中国信息安全从业人员调查报告

01概述 1 2 4 5 602调研对象 8 03工作状况 1.半数政企单位信息安全团队规模不足20人 2.单位规模越大，信息安全团队人数越多 3.信息安全人员/信息化工作人员比例超1/3 4.安全团队规模与“安全/信息化”比例正相关 1.信息安全从业人员普遍须承担非安全工作 2.当前信息安全团队规模难以满足工作需要 3.信息安全人员短缺或增加从业人员工作压力 204.规划管理和安全建设类人才短缺现象更为显著 2104流动配置 1.从业人员整体薪酬水平持续上升 252.薪酬同学历、从业年限呈正相关关系 263.整体薪酬涨幅较上一年度有所降低 274.从业人员薪酬满意度与上一年度相当 285.有竞赛经验的从业人员薪酬更高 29 1.从业人员整体压力感受比较明显 2.加班现象普遍，但“加班族”薪酬更高 3.职位满意度有所下降，但整体向好 1.看好职业发展前景成入行首要原因 2.超过1/3从业人员过去三年发生工作变动 3.薪酬和职业晋升空间是人才流动主要原因 4.信息安全从业人员求职途径更加多样化 5.用人单位更看重资质证书和相关工作经验 05能力提升 1.职业培训成为首选的能力提升方式 432.能力提升需求覆盖各专业细分方向 44 1.大部分从业人员对所在单位内部培训效果不满意 442.用人单位资助力度未满足从业人员能力提升需求 45 1.从业人员持有最多、最希望获取CISP资质证书 462.持证人员平均年薪及薪酬涨幅高于非持证人员 483.CISP证书对信息安全人员职业发展促进更大 494.CISP系列子品牌顺应从业人员能力提升需求 4906制度环境 一、网络安全管理部门和负责人机制有助于减少非专职 07安全态势 08调研结论 09对策建议 10样本人口学统计 图2-1信息安全六大工作角色分类图图2-3受访者从业年限分布图图2-52017年和2018年受访者工作单位性质分布对比图图2-7受访者工作单位人员规模分布图图3-1受访者所在单位信息安全团队规模分布图图3-2不同行业信息安全团队规模分布图图3-3不同人员规模用人单位的信息安全团队规模分布图3-4信息安全人员在信息化工作人员的分段比重分布图图3-5不同行业信息安全人员在信息化工作人员中的平均比重分布图图3-6不同行业信息安全人员在信息化工作人员中的分段比重分布图图3-7不同安全人员规模工作单位的信息安全人员在信息化工作人员中的平均占比分布图3-8受访者专职和非专职信息安全从业人员占比分布图图3-9不同行业非专职信息安全从业人员占比分布图图3-10非专职信息安全从业人员承担的非信息安全工作比重分布图图3-11不同行业非专职信息安全从业人员承担的非信息安全工作比重分布图图3-12信息安全人员队伍规模是否满足当前工作需要情况分布图3-13不同职位从业人员对工作单位安全人员短缺情况的评估图3-14非专职和专职安全从业人员对工作单位安全人员短缺情况的评估图3-15安全人员欠缺程度不同受访者的工作压力感受度情况图3-16信息安全人才缺乏类型分布图图4-22017年与2018年受访者薪酬分布对比图图4-4受访者不同学历平均年薪分布图图4-6受访者不同工作年限平均年薪分布图图4-7受访者不同工作年限薪酬分段分布图图4-8受访者过去一年薪酬变化分布图图4-92017和2018年受访者过去一年薪酬变化分布对比图图4-10不同工作角色受访者过去一年的薪酬变化情况图4-12不同行业受访者的薪酬满意度分布图图4-13参加不同类型网络安全竞赛从业人员的平均年薪分布图4-14受访者工作压力感受分布图图4-16不同行业受访者工作压力感受分布图图4-17不同单位性质受访者工作压力感受分布图图4-18受访者每周加班情况人员占比分布图图4-19不同加班时间段受访者的平均年薪分布图4-20受访者不同行业每周加班情况分布图图4-21受访者不同单位性质每周加班情况分布图图4-22受访者的工作职位满意度分布图图4-24受访者不同单位性质工作职位满意度分布图图4-25从业人员从事安全工作的首要原因分布图图4-26受访者过去三年更换工作频率分布图图4-28信息安全人才流动原因分布图图4-30不同职位受访者的跳槽意愿分布图4-32不同职位受访者求职途径分布图图4-33用人单位重视的信息安全从业人员个人资质条件分布图4-34不同性质工作单位看重的人才资质条件分布图5-2不同职位受访者期望的能力提升方式分布43图5-4信息安全从业人员培训制度设置和实施情况分布图图5-5不同行业的内部培训制度设置和实施情况分布图图5-6不同单位性质的内部培训制度设置和实施情况分布图45图5-7用人单位为员工提供职业培训资助金额比例分布图5-8不同行业用人单位为员工提供职业培训的金额比例分布图5-9不同单位性质用人单位为员工提供职业培训的资助金额比例分布46图5-10受访者持有资质证书情况分布图5-12持证情况评估分布图图5-14注册信息安全专业人员图5-15受访者未来一年内期望获得资质证书情况图5-16是否持有信息安全资质证书对薪酬的影响48图5-18持有不同资质证书对过去一年薪酬涨幅的影响48图5-19不同安全资质证书对从业人员职业促进程度分布数据49图5-20未来一年内期望获得的注册信息安全专业人员图5-21从业人员希望提升的专业能力分布图6-1专职专岗网络安全部门和负责人设置情况分布图图6-2设置专职专岗网络安全管理部门和负责人对从业人员“兼职”情况的影响关系图6-3不同行业用人单位专职专岗网络安全部门和负责人设置情况分布图图6-4不同性质用人单位专职专岗网络安全部门和负责人设置情况分布图图6-5不同人员规模用人单位的网络安全管理部门和负责人设置情况图6-6职业晋升通道和激励机制设置情况分布图图6-7职业晋升通道和工作激励机制实施效果不同所在工作单图6-8职业晋升渠道和工作激励机制实施效果不同所在工作单位受访者的职位满意度分布图图6-10受访者职称分布图图6-12受访者是否接受背景审查调查情况分布图图6-13不同单位性质受访者是否接受背景审查调查情况分布图图6-14不同行业受访者是否接受背景调查审查情况分布图图7-1受访者经常面对和处理的信息安全威胁分布图图7-2不同行业受访者网络安全感知情况分布图图7-4不同行业信息安全事件发生的主要原因分布情况图7-6不同行业网络安全管理制度和操作规程制定和实施情况分布图图7-7不同单位性质网络安全管理制度和操作规程制定和实施情况分布图图7-8不同人员规模用人单位网络安全管理制度和操作规程制定和实施情况分布图66图7-9信息安全风险评估工作开展情况分布图图7-10不同行业信息安全风险评估工作开展情况分布图7-11信息安全威胁处置分布图图7-12不同行业的信息安全处置解决方式分布图7-13不同安全团队规模的信息安全威胁处置方式分布图7-14不同安全人员短缺程度工作单位的信息安全威胁处置方式分布图7-15受访者对未来信息安全行业发展热点预测分布图图7-16受访者眼中网络强国建设最需要实现国产化的技术分布图图10-1受访者性别分布图图10-2不同工作角色受访者性别分布图图10-3受访者年龄分布图图10-4受访者最高学历专业分布图图10-6受访者学历分布图概述网络空间的竞争，归根结底是人才竞争。新一轮科技革命和产业升级进程中，信息技术正在从根本上改变人们生产生活的方式，重塑经济社会发展和国家安全的新格局，信息安全人才将在这一转型发展过程中发挥关键作用。面对新时期的挑战和机遇，能否有效推进信息安全人才建设将成为实施网络强国战略至关重要的因素，也是在日益激烈的国际竞争中赢得主动的关键所在。党的十八大以来，国家就网络安全人才发展做出一系列重要部署，推出多项有力措施，取得了有目共睹的成就。网络安全学科专业设置、院系建设、学历教育方面取得突破性进展；网络安全在职培训和专业资质测评快速推进；网络安全攻防演练和技能竞赛蓬勃发展；多地规划建设网络安全人才和创新基地，出台人才培养和引进政策；重要行业严格落实网络安全责任制和人员合规要求，加快实施安全人员培训和管理制度；相关部门深入开展宣传教育，全社会网络安全意识得到显著提升。我国正处于信息安全人才发展的重大战略机遇期。当前和未来一段时期有必要通过深度调研，持续跟进信息安全从业人员队伍现状，探索信息安全人才成长规律，分析人才队伍建设中存在的深层次问题。“中国信息安全从业人员现状调研（2018-2019年度）”是由中国信息安全测评中心主办，中国信息产业商会信息安全产业分会承办的大型调查活动。本报告通过在线问卷调查、一线实地访谈、专家会商研讨等方式，从六大维度深度调研信息安全从业人员及当前人才环境现状，以期为广大安全从业人员提供职业发展指导，为安全行业人才工作创新发展提供实践指引，为国家网络与信息安全人才队伍建设提供决策参考。本调研报告从调研对象、工作状况、流动配置、能力提升、制度环境、安全态势六个维度深入分析信息安全从业人员及当前人才环境现状，对备受关注的从业人员分、教育培训、考核评价、激励保障、队伍建设、人才相关政策法规落实等内容 （一）调研对象报告首次对信息安全这一非传统领域的从业人员进行定义和分类，将调研对象明确为“以信息安全工作职责为主要社会劳动分工和生活来源的人员”，并把信人员工作角色分为6个大类，14个子类。调研显示，当前承担安全运营（62.4%）和安全建设（32.4%）工作角色的信息安全从业人员数量最多；45.5%的从业人员在私营企业任职，其次为国有企业（19.3%）和政府机关事业单位（16.5%）；近四成（38.4%） （二）工作状况一个单位是否建立有数量充足的专业信息安全团队是安全工作是否到位的重要指标。调研数据显示，除信息安全专业服务企业、特大型企业集团，以及大型互联网有较大规模的信息安全人才梯队外，50%的政企单位信息安全团队人员规模在20人以下；近六成信息安全从业人员需要承担非信息安全内容的工作，政府机关事业安全工作人员“身兼数职”现象最显著；各种类型的人才均存在短缺现象，其中 （三）流动配置信息安全从业人员平均年薪约为15.3万元，同上一年度相比薪酬继续上涨，但增幅有所缩减；42.9%的信息安全从业人员工作压力感受明显，但对职业发展前景多持乐观态度；过去三年人才流动速度放缓，影响职业流动的原因依次是“薪酬”、“晋升空 （四）能力提升本次调研中，“职业培训”取代上一年度的“自我学习”成为信息安全从业人员最倾向于选择的能力提升方式（68.8%从业人员在各细分方向均存在能力提升需求，排名靠前的依次是大数据安全、云安全、安全管理和渗透测试；在各类信息安全证书中，从业人员持有最多（71.8%）、最希望获取（68.9%）注册信息安全专业人员（CISP） （五）制度环境专人专岗从事专门工作是职业化的一种体现。近七成信息安全从业人员所在单位设置了专门的网络安全管理部门和负责人，但其中57.7%的人员需兼任其他非安全类工作，“人岗不匹配”的现象比较普遍；65.5%的从业人员所在单位设有职业晋升通激励机制，但认为相关机制“实施效果良好”的人群占比不足两成；43.7%的从业人员认为自己没有清晰的职称序列归属，同上一年度（25.9%）相比明显增加；63%的从业 （六）安全态势从业人员工作中最经常面对的信息安全威胁依次是漏洞攻击、数据泄露和拒绝服务攻击；发生信息安全事件最主要的原因是管理不完善、缺乏安全培训、管理层不重视，以及人才和资金不足；78.0%的人员所在单位制定了内部网络安全管理制度和操作规程，但仅四分之一人员反馈实施效果良好；77.6%的从业人员所在单位都已开展了信息安全风险评估工作；“芯片”取代上一年度“操作系统”成为受访者眼中最应国产当前信息安全人才队伍能力结构同经济社会发展和国家安全需求仍存在较大差距。本次调研显示，我国信息安全人才队伍建设还存在以下 （一）信息安全从业人员全方位短缺信息安全工作贯穿信息化建设的各个环节，无论是在数据、应用、系统、网络等工作层面，还是涉及到研发、建设、运营、管理、生产等业务流程，都需要有人承担信息安全职责。但目前我国信息安全从业人员整体呈现全方位短缺的态势，体现在一是信息安全人员规模总量不足，二是大量信息安全工作以“非专职”方式完成，三是 （二）信息安全职业化尚处于初级阶段信息安全职业化指的是对信息安全从业人员专业知识、能力和行为准则进行标准化规范，职业化的一个体现是由专人专岗负责专门工作。近七成信息安全从业人员所在工作单位已设置了专门的网络安全管理部门和负责人，但目前信息安全的职业化总体来看还处在发展初级阶段，一是信息安全目前还没有统一的职业（族）标准，二是信息安全“人岗不匹配”情况普遍，三是社会对信息安全职业意识普遍不强，尤其是 （三）人员能力提升需求难以得到满足用人单位能否提供足够的培训、持续提升人才专业能力、帮助其完成自我价值实现，将在“引才”和“留才”中发挥越来越重要的作用。当前人员能力提升需求普遍难以得到满足，体现在一是从业人员能力提升需求旺盛，二是从业人员期望获得专业资质， （四）信息安全人才体制机制存在障碍网络与信息安全作为跨界、交叉、融合的非传统行业，只有鼓励创新发展的体制机制才能让人才的创造活力竞相迸发、聪明才智充分涌流。当前信息安全人才发展还存在一系列制度性障碍，一是对安全从业人员考核评价手段不足，二是人员鼓励激励机制不健全，三是缺乏向重要关键领域的人才能源生产|水利|交通私营企业政府机关事业单位其他8.4%其他5.1%无能源生产|水利|交通私营企业政府机关事业单位其他8.4%其他5.1%无 国有企业19.3%科研机构院校1.5%外商投资企业3.2%新时代落实网络强国战略部署，要求我们必须以习近平新时代中国特色社会主义思想特别是网络强国战略思想为指导，把人才工作摆在更加突出的战略位置信息安全人才工作的重要性和紧迫性，利用大国优势和制度优势，把提升全社全意识和能力、尤其是提升信息安全从业人员专业能力的工作 （一）建立体系化的信息安全人才发展规划从提高信息时代生产力的高度，以建设具有全球竞争力的网络安全人才队伍为目标，对国家网络与信息安全人才发展全局进行系统性的超前规划部署，一是构建网络安全国民教育和持续教育体系，二是统筹推进网络安全人才发展整体工作，三是多主 （二）科学推进信息安全人才的职业化发展在信息安全从业人员全方位短缺的严峻形势下，职业化手段有助于明确信息安全职业的正当性、改进信息安全教育培训的针对性、促进信息安全人才供需匹配、提升信息安全职业吸引力，但不宜对不同类型从业人员简单采用“一刀切”的职业许可方式进行管理。建议一是要深入开展信息安全人才发展基础理论和前沿实践研究，二是要建立兼具相对稳定性和动态灵活性的信息安全知识体系，三是要推进权威机构的信息 （三）着力提升信息安全从业人员规模能力以经济社会发展和国家安全需求为导向，加强人才培养体系建设工作的前瞻性和针对性，建立贯穿信息安全从业人员学习工作全过程的终身教育制度，提高信息安全人才队伍的数量规模和整体能力，一是加大教育培训投入和工作力度，二是分类施策建设信息安全人才梯队，三是结合领域特点推进信息安全教育培训供 （四）持续优化信息安全人才发展整体环境网络安全是信息技术的尖端领域，是智力最密集、最需要创新活用为本、急用先行的原则，加快信息安全人才发展体制机制创新，一是提高各级党政领导干部的网安意识和网安人才意识，二是加快创新信息安全从业人员评价激励机制，2018-2019年度调研通过在线问卷调查、一线实地访谈、专家会商研讨等方式，深度调研信息安全从业人员现状。其中在线问卷调查共回收有效样本4349份，覆盖了全国所有省、市、自治区和直辖市，囊括了各重要行业和关键基础设施领域。在调研维度和内容上，本报告从六大维度出发，反映了信息安全从业人员的基本情况，综合分析了人员职业发展状况、能力提升情况、流动配置情况，也就用人单位安全团队建设情况、人才相关政策法规落实情况进行了港澳台商投资企业 51本报告遵循当前产业界实际使用惯例，所有关于“信息安全”的表述与广全”和“网络安全”指代相同，未做严格学术意义上6调研对象信息安全工作出现以来，关于从业人员的定义以及工作职责的界定就一直是业界高度关注和持续探讨的问题。由于信息安全跨学科、跨领域、交叉融合的特点，致使信息安全工作的类别极其多样，目前还没有形成统一的职业标准和能力要求。调研发现，使用不同的界定标准和统计口径，一个单位信息安全队伍规模可能相差数倍。为便于开展调研，推动我国信息安全人才标准的研究和发展，调研首次对信息安全从业人员进行了定义和分类，并以此作为框定调研对象的取样依据。本报告将信息安全从业人员定义为“以信息安全工作职责为主要社会劳动分工和生活来源的人员”。根据工作内容的不同，我们将信息安全从业人员的工作角色分为6个大类，包括14个子类：1.监管治理，包括战略法规和执法监督；2.规划管理，包括策略规划和组织管理；3.安全建设，包括分析设计、开发与集成；4.安全运营，包括安全运维、数据处置、应急响应、审计与评估和安全态势分析；5.内容安全；6.科研教育，包括安全研究、培训和教学。一名从业人员可能承担多个工作角色，人员与工作角色是一对多的关系。本章节主要从工作角色、从业年限、所在单位情况，以及竞赛经验四个方面进行调研。一、工作角色一、工作角色二、从业年限二、从业年限三、所在工作单位情况三、所在工作单位情况四、竞赛经验四、竞赛经验8工作角色按照工作角色大类的划分，承担安全运营（62.4%）和安全建设（32.4%）工作角色的信息安全从业人员的划分，工作角色最集中的依次是安全运维（工作角色按照工作角色大类的划分，承担安全运营（62.4%）和安全建设（32.4%）工作角色的信息安全从业人员的划分，工作角色最集中的依次是安全运维（22.2%）、组织管理（20.6%）、开发与集成（17.6%），以及主要由第三方承担的审计与评估（17.5%）。从业年限目前我国信息安全从业人员从业年限大多在十年5年从业年限的人数占比最高，为45.5%。一般认为，在一个领域拥有10年以上工作经验者具备了较高的专业技术水平和工作能力。调研显示，我国信息安全从业人员从业年限在10年以上的占比为14.2%，同上一年度相比上涨了2.6个百分点。所在工作单位情况私营企业任职的信息安全从业人员数量最多，占比45.5%，其次为国有企业（19.3%）和政府机关事业单位（16.5%）。所属行业最集中的是技术密集的信息技术、通信、互联网行业（51.1%）。大多数从业人员所在工作单位人员规模在300人以下。竞赛经验近年来，各类企事业单位、关键信息基础设施运营单位组织和参与网络安全攻防挑战赛、红蓝对抗、技能竞赛热度空前，实战演练在网络安全人才选拔和练兵等方面发挥了重要作用。调研发现，近四成9按照本次调研首次提出的6个工作角色大类的划分（见图2-1）。1.监管治理战略与法规制定信息安全执法监督2.规划管理策略规划组织管理3.安全建设分析设计开发与集成4.安全运营安全运维数据处置应急响应审计与评估安全态势分析55.内容安全内容安全6.科研教育安全研究培训和教学承担安全运营（62.4%）和安全建设（32.4%）工作角色的信息安全从业人员数量最多（见图2-2）。其中安全运营包括安全运维（22.2%）、审计与评估（17.5%）、应急响应（9.9%）、数据处置（9.0%）和安全态势分析（3.8%）；安全建设包括分析设计（14.8%）、开发与集成（17.6%）。其余工作角色类别依次是规划管理（26.9%）、科研教育（17.2%）、监管治理安全运维 组织管理开发与集成分析设计信息安全执法监管安全教学与培训应急响应数据处置内容安全策略规划安全研究战略与法规制定安全态势分析其他4.7%图2-2受访者工作角色分布图（样本量4349人）样本数据显示，目前我国信息安全从业人员从业年限大多在十年以下，其中拥有1-5年从业年限的人数占比最高，为45.5%；拥有6-10年从业经验的人数占比次之，为28.4%。10年以上工作年限从业人员占比为14.2%，同上一年度相比上涨了2.6个百分点（见图2-3）。图2-3受访者从业年限分布图（样本量4349人）本次调研样本数据显示我国私营企业任职的信息安全从业人员最多，占比45.5%（见图2-4），其次为国有企业（19.3%）和政府机关事业单位（16.5%）。图2-4受访者工作单位性质分布图（样本量4349人）来自国有企业的从业人员较上一年度明显增加，人数占比从8%上升至19.3%（见图2-5）。调研数据显示，我国信息安全从业人员最集中的是技术密集的信息技术|通信|互联网行业，占比51.1%。其次为政府机关和事业单位（18.1%）、金融（7.7%）等行业（见图2-6）。图2-6受访者行业分布图（样本量4349人）调研显示，我国大多数信息安全从业人员所在的工作单位为300人以下人员规模的中小型企业，占比55.1%（见图2-7）。单位人员规模在1000人以上的从业人员占比30.9%；单位人员规模在20 人以下的人群占比最少，仅为7%。图2-7受访者工作单位人员规模分布图（样本量4349人）近年来，各类企事业单位、关键信息基础设施运营单位组织和参与网络安全攻防挑战赛、红蓝 对抗、技能竞赛热度空前，实战演练在网络安全人才选拔和练兵等方面发挥了重要作用。调研发现，近四成（38.4%）从业人员表示参加过实战类网络安全竞赛，其中参加过面向国内从业人员的网络 竞赛群体占比最高，为24.1%（见图2-8）。图2-8受访者参加实战类竞赛情况分布图（样本量4349人）工作状况网络安全和信息化的关系是“一体之两翼，驱动之双轮”。习近平总书记强调指出，网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。一个单位在信息化建设中是否建立了人员数量充足的专业信息安全团队、安全人员和整体信息化工作是否匹配，都是安全工作是否到位的重要指标。调研发现，信息安全工作跨界交叉融合的特点十分突出。从业人员的工作职责贯穿数据、应用、系统、网络等各个层面，涉及到研发、建设、运营、管理、生产等各项业务流程。本章节主要调研受访者所在单位信息安全团队的基本情况以及安全团队人员短缺的程度和类型，同时引入了“信息安全人员在信息化工作人员中所占比例”以及“信息安全从业人员承担非安全工作比例”两项重要指标，以期深度反映各单位信息安全人才队伍建设的现状。一、安全团队状况一、安全团队状况二、人员短缺情况二、人员短缺情况安全团队状况调研显示，除信息安全专业服务企业、特大型企业集团，以及大型互联网企业建立有大规模信息安全人才梯队外，50%的政企单位信息安全团队人员规模在20人以下。承担信息安全角色的人员在所有信息化工安全团队状况调研显示，除信息安全专业服务企业、特大型企业集团，以及大型互联网企业建立有大规模信息安全人才梯队外，50%的政企单位信息安全团队人员规模在20人以下。承担信息安全角色的人员在所有信息化工作人员中的平均占比约为36.1%，各行业中以信息技术、通信和互联网行业的信息安全从业人员比例最高，平均占比达到40.8%。人员整体规模越大的单位，信息安全团队规模越大，安全人员在信息化人员中所占比例也越高。总人数在1000人以上的单位中，安全团队达到500人以上的比例最高（39.9%），同时安全人员在信息化人员中所占比例也最高人员短缺情况近六成信息安全从业人员需要承担非信息安全内容的工作，政府机关事业单位里需要“身兼数职”的现象最为显著。在需要兼职非安全工作的人群中，33.8%的受访者承担的非安全工作在日常工作中占比超过50%。多数人认为所在单位信息安全人员队伍规模无法满足当前工作需要，基层从业者对信息安全人员不足的感受比中、高层职位从业者更明显；非专职从业者对信息安全人员不足的感受比专职从业者更明显。当前各类型的信息安全工作角色均存在短缺现象，从安全角色大类来看，安全建设和规划管理类的角色相对更加紧缺；从子类来看，最紧缺的角色依次是分析设计（35.9%）、组织管理（33.5%）、开发与集成（30.5%）。半数政企单位信息安全团队1规模不足20人目前我国各政企单位中约一半的信息安全团队人员规模在20人以下（49.5%），其中信息安全团队人员规模在6-20人的单位占比最高，为28.4%；安全团队规模不足5人的占比为21.1%（见图3-1）。图3-1受访者所在单位信息安全团队规模分布图（样本量4349人）从行业来看，信息技术|通信|互联网行业政企单位的信息安全团队规模最大，安全团队达到百人以上的单位所占比例为41.2%，显著高于平均水平（27.2%见图3-2）。单位规模越大2信息安全团队人数越多本次调研数据显示，用人单位人员规模越大，越有实力增加信息安全投入，内部信息安全团队人数也会相应增加（见图3-3）。■5人以下安全团队6-20人安全团队■图3-3不同人员规模用人单位的信息安全团队规模分布（样本量4349人）信息安全人员/信息化工作人员 3比例超1/3从整体情况来看，承担信息安全角色的人员在所有信息化工作人员中的平均占比约为36.1%；27.3%的受访者表示所在工作单位的信息安全人员在信息化工作人员中占比不到10%（见图3-4）。图3-4信息安全人员在信息化工作人员的分段比重分布图（样本量4349人）从行业上看，信息技术|通信|互联网行业中信息安全人员在整体信息化工作人员中的平均占比最高，达到40.8%（见图3-5），且该行业相对多数受访者表示所在单位安全人员占比超过50%（见图3-6）；其他各不同行业中，信息安全人员在整体信息化工作人员中的比重均低于行业平均占比（36.1%见图3-5）。图3-6不同行业信息安全人员在信息化工作人员中的分段安全团队规模与4“安全/信息化”比例正相关用人单位安全团队规模越小，其安全人员在整体信息化人员中的占比越低。用人单位安全团队 规模不足5人时，其信息安全人员在整体信息化人员中的占比仅20.8%，远低于平均占比 （36.1%）；用人单位安全团队规模超过500人时，“安全人员/信息化人员”比例最高，为51.2%；用人单位安全团队规模为20-500人时，上述比例略高于平均占比，为42%（见图3-7）。图3-7不同安全人员规模工作单位的信息安全人员在信息化工作人员中的平均占比分布图（样本量4349人）信息安全从业人员普遍须承担1非安全工作近六成信息安全从业人员表示工作中需要承担非信息安全内容的工作（见图3-8）。图3-8受访者专职和非专职信息安全从业人员占比分布图（样本量4349人）信息安全从业人员“身兼数职”现象最显著的行业依次是政府机关事业单位（65.2%）、生产|水利|交通（63.4%）、能源（59.9%）、金融行业（58.6%见图3-9）。图3-9不同行业非专职信息安全从业人员在需要兼职非安全工作的人群中，33.8%的受访者承担的非安全工作在日常工作中占比超过50%（见图3-10），这一情况在各行业中均比较普遍（见图3-11）。图3-10非专职信息安全从业人员承担的非信息安全工作比重分布图（样本量2596人）图3-11不同行业非专职信息安全从业人员承担的非信息安全工作比重分布图（样本量2596人）当前信息安全团队规模难以 2满足工作需要调研数据显示，43.6%的信息安全从业人员认为目前所在单位的信息安全人员队伍规模能够满足当前工作需要，56.5%的信息安全从业人员认为满足程度为“一般”或“欠缺”（见图3-12）。图3-12信息安全人员队伍规模是否满足当前工作需要情况分布（样本量4349人）从不同职位从业人员观点来看，单位高层、中层更倾向于认为单位信息安全人员队伍规模能够满足当前工作需要，项目经理和基层从业人员对所在单位信息安全人员短缺情况的感受更加明显（见图3-13）。图3-13不同职位从业人员对工作单位安全人员短缺情况的评估（样本量4349人）此外，非专职信息安全工作从业人员对工作单位安全人员短缺程度的感受更加明显。非专职从业人员中有9.5%的受访者认为安全人员非常欠缺，这一数据是专职从业人员的2倍。仅37.2%的非专职人员认为安全人员规模比较满足需要，但高达51.6%的专职从业人员认为能够满足工作需要（见图3-14）。图3-14非专职和专职安全从业人员对工作单位安全人员短缺情况的评估（样本量4349人）信息安全人员短缺或 3增加从业人员工作压力数据显示，安全人员短缺程度越高，从业人员的工作压力越大。当所在工作单位安全人员非常欠缺时，高达43.1%的从业人员表示感受到较大工作压力，24.1%的从业人员认为工作压力非常大。当所在工作单位安全人员能满足工作需要时，从业人员的工作压力显著下降，仅29.5%的受访者认为工作压力较大，认为工作压力非常大的受访者不足5%（见图3-15）。规划管理和安全建设类人才4短缺现象更为显著受访者认为当前各类型的信息安全工作角色均存在短缺现象，其中最为紧缺的工作角色主要包括“安全建设”类中的分析设计（35.9%）和开发与集成（30.5%）两个子类，“规划管理”类中的策略规划（27.6%）和组织管理（33.5%）两个子类，以及“监管治理”类中的战略与法规制定（25.3%）和信息安全执法监管（24.6%）两个子类（见图3-16）。图3-16信息安全人才缺乏类型分布图（样本量4349人）图3-15安全人员欠缺程度不同受访者的工作压力感受度情况（样本量4349人）流动配置随着社会信息化进程不断加快和网络空间安全形势日趋复杂，网络和信息安全从业人员已成为各类单位和组织的“刚需型”人才。2018年我国网络安全产业规模预计将达到545.49亿元，较上一年度增长25.1%²。网络与信息安全产业快速发展和扩张，信息安全从业人员需求进一步加大，人才供需失衡的问题持续存在。关键信息基础设施作为经济社会运行的“中枢神经”，其安全人才供给更需要予以充分保障。然而调研显示，大量关键信息基础设施运营单位在引才、用才和留才方面面临挑战，人才流失现象严重。信息安全属于非传统安全领域，信息安全职业也属于非传统的职业类型。为促进信息安全从业人员向重要行业和关键信息系统流动，有必要深入考察安全人才职业流动的趋势和特点，制定创新解决方案。本章节主要从薪酬水平、职业满意度和职业流动三个方面着手进行调研，以期了解当前信息安全从业人员的流动配置情况。一、薪酬水平一、薪酬水平二、职业满意度二、职业满意度三、职业流动三、职业流动²中国信息通信研究院：中国网络安全产业白皮书（2018年）。薪酬水平本次调研显示，我国信息安全从业人员平均年薪为15.3万元，高于信息技术相关行业的平均收入水平。同上一年度相比，信息安全从业人员薪酬持续上升，但增幅有所缩减，薪酬上涨幅度超过10%的人员所占比例显著减少。从行业上来看，信息安全从业人员薪酬水平本次调研显示，我国信息安全从业人员平均年薪为15.3万元，高于信息技术相关行业的平均收入水平。同上一年度相比，信息安全从业人员薪酬持续上升，但增幅有所缩减，薪酬上涨幅度超过10%的人员所占比例显著减少。从行业上来看，信息安全从业人员平均年薪最高的是金融行业（20万元），最低的是政府机关事业单位（13.6万元）。从业人员对薪酬的满意度与上一年度基本持平，但不满意人群占比略有上升。关联分析显示，具有网络安全竞赛经验的从业人员平均年薪（17万元）显著高于无竞赛经验的人员职业满意度42.9%的信息安全从业人员表示工作压力“比较大”或“非常大”，同上一年度相比有所下降。信息安全业内加班现象普遍，超过八成的从业人员均有不同程度的加班情况。近三分之一的受访者每周加班在10小时以上。51.2%的信息安全从业人员对工作职位满意度为“一般”，对工作职位满意的从业人员占比（32.7%）显著高于不满意的从业人员占比（16.2%）。整体来看，尽管从业人员对工作压力的感受比较明显，但受访者薪酬满意度和工作职位满意度依然整体向好，对职业发展前景多数持乐观态度。职业流动信息安全从业人员选择进入该行业的原因依次是“看好职业发展前景”、“兴趣爱好”、“专业对口”和“安全使命及自我价值实现”，受人员内在驱动力影响较大，“薪酬待遇”仅排名第五。影响从业人员进一步出现职业流动的原因则依次是“薪酬”、“晋升空间”、“工作氛围”和“自我价值实现”，表明从业人员在更换供职单位时对福利性因素和发展性因素均十分看重。同上一年度数据相比，从业人员中过去三年内更换了工作单位的人群占比有所下降，未发生职业流动的人群占比上升，人才流动速度放缓。此外，在招聘信息安全人才时，用人单位最看重的两个因素分别是应聘者是否持有信息安全资质证书，以及是否具备相关工作经验。1从业人员整体薪酬水平持续上升本次调研数据显示，我国信息安全从业人员平均年薪为15.3万元，高于国家统计局发布的2018年信息技术相关行业就业人员年平均工资14.2万元³。逾一半从业人员（53.4%）的平均年薪在10-20万元之间（见图4-1）。图4-1受访者薪酬分布图（样本量4347人）年薪低于10万元的从业人员占比从上一年的41.6%减少至24.2%；年薪在10万元以上的各个区间人群所占比例同上一年相比均有上升（见图4-2）。从行业上看，金融行业信息安全从业人员平均年薪依然最高，约为20万元；其后依次是生产|水利|交通行业、能源行业，分别为16.3万元和15.7万元。平均年薪最低的是广播电视|环境保护|卫生医疗、政府机关事业单位从业人员，分别为14.2万元和13.6万元。信息安全从业人员最集中的信息技术|通信|互联网行业平均年薪为15.5万元，略高于全国平均水平（15.3万元）；而信息安全从业人员占比最低的科研院所和高校平均年薪为15.0万元，略低于全国平均水平（见图4-3）。单位：万元图4-3受访者不同行业平均年薪分布图（样本量4347人）上涨5-10%上涨5%以内2薪酬同学历、从业年限呈正相关关系样本数据表明，整体而言，信息安全从业人员学历越高平均年薪越高（见图4-4）。单位：万元博士硕士本科大专（含高职）高中及以下图4-4受访者不同学历平均年薪分布图（样本量4347人）博士学历从业人员高收入者占比最高，大专学历从业人员中高收入占比最低（见图4-5）。图4-5不同学历薪酬分段分布（样本量4347人）从业年限越短，薪酬越低，工作不足一年的从业人员平均年薪最低，仅10.6万元；工作年限为11-20年的受访者年薪最高，平均年薪为22.1万元（见单位：万元不足一年图4-6受访者不同工作年限平均年薪分布图（样本量4347人）但是，对于工作年限超过15年的从业人员群体，薪酬和工作年限不再继续呈现正相关关系，而是出现两级分化趋势（见图4-7）。图4-7受访者不同工作年限薪酬分段分布图（样本量4347人）3整体薪酬涨幅较上一年度有所降低调研数据显示，近6成（57.5%）信息安全从业人员过去一年的薪酬均有不同程度的上涨，上涨5%以内的人员占比最高，达到26.2%（见图4-8）。图4-8受访者过去一年薪酬变化分布图（样本量4349人）与上一年度相比，从业人员整体薪酬上涨幅度有所降低，薪酬上涨幅度超过10%的人员占比显著减少（见图4-9）。从工作角色来看，从事规划管理、科研教育和安全建设类工作角色的人群薪酬涨幅超过10%的占比相对较高（见图4-10）。同上一年度相比，从事规划管理和安全运营类工作角色薪酬上涨人群占比较上一年度增加了8.5个百分点，但监管治理类工作角色薪酬上涨人群占比较上一年度减少了12.2个百分点。其他科研教育内容安全安全运营安全建■下降几乎无变化■上涨5%以内上涨5-10%图4-10不同工作角色受访者过去一年的薪酬变化情况（样本量4349人）4从业人员薪酬满意度与上一年度相当本次调研数据表明，48.7%的信息安全从业人员对薪酬满意度为“一般”，从业人员中对薪酬不满意人群占比27.4%，略高于满意人群24%（见图4-11）。满意人群占比同上一年度（23.4%）基本持平，但不满意人群占比略有上升，较上一年度（24.2%）高出3.2个百分点，整体薪酬满意度与上一年度相差不大。从所属行业来看，科研机构和院校从业人员中，39.4%的受访者对当前薪酬表示满意，显著高于其他行业（见图4-12）。 非常不满意比较不满意一般■比较满意5有竞赛经验的从业人员薪酬更高关联分析信息安全从业人员参赛经验和薪酬情况发现，参加过国内网络安全竞赛的从业人员平均年薪（17.0万元）显著高于没有竞赛经验的人员（14.8万元见图4-13）。单位：万元图4-13参加不同类型网络安全竞赛从业人员的平均年薪分布（样本量4347人）1从业人员整体压力感受比较明显信息安全从业人员对工作压力的感受比较明显。42.9%的从业人员对工作压力的感受度为“比较大”或“非常大”，仅15.9%的从业人员对工作压力感受度为“不太大”或“轻松”（见图4-图4-14受访者工作压力感受分布图（样本量4349人）但是与上一年度数据（53.7%）相比，从业人员工作压力感受为“比较大”和“非常大”的人群占比均有下降（见图4-15）。从行业上看，工作压力感受最明显的人群主要集中于信息技术|通信|互联网行业，压力“比较大”和“非常大”的从业人员占比达到49.2%。在其他行业，工作压力较大的从业人员占比均低于全国平均占比，其中科研机构和院校的信息安全从业人员工作压力感受最低，压力“比较大”和图4-16不同行业受访者工作压力感受分布图（样本量4349人）从工作单位性质上看，私营企业信息安全从业人员工作压力感受最大，其中工作压力“比较大”和“非常大”的从业人员占比达到47.0%，显著高于全国平均占比（42.9%），工作压力“不太大”和“轻松”的从业人员占比仅为12.0%，略低于全国平均占比（15.9%见图4-17）。2加班现象普遍，但“加班族”薪酬更高本次调研数据表明超过八成的信息安全从业人员均有不同程度的加班情况（见图4-18）。49.9%的从业人员每周加班10小时以下，32.7%的从业人员每周加班10小时以上（见图4-18）。图4-18受访者每周加班情况人员占比分布图（样本量4349人）此外，加班时间与平均薪酬水平呈正相关关系，每周加班40小时以上的从业人员平均年薪是不加班人员的两倍有余，比每周加班26-40小时的从业人员平均年薪高出1.5倍（见图4-19）。单位：万元不加班10小时以下11-25小时图4-19不同加班时间段受访者的平均年薪分布（样本量4347人）从行业上看，能源、信息技术|通信|互联网、生产|水利|交通的从业人员每周加班人群占比高于全国平均占比，政府机关事业单位、广播电视|卫生医疗|环境保护、科研机构和院校以及其他行业的从业人员每周加班人群占比低于全国平均占比。每周加班10小时以上的从业人员主要分布于能源、信息技术|通信|互联网、生产|水利|交通以及金融行业（见图4-20）。从工作单位性质上看，政府机关事业单位、外商投资企业、高等院校科研院所的信息安全从业人员每周加班总体人群占比低于全国平均占比。港澳台商投资企业、私营企业的信息安全从业人员每周加班总体人群占比显著高于全国平均占比，前者中46.2%的从业人员每周加班11-25小时，后者中49.7%的从业人员每周加班10小时以下。每周加班10小时以上从业人员占比较高的单位包括港澳台商投资企业、私营企业、高等院校科研院所、国有企业，分别为59.0%、35.2%、34.1%、33.8%，均高于全国平均占比（见图4-21）。3职位满意度有所下降，但整体向好本次调研数据表明，51.2%的信息安全从业人员对工作职位满意度为“一般”，但对工作职位满意的从业人员占比（32.7%）显著高于不满意的从业人员占比（16.2%见图4-22）。相较上一年度，职业满意度“一般”人群占比增加了2.1个百分点，但是对工作职位满意的从业人员占比下降了5.7个百分点。图4-22受访者的工作职位满意度分布图（样本量4349人）从行业上看，工作职位满意度较高人群主要分布于信息技术|通信|互联网行业，该行业中对工作职位较满意从业人员占比（35.6%）显著高于对工作职位较不满意从业人员占比（14%）。能源及其他未分类行业的信息安全从业人员对工作职位满意度不高，上述2个行业中对工作职位较满意的从业人员占比（分别为24.6%和16.4%）和对工作职位较不满意从业人员占比（分别为28.2%和19.5%）接近（见图4-23）。非常不满意比较不满意一般比较满意从工作单位性质上看，各企事业单位对工作职位满意的信息安全从业人员占比均显著高于不满意人群占比，外商投资企业、私营企业、高等院校科研院所的信息安全从业人员对工作职位满意度要高于国有企业、政府机关事业单位的从业人员（见图4-24）。非常不满意比较不满意一般比较满意非常满意兴趣爱好专业对口薪酬待遇看好职业发展前景安全使命及自我价值实现图4-25从业人员从事安全工作的首要原因分布图（样本量4349人）超过1/3从业人员 2过去三年发生工作变动过去三年，共有35.9%的信息安全从业人员更换了工作单位。64.1%的信息安全从业人员工作无变动，同上一年度数据（59.9%）相比略有上升；更换工作单位1-2次的人群占比为32.0%，相较上一年度（37.3%）下降了5.3个百分点，人才流动速度放缓（见图4-26）。图4-26受访者过去三年更换工作频率分布图（样本量4349人）1看好职业发展前景成入行首要原因信息安全从业人员从事安全工作最主要的原因依次是“看好职业发展前景”、“兴趣爱好”、“专业对口”、“安全使命及自我价值实现”。随着信息化的发展和近年来国家对网络安全的重视程度逐年加强，看好信息安全这一行业职业发展前景已取代上一年度的“兴趣爱好”，成为信息安全从业人员从事安全工作的首要原因。“薪酬待遇”仅排名第五，这一名次与上一年度年调研结果一致，依然不是选择进入安全行业的主要原因（见图4-25）。同时，本次调研样本数据显示，近期有明确跳槽意愿的从业人员占比约为16.4%，56.1%的人员表示不会变换工作（见图4-27）。图4-27受访者跳槽意愿分布图（样本量4349人）薪酬和职业晋升空间是3人才流动主要原因调研数据显示，薪酬和晋升空间是影响信息安全从业人员职业流动的主要原因（见图4-28）。4信息安全从业人员求职途径更加多样化样本数据显示半数以上的信息安全从业人员倾向于通过招聘网站（53.2%）寻找用人单位，其次是通过行业内专业人员推荐（46.7%）以及朋友推荐（42.2%）（见图4-31）。但与上一年度（64.5%）相比，通过招聘网站寻找工作的人群占比下降了11.3个百分点。与之相对，通过猎头公司、人才招聘会、行业会议活动以及其他方式寻找用人单位的人员比例均有不同程度的增长。信息安全从业人员求职途径更加多样化，显示我国信息安全行业人才招聘市场正逐步发展和完善。图4