信息安全從業(yè)人員調(diào)研報(bào)告預(yù)告 王星

調(diào)研簡(jiǎn)介調(diào)研對(duì)象篇工作環(huán)境篇能力提升篇“中國(guó)信息安全從業(yè)人員現(xiàn)狀調(diào)研”是由中國(guó)信息安全測(cè)評(píng)中心主辦，中國(guó)信息產(chǎn)業(yè)商會(huì)信息安全產(chǎn)業(yè)分會(huì)承辦的大型調(diào)查活動(dòng)，旨在為廣大安全從業(yè)人員和準(zhǔn)從業(yè)人員提供職業(yè)發(fā)展指導(dǎo)，為安全行業(yè)創(chuàng)新發(fā)展提供指引，為國(guó)家網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)提供決策參考。2018年度調(diào)研通過在線問卷調(diào)查、一線實(shí)地訪談、專家會(huì)商研討等方式，深度調(diào)研信息安全從業(yè)人員現(xiàn)狀。調(diào)研共回收有效樣本4349份，覆蓋了全國(guó)所有省、市、自治區(qū)和直轄市，囊括了各重要行業(yè)和關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域。在調(diào)研維度和內(nèi)容上，本次報(bào)告不僅反映了信息安全從業(yè)人員的基本情況，綜合分析了人員職業(yè)發(fā)展?fàn)顩r、能力提升情況、流動(dòng)配置情況，更就用人單位安全團(tuán)隊(duì)建設(shè)情況、人才相關(guān)政策法規(guī)落實(shí)情況進(jìn)行了深度調(diào)研。首次對(duì)信息安全從業(yè)人員進(jìn)行分類定義?信息安全從業(yè)人員的工作角色6個(gè)類別：監(jiān)管治理，規(guī)劃管理，安全建設(shè)，安全運(yùn)營(yíng)，內(nèi)容安全，科研教育。?從業(yè)人員崗位與工作角色的對(duì)應(yīng)關(guān)系：一對(duì)多，一名信息安全從業(yè)人員可能承擔(dān)多個(gè)工作角色。信息安全工作角色分類承擔(dān)安全運(yùn)營(yíng)和安全建設(shè)工作角色的人員最多?按照工作角色子類，工作角色最集中的依次是安全運(yùn)維（22.2%）、組織管理（20.6%）、開發(fā)與集成（17.6%），以及審計(jì)與評(píng)估（17.5%）；?按照工作角色大類，承擔(dān)安全運(yùn)營(yíng)（62.4%）和安全建設(shè)（32.4%）工作角色的信息安全從業(yè)人員數(shù)量最多。受訪者工作角色分布圖超三成信息化工作人員須承擔(dān)信息安全工作?信息安全人員在整體信息化工作人員中的比重平均為36.1%；?認(rèn)為信息安全人員在信息化人員中占比在10%以下與50%以上的占比最高，分別達(dá)到27.3%和23.8%。信息安全工作角色分類59.7%兼職非信息安全工作人員比重受訪者兼職非信息安全工作比重分布圖信息安全從業(yè)人員兼職非安全工作現(xiàn)象普遍?需要兼職的人群中，有40%的人員承擔(dān)的非信息安全崗位工作在日常工作中占比在25%到50%之間；33.8%的人員一半以上的工作時(shí)間用于處理非信息安全工作；?近六成信息安全從業(yè)人員需要同時(shí)承擔(dān)非信息安全崗位工作。網(wǎng)絡(luò)安全管理制度和操作規(guī)程落實(shí)情況堪憂?78.0%的信息安全從業(yè)人員表示，其所在工作單位設(shè)立了內(nèi)部網(wǎng)絡(luò)安全管理制度和操作規(guī)程。?但

是

僅

四

分

之

一

的

從

業(yè)

人

員

反

饋

相

關(guān)

制

度

實(shí)

施

效

果

良

好（

25.0%

）

，

半

數(shù)

以

上

從

業(yè)

人

員

認(rèn)

為

實(shí)

施

效

果

一

般

或

較

差（53.0%）。網(wǎng)絡(luò)安全管理制度和操作規(guī)程設(shè)立和實(shí)施效果情況分布圖自建團(tuán)隊(duì)和安全外包相結(jié)合應(yīng)對(duì)信息安全威脅?內(nèi)部安全團(tuán)隊(duì)解決以及內(nèi)部和外包結(jié)合解決（43.0%）是目前各企事業(yè)單位處置網(wǎng)絡(luò)安全威脅的主要方式；?完全交給第三方外包解決（11.6%）的企業(yè)并不多。信息安全威脅處置方式分布圖單位高層管理者對(duì)信息安全工作的認(rèn)知有待提高?各企事業(yè)單位高層管理者對(duì)信息安全人員短缺情況明顯比中層和基層人員更樂觀，更傾向于認(rèn)為當(dāng)前單位信息安全人員隊(duì)伍規(guī)模能夠滿足工作需要。?超過一半的從業(yè)人員認(rèn)為單位高層對(duì)信息安全工作不重視是安全事件發(fā)生的主要原因之一。不同職位受訪者所在單位信息安全人員短缺程度分布圖已有的職業(yè)晉升通道和激勵(lì)機(jī)制作用尚不明顯?為了招得來、留得住信息安全“高精尖”人才，65.5%的從業(yè)人員表示其所在工作單位建立有信息安全從業(yè)人員職業(yè)晉升通道和工作激勵(lì)機(jī)制，21.3%明確表示沒有職業(yè)晉升通道和激勵(lì)機(jī)制；?只有不足13.2%的受訪者認(rèn)為相關(guān)機(jī)制取得了良好效果，46.3%的受訪者認(rèn)為實(shí)施效果一般或尚無明顯效果。職業(yè)晉升通道和激勵(lì)機(jī)制設(shè)置情況分布圖職業(yè)培訓(xùn)成為從業(yè)人員首選的能力提升方式?“職業(yè)培訓(xùn)”以周期短、針對(duì)性強(qiáng)，以及緊密結(jié)合業(yè)界前沿趨勢(shì)的優(yōu)勢(shì)取代了2017年的“自我學(xué)習(xí)”成為最受信息安全從業(yè)人員青睞的自我能力提升方式；?近七成從業(yè)人員表示更傾向通過職業(yè)培訓(xùn)提升自身能力和知識(shí)水平。受訪者期望的能力提升方式分布圖從業(yè)人員希望提升新技術(shù)新應(yīng)用細(xì)分方向?qū)I(yè)能力?信息安全從業(yè)人員需要迅速學(xué)習(xí)和掌握相關(guān)技能和知識(shí)，才能跟上信息安全相關(guān)技術(shù)和知識(shí)的更新速度。?從業(yè)人員在專業(yè)知識(shí)和技能的各個(gè)細(xì)分方向均有能力提升需求，其中最希望提升的方向與信息技術(shù)發(fā)展熱點(diǎn)緊密結(jié)合，排名靠前的依次是大數(shù)據(jù)安全（49.0%）、云安全（41.1%）、安全管理（41.1%）和滲透測(cè)試（37.1%）。從業(yè)人員希望提升的專業(yè)能力分布圖內(nèi)部信息安全工作人員培訓(xùn)制度實(shí)施效果不佳?戰(zhàn)略性的人力資源管理核心在于把人看作重要的資產(chǎn)，通過教育培訓(xùn)等投入，持續(xù)提高其知識(shí)、技能和素質(zhì)水平，更好地達(dá)成用人單位的業(yè)務(wù)目標(biāo)；?74.9%的信息安全從業(yè)人員所在工作單位建立了信息安全工作人員培訓(xùn)制度，但僅有23.1%的受訪者認(rèn)為所在單位的培訓(xùn)制度取得了良好的培訓(xùn)效果。信息安全從業(yè)人員培訓(xùn)制度設(shè)置和實(shí)施情況分布圖受訪者未來一年內(nèi)期望獲得資質(zhì)證書情況受訪者信息安全資質(zhì)持證類型分布圖注冊(cè)信息安全專業(yè)人員（CISP）資質(zhì)證書持證情況從業(yè)人員持有最多、最希望獲取CISP資質(zhì)證書?83.7%的從業(yè)人員期望在未來一年內(nèi)獲得信息安全資質(zhì)證書，最希望獲取注冊(cè)信息安全專業(yè)人員（CISP）證書的人群占比高達(dá)68.9%，其中最受歡迎的子品牌分別是注冊(cè)信息安全工程師（CISE）、注冊(cè)滲透測(cè)試工程師（CISP-PTE）、注冊(cè)信息系統(tǒng)審計(jì)師（CIS