網(wǎng)絡安全已成為事關經(jīng)濟社會發(fā)展、國家長治久安和人民群眾福祉的重大戰(zhàn)略問題，建立一支規(guī)模宏大、結構優(yōu)化、素質優(yōu)良的網(wǎng)絡安全人才隊伍已成為維護國家網(wǎng)絡安全和建設網(wǎng)絡強國的核心需求。

2月5日，中國信息安全測評中心正式發(fā)布《中國信息安全從業(yè)人員現(xiàn)狀調研報告（2017年度）》。此次調研活動由中國信息安全測評中心主辦，中國信息產(chǎn)業(yè)商會信息安全產(chǎn)業(yè)分會承辦，《中國信息安全》、FreeBuf、e安在線、安全牛、i春秋及E安全等單位協(xié)辦。報告旨在調研我國信息安全從業(yè)人員的基本構成和分布、人才供需和結構、能力提升方向和途徑、職業(yè)發(fā)展路徑以及職業(yè)滿意度等情況，著重分析從業(yè)人員整體態(tài)勢并同國外情況進行對照，為國家信息安全人才隊伍建設提供決策參考。

調研對象“2017年度中國信息安全從業(yè)人員現(xiàn)狀調研”活動采用在線問卷調查方式實施，共收集有效樣本1957份，覆蓋了全國所有省、自治區(qū)和直轄市。接受調研的信息安全從業(yè)人員來自不同行業(yè)和單位，承擔了各類職責和角色的信息安全工作。

調研結論

報告認為，當前我國信息安全從業(yè)人員現(xiàn)狀主要包括以下幾個方面：

1．基本構成相對單一，地域分布以一線城市最為集中。我國信息安全從業(yè)人員以男性為主，多數(shù)為本科學歷并具有計算機教育背景，與全球信息安全從業(yè)人員的構成基本一致。同發(fā)達國家相比，我國信息安全從業(yè)人員年齡構成相對年輕，從業(yè)年限整體上也相對較短。在地域分布上以北上廣深四大一線城市最為集中，此外在最具經(jīng)濟活力、電子信息產(chǎn)業(yè)規(guī)?；l(fā)展的長三角地區(qū)，以及安全企業(yè)和信息安全強校匯集的西南地區(qū)也比較集中。

2．信息安全從業(yè)人員供需嚴重失衡，存在結構性問題。人才需求迅速增長，人才缺口難以填補，供需關系嚴重失衡推高了整體薪酬水平。國內信息安全從業(yè)人員平均薪資水平在12.2-17.8萬元之間，高于國家專業(yè)技術人員及信息技術從業(yè)人員年平均工資。從事運營與維護、技術支持、管理、風險評估與測試的人員相對較多，而戰(zhàn)略規(guī)劃、架構設計、信息安全法律相關從業(yè)人員相對較少。戰(zhàn)略規(guī)劃和架構設計崗位人才的短缺情況最為突出，尤其缺乏能力全面且具有全局把握能力的“將才”。

3．自我期望和要求較高，培訓需求難以得到充分滿足。我國信息安全從業(yè)人員主要是在基于自身內在價值驅動下選擇從事信息安全職業(yè)，對持續(xù)更新自身知識和能力具有較高要求，從業(yè)過程中主要通過在線學習和職業(yè)培訓方式進行能力提升。信息安全從業(yè)人員在各方面能力中最希望提升的是專業(yè)技能，其中最希望提升的專業(yè)技能方向依次是網(wǎng)絡攻防、安全管理、安全架構，以及安全審計。然而，僅有22.8%的從業(yè)人員能在所屬單位能夠得到定期、有計劃的目標培訓。

4．整體發(fā)展不充分，地域、行業(yè)、崗位間差異較明顯。當前我國網(wǎng)絡安全投入明顯不足，安全責任不到位，網(wǎng)絡安全人才市場需求尚未得到有效釋放。隨著業(yè)務需求和法律強制需求的增長，信息安全從業(yè)人員數(shù)量和質量有望繼續(xù)快速增長。從業(yè)人員薪酬呈“一線城市-華東華南-其他地區(qū)”階梯式分布，金融行業(yè)、管理崗位人員薪酬高且漲幅快，然而約一半體制內從業(yè)人員過去一年薪酬不變甚至出現(xiàn)下降，作為重要安全建設者的安全運維人員薪酬基數(shù)和漲幅均創(chuàng)雙低。

5．職業(yè)發(fā)展路徑不明確，缺乏人員分類和評價的標準。25.9%的信息安全從業(yè)人員在技術職稱序列上沒有清晰的歸屬，企業(yè)的人事管理體系中設立的標準和級別各行其是。信息安全領域細分方向眾多，技術快速更新，目前尚沒有形成一個能夠囊括職業(yè)全頻譜類別、覆蓋完整職業(yè)生命周期，且為業(yè)界普遍認可的職業(yè)發(fā)展路線圖。人員責、權、利難以對等實現(xiàn)，不利于國家對信息安全人才隊伍建設的整體規(guī)劃和引導，也不利于從業(yè)人員個人的職業(yè)發(fā)展。

6．壓力感受普遍比較大，但整體職業(yè)滿意度依然向好。信息安全從業(yè)人員普遍感覺壓力較大，認為工作輕松的人群僅占1.7%。政府機關事業(yè)單位、金融行業(yè)以及在管理崗位任職的人群壓力感受更大。人員隊伍由于長期供不應求，現(xiàn)有的從業(yè)人員隊伍需要承擔與自身規(guī)模和能力不相匹配的任務量級，加之安全保障崗位須承擔較大責任，使得信息安全從業(yè)人員普遍感覺壓力較大。盡管如此，從業(yè)人員職業(yè)滿意度較高的人員占比仍顯著高于滿意度較低人群，表明從業(yè)人員對信息安全職業(yè)發(fā)展總體看好并持正向態(tài)度。

7．資質認定能有效促進職業(yè)發(fā)展，但持有情況不樂觀。不同信息安全細分領域、不同級別的資質認定有助于信息安全從業(yè)人員規(guī)劃和實現(xiàn)職業(yè)目標，同時也為人員考核與評價提供了客觀公正的判定依據(jù)。持有相關資質證書者認為其職業(yè)培訓和資質認定的過程對能力和職業(yè)發(fā)展均有較大的促進作用，國內持有信息安全資質證書的人群中，占比最高的是注冊信息安全專業(yè)人員（CISP）。但整體來看，當前階段信息安全從業(yè)人員持有權威資質證書的比例不高，只有較少或部分從業(yè)人員持有相關證書。

專家觀點

中國信息安全測評中心資質評估處處長位華表示，“實施網(wǎng)絡安全人才工程，需要我們以科學的態(tài)度深刻把握網(wǎng)絡安全領域以及網(wǎng)絡安全人才的特殊性，找準當前安全人才隊伍建設中的難點問題。從調研結果來看，信息安全人才隊伍建設還面臨著供需嚴重失衡、教育培訓不足、人才評價手段有限等問題。當前急需進一步加強從業(yè)人員以及儲備人員的教育培訓，同時需要研究制定從業(yè)人員評價標準，做好人才的選、育、用、留。網(wǎng)絡安全人才事業(yè)已迎來最好的發(fā)展機遇，我中心作為承擔信息安全人員資質測評職能的國家權威部門，十五年來通過注冊信息安全專業(yè)人員（CISP）培訓體系為黨政軍、重要行業(yè)、關鍵信息基礎設施運營單位培養(yǎng)了數(shù)萬名信息安全專業(yè)骨干人才。在當前網(wǎng)絡安全人才發(fā)展的關鍵歷史時期，我們將擔當起時代使命，繼續(xù)投身網(wǎng)安人才培養(yǎng)實踐和探索工作。”

《中國信息安全》副社長、主編崔光耀認為，“習總書記在4.19講話中強調，網(wǎng)絡空間的競爭，歸根結底是人才的競爭。俗話說，千軍易得，一將難求。擺在我們面前的現(xiàn)實情況是，一將固然難求，千軍同樣恨少。面對我國網(wǎng)信事業(yè)‘九州生氣恃風雷’的大局，網(wǎng)絡空間人才特別是網(wǎng)絡安全人才不足的矛盾日益突顯。這兩年國家在人才培養(yǎng)方面采取了一系列重大舉措，也取得了良好的效果，這是一個很好的跡象。但是，人才緊缺的狀況短時間難以得到根本改觀，需要堅持不懈、下大力氣做下去。中國信息安全測評中心發(fā)布我國信息安全人才白皮書，旨在摸清人才家底，進而有針對性地推動人才培養(yǎng)打開新局面、邁上新臺階。‘我勸天公重抖擻，不拘一格降人才’。借此白皮書發(fā)布之機，為之鼓與呼， 這個‘天公’不僅是網(wǎng)安領域，也是網(wǎng)信領域及至全社會的共同責任。”

從業(yè)人員聲音

此次調研得到了廣大信息安全從業(yè)人員的熱烈響應，已成為一線從業(yè)人員反映自身現(xiàn)狀、發(fā)表觀點看法的渠道，以及為安全事業(yè)建言獻策的平臺。

調研活動中，一位信息安全從業(yè)人員表示，“隨著信息技術的飛速發(fā)展，信息安全方面的預防和處理變得越來越重要。在我國很多單位中，對于信息安全方面的重視程度不高，缺乏相應的信息技術知識，單位信息網(wǎng)絡缺乏科學的管理，往往發(fā)生問題后不能及時處理，造成經(jīng)濟等方面的損失。應該加強對信息技術從業(yè)人員的培養(yǎng)，制定相應的制度進行管理，把信息安全管理真正落在實處。國家應該鼓勵信息安全技術的學習，提供更大的平臺滿足信息技術從業(yè)人員的知識需求，保證從業(yè)人員能夠更好地實現(xiàn)個人發(fā)展，提高信息安全服務質量。”

關于此次調研，受訪者認為進行此類摸底十分及時和必要，“目前從業(yè)人員的層次和結構還是比較復雜的，很多在從事信息安全工作前，并沒有足夠的專業(yè)知識，造成行業(yè)人員的水平能力參差不齊，容易造成從業(yè)門檻較低的誤解，對人員提高在企業(yè)的話語權和地位不太有利。希望通過此次調研活動，掌握從業(yè)人員的工作、學習現(xiàn)狀，找準培訓學習提升需求，幫助提升行業(yè)整體的水平能力。”有受訪者表示，希望“活動能成為一項長久的舉措持續(xù)進行下去，從而構建國內信息安全行業(yè)人員的生態(tài)圖表，成為國內信息安全從業(yè)者的能力風向標”。

對于備受信息安全從業(yè)人員關注的能力提升、職業(yè)發(fā)展等問題，受訪者們積極反饋自身經(jīng)驗體會，“我是CISP持證人員。通過學習CISP認證體系的相關內容，我對信息安全法律體系、管理方法以及安全技術等方面有了全方位的了解，提高了我的信息安全專業(yè)素養(yǎng)，對整個信息安全體系的把握更加清晰，對信息安全的規(guī)劃和架構也有了一定的見解，對工作也起到較大的促進作用。在工作中，評職稱或競爭上崗，有了這個證書，也能為自己加分。”“通過CISP的培訓和學習從各方面對本人工作所需專業(yè)知識進行了系統(tǒng)的整理，夯實了基礎，信息安全整個技術發(fā)展非常迅速，在基礎扎實的前提下要融會貫通新的技術才能更適應當前的發(fā)展。我從事第三方測評工作，工作中感覺當前各單位對信息安全都很重視，具有較強的安全意識但缺少相應的技術能力，我認為一線信息安全工作人員對于實踐教育培訓有較大的需求。”