国家标准《信息安全技术 网络安全从业人员能力基本要求》重点解读
一、 标准发布的背景
职业化是行业迈向成熟的关键标志,它反映了行业在进步过程中对任务分工和专业化的需求。然而,通过观察我国网络安全领域从业人员现状,不难发现,除了人员总量不足,更为普遍的是“人岗不匹配”现象。许多企业对网络安全的重要性认识不足,因此并未设立专门的网络安全管理部门和岗位;即便有,企业在相关安全岗位设置的标准和专业人员的能力上也存在很大差异,这无疑阻碍了网络安全行业的健康发展。因此,推进网络安全从业人员职业化建设,对于保障网络安全建设工作的稳定与进步至关重要。
2023年3月17日,我国首部且唯一一部国家级网络安全从业人员能力要求标准、国家标准GB/T 42446-2023《信息安全技术 网络安全从业人员能力基本要求》正式发布。长扬科技作为此标准的主要起草单位,全程参与了编制工作。此标准不仅明确了网络安全从业人员的分类,还详细规定了从业人员所应具备的知识和技能。这一标准的发布,为规范网络安全从业市场、提升从业人员能力水平提供了有力的指导,为网络安全行业的持续、健康发展提供了坚实的支撑。
本文将围绕网络安全从业人员能力基本要求的组成要素、要素之间的内在联系、主要工作类别、具体任务以及所需的知识和技能进行解读,旨在帮助网络安全从业人员构建系统化的职业认知体系
二、 标准的主要内容
01.组成要素及其关系
网络安全从业人员完成工作任务需要具备相应的能力。工作类别中的工作任务需要由承担不同工作角色的网络安全从业人员来完成,从业人员应具有完成工作任务所需要的知识和技能。从业人员工作任务、工作类别、工作角色、知识和技能之间关系如下图所示:
图1 从业人员组成要素关系图谱
02.工作类别及工作任务
网络安全从业人员工作类别分为网络安全管理、网络安全建设、网络安全运营、网络安全审计和评估以及网络安全科研教育5大类。网络安全主要工作任务及任务网络安全需求分析、网络安全规划和管理、网络数据安全保护等20项。工作类别对应承担的工作任务具体如下图所示:
图2 工作类别和工作任务对应关系图谱
03.通用知识和技能要求
网络安全从业人员应具备完成其所承担工作角色所赋予的工作任务所需的知识和技能。包括通用知识和技能要求及专业知识和技能要求。
通用知识和通用技能要求为所有类别的从业人员都应具备。具体如下图所示:
图3 通用知识和通用技能要求
04.专业知识和技能要求
承担相应工作类别的从业人员应具备的基本专业知识和技能要求,当从业人员只承担工作类别中的部分工作任务时,从业人员应具备该工作类别中相对应的知识和技能,不必具备所有的知识和技能。5项工作类别对应的专业知识和技能要求如下图所示:
图4 网络安全管理类人员专业知识和技能要求
图5 网络安全建设类人员专业知识和技能要求
图6 网络安全运营类人员专业知识和技能要求
图7 网络安全审计和评估类人员专业知识和技能要求
图8 网络安全科研教育类人员专业知识和技能要求
05.工作角色及知识技能程度
工作岗位是组织根据自身实际情况对工作角色的落实, 一个工作岗位可落实一个或多个工作角色,一个工作角色可被一个或多个岗位落实,落实相同工作角色的工作岗位在不同组织中的岗位名称可能不同,组织按其设置的工作岗位分配从业人员的工作。本文件没有对掌握知识和技能的程度提出要求,组织可根据实际业务情况规定。
图9 工作角色和工作任务对应关系表
尽管不同组织对工作角色的划分定位不同,但从业人员可统一参考下方网络安全从业人员分类与国家网络安全职业分类映射关系表作为指导:
图10 网络安全从业人员分类与国家网络安全职业分类映射关系表
三、长扬科技网络安全从业人员能力提升培训认证体系
长扬科技作为工业互联网安全领域第一批践行者,一直专注于网络安全领域的人才培养,不断优化培训体系,聚焦产教融合建设模式,开创网络安全拔尖人才“政行企校”四方协同育人模式;同时“以点带面”辐射区域和周边,为社会培训职能提供支持,充分整合技术行业资源和办学优势,开展社会培训和职业认证服务,助推工业互联网安全人才队伍建设。
01.CIISE工业互联网安全专项认证培训
按照《工业互联网产业人才岗位能力要求》标准,工业互联网安全能力认证聚焦工业互联网安全规划设计、运维实施、评估评测、开发设计等方面技术技能。长扬科技根据参与人员报名参加的工业互联网安全不同岗位类别,进行培训和能力认证。岗位类别包括工业互联网安全运维工程师、评估工程师等岗位类别。
图12 CIISE工业互联网安全专项认证
02.工业互联网安全定制培训
长扬科技工业互联网安全定制培训课程内容覆盖工业互联网安全领域的各个方面,包括工业控制系统安全概述、工业控制系统网络、政策法规解读、工控安全关键技术、工控安全行业研究等。通过本课程学习,能够帮助学员深入了解ISO27000系列标准以及主要控制措施建议、深刻认识到网络安全管理的重要性、掌握安全现状调研和网络安全风险评估与管理的理论基础/方法/实施过程及相应实施工具等重要内容。
图13 长扬工业互联网安全定制培训课程体系
四、标准发布的意义
网络安全工作是信息化建设不可或缺的一环,它贯穿于数据、应用、系统、网络等多个工作层面,并涉及规划、研发、建设、运营、管理、生产等整个业务流程。在任何一个环节,都需要有专业的网络安全从业人员来承担保障网络安全的职责。
在当前网络安全领域对专业人才需求迫切的情况下,国家标准的发布具有深远意义。它不仅明确了网络安全职业的正当性与重要性,还提高了网络安全教育培训的针对性,有助于促进网络安全人才供需的精准匹配,进而提升网络安全职业的吸引力和竞争力。这一标准的实施,对于推动网络安全行业的整体发展、保障国家网络安全和信息安全具有重大的战略价值和社会意义。
长扬科技在网络安全从业人员能力提升培训认证体系方面做出了积极的探索和实践,致力于提升网络安全从业人员的专业能力和水平,为行业发展注入新的动力。在过去的一年中,长扬科技精准定位客户对于网络安全领域的最新需求,为客户量身定制多元化专业培训课程,深度传授网络安全知识,年度完成客户侧培训讲座百余场;在未来的发展中,长扬科技将继续完善和优化培训认证体系,为网络安全行业培养更多高素质的专业人才,共同守护网络空间的安全与稳定。