信息安全從業(yè)人員調研報告預告 王星

調研簡介調研對象篇工作環(huán)境篇能力提升篇“中國信息安全從業(yè)人員現(xiàn)狀調研”是由中國信息安全測評中心主辦，中國信息產(chǎn)業(yè)商會信息安全產(chǎn)業(yè)分會承辦的大型調查活動，旨在為廣大安全從業(yè)人員和準從業(yè)人員提供職業(yè)發(fā)展指導，為安全行業(yè)創(chuàng)新發(fā)展提供指引，為國家網(wǎng)絡安全人才隊伍建設提供決策參考。2018年度調研通過在線問卷調查、一線實地訪談、專家會商研討等方式，深度調研信息安全從業(yè)人員現(xiàn)狀。調研共回收有效樣本4349份，覆蓋了全國所有省、市、自治區(qū)和直轄市，囊括了各重要行業(yè)和關鍵基礎設施領域。在調研維度和內容上，本次報告不僅反映了信息安全從業(yè)人員的基本情況，綜合分析了人員職業(yè)發(fā)展狀況、能力提升情況、流動配置情況，更就用人單位安全團隊建設情況、人才相關政策法規(guī)落實情況進行了深度調研。首次對信息安全從業(yè)人員進行分類定義?信息安全從業(yè)人員的工作角色6個類別：監(jiān)管治理，規(guī)劃管理，安全建設，安全運營，內容安全，科研教育。?從業(yè)人員崗位與工作角色的對應關系：一對多，一名信息安全從業(yè)人員可能承擔多個工作角色。信息安全工作角色分類承擔安全運營和安全建設工作角色的人員最多?按照工作角色子類，工作角色最集中的依次是安全運維（22.2%）、組織管理（20.6%）、開發(fā)與集成（17.6%），以及審計與評估（17.5%）；?按照工作角色大類，承擔安全運營（62.4%）和安全建設（32.4%）工作角色的信息安全從業(yè)人員數(shù)量最多。受訪者工作角色分布圖超三成信息化工作人員須承擔信息安全工作?信息安全人員在整體信息化工作人員中的比重平均為36.1%；?認為信息安全人員在信息化人員中占比在10%以下與50%以上的占比最高，分別達到27.3%和23.8%。信息安全工作角色分類59.7%兼職非信息安全工作人員比重受訪者兼職非信息安全工作比重分布圖信息安全從業(yè)人員兼職非安全工作現(xiàn)象普遍?需要兼職的人群中，有40%的人員承擔的非信息安全崗位工作在日常工作中占比在25%到50%之間；33.8%的人員一半以上的工作時間用于處理非信息安全工作；?近六成信息安全從業(yè)人員需要同時承擔非信息安全崗位工作。網(wǎng)絡安全管理制度和操作規(guī)程落實情況堪憂?78.0%的信息安全從業(yè)人員表示，其所在工作單位設立了內部網(wǎng)絡安全管理制度和操作規(guī)程。?但

是

僅

四

分

之

一

的

從

業(yè)

人

員

反

饋

相

關

制

度

實

施

效

果

良

好（

25.0%

）

，

半

數(shù)

以

上

從

業(yè)

人

員

認

為

實

施

效

果

一

般

或

較

差（53.0%）。網(wǎng)絡安全管理制度和操作規(guī)程設立和實施效果情況分布圖自建團隊和安全外包相結合應對信息安全威脅?內部安全團隊解決以及內部和外包結合解決（43.0%）是目前各企事業(yè)單位處置網(wǎng)絡安全威脅的主要方式；?完全交給第三方外包解決（11.6%）的企業(yè)并不多。信息安全威脅處置方式分布圖單位高層管理者對信息安全工作的認知有待提高?各企事業(yè)單位高層管理者對信息安全人員短缺情況明顯比中層和基層人員更樂觀，更傾向于認為當前單位信息安全人員隊伍規(guī)模能夠滿足工作需要。?超過一半的從業(yè)人員認為單位高層對信息安全工作不重視是安全事件發(fā)生的主要原因之一。不同職位受訪者所在單位信息安全人員短缺程度分布圖已有的職業(yè)晉升通道和激勵機制作用尚不明顯?為了招得來、留得住信息安全“高精尖”人才，65.5%的從業(yè)人員表示其所在工作單位建立有信息安全從業(yè)人員職業(yè)晉升通道和工作激勵機制，21.3%明確表示沒有職業(yè)晉升通道和激勵機制；?只有不足13.2%的受訪者認為相關機制取得了良好效果，46.3%的受訪者認為實施效果一般或尚無明顯效果。職業(yè)晉升通道和激勵機制設置情況分布圖職業(yè)培訓成為從業(yè)人員首選的能力提升方式?“職業(yè)培訓”以周期短、針對性強，以及緊密結合業(yè)界前沿趨勢的優(yōu)勢取代了2017年的“自我學習”成為最受信息安全從業(yè)人員青睞的自我能力提升方式；?近七成從業(yè)人員表示更傾向通過職業(yè)培訓提升自身能力和知識水平。受訪者期望的能力提升方式分布圖從業(yè)人員希望提升新技術新應用細分方向專業(yè)能力?信息安全從業(yè)人員需要迅速學習和掌握相關技能和知識，才能跟上信息安全相關技術和知識的更新速度。?從業(yè)人員在專業(yè)知識和技能的各個細分方向均有能力提升需求，其中最希望提升的方向與信息技術發(fā)展熱點緊密結合，排名靠前的依次是大數(shù)據(jù)安全（49.0%）、云安全（41.1%）、安全管理（41.1%）和滲透測試（37.1%）。從業(yè)人員希望提升的專業(yè)能力分布圖內部信息安全工作人員培訓制度實施效果不佳?戰(zhàn)略性的人力資源管理核心在于把人看作重要的資產(chǎn)，通過教育培訓等投入，持續(xù)提高其知識、技能和素質水平，更好地達成用人單位的業(yè)務目標；?74.9%的信息安全從業(yè)人員所在工作單位建立了信息安全工作人員培訓制度，但僅有23.1%的受訪者認為所在單位的培訓制度取得了良好的培訓效果。信息安全從業(yè)人員培訓制度設置和實施情況分布圖受訪者未來一年內期望獲得資質證書情況受訪者信息安全資質持證類型分布圖注冊信息安全專業(yè)人員（CISP）資質證書持證情況從業(yè)人員持有最多、最希望獲取CISP資質證書?83.7%的從業(yè)人員期望在未來一年內獲得信息安全資質證書，最希望獲取注冊信息安全專業(yè)人員（CISP）證書的人群占比高達68.9%，其中最受歡迎的子品牌分別是注冊信息安全工程師（CISE）、注冊滲透測試工程師（CISP-PTE）、注冊信息系統(tǒng)審計師（CIS