(ISC)2公布全球信息安全人力研究结果

“信息安全专业人员紧缺引发全球经济连锁反应”

2013全球信息安全人力研究发现，黑客行动主义（hactivism）、网络恐怖主义（cyber-terrorism）和国家资助攻擊行为（State-Sponsored Acts）是排名前列的安全顾虑，不过有三分之二的首席信息安全官认为，员工紧缺是导致代价高昂的数据泄露频繁产生的原因

香港2013年2月25日电 /美通社/ -- 全球较大的信息安全专业非盈利机构及 CISSP® 测试管理机构 (ISC)2®（读作“ISC-squared”）今日公布第六次全球信息安全人力研究（GISWS）结果。这项针对全球12,000多名信息安全专业人员的研究是与联合博思艾伦咨询公司（Booz Allen Hamilton）合作开展，并由 Frost & Sullivan 咨询公司进行的。结果发现，全球信息安全专业人员紧缺对经济产生了极大的影响，而这是综合“商业环境”、“高管未充分理解安全必要性”以及“无法找到充足的合格信息安全专业人才”所导致的结果。

报告发现，受访者的主要顾虑是黑客行动主义（43%）、网络恐怖主义（44%）以及黑客行为（56%），同时，半数以上的受访者（56%）觉得他们机构的安全人员紧缺。即使服务故障是近四分之三受访者优先考虑的问题，许多机构（15%）表示他们无法确定从攻击中恢复的时间。这些数据反映了技能熟练的网络安全专业人员大量短缺正对机构及其客户产生负面影响，导致更为频繁和更为代价高昂的数据泄露。

拥有 CISSP-ISSEP、CAP、CISA 资格的 (ISC)2 执行董事 W. Hord Tipton 表示：“由于近些年来合格信息安全专业人员严重短缺，我们观察到比以往更多的全球经济连锁反应。”他接着说：“研究结果证实，这种短缺正严重拖累各家机构。越来越多的企业发生数据泄露事故，企业无法把事情做好，客户数据也遭到破坏。鉴于网络间谍、黑客行动主义，以及国家/民族之间相互威胁的严重性，公共和私人机构已到了协力弥补这一临界缺口的时候。我们必须着力于培养熟练和合格的安全从业人才，以应付当今和未来较复杂的网络威胁。”

GISWS 报告同时发现，接受过安全培训的软件发开专业人员也存在严重短缺。早在2011年，GISWS 就发现应用程序安全漏洞是较大的安全顾虑，而此问题至今仍然持续。来自恶意软件和手机的威胁也是主要的安全顾虑，而云安全、自带移动设备（BYOD）以及社交网络均成为新的未来主要安全威胁顾虑。

该研究的其它主要发现结果包括：

• 信息安全是稳定和具有发展前景的职业，行业前景理想及回报丰厚 -- 信息安全专业人员就业情况稳定。超过80%的受访者表示去年未更换雇主或职位，58%的受访者去年获得加薪。预计今后五年全球专业人员的数量将每年稳定增长11%以上，亚太地区则为10.4%。全球 (ISC)2 认证专业人员的平均年收入为101,014美元，较未获得 (ISC)2 认证专业人员高出33%。在亚太地区，全球 (ISC)2 认证专业人员的平均年收入为74,990美元，较该地区未获得 (ISC)2 认证专业人员（48,011美元）高出56%。

• 需要新技能、深入的知识以及更加广泛的技术 -- 要消除 BYOD 和云计算的风险就必须融合多方面的知识及技术。78%的受访者表示 BYOD 技术是重大安全风险，74%的人表示需要新的安全技能以应对 BYOD 的挑战。68%的受访者表示社交媒体是一个安全顾虑，而内容过滤是目前运用的主要安全措施。
• 应用程序漏洞是较大的安全顾虑，但大多数机构并未优先考虑安全软件开发 -- 几乎一半的安全机构没有参与软件开发，而在选择软件开发外包服务商时，安全并非他们考虑的重要因素，但69%的受访者表示应用程序漏洞是其较大的顾虑。
• 安全优先重点合乎逻辑地在垂直市场中存在差异 -- 63%的银行、保险和金融业受访者将企业声誉损害选为优先重点。在卫生保健业，59%的受访者将顾客隐私受到侵犯选为优先重点。57%的建筑业受访者将健康和安全选为优先重点，而50%的电信和媒体受访者将服务故障时间选为优先重点。
• 虽然攻击补救预期会较快，但安全事故防范有压力增加的迹象 -- 28%的受访者相信他们的机构能够在一天内从针对性攻击中恢复，41%的受访者表示他们可以在一周或更短时间内恢复。有相当一部分的受访者表示不知道需要多长时间才能得到恢复。在安全事件防范方面，2013年调查中认为其去年防范工作变差的受访者比例比2011年多出一倍。
• 知识和知识认证对就业和发展十分重要 -- 在招聘时，近70%企业认为证书是可靠的能力指标。几乎有一半的招聘企业（46%）要求持有证书。其中60%接受调查的人计划在未来12个月内获得证书，而 CISSP 仍是需求最多的认证。

Frost & Sullivan 的 Stratecast 部门研发副总裁暨本报告的作者 Michael Suby 表示：“信息安全是整个机构的责任，而信息安全专业人员的知识和他们的安全管理工作则是机构的明灯。”他续称：“信息安全专家一直处于最前线，必须适应不断变化的威胁和信息科技环境。他们同时扮演着教育企业领导人的角色，让他们知道信息安全在企业的各个领域中为何以及其重要性。正如 GISWS 所呈现的，企业每天面临复杂的网络攻击，对拥有更为熟练技能和专业资格的安全专家以应对这些入侵的需求是真实而急迫的。如果我们继续让这个技能缺口加大，经济无疑将会受损。”

博思艾伦咨询公司的高级副总裁 William Stewart 指出：“博思艾伦意识到，市场对拥有高技术水平专业人员的需求随着数字化企业越来越多而增加。企业需要将人才、流程和技术结合起来，以对抗不断演变的威胁环境。同时，他们需要把握云计算、社交媒体和 BYOD 带来的机会。这份研究报告强调了市场对信息安全专家的大量需求，尤其是因为越来越多的安全专家在董事会中获得一席之地，影响着商业运作的决策。”

于2012年秋天通过网络调查形式进行的2013年 GISWS 或许是对信息安全业所进行的史上较大规模的研究。自从2004年首次发布以来，该研究报告成为信息安全专业人员的意见风向标，并提供关于信息安全业的重要趋势和机会的详尽内幕。其目标是提供工资标准、技能缺口、培训要求、企业招聘范例、安全预算、职业发展以及对公司、招聘经理和信息安全专业人员有价值的企业对信息安全的态度。欲阅读完整的研究报告，可浏览：https://www.isc2cares.org/IndustryResearch/GISWS/。

垂直市场的额外具体数据将在本年内稍后时间公布。

关于 (ISC)2
https://www.isc2.org/china.aspx

关于 (ISC)2® 基金会
https://www.isc2cares.org/About/ 

关于博思艾伦咨询公司
http://www.boozallen.com/about 

关于 Frost & Sullivan
http://www.frost.com/prod/servlet/about-us.pag 

©2013、(ISC)2 Inc.、(ISC)2、CISSP、ISSAP、ISSMP、ISSEP 及 CSSLP、CAP、SSCP 及 CBK 均为 (ISC)2, Inc. 的注册商标。

媒体联系：

钟嘉仪
(ISC)2 Asia-Pacific
+852-3520-4001
kchung@isc2.org