中国电子政务网--公共安全--网络安全--全球4,000名信息安全专业人员调查报告

全球4,000名信息安全专业人员调查报告

来源:证券之星更新时间:2012-04-13

非营利性国际领先组织国际信息系统安全核准联盟（(ISC)2(R)；下称 (ISC)2）今天公布了第三年度全球信息安全从业员人力研究结果。该组织为全球信息安全专业人员提供职业教育及从业资格认证。此次研究由 (ISC)2 出资发起并委托国际性行业分析公司 IDC 进行具体调查。
　　
　　此次研究调查了100多个国家的4,000多名信息安全专业人员，是同类研究中规模最大的一次。根据接受调查人员的反馈显示，在有效保障他们组织的基础设施安全的因素中，最重要的是（按重要程度排序）：
　　
　　-- 管理人员对安全政策的支持
　　
　　-- 用户遵守安全政策
　　
　　-- 合格的安全工作人员
　　
　　-- 软件解决方案
　　
　　-- 硬件解决方案
　　
　　根据这项研究的结果，排名前三项的最为重要的因素突显了公共和私营实体需要投入更多的时间和精力来关注政策、流程和人员，这三个领域此前都因为人们出于对硬件和软件能够解决安全问题的信任而受到忽视。接受调查的人员表示组织现在开始认识到对于实施和执行全面有效的安全战略而言，技术只是一种驱动力量，而不是解决方案。
　　
　　此次研究还发现组织中开始有越来越多的人参与分担执行全面有效的安全战略的职责，首席官层次的领导们都承担起安全管理的责任，成为了界定明确、联接有序的风险管理项目的一部分。去年研究发现的一项趋势仍在继续，即保障信息资产安全的责任从首席信息官向其它高层管理和业务领导转移，包括首席执行官、首席财务官、首席风险管理官和首席信息安全官以及法律和执行部门。
　　
　　IDC 负责领导此次研究的项目经理 Allan Carey 表示：“如果组织想要预先采取措施以保护他们的基础设施、信息、财务和有形资产的安全，就必然要求财务、管理和运营层次都无条件地参与信息安全工作并承担相应职责。信息安全管理几乎必然要求保持人员、政策、流程和技术之间的适度平衡，这样才能在今天这个数字化商务环境中有效地减少风险。”
　　
　　IDC 分析了100多个国家中4,016名全职信息安全专业人员的回复，其中将近40%的回复者受聘于年收入等于或超过10亿美元的企业。回复人主要来自世界上的三大地区：南北美地区 (57.3%)、欧中非地区（欧洲、中东、非洲）(22.8%) 和亚太地区（亚洲和太平洋地区，包括日本）(19.5%)，他们来自全球各地各行各业的代表性企业，所属企业规模有大有小，有国营部门也有私营企业，核心能力和技术体系各有不同。回复者一般都担任采购、招聘和/或管理等职务。2006年研究报告中的其它重要发现包括：

-- IDC 估计2006年全世界信息安全专业人员的数量大约是150万，与2005年相比增加了8.1个百分点。预计这个数字还将少量增加，到2010年超过200万，如此算来，从2005年到2010年年复合增长率为7.8%

。与此相对，全球信息技术从业人员同期的预计年增长率是4.6%。
　　
　　-- 亚洲和太平洋地区（亚太）与其它地区相比信息安全专业人员增加的机会最大。IDC 估计从2005年到2010年亚太地区的信息安全专业人员的数量将从458,844增加到733,943，年复合增长率达到9.8%。2005年到2006年，一年的增长率是10.6%。
　　
　　-- 亚太地区的薪酬已经有所增加，现在开始与世界其它地区的水平同步。2006年个人年收入在70,000美元到125,000美元之间的人所占的比例与2005年相比增加了6.2个百分点。在低收入人群中，亚太地区年收入低于40,000美元的安全专业人员仍然占到了本地区所有回复者的39%还多。然而，与去年相比，这个数字降低了7个百分点，去年与2004年的数字持平。
　　
　　-- 亚太地区的信息安全市场达到成熟的时间比美国晚了大约18个月，因此，如同美国四到五年前发生的情况一样，亚太地区现在的增长速度要高于平均水平。
　　
　　-- 各种组织运用安全技术的领域在各个地区大同小异，一般都是生物测定学、无线线上安全、系统入侵预防和法证技术。在各个地区，生物测定学都排在第一或第二的位置。
　　
　　-- 在南北美洲和欧洲、中东、非洲地区，信息安全风险管理领域的地位都上升成为培训的首要优先重点，在亚太地区则占据了第二的位置。在可预见的未来，这种情形还将会持续，因为组织都采取各种措施努力获得对自己风险态势的控制权，开发一种快速适应新的环境因素的灵活框架，从而为他们面临的最大风险提供可见性。业务连贯性和法证技术也是优先重点，专业人员希望拓宽他们的知识基础，提升他们的技能。
　　
　　-- 在去过的一年中，67%的安全从业人员相信他们在影响管理人员和业务相关人员增强安全意识并承担对于组织的安全责任方面所付出的努力和做出的工作是有效的。展望2007年，73%的人相信能够推动他们的组织在安全领域发生变革。
　　
　　-- 总体而言，与2005年相比，2006年组织的信息安全预算中用于人员和培训方面的费用支出所占的比例有所增加。各个组织平均用于人员和安全工作人员培训以及配置后管理方面的费用支出占他们安全预算的41%还多。

-- 信息安全资格证书作为一种聘用标准仍然极其重要，85%的招聘经理认为必须持有这种证书才可，但这个比例与2004年时92%的最高记录相比有所下降。
　　
　　Carey 表示：“IDC 相信参与此次研究的安全专业人员正把他们的信息传递给普通的群众，他们在各自所属的组织中担当着‘变革员’的角色，从而确保更多的人认识到信息安全对企业的积极贡献，而不会像过去几年那样，大多数人认为它是一种沉没成本

。人员和流程对于有效的信息安全至关重要这个信息已经开始得到商界领导人的共鸣和响应。”
　　
　　(ISC)2 的执行理事，信息系统安全认证专家 (CISSP)Ed Zeitler 说道：“在过去一年中各种因人为错误造成的安全漏洞事件成为了报章头条。今年的《全球信息安全从业员人力研究》进一步证实信息安全专业人员长期持有的传统智慧，即人是在有效的信息安全项目中最重要的组成部分。首席官层次的领导们开始听取信息安全专业人员的意见并且安全责任在组织中得到分担这个事实表明信息安全专业已经来到我们身边，得到了认可并成为了商务中必不可少的组成部分。”
　　
　　Zeitler 补充：“至于资格证书，此次调查没有区分单纯依赖一次考试所取得的证书与需要实际工作经验、继续教育、同行推荐以及其它更为成熟领域中专业资格证书方面的一些常见要求才能获得的证书。我们相信拥有实际工作经验并接受过继续教育能够满足管理人员对专业知识的需求的资格证书比单纯依赖一次测试所取得的证书更受人欢迎，更能得到认可。”
　　
　　《2006年全球信息安全从业员人力研究》（编号203970，2006年10月发布）是由 (ISC)2 授权 IDC 进行的调查研究，旨在提供对信息安全行业重大发展趋势和机会的具体分析和深刻见解。这项研究对信息安全专业人员的薪酬水平、他们所在的组织对于安全的看法以及推动信息安全职业和这个专业发展需要采取的步骤等方面提供了更加清晰的认识。