发展以安全为重安全以人才为本

周念念

《上海信息化》：我们所知的三零卫士是一家专业的信息安全服务商，为何会涉足CISP（Certificated Information Security Professional，国家注册信息安全专业人员）信息安全培训？

邓高峰：国内信息安全产业经历了十多年的发展积累了一批中坚力量，大多分布在信息安全产品提供商和服务提供商以及第三方机构，但从信息安全责任单位以及为其提供各类信息技术服务外包的更广泛的IT行业来看，大部分行业和组织还没有专门的信息安全岗位设置和专业的信息安全人才配置，据权威机构估算，我国信息安全人才的需要量在50多万。目前，信息安全专业在国内仍是高等教育的二级学科，全国有将近80家高校设置了信息安全类本科专业，通过高校培养的信息安全人才不到4万人，这些青年军无论在整体数量还是在实践实战上，距离国家健全信息安全保障体系、上海市智慧城市所要求的信息安全总体可控，还有很大缺口，亟需通过专业的职业培训来补充和提升。

我理解的信息安全是暂时的，不安全是永恒的；信息安全的系统建设是一个持续进行的过程，其实就是指信息安全的“新四化”。以上海这样信息化程度很高的城市为例，无论是政府还是企业，一方面其业务对信息技术的依赖程度很大，另一方面这些改革开放的前沿也是各方关注的焦点，信息安全和业务连续的保障需求自然就十分迫切，信息安全不应成为信息化发展瓶颈，而应成为趋利避害的重要手段。全面提高各单位各企业的信息安全意识，有效提升信息安全专业技能水平，包括重点培育信息安全专业服务机构，这些工作都离不开信息安全人才培养和集聚，因此在各行业大力开展CISP等相关培训将为建设上海信息安全人才高地打下坚实的基础。

《上海信息化》：三零卫士在CISP培训体系建设上，又有哪些新的创新与思考？

邓高峰：CISP培训一直致力于培养信息安全的组织者、推动者和管理者。信息安全体系建设，不只是用信息安全产品搭建一个堡垒，更重要的是组织自身需建立一套完善的信息安全制度，只有硬件（技术）和软件（人才）相互结合，才能保障信息的机密性、完整性和可用性。对于公司的培训来说，则是将安全知识体系和实际工作中的应用一起纳入了信息安全体系建设。组织面临的安全问题多种多样，除了常见的系统漏洞、黑客入侵、挂马和钓鱼网站、木马下载器等一些技术性威胁外，一些安全意识薄弱同样也会产生安全问题，比如：没有专业的安全培训严重缺乏安全意识；不知道组织存在哪些安全隐患；出现突发安全事故无法第一时间了解等等。对于那些没有经过专门的安全培训、没有配备专业的技术人才、没有设定合理安全流程的企业来讲，只靠采购安装软、硬件安全产品来避免威胁或在遇到威胁时应急处理，是非常不现实的。

对此，CISP全面覆盖全球信息安全知识，充分贴合中国信息安全国情，具有非常系统化的知识体系，使用组件模块化的结构，包括知识类、知识体、知识域和知识子域四个层次，更注重全面性、前沿性和实用性。

《上海信息化》：国际上也有CISSP等信息安全培训，与之相比CISP有什么优势或特点？

邓高峰：国际上除了（ISC）2的CISSP（信息系统安全专家）培训之外，还有ISACA的CISA（注册信息安全审计师）、ISO27001的主任审核员等与信息安全相关的人员培训，但分别侧重技术、审计和管理体系，参与培训的人员也未必是信息安全从业人员。国内有公安部的信息安全师、工信部网络信息安全师、国家信息安全认证中心的CISAW（信息安全保障从业人员）等培训，还有不少社会化IT培训中也有所谓的信息安全模块，但是无论从专业人员定位、培训体系构成还是从与国家信息安全保障工作的关联度来看，均逊色于CISP。

CISP最初是瞄准CISSP所设计的高端专业培训，十年来结合国家信息安全保障的需求，不断得到更新和充实，现在已形成由CISM（注册信息安全人员）、CISO（注册信息安全管理人员）、CISE（注册信息安全工程师）、CISP-AUDIT（注册信息安全审计师）、CISP-DRP（注册信息安全灾难恢复工程师）、CISD（注册信息安全专业开发人员）所构成的系列培训和人员认证。所以说，如果希望在信息安全行业长期发展，就目前而言，CISP专业培训具有不可替代性。

《上海信息化》：今年上海针对信息安全教育培训有什么具体的政策和要求？

邓高峰：“发展以安全为重，安全以人才为本”是CISP培训的宗旨，信息化的成效很大程度上取决于信息安全保障水平，而信息安全保障的关键在于人，CISP培训的初衷就是在最大范围建立大家的信息安全意识，并针对信息安全相关人员普及信息安全知识，掌握必要的信息安全技能。就目前来看，CISP不仅是申请信息安全服务资质的必备条件，并在越来越多的行业成为信息安全岗位的“上岗证”，上海市也开始要求IT服务外包企业将信息安全专业人员纳入技术团队标准配置。

早在2011年，上海在《上海市推进智慧城市建设2011-2013年行动计划》中就提出：“把信息安全摆在城市安全的突出位置，提高全民信息安全意识，通过推行CISP等专业资格认证完成1000人次信息安全员的知识更新。”今年，上海市网络与信息安全协调小组办公室发布了《关于加强本市信息安全教育培训工作的通知》【沪网安办〔2013〕2号】，明确要求全市199家信息安全重点单位加强信息安全人才的专业技能培训，在涉及国计民生的重要信息系统实行关键岗位持证上岗；并将信息安全服务资质作为选择系统集成商和服务提供商的重要依据，要求其提供服务的技术队伍至少拥有2名信息安全专业人员。

上海这个政策举措在地方上还是首例，其示范作用和规模效应正在逐渐显现，很多单位已将信息安全教育培训工作制度化、常态化，不少行业已开展了CISP集中培训和定向培训，就今年上半年已有超过180人通过我们的专业培训，拿到了CISP专业资质证书，正式开始以CISP的道德规范（Code of Ethics）为其职业操守。

《上海信息化》：目前在上海如果拿到该证书，有什么实际收益？

邓高峰：首先该证书是行业的客观需要，政策上已开始要求全市199家信息安全重点单位的信息安全岗位进行人员备案和持证上岗（政府、公安、国资、城建等行业本身也已将其纳入信息化考核中），我们作为这些单位的信息系统建设和运维服务商，现在已经有不少客户要求我们为其提供技术服务的人员也要持证上岗，相信今后上海市网安办会就甲方信息安全责任单位和乙方信息技术服务商的信息安全专业人员要求做出进一步规范。

其次，拿到该证书对于个人不仅是信息安全知识体系的升级，也是实际的信息安全技能的提升，理论联系实际，很多CISP学员已开始为所在单位制定信息安全策略、建立信息安全管理体系、编制信息安全应急预案、通过专业工具和平台对网络和系统进行安全配置和加固优化、系统性开展等级保护定级建设和运维整改工作，有针对性开展安全攻防演练等，由普通的网管变为信息安全主管，由信息安全主管变为信息安全专家。

第三，从社会认可角度来看，由于CISP是国内最权威的专业培训，已成为很多政府和企业信息中心，IT服务企业选择专业人才和组建专业团队的重要标准。上海市每年都会开展信息安全技能竞赛，某公司由CISP认证人员组成的参赛团队每年均取得三甲成绩，一方面为这个技术团队带来了加薪提升的砝码（收入水平明显高于公司其他技术部门），另一方面也就此得到了得到客户的认可和尊重（就信息安全专项服务签单）。

《上海信息化》：三零卫士目前和后续的培训目标和推广优惠政策有哪些？

邓高峰：我们今年在上海市计划的培训目标是完成300个CISP，从目前结合市网安办的推进政策来看，上半年已开展针对上海市建工集团、上海建交委系统、国核自仪、上海科技信息中心、东方有线、上海证交所等全市信息安全重点单位的培训。下半年三零卫士还会坚持每月固定开班的做法，不仅在199家重点单位推进CISP和CISM培训，还会面向更广泛的中小企业、IT服务企业等群体。

在今后几年，三零卫士还将在三零服务网覆盖的省市和行业，更多地与主管部门就信息安全人才教育培训进行沟通和对接，通过积极争取政府和行业补贴、拓展第三方合作办学模式、赠送信息安全服务体验、按行业需求定制开班等多种方式，通过优质的培训质量和合理的价格政策，进一步向全社会推介CISP。