研究警告新科技为信息安全人员带来沉重压力

由 (ISC)2赞助、 Frost & Sullivan对全球超过10,000名信息安全专业人员进行的调查, 亦发现重大技术差距

香港2011年2月18日电 /美通社亚洲/ -- 一项以全球超过10,000名信息安全专业人员为对象的调查发现，现今商业社会广泛采用越来越多的科技，对信息安全管理人员及其雇员造成重大挑战，未来数年更有可能危及全球政府机构、企业及消费者的安全。

由Frost & Sullivan进行的2011年(ISC)2®（读作“ISC-squared”，中译名为“国际信息系统安全核准联盟”）全球资讯安全人力研究（GISWS）显示，流动装置、云端、社会网络及不安全的应用程式带来新威胁，加上解决顾客的安全疑虑等问题增加责任，导致“信息安全专业人员捉襟见肘，犹如水坝出现一连串裂缝，现时操劳过度的人力可能出现受压迹象”。

这项代表(ISC)2进行的研究亦显示业内的技术需求出现严重差距。(ISC)2是为资讯安全专业人员提供教育和认证的全球领先非牟利组织。信息安全专业人员承认他们需要接受更佳的培训，但很多受访者指出大部分科技已经广泛使用，而使用者并无考虑到安全问题。

“在现今的组织里，最终使用者将科技带进企业。信息科技的先后次序由最终使用者而非企业支配。”Frost & Sullivan环球程式网络安全监事Robert Ayoub说。“提高安全造成压力，因此产生出来的技术差距为全球组织带来风险。”

“不过，如果我们现在投资于吸纳优才加入这行业，并同时投资于新兴技术的专业发展，我们能够将风险减低。正如研究发现，这些解决方案正在进行中，但问题仍是到底不久将来能否吸纳足够的新专业人员，进行足够的培训，令私营和公营部门的全球关键基础建设皆受到保护。”

“此项研究所带来的好消息是信息安全专业人员最终得到管理支援，并因为组织内部的最关键任务数据和系统安全而得到倚重和补偿。”Ayoub补充说。“坏消息是他们被要求做太多工作，以致提升技术以应付最新的安全威胁及商业需求的时间变相减少了。”

这项研究的其他重要发现还包括：

• Frost & Sullivan预计2010年全球共有228万名信息安全专业人员，其中亚太区约占750,000名。预期2015年之前，亚太区的专业人员需求将突破130万人，相当于复合年增长率11.9%，为具备适当技术的人士创造就业机会。
• 安全软件开发是全球信息安全专业人员专注的重要新范畴。72%的受访者表示应用程式漏洞高居第一项威胁，而20%受访者表示他们从事安全软件开发工作。
• 近70％受访者表示他们设有政策及科技以应付流动装置的安全挑战，但流动装置仍然排在受访者的第二最关注问题。研究的结论是流动安全可能在可见将来对机构造成单一最危险威胁。
• 云端计算说明科技实施与提供安全所需的技术之间出现严重差距。超过50%受访者表示设有私有云端，而超过70%受访者表示有需要学习新技术以为云端基础科技作妥善保安。
• 专业人员并未准备好应付社交媒体威胁。受访者表示对于最终使用者造访社交媒体网站采取的政策及保护并不贯彻，略低于30%受访者并无任何社交媒体安全政策。
• 自2008年进行最近期的调查以来，病毒和蠕虫、黑客及内部职员均为较大威胁。
• 专业人员持续增长的主要动力包括监管规定要求、透过流动装置及流动人力遗失数据的机会提高，以及因机构将数据转向云端基础服务而可能失控。
• 近三分之二受访者预期信息安全人员及培训的2011年预算不会增加。
• 薪金反映虽然全球经济衰退，但仍然有健康增长，五分之三的受访者在2010年获得加薪。整体来说，信息安全专业人员的薪金有所增加，而自2007年的研究以来，亚太区的增幅一直较高，达18%。

“随着安全威胁导致信息安全专业人员的需求不断增加，我们需要改变全球网络安全策略，以应付今次研究所揭示的技术差距问题。”(ISC)2亚洲顾问委员会联席主席兼资深会员Lee Jae-woo博士表示。“特别是亚洲区，就业机会正在增加。为了填补专业需求的差距，我们促请业界、政府、学术界以及专业人员通力合作，吸纳新一代的高资历信息科技专才，同时支持现有的专业人员，协助他们解决当前的威胁。

这项研究可能是有史以来较大型的信息安全专业人员研究，研究于2010年秋季进行，访问对象包括全球企业及公营机构的10,413名信息安全专业人员，其中61%位于美洲，22.5%位于欧洲、中东及非洲，16.5%位于亚太区。45%来自员工超过10,000人的大机构。

全球受访者的平均年资超过九年，而5%受访者拥有行政人员职级，例如信息安全总监。此外，Frost & Sullivan使用其他第一手数据来源及方法来补充分析。

GISWS是(ISC)2自2004年以来赞助的第五项研究，研究目标是向业界权益关系者，包括专业人员、企业、政府机构、学术界及负责招聘的经理，提供有意义的信息安全专业人员研究。

研究全文可在以下连结阅览：https://www.isc2.org/workforcestudy/Default.aspx。

有关(ISC)2®

(ISC)2是由全球获认可信息安全专业人员组成的较大非牟利成员组织，在超过135个国家有近75,000名成员。(ISC)2所发出的认证在全球业内获得较高评价，包括向合资格人员发出Certified Information Systems Security Professional（信息系统安全认证专家）（CISSP®）及相关专业认证，以及Certified Secure Software Lifecycle Professional（安全软件生命周期认证专家）（CSSLP®）、Certified Authorization Professional（认证授权专家）(CAP®)及Systems Security Certified Practitioner（系统安全认证从业人员）（SSCP®）各项认证。(ISC)2的认证是第一个达到ANSI/ISO/IEC Standard 17024（评审和核证有关人员的全球标准）严格要求的技术认证。(ISC)2亦根据其CBK®（一套有关信息安全议题的概论）提供教育课程及服务。更多有关资料可在http://www.isc2.org 阅览。

© 2011、(ISC)2 Inc.  (ISC)2、CISSP、CSSLP、 ISSAP、ISSMP、ISSEP、CAP、SSCP及CBK均为 (ISC)2, Inc.的注册标记。

联络人：

钟嘉仪
(ISC)2 Asia-Pacific
电话：+852-3520-4001
电邮：kchung@isc2.org