中国信息安全从业人员现状调研报告(2018-2019年度)
网络空间的竞争,归根结底是人才竞争。新一轮科技革命和产业升级进程中,信息技术正在从根本上改变人们生产生活的方式,重塑经济社会发展和国家安全的新格局,信息安全人才将在这一转型发展过程中发挥关键作用。面对新时期的挑战和机遇,能否有效推进信息安全人才建设将成为实施网络强国战略至关重要的因素,也是在日益激烈的国际竞争中赢得主动的关键所在。
党的十八大以来,国家就网络安全人才发展做出一系列重要部署,推出多项有力措施,取得了有目共睹的成就。网络安全学科专业设置、院系建设、学历教育方面取得突破性进展;网络安全在职培训和专业资质测评快速推进;网络安全攻防演练和技能竞赛蓬勃发展;多地规划建设网络安全人才和创新基地,出台人才培养和引进政策;重要行业严格落实网络安全责任制和人员合规要求,加快实施安全人员培训和管理制度;相关部门深入开展宣传教育,全社会网络安全意识得到显著提升。
我国正处于信息安全人才发展的重大战略机遇期。当前和未来一段时期有必要通过深度调研,持续跟进信息安全从业人员队伍现状,探索信息安全人才成长规律,分析人才队伍建设中存在的深层次问题。“中国信息安全从业人员现状调研(2018-2019年度)”是由中国信息安全测评中心主办,中国信息产业商会信息安全产业分会承办的大型调查活动。本报告通过在线问卷调查、一线实地访谈、专家会商研讨等方式,从六大维度深度调研信息安全从业人员及当前人才环境现状,以期为广大安全从业人员提供职业发展指导,为安全行业人才工作创新发展提供实践指引,为国家网络与信息安全人才队伍建设提供决策参考。
一 、主要调研结果
本调研报告从调研对象、工作状况、流动配置、能力提升、制度环境、安全态势六个维度深入分析信息安全从业人员及当前人才环境现状,对备受关注的从业人员群体划分、教育培训、考核评价、激励保障、队伍建设、人才相关政策法规落实等内容进行了全面覆盖。
(一)调研对象
报告首次对信息安全这一非传统领域的从业人员进行定义和分类,将调研对象明确为“以信息安全工作职责为主要社会劳动分工和生活来源的人员”,并把信息安全从业人员工作角色分为6个大类,14个子类。调研显示,当前承担安全运营(62.4%)和安全建设(32.4%)工作角色的信息安全从业人员数量最多;45.5%的从业人员在私营企业任职,其次为国有企业(19.3%)和政府机关事业单位(16.5%);近四成(38.4%)从业人员都参加过实战类网络安全竞赛。
(二) 工作状况
一个单位是否建立有数量充足的专业信息安全团队是安全工作是否到位的重要指标。调研数据显示,除信息安全专业服务企业、特大型企业集团,以及大型互联网企业建立有较大规模的信息安全人才梯队外,50%的政企单位信息安全团队人员规模在20人以下;近六成信息安全从业人员需要承担非信息安全内容的工作,政府机关事业单位信息安全工作人员“身兼数职”现象最显著;各种类型的人才均存在短缺现象,其中承担安全建设和规划管理类工作角色的人才相对更加紧缺。
(三)流动配置
信息安全从业人员平均年薪约为15.3万元,同上一年度相比薪酬继续上涨,但增幅有所缩减;42.9%的信息安全从业人员工作压力感受明显,但对职业发展前景多持乐观态度;过去三年人才流动速度放缓,影响职业流动的原因依次是“薪酬”、“晋升空间”、“工作氛围”和“自我价值实现”,显示从业人员对工作的福利性因素和发展性因素均十分看重。
(四)能力提升
本次调研中,“职业培训”取代上一年度的“自我学习”成为信息安全从业人员最倾向于选择的能力提升方式(68.8%);从业人员在各细分方向均存在能力提升需求,排名靠前的依次是大数据安全、云安全、安全管理和渗透测试;在各类信息安全证书中,从业人员持有最多(71.8%)、最希望获取(68.9%)注册信息安全专业人员(CISP)资质证书。
(五)制度环境
专人专岗从事专门工作是职业化的一种体现。近七成信息安全从业人员所在单位设置了专门的网络安全管理部门和负责人,但其中57.7%的人员需兼任其他非安全类工作,“人岗不匹配”的现象比较普遍;65.5%的从业人员所在单位设有职业晋升通道和工作激励机制,但认为相关机制“实施效果良好”的人群占比不足两成;43.7%的从业人员认为自己没有清晰的职称序列归属,同上一年度(25.9%)相比明显增加;63%的从业人员在入职前需经过一定形式的背景调查。
(六)安全态势
从业人员工作中最经常面对的信息安全威胁依次是漏洞攻击、数据泄露和拒绝服务攻击;发生信息安全事件最主要的原因是管理不完善、缺乏安全培训、管理层不重视,以及人才和资金不足;78.0%的人员所在单位制定了内部网络安全管理制度和操作规程,但仅四分之一人员反馈实施效果良好;77.6%的从业人员所在单位都已开展了信息安全风险评估工作;“芯片”取代上一年度“操作系统”成为受访者眼中最应国产化的核心技术。
二 、存在的问题
网络与信息安全人才是民生急需和战略必争领域的重要资源,信息安全人才队伍建设是保障国家网络空间安全的重要基础性工作。近年来我国信息安全人才队伍建设工作取得了突破性进展,但应看到当前的人才队伍能力结构同经济社会发展和国家安全需求仍存在较大差距。本次调研显示,当前我国信息安全人才队伍建设还存在以下突出问题。
(一)信息安全从业人员全方位短缺
信息安全工作贯穿信息化建设的各个环节,无论是在数据、应用、系统、网络等工作层面,还是涉及到研发、建设、运营、管理、生产等业务流程,都需要有人承担信息安全职责。但目前我国信息安全从业人员整体呈现全方位短缺的态势,一是信息安全人员规模总量不足,除信息安全专业服务企业、特大型企业集团,以及大型互联网企业建立有规模化的信息安全人才梯队外,50%的政企单位信息安全团队人员规模在20人以下;多数受访者认为自己所在单位的信息安全人员队伍规模无法满足当前工作需要。二是大量信息安全工作以“非专职”方式完成,近六成信息安全从业人员需要承担非信息安全内容的工作,政府机关事业单位里需要“身兼数职”的现象最为显著;在需要兼职非安全工作的人群中,33.8%的受访者承担的非安全工作在日常工作中占比超过50%。三是各类安全工作角色均存在人才缺口,从安全角色大类来看,安全建设和规划管理类的角色相对更加紧缺;从子类来看,最紧缺的角色依次是分析设计、组织管理、开发与集成;受访者普遍认为,信息安全人才资源不足是造成信息安全事件最重要的原因之一。
(二)信息安全职业化尚处于初级阶段
信息安全职业化指的是对信息安全从业人员专业知识、能力和行为准则进行标准化规范,职业化的一个体现是由专人专岗负责专门工作。我国《网络安全法》已对关键信息基础设施运营者“设置专门安全管理机构和安全管理负责人”做出了明确规定,同时鼓励其他网络运营者自愿参与关键信息基础设施保护体系。调研显示,近七成信息安全从业人员所在工作单位已设置了专门的网络安全管理部门和负责人,但目前信息安全的职业化总体来看还处在发展初级阶段。一是信息安全目前还没有统一的职业(族)标准,对从业人员如何分级分类、应具备何种专业知识和能力水平等问题尚未建立标准规范,各用人单位的信息安全岗位设置和能力要求各行其是,差别较大。二是信息安全“人岗不匹配”情况普遍,近七成信息安全从业人员所在工作单位设置了专门的网络安全管理部门和负责人,但在已建有此机制的单位中仍有57.7%的从业人员需要兼任其他非安全类工作,“人岗不匹配”的现象仍比较普遍,有的从业人员专业能力达不到岗位要求;有的岗位名为信息安全专岗,但在岗人员从事的实为信息化等工作。三是社会对信息安全职业意识普遍不强,尤其是用人单位高层,或是对信息安全工作以及信息安全人才重要性的认知有待提升,或是对人才工作的重要性只有原则上的认同,在如何科学有效地加强信息安全队伍建设方面缺乏工作抓手;超过一半的从业人员认为行政管理高层对信息安全工作不重视是安全事件发生的主要原因之一。
(三)人员能力提升需求难以得到满足
人才是第一资源。战略性的人力资源管理核心在于把人看作重要的资产,通过教育培训等投入,持续提高其知识、技能和素质水平,更好地达成用人单位的业务目标。用人单位能否提供足够的培训、持续提升人才专业能力、帮助其完成自我价值实现,将在“引才”和“留才”中发挥越来越重要的作用。当前人员能力提升需求普遍难以得到满足,一是从业人员能力提升需求旺盛,新入职人员在学历教育之后普遍需要进行“二次培训”,已从业的人员也需要持续教育和终身学习。调研显示,受访者在专业知识和能力的各个细分方向均有能力提升需求,其中最希望提升的是大数据安全、云安全、安全管理和渗透测试等方向的专业能力。二是从业人员期望获得专业资质,作为证明自己具备一定知识、能力和工作经验的凭证。超过六成(64.7%)的受访者持有不同类型的信息安全资质证书,其中持有注册信息安全专业人员(CISP)资质证书的占比最高(71.8%)。未来一年内,有83.7%的从业人员期望获得信息安全资质证书,其中希望获取CISP证书的人员占比最高,达到68.9%。三是用人单位教育培训投入不够,对信息安全人员普遍存在“使用多、培养少”的情况,内训制度实施效果不佳,74.9%的从业人员所在单位建立了信息安全工作人员培训制度,但仅有23.1%的受访者认为培训取得了良好效果;同时,用人单位资助从业人员接受职业培训的意愿和力度也不高,资助比例达到50%以上的占比仅为18.5%,33.5%的从业人员表示自己所在工作单位不提供任何资助。
(四)信息安全人才体制机制存在障碍
网络与信息安全作为跨界、交叉、融合的非传统行业,唯有在鼓励创新发展的体制机制下,才能让人才的创造活力竞相迸发、聪明才智充分涌流。当前信息安全人才发展还存在一系列制度性障碍,一是对安全从业人员考核评价手段不足,信息安全工作不易直接量化考核,信息安全成果和价值难以直接得到体现。43.7%的信息安全从业人员认为自己没有清晰的职称序列归属,大量体制内信息安全从业人员在职称评审、考核评价或选拔任用时存在困难。二是人员鼓励激励机制不健全,职业上升空间有限。65.5%的信息安全从业人员表示其所在工作单位的人事管理部门建立了针对信息安全从业人员的职业晋升通道和工作激励机制,但认为相关机制“实施效果良好”的人群占比不足两成。三是缺乏向重要关键领域的人才引导机制,从业人员在职业流动中对福利性因素和发展性因素均十分看重,但当前大量关键信息基础设施运营单位在“待遇引人”、“事业留人”等方面均面临挑战,甚至自有人才流失的现象也比较严重。
三 、对策建议
新时代落实网络强国战略部署,要求我们必须以习近平新时代中国特色社会主义思想特别是网络强国战略思想为指导,把人才工作摆在更加突出的战略位置,进一步提高信息安全人才工作的重要性和紧迫性,利用大国优势和制度优势,把提升全社会信息安全意识和能力、尤其是提升信息安全从业人员专业能力的工作推向前进。结合从业人员现状,本报告对信息安全人才队伍建设提出以下建议。
(一)建立体系化的信息安全人才发展规划
从提高信息时代生产力的高度,以建设具有全球竞争力的网络安全人才队伍为目标,对国家网络与信息安全人才发展全局进行系统性的超前规划部署,争取主动局面,为信息安全专业人才队伍建设夯实基础、提供土壤。一是构建网络安全国民教育和持续教育体系,为各类网络安全意识提升、基础教育、高等教育、职业培训、持续教育提供总体指导,为包括信息安全从业人员、后备人员以及普通公众在内的社会全体成员信息安全能力、防护技能的提升提供支撑。二是统筹推进网络安全人才发展整体工作,通盘规划信息安全人才培养、管理和使用等各项工作,明确主要任务和阶段性目标,加快信息安全人才管理体制以及人员流动配置、培养开发、考核评价和激励保障等工作机制改革。三是多主体协同共建网络安全人才生态,提高相关主管领导部门、产业界、学术界、科研院所、用人单位等相关各方的支持配合力度,有力整合资源,完善配套措施,形成推进合力,共同构建良好的网络与信息安全人才发展生态。
(二)科学推进信息安全人才的职业化发展
在信息安全从业人员全方位短缺的严峻形势下,职业化手段有助于明确信息安全职业的正当性、改进信息安全教育培训的针对性、促进信息安全人才供需匹配、提升信息安全职业吸引力。但作为新兴的非传统领域,信息安全的职业化不宜对不同类型从业人员简单采用“一刀切”的职业许可方式进行管理。建议,一是要深入开展信息安全人才发展基础理论和前沿实践研究,探寻信息安全人才成长规律,形成科学的信息安全从业人员测评标准,作为安全人才职业化的发展依据,为制定人员教育培训目标、完善人才管理体系提供支撑。二是要建立兼具相对稳定性和动态灵活性的信息安全知识体系,综合信息安全专业能力图谱中核心和通用的部分,维持一个相对稳定的基础知识体系;针对细分方向和前沿领域的部分,建立动态调整的知识子域,为信息安全职业化夯实基础。三是要推进权威机构的信息安全专业人才资质认定工作,有公信力的机构开展资质认定工作能够有效证明从业人员具备了相应的专业知识和能力、工作经验和业绩、以及较高的职业道德水平,从而为信息安全人才评价考核、选拔任用、职业晋阶提供参考依据。
(三)着力提升信息安全从业人员规模能力
以经济社会发展和国家安全需求为导向,加强人才培养体系建设工作的前瞻性和针对性,建立贯穿信息安全从业人员学习工作全过程的终身教育制度,提高信息安全人才队伍的数量规模和整体能力。一是加大教育培训投入和工作力度,既要利用好成熟的职业培训体系,快速培养信息安全急需人才;也要在基础教育、高等教育和职业院校中深入推进网络安全教育,积极培养信息安全后备人才;全面优化教育培训的内容、类别、层次结构和行业布局,着力解决信息安全人才总量不足的突出问题。二是分类施策建设信息安全人才梯队,对于社会对信息安全基层人员的需求,开展规模化培养,尽快解决当前用人需求;对于卓越工程师和高水平研究人才的需求,在工程和科研项目基础上加强专业化培训,打造信息安全攻坚团队和骨干力量;对于信息安全核心技术人才和特殊人才的需求,探索专项培养选拔方案,塑造信息安全核心关键能力。三是结合领域特点推进信息安全教育培训供给侧改革,加强专业资质测评在人才队伍建设中的引领和导向作用,创新人才培养模式,深化产教融合,贯通后备人才到从业人员的通道,推动各类学校、专业培训机构和企业通过校园教育、现代学徒制培训、任职培训、在职培训、岗位练兵、攻防竞赛、技术比武等方式,推动信息安全人才工作的高质量发展。
(四)持续优化信息安全人才发展整体环境
网络安全是信息技术的尖端领域,是智力最密集、最需要创新活力的领域。坚持以用为本、急用先行的原则,加快信息安全人才发展体制机制创新,制定适应信息安全特点的人才政策,让人才的创造活力竞相迸发,聪明才智充分涌流。一是提高各级党政领导干部的网安意识和网安人才意识,在干部培训中将网络安全作为必修课程,引导其积极适应时代要求,强化网络安全思维,提高对人才工作重要性的认识,真正尊重人才、爱才惜才,为人才发展创造良好条件。二是加快创新信息安全从业人员评价激励机制,参考企业中激发信息安全人才活力效果最好的管理实践和经验,创新发展适应信息安全特点的薪酬制度、评价指标和鼓励激励措施,让信息安全人才价值得到尊重和体现,名正言顺地提高从业人员的经济待遇和社会地位。三是建立重点领域信息安全人才引导和优先保障机制,采取特殊政策,完善配套措施,引导和鼓励信息安全人才向国家党政机关、要害部门、重要行业、关键信息基础设施运营单位流动,确保重点领域能够招得进、用得好、留得住信息安全高端人才和紧缺人才。