地區(qū)級(jí)民用領(lǐng)域信息安全人才建設(shè)調(diào)查分析及對(duì)策

● 丁雷 王德慶 錢海東 何書林

丁雷，天津商業(yè)大學(xué)信息工程學(xué)院副教授，碩士。電子郵箱：dl_ts_cis@yahoo.com.cn。

王德慶，天津市經(jīng)濟(jì)與信息化委員會(huì)信息安全處處長(zhǎng)。電子郵箱：wangdq@tjeic.gov.cn。

錢海東，天津市企業(yè)家協(xié)會(huì)咨詢部部長(zhǎng)、天津市企業(yè)聯(lián)合會(huì)人才測(cè)評(píng)師、高級(jí)管理咨詢顧問。電子郵箱：hdqian@126.com。

本文受天津市十二五教育科學(xué)規(guī)劃課題《天津市信息安全人才培養(yǎng)對(duì)接社會(huì)需求問題研究》（CE3001）；國家自然科學(xué)基金重點(diǎn)項(xiàng)目《我國集團(tuán)企業(yè)跨國治理與評(píng)價(jià)研究》（71132001）；國家自然科學(xué)基金項(xiàng)目《基于仿真的復(fù)雜產(chǎn)品研發(fā)項(xiàng)目進(jìn)度費(fèi)用聯(lián)合風(fēng)險(xiǎn)研究》（71171146）；天津商業(yè)大學(xué)大學(xué)生科研訓(xùn)練計(jì)劃SRT項(xiàng)目《天津市部分行業(yè)信息安全人員建設(shè)現(xiàn)狀抽樣調(diào)查研究》（2012006）資助。

為了迎接信息化帶來的安全挑戰(zhàn)，上世紀(jì)末我國設(shè)立了應(yīng)對(duì)信息安全的有關(guān)機(jī)構(gòu)。自2001年開始的十多年間，陸續(xù)有70多所高等普通院校成立了信息安全專業(yè)。2006年3月19日，中共中央辦公廳、國務(wù)院辦公廳印發(fā)了《2006—2020年國家信息化發(fā)展戰(zhàn)略》，把建設(shè)國家信息安全保障體系作為我國信息化發(fā)展的戰(zhàn)略重點(diǎn)。“十二五規(guī)劃”中信息安全建設(shè)也被放到戰(zhàn)略位置。工業(yè)和信息化部信息安全協(xié)調(diào)司負(fù)責(zé)人在“2012中國信息安全年會(huì)暨第十屆中國CSO俱樂部大會(huì)”上指出，中國信息安全強(qiáng)調(diào)加強(qiáng)信息安全工作的頂層設(shè)計(jì)，這預(yù)示著中國信息安全逐漸向裝備、資金、標(biāo)準(zhǔn)、管理、人才、法律等多個(gè)維度的戰(zhàn)略布局發(fā)展。

信息保障依賴于人、裝備、操作流程、技術(shù)更新、相應(yīng)的管理標(biāo)準(zhǔn)規(guī)范和配套的資金，以此來實(shí)現(xiàn)一個(gè)組織的職能/業(yè)務(wù)的良好、穩(wěn)定地運(yùn)作，對(duì)技術(shù)/信息基礎(chǔ)設(shè)施的管理也離不開“人”這個(gè)因素。2005年以來，國家針對(duì)中國企業(yè)普遍缺乏競(jìng)爭(zhēng)力的現(xiàn)狀，提出了“以人為本、科學(xué)發(fā)展、努力創(chuàng)新”的發(fā)展戰(zhàn)略，目的就是讓大家更加清醒地認(rèn)識(shí)到人的核心作用。而在人才建設(shè)方面，信息安全人才培養(yǎng)體系包括學(xué)歷教育和非學(xué)歷教育。

有關(guān)學(xué)術(shù)資料顯示，全國對(duì)高級(jí)網(wǎng)絡(luò)安全人才的需求在3 萬人左右，對(duì)一般安全人才的需求是15 萬，而國內(nèi)現(xiàn)有信息安全專業(yè)人才僅3000 人左右。目前的現(xiàn)實(shí)是：我國每年信息安全人才缺口不小，同時(shí)一些高校卻表示，他們辛辛苦苦培養(yǎng)出來的信息安全專業(yè)畢業(yè)生找不到工作。這就需要通過深入調(diào)研來揭示高端專家對(duì)信息安全人才預(yù)測(cè)與基層實(shí)際用人產(chǎn)生矛盾的原因。

自2001年，我國高校開始設(shè)立信息安全專業(yè)。在此期間，國家不僅設(shè)立了人員資質(zhì)認(rèn)證機(jī)構(gòu)，還依托各部委和地方部門開展了各類信息安全培訓(xùn)班，為有關(guān)行業(yè)在信息安全管理和技術(shù)兩方面積累了一定的人力資源。

但是，由于信息化在我國發(fā)展比較晚，信息安全也只是近十年得到國家的大力推動(dòng)，而且近十年的重點(diǎn)是在信息安全裝備研發(fā)方面，應(yīng)用層面的管理和技術(shù)人才還比較稀缺。面對(duì)近年來，信息安全攻、防等技術(shù)的長(zhǎng)足發(fā)展和變遷，信息安全領(lǐng)域的事態(tài)越加嚴(yán)峻，信

一、研究假設(shè)

息化程度較高的行業(yè)暴露出的新型安全隱患越來越凸顯?，F(xiàn)實(shí)中，地區(qū)級(jí)信息安全主管部門在日常工作推進(jìn)中，遇到的困難比較大。而且從文獻(xiàn)發(fā)現(xiàn)人才缺口預(yù)測(cè)和信息安全就業(yè)現(xiàn)狀存在著一定的矛盾。

基于前人的學(xué)術(shù)研究和當(dāng)前實(shí)際情況，本文提出研究假設(shè)是：行業(yè)或基層單位因信息安全在職人員隊(duì)伍較為年輕且專業(yè)（或有正規(guī)專業(yè)資質(zhì)）人員參與管理及決策的較少、現(xiàn)有人員整體結(jié)構(gòu)的專業(yè)化程度低等原因，造成民用領(lǐng)域的單位這一級(jí)從整體角度講對(duì)信息安全知識(shí)、自身需求、危機(jī)等問題的認(rèn)識(shí)還無法獲得單位高層的認(rèn)同，是影響單位甚至地區(qū)信息安全建設(shè)和有關(guān)人力資源梯隊(duì)建設(shè)的內(nèi)因之一。

二、抽樣調(diào)查過程及統(tǒng)計(jì)數(shù)據(jù)

為了了解和分析信息安全人才的建設(shè)現(xiàn)狀，課題組選取了信息化相對(duì)較高的制造業(yè)、教育、信息技術(shù)服務(wù)、電力及能源、科學(xué)研究與服務(wù)等行業(yè)，抽取多個(gè)大中型單位作為調(diào)查對(duì)象。

經(jīng)過課題組人員與各單位領(lǐng)導(dǎo)、信息部門主管、人力資源部門主管的面對(duì)面訪談和填寫調(diào)查問卷，獲取52個(gè)單位及147名在崗（專職、兼職）信息安全人員的調(diào)查數(shù)據(jù)。

根據(jù)對(duì)調(diào)查數(shù)據(jù)的基本統(tǒng)計(jì)分析，我們得到人員年齡結(jié)構(gòu)、職稱結(jié)構(gòu)、高等教育地域狀況、專業(yè)結(jié)構(gòu)、資質(zhì)比例、分工結(jié)構(gòu)等結(jié)構(gòu)類數(shù)據(jù)。具體分析結(jié)果如下。

1．年齡結(jié)構(gòu)（見表1）

數(shù)據(jù)顯示31~40歲的比重最大，表現(xiàn)為在某個(gè)時(shí)段，該地區(qū)各行業(yè)因信息化的需要集中配備的一批信息化人才，使得當(dāng)前時(shí)期人員年富力強(qiáng)，但后備力量稍顯補(bǔ)充不足。因?yàn)槌^40歲甚至45歲，人的腦力、精力都會(huì)有所下降，信息安全工作屬于IT領(lǐng)域，屬于耗費(fèi)腦力、精力較大的領(lǐng)域，從整體講屬于青年人更有作為的領(lǐng)域。

如果不注意有計(jì)劃平衡補(bǔ)充年輕人才，會(huì)在未來出現(xiàn)人員結(jié)構(gòu)大齡化的問題，即使為了解決大齡化問題臨時(shí)集中補(bǔ)充年輕人，也容易出現(xiàn)啞鈴型梯隊(duì)狀態(tài)。

2． 職稱結(jié)構(gòu)（見表2）

表1 年齡結(jié)構(gòu)

中級(jí)職稱占到了絕對(duì)優(yōu)勢(shì)比例，可見向高級(jí)職稱有發(fā)展空間的人員還是很多的。但是擁有正高級(jí)職稱的為0。

這組數(shù)據(jù)反映了IT領(lǐng)域在我國當(dāng)代的一個(gè)發(fā)展特征，即近20年社會(huì)發(fā)展中的信息化需求帶動(dòng)了IT及信息安全人員培養(yǎng)及成長(zhǎng)，同時(shí)也體現(xiàn)了該地區(qū)有關(guān)行業(yè)35歲以上具有高端技術(shù)能力的信息安全在崗人員還是比較欠缺的（按照職稱評(píng)審規(guī)則推算，一般最早符合參評(píng)正高級(jí)職稱的在35歲左右）。

3．專業(yè)技術(shù)結(jié)構(gòu)（見表3）

數(shù)據(jù)顯示在從事信息安全技術(shù)或管理崗位人員中，具有信息安全專業(yè)學(xué)歷的僅有十分之一，此數(shù)據(jù)揭示了地區(qū)信息安全人員梯隊(duì)的專業(yè)化程度還是比較低的。

另外，在信息安全學(xué)歷人員中，本科、碩士、博士的比例為3:2:0，顯示了整體錄用專業(yè)人員的學(xué)歷結(jié)構(gòu)比例是基本合理的，不足的是博士學(xué)歷的錄用情況為0。因?yàn)槌闃拥男畔⒎?wù)單位中有信息安全企業(yè)，體現(xiàn)了該地區(qū)信息安全高端研發(fā)人才方面尚存一定不足。

表2 職稱結(jié)構(gòu)

表3 專業(yè)結(jié)構(gòu)

表4 學(xué)歷結(jié)構(gòu)

4．學(xué)歷結(jié)構(gòu)方面（見表4）

在信息安全專職、兼任崗位人員中，從學(xué)歷結(jié)構(gòu)來看，從本科到博士呈現(xiàn)出金字塔形結(jié)構(gòu)，這一結(jié)構(gòu)是非常合理的。

5．工作分類方面（見表5）

純管理類的人員占到了大多數(shù)，比純技術(shù)類人員比例多出19%。從人員配置的角度講，管理層人員數(shù)量一般保持較小的比例是比較好的，而且在基層負(fù)責(zé)管理的人員也不應(yīng)該比例過大，所以從統(tǒng)計(jì)數(shù)據(jù)來看，工作分類這一結(jié)構(gòu)在地區(qū)整體結(jié)構(gòu)是不太合理的。

6． 人員的專業(yè)資質(zhì)認(rèn)證（見表6）

由于我國從2001年開始至今已有七十多所高校開始設(shè)立信息安全專業(yè)，但每年畢業(yè)生數(shù)量相比其他一些成熟專業(yè)（如會(huì)計(jì)等）還是比較低的，是造成在職人員專業(yè)化比例低的原因之一。那么，為了彌補(bǔ)高校專業(yè)人才供給的缺口，資質(zhì)認(rèn)證類人才是一種較好的補(bǔ)救途徑。

表5 工作分類

表6 專業(yè)資質(zhì)認(rèn)證

在資質(zhì)認(rèn)證類方面，數(shù)據(jù)顯示，在抽樣單位里從事信息安全管理或技術(shù)的人員獲得國家任何一種正規(guī)資質(zhì)認(rèn)證類證書的為1%，獲得國家或地區(qū)級(jí)的某些部門組織的培訓(xùn)頒發(fā)的證書的比例也不高。此數(shù)據(jù)再次說明該地區(qū)信息安全管理、技術(shù)人員的專業(yè)化程度的低下狀態(tài)。

7． 人員需求意向（見表7）

在錄用信息安全人員的專業(yè)意向方面，數(shù)據(jù)顯示信息安全專業(yè)畢業(yè)生僅占整體的近五分之一，比計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)還少5個(gè)百分點(diǎn)，而且與信息專業(yè)、計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的需求接近。

另外，有近三分之一的單位沒有把信息安全專業(yè)的畢業(yè)生納入到該單位配備信息安全崗位人員的意向中。此數(shù)據(jù)展示出該類單位認(rèn)為除信息安全專業(yè)以外的信息類的其他專業(yè)人員完全可以勝任信息安全工作，這充分體現(xiàn)了這類單位對(duì)信息安全專業(yè)知識(shí)以及信息安全專業(yè)與其他信息類專業(yè)區(qū)別的嚴(yán)重缺失。而且，數(shù)據(jù)顯示這類單位中全都不具備信息安全專業(yè)學(xué)歷或正規(guī)認(rèn)證資質(zhì)的人才。

表7 信安人才單位錄用專業(yè)意向比例

三、問題剖析

通過上面多個(gè)維度初步分析得到的匯總表（見表8），發(fā)現(xiàn)如下短板之處：

1．地區(qū)內(nèi)信息安全專業(yè)人才結(jié)構(gòu)不合理。在抽樣調(diào)查有效問卷中，信息安全專業(yè)畢業(yè)的人員僅占到10%，所有被訪者均沒有正規(guī)的資質(zhì)認(rèn)證。造成這一問題的原因在于：

首先，我國信息化已經(jīng)開展了近二十年，但因我國國民整體信息化素養(yǎng)不高，信息化推進(jìn)比較緩慢，迸發(fā)期僅是最近的幾年，即使進(jìn)入了迸發(fā)期，真正高質(zhì)量人才的培養(yǎng)沒有跟上，其發(fā)展依然不穩(wěn)定，使得單位把信息化依然作為重點(diǎn)，信息化人才需求高于信息安全人才需求。

第二，由于在信息安全方面存在攻擊滲透、信息竊取的隱蔽性，并在發(fā)現(xiàn)時(shí)間上存在較大的遲后性，加上新的攻擊漏洞或技術(shù)不斷涌現(xiàn)，使得各級(jí)管理者甚至信息化技術(shù)人員存在對(duì)信息安全危機(jī)的麻痹心理、對(duì)待信息安全建設(shè)的消極心理、對(duì)危機(jī)問題的鴕鳥心理，在調(diào)研訪談中這幾種心理較為普遍。

第三，在訪談中，單位的各級(jí)人員比較缺乏信息資源價(jià)值的理念，不太注重對(duì)那些分級(jí)保護(hù)以外資料的保護(hù)，缺乏信息資源的保護(hù)訴求。單位普遍缺乏“人是促進(jìn)單位進(jìn)步的資源”的理念，在職人員非學(xué)歷培訓(xùn)或資質(zhì)認(rèn)證培訓(xùn)都明顯不足，甚至普遍缺乏信息化、信息安全方面規(guī)范的培訓(xùn)機(jī)制，使得信息化、信息安全技術(shù)人員甚至管理人員僅處于為單位經(jīng)濟(jì)指標(biāo)服務(wù)的“工具”地位。

以上這些促使信息安全在崗人員梯隊(duì)建設(shè)的專業(yè)化程度較低。而在專業(yè)化程度低下的情況下，加上管理層缺乏信息安全的專業(yè)人士，單位整體對(duì)信息安全的認(rèn)識(shí)不足，本應(yīng)落實(shí)的有關(guān)信息安全實(shí)際工作必然大打折扣。

2． 信息安全專業(yè)化人員很少參與信息化規(guī)劃及決策。如前數(shù)據(jù)分析顯示，從事或兼任信息安全崗位工作的人員年齡結(jié)構(gòu)普遍較為年輕，職稱結(jié)構(gòu)也較集中于中級(jí)層次，使得在規(guī)劃決策環(huán)節(jié)形成人微言輕的局面。另外，訪談數(shù)據(jù)顯示，具有信息安全專業(yè)背景的人員無一進(jìn)入中、高層兩層級(jí)別的管理層，且外包信息安全的單位僅占極少比例，使得該區(qū)域內(nèi)單位級(jí)信息化建設(shè)過程中的配套信息安全規(guī)劃和決策缺乏必要的專業(yè)性。

表8 在職信息安全人員多維度優(yōu)劣分析匯總表

3．基層信息安全分工管理的比例偏重。雖然從事或兼任信息安全工作的人員不多，但從事基層信息安全管理工作的人員比例卻不低。這從表面看是基層單位注重信息安全管理，但卻恰恰從顛倒的分工比例中暴露出單位級(jí)信息安全工作人員的專業(yè)技術(shù)欠缺、專業(yè)化程度低下等問題（單位現(xiàn)有人員缺乏專業(yè)技能又要應(yīng)對(duì)部分信息安全的問題，單位不重視專業(yè)人員培養(yǎng)和建設(shè)，只能以管理代替專業(yè)技術(shù)支持了）。

另外，有絕大多數(shù)單位的信息安全管理者在問卷中選擇“需要”或“迫切需要”對(duì)單位高層開展信息安全培訓(xùn)，并且也有絕大多數(shù)的單位信息主管認(rèn)為領(lǐng)導(dǎo)對(duì)信息安全需加強(qiáng)重視。因?yàn)樗ㄋ﹤儯▎挝坏男畔⒅鞴軅儯┮呀?jīng)意識(shí)到自身信息安全技能、知識(shí)的欠缺，而又因領(lǐng)導(dǎo)對(duì)信息安全不重視而無法開展必要的人才培訓(xùn)等培養(yǎng)工作，只能以非專業(yè)的管理來充數(shù)。

4．高端人才引入乏力。無論是在職人員的職稱、學(xué)歷，還是單位對(duì)信息安全人員的需求意向，地區(qū)內(nèi)各單位既缺少高職稱的領(lǐng)軍人員為單位信息安全建設(shè)起到把握方向的作用，又整體缺少對(duì)高端人才的渴求。如前所述，在信息安全人員建設(shè)方面的多維短板可以體現(xiàn)該地區(qū)信息安全整體建設(shè)仍處于較低水平，而且信息安全建設(shè)起步不過十幾年，加之樣本單位里的國有單位人力資源管理中引進(jìn)人才不靈活體制的因素，造成很難快速補(bǔ)充高職稱人才。

我國目前階段對(duì)高學(xué)歷（例如博士）信息安全人才的需求主要還是在信息安全研發(fā)部門或機(jī)構(gòu)，高學(xué)歷專業(yè)人才需求的不旺反應(yīng)了該地區(qū)信息安全單位研發(fā)隊(duì)伍建設(shè)也存在一定短板，并且研發(fā)能力薄弱。這一點(diǎn)已在對(duì)部分信息安全公司訪談中得到驗(yàn)證。

四、應(yīng)對(duì)之策

我國信息安全建設(shè)已經(jīng)走過了十幾年，相關(guān)裝備已有所斬獲，在軍隊(duì)、涉密關(guān)鍵機(jī)構(gòu)等特殊行業(yè)里這些裝備發(fā)揮了積極的作用，為我國國家安全的保障立下了汗馬之功。但在民用的多個(gè)行業(yè)里，單位的信息安全狀況卻異常脆弱。近些年，國內(nèi)媒體報(bào)道的民用大型單位內(nèi)部數(shù)據(jù)泄露事件時(shí)有發(fā)生，甚至在一定范圍內(nèi)已經(jīng)形成了以個(gè)人、單位信息或數(shù)據(jù)為牟利目的的黑色利益鏈，對(duì)我國經(jīng)濟(jì)安全、文化安全、科技安全、民生安全、政治安全等形成嚴(yán)重挑戰(zhàn)。僅以平衡計(jì)分卡的一個(gè)維度——員工維度來說，信息安全隊(duì)伍建設(shè)中的結(jié)構(gòu)不合理是客觀存在的；隊(duì)伍年輕雖是優(yōu)勢(shì)但卻因人微言輕而少有參與決策的機(jī)會(huì)，使得信息安全伴隨信息化建設(shè)的推進(jìn)打了折扣；單位信息安全軟硬件需求、人員培養(yǎng)訴求等向領(lǐng)導(dǎo)層傳遞并得到應(yīng)有響應(yīng)存在明顯缺陷；領(lǐng)導(dǎo)在自身缺乏信息安全知識(shí)、不準(zhǔn)確了解內(nèi)部信息安全需求和信息安全人員訴求的狀態(tài)下，缺乏對(duì)信息安全的應(yīng)有重視（包括信息安全工程建設(shè)和配套的信息安全人才建設(shè)）。

本文認(rèn)為，要扭轉(zhuǎn)地區(qū)級(jí)信息安全的不利形勢(shì)，各級(jí)各類單位內(nèi)部有兩個(gè)方面需要改善，需要切實(shí)開展兩個(gè)層次的人員培養(yǎng)，并且需要通過單位里中、高層在認(rèn)識(shí)上有兩個(gè)改變。

首先，需要切實(shí)改善的兩個(gè)方面是：

1．單位信息安全人員的專業(yè)化程度需要改善

專業(yè)化程度的改善包括專業(yè)人才的招聘（已畢業(yè)的信息安全專業(yè)大學(xué)生、社會(huì)上獲得國家信息安全專業(yè)資質(zhì)認(rèn)證的人員）、已有員工的再培養(yǎng)（在職形式的大學(xué)信息安全專業(yè)課研修、國家信息安全資質(zhì)認(rèn)證培養(yǎng)等）。

專業(yè)人才聘用有利于快速彌補(bǔ)行業(yè)內(nèi)或單位內(nèi)人員隊(duì)伍專業(yè)化程度低的問題；在職大學(xué)專業(yè)課研修有利于低成本彌補(bǔ)非專業(yè)人員專業(yè)知識(shí)和技術(shù)的不足；資質(zhì)認(rèn)證培養(yǎng)雖然成本較高、周期較長(zhǎng)，但既可以從實(shí)戰(zhàn)角度規(guī)范性地提高人員隊(duì)伍的專業(yè)技能、專業(yè)化程度，還可以為以后專崗資質(zhì)聘任打下基礎(chǔ)，為地區(qū)在區(qū)域內(nèi)建立專業(yè)化、規(guī)范化隊(duì)伍做好鋪墊。

以上這些諸如加大信息安全專業(yè)人才招聘、開拓在職信息安全人員專業(yè)補(bǔ)修、專業(yè)資質(zhì)認(rèn)證等不僅是在改變地區(qū)、單位信息安全人才的專業(yè)比例，而且也在推動(dòng)針對(duì)專業(yè)崗位人才開展的專業(yè)培養(yǎng)機(jī)制的建立，以達(dá)到以硬指標(biāo)促進(jìn)信息安全專業(yè)話結(jié)構(gòu)比例，以專業(yè)化結(jié)構(gòu)比例促進(jìn)信息安全人才建設(shè)和培養(yǎng)機(jī)制、制度的建立和改善。因?yàn)橥ㄟ^調(diào)研、實(shí)踐考察獲知：沒有可操作的考核硬指標(biāo)，就是缺少推動(dòng)力，沒有推動(dòng)力就達(dá)不到規(guī)劃的既定目標(biāo)。這不僅適用于地方單位內(nèi)的信息安全建設(shè)推動(dòng)，也同樣適用于國家到地方的信息安全推動(dòng)工作。

2．信息安全人員參與決策的現(xiàn)狀需要改善

在單位信息化建設(shè)過程中，配套的信息安全架構(gòu)、安全策略、管理機(jī)制和流程、人員保障等都是不可或缺的，而這些環(huán)節(jié)的謀劃需要專業(yè)人員根據(jù)具體單位的具體業(yè)務(wù)需要來進(jìn)行分析、規(guī)劃、實(shí)施、管理和反饋以及應(yīng)對(duì)。即使有些環(huán)節(jié)可以借助外包的形式開展，但在信息化及信息安全方面單位內(nèi)部如果缺少專業(yè)人員進(jìn)行需求溝通、方案把關(guān)、項(xiàng)目驗(yàn)收和日常管理，項(xiàng)目的實(shí)施、運(yùn)行和日常管理都會(huì)障礙重重，造成項(xiàng)目投資的不成功，甚至出現(xiàn)信息安全惡性事件等，使單位、行業(yè)甚至國家遭受損失。

所以，單位信息化、信息安全項(xiàng)目建設(shè)中，需要有信息安全的配套方案及備案制度，制度中需要明確單位內(nèi)負(fù)責(zé)信息安全方面的論證人員及主要負(fù)責(zé)人員的簽字制度，以保障信息化、信息安全項(xiàng)目中信息安全專業(yè)人員在決策環(huán)節(jié)的參與度。

其次，需要開展兩個(gè)層次的人員培養(yǎng)：

第一個(gè)層次，是對(duì)領(lǐng)導(dǎo)層人員針對(duì)信息安全隱患的隱蔽性、危害類知識(shí)及信息安全危機(jī)管理方面的培養(yǎng)。無論信息化還是信息安全建設(shè)，“一把手”戰(zhàn)略是被中、外各國企業(yè)家、管理專家所認(rèn)可的，也是經(jīng)過實(shí)踐通過很多國內(nèi)外實(shí)際案例驗(yàn)證的。

在調(diào)研中，有絕大多數(shù)單位的信息安全管理者在問卷中選擇“需要”或“迫切需要”對(duì)單位高層開展信息安全培訓(xùn)。這反映了單位信息安全中、高層管理者對(duì)單位高層信息安全方面知識(shí)普及的渴望。而且從訪談的溝通中，反映出各單位的中、高層在信息安全危害類、危機(jī)管控類方面存在較大的知識(shí)缺陷，造成領(lǐng)導(dǎo)層對(duì)解決相關(guān)問題缺乏切入點(diǎn)。

由于信息安全危害的隱蔽性、嚴(yán)重程度得不到恰當(dāng)?shù)睦斫夂驼J(rèn)識(shí)，信息安全危機(jī)管理的常識(shí)也就更不被重視。信息安全危機(jī)管理類培訓(xùn)有利于單位領(lǐng)導(dǎo)層了解從哪些宏觀方面開展信息安全的防御與管理，哪些環(huán)節(jié)是必須要做好的。

所以，信息安全隱患的隱蔽性、危害類常識(shí)及案例培訓(xùn)是對(duì)高層人員培養(yǎng)的重點(diǎn)。信息安全危機(jī)管理常識(shí)培訓(xùn)是單位高層以后開展工作的落腳點(diǎn)。

第二個(gè)層次，是需要繼續(xù)加強(qiáng)單位主營(yíng)業(yè)務(wù)人員（非信息部門的其他業(yè)務(wù)部門人員）的信息安全常識(shí)培訓(xùn)。只有循序漸進(jìn)地開展單位主營(yíng)業(yè)務(wù)人員的信息安全常識(shí)培養(yǎng)，才能逐步培養(yǎng)單位級(jí)信息安全的素養(yǎng)，并不斷積累信息安全的需求，達(dá)到挖掘信息安全深層業(yè)務(wù)需求的目的。

在單位領(lǐng)導(dǎo)仍然以經(jīng)濟(jì)指標(biāo)作為主要考慮因素的當(dāng)前，單位主營(yíng)業(yè)務(wù)人員對(duì)信息安全的訴求以及對(duì)經(jīng)濟(jì)指標(biāo)的影響（包括效率、競(jìng)爭(zhēng)等）可以幫助信息化部門對(duì)單位領(lǐng)導(dǎo)思路實(shí)施影響甚至改變。

不論是領(lǐng)導(dǎo)層還是基層員工的培訓(xùn)，雖然很多文獻(xiàn)都已經(jīng)提到，但是實(shí)際調(diào)研發(fā)現(xiàn)，本可以很好實(shí)施的沒有太多技術(shù)含量的常態(tài)化的培訓(xùn)，其實(shí)做的也很不到位（資金支持少、沒時(shí)間開展等都是理由）。

第三，中、高層管理者認(rèn)識(shí)上的兩個(gè)改變：

以上兩方面對(duì)策都涉及不同層面人員的培養(yǎng)與信息安全人才培養(yǎng)和結(jié)構(gòu)優(yōu)化建設(shè)問題。但那些問題的解決都離不開各級(jí)單位高層決策者的定奪，很多單位的成功案例無不顯現(xiàn)著單位管理層甚至某位管理者的睿智與高瞻遠(yuǎn)矚。所以，需要結(jié)合各類培訓(xùn)和政策推動(dòng)，盡快改變各級(jí)單位管理者們?cè)趦蓚€(gè)方面的意識(shí)。

1．轉(zhuǎn)變現(xiàn)有的人才意識(shí)——員工只是為單位創(chuàng)造財(cái)富和價(jià)值的，以樹立員工是單位的寶貴資源，需要根據(jù)單位業(yè)務(wù)需要加以有計(jì)劃地培養(yǎng)

在訪談中，各類單位鮮有對(duì)信息安全人才梯隊(duì)建設(shè)具有明確的培養(yǎng)計(jì)劃。而且信息安全人員（包括兼任的）基本屬于單位的工具類人員，單位缺乏對(duì)這類人才中長(zhǎng)期職業(yè)生涯成長(zhǎng)規(guī)劃。由此可見，單位在人才成長(zhǎng)、運(yùn)用方面存在較大的短板，人才觀層次不高，甚至是落后。從中、外各類企業(yè)的案例中，不難發(fā)現(xiàn)那些效益好、發(fā)展勢(shì)頭強(qiáng)勁的單位，對(duì)待自己的員工不僅是使用，更注重根據(jù)單位的需要去開展各類培訓(xùn)，甚至是定期定培訓(xùn)費(fèi)用額度的，以培養(yǎng)符合業(yè)務(wù)需要的員工，以便讓員工為單位戰(zhàn)略的實(shí)現(xiàn)發(fā)揮最大作用。這方面意識(shí)的轉(zhuǎn)變與否，不能只聽管理層怎么說，更需要通過各單位人力資源部門針對(duì)有關(guān)人員是否有培養(yǎng)計(jì)劃、計(jì)劃是否實(shí)施以及涉及的人員范圍、層級(jí)來考察和評(píng)價(jià)。

2．轉(zhuǎn)變僅以追求單位經(jīng)濟(jì)效益為訴求的意識(shí)，而是建立“財(cái)務(wù)與非財(cái)務(wù)指標(biāo)并重”的發(fā)展意識(shí)

從調(diào)研數(shù)據(jù)和分析發(fā)現(xiàn)，地區(qū)、單位兩級(jí)信息安全建設(shè)中，人員這一維度存在較為明顯的短板。根據(jù)平衡計(jì)分卡的管理思路，以及國內(nèi)外知名單位運(yùn)用該管理工具的效果，員工、流程、客戶、財(cái)務(wù)這四類指標(biāo)需要平衡發(fā)展，否則會(huì)因“木桶效應(yīng)”影響單位戰(zhàn)略的實(shí)現(xiàn)。

這兩方面的意識(shí)轉(zhuǎn)變因涉及各類單位的管理層和部門管理層，難度是比較大的，不僅需要通過開展地區(qū)、單位兩級(jí)的管理意識(shí)培訓(xùn)來滲透有關(guān)管理知識(shí)，還必須建立可操作指標(biāo)來逐步加以地區(qū)級(jí)的宏觀控制和必要的引導(dǎo)?？疾斓闹笜?biāo)可以是：針對(duì)人力資源培訓(xùn)計(jì)劃、職業(yè)生涯規(guī)劃及實(shí)施、人員培養(yǎng)資金具體投入額度或占成本比例等、崗位專業(yè)化或資質(zhì)所達(dá)程度等。

綜上所述，本文依據(jù)對(duì)52個(gè)單位的實(shí)際調(diào)研和數(shù)據(jù)統(tǒng)計(jì)分析，驗(yàn)證了“地區(qū)內(nèi)信息安全人員隊(duì)伍年輕化程度高、高職稱偏少、專業(yè)（或有正規(guī)專業(yè)資質(zhì)）人員參與管理及決策的較少、現(xiàn)有人員整體結(jié)構(gòu)的專業(yè)化程度低等原因，造成民用領(lǐng)域的單位這一級(jí)從整體角度講對(duì)信息安全知識(shí)、自身需求、危機(jī)等問題的認(rèn)識(shí)還無法獲得單位高層的認(rèn)同，是影響單位甚至地區(qū)信息安全建設(shè)和有關(guān)人力資源梯隊(duì)建設(shè)的內(nèi)因之一”的假設(shè)。繼而，給出單位內(nèi)部的解決對(duì)策，并就地區(qū)宏觀管理給出一些建議。另外，基層單位信息安全及人才建設(shè)問題的解決，還需要由外部的因素來推動(dòng)，將在其他文章中加以闡述。

1. 張建彪等：《信息安全體系結(jié)構(gòu)》，北京工業(yè)大學(xué)出版社，2011年版。

2. 王巖：《2012中國信息安全年會(huì)暨CSO俱樂部大會(huì)召開》，計(jì)算機(jī)世界：http://www.donews.co m/net/201209/1664407.shtm．2012年9月。

3. 沈昌祥：《信息安全國家發(fā)展戰(zhàn)略思考與對(duì)策》，載《中國公共安全（學(xué)術(shù)卷）》，2005年第6期。

4. 梁鎮(zhèn)等：《新技術(shù)企業(yè)知識(shí)型員工成長(zhǎng)戰(zhàn)略研究》，中國鐵道工業(yè)出版社，2010年版。

5. 方勇等：《信息安全學(xué)科體系和人才體系研究》，載《北京電子科技學(xué)院學(xué)報(bào)》，2006年第3期。

6. 李振汕：《信息安全專業(yè)人才需求分析與高職培養(yǎng)定位》，載《計(jì)算機(jī)教育》，2010年第1期。

7. 白潔：《圍城—信息安全人才的培養(yǎng)和就業(yè)—信息安全人才面面觀之人才就業(yè)篇》，載《信息安全與通信保密》，2010年第1期。

8. 劉樹林等：《年齡與腦力勞動(dòng)工作績(jī)效的關(guān)系研究綜述》，載《丹東師專學(xué)報(bào)》，2002年第12期。

9. 龔會(huì)等：《IT行業(yè)技術(shù)員工年齡與創(chuàng)新行為——年齡刻板印象的影響作用》，載《四川教育學(xué)院學(xué)報(bào)》，2012年第3期。

10. 韋欽云：《科技創(chuàng)新與黃金年齡人才開發(fā)》，載《發(fā)展論壇》，2000年第4期。