■ 中国农业银行科技与产品管理局 李强
从企业信息安全管理工作实践中可以发现,信息安全保障能力的高低,很大程度上取决于企业信息安全人才队伍的经验、技能和职业素养。因此,打造一支政治素质过硬、技术水平高超的信息安全人才队伍,对于做好金融企业信息安全管理工作具有极为重要的意义。
一、国有金融企业信息安全人才队伍建设面临的问题
目前,无论是“甲方”还是“乙方”,都需要更多的信息安全人才来支持企业的快速发展。各种公开统计数据都表明,当前信息安全人才的供给远远供不应求。
在此大环境下,国有金融企业的信息安全人才队伍建设工作也难以“独善其身”,甚至与民营企业相比存在更多难以突破的制度约束。国有金融企业信息安全人才队伍建设主要面临以下三个方面的问题。一是人才需求大。近年来国有金融企业的业务大规模由“线下”转移到“线上”,信息系统由“封闭”变得“开放”,来自外部的威胁使得国有金融企业对信息安全保障的需求从未如此迫切;二是人才培养难。国有金融企业往往规模庞大、系统复杂,新员工从进入企业,到独当一面需要相当长的时间;三是人才留不住。国有金融企业员工待遇受到工资额度、学历水平、用工模式等多方面的限制,同时某些高技术水平的“极客”特立独行的性格也与国有金融企业的企业文化格格不入,而民营企业的灵活性使得其在人才招聘方面具有先天的优势,因此国有金融企业在这场“抢人大战”中往往落于下风。
二、国有金融企业信息安全人才队伍需求分析
1. 改变“兼职”,转向“专职”。
与其他行业相比,更加重视“风险管理”是金融企业的传统。因此,在过去很长的一段时间里,金融企业将“信息安全管理”和“信息科技风险管理”基本上等同,因此在部门职能设定设置时,“信息安全管理”和“信息科技风险管理”往往按照合并的方式处理,员工岗位设置也兼有两方面的工作职责。近年来,随着监管理论和实践的逐步完善,以及国有金融企业信息化建设水平的提升,无论是信息安全管理还是信息科技风险管理都逐步形成了自己特有的管理目标和专业领域。
在信息安全管理方面,国有金融企业更多地聚焦于能否通过提升信息安全保障能力,达到降低外部网络攻击威胁、减少内部信息泄露的目标,在方法论上更多依照国家网络安全等级保护系列标准、ISO27001系列标准等。而信息科技风险管理的范围更为广泛,除了信息安全带来的风险之外,还关注科技治理、生产运行、系统研发、外包等其他方面。因此从“面”上看,信息安全管理只是信息科技风险管理的一个领域,信息科技风险管理站在“二线”用风险的视角评价信息安全风险,而信息安全管理冲在“一线”控制信息安全方面存在的风险;从“点”上看,信息安全管理和信息科技风险管理在方法论上可以互相借鉴,但更多地表现出两个独立的专业发展方向。鉴于此,越来越多的国有金融企业重新定位信息安全管理和信息科技风险管理的职责边界,达到专业分工、各司其职、形成制约的治理效果。
2. 坚持“管理”,倾向“技术”。
信息安全行业一直流传着一条定律——“信息安全三分靠技术、七分靠管理”。国有金融企业的信息安全工作往往从管理起步,从研究国家信息安全政策要求到规划本单位的信息安全管理体系,从制订各项规章制度、明确工作要求到组织实施信息安全检查,“管理”成为多数国有金融企业信息安全团队的“标签”。
但是,随着内外部安全形势的变化,无论是面对职业化、专业化、组织化的黑色产业侵扰,还是面对受到巨额经济利益诱惑的内部员工,如果没有技术工具作为“武器”,仅仅依靠宣传口号、制度条文、人工监督这些传统管理手段已经不能有效抵御安全威胁。因此,“信息安全三分靠技术、七分靠管理”其实是如果没有管理机制的持续运转,技术终将沦为摆设;同时没有高水平的技术能力作为支撑,“刀耕火种”的管理根本无法满足信息化建设高速发展过程中的信息安全保障需求。因此,金融企业也应适应潮流,加快技术型信息安全人才团队的建设步伐。
3. 立足“单项”,面向“全能”。
随着信息安全形势的变化,过去普遍采用的单点防御模式已经显得力不从心,金融企业需要通过构建纵深防御有效应对各类持续、高级内外部威胁。这要求信息安全人才队伍不仅具备本专业领域的基础知识,还需要更多地掌握应用、操作系统、网络甚至是社会工程学等其他专业知识。
除此之外,国有金融企业信息安全人才队伍还需要掌握更多的工作技能,主要包括五个方面:一是具备信息安全运营能力,通过信息安全运营机制的持续运转整合各项安全管理和安全技术,输出信息安全保障能力。二是具备信息安全攻防能力,从攻击者视角发掘企业信息系统存在安全漏洞,并提供修复建议。三是具备信息安全建设能力,根据企业特有的安全需求定制化建设信息安全管理平台。四是具备信息安全分析能力,在发生信息安全事件后完成攻击溯源、调查取证工作。五是具备综合协调能力,跨条线统筹和指挥信息安全事件应急处置,准确报告事件信息。
三、国有金融企业信息安全人才队伍建设思路
1. 校园招聘为主,社会招聘为辅,加大人才引入力度。
国有金融企业的体制特点决定了高校是其主要的人员补充渠道,可以借助其大平台、高起点的优势,通过校园招聘吸引优秀的信息安全应届毕业生加入。另外,社会招聘为国有金融企业提供了一种引入高精尖的、经验丰富的信息安全人才的方式,可以帮助国有金融企业快速提升信息安全保障能力,同时也有助于增强外部经验交流,开阔现有信息安全人才队伍的视野。
2. 外部培训与内部传承结合,加快人才培养步伐。
在可以预见的未来,人才引入以应届毕业生为主,有经验的员工持续流失,将是国有金融企业在信息安全人才队伍建设过程中长期面临的难点。因此,建立和开展长期的信息安全专业培训非常重要,通过持续组织开展CISP、CISSP、CISA等成熟、体系化的专业培训和认证,有助于进一步夯实新员工的信息安全理论基础。同时,信息安全人才队伍内部建立“传帮带”机制,帮助新员工快速熟悉企业环境,积累工作经验。通过外部培训与内部传承结合的方式,保障国有金融企业信息安全人才的有序传承和流动。
3. 整合各专业条线安全职能,打造“大安全”团队。
为了有效应对信息安全威胁,实现对信息安全事件的快速定位、分析和处置,越来越多的国有金融企业将原本分散在各IT专业条线的安全职能进行了整合,构建“大安全”团队。在这支“大安全”团队中,除了信息安全专业人才以外,还集中了熟悉应用、操作系统、网络等多方面IT知识的专家,具备集中分析、跨领域协调和处置高级信息安全威胁的能力。
结束语
国有金融企业信息安全保障工作是一项长期而复杂的系统工程,该工程的成功实施离不开一支尽职尽责、专职专业的信息安全人才队伍。因此,国有金融企业应建立符合自身特点的信息安全人才培养和团队建设机制,以落实《网络安全法》和国家交办的各项信息安全保障任务,为企业持续稳健开展经营管理活动提供强有力的安全支撑。
(本文刊登于《中国信息安全》杂志2018年第12期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
