对于大型集团企业而言,网络安全人才的短缺并非一时的问题,要从根本上解决网络安全人才短缺的问题,企业必须重视并加强网络安全人才的培养。从短期看,培养网络安全人才能够帮助企业提高其网络防御能力,防范网络威胁,保护企业资产的安全;从长期看,投资于网络安全人才的培养将给企业带来重要的竞争优势,提升企业的商誉,赢得更多客户和投资者的信任。
一个有效的网络安全人才培养体系是确保个人和组织的网络安全的基石。网络安全人才培养不只是单纯的网络安全课程知识培训,而是要以综合性的方式,从制度建设、组织职责、评价考核、培训演练和支撑保障等多个方面予以考虑培养具备专业知识、技能和实战能力的复合型网络安全人才,才能有效应对日益复杂和严峻的网络安全挑战。
本文将探讨大型集团企业网络安全人才培养的价值、难点和体系构建,并通过了解人才培养的核心原则和最佳实践,探析高素质网络安全专业人才培养的关键要素。
一、网络安全人才培养的驱动因素
01法律和合规要求
近年来,许多国家和地区出台了网络安全相关的法律和合规要求,这些法规的实施推动了企业对网络安全的重视和加强,也提升了企业对专业网络安全人才的需求。随着网络威胁的不断演变,法律法规对网络安全人才的要求也越来越高,包括对其技术能力、法律法规的熟悉程度以及应急响应能力等方面。
在我国密集出台的一系列政策和法规中,网络安全人才队伍的建设被多次提及,并被视为一项必不可少的基础工作,这要求企业培养和招聘具备相应技能和知识的网络安全人才来确保其在法律和合规方面的遵从,以及对网络安全的持续保护和应对能力。
01企业网络安全保护的需求
- 保护信息资产安全企业的信息资产包括客户数据、商业机密、财务信息等重要数据,这些数据的泄露或损失可能导致严重的商业损失和声誉风险。网络安全人才通过深入理解网络安全威胁、掌握安全防护技术和实施安全措施,能够有效防止数据泄露和损失的发生,保护企业的信息资产安全。
- 培养安全意识和文化网络安全人才的培养可以帮助企业建立和培养全员参与的安全意识和安全文化。他们能够进行安全培训和意识提升活动,教育员工识别和应对网络威胁,遵循安全最佳实践,从而减少内部安全漏洞和人为失误造成的风险。
- 提高网络安全防护水平企业面临着不断增长和演变的网络安全威胁,网络安全人才培养可以帮助企业建立一支专业的综合安全团队。这个团队由各种安全专业人员组成,如网络安全工程师、安全分析师、安全顾问等。他们共同合作,共享经验和知识,为企业提供全面的安全防护。通过建立这样的团队,企业能够迅速应对各种网络安全挑战,构建更全面的网络安全防护体系。
综上所述,法律法规层面的要求以及企业对网络安全保护的需求是驱动网络安全人才培养的重要因素,促使企业重视网络安全人才培养,以提高企业的网络安全能力和保护水平。
二、网络安全人才培养的目标
大型集团企业在开展网络安全人才培养时,需要实现以下四个方面的目标:
01做好人才储备,防止人才流失
制定网络安全人力资源规划,明确未来的网络安全人才需求,通过制定网络安全各岗位的任职资格标准,作为人才引进、选拔和培养的标准。建立网络安全人才库,针对储备人才制定个性化的培养计划,采用培训、轮岗等方式,提高储备人才的胜任力,保持人才发展的可持续。
02强化激励机制,畅通发展路径
建立和完善网络安全人才评价体系,强化对不同层次网络安全人才的有效激励,畅通职业发展路径,鼓励网络安全人才充分展示才能、努力创造价值。
03加强专业技能,提升履职能力
对网络安全人才开展专业技能培训和实战演练,增强网络安全人才的专业知识和素养,提升履职尽责能力和水平,强化网络安全管理工作的责任意识和工作理念。
04提高综合素质,促进全面发展
明确网络安全人才需具备的职业道德、综合技术能力、沟通协作能力、应急响应能力等综合能力,全面提高网络安全人才的综合素养,促进人才全面发展,筑牢企业网络安全防线。
三、网络安全人才培养的原则
为了实现预期中的人才培养目标,大型集团企业在制定网络安全人才培养方案时,需要遵循以下原则:
01科学性
网络安全人才培养方案的科学性是影响人才培养质量的关键因素之一,应综合考虑企业信息化发展战略、数字化转型规划、网络安全发展战略、网络安全人才现状和发展需求,制定科学合理的网络安全人才培养方案,为网络安全人才培养工作提供指导。
02先进性
鉴于网络安全人才具有知识面覆盖广、更新快、实战性强等特点,网络安全人才培养也需要不断与时俱进。企业应结合当前网络安全的整体形势、网络安全的各项政策法规,以及在十四五期间数字化转型发展规划的要求,考虑未来网络安全的发展方向和对网络安全人才的需求,增强网络安全人才培养的前瞻性,促进网络安全人才不断跟踪新形势、新技术的发展,有效防范新型网络安全风险。
03差异性
充分考虑企业集团及各级单位网络安全工作方向不同、岗位不同、职责不同、能力要求不同等特点,针对不同的网络安全培养对象,设计出的人才培养方案的侧重点、所采用的培养方式和所传达的理念方法也不同。
04落地性
充分评估网络安全人才培养现状,综合考虑人、设备、技术、管理与成本等因素,制定可执行、可落地的培养方案。
四、网络安全人才培养体系设计
人是安全管理的核心,网络安全人才培养是网络安全建设的重要环节之一,为满足网络安全日常管理、安全建设与实施、安全运营与维护、应急响应与防御等方面的实际要求,并适当结合企业未来业务和技术发展,可以从制度体系、组织体系、评价体系、培训体系和支撑体系等五个方面来建设网络安全人才培养体系。
图片
网络安全人才培养体系总体架构
01制度体系
企业网络安全人才的培养应当有制度作为依托。一个完善的网络安全人才管理制度是推动企业网络安全人才培养工作顺利进行、保证其执行和实施的关键。该制度不只是明确了网络安全主管部门、人力资源部门等相关组织和角色的职责目标,而且还规范了人才培养过程中的管理操作流程,这为持续进行人才培养工作提供了坚实的基础。
02组织体系
网络安全人才培养的组织体系旨在明确企业集团总部及各级单位在网络安全人才培养工作中的责任部门,这主要涉及人力资源部门以及网络安全管理部门,并对其职责进行明确划分。此外,该体系也定义了集团总部及各级单位的网络安全人才的能力和经验要求。
网络安全人才培养的组织体系处于网络安全人才培养战略的核心,为网络安全人才培养工作的落实提供了基础和保障。同时,网络安全人才培养制度和流程的实际落地执行也依赖于组织体系中涵盖的组织结构和人员岗位的有力支持。
03评价体系
建立针对网络安全人才培养的评价体系能帮助企业全面理解和跟踪网络安全人才培养工作的执行情况和效果。通过定性和定量评价的融合,人才评价将人才培养、个人能力提升和组织整体绩效紧密相连。
对于各级单位,网络安全人才评价的结果可以作为绩效评估和职级评价的关键参照,协助各级管理者识别和确定网络安全领域的潜在人才。这不仅有利于推动管理者优选和选拔,还有助于优化资源分配。
对于网络安全人才个人,评价结果能明确他们的发展路径,有助于人力资源部门和网络安全管理部门制定个性化的培训计划,从而推动个人职业发展。
04培训体系
网络安全培训体系是为了满足不同层次的安全需求而精心设计的。构建此培训体系是一项持续不断的任务,它涵盖一系列的管理和技术培训课程,以及实战演练和竞赛等活动。这些都有助于提升网络安全人才的专业技能和安全意识,加强对人的管理,强调对人的培训,从而降低因人为因素导致的网络安全风险。
对于各种类型的网络安全人才,应制定针对性的培养计划,为整个培训体系的构建提供输入,明确核心人才培养的操作流程和关键原则,这将有助于未来落实和推动培养计划。
05支撑体系
网络安全人才培养需要充足的资源保障。根据企业的实际需求,可以通过构建网络安全人才交流平台、建立培训教育平台、设立网络安全实验室、邀请杰出的培训讲师,以及加强与外部机构的合作等途径来逐步推进。这不仅保证了网络安全人才培养渠道的稳定性和畅通性,而且确保了人才培养机制的有效实施。
五、网络安全人才培养的挑战
对大型集团企业而言,有效开展体系化的网络安全人才培养并不容易,其培养计划能否真正取得成功,将面临以下四个方面的挑战:
01专业性
实施网络安全人才培养时,专业性是一项基本且关键的要求。这一专业性在两个方面得到体现:首先,人才培养的知识内容本身必须有深度和专业度;其次,培养的方式和表现形式也应具备专业标准和质量。
02资源保障
网络安全人才培养需要有足够的资源保障。企业应高度重视网络安全人才的培养,确保在人力、财力、物力等各个方面提供充分支持和投入。这可能涉及打通人才交流的渠道、引入内外部的培训资源以及优秀的教师队伍、构建有效的培训平台、加强校企合作,以及制定激励人才发展的措施等。
03从实践中来,往实战中去
网络安全人才培养具有其独特性。这不仅要求从业人员理论知识扎实,更需要他们具备实践操作技能。应强调学科教育与职业培训的融合,基础理论知识与企业实战经验的交融。通过网络安全竞赛、实战网络攻防演练等形式,培养具备实战能力的网络安全人才。
04长期坚持,并不断创新
网络安全人才的培养需因材施教,并实现常态化。除了定期的培训和演练,企业还需要将人才培养深入到日常工作流程中,通过老师傅向新入职网络安全人员传授专业知识和实战经验。为了保持与网络安全环境的同步发展,人才培养也需要持续创新。这涵盖了培养方法的创新、培养内容的更新、激励机制的改良,以及网络安全知识展示方式的刷新等各个方面。
作者简介
张兵,谷安天下信息技术咨询合伙人,数据安全治理委员会专家,全国金融标准化技术委员会证券分技术委员会专家,《中小银行数据安全治理研究报告》、《数据防泄露产品选型指南》报告主编,20多年的信息安全、数据安全、个人信息保护、科技风险、网络安全规划、SOC管理体系等咨询及审计服务经验,获得CISA、CDPSE、CISP-DSG、ISO 27701等证书,熟悉银行业、保险业、证券业、电信互联网行业、医疗健康行业及大型央企的科技管理与风险应对措施,掌握专业的数据安全建设方法论,并具备丰富的项目实践经验。
李欣韦,谷安天下信息技术咨询经理,10多年的信息安全咨询和信息科技风险审计工作经验,获得CISA、CDPSE、CISP-DSG、ISO 27001、ISO 27701等证书,熟悉银行业、保险业、证券业、大型央企的科技管理风险与应对措施,对数据安全、个人信息保护、科技风险管理等领域均有着较为深入的研究,掌握专业的数据安全建设方法论,并具备丰富的项目实践经验。