網(wǎng)絡(luò)安全已成為事關(guān)經(jīng)濟(jì)社會(huì)發(fā)展、國(guó)家長(zhǎng)治久安和人民群眾福祉的重大戰(zhàn)略問(wèn)題，建立一支規(guī)模宏大、結(jié)構(gòu)優(yōu)化、素質(zhì)優(yōu)良的網(wǎng)絡(luò)安全人才隊(duì)伍已成為維護(hù)國(guó)家網(wǎng)絡(luò)安全和建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)的核心需求。

2月5日，中國(guó)信息安全測(cè)評(píng)中心正式發(fā)布《中國(guó)信息安全從業(yè)人員現(xiàn)狀調(diào)研報(bào)告（2017年度）》。此次調(diào)研活動(dòng)由中國(guó)信息安全測(cè)評(píng)中心主辦，中國(guó)信息產(chǎn)業(yè)商會(huì)信息安全產(chǎn)業(yè)分會(huì)承辦，《中國(guó)信息安全》、FreeBuf、e安在線、安全牛、i春秋及E安全等單位協(xié)辦。報(bào)告旨在調(diào)研我國(guó)信息安全從業(yè)人員的基本構(gòu)成和分布、人才供需和結(jié)構(gòu)、能力提升方向和途徑、職業(yè)發(fā)展路徑以及職業(yè)滿意度等情況，著重分析從業(yè)人員整體態(tài)勢(shì)并同國(guó)外情況進(jìn)行對(duì)照，為國(guó)家信息安全人才隊(duì)伍建設(shè)提供決策參考。

調(diào)研對(duì)象“2017年度中國(guó)信息安全從業(yè)人員現(xiàn)狀調(diào)研”活動(dòng)采用在線問(wèn)卷調(diào)查方式實(shí)施，共收集有效樣本1957份，覆蓋了全國(guó)所有省、自治區(qū)和直轄市。接受調(diào)研的信息安全從業(yè)人員來(lái)自不同行業(yè)和單位，承擔(dān)了各類職責(zé)和角色的信息安全工作。

調(diào)研結(jié)論

報(bào)告認(rèn)為，當(dāng)前我國(guó)信息安全從業(yè)人員現(xiàn)狀主要包括以下幾個(gè)方面：

1．基本構(gòu)成相對(duì)單一，地域分布以一線城市最為集中。我國(guó)信息安全從業(yè)人員以男性為主，多數(shù)為本科學(xué)歷并具有計(jì)算機(jī)教育背景，與全球信息安全從業(yè)人員的構(gòu)成基本一致。同發(fā)達(dá)國(guó)家相比，我國(guó)信息安全從業(yè)人員年齡構(gòu)成相對(duì)年輕，從業(yè)年限整體上也相對(duì)較短。在地域分布上以北上廣深四大一線城市最為集中，此外在最具經(jīng)濟(jì)活力、電子信息產(chǎn)業(yè)規(guī)模化發(fā)展的長(zhǎng)三角地區(qū)，以及安全企業(yè)和信息安全強(qiáng)校匯集的西南地區(qū)也比較集中。

2．信息安全從業(yè)人員供需嚴(yán)重失衡，存在結(jié)構(gòu)性問(wèn)題。人才需求迅速增長(zhǎng)，人才缺口難以填補(bǔ)，供需關(guān)系嚴(yán)重失衡推高了整體薪酬水平。國(guó)內(nèi)信息安全從業(yè)人員平均薪資水平在12.2-17.8萬(wàn)元之間，高于國(guó)家專業(yè)技術(shù)人員及信息技術(shù)從業(yè)人員年平均工資。從事運(yùn)營(yíng)與維護(hù)、技術(shù)支持、管理、風(fēng)險(xiǎn)評(píng)估與測(cè)試的人員相對(duì)較多，而戰(zhàn)略規(guī)劃、架構(gòu)設(shè)計(jì)、信息安全法律相關(guān)從業(yè)人員相對(duì)較少。戰(zhàn)略規(guī)劃和架構(gòu)設(shè)計(jì)崗位人才的短缺情況最為突出，尤其缺乏能力全面且具有全局把握能力的“將才”。

3．自我期望和要求較高，培訓(xùn)需求難以得到充分滿足。我國(guó)信息安全從業(yè)人員主要是在基于自身內(nèi)在價(jià)值驅(qū)動(dòng)下選擇從事信息安全職業(yè)，對(duì)持續(xù)更新自身知識(shí)和能力具有較高要求，從業(yè)過(guò)程中主要通過(guò)在線學(xué)習(xí)和職業(yè)培訓(xùn)方式進(jìn)行能力提升。信息安全從業(yè)人員在各方面能力中最希望提升的是專業(yè)技能，其中最希望提升的專業(yè)技能方向依次是網(wǎng)絡(luò)攻防、安全管理、安全架構(gòu)，以及安全審計(jì)。然而，僅有22.8%的從業(yè)人員能在所屬單位能夠得到定期、有計(jì)劃的目標(biāo)培訓(xùn)。

4．整體發(fā)展不充分，地域、行業(yè)、崗位間差異較明顯。當(dāng)前我國(guó)網(wǎng)絡(luò)安全投入明顯不足，安全責(zé)任不到位，網(wǎng)絡(luò)安全人才市場(chǎng)需求尚未得到有效釋放。隨著業(yè)務(wù)需求和法律強(qiáng)制需求的增長(zhǎng)，信息安全從業(yè)人員數(shù)量和質(zhì)量有望繼續(xù)快速增長(zhǎng)。從業(yè)人員薪酬呈“一線城市-華東華南-其他地區(qū)”階梯式分布，金融行業(yè)、管理崗位人員薪酬高且漲幅快，然而約一半體制內(nèi)從業(yè)人員過(guò)去一年薪酬不變甚至出現(xiàn)下降，作為重要安全建設(shè)者的安全運(yùn)維人員薪酬基數(shù)和漲幅均創(chuàng)雙低。

5．職業(yè)發(fā)展路徑不明確，缺乏人員分類和評(píng)價(jià)的標(biāo)準(zhǔn)。25.9%的信息安全從業(yè)人員在技術(shù)職稱序列上沒(méi)有清晰的歸屬，企業(yè)的人事管理體系中設(shè)立的標(biāo)準(zhǔn)和級(jí)別各行其是。信息安全領(lǐng)域細(xì)分方向眾多，技術(shù)快速更新，目前尚沒(méi)有形成一個(gè)能夠囊括職業(yè)全頻譜類別、覆蓋完整職業(yè)生命周期，且為業(yè)界普遍認(rèn)可的職業(yè)發(fā)展路線圖。人員責(zé)、權(quán)、利難以對(duì)等實(shí)現(xiàn)，不利于國(guó)家對(duì)信息安全人才隊(duì)伍建設(shè)的整體規(guī)劃和引導(dǎo)，也不利于從業(yè)人員個(gè)人的職業(yè)發(fā)展。

6．壓力感受普遍比較大，但整體職業(yè)滿意度依然向好。信息安全從業(yè)人員普遍感覺(jué)壓力較大，認(rèn)為工作輕松的人群僅占1.7%。政府機(jī)關(guān)事業(yè)單位、金融行業(yè)以及在管理崗位任職的人群壓力感受更大。人員隊(duì)伍由于長(zhǎng)期供不應(yīng)求，現(xiàn)有的從業(yè)人員隊(duì)伍需要承擔(dān)與自身規(guī)模和能力不相匹配的任務(wù)量級(jí)，加之安全保障崗位須承擔(dān)較大責(zé)任，使得信息安全從業(yè)人員普遍感覺(jué)壓力較大。盡管如此，從業(yè)人員職業(yè)滿意度較高的人員占比仍顯著高于滿意度較低人群，表明從業(yè)人員對(duì)信息安全職業(yè)發(fā)展總體看好并持正向態(tài)度。

7．資質(zhì)認(rèn)定能有效促進(jìn)職業(yè)發(fā)展，但持有情況不樂(lè)觀。不同信息安全細(xì)分領(lǐng)域、不同級(jí)別的資質(zhì)認(rèn)定有助于信息安全從業(yè)人員規(guī)劃和實(shí)現(xiàn)職業(yè)目標(biāo)，同時(shí)也為人員考核與評(píng)價(jià)提供了客觀公正的判定依據(jù)。持有相關(guān)資質(zhì)證書(shū)者認(rèn)為其職業(yè)培訓(xùn)和資質(zhì)認(rèn)定的過(guò)程對(duì)能力和職業(yè)發(fā)展均有較大的促進(jìn)作用，國(guó)內(nèi)持有信息安全資質(zhì)證書(shū)的人群中，占比最高的是注冊(cè)信息安全專業(yè)人員（CISP）。但整體來(lái)看，當(dāng)前階段信息安全從業(yè)人員持有權(quán)威資質(zhì)證書(shū)的比例不高，只有較少或部分從業(yè)人員持有相關(guān)證書(shū)。

專家觀點(diǎn)

中國(guó)信息安全測(cè)評(píng)中心資質(zhì)評(píng)估處處長(zhǎng)位華表示，“實(shí)施網(wǎng)絡(luò)安全人才工程，需要我們以科學(xué)的態(tài)度深刻把握網(wǎng)絡(luò)安全領(lǐng)域以及網(wǎng)絡(luò)安全人才的特殊性，找準(zhǔn)當(dāng)前安全人才隊(duì)伍建設(shè)中的難點(diǎn)問(wèn)題。從調(diào)研結(jié)果來(lái)看，信息安全人才隊(duì)伍建設(shè)還面臨著供需嚴(yán)重失衡、教育培訓(xùn)不足、人才評(píng)價(jià)手段有限等問(wèn)題。當(dāng)前急需進(jìn)一步加強(qiáng)從業(yè)人員以及儲(chǔ)備人員的教育培訓(xùn)，同時(shí)需要研究制定從業(yè)人員評(píng)價(jià)標(biāo)準(zhǔn)，做好人才的選、育、用、留。網(wǎng)絡(luò)安全人才事業(yè)已迎來(lái)最好的發(fā)展機(jī)遇，我中心作為承擔(dān)信息安全人員資質(zhì)測(cè)評(píng)職能的國(guó)家權(quán)威部門(mén)，十五年來(lái)通過(guò)注冊(cè)信息安全專業(yè)人員（CISP）培訓(xùn)體系為黨政軍、重要行業(yè)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位培養(yǎng)了數(shù)萬(wàn)名信息安全專業(yè)骨干人才。在當(dāng)前網(wǎng)絡(luò)安全人才發(fā)展的關(guān)鍵歷史時(shí)期，我們將擔(dān)當(dāng)起時(shí)代使命，繼續(xù)投身網(wǎng)安人才培養(yǎng)實(shí)踐和探索工作。”

《中國(guó)信息安全》副社長(zhǎng)、主編崔光耀認(rèn)為，“習(xí)總書(shū)記在4.19講話中強(qiáng)調(diào)，網(wǎng)絡(luò)空間的競(jìng)爭(zhēng)，歸根結(jié)底是人才的競(jìng)爭(zhēng)。俗話說(shuō)，千軍易得，一將難求。擺在我們面前的現(xiàn)實(shí)情況是，一將固然難求，千軍同樣恨少。面對(duì)我國(guó)網(wǎng)信事業(yè)‘九州生氣恃風(fēng)雷’的大局，網(wǎng)絡(luò)空間人才特別是網(wǎng)絡(luò)安全人才不足的矛盾日益突顯。這兩年國(guó)家在人才培養(yǎng)方面采取了一系列重大舉措，也取得了良好的效果，這是一個(gè)很好的跡象。但是，人才緊缺的狀況短時(shí)間難以得到根本改觀，需要堅(jiān)持不懈、下大力氣做下去。中國(guó)信息安全測(cè)評(píng)中心發(fā)布我國(guó)信息安全人才白皮書(shū)，旨在摸清人才家底，進(jìn)而有針對(duì)性地推動(dòng)人才培養(yǎng)打開(kāi)新局面、邁上新臺(tái)階。‘我勸天公重抖擻，不拘一格降人才’。借此白皮書(shū)發(fā)布之機(jī)，為之鼓與呼， 這個(gè)‘天公’不僅是網(wǎng)安領(lǐng)域，也是網(wǎng)信領(lǐng)域及至全社會(huì)的共同責(zé)任。”

從業(yè)人員聲音

此次調(diào)研得到了廣大信息安全從業(yè)人員的熱烈響應(yīng)，已成為一線從業(yè)人員反映自身現(xiàn)狀、發(fā)表觀點(diǎn)看法的渠道，以及為安全事業(yè)建言獻(xiàn)策的平臺(tái)。

調(diào)研活動(dòng)中，一位信息安全從業(yè)人員表示，“隨著信息技術(shù)的飛速發(fā)展，信息安全方面的預(yù)防和處理變得越來(lái)越重要。在我國(guó)很多單位中，對(duì)于信息安全方面的重視程度不高，缺乏相應(yīng)的信息技術(shù)知識(shí)，單位信息網(wǎng)絡(luò)缺乏科學(xué)的管理，往往發(fā)生問(wèn)題后不能及時(shí)處理，造成經(jīng)濟(jì)等方面的損失。應(yīng)該加強(qiáng)對(duì)信息技術(shù)從業(yè)人員的培養(yǎng)，制定相應(yīng)的制度進(jìn)行管理，把信息安全管理真正落在實(shí)處。國(guó)家應(yīng)該鼓勵(lì)信息安全技術(shù)的學(xué)習(xí)，提供更大的平臺(tái)滿足信息技術(shù)從業(yè)人員的知識(shí)需求，保證從業(yè)人員能夠更好地實(shí)現(xiàn)個(gè)人發(fā)展，提高信息安全服務(wù)質(zhì)量。”

關(guān)于此次調(diào)研，受訪者認(rèn)為進(jìn)行此類摸底十分及時(shí)和必要，“目前從業(yè)人員的層次和結(jié)構(gòu)還是比較復(fù)雜的，很多在從事信息安全工作前，并沒(méi)有足夠的專業(yè)知識(shí)，造成行業(yè)人員的水平能力參差不齊，容易造成從業(yè)門(mén)檻較低的誤解，對(duì)人員提高在企業(yè)的話語(yǔ)權(quán)和地位不太有利。希望通過(guò)此次調(diào)研活動(dòng)，掌握從業(yè)人員的工作、學(xué)習(xí)現(xiàn)狀，找準(zhǔn)培訓(xùn)學(xué)習(xí)提升需求，幫助提升行業(yè)整體的水平能力。”有受訪者表示，希望“活動(dòng)能成為一項(xiàng)長(zhǎng)久的舉措持續(xù)進(jìn)行下去，從而構(gòu)建國(guó)內(nèi)信息安全行業(yè)人員的生態(tài)圖表，成為國(guó)內(nèi)信息安全從業(yè)者的能力風(fēng)向標(biāo)”。

對(duì)于備受信息安全從業(yè)人員關(guān)注的能力提升、職業(yè)發(fā)展等問(wèn)題，受訪者們積極反饋?zhàn)陨斫?jīng)驗(yàn)體會(huì)，“我是CISP持證人員。通過(guò)學(xué)習(xí)CISP認(rèn)證體系的相關(guān)內(nèi)容，我對(duì)信息安全法律體系、管理方法以及安全技術(shù)等方面有了全方位的了解，提高了我的信息安全專業(yè)素養(yǎng)，對(duì)整個(gè)信息安全體系的把握更加清晰，對(duì)信息安全的規(guī)劃和架構(gòu)也有了一定的見(jiàn)解，對(duì)工作也起到較大的促進(jìn)作用。在工作中，評(píng)職稱或競(jìng)爭(zhēng)上崗，有了這個(gè)證書(shū)，也能為自己加分。”“通過(guò)CISP的培訓(xùn)和學(xué)習(xí)從各方面對(duì)本人工作所需專業(yè)知識(shí)進(jìn)行了系統(tǒng)的整理，夯實(shí)了基礎(chǔ)，信息安全整個(gè)技術(shù)發(fā)展非常迅速，在基礎(chǔ)扎實(shí)的前提下要融會(huì)貫通新的技術(shù)才能更適應(yīng)當(dāng)前的發(fā)展。我從事第三方測(cè)評(píng)工作，工作中感覺(jué)當(dāng)前各單位對(duì)信息安全都很重視，具有較強(qiáng)的安全意識(shí)但缺少相應(yīng)的技術(shù)能力，我認(rèn)為一線信息安全工作人員對(duì)于實(shí)踐教育培訓(xùn)有較大的需求。”