美國海岸防衛隊新興海事網路安全培訓政策的緣起與範疇

全球海事運輸系統（MTS）是國際貿易與經濟運作的命脈，然而，其日益數位化和自動化的特性，使其成為國家級行動者與犯罪集團鎖定的重要目標。從船舶的導航系統、貨物管理系統到港口的裝卸控制系統，資訊科技（IT）與營運技術（OT）的深度融合，極大地擴大了潛在的網路攻擊面。有鑑於此，美國海岸防衛隊（USCG）為強化海事基礎設施的網路韌性，制定了針對關鍵人員的強制性網路安全培訓要求，旨在透過提升人員的網路安全意識與技能，有效緩解人為因素導致的風險。

這項政策的範疇鎖定所有在美國註冊的船舶、受2002年《海上運輸安全法》（MTSA）約束的設施，以及外大陸架（OCS）設施。這是對海事安全管理體系的重大補充，將網路安全從以往側重於技術控制的層面，正式提升至涉及組織文化與人員能力的戰略高度。該政策明確指出，凡是能夠存取IT或OT系統的人員，都必須接受專業的網路安全訓練，這一要求強調了零信任原則在海事環境中的實踐，即便是內部人員，也必須證明其具備防範網路威脅的能力。

 

IT與OT融合環境下的關鍵人員培訓要求

IT和OT系統在海事環境中服務於截然不同的功能：IT系統主要處理數據和通訊，而OT系統則直接控制物理過程，例如船舶的引擎、壓載水系統或港口的起重機。對這兩種系統具備存取權限的人員，其培訓內容必須涵蓋兩者之間的安全差異與交互風險。關鍵人員，包括全職、兼職、臨時或永久僱員，甚至承包商，都必須理解他們在網路事件應對程序中的角色與職責。

為了確保培訓的有效性與實戰性，政策要求相關人員必須保持對不斷變化的網路威脅和防禦措施的最新知識。這通常需要透過定期參考可靠的資訊來源，例如網路安全和基礎設施安全局（CISA）、特定行業資訊共享和分析中心（ISAC）或其他第三方專業資源，來持續更新知識。這種持續學習的要求，確保了海事組織的防禦體系能夠與時俱進，應對瞬息萬變的威脅形勢。

 

網路安全官（CySO）的核心職責與專業標準

網路安全官（CySO）在此次政策框架中扮演了核心的監管與執行角色。業主或營運者在指定CySO時，必須確保該人具備必要的專業知識，以履行其職責。CySO的專業性不僅限於技術知識，更需要具備將網路安全策略與實體特定的營運需求相結合的能力。

一旦CySO被指定且網路安全計畫（CSP）獲得批准，CySO的首要任務是審查現有的培訓方案。這項審查必須確保培訓內容能夠根據實體的實際運作情況進行適當調整，並考量人員在各自船舶、設施或OCS設施中可存取的特定IT和OT系統及設備。換言之，培訓不能是通用的模版，而必須是為該實體的獨特風險環境量身定制。負責實施、開發或批准培訓的個人、團隊或第三方實體，其知識標準必須達到或超過CySO所規定的專業要求，從源頭上保證培訓品質。

 

未經培訓人員存取系統的嚴格風險緩解機制

此政策的嚴謹性體現在其對未接受網路安全訓練人員存取系統的嚴格規定上，反映了對「人為錯誤」這一最大風險來源的重視。為了在保障安全與維持營運彈性之間取得平衡，政策規定了嚴格的緩解措施。

美國海岸防衛隊在上週發布的一份更新文件中詳細介紹了10月份發布的政策函，概述了對有權存取資訊科技（IT）或營運技術（OT）系統的人員的新網路安全培訓要求。該政策還強制要求所有在美國註冊的船舶、設施以及受2002年《海上運輸安全法》（MTSA）約束的外大陸架（OCS）設施上的人員，必須在2026年1月12日之前完成所需的網路安全培訓。
所有有權存取IT或OT系統的人員均須遵守相關準則，所有者或營運者指定網路安全官（CySO）時，必須確保該網路安全官具備必要的專業知識，且所提供的任何培訓均符合這些特定要求。負責實施、開發或批准培訓的個人、團隊或第三方實體必須達到或超過網路安全安全官 (CySO) 所規定的知識標準。 一旦指定了 CySO 並且網路安全計畫 (CSP) 獲得批准，CySO 必須審查現有培訓，以確保其根據實體的運作情況進行適當調整，並考慮人員在其各自船舶、設施或 OCS 設施中可存取的特定 IT 和 OT 系統及設備，無法接受網路安全訓練的人員只有在受過訓練的人員陪同或監督下才能存取IT和/或OT系統。

此項規定旨在將風險降至最低，確保未經訓練的使用者，如短期技術人員、碼頭工人或臨時支援人員，僅能存取必要的資源，且其行為受到密切觀察。

此外，在營運必要性或緊急情況下，業主/營運者可能允許未經訓練人員進行遠端存取。在此情況下，必須實施「遠端護送」（Remote 'Escorting'）機制，透過受過訓練的人員或自動化系統對遠端會話進行監視。遠端護送措施包括但不限於：會話期間的存取日誌定期審查、會話記錄、提供實時安全監控和通知的自動化系統（需包含會話記錄），以及由受過訓練人員執行的遠端控制/影子操作（Remote Control/Shadowing）。對於OT系統的遠端存取，則必須由受過訓練的應用系統工程師/所有者進行遠端控制/影子操作。所有這些程序，無論是實體陪同或遠端護送，都必須以書面形式記錄在案，並遵循最小權限原則。

 

性能導向的培訓內容與彈性化交付模式

USCG 強制培訓要求採用了性能導向（Performance-Based）的模式，這意味著它不限定特定的培訓計畫或內容，而是著重於培訓結果是否能夠滿足監管所要求的知識水準。業主/營運者擁有決定培訓提供者的自由，可以選擇內部員工、承包商或第三方實體來提供培訓。

這種彈性允許各實體根據自身的資源和需求，採用多樣化的培訓交付方式，包括虛擬課程、現場教學或自主學習等組合。若業主/營運者選擇使用現有的網路安全培訓材料，則必須能夠向USCG證明這些現有模組或內容如何滿足每一項法規要求。這項規定鼓勵了創新和效率，使組織能夠將網路安全培訓整合到現有的員工發展與安全協議之中，而非單純地增加一項獨立的合規檢查表。

 

第三方承包商與長期合規性管理的考量

由於海事活動中承包商和第三方員工頻繁參與IT/OT系統維護與操作，政策對其提出了明確的合規要求。業主/營運者在授權第三方存取系統之前，必須對其實施以下三種措施之一：使用業主/營運者自身的培訓進行訓練、實施監控或陪同機制、或評估第三方實體的現有網路安全培訓計畫，以確保其符合法規並與系統特定要求保持一致。

如果業主/營運者接受第三方的培訓計畫，則必須維持一份記錄，詳細說明評估日期、審查範圍、對法規要求的考量以及接受的理由。這項決定記錄應與VSP/FSP/OCS FSP一起保存，直至CSP獲得批准。此外，業主/營運者還需至少每年審查一次第三方培訓計畫的時效性與合規性，並在USCG要求檢查時，提供每位受影響的第三方員工的培訓記錄。這些嚴格要求反映了海事供應鏈中對網路安全風險管理的深度延伸。

 

文件紀錄與美國海岸防衛隊的審查機制

政策對於訓練紀錄的維護要求極為詳細，這是USCG用以驗證合規性的主要依據。業主/營運者必須保存完整的訓練文件，無論是硬拷貝、電子形式，或是透過學習管理系統（LMS）進行記錄，都必須清晰列出每次培訓的日期、持續時間、證明內容符合法規主題的描述或大綱，以及所有參加人員的名單。

在CSP獲得批准之前，這些資訊可以作為現有安全計畫的一個章節或作為獨立文件保存。文件內容除了上述基本數據外，還必須涵蓋：關鍵人員的定義方式、培訓的交付方式（可採用組合選項）、針對未經訓練人員的實體陪同或遠端護送程序的詳細說明，以及相關承包商的培訓記錄。這種細緻入微的紀錄要求，確保了合規性驗證的透明度和可追溯性，是整體海事網路安全體系中不可或缺的一環。

 

海事領域網路韌性的提升與未來挑戰

美國海岸防衛隊強制要求海事人員接受IT/OT網路安全培訓的政策，是應對全球海事網路威脅持續升級的積極回應。該政策的核心價值在於認識到，技術防禦措施若缺乏訓練有素的人員操作和維護，將難以發揮其應有的效力。透過在2026年1月12日前推動此項強制性培訓，USCG正在為海事運輸系統構建一道以人為本的堅固防線。

然而，這項轉變也帶來了實際的挑戰。海事部門的營運環境分散且人員流動性高，實施統一、高品質且與時俱進的培訓計畫，對業主和營運者構成嚴峻的組織和資源考驗。特別是在確保 CySO 具備必要專業性，以及為複雜的遠端存取情境設計有效的「遠端護送」機制方面，都需要投入大量資源與創新思維。最終，這項政策將促使整個海事領域將網路安全視為營運安全的核心組成部分，而非單純的合規負擔，從而提升整體海事運輸系統的網路韌性。

資料來源：https://industrialcyber.co/training-development/ics-cyber-security-training/us-coast-guard-mandates-cybersecurity-training-for-personnel-with-it-ot-access-by-january-2026/