下载掌阅APP,畅读海量书库
立即打开
任何一个行业都是前期野蛮生长,紧接着标准先行赋能可持续发展,最后进入规范运营的状态。网络安全也不例外。工业和信息化部网络安全产业发展中心、中国电子技术标准化研究院等都在积极推动网络安全人才界定标准依据的实行。
2022年1月12日,由工业和信息化部网络安全产业发展中心(工业和信息化部信息中心)与部人才交流中心联合牵头组织编制的《网络安全产业人才岗位能力要求》标准(以下简称《能力要求》)正式发布。《能力要求》所覆盖的网络安全岗位包括安全规划与设计、安全建设与实施、安全运行与维护、安全应急与防御、安全合规与管理共五大方向,每个方向包含2~5个不等的细分方向,涉及具体岗位总计38个。整体结构如图3-2所示。
图3-2 任务、能力、技能关系
除了提高网络安全从业人员的能力外,组织应该推动全员数据安全能力提升。普通员工的使用习惯也是安全风险的因素之一,例如弱密码、将密码贴在桌上或屏幕上,更多的如离开工位时未锁屏、未控制外部人员进入、私自接入BYOD设备、使用盗版软件、复制公司产品代码和数据、使用私人邮件处理公司事务等。开发人员有时会将API密钥、数据库密码等敏感信息直接写入代码,然后上传到公开代码托管平台,如CSDN、Gitee等。此外,将公司最新产品的未公开信息告诉亲朋好友等也会导致信息泄露。
公司的业务规模不同对安全能力要求不同,大规模业务往往意味着背后有高水平的安全从业人员。安全对业务有一定制衡,但是业务太小又影响安全投入。安全和业务往往是一对矛盾统一体,实现共赢才是出路。