清华大学钱文丽：探索信息安全产业人才培养发展模式

人才培养发展直接影响到单位的实际人力效果

随着信息化的快速发展，网络威胁和网络空间安全问题已然成为各国无法回避并正在被严肃对待的国家安全问题，而这一重要问题的核心关键仍然在人才的培养和人才所引导的信息安全技术产业的发展。

2017和2018年，参与到中国信息安全测评中心 “中国信息安全从业人员现状调查”的工作，调研重点评估了我国信息安全从业人员的基本构成和分布、人才供需和结构、能力提升方向和途径、职业发展路径以及职业满意度等情况，并着重将我国人才现状与国际信息安全产业发展成熟国家的人才情况进行了对照。

2017年调研数据已经发布，从人才管理角度可得出结论：

信息安全人才目前处于供不应需阶段，国家和企事业单位的信息安全人才队伍正在逐步建设中，但人才梯队的结构性问题或是未来信息安全产业发展的核心关键，人才队伍和人才结构性问题所直指的人才管理关键环节——人才培养发展，将直接影响到企事业单位信息安全人才选、用、育、留的实际人力效果。

在2017年调研之后的多次信息安全行业研讨会上，针对我国人才现状，研讨最终都会落到两个核心点：1）信息安全人才如何定义？ 2）我国信息安全人才缺口现状？如何供给？这些核心点再次印证当前阶段信息安全人才培养和队伍建设是迫在眉睫的。

我国《网络安全法》首次以法律条款的形式对网络空间安全领域的人才问题进行规定，为各地方出台网络安全人才培养的细则提供了最高位阶的法律依据。2018年4月20-21日，习近平总书记在全国网络安全和信息化工作会议上强调，要研究制定网信领域人才发展整体规划，推动人才发展体制机制改革，让人才的创造活力竞相迸发、聪明才智充分涌流。国家在顶层设计层面正在逐步为我国信息安全人才培养和发展提供优质的政策环境。在人才战略利好政策下，我国信息安全人才队伍建设和培养发展现状如何？中国信息安全测评中心《2018年度中国信息安全从业人员现状调查报告》已将重要结论发布（详见本专题《中国信息安全从业人员现状调研报告（2018年度）预告版  》）。

人才培养需要建立在人才梯队基础上

人才培养需要建立在人才梯队（或称“人才库”、“人才蓄水池”）基础上才能快速、有针对性地起到作用。涉及人才战略的部门，会通过岗位素质模型搭建、职业晋升通道建设、人才评价、人才盘点等方式建立单位自身动态的人才梯队，从而保证人才的不断供给。

人才梯队是将人才按照不同技术、职能，并在其不同岗位价值的基础上进行分类，形成一个能够执行企业可持续发展战略的不同层次的人才队伍。信息安全人才梯队建立的基本逻辑如下：

1. 建立安全目标：建立单位自身信息安全目标或信息安全产业的发展目标（从事信息安全服务的单位往往需要兼备两个目标）。

2. 搭建人才队伍：将目标拆解到可实现该目标的工作职责上（如战略与法规，策略规划、开发与集成、安全运维、市场运营等），确定不同工作职责在实现目标中的比重，搭建能够执行不同工作职责的、不同比例的人才队伍。

3. 人才动态晋升和转化：将承担不同信息安全工作职责的从业人员纳入到职业晋升通道(见图1)上进行分类人才管理，实现信息安全管理类人才、信息安全技术类人才、信息安全复合型经营管理人才（一般中高层开始出现）不同层级人才队伍，并能实现专才和复合型人才之间的良性转化。当然人才队伍要实现动态晋升和转化并不是件容易的事，良好的人才队伍建设往往还需要职业通道、晋升体系、培训体系、激励体系的落实。

探索好的人才培养模式

目前我国人才队伍建设问题大致为以下几点：

1. 高校的信息安全人才供给赶不上市场上人才的需求，应届毕业生的相关技能不能直接应用到工作中，需要经过一定的培训方可在工作中发挥作用；

2. 单位中既懂技术又懂管理的复合型人才偏少，对安全建设技术类和复合经营管理类人才的招聘存在较大困难；

3. 单位高层对信息安全的重视程度存在较大差异，大部分单位信息安全从业人员还会兼职一定比例的非信息安全类工作，这直接影响到从业人员的培养发展；

4. 信息安全技术更迭快，单位专业技能培训难跟进，从业人员能力提升不理想；

5. 信息安全产业尚未有较好的人才评价标准，人才选拔和晋升存在困难，人员流失较大。

这些问题反映出了目前我国信息安全产业中人才培养发展的诸多困惑。面对我国信息化迅猛发展，但信息安全产业起步较晚，信息安全人才严重缺乏的现状，一方面我们需加快推动学校（包括高等院校、科学院所、职业学校等）学科建设为信息化产业提供不同层次可持续人才供给，同时也需要直面这一客观现状，探索快速、有效的人才培养发展模式，给予不同层次人才供给，从而推动产业发展。

从人才管理角度，信息安全人才培养发展模式如下：

人才培养发展的一个直接管理目的是人岗匹配，人岗匹配的直接量化指标便是岗位胜任力。关于岗位胜任力，美国心理学家麦克利兰于1973年提出了冰山模型（见图3），通俗的描述是：

从业人员是否胜任单位的某一工作职责并取得好的业绩，要看该从业人员是否拥有能够执行该工作职责的专业技能和知识、是否拥有能够完成工作目标甚至高质量完成工作目标的职业素质（如沟通表达）和价值观与态度（如目标导向）、是否拥有符合岗位工作性质的个人行事风格（如技术类岗位更适合客观严谨个性的员工来胜任）、是否拥有强烈的内在工作动力（如认可自身岗位价值，对职位满意，并愿意为此付出时间和精力）。

因此，好的人才培养模式是能够使得从业人员良好的适岗，能够实现组织内人才动态职业晋升和岗位间转化。组织和个人呈现双赢局面：一方面个体向组织（各企事业单位机构）贡献了自身能力给企业带来创收（人力价值向资本价值转化）；另一方面组织实现了个人各项能力素质的提升，助力职场进化。

加快我国信息安全人才供给的方式

人才培养发展需要落实到具体人才培养内容层面，排除招聘选拔阶段需评测的个性品质（如客观严谨、职业道德等），一般人才培养内容应包括以下三块：

1．专业能力：岗位针对性专业技能和知识的补给以及提升。

2．职业能力：职业素质（如沟通表达）、价值观与态度（如目标导向）的引导与培训加强。

3．内驱力：个体内驱力（如认可自身岗位价值，对职位满意，并愿意为此付出时间和精力）的激发。

培养内容和信息安全人才类型的匹配：

1. 信息安全技术类人才需侧重专业能力和内驱力的培养；

2. 信息安全管理类人才需侧重职业能力和内驱力的培养；

3. 对同时具备良好专业能力、职业能力和内驱力的技术类和管理类人才进一步培养成复合型经营管理人才。

探索各级培养内容的培养方式：

1.单位高层需加强重视和激励

内驱力是各类人才培养的一个基本要素。两年调研均显示出信息安全从业人员是内在价值驱动较高的群体，但个体驱动力的显著特点是提升慢但下降很快，职业倦怠就是典型的例子。

2018年的调研数据表明，虽然国家信息安全人才政策利好，但单位高层对信息安全工作的重视和理解程度不够，人才的培训投入不到位，相关管理制度的执行效果不佳，职业晋升和激励机制实施效果不满意，人才流动的主要原因除了薪酬之外便是工作晋升和工作氛围的不满意，因此信息安全工作在单位中是否体现其价值，单位高层是否重视其价值直接影响到信息安全人才的职业内驱力，牵扯到信息安全人才队伍建设的基本。因此单位高层对信息安全工作的重视和激励是当下信息安全人才队伍内驱力激发的关键。

2.推进职业培训

随着信息安全相关技术的快速更迭,从业人员对于专业技能提升的渴望远高于其他行业,两年调研均显示信息安全从业人员最渴望提升的能力为专业技能,且对于希望提升的专业技能的类别在两年间也是随着信息安全技术的发展有相应的更迭。

对于专业技能的提升方式，两年间从业人员有较大的变化，2017年从业人员会大都倾向在线自学、行业研讨学习，但2018年，职业培训便以周期短、针对性强，以及紧密结合业界前沿趋势的特点，成为从业人员能力提升的主流方式，逾六成从业人员表示信息安全职业资质认证对自身能力和职业发展均有较大的提升和促进。

次之于职业培训，通过自学、行业会议与研讨、工作单位内部培训也是从业人员专业技能提升的一些选择。然而在相对定期和稳定的单位内训这一提升方式中，大部分从业人员对其效果并不满意，取得良好效果的单位不足1/4。在我多年人才管理工作中，单位内训达不到良好效果的原因如下：（1）单位高层不重视，培训资金支持力度弱；（2）内训方式不适合技术类人员的能力提升，比如信息安全专业是相对实战的技术专业，单位本身很难提供实战模拟环境，仅通过一两次理论或者知识类课程讲授达不到实际效果；（3）参与培训人员由于工作压力，单位后期跟踪考核不跟进、培训与激励结合不够，导致参训人员本身对培训不重视。

相对于以上专业技能提升方式，采取学历教育来提升自身能力的从业人员占比是最低的。上文也提到用人单位普遍反映高校的信息安全人才供给目前还未赶上市场上对信息安全人才的需求，应届毕业生的相关技能还不能直接应用到工作中，需要经过一定的培训方可在工作中发挥实际作用。这在某种程度反映了信息安全学科建设还需加大力度投入，加快高质量从业人员的培养。

因此，在当前我国信息安全产业发展的初级阶段，职业培训相对其他人才培养模式，成为专业技能培养的重要和有效的形式。在信息安全发展领先的国家，用人单位能否为员工支付教育培训和资质认定的费用已成为人员招聘和留用的重要因素。然而，目前在我国信息安全从业人员被所在单位资助职业培训的力度是较弱的，用人单位需要将企业内训资金倾斜到从业人员的职业培训资助上，即能满足单位对技术类人才的需求，也满足和激励从业人员专业技能提升。

此外，在2018年调研中首次发现近四成从业人员表示参加过实战类网络安全竞赛，实战类网络竞赛（包括高校、国内、国际赛事）目前已作为信息安全领域人才专业技能培养、选拔的又一重要形式。因此职业培训和实战类网络竞赛（或单位内规模性的实战比武）的结合，会加快技术的快速成长，以及技术尖端人才的显现。

3.通过单位内训实现职业素质提升

上文提到信息安全从业人员的专业技能提升在当前阶段完全依赖单位内训的方式并不适合，那么单位内训是不是就不应该用来投入信息安全人才的培养呢？答案当然不是。信息安全人才在排除其技术型人才特性之外，其还必须是一个职业人，从业人员所拥有的技术和承担的工作职责都是为了服务于所在单位的信息安全目标或者服务于所在单位的信息安全产业的发展，因此信息安全人才的职业素质（如沟通表达）和价值观、态度（如目标导向、前瞻性）的培养，将决定其自身的职业晋升以及能否使其成为单位技术和经营管理均担当的复合型经营管理人才。复合型人才培养需落实到单位人才培养体系中，如成熟产业（包括互联网）的人才战略中便将复合型人才的培养直接植入到早期招聘中，对优秀应届毕业生进行储备、培养和层层考核选拔，而非仅仅通过社会招聘、猎头形式来获得。

目前我国复合经营管理类人才的招聘存在较大困难。一方面，这和我国信息安全产业所处发展阶段有关，信息安全产业的年轻化并不足以在高校和社会层面能够短期内提供这一类型人才的供给；另一方面，信息安全从业人员对人际沟通、项目管理、团队管理这些通用职业能力素质中也有着较大的渴求，但所在单位并没给予良好的培训。在一些单位实地访谈中，安全部门负责人会反映信息安全从业人员过于关注当前自身所从事的技术，对于沟通表达、服务意识、全局性、产业前瞻性、感召别人方面都是有所欠缺的，这已经直接影响到他们工作目标实现的效率甚至会直接影响到单位安全建设、产业的运营等。客观上讲，这不是信息安全产业特有的，这是技术和专业类人才普遍欠缺的职业性。

从人才管理角度来看，通用职业能力是较快容易通过单位内训来提升实现的，且目前培训市场是较多的，也相对成熟。因此，单位内训可以落实到信息安全人才经营管理能力的提升层面，既能够更好地推动其工作目标高效实现，又可在后期跟踪中，结合其实际专业技能，将其作为后备复合型人才备选，为企业创造更大的人力价值。

总结来讲，人才培养发展可能的模式地图如下：

（本文刊登于《中国信息安全》杂志2018年第12期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。