三、我国网络安全人才队伍建设
对策建议网络安全人才事业已迎来最好的发展机遇,人才队伍建设工作多点发力,成效初现。中国信息安全测评中心承担信息安全人员资质测评的重要职责,在当前网络安全人才发展的关键历史时期,我们将担当起时代使命,继续投身网络安全人才发展实践和探索工作中。
1.强化统筹协调,统一推进确保工作成效
网络安全人才培养是一项战略性、基础性、范围广、领域多的工作,需要提前谋篇布局,需要政产学研用多方力量参与。要加强主管领导部门的统筹协调职责,强化各职能部门的工作权限和职责范围,动员全社会相关企业、行业组织和院校协作配合,共同建立适应网络安全人才特点的队伍建设工作体系。可以参考网络安全先进国家的做法,如美国“国家网络安全教育计划(NICE)”下设工作组和跨部门协调委员会,能够协调国防部、国土安全部、教育部、商务部、人事管理办公室等十几个政府部门和大量产业界、学术界组织。在该计划推动下,美国在网络安全意识提升、学历教育、培训认证、人力资源管理等方面系统开展了大量卓有成效的工作。英国也将制定专门的网络安全技能战略,不仅要将网络安全纳入教育体系,还准备建立由政府、用人单位、专业团体、技能团体、教育机构和学术界组成的技能咨询组织。
2.加强主力建设,在职培训需要大力倡导
落实国家网络安全人才战略,需要综合提升各类人群的网络安全意识和能力,包括各级领导干部、关键信息基础设施运营单位、安全从业人员、高校和中小学学生,以及普通公众等。其中尤为关键的是网络安全从业人员以及准备进入行业的准从业人员,因为他们是实施各项网络安全保障措施的主力军,也是有望在网络安全核心技术取得突破的先锋力量。对于从业人员,要满足他们在网络安全细分领域和前沿领域能力提升的需要。CISP在职培训体系及时掌握人员培训需求,各细分领域培训全线铺开,全面覆盖安全技术、安全管理、渗透测试、安全开发、工控安全、密码安全、系统审计等人才紧缺的方向,成为我国重要行业、关键信息基础设施运营单位以及大中型企业首先的人员培训品牌。国家加大了学科建设和学历教育的力度,非学历教育特别是社会办学和在职教育同样也需要大力倡导,双管齐下。鼓励专业在职培训已刻不容缓,通过规模化培养解决最为突出的网络安全人才供需矛盾,通过专业化培养填补网络安全细分领域人才缺口。
3.鼓励先行先试,推动网络安全人才发展体制机制改革
同传统行业不同,网络安全的历史不长,本身又具有更新快、跨领域、碎片化的特点。从业人员识别、定岗定责尚有难度,建立有效的网络安全人才管理和激励机制更加不易,需要花大力气推动相关制度的研究和应用。要落实国家网络安全战略,做好人才的“选、育、用、留”,加强队伍稳定性,必须鼓励网络安全人才发展体制机制改革先行先试,研究建立网络安全特殊人才培养、管理和激励制度。对于特殊的网络安全人才不要求全责备,“不要都用一把尺子衡量”。国外的做法更倾向于使用人员资质的方式,如美国国防部所有信息安全保障岗位都需要达到相应的人员基线资质要求。我国的CISP注册资质证书也已成为重要行业人才识别和能力评价的重要依据,以及不少大中型企业招聘时的必备要求。如何编制更加系统全面的网络安全从业人员识别和评价标准,制定有效的人才发展体制机制,对于未来的网络安全人才队伍建设至关重要。
四、结语
我国网络安全人才队伍现状最大的特点就是发展不充分、不平衡。当前国内网络安全市场规模仅为三、四百亿元,但黑色灰色产业已达千亿元规模。安全投入明显不足,安全责任不到位,包括人才在内的网络安全市场需求尚未得到有效释放。过去一年里,层出不穷的信息泄露、勒索病毒、DDoS,以及工控安全事件促使政府和各企事业单位不得不重视、应对网络安全风险,网络安全人才成为各单位生存和发展的刚需型人才。随着《网络安全法》、《关键信息基础设施安全保护条例》的实施,网络安全相关需求已成为法律强制要求。网络安全人才不到位,就无法满足相关法规实施提出的要求。在业务刚需和法律强制要求的牵引下,网络安全人才队伍建设工作将进入快速发展期,为国家网络安全保障事业提供坚固的人才支撑。