近日,中国信息安全测评中心正式发布《中国信息安全从业人员现状调研报告(2017年度)》。此次调研活动由中国信息安全测评中心主办,中国信息产业商会信息安全产业分会承办,《中国信息安全》、FreeBuf、e安在线、安全牛、i春秋及E安全等单位协办。
报告旨在调研我国信息安全从业人员的基本构成和分布、人才供需和结构、能力提升方向和途径、职业发展径以及职业满意度等情况,着重分析从业人员整体态势并同国外情况进行对照,为国家信息安全人才队伍建设提供决策参考。
“2017年度中国信息安全从业人员现状调研”活动采用在线问卷调查方式实施,共收集有效样本1957份,覆盖了全国所有省、自治区和直辖市。接受调研的信息安全从业人员来自不同行业和单位,承担了各类职责和角色的信息安全工作。
我国信息安全从业人员以男性为主,多数为本科学历并具有计算机教育背景,与全球信息安全从业人员的构成基本一致。同发达国家相比,我国信息安全从业人员年龄构成相对年轻,从业年限整体上也相对较短。在地域分布上以北上广深四大一线城市最为集中,此外在最具经济活力、电子信息产业规模化发展的长三角地区,以及安全企业和信息安全强校汇集的西南地区也比较集中。
人才需求迅速增长,人才缺口难以填补,供需关系严重失衡推高了整体薪酬水平。国内信息安全从业人员平均薪资水平在12.2-17.8万元之间,高于国家专业技术人员及信息技术从业人员年平均工资。从事运营与、技术支持、管理、风险评估与测试的人员相对较多,而战略规划、架构设计、信息安全法律相关从业人员相对较少。战略规划和架构设计岗位人才的短缺情况最为突出,尤其缺乏能力全面且具有全局把握能力的“将才”。
我国信息安全从业人员主要是在基于自身内在价值驱动下选择从事信息安全职业,对持续更新自身知识和能力具有较高要求,从业过程中主要通过在线学习和职业培训方式进行能力提升。信息安全从业人员在各方面能力中最希望提升的是专业技能,其中最希望提升的专业技能方向依次是网络攻防、安全管理、安全架构,以及安全审计。然而,仅有22.8%的从业人员能在所属单位能够得到定期、有计划的目标培训。
当前我国网络安全投入明显不足,安全责任不到位,网络安全人才市场需求尚未得到有效。随着业务需求和法律强制需求的增长,信息安全从业人员数量和质量有望继续快速增长。从业人员薪酬呈“一线城市-华东华南-其他地区”阶梯式分布,金融行业、管理岗位人员薪酬高且涨幅快,然而约一半体制内从业人员过去一年薪酬不变甚至出现下降,作为重要安全建设者的安全运维人员薪酬基数和涨幅均创双低。
25.9%的信息安全从业人员在技术职称序列上没有清晰的归属,企业的人事管理体系中设立的标准和级别各行其是。信息安全领域细分方向众多,技术快速更新,目前尚没有形成一个能够囊括职业全频谱类别、覆盖完整职业生命周期,且为业界普遍认可的职业发展线图。人员责、权、利难以对等实现,不利于国家对信息安全人才队伍建设的整体规划和引导,也不利于从业人员个人的职业发展。
信息安全从业人员普遍感觉压力较大,认为工作轻松的人群仅占1.7%。机关事业单位、金融行业以及在管理岗位任职的人群压力感受更大。人员队伍由于长期供不应求,现有的从业人员队伍需要承担与自身规模和能力不相匹配的任务量级,加之安全保障岗位须承担较大责任,使得信息安全从业人员普遍感觉压力较大。尽管如此,从业人员职业满意度较高的人员占比仍显著高于满意度较低人群,表明从业人员对信息安全职业发展总体看好并持正向态度。
不同信息安全细分领域、不同级别的资质认定有助于信息安全从业人员规划和实现职业目标,同时也为人员考核与评价提供了客观的判定依据。持有相关资质证书者认为其职业培训和资质认定的过程对能力和职业发展均有较大的促进作用,国内持有信息安全资质证书的人群中,占比最高的是注册信息安全专业人员(CISP)。但整体来看,当前阶段信息安全从业人员持有权威资质证书的比例不高,只有较少或部分从业人员持有相关证书。
中国信息安全测评中心资质评估处处长位华表示,“实施网络安全人才工程,需要我们以科学的态度深刻把握网络安全领域以及网络安全人才的特殊性,找准当前安全人才队伍建设中的难点问题。从调研结果来看,信息安全人才队伍建设还面临着供需严重失衡、教育培训不足、人才评价手段有限等问题。当前急需进一步加强从业人员以及储备人员的教育培训,同时需要研究制定从业人员评价标准,做才的选、育、用、留。网络安全人才事业已迎来最好的发展机遇,我中心作为承担信息安全人员资质测评职能的国家权威部门,十五年来通过注册信息安全专业人员(CISP)培训体系为、重要行业、关键信息基础设施运营单位培养了数万名信息安全专业人才。在当前网络安全人才发展的关键历史时期,我们将担当起时代,继续投身网安人才培养实践和探索工作。”