iPAS資安中級工程師值得考嗎？我用九場考試數據幫你分析

剛查完 115 年第一次 iPAS 中級資訊安全工程師的成績，順利以兩科皆突破 80 分的成績達陣，正式取得 iPAS 資訊安全工程師中級證書。

說來有些不好意思，因為近期專案與工作繁忙，備考過程說不上有多紮實——考前才把 114 年的試題大致翻過一遍，其餘時間沒有特別準備。雖然有點像是炫耀，但考完後還是來點貢獻，順手整理了從 110 年到 115 年這 9 次考試的官方統計資料。

這份數據不僅呈現了考試數據，更映照出臺灣資安產業這幾年來的演進縮影：這張證書背後測的是什麼，以及你適不適合考它。

這張證書到底是什麼？

iPAS（產業人才能力鑑定）資訊安全工程師中級能力鑑定，由經濟部推動，考兩科：「資訊安全規劃實務」與「資訊安全防護實務」，每科滿分 100 分，兩科都達 70 分才能取得中級證書。

統計近五年9個場次考試成果數據，早年（110、111年）這項考試像是在試水溫，一年只辦一次，單次到考人數不過兩三百人。但隨著國內資安法規的推動，以及企業對 iPAS 證照認可度的提升，報考人數從最初的 292 人成長到近年每場 600 至 900 人以上，成長幅度超過三倍。這不只是數字的變化，背後反映的是企業對資安人才認證需求的快速升溫。

數字說話：這個考試有多難？

我把這幾年的考試數據整理了一遍，幾個觀察值得說明。

獲證率從 13.87% 到 63.56%，波動驚人。

112 年第一次是近年最難的一場。規劃實務及格率僅 21.33%、防護實務更只有 17.41%，整體獲證率跌到 13.87%——也就是說，約七個到考者中，只有一個拿到證書。這不是偶發現象，而是那一場命題難度確實偏高，且兩科平均分都卡在 59 至 60 分之間，剛好落在 70 分及格門檻底下。

相比之下，115 年第一次（也就是我參加的這場）卻是歷年最高的 63.56%，防護實務的及格率從前幾年長期低迷的 20 至 40% 區間，一舉跳升至 69.77%，平均分也首度突破及格線，來到 72.80 分。

防護實務才是真正的關卡。

從九場數據來看，規劃實務的及格率落在 21% 到 80% 之間，雖然波動大，但整體相對可控；防護實務的及格率則從最低 17% 到最高近 70%，且歷次平均分多半低於及格線。換句話說，這科才是大多數人卡關的地方。

不過，115 年第一次的防護實務難度明顯降低，是否代表出題方向正在調整，還是只是單次波動，目前還不得而知。建議不要因為這一場容易就掉以輕心，下一場完全可能打回原形。

我為什麼考前一天才看題目？

因為平常就在做這些事。

我的工作涉及資訊安全政策制定、系統開發、風險評估、以及資安稽核，這些本來就是兩科考題的核心範疇。考試測的是你有沒有系統性的資安概念，以及能不能在情境題中做出合理判斷——這些東西很難靠短期死背建立起來，但如果你長期在這個環境裡，考試其實不過是把腦袋裡已有的知識重新組織一遍。

考前一天看 114 年試題，主要是為了確認題型結構、熟悉考試節奏，而不是臨陣磨槍。

這不代表沒有資安實務背景的人就不能考，而是說：你需要更系統性的準備，單靠猜題或背重點，在防護實務這科大概率是不夠的。

哪些人應該去考？

對資安從業人員來說，這張證書是一個有用的定位工具。

資安證照市場，國際證照（CISSP、CEH、ISO主導稽核員）雖然含金量高，但取得成本也高，且部分需要實務或工作年資門檻。iPAS 中級資安工程師相對親民，是一個能快速確認自己實務知識是否到位的本土認證。對於在政府機關、民間企業或受政策要求需要持證的從業人員，這張證書更有直接的實用性。

通過率的數據也說明了這不是隨便考考就能過的輕鬆證照——歷年平均獲證率大約落在 25% 到 45% 之間（計算口徑調整前後有差），在同等級的本土IT認證中屬於中等難度，有一定的鑑別力。

對企業而言，這是一個可參考的人才篩選指標。

隨著臺灣《資通安全管理法》的推動，資安人才認證的重要性逐漸受到政府機關與關鍵基礎設施業者的重視。iPAS 資安工程師認證由政府背書，考科內容涵蓋政策面（規劃實務）與技術面（防護實務），與企業資安實務工作的對應性相當直接。

對 HR 或用人單位來說，這張證書至少能初步篩選出「對資安有系統性理解」的候選人，搭配面試來做深度判斷，是合理的組合策略。

對有興趣入場的考生，幾個實務建議。

看到這麼高的及格率，或許有人會問：現在是不是靠刷題庫就能輕鬆過關？

我的答案是：千萬不要落入死背的陷阱。

首先，評估自己的起點。如果你目前沒有任何資安實務基礎，官方有提供「資訊安全概論」的相關內容，也建議先補足 ISO 27001、NIST 框架、基礎網路安全概念，以及《資通安全管理法》的主要內容，再來報考會更有把握。

其次，防護實務要投入更多時間。從所有場次數據來看，這科才是決定你能不能拿到證書的關鍵。建議重點複習滲透測試概念、資安事件應變處理、弱點管理、以及各類防禦技術的原理與應用。

最後，留意每場難度落差。如果你在某一場防護實務不幸遇到難題，不要氣餒——歷史數據告訴我們，下一場的難度可能截然不同。持續複習、多次嘗試，是這個考試的合理應對策略。

最後

我不認為「考前一天抱佛腳」這件事值得複製，那是特定背景下的結果。

但我確實認為，這個考試值得認真對待——不管你是想透過它確認自己的資安知識是否到位、爭取一個在職場上被看見的機會，還是想替公司的人才培育建立一個量化指標。

對於有志投入資安領域，或是正在準備 iPAS 的朋友，我的建議是：讓實務成為你最好的導師。在日常工作中多問「為什麼」，思考系統邏輯，把學到的知識內化到每一次的系統設定與架構規劃中。當你把資安變成一種直覺，考取證照只是水到渠成的事。

台灣的資安人才缺口還在持續擴大，這張證書提供的，是一個有公信力的起點。

本文數據來源：iPAS 歷次中級資訊安全工程師能力鑑定各考科通過人數統計（110年第一次至115年第一次，共九場）