首页 > 范文大全 > 正文

发展以安全为重安全以人才为本

开篇:润墨网以专业的文秘视角,为您筛选了一篇发展以安全为重安全以人才为本范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!

《上海信息化》:我们所知的三零卫士是一家专业的信息安全服务商,为何会涉足CISP(Certificated Information Security Professional,国家注册信息安全专业人员)信息安全培训?

邓高峰:国内信息安全产业经历了十多年的发展积累了一批中坚力量,大多分布在信息安全产品提供商和服务提供商以及第三方机构,但从信息安全责任单位以及为其提供各类信息技术服务外包的更广泛的IT行业来看,大部分行业和组织还没有专门的信息安全岗位设置和专业的信息安全人才配置,据权威机构估算,我国信息安全人才的需要量在50多万。目前,信息安全专业在国内仍是高等教育的二级学科,全国有将近80家高校设置了信息安全类本科专业,通过高校培养的信息安全人才不到4万人,这些青年军无论在整体数量还是在实践实战上,距离国家健全信息安全保障体系、上海市智慧城市所要求的信息安全总体可控,还有很大缺口,亟需通过专业的职业培训来补充和提升。

我理解的信息安全是暂时的,不安全是永恒的;信息安全的系统建设是一个持续进行的过程,其实就是指信息安全的“新四化”。以上海这样信息化程度很高的城市为例,无论是政府还是企业,一方面其业务对信息技术的依赖程度很大,另一方面这些改革开放的前沿也是各方关注的焦点,信息安全和业务连续的保障需求自然就十分迫切,信息安全不应成为信息化发展瓶颈,而应成为趋利避害的重要手段。全面提高各单位各企业的信息安全意识,有效提升信息安全专业技能水平,包括重点培育信息安全专业服务机构,这些工作都离不开信息安全人才培养和集聚,因此在各行业大力开展CISP等相关培训将为建设上海信息安全人才高地打下坚实的基础。

《上海信息化》:三零卫士在CISP培训体系建设上,又有哪些新的创新与思考?

邓高峰:CISP培训一直致力于培养信息安全的组织者、推动者和管理者。信息安全体系建设,不只是用信息安全产品搭建一个堡垒,更重要的是组织自身需建立一套完善的信息安全制度,只有硬件(技术)和软件(人才)相互结合,才能保障信息的机密性、完整性和可用性。对于公司的培训来说,则是将安全知识体系和实际工作中的应用一起纳入了信息安全体系建设。组织面临的安全问题多种多样,除了常见的系统漏洞、黑客入侵、挂马和钓鱼网站、木马下载器等一些技术性威胁外,一些安全意识薄弱同样也会产生安全问题,比如:没有专业的安全培训严重缺乏安全意识;不知道组织存在哪些安全隐患;出现突发安全事故无法第一时间了解等等。对于那些没有经过专门的安全培训、没有配备专业的技术人才、没有设定合理安全流程的企业来讲,只靠采购安装软、硬件安全产品来避免威胁或在遇到威胁时应急处理,是非常不现实的。

对此,CISP全面覆盖全球信息安全知识,充分贴合中国信息安全国情,具有非常系统化的知识体系,使用组件模块化的结构,包括知识类、知识体、知识域和知识子域四个层次,更注重全面性、前沿性和实用性。

《上海信息化》:国际上也有CISSP等信息安全培训,与之相比CISP有什么优势或特点?

邓高峰:国际上除了(ISC)2的CISSP(信息系统安全专家)培训之外,还有ISACA的CISA(注册信息安全审计师)、ISO27001的主任审核员等与信息安全相关的人员培训,但分别侧重技术、审计和管理体系,参与培训的人员也未必是信息安全从业人员。国内有公安部的信息安全师、工信部网络信息安全师、国家信息安全认证中心的CISAW(信息安全保障从业人员)等培训,还有不少社会化IT培训中也有所谓的信息安全模块,但是无论从专业人员定位、培训体系构成还是从与国家信息安全保障工作的关联度来看,均逊色于CISP。

CISP最初是瞄准CISSP所设计的高端专业培训,十年来结合国家信息安全保障的需求,不断得到更新和充实,现在已形成由CISM(注册信息安全人员)、CISO(注册信息安全管理人员)、CISE(注册信息安全工程师)、CISP-AUDIT(注册信息安全审计师)、CISP-DRP(注册信息安全灾难恢复工程师)、CISD(注册信息安全专业开发人员)所构成的系列培训和人员认证。所以说,如果希望在信息安全行业长期发展,就目前而言,CISP专业培训具有不可替代性。

《上海信息化》:今年上海针对信息安全教育培训有什么具体的政策和要求?

邓高峰:“发展以安全为重安全人才为本”是CISP培训的宗旨,信息化的成效很大程度上取决于信息安全保障水平,而信息安全保障的关键在于人,CISP培训的初衷就是在最大范围建立大家的信息安全意识,并针对信息安全相关人员普及信息安全知识,掌握必要的信息安全技能。就目前来看,CISP不仅是申请信息安全服务资质的必备条件,并在越来越多的行业成为信息安全岗位的“上岗证”,上海市也开始要求IT服务外包企业将信息安全专业人员纳入技术团队标准配置。

早在2011年,上海在《上海市推进智慧城市建设2011-2013年行动计划》中就提出:“把信息安全摆在城市安全的突出位置,提高全民信息安全意识,通过推行CISP等专业资格认证完成1000人次信息安全员的知识更新。”今年,上海市网络与信息安全协调小组办公室了《关于加强本市信息安全教育培训工作的通知》【沪网安办〔2013〕2号】,明确要求全市199家信息安全重点单位加强信息安全人才的专业技能培训,在涉及国计民生的重要信息系统实行关键岗位持证上岗;并将信息安全服务资质作为选择系统集成商和服务提供商的重要依据,要求其提供服务的技术队伍至少拥有2名信息安全专业人员。

上海这个政策举措在地方上还是首例,其示范作用和规模效应正在逐渐显现,很多单位已将信息安全教育培训工作制度化、常态化,不少行业已开展了CISP集中培训和定向培训,就今年上半年已有超过180人通过我们的专业培训,拿到了CISP专业资质证书,正式开始以CISP的道德规范(Code of Ethics)为其职业操守。