网络安全已成为事关经济社会发展、国家长治久安和人民群众福祉的重大战略问题,建立一支规模宏大、结构优化、素质优良的网络安全人才队伍已成为维护国家网络安全和建设网络强国的核心需求。

2月5日,中国信息安全测评中心正式发布《中国信息安全从业人员现状调研报告(2017年度)》。此次调研活动由中国信息安全测评中心主办,中国信息产业商会信息安全产业分会承办,《中国信息安全》、FreeBuf、e安在线、安全牛、i春秋及E安全等单位协办。报告旨在调研我国信息安全从业人员的基本构成和分布、人才供需和结构、能力提升方向和途径、职业发展路径以及职业满意度等情况,着重分析从业人员整体态势并同国外情况进行对照,为国家信息安全人才队伍建设提供决策参考。

调研对象

“2017年度中国信息安全从业人员现状调研”活动采用在线问卷调查方式实施,共收集有效样本1957份,覆盖了全国所有省、自治区和直辖市。接受调研的信息安全从业人员来自不同行业和单位,承担了各类职责和角色的信息安全工作。

调研结论

报告认为,当前我国信息安全从业人员现状主要包括以下几个方面:

1.基本构成相对单一,地域分布以一线城市最为集中。我国信息安全从业人员以男性为主,多数为本科学历并具有计算机教育背景,与全球信息安全从业人员的构成基本一致。同发达国家相比,我国信息安全从业人员年龄构成相对年轻,从业年限整体上也相对较短。在地域分布上以北上广深四大一线城市最为集中,此外在最具经济活力、电子信息产业规模化发展的长三角地区,以及安全企业和信息安全强校汇集的西南地区也比较集中。

2.信息安全从业人员供需严重失衡,存在结构性问题。人才需求迅速增长,人才缺口难以填补,供需关系严重失衡推高了整体薪酬水平。国内信息安全从业人员平均薪资水平在12.2-17.8万元之间,高于国家专业技术人员及信息技术从业人员年平均工资。从事运营与维护、技术支持、管理、风险评估与测试的人员相对较多,而战略规划、架构设计、信息安全法律相关从业人员相对较少。战略规划和架构设计岗位人才的短缺情况最为突出,尤其缺乏能力全面且具有全局把握能力的“将才”。

3.自我期望和要求较高,培训需求难以得到充分满足。我国信息安全从业人员主要是在基于自身内在价值驱动下选择从事信息安全职业,对持续更新自身知识和能力具有较高要求,从业过程中主要通过在线学习和职业培训方式进行能力提升。信息安全从业人员在各方面能力中最希望提升的是专业技能,其中最希望提升的专业技能方向依次是网络攻防、安全管理、安全架构,以及安全审计。然而,仅有22.8%的从业人员能在所属单位能够得到定期、有计划的目标培训。

4.整体发展不充分,地域、行业、岗位间差异较明显。当前我国网络安全投入明显不足,安全责任不到位,网络安全人才市场需求尚未得到有效释放。随着业务需求和法律强制需求的增长,信息安全从业人员数量和质量有望继续快速增长。从业人员薪酬呈“一线城市-华东华南-其他地区”阶梯式分布,金融行业、管理岗位人员薪酬高且涨幅快,然而约一半体制内从业人员过去一年薪酬不变甚至出现下降,作为重要安全建设者的安全运维人员薪酬基数和涨幅均创双低。

5.职业发展路径不明确,缺乏人员分类和评价的标准。25.9%的信息安全从业人员在技术职称序列上没有清晰的归属,企业的人事管理体系中设立的标准和级别各行其是。信息安全领域细分方向众多,技术快速更新,目前尚没有形成一个能够囊括职业全频谱类别、覆盖完整职业生命周期,且为业界普遍认可的职业发展路线图。人员责、权、利难以对等实现,不利于国家对信息安全人才队伍建设的整体规划和引导,也不利于从业人员个人的职业发展。

6.压力感受普遍比较大,但整体职业满意度依然向好。信息安全从业人员普遍感觉压力较大,认为工作轻松的人群仅占1.7%。政府机关事业单位、金融行业以及在管理岗位任职的人群压力感受更大。人员队伍由于长期供不应求,现有的从业人员队伍需要承担与自身规模和能力不相匹配的任务量级,加之安全保障岗位须承担较大责任,使得信息安全从业人员普遍感觉压力较大。尽管如此,从业人员职业满意度较高的人员占比仍显著高于满意度较低人群,表明从业人员对信息安全职业发展总体看好并持正向态度。

7.资质认定能有效促进职业发展,但持有情况不乐观。不同信息安全细分领域、不同级别的资质认定有助于信息安全从业人员规划和实现职业目标,同时也为人员考核与评价提供了客观公正的判定依据。持有相关资质证书者认为其职业培训和资质认定的过程对能力和职业发展均有较大的促进作用,国内持有信息安全资质证书的人群中,占比最高的是注册信息安全专业人员(CISP)。但整体来看,当前阶段信息安全从业人员持有权威资质证书的比例不高,只有较少或部分从业人员持有相关证书。

专家观点

中国信息安全测评中心资质评估处处长位华表示,“实施网络安全人才工程,需要我们以科学的态度深刻把握网络安全领域以及网络安全人才的特殊性,找准当前安全人才队伍建设中的难点问题。从调研结果来看,信息安全人才队伍建设还面临着供需严重失衡、教育培训不足、人才评价手段有限等问题。当前急需进一步加强从业人员以及储备人员的教育培训,同时需要研究制定从业人员评价标准,做好人才的选、育、用、留。网络安全人才事业已迎来最好的发展机遇,我中心作为承担信息安全人员资质测评职能的国家权威部门,十五年来通过注册信息安全专业人员(CISP)培训体系为党政军、重要行业、关键信息基础设施运营单位培养了数万名信息安全专业骨干人才。在当前网络安全人才发展的关键历史时期,我们将担当起时代使命,继续投身网安人才培养实践和探索工作。”

《中国信息安全》副社长、主编崔光耀认为,“习总书记在4.19讲话中强调,网络空间的竞争,归根结底是人才的竞争。俗话说,千军易得,一将难求。摆在我们面前的现实情况是,一将固然难求,千军同样恨少。面对我国网信事业‘九州生气恃风雷’的大局,网络空间人才特别是网络安全人才不足的矛盾日益突显。这两年国家在人才培养方面采取了一系列重大举措,也取得了良好的效果,这是一个很好的迹象。但是,人才紧缺的状况短时间难以得到根本改观,需要坚持不懈、下大力气做下去。中国信息安全测评中心发布我国信息安全人才白皮书,旨在摸清人才家底,进而有针对性地推动人才培养打开新局面、迈上新台阶。‘我劝天公重抖擞,不拘一格降人才’。借此白皮书发布之机,为之鼓与呼, 这个‘天公’不仅是网安领域,也是网信领域及至全社会的共同责任。”

从业人员声音

此次调研得到了广大信息安全从业人员的热烈响应,已成为一线从业人员反映自身现状、发表观点看法的渠道,以及为安全事业建言献策的平台。

调研活动中,一位信息安全从业人员表示,“随着信息技术的飞速发展,信息安全方面的预防和处理变得越来越重要。在我国很多单位中,对于信息安全方面的重视程度不高,缺乏相应的信息技术知识,单位信息网络缺乏科学的管理,往往发生问题后不能及时处理,造成经济等方面的损失。应该加强对信息技术从业人员的培养,制定相应的制度进行管理,把信息安全管理真正落在实处。国家应该鼓励信息安全技术的学习,提供更大的平台满足信息技术从业人员的知识需求,保证从业人员能够更好地实现个人发展,提高信息安全服务质量。”

关于此次调研,受访者认为进行此类摸底十分及时和必要,“目前从业人员的层次和结构还是比较复杂的,很多在从事信息安全工作前,并没有足够的专业知识,造成行业人员的水平能力参差不齐,容易造成从业门槛较低的误解,对人员提高在企业的话语权和地位不太有利。希望通过此次调研活动,掌握从业人员的工作、学习现状,找准培训学习提升需求,帮助提升行业整体的水平能力。”有受访者表示,希望“活动能成为一项长久的举措持续进行下去,从而构建国内信息安全行业人员的生态图表,成为国内信息安全从业者的能力风向标”。

对于备受信息安全从业人员关注的能力提升、职业发展等问题,受访者们积极反馈自身经验体会,“我是CISP持证人员。通过学习CISP认证体系的相关内容,我对信息安全法律体系、管理方法以及安全技术等方面有了全方位的了解,提高了我的信息安全专业素养,对整个信息安全体系的把握更加清晰,对信息安全的规划和架构也有了一定的见解,对工作也起到较大的促进作用。在工作中,评职称或竞争上岗,有了这个证书,也能为自己加分。”“通过CISP的培训和学习从各方面对本人工作所需专业知识进行了系统的整理,夯实了基础,信息安全整个技术发展非常迅速,在基础扎实的前提下要融会贯通新的技术才能更适应当前的发展。我从事第三方测评工作,工作中感觉当前各单位对信息安全都很重视,具有较强的安全意识但缺少相应的技术能力,我认为一线信息安全工作人员对于实践教育培训有较大的需求。”

下载:《中国信息安全从业人员现状调研报告》

声明:本文来自CISP,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。