的资料和系统所提供的服务，免遭擅自存取、损害或滥用。这包括系统操作者由于蓄意或因意外未有遵守保安程序而造成的损害。请参阅GOV.UK (2016)。}。
• 科技人才供应足够与否，应是香港面对的重大网络保安挑战之一。2018年，本港资讯科技雇员达95 780人，但当中只有1.2%专门从事资讯科技保安工作。事实上，这问题并非香港独有，网络保安专业人员供不应求实属全球趋势，全球在2020年估计有接近310万个未能填补的网络安全职位空缺^{9注释符号代表请参阅(ISC)2 (2020a)。}。在已发展经济体系中，英国一直是最积极解决网络保安劳动力不足的一员^{10注释符号代表据(ISC)2估计，英国在2020年尚欠27 408名网络保安专业人员。}。该国从多方面着手采取措施，协助现已从事或有志从事网络保安专业的人士。
• 本期《资讯述要》首先讨论香港网络保安专业人员的人力发展状况，继而研究英国如何采取多管齐下的策略，营造有利的客观环境支援网络保安专业，以及加快业界发展的步伐。

香港的网络保安人力发展状况

• 在香港，日常生活、业务运作及经济发展越来越依赖互联网、电讯基建及智能装置。举例而言，在2019年，约250万个住戶在家中有接驳互联网，占本港所有住戶的94.1%。在2019年，使用互联网企业的比例亦高达90.3%。^{11注释符号代表最近，香港进入智慧银行新纪元。香港金融管理局于2019年发出8个虛拟银行牌照，让金融科技公司得以晋身银行业。}
• 随着香港越来越数码化，网络安全问题日益猖獗。网络安全事故数目由2015年的4 928宗飙升至2019年的9 458宗^{12注释符号代表请参阅Hong Kong Computer Emergency Response Team Coordination Centre(2020)。}。2019年，在使用电脑/智能电话/互联网的企业当中，每10家便约有1家曾在过去12个月內经历网络安全事故^{13注释符号代表请参阅Census and Statistics Department(2020a)。}。
• 网络罪案近年亦持续上升。香港警务处录得的电脑罪案由2015年的6 862宗增至2019年的8 322宗^{14注释符号代表请参阅InfoSec(2020)。}。电脑罪案不只在宗数上不断增加，案情亦日趋严重。电脑相关罪行所招致的财务损失由2015年的18亿港元(每宗267,000港元)增至2019年的29亿港元(每宗349,000港元)。
• 虽然网络威胁持续增加，但专门从事资讯科技保安的资讯科技雇员只有1 118人，占资讯科技雇员总人数的1.2%。这些专家大部分由"资讯科技产品和服务供应商"及"金融和商业相关行业"聘用^{15注释符号代表请参阅Vocational Training Council (2018)。}，分别占总人数的48%及36%。由于人手供应有限，科技人才供应足够与否，是香港面对的重大网络保安挑战之一。
• 培育本地人才由教育开始。电脑课程能帮助学生掌握基本数码技能，并激发他们日后进修与数码相关课程的好奇心及兴趣。不过，选修资讯及通讯科技的香港中学文凭试考生比例在2019年仅达10.6%，远低于开办此科目的学校比率(88.2%)，亦低于选修中国历史(11.4%)、会计(13.6%)和地理(16.0%)等科目的学生比率。
• 就培育未来网络保安人才的正规教育方案而言，修读大学学位课程是投身这门专业的传统途径。现时，网络保安相关领域的学士学位课程包括(a)通用计算机科学和其他以网络保安为核心单元或选修单元的STEM相关课程；及(b)主修网络保安的课程，即网络保安学士学位(bachelor's degree in cyber security)。主修网络保安的学士学位课程，是投身网络保安专业的直接途径，因为该课程教导学生如何识别、评估及防御威胁及攻击网络、数据和资讯系统安全的网络风险，学生亦能掌握在设计和推行保护及预防措施方面的技能^{16注释符号代表部分网络保安学士学位课程提供在网络保安分析、电子数据鉴证、系统保安及云端运算等范畴的专修领域。}。不过，现时开办纯以网络保安为主的学位课程的本地大学不多，只有由香港理工大学开办的资讯安全理学士学位课程，以及由香港公开大学开办的网络及电脑安全理学士学位课程。
• 与此同时，网络保安专业的涵盖范围既广泛又多元化，任职者往往来自多个学科领域，具备的才能不一而足。至于何谓网络保安专业人员，不同人会有不同理解。因此，有必要通过资历评审和认证，为网络保安专业人员设立各方皆认同的框架，让网络保安专业人员得悉有哪些不同类别的网络保安工种，亦让他们清晰掌握每个工种的职涯途径^{17注释符号代表香港金融管理局、香港银行学会及香港应用科技研究院在2016年共同制订了三级制的本地化认证计划 - 模拟网络攻击专业认证("CCASP")。CCASP提供具认受性的职涯规划方案，协助从业员(从业员级别)由入行，再成为资讯保安测试师(注册级别)，继而成为资讯保安专家(认证级别)。在2016年12月至2020年11月期间，共有68人通过CCASP各个级别的考试。}。透过这个框架，雇主亦易于评估其负责网络保安职务的雇员具备甚么能力。

英国的网络保安人力发展状况

• 全球网络安全指数(Global Cybersecurity Index)是用以衡量一国网络保安状况的指标，在最新发布的2018年全球排名中，英国名列榜首。^{18注释符号代表2018年全球网络安全指数不包括香港。} 全球网络安全指数由国际电信联盟 (International Telecommunications Union)根据五大支柱评定，衡量各国就建设能力、法律措施、技术措施、组织措施和合作情况等方面履行网路安全承诺的情况。"建设能力"的得分根据多项准则计算，涵盖一国的教育或学术课程、网络保安专业人员的认证及评审框架、网络保安专业培训课程等准则。
• 英国在"能力建设"方面占有优势，这可从2019年当地从事网络保安相关工作的全职等同人员高达约43 000人反映出来。更重要的是，全球部分最优秀的网络保安专业人员落戶英国。2020年，就获得认可资讯系统保安专业人员资格 (CISSP)的持有人而言，英国占当中7 590名，人数仅次于美国。CISSP专业认证是其中一项最广为认受的资讯科技保安专业认证，藉以识别能力卓越的专业人员。^{19注释符号代表要取得CISSP专业认证，必须通过相关考试，并在8个网络保安领域中的两个或以上领域，累计具备最少5年受薪工作经验。该8个领域为：(a)保安及风险管理；(b)资讯资产保安；(c)保安架构与工程；(d)通讯及网络保安；(e)身份及存取控制；(f)保安评估与测试；(g)保安作业；及(h)软体开发的安全性。}
• 英国既被国际电信联盟评为最致力实践网络保安的国家，政府制定了《国家网络安全策略》(National Cyber Security Strategy)^{20注释符号代表英国于2011年11月发布《2011-2016年国家网络安全策略》，其中一个目的，是令英国成为全球网上营商最安全的国家，以及打击网络罪行最具成效的地方。英国在2016年检视并更新这项策略后，发布《2016-2021年国家网络安全策略》。新订的5年策略旨在提供安全及迅速应变的环境，使英国免受网络威胁，同时支援英国在2021年或之前，成为数码世界中的翘楚。}，订明计划透过"发展"(Develop)、"防御"(Defend)及"遏止"(Deter)这三大支柱，令英国构建更安全及具抗压力的网络空间。具体而言，"发展"支柱旨在发展能够自我维持的人才输送渠道(self-sustaining talent pipeline)，令本地人才所具备的技能，切合全国公私营界别对网络保安技能的需要^{21注释符号代表至于另外两大支柱，防御指保护英国免受不断变化的网络威胁攻击，一旦发生事故亦能应付裕如，并确保英国的网络、数据及系统受到保护及防御；而遏止指侦查和阻截不法之徒对英国的网络攻击，并且追捕及检控违法者。}。
• 继发布《国家网络安全策略》后，数位文化传媒和体育部(Department for Digital, Culture, Media & Sport)^{22注释符号代表数位文化传媒和体育部负责推行以下政策范畴：艺术及文化、通讯及媒体、体育、旅游、缔造共融社会及加强数码联系。} 和国家网络安全中心(National Cyber Security Centre)^{23注释符号代表于2016年在政府通讯总部辖下设立的国家网络安全中心，是《国家网络安全策略》的其中一环。在英国，国家网络安全中心是领导网络安全工作的技术机构，协助英国成为网上生活及营商最安全的地方。} 联手推行一项名为CyberFirst的全国计划，协助发展全国网络安全人才梯队。CyberFirst计划推展多项范围广泛的政府计划及措施，焦点涵盖(a)正规教育活动，藉以培育未来的网络保安人才；及(b)资历认证及评审，为业界制订更清晰的就业门槛/晋升阶梯和各职位所需的技能准则。不但如此，CyberFirst计划还包括举办多元化的课外活动，以及早识别饶具天分的年轻人，培养他们这方面的兴趣；以及设立再培训基金，藉以提升劳动人口的技术水平，令他们成为网络保安专业人员。

正规教育活动

• 正规教育提供普及教育机会，为有志从事网络保安事业的年轻人及早装备。在英国推行的CyberFirst学校计划下，承诺为年轻人提供网络技能培训的中学会获得认证，认证后学校会得到国家网络安全中心的承认和支持(图1)。此外，STEM大使亦会在学校进行外展工作，鼓励学生修读STEM课程，掌握相关知识技能是学生投身网络保安专业的理想起步点。
• 一如上文所述，修读大学学位课程是投身网络保安这专业的传统途径。CyberFirst计划下设有CyberFirst学士学位课程助学金计划(CyberFirst Bursary scheme)及CyberFirst学位学徒训练计划(CyberFirst Degree Apprenticeship)，由国家网络安全中心负责推行，旨在支援修读学士学位课程的学生，为他们投身网络保安专业提供机会。此外，国家网络安全中心亦认证多个学位课程，迄今已认证由23所大学开办的24项网络安全硕士学位课程、3项网络安全综合硕士学位课程(Integrated Master's degree)^{24注释符号代表综合硕士学位课程把"学士学位课程"与"研究生课程"合并为一。学生先以本科生身份修读学士学位程度的单元，继而在课程的第四年或第五年修读硕士学位程度的单元。} 及5项网络安全学士学位课程，为有志从事网络保安工作的学生提供参考，帮助他们拣选通过质素保证的学位课程修读。

图1 - 培育年轻人才的正规教育活动

注： (1)

申请人须在高级程度考试任何两科考获"B"级或以上成绩及一科考获"C"级或以上成绩，以及在综合中等教育证书考试数学科考获第"5"级或以上成绩。

^{资料来源：各政府网站。}

资格及认证

• 多个网络保安专业机构组成联盟组织，在2019年9月受数位文化传媒和体育部委托成立"英国网络安全委员会"(UK Cyber Security Council)^{25注释符号代表据报，委员会订于2021年4月开始运作。请参阅(ISC)2 (2020b)。}。委员会旨在为业界各个工种制订适用于相关从业员事业发展的框架。每个框架列出不同的职业选择及发展途径，包括阐明每个职业层级^{26注释符号代表这与香港CCASP的三级制认证制度有所不同，即从业员级别(Practitioner)、注册级别(Registered)及认证级别(Certified)。} 所要求的认证及资格。

课外活动

• 国家网络安全中心藉课外活动发掘年轻人才，从小培养他们对网络保安的兴趣，这点对于在正规教育环境下未能发挥所长的青少年尤其重要。作为《国家网络安全策略》的一部分，CyberFirst举办一系列课外活动，协助11至18岁的青少年探索网络保安世界的奧秘(图2)。有关活动包括CyberFirst女子赛、网络探索计划(Cyber Discovery)，以及一系列的短期发展课程。

图2 - 为11至18岁青少年而设的CyberFirst的活动

^{注： (1) 因应新型冠状病毒病疫情，所有CyberFirst暑期课程已改为网上授课。
资料来源：CyberFirst (2020)。}

现职人员的再培训安排

• 英国政府^{27注释符号代表请参阅Department for Digital, Culture, Media & Sport (2019)。} 认为，提供再培训及转业机会，既能增加从事网络保安专业的人数，亦有助其从业员更趋多元化。其中主要的干预措施，是设立网络技能发展影响基金(Cyber Skills Development Impact Fund)^{28注释符号代表这项基金于2018年5月设立，并于2018年10月扩充。第三轮基金于2019年8月推出，让培训机构可与雇主合办课程，培训来自不同背景的人士，资助额最高为项目总成本的50%，以10万英镑(105万港元)为上限。}；该基金为培训机构及慈善组织提供经费和支援，协助它们发展及加强具成效的再培训计划。这些再培训计划的形式不一而足，包括面授课程、网上平台及两者兼备的模式。

结语

• 人才供不应求是全球网络保安专业目前面对最严峻的问题之一，而英国提倡以多管齐下的进取方式应对问题，除推行正规教育及举办课外活动外，英国亦就此设立特定的再培训基金，并即将推行一项专业认证计划。上述措施旨在鼓励有志加入网络保安行业的人士接受专业培训，同时提供清晰而贯彻一致的途径，令现职从业员所具备的技能及专业易于获得认证。
• 英国近年在培养网络保安人才方面取得长足进展：(a)参加2019年CyberFirst女子赛的女生人数达12 000人；(b)截至2020年6月，超过55 000名年轻人曾参加网络探索计划及各项CyberFirst学习计划；及(c)在2019-2020年度，超过900名学生正在修读CyberFirst学士学位课程助学金计划下的课程或刚从有关课程毕业。

立法会秘书处
资讯服务部
资料研究组
吴珈毅
2021年1月22日

附注：

1.	物联网是一种技术，提供通讯平台及服务让各式各样的互联智能装置，无须经人手操作而能自动产生、交換和处理数据。随着物联网的普及，客戶将更多互联网装置带进家居。这些装置包括智能电视、智能保安锁，以及控制家居照明和冷暖设备的智能家居控制中心。
2.	近年，人工智能不只是一个研究范畴，更是可供广泛应用的科技。在人工智能应用过程中，最令人憧憬的是电脑科学以外的应用范畴，包括交通、医疗、金融服务和市场推广等领域。
3.	云端运算是一方(服务供应商)透过互联网向使用者(客戶)交付电脑资源(硬件和软件)。由于使用者只是使用而非真正购买电脑资源，因此这种交付或提供的方式可称为一种"服务"。请参阅InfoCloud (2020)。
4.	在2019年，处理一宗重大资料外泄事件(即涉及逾100万个纪录)的平均费用达4,200万美元(3亿2,600万港元)。请参阅Allianz Global Corporate & Specialty (2020)。
5.	雇员转为在家工作，带来额外的网络安全挑战，因为雇员透过家居网络或个人装置上网/登入公司网络，未必如办公室环境般安全。
6.	2019年的调查旨在识别102个国家及地区的企业于未来12个月及往后面对的首要商业风险。请参阅Allianz Global Corporate & Specialty (2020)。
7.	网络安全事故包括电脑病毒攻击、勒索软件、拒绝服务攻击、黑客入侵、盜窃资料、网上骗案、涂改网页和资料外泄。
8.	网络保安指保护互联网系统(包括硬件、软件和相关基础设施)、系统內的资料和系统所提供的服务，免遭擅自存取、损害或滥用。这包括系统操作者由于蓄意或因意外未有遵守保安程序而造成的损害。请参阅GOV.UK (2016)。
9.	请参阅(ISC)2 (2020a)。
10.	据(ISC)2估计，英国在2020年尚欠27 408名网络保安专业人员。
11.	最近，香港进入智慧银行新纪元。香港金融管理局于2019年发出8个虛拟银行牌照，让金融科技公司得以晋身银行业。
12.	请参阅Hong Kong Computer Emergency Response Team Coordination Centre(2020)。
13.	请参阅Census and Statistics Department(2020a)。
14.	请参阅InfoSec(2020)。
15.	请参阅Vocational Training Council (2018)。
16.	部分网络保安学士学位课程提供在网络保安分析、电子数据鉴证、系统保安及云端运算等范畴的专修领域。
17.	香港金融管理局、香港银行学会及香港应用科技研究院在2016年共同制订了三级制的本地化认证计划 - 模拟网络攻击专业认证("CCASP")。CCASP提供具认受性的职涯规划方案，协助从业员(从业员级别)由入行，再成为资讯保安测试师(注册级别)，继而成为资讯保安专家(认证级别)。在2016年12月至2020年11月期间，共有68人通过CCASP各个级别的考试。
18.	2018年全球网络安全指数不包括香港。
19.	要取得CISSP专业认证，必须通过相关考试，并在8个网络保安领域中的两个或以上领域，累计具备最少5年受薪工作经验。该8个领域为：(a)保安及风险管理；(b)资讯资产保安；(c)保安架构与工程；(d)通讯及网络保安；(e)身份及存取控制；(f)保安评估与测试；(g)保安作业；及(h)软体开发的安全性。
20.	英国于2011年11月发布《2011-2016年国家网络安全策略》，其中一个目的，是令英国成为全球网上营商最安全的国家，以及打击网络罪行最具成效的地方。英国在2016年检视并更新这项策略后，发布《2016-2021年国家网络安全策略》。新订的5年策略旨在提供安全及迅速应变的环境，使英国免受网络威胁，同时支援英国在2021年或之前，成为数码世界中的翘楚。
21.	至于另外两大支柱，防御指保护英国免受不断变化的网络威胁攻击，一旦发生事故亦能应付裕如，并确保英国的网络、数据及系统受到保护及防御；而遏止指侦查和阻截不法之徒对英国的网络攻击，并且追捕及检控违法者。
22.	数位文化传媒和体育部负责推行以下政策范畴：艺术及文化、通讯及媒体、体育、旅游、缔造共融社会及加强数码联系。
23.	于2016年在政府通讯总部辖下设立的国家网络安全中心，是《国家网络安全策略》的其中一环。在英国，国家网络安全中心是领导网络安全工作的技术机构，协助英国成为网上生活及营商最安全的地方。
24.	综合硕士学位课程把"学士学位课程"与"研究生课程"合并为一。学生先以本科生身份修读学士学位程度的单元，继而在课程的第四年或第五年修读硕士学位程度的单元。
25.	据报，委员会订于2021年4月开始运作。请参阅(ISC)2 (2020b)。
26.	这与香港CCASP的三级制认证制度有所不同，即从业员级别(Practitioner)、注册级别(Registered)及认证级别(Certified)。
27.	请参阅Department for Digital, Culture, Media & Sport (2019)。
28.	这项基金于2018年5月设立，并于2018年10月扩充。第三轮基金于2019年8月推出，让培训机构可与雇主合办课程，培训来自不同背景的人士，资助额最高为项目总成本的50%，以10万英镑(105万港元)为上限。

参考资料：

1.	Allianz Global Corporate & Specialty. (2020) Allianz Risk Barometer 2020.
2.	Census and Statistics Department. (2020a) Survey on Information Technology Usage and Penetration in the Business Sector for 2019.
3.	Census and Statistics Department. (2020b) Thematic Household Survey Report - Report No. 69 - Personal computer and Internet penetration.
4.	CyberFirst. (2020)
5.	Department for Digital, Culture, Media & Sport. (2018) Government Consultation: National Cyber Security Strategy - Developing the Cyber Security Profession in the UK Government.
6.	Department for Digital, Culture, Media & Sport. (2019) Initial National Cyber Security Skills Strategy: increasing the UK's cyber security capability - a call for views.
7.	GOV.UK. (2016) National Cyber Security Strategy (2016-2021).
8.	Hong Kong Computer Emergency Response Team Coordination Centre. (2020) Recent 10 Years of Security Incidents reported 2010-2020.
9.	Hong Kong Examinations and Assessment Authority. (2020) 2019 HKDSE Entry Statistics.
10.	House of Commons. (2020) Daily Report, 9 June.
11.	InfoCloud. (2020) Basics of Cloud Computing.
12.	Information and Innovation Bureau. (2020) Update on Information Security. LC Paper No. CB(1)306/19-20(05).
13.	InfoSec. (2020) Computer Related Crime.
14.	International Telecommunications Union. (2019) Global Cybersecurity Index 2018.
15.	(ISC)2. (2020a) Cybersecurity Workforce Study 2020.
16.	(ISC)2. (2020b) Help Shape the UK Cyber Security Council by becoming a Trustee.
17.	National Cyber Security Centre. (2020) Annual Highlight Report.
18.	National Cyber Security Centre. (various years) Annual Review.
19.	Vocational Training Council. (2018) Manpower Survey Report - Innovation and Technology Sector.

---

^{资讯述要为立法会议员及立法会辖下委员会而编制，它们并非法律或其他专业意见，亦不应以该等资讯述要作为上述意见。资讯述要的版权由立法会行政管理委员会(下称"行政管理委员会")所拥有。行政管理委员会准许任何人士复制资讯述要作非商业用途，惟有关复制必须准确及不会对立法会构成负面影响。详情请参阅刊载于立法会网站(www.legco.gov.hk)的责任声明及版权告示。本期资讯述要的文件编号为ISE15/20-21。}