對于大型集團企業而言,網絡安全人才的短缺并非一時的問題,要從根本上解決網絡安全人才短缺的問題,企業必須重視并加強網絡安全人才的培養。從短期看,培養網絡安全人才能夠幫助企業提高其網絡防御能力,防范網絡威脅,保護企業資產的安全;從長期看,投資于網絡安全人才的培養將給企業帶來重要的競爭優勢,提升企業的商譽,贏得更多客戶和投資者的信任。
一個有效的網絡安全人才培養體系是確保個人和組織的網絡安全的基石。網絡安全人才培養不只是單純的網絡安全課程知識培訓,而是要以綜合性的方式,從制度建設、組織職責、評價考核、培訓演練和支撐保障等多個方面予以考慮培養具備專業知識、技能和實戰能力的復合型網絡安全人才,才能有效應對日益復雜和嚴峻的網絡安全挑戰。
本文將探討大型集團企業網絡安全人才培養的價值、難點和體系構建,并通過了解人才培養的核心原則和最佳實踐,探析高素質網絡安全專業人才培養的關鍵要素。
一、網絡安全人才培養的驅動因素
01法律和合規要求
近年來,許多國家和地區出臺了網絡安全相關的法律和合規要求,這些法規的實施推動了企業對網絡安全的重視和加強,也提升了企業對專業網絡安全人才的需求。隨著網絡威脅的不斷演變,法律法規對網絡安全人才的要求也越來越高,包括對其技術能力、法律法規的熟悉程度以及應急響應能力等方面。
在我國密集出臺的一系列政策和法規中,網絡安全人才隊伍的建設被多次提及,并被視為一項必不可少的基礎工作,這要求企業培養和招聘具備相應技能和知識的網絡安全人才來確保其在法律和合規方面的遵從,以及對網絡安全的持續保護和應對能力。
01企業網絡安全保護的需求
保護信息資產安全企業的信息資產包括客戶數據、商業機密、財務信息等重要數據,這些數據的泄露或損失可能導致嚴重的商業損失和聲譽風險。網絡安全人才通過深入理解網絡安全威脅、掌握安全防護技術和實施安全措施,能夠有效防止數據泄露和損失的發生,保護企業的信息資產安全。
培養安全意識和文化網絡安全人才的培養可以幫助企業建立和培養全員參與的安全意識和安全文化。他們能夠進行安全培訓和意識提升活動,教育員工識別和應對網絡威脅,遵循安全最佳實踐,從而減少內部安全漏洞和人為失誤造成的風險。
提高網絡安全防護水平企業面臨著不斷增長和演變的網絡安全威脅,網絡安全人才培養可以幫助企業建立一支專業的綜合安全團隊。這個團隊由各種安全專業人員組成,如網絡安全工程師、安全分析師、安全顧問等。他們共同合作,共享經驗和知識,為企業提供全面的安全防護。通過建立這樣的團隊,企業能夠迅速應對各種網絡安全挑戰,構建更全面的網絡安全防護體系。
綜上所述,法律法規層面的要求以及企業對網絡安全保護的需求是驅動網絡安全人才培養的重要因素,促使企業重視網絡安全人才培養,以提高企業的網絡安全能力和保護水平。
二、網絡安全人才培養的目標
大型集團企業在開展網絡安全人才培養時,需要實現以下四個方面的目標:
01做好人才儲備,防止人才流失
制定網絡安全人力資源規劃,明確未來的網絡安全人才需求,通過制定網絡安全各崗位的任職資格標準,作為人才引進、選拔和培養的標準。建立網絡安全人才庫,針對儲備人才制定個性化的培養計劃,采用培訓、輪崗等方式,提高儲備人才的勝任力,保持人才發展的可持續。
02強化激勵機制,暢通發展路徑
建立和完善網絡安全人才評價體系,強化對不同層次網絡安全人才的有效激勵,暢通職業發展路徑,鼓勵網絡安全人才充分展示才能、努力創造價值。
03加強專業技能,提升履職能力
對網絡安全人才開展專業技能培訓和實戰演練,增強網絡安全人才的專業知識和素養,提升履職盡責能力和水平,強化網絡安全管理工作的責任意識和工作理念。
04提高綜合素質,促進全面發展
明確網絡安全人才需具備的職業道德、綜合技術能力、溝通協作能力、應急響應能力等綜合能力,全面提高網絡安全人才的綜合素養,促進人才全面發展,筑牢企業網絡安全防線。
三、網絡安全人才培養的原則
為了實現預期中的人才培養目標,大型集團企業在制定網絡安全人才培養方案時,需要遵循以下原則:
01科學性
網絡安全人才培養方案的科學性是影響人才培養質量的關鍵因素之一,應綜合考慮企業信息化發展戰略、數字化轉型規劃、網絡安全發展戰略、網絡安全人才現狀和發展需求,制定科學合理的網絡安全人才培養方案,為網絡安全人才培養工作提供指導。
02先進性
鑒于網絡安全人才具有知識面覆蓋廣、更新快、實戰性強等特點,網絡安全人才培養也需要不斷與時俱進。企業應結合當前網絡安全的整體形勢、網絡安全的各項政策法規,以及在十四五期間數字化轉型發展規劃的要求,考慮未來網絡安全的發展方向和對網絡安全人才的需求,增強網絡安全人才培養的前瞻性,促進網絡安全人才不斷跟蹤新形勢、新技術的發展,有效防范新型網絡安全風險。
03差異性
充分考慮企業集團及各級單位網絡安全工作方向不同、崗位不同、職責不同、能力要求不同等特點,針對不同的網絡安全培養對象,設計出的人才培養方案的側重點、所采用的培養方式和所傳達的理念方法也不同。
04落地性
充分評估網絡安全人才培養現狀,綜合考慮人、設備、技術、管理與成本等因素,制定可執行、可落地的培養方案。
四、網絡安全人才培養體系設計
人是安全管理的核心,網絡安全人才培養是網絡安全建設的重要環節之一,為滿足網絡安全日常管理、安全建設與實施、安全運營與維護、應急響應與防御等方面的實際要求,并適當結合企業未來業務和技術發展,可以從制度體系、組織體系、評價體系、培訓體系和支撐體系等五個方面來建設網絡安全人才培養體系。
網絡安全人才培養體系總體架構
01制度體系
企業網絡安全人才的培養應當有制度作為依托。一個完善的網絡安全人才管理制度是推動企業網絡安全人才培養工作順利進行、保證其執行和實施的關鍵。該制度不只是明確了網絡安全主管部門、人力資源部門等相關組織和角色的職責目標,而且還規范了人才培養過程中的管理操作流程,這為持續進行人才培養工作提供了堅實的基礎。
02組織體系
網絡安全人才培養的組織體系旨在明確企業集團總部及各級單位在網絡安全人才培養工作中的責任部門,這主要涉及人力資源部門以及網絡安全管理部門,并對其職責進行明確劃分。此外,該體系也定義了集團總部及各級單位的網絡安全人才的能力和經驗要求。
網絡安全人才培養的組織體系處于網絡安全人才培養戰略的核心,為網絡安全人才培養工作的落實提供了基礎和保障。同時,網絡安全人才培養制度和流程的實際落地執行也依賴于組織體系中涵蓋的組織結構和人員崗位的有力支持。
03評價體系
建立針對網絡安全人才培養的評價體系能幫助企業全面理解和跟蹤網絡安全人才培養工作的執行情況和效果。通過定性和定量評價的融合,人才評價將人才培養、個人能力提升和組織整體績效緊密相連。
對于各級單位,網絡安全人才評價的結果可以作為績效評估和職級評價的關鍵參照,協助各級管理者識別和確定網絡安全領域的潛在人才。這不僅有利于推動管理者優選和選拔,還有助于優化資源分配。
對于網絡安全人才個人,評價結果能明確他們的發展路徑,有助于人力資源部門和網絡安全管理部門制定個性化的培訓計劃,從而推動個人職業發展。
04培訓體系
網絡安全培訓體系是為了滿足不同層次的安全需求而精心設計的。構建此培訓體系是一項持續不斷的任務,它涵蓋一系列的管理和技術培訓課程,以及實戰演練和競賽等活動。這些都有助于提升網絡安全人才的專業技能和安全意識,加強對人的管理,強調對人的培訓,從而降低因人為因素導致的網絡安全風險。
對于各種類型的網絡安全人才,應制定針對性的培養計劃,為整個培訓體系的構建提供輸入,明確核心人才培養的操作流程和關鍵原則,這將有助于未來落實和推動培養計劃。
05支撐體系
網絡安全人才培養需要充足的資源保障。根據企業的實際需求,可以通過構建網絡安全人才交流平臺、建立培訓教育平臺、設立網絡安全實驗室、邀請杰出的培訓講師,以及加強與外部機構的合作等途徑來逐步推進。這不僅保證了網絡安全人才培養渠道的穩定性和暢通性,而且確保了人才培養機制的有效實施。
五、網絡安全人才培養的挑戰
對大型集團企業而言,有效開展體系化的網絡安全人才培養并不容易,其培養計劃能否真正取得成功,將面臨以下四個方面的挑戰:
01專業性
實施網絡安全人才培養時,專業性是一項基本且關鍵的要求。這一專業性在兩個方面得到體現:首先,人才培養的知識內容本身必須有深度和專業度;其次,培養的方式和表現形式也應具備專業標準和質量。
02資源保障
網絡安全人才培養需要有足夠的資源保障。企業應高度重視網絡安全人才的培養,確保在人力、財力、物力等各個方面提供充分支持和投入。這可能涉及打通人才交流的渠道、引入內外部的培訓資源以及優秀的教師隊伍、構建有效的培訓平臺、加強校企合作,以及制定激勵人才發展的措施等。
03從實踐中來,往實戰中去
網絡安全人才培養具有其獨特性。這不僅要求從業人員理論知識扎實,更需要他們具備實踐操作技能。應強調學科教育與職業培訓的融合,基礎理論知識與企業實戰經驗的交融。通過網絡安全競賽、實戰網絡攻防演練等形式,培養具備實戰能力的網絡安全人才。
04長期堅持,并不斷創新
網絡安全人才的培養需因材施教,并實現常態化。除了定期的培訓和演練,企業還需要將人才培養深入到日常工作流程中,通過老師傅向新入職網絡安全人員傳授專業知識和實戰經驗。為了保持與網絡安全環境的同步發展,人才培養也需要持續創新。這涵蓋了培養方法的創新、培養內容的更新、激勵機制的改良,以及網絡安全知識展示方式的刷新等各個方面。
作者簡介
張兵,谷安天下信息技術咨詢合伙人,數據安全治理委員會專家,全國金融標準化技術委員會證券分技術委員會專家,《中小銀行數據安全治理研究報告》、《數據防泄露產品選型指南》報告主編,20多年的信息安全、數據安全、個人信息保護、科技風險、網絡安全規劃、SOC管理體系等咨詢及審計服務經驗,獲得CISA、CDPSE、CISP-DSG、ISO 27701等證書,熟悉銀行業、保險業、證券業、電信互聯網行業、醫療健康行業及大型央企的科技管理與風險應對措施,掌握專業的數據安全建設方法論,并具備豐富的項目實踐經驗。
李欣韋,谷安天下信息技術咨詢經理,10多年的信息安全咨詢和信息科技風險審計工作經驗,獲得CISA、CDPSE、CISP-DSG、ISO 27001、ISO 27701等證書,熟悉銀行業、保險業、證券業、大型央企的科技管理風險與應對措施,對數據安全、個人信息保護、科技風險管理等領域均有著較為深入的研究,掌握專業的數據安全建設方法論,并具備豐富的項目實踐經驗。
