【香港科技大學商學院專輯】
史丹福大學研究顯示,88%數據外泄事故都屬人為錯誤——當網絡安全成為全球關注的焦點,如何「防患於未然」已不只是個人課題,更是企業與社會共同面對的重大挑戰。香港科技大學(下稱「科大」)商學院覷準「網絡安全」已從技術層面躍升為企業營運不可或缺的一環,遂於2025/26學年首辦「資訊與網絡安全管理理學碩士(MScICSM)」課程,作為全港首個由商學院主導的網絡安全碩士管理課程,特以創新的商業管理視角切入,結合「業界沉浸體驗」和專家的教學團隊,專注培養商管與技術兼備的新一代網絡安全專才,在不同領域為全球網安把關。
「哪裏有數據,哪裏便有網絡罪犯!」科大商學院「資訊與網絡安全管理理學碩士」課程總監洪偉音教授一語道出現今企業網絡安全的危機所在。根據2024年世界經濟論壇統計顯示,全球網路安全人才有近400萬的缺口。而香港隨着《保護關鍵基礎設施(電腦系統)條例草案》將於2026年正式生效,金融、醫療、能源等關鍵行業對合規專才的需求正急速飈升。
覷準網絡安全大勢、行業走向專業化 培育網安專才迎挑戰
洪教授估計,上述條例通過後,市場對高級網絡安全專業人士的需求會持續增加。「條例要求關鍵基礎設施的負責人制定及實施電腦系統安全管理計劃,要具備更高的專業能力,並擁有相關認證,如註冊信息系統審計師(CISA, Certified Information Systems Auditor)和註冊信息安全經理(CISM, Certified Information Security Manager)或相關學位。」
她指,近年全球重大網絡的犯罪事件不斷發生,企業已意識到網絡安全的重要性。「網絡犯罪無論是案例數量或金錢損失,每年都在急增*。以往企業對網絡安全的態度是『出事才處理』,這滯後的心態源於大多數企業都認為,投入網絡安全的預算並不會帶來直接回報,但現今很多企業已明白一旦發生事故,所損失的可能遠超預算!」
*香港網絡安全事故協調中心於2024年共處理12536宗保安事故,其中網絡釣魚佔整體個案超過一半(7811宗,佔62%),對比2023年上升108%,數字錄4位數增加,即共增加4059宗。
網絡安全3個重要元素:科技、政策和人員
此外,網絡安全對企業品牌的影響同樣不容忽視。「網絡安全除了能做好防守,也能增加產品或服務的附加價值,例如兩款智能家居產品功能相近,如其中一款把安全性能融入產品和服務中,不只可以增強客戶對品牌的信任,同時為企業帶來新的商業價值。」
洪教授:「網絡安全不只是技術問題,還有3個重要元素:科技、政策和人員,其中人員是最重要的一環。史丹福大學和安全公司Tessian曾有研究指出,88%的資料外泄事故都是企業員工不慎點擊駭客所發出的假冒電郵所引起,研究更揭示,即使擁有最先進的科技和完善的政策,只要一個人犯錯,都足以令整個企業陷入危機。」
商學院主導網安課程 從商業管理視角出發
她表示,現時本地從事網絡安全相關工作的人,大多具有IT背景,或缺乏商業視角和管理技能。為填補人才缺口,科大在2025/26學年首辦MScICSM課程,是全港首個由商學院開辦的網絡安全管理碩士課程。「傳統的網絡安全課程多數設於工程或計算機學院,偏重技術層面,例如如何部署設備、設置軟件和防禦系統。我們早在推出課程前,已詳細研究本地及國際類似課程的架構目標和大綱,確保內容和定位具獨特性。」
洪教授強調,MScICSM課程設計重點是從商業和管理視角出發,培養既懂技術又懂商業策略的跨學科專才,因此課程比例方面,一般資訊科技和網絡安全相關技術(如網絡防禦、雲端安全)各佔30%,另40%側重管理與策略(如風險治理、合規框架),以確保學生具備商業角度制定安全決策的能力。
MScICSM課程的學生可根據個人背景和職業需求,選讀適合的課程內容。課程聯合總監Garvin Percy DIAS教授表示:「科大商學院靈活的學習模式是獨特優勢之一,除了核心科目外,亦包括不同選修科目,學生可自由組合學習路徑。如學生擁有技術本科學位,並對某些核心科目內容非常熟悉,我們可考慮豁免相關課程,讓他們有更多時間選修其他科目。」
「沉浸式教學」破解網安實戰密碼
Percy教授預計,在眾多選修科中「雲端安全管理(Cloud Security Management)」會最受歡迎。「愈來愈多企業將數據存儲在雲端,雲端安全成為一個關鍵課題。老師會講解如何評估雲端供應商的安全性,以及如何設計雲端基礎設施的防護措施。」
兩位教授均強調,網絡安全管理是一門高度實用的學科,因此MScICSM課程特別着重「業界沉浸體驗」的教學模式。課程還會邀請多位來自不同領域的資深專家擔任講師,分享真實案例與前沿技術,讓學生在學習過程中達至緊貼行業脈絡。
主修、選修科「貼地」 行業專家教學經驗與實戰並重
風險管理:現今網絡安全風險日益複雜多變,包括來自特定地區的攻擊、數據外泄、客戶資料盜竊等。課程的必修科「Cyber Security Risk Management」由擁有逾30年信息安全經驗的專家任教。他曾於JPMorgan、Standard Chartered、Microsoft及AWS等國際頂尖企業擔任資深職位,專責網絡安全培訓與防護方案設計。透過專家導師的豐富實戰經驗,學生可學習如何識別潛在威脅、評估風險等級,並制定有效的應對策略,掌握最前沿的風險管理方法。
攻防實戰:選修科「Incident Response Management」由Google資深工程師親自授課,課堂以真實情景為藍本,模擬網絡攻擊過程。學生分組扮演攻擊方與防守方,在高度擬真的環境中,演練如何在攻擊發生前預測風險、制訂應變計劃,並在攻擊發生時迅速地偵測,評估及應對事件以減低風險和損失。在攻擊事件發生後,學生會在導師的指導下一同分析攻擊事件的處理效果和提出改善措施,以提升危機處理與團隊協作能力。
犯罪剖繪:課程亦設有選修科「Criminal Psychology」選修科,由具犯罪學背景的專家帶領學生剖析犯罪行為的演變、數碼科技對犯罪型態的影響,以及執法與預防策略。學生掌握從心理學角度理解並分析網絡犯罪行為。另一科「Digital Forensics」則聚焦事件發生後的調查流程,包括追查和識別數碼證據,蒐集及分析數碼證據以了解事件發生的時間軸等。
網絡保安管理:選修科「Advanced Network Security Management」會配備實驗室教學,學生在模擬環境中操作尖端設備,進行網絡路由器配置、防火牆設置及入侵檢測等任務,為日後應對各種網絡威脅做好準備。
涵蓋DevSecOps新技術 緊貼業界趨勢
Percy教授表示,課程內容緊貼行業最新發展,例如引入DevSecOps技術,即整合開發(Dev)、安全(Sec)與營運(Ops)的一體化實踐。例如學生在選修科「Information Systems Analysis and Design」中,要學習如何從設計階段起步,把安全性融入軟件開發流程和營運架構之中。
「現時的資訊系統在開發初期已導入安全機制,而非事後才進行補強。學生還要了解軟件開發過程中的安全與合規要求,這正是目前業界最重視的能力。」
全面睇MScICSM 為未來打造跨領域專才
【持續進修】多元背景學生交流實戰 兼備跨域能力
「資訊與網絡安全管理理學碩士(MScICSM)」課程提供全日制和兼讀制。Percy教授表示,課程專為多元背景學員而設,毋須具備特定專業基礎。「我們歡迎來自行銷、金融、IT等不同領域的學生,因此特設Python編程等技術基礎課程,協助非技術背景學生快速掌握核心技能。」
課程特別設計小組專案環節,讓來自不同背景的學生共同合作,模擬企業實務情景。Percy教授以來自金融業學生為例,在課堂上可分享數據風險管理的經驗,而IT背景學生則提供技術解決方法。「透過小組協作,例如共同制定『用戶數據隱私保護』策略,學生便可以整合商業思維與技術執行力,培養業界最需要的跨域能力。」
【專業認證】考取CISA和CISM 全球認可
面對愈趨複雜和巨大的網絡安全威脅,專業認證已成為業內衡量人才能力的重要標準。Percy教授指,MScICSM課程特別圍繞兩個受歡迎的中級專業認證——國際信息系統審計協會(ISACA)的CISA和CISM。前者專注於資訊系統審計,後者則偏重在資訊安全管理,兩項認證已獲全球廣泛接受及高度認可。
他強調,商學院與ISACA建立了緊密的合作關係,「要獲得CISA認證,一般需要具備5年的相關工作經驗。然而本科畢業生則可豁免2年,我們亦正與ISACA洽商,爭取修畢碩士學位可再豁免1年,期望我們的碩士畢業生只要累積2年經驗已可獲得認證。」他補充,碩士課程內容跟認證考試緊密結合,協助學生掌握考試所需的知識和技能。
【就業前景】網安人才需求持續 畢業生出路看俏
就業前景方面,Percy教授認為,金融業對網絡安全的需求最為顯著,但其他行業同樣不容忽視。「例如醫療行業,因應智能醫療設備和數據普及,保護病患者的數據安全變得尤其重要;政府部門亦必須確保關鍵基礎設施的網絡安全,是重中之重。」
他分享香港和內地職業前景的最新數據:「在香港網絡安全專才的起薪點大約為港幣20,000至30,000元;在內地平均起薪為人民幣8,000至15,000元。」他深信,畢業生的職業發展路徑從基礎至高層多個層級都有。「他們可以由網絡安全分析師入門,逐步晉升為安全顧問、安全經理、風險經理,甚至最終成為首席資訊安全官(CISO)。」
香港科技大學商學院
「資訊與網絡安全管理理學碩士」課程
電話:3469 3256
電郵:mscicsm@ust.hk
網站:https://mscicsm.hkust.edu.hk/
