■ 2018年度中国信息安全从业人员现状调研课题组
人才问题已成为落实网络强国战略进程中最受关注的议题之一。网络安全人才资源是开展和推进我国网络安全工作的核心引擎,只有人才工作做强才能把网络安全各方面工作做大做强。4·20全国网络安全和信息化工作会议上,习总书记强调“要研究制定网信领域人才发展整体规划,推动人才发展体制机制改革,让人才的创造活力竞相迸发、聪明才智充分涌流。”
锻造人才队伍的第一步是摸清当前信息安全人才家底,做好基础调研,把握从业人员的发展需求,从而找出当前信息安全人才队伍培养建设的问题与痛点。在此背景下,中国信息安全测评中心启动“2018年度中国信息安全从业人员现状调研”活动,以期为广大安全从业人员和准从业人员提供职业发展指导,为安全行业创新发展提供指引,为国家网络安全人才队伍建设提供决策参考。
此次调研历时三个月,通过在线问卷调查、实地访谈、会商研讨等方式,深度调研信息安全从业人员现状。调研共回收有效样本4349份,覆盖了全国所有省、市、自治区和直辖市,囊括了各重要行业和关键基础设施领域。在调研维度和内容上,本年度报告不仅反映了信息安全从业人员的基本情况,更注重综合分析从业人员职业发展状况、薪酬待遇情况、能力提升情况、用人单位队伍建设情况,以及从业人员对安全发展态势的观点意见。篇幅所限,本文仅呈现报告部分要点内容。完整版报告将于近期发布,敬请期待。
一、调研对象篇
1. 首次对信息安全从业人员进行分类定义
本报告将信息安全从业人员定义为“以信息安全为主要工作职责,会对所在单位信息安全状况造成影响的人员”。根据工作内容的不同,我们将信息安全从业人员工作职责分为6个类别,包括15个子类:1. 监管治理,包括战略法规和执法监督;2. 规划管理,包括策略规划和组织管理;3. 安全建设,包括分析设计、开发与集成;4. 安全运营,包括安全运维、数据处置、应急响应、审计与评估和安全态势分析;5. 内容安全,包括内容分析、内容安全评估和舆情分析;6. 科研教育,包括安全研究、培训和教学。本次调研将我国各行业领域承担上述6大类别工作职责角色的人员认定为信息安全从业人员,将其确认为抽样总体开展问卷调查工作。
2. 超三成信息化工作人员须承担信息安全工作
受访者认为,自己所在工作单位中信息安全人员在整体信息化工作人员中的比重平均为36.1%。但在具体分布上呈两极分化,认为信息安全人员在信息化人员中占比在10%以下与50%以上的占比最高,分别达到27.3%和23.8%。
3. 从业人员工作职责集中在安全运营和安全建设
62.4%的信息安全从业人员承担的工作职责是安全运营,包括安全运维、数据处置、应急响应、审计与评估和安全态势分析;承担安全建设的从业人员占比为32.4%,包括分析设计、开发与集成;其余工作职责类别依次是规划管理(26.9%)、科研教育(17.2%)、监管治理(16.7%)和内容安全(7.8%)。
4. 信息安全从业人员兼职非安全工作现象普遍
调研数据显示,近六成信息安全从业人员需要同时承担非信息安全岗位工作。在这部分人群中,有40%的人员承担的非信息安全岗位工作在日常工作中占比在25%到50%之间;33.8%的人员一半以上的工作时间用于处理非信息安全工作。
二、能力提升篇
1. 职业培训成为从业人员首选的能力提升方式
2018年调研数据显示,“职业培训”以周期短、针对性强,以及紧密结合业界前沿趋势的优势取代了2017年的“自我学习”成为最受信息安全从业人员青睐的自我能力提升方式,近七成从业人员表示更倾向通过职业培训提升自身能力和知识水平。
2. 从业人员希望提升新技术新应用细分方向专业能力
大数据安全、云安全、安全管理和渗透测试是我国信息安全从业人员最希望提升的专业能力。
3. 内部信息安全工作人员培训制度实施效果不佳
信息安全从业人员所在工作单位大部分建立了内部的信息安全工作人员培训制度,占比约74.9%,但仅23.1%的受访者认为相关的培训制度取得了良好的实施效果。
4. 从业人员持有最多、最希望获取CISP资质证书
调研显示,超过六成持有相关资质证书的信息安全从业人员认为职业培训和资质认定的过程有助于促进职业发展和能力提升。目前,国内持有权威资质证书占比最高的是注册信息安全专业人员(CISP)(71.8%),其中注册信息安全工程师(CISE)持证人数最多,占比达到44.1%。83.7%的从业人员期望在未来一年内获得信息安全资质证书,最希望获取注册信息安全专业人员(CISP)证书的人群占比高达68.9%,其中最受欢迎的子品牌分别是注册信息安全工程师(CISE)、注册渗透测试工程师(CISP-PTE)、注册信息系统审计师(CISP-A)和注册云安全工程师(CISP-CSE)。
三、工作环境篇
1. 网络安全管理制度和操作规程落实情况堪忧
78.0%的信息安全从业人员表示,其所在工作单位设立了内部网络安全管理制度和操作规程;但是仅四分之一的从业人员反馈相关制度实施效果良好(25.0%),半数以上从业人员认为实施效果一般或较差(53.0%)。
2. 自建团队和安全外包相结合应对信息安全威胁
内部安全团队解决以及内部和外包结合解决(43.0%)是目前各企事业单位处置网络安全威胁的主要方式,完全交给第三方外包解决(11.6%)的企业并不多。
3. 政企单位高层对信息安全工作的认知有待提高
本次调研发现,各企事业单位高层管理者对信息安全人员短缺情况明显比中层和基层人员更乐观,更倾向于认为当前单位信息安全人员队伍规模能够满足工作需要。此外,超过一半的从业人员认为单位高层对信息安全工作不重视是安全事件发生的主要原因之一。
4. 已有的职业晋升通道和激励机制作用尚不明显
为了招得来、留得住信息安全“高精尖”人才,65.5%的从业人员表示其所在工作单位建立有信息安全从业人员职业晋升通道和工作激励机制,21.3%明确表示没有职业晋升通道和激励机制;只有不足13.2%的受访者认为相关机制取得了良好效果,46.3%的受访者认为实施效果一般或尚无明显效果。
(本文刊登于《中国信息安全》杂志2018年第12期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。