● 丁雷 王德慶 錢海東 何書林

丁雷，天津商業(yè)大學信息工程學院副教授，碩士。電子郵箱：dl_ts_cis@yahoo.com.cn。

王德慶，天津市經(jīng)濟與信息化委員會信息安全處處長。電子郵箱：wangdq@tjeic.gov.cn。

錢海東，天津市企業(yè)家協(xié)會咨詢部部長、天津市企業(yè)聯(lián)合會人才測評師、高級管理咨詢顧問。電子郵箱：hdqian@126.com。

本文受天津市十二五教育科學規(guī)劃課題《天津市信息安全人才培養(yǎng)對接社會需求問題研究》（CE3001）；國家自然科學基金重點項目《我國集團企業(yè)跨國治理與評價研究》（71132001）；國家自然科學基金項目《基于仿真的復雜產(chǎn)品研發(fā)項目進度費用聯(lián)合風險研究》（71171146）；天津商業(yè)大學大學生科研訓練計劃SRT項目《天津市部分行業(yè)信息安全人員建設現(xiàn)狀抽樣調(diào)查研究》（2012006）資助。

為了迎接信息化帶來的安全挑戰(zhàn)，上世紀末我國設立了應對信息安全的有關(guān)機構(gòu)。自2001年開始的十多年間，陸續(xù)有70多所高等普通院校成立了信息安全專業(yè)。2006年3月19日，中共中央辦公廳、國務院辦公廳印發(fā)了《2006—2020年國家信息化發(fā)展戰(zhàn)略》，把建設國家信息安全保障體系作為我國信息化發(fā)展的戰(zhàn)略重點?！笆逡?guī)劃”中信息安全建設也被放到戰(zhàn)略位置。工業(yè)和信息化部信息安全協(xié)調(diào)司負責人在“2012中國信息安全年會暨第十屆中國CSO俱樂部大會”上指出，中國信息安全強調(diào)加強信息安全工作的頂層設計，這預示著中國信息安全逐漸向裝備、資金、標準、管理、人才、法律等多個維度的戰(zhàn)略布局發(fā)展。

信息保障依賴于人、裝備、操作流程、技術(shù)更新、相應的管理標準規(guī)范和配套的資金，以此來實現(xiàn)一個組織的職能/業(yè)務的良好、穩(wěn)定地運作，對技術(shù)/信息基礎(chǔ)設施的管理也離不開“人”這個因素。2005年以來，國家針對中國企業(yè)普遍缺乏競爭力的現(xiàn)狀，提出了“以人為本、科學發(fā)展、努力創(chuàng)新”的發(fā)展戰(zhàn)略，目的就是讓大家更加清醒地認識到人的核心作用。而在人才建設方面，信息安全人才培養(yǎng)體系包括學歷教育和非學歷教育。

有關(guān)學術(shù)資料顯示，全國對高級網(wǎng)絡安全人才的需求在3 萬人左右，對一般安全人才的需求是15 萬，而國內(nèi)現(xiàn)有信息安全專業(yè)人才僅3000 人左右。目前的現(xiàn)實是：我國每年信息安全人才缺口不小，同時一些高校卻表示，他們辛辛苦苦培養(yǎng)出來的信息安全專業(yè)畢業(yè)生找不到工作。這就需要通過深入調(diào)研來揭示高端專家對信息安全人才預測與基層實際用人產(chǎn)生矛盾的原因。

自2001年，我國高校開始設立信息安全專業(yè)。在此期間，國家不僅設立了人員資質(zhì)認證機構(gòu)，還依托各部委和地方部門開展了各類信息安全培訓班，為有關(guān)行業(yè)在信息安全管理和技術(shù)兩方面積累了一定的人力資源。

但是，由于信息化在我國發(fā)展比較晚，信息安全也只是近十年得到國家的大力推動，而且近十年的重點是在信息安全裝備研發(fā)方面，應用層面的管理和技術(shù)人才還比較稀缺。面對近年來，信息安全攻、防等技術(shù)的長足發(fā)展和變遷，信息安全領(lǐng)域的事態(tài)越加嚴峻，信

一、研究假設

息化程度較高的行業(yè)暴露出的新型安全隱患越來越凸顯?，F(xiàn)實中，地區(qū)級信息安全主管部門在日常工作推進中，遇到的困難比較大。而且從文獻發(fā)現(xiàn)人才缺口預測和信息安全就業(yè)現(xiàn)狀存在著一定的矛盾。

基于前人的學術(shù)研究和當前實際情況，本文提出研究假設是：行業(yè)或基層單位因信息安全在職人員隊伍較為年輕且專業(yè)（或有正規(guī)專業(yè)資質(zhì)）人員參與管理及決策的較少、現(xiàn)有人員整體結(jié)構(gòu)的專業(yè)化程度低等原因，造成民用領(lǐng)域的單位這一級從整體角度講對信息安全知識、自身需求、危機等問題的認識還無法獲得單位高層的認同，是影響單位甚至地區(qū)信息安全建設和有關(guān)人力資源梯隊建設的內(nèi)因之一。

二、抽樣調(diào)查過程及統(tǒng)計數(shù)據(jù)

為了了解和分析信息安全人才的建設現(xiàn)狀，課題組選取了信息化相對較高的制造業(yè)、教育、信息技術(shù)服務、電力及能源、科學研究與服務等行業(yè)，抽取多個大中型單位作為調(diào)查對象。

經(jīng)過課題組人員與各單位領(lǐng)導、信息部門主管、人力資源部門主管的面對面訪談和填寫調(diào)查問卷，獲取52個單位及147名在崗（專職、兼職）信息安全人員的調(diào)查數(shù)據(jù)。

根據(jù)對調(diào)查數(shù)據(jù)的基本統(tǒng)計分析，我們得到人員年齡結(jié)構(gòu)、職稱結(jié)構(gòu)、高等教育地域狀況、專業(yè)結(jié)構(gòu)、資質(zhì)比例、分工結(jié)構(gòu)等結(jié)構(gòu)類數(shù)據(jù)。具體分析結(jié)果如下。

1．年齡結(jié)構(gòu)（見表1）

數(shù)據(jù)顯示31~40歲的比重最大，表現(xiàn)為在某個時段，該地區(qū)各行業(yè)因信息化的需要集中配備的一批信息化人才，使得當前時期人員年富力強，但后備力量稍顯補充不足。因為超過40歲甚至45歲，人的腦力、精力都會有所下降，信息安全工作屬于IT領(lǐng)域，屬于耗費腦力、精力較大的領(lǐng)域，從整體講屬于青年人更有作為的領(lǐng)域。

如果不注意有計劃平衡補充年輕人才，會在未來出現(xiàn)人員結(jié)構(gòu)大齡化的問題，即使為了解決大齡化問題臨時集中補充年輕人，也容易出現(xiàn)啞鈴型梯隊狀態(tài)。

2． 職稱結(jié)構(gòu)（見表2）

表1 年齡結(jié)構(gòu)

中級職稱占到了絕對優(yōu)勢比例，可見向高級職稱有發(fā)展空間的人員還是很多的。但是擁有正高級職稱的為0。

這組數(shù)據(jù)反映了IT領(lǐng)域在我國當代的一個發(fā)展特征，即近20年社會發(fā)展中的信息化需求帶動了IT及信息安全人員培養(yǎng)及成長，同時也體現(xiàn)了該地區(qū)有關(guān)行業(yè)35歲以上具有高端技術(shù)能力的信息安全在崗人員還是比較欠缺的（按照職稱評審規(guī)則推算，一般最早符合參評正高級職稱的在35歲左右）。

3．專業(yè)技術(shù)結(jié)構(gòu)（見表3）

數(shù)據(jù)顯示在從事信息安全技術(shù)或管理崗位人員中，具有信息安全專業(yè)學歷的僅有十分之一，此數(shù)據(jù)揭示了地區(qū)信息安全人員梯隊的專業(yè)化程度還是比較低的。

另外，在信息安全學歷人員中，本科、碩士、博士的比例為3:2:0，顯示了整體錄用專業(yè)人員的學歷結(jié)構(gòu)比例是基本合理的，不足的是博士學歷的錄用情況為0。因為抽樣的信息服務單位中有信息安全企業(yè)，體現(xiàn)了該地區(qū)信息安全高端研發(fā)人才方面尚存一定不足。

表2 職稱結(jié)構(gòu)

表3 專業(yè)結(jié)構(gòu)

表4 學歷結(jié)構(gòu)

4．學歷結(jié)構(gòu)方面（見表4）

在信息安全專職、兼任崗位人員中，從學歷結(jié)構(gòu)來看，從本科到博士呈現(xiàn)出金字塔形結(jié)構(gòu)，這一結(jié)構(gòu)是非常合理的。

5．工作分類方面（見表5）

純管理類的人員占到了大多數(shù)，比純技術(shù)類人員比例多出19%。從人員配置的角度講，管理層人員數(shù)量一般保持較小的比例是比較好的，而且在基層負責管理的人員也不應該比例過大，所以從統(tǒng)計數(shù)據(jù)來看，工作分類這一結(jié)構(gòu)在地區(qū)整體結(jié)構(gòu)是不太合理的。

6． 人員的專業(yè)資質(zhì)認證（見表6）

由于我國從2001年開始至今已有七十多所高校開始設立信息安全專業(yè)，但每年畢業(yè)生數(shù)量相比其他一些成熟專業(yè)（如會計等）還是比較低的，是造成在職人員專業(yè)化比例低的原因之一。那么，為了彌補高校專業(yè)人才供給的缺口，資質(zhì)認證類人才是一種較好的補救途徑。

表5 工作分類

表6 專業(yè)資質(zhì)認證

在資質(zhì)認證類方面，數(shù)據(jù)顯示，在抽樣單位里從事信息安全管理或技術(shù)的人員獲得國家任何一種正規(guī)資質(zhì)認證類證書的為1%，獲得國家或地區(qū)級的某些部門組織的培訓頒發(fā)的證書的比例也不高。此數(shù)據(jù)再次說明該地區(qū)信息安全管理、技術(shù)人員的專業(yè)化程度的低下狀態(tài)。

7． 人員需求意向（見表7）

在錄用信息安全人員的專業(yè)意向方面，數(shù)據(jù)顯示信息安全專業(yè)畢業(yè)生僅占整體的近五分之一，比計算機網(wǎng)絡專業(yè)還少5個百分點，而且與信息專業(yè)、計算機科學與技術(shù)專業(yè)的需求接近。

另外，有近三分之一的單位沒有把信息安全專業(yè)的畢業(yè)生納入到該單位配備信息安全崗位人員的意向中。此數(shù)據(jù)展示出該類單位認為除信息安全專業(yè)以外的信息類的其他專業(yè)人員完全可以勝任信息安全工作，這充分體現(xiàn)了這類單位對信息安全專業(yè)知識以及信息安全專業(yè)與其他信息類專業(yè)區(qū)別的嚴重缺失。而且，數(shù)據(jù)顯示這類單位中全都不具備信息安全專業(yè)學歷或正規(guī)認證資質(zhì)的人才。

表7 信安人才單位錄用專業(yè)意向比例

三、問題剖析

通過上面多個維度初步分析得到的匯總表（見表8），發(fā)現(xiàn)如下短板之處：

1．地區(qū)內(nèi)信息安全專業(yè)人才結(jié)構(gòu)不合理。在抽樣調(diào)查有效問卷中，信息安全專業(yè)畢業(yè)的人員僅占到10%，所有被訪者均沒有正規(guī)的資質(zhì)認證。造成這一問題的原因在于：

首先，我國信息化已經(jīng)開展了近二十年，但因我國國民整體信息化素養(yǎng)不高，信息化推進比較緩慢，迸發(fā)期僅是最近的幾年，即使進入了迸發(fā)期，真正高質(zhì)量人才的培養(yǎng)沒有跟上，其發(fā)展依然不穩(wěn)定，使得單位把信息化依然作為重點，信息化人才需求高于信息安全人才需求。

第二，由于在信息安全方面存在攻擊滲透、信息竊取的隱蔽性，并在發(fā)現(xiàn)時間上存在較大的遲后性，加上新的攻擊漏洞或技術(shù)不斷涌現(xiàn)，使得各級管理者甚至信息化技術(shù)人員存在對信息安全危機的麻痹心理、對待信息安全建設的消極心理、對危機問題的鴕鳥心理，在調(diào)研訪談中這幾種心理較為普遍。

第三，在訪談中，單位的各級人員比較缺乏信息資源價值的理念，不太注重對那些分級保護以外資料的保護，缺乏信息資源的保護訴求。單位普遍缺乏“人是促進單位進步的資源”的理念，在職人員非學歷培訓或資質(zhì)認證培訓都明顯不足，甚至普遍缺乏信息化、信息安全方面規(guī)范的培訓機制，使得信息化、信息安全技術(shù)人員甚至管理人員僅處于為單位經(jīng)濟指標服務的“工具”地位。

以上這些促使信息安全在崗人員梯隊建設的專業(yè)化程度較低。而在專業(yè)化程度低下的情況下，加上管理層缺乏信息安全的專業(yè)人士，單位整體對信息安全的認識不足，本應落實的有關(guān)信息安全實際工作必然大打折扣。

2． 信息安全專業(yè)化人員很少參與信息化規(guī)劃及決策。如前數(shù)據(jù)分析顯示，從事或兼任信息安全崗位工作的人員年齡結(jié)構(gòu)普遍較為年輕，職稱結(jié)構(gòu)也較集中于中級層次，使得在規(guī)劃決策環(huán)節(jié)形成人微言輕的局面。另外，訪談數(shù)據(jù)顯示，具有信息安全專業(yè)背景的人員無一進入中、高層兩層級別的管理層，且外包信息安全的單位僅占極少比例，使得該區(qū)域內(nèi)單位級信息化建設過程中的配套信息安全規(guī)劃和決策缺乏必要的專業(yè)性。

表8 在職信息安全人員多維度優(yōu)劣分析匯總表

3．基層信息安全分工管理的比例偏重。雖然從事或兼任信息安全工作的人員不多，但從事基層信息安全管理工作的人員比例卻不低。這從表面看是基層單位注重信息安全管理，但卻恰恰從顛倒的分工比例中暴露出單位級信息安全工作人員的專業(yè)技術(shù)欠缺、專業(yè)化程度低下等問題（單位現(xiàn)有人員缺乏專業(yè)技能又要應對部分信息安全的問題，單位不重視專業(yè)人員培養(yǎng)和建設，只能以管理代替專業(yè)技術(shù)支持了）。

另外，有絕大多數(shù)單位的信息安全管理者在問卷中選擇“需要”或“迫切需要”對單位高層開展信息安全培訓，并且也有絕大多數(shù)的單位信息主管認為領(lǐng)導對信息安全需加強重視。因為他（她）們（單位的信息主管們）已經(jīng)意識到自身信息安全技能、知識的欠缺，而又因領(lǐng)導對信息安全不重視而無法開展必要的人才培訓等培養(yǎng)工作，只能以非專業(yè)的管理來充數(shù)。

4．高端人才引入乏力。無論是在職人員的職稱、學歷，還是單位對信息安全人員的需求意向，地區(qū)內(nèi)各單位既缺少高職稱的領(lǐng)軍人員為單位信息安全建設起到把握方向的作用，又整體缺少對高端人才的渴求。如前所述，在信息安全人員建設方面的多維短板可以體現(xiàn)該地區(qū)信息安全整體建設仍處于較低水平，而且信息安全建設起步不過十幾年，加之樣本單位里的國有單位人力資源管理中引進人才不靈活體制的因素，造成很難快速補充高職稱人才。

我國目前階段對高學歷（例如博士）信息安全人才的需求主要還是在信息安全研發(fā)部門或機構(gòu)，高學歷專業(yè)人才需求的不旺反應了該地區(qū)信息安全單位研發(fā)隊伍建設也存在一定短板，并且研發(fā)能力薄弱。這一點已在對部分信息安全公司訪談中得到驗證。

四、應對之策

我國信息安全建設已經(jīng)走過了十幾年，相關(guān)裝備已有所斬獲，在軍隊、涉密關(guān)鍵機構(gòu)等特殊行業(yè)里這些裝備發(fā)揮了積極的作用，為我國國家安全的保障立下了汗馬之功。但在民用的多個行業(yè)里，單位的信息安全狀況卻異常脆弱。近些年，國內(nèi)媒體報道的民用大型單位內(nèi)部數(shù)據(jù)泄露事件時有發(fā)生，甚至在一定范圍內(nèi)已經(jīng)形成了以個人、單位信息或數(shù)據(jù)為牟利目的的黑色利益鏈，對我國經(jīng)濟安全、文化安全、科技安全、民生安全、政治安全等形成嚴重挑戰(zhàn)。僅以平衡計分卡的一個維度——員工維度來說，信息安全隊伍建設中的結(jié)構(gòu)不合理是客觀存在的；隊伍年輕雖是優(yōu)勢但卻因人微言輕而少有參與決策的機會，使得信息安全伴隨信息化建設的推進打了折扣；單位信息安全軟硬件需求、人員培養(yǎng)訴求等向領(lǐng)導層傳遞并得到應有響應存在明顯缺陷；領(lǐng)導在自身缺乏信息安全知識、不準確了解內(nèi)部信息安全需求和信息安全人員訴求的狀態(tài)下，缺乏對信息安全的應有重視（包括信息安全工程建設和配套的信息安全人才建設）。

本文認為，要扭轉(zhuǎn)地區(qū)級信息安全的不利形勢，各級各類單位內(nèi)部有兩個方面需要改善，需要切實開展兩個層次的人員培養(yǎng)，并且需要通過單位里中、高層在認識上有兩個改變。

首先，需要切實改善的兩個方面是：

1．單位信息安全人員的專業(yè)化程度需要改善

專業(yè)化程度的改善包括專業(yè)人才的招聘（已畢業(yè)的信息安全專業(yè)大學生、社會上獲得國家信息安全專業(yè)資質(zhì)認證的人員）、已有員工的再培養(yǎng)（在職形式的大學信息安全專業(yè)課研修、國家信息安全資質(zhì)認證培養(yǎng)等）。

專業(yè)人才聘用有利于快速彌補行業(yè)內(nèi)或單位內(nèi)人員隊伍專業(yè)化程度低的問題；在職大學專業(yè)課研修有利于低成本彌補非專業(yè)人員專業(yè)知識和技術(shù)的不足；資質(zhì)認證培養(yǎng)雖然成本較高、周期較長，但既可以從實戰(zhàn)角度規(guī)范性地提高人員隊伍的專業(yè)技能、專業(yè)化程度，還可以為以后專崗資質(zhì)聘任打下基礎(chǔ)，為地區(qū)在區(qū)域內(nèi)建立專業(yè)化、規(guī)范化隊伍做好鋪墊。

以上這些諸如加大信息安全專業(yè)人才招聘、開拓在職信息安全人員專業(yè)補修、專業(yè)資質(zhì)認證等不僅是在改變地區(qū)、單位信息安全人才的專業(yè)比例，而且也在推動針對專業(yè)崗位人才開展的專業(yè)培養(yǎng)機制的建立，以達到以硬指標促進信息安全專業(yè)話結(jié)構(gòu)比例，以專業(yè)化結(jié)構(gòu)比例促進信息安全人才建設和培養(yǎng)機制、制度的建立和改善。因為通過調(diào)研、實踐考察獲知：沒有可操作的考核硬指標，就是缺少推動力，沒有推動力就達不到規(guī)劃的既定目標。這不僅適用于地方單位內(nèi)的信息安全建設推動，也同樣適用于國家到地方的信息安全推動工作。

2．信息安全人員參與決策的現(xiàn)狀需要改善

在單位信息化建設過程中，配套的信息安全架構(gòu)、安全策略、管理機制和流程、人員保障等都是不可或缺的，而這些環(huán)節(jié)的謀劃需要專業(yè)人員根據(jù)具體單位的具體業(yè)務需要來進行分析、規(guī)劃、實施、管理和反饋以及應對。即使有些環(huán)節(jié)可以借助外包的形式開展，但在信息化及信息安全方面單位內(nèi)部如果缺少專業(yè)人員進行需求溝通、方案把關(guān)、項目驗收和日常管理，項目的實施、運行和日常管理都會障礙重重，造成項目投資的不成功，甚至出現(xiàn)信息安全惡性事件等，使單位、行業(yè)甚至國家遭受損失。

所以，單位信息化、信息安全項目建設中，需要有信息安全的配套方案及備案制度，制度中需要明確單位內(nèi)負責信息安全方面的論證人員及主要負責人員的簽字制度，以保障信息化、信息安全項目中信息安全專業(yè)人員在決策環(huán)節(jié)的參與度。

其次，需要開展兩個層次的人員培養(yǎng)：

第一個層次，是對領(lǐng)導層人員針對信息安全隱患的隱蔽性、危害類知識及信息安全危機管理方面的培養(yǎng)。無論信息化還是信息安全建設，“一把手”戰(zhàn)略是被中、外各國企業(yè)家、管理專家所認可的，也是經(jīng)過實踐通過很多國內(nèi)外實際案例驗證的。

在調(diào)研中，有絕大多數(shù)單位的信息安全管理者在問卷中選擇“需要”或“迫切需要”對單位高層開展信息安全培訓。這反映了單位信息安全中、高層管理者對單位高層信息安全方面知識普及的渴望。而且從訪談的溝通中，反映出各單位的中、高層在信息安全危害類、危機管控類方面存在較大的知識缺陷，造成領(lǐng)導層對解決相關(guān)問題缺乏切入點。

由于信息安全危害的隱蔽性、嚴重程度得不到恰當?shù)睦斫夂驼J識，信息安全危機管理的常識也就更不被重視。信息安全危機管理類培訓有利于單位領(lǐng)導層了解從哪些宏觀方面開展信息安全的防御與管理，哪些環(huán)節(jié)是必須要做好的。

所以，信息安全隱患的隱蔽性、危害類常識及案例培訓是對高層人員培養(yǎng)的重點。信息安全危機管理常識培訓是單位高層以后開展工作的落腳點。

第二個層次，是需要繼續(xù)加強單位主營業(yè)務人員（非信息部門的其他業(yè)務部門人員）的信息安全常識培訓。只有循序漸進地開展單位主營業(yè)務人員的信息安全常識培養(yǎng)，才能逐步培養(yǎng)單位級信息安全的素養(yǎng)，并不斷積累信息安全的需求，達到挖掘信息安全深層業(yè)務需求的目的。

在單位領(lǐng)導仍然以經(jīng)濟指標作為主要考慮因素的當前，單位主營業(yè)務人員對信息安全的訴求以及對經(jīng)濟指標的影響（包括效率、競爭等）可以幫助信息化部門對單位領(lǐng)導思路實施影響甚至改變。

不論是領(lǐng)導層還是基層員工的培訓，雖然很多文獻都已經(jīng)提到，但是實際調(diào)研發(fā)現(xiàn)，本可以很好實施的沒有太多技術(shù)含量的常態(tài)化的培訓，其實做的也很不到位（資金支持少、沒時間開展等都是理由）。

第三，中、高層管理者認識上的兩個改變：

以上兩方面對策都涉及不同層面人員的培養(yǎng)與信息安全人才培養(yǎng)和結(jié)構(gòu)優(yōu)化建設問題。但那些問題的解決都離不開各級單位高層決策者的定奪，很多單位的成功案例無不顯現(xiàn)著單位管理層甚至某位管理者的睿智與高瞻遠矚。所以，需要結(jié)合各類培訓和政策推動，盡快改變各級單位管理者們在兩個方面的意識。

1．轉(zhuǎn)變現(xiàn)有的人才意識——員工只是為單位創(chuàng)造財富和價值的，以樹立員工是單位的寶貴資源，需要根據(jù)單位業(yè)務需要加以有計劃地培養(yǎng)

在訪談中，各類單位鮮有對信息安全人才梯隊建設具有明確的培養(yǎng)計劃。而且信息安全人員（包括兼任的）基本屬于單位的工具類人員，單位缺乏對這類人才中長期職業(yè)生涯成長規(guī)劃。由此可見，單位在人才成長、運用方面存在較大的短板，人才觀層次不高，甚至是落后。從中、外各類企業(yè)的案例中，不難發(fā)現(xiàn)那些效益好、發(fā)展勢頭強勁的單位，對待自己的員工不僅是使用，更注重根據(jù)單位的需要去開展各類培訓，甚至是定期定培訓費用額度的，以培養(yǎng)符合業(yè)務需要的員工，以便讓員工為單位戰(zhàn)略的實現(xiàn)發(fā)揮最大作用。這方面意識的轉(zhuǎn)變與否，不能只聽管理層怎么說，更需要通過各單位人力資源部門針對有關(guān)人員是否有培養(yǎng)計劃、計劃是否實施以及涉及的人員范圍、層級來考察和評價。

2．轉(zhuǎn)變僅以追求單位經(jīng)濟效益為訴求的意識，而是建立“財務與非財務指標并重”的發(fā)展意識

從調(diào)研數(shù)據(jù)和分析發(fā)現(xiàn)，地區(qū)、單位兩級信息安全建設中，人員這一維度存在較為明顯的短板。根據(jù)平衡計分卡的管理思路，以及國內(nèi)外知名單位運用該管理工具的效果，員工、流程、客戶、財務這四類指標需要平衡發(fā)展，否則會因“木桶效應”影響單位戰(zhàn)略的實現(xiàn)。

這兩方面的意識轉(zhuǎn)變因涉及各類單位的管理層和部門管理層，難度是比較大的，不僅需要通過開展地區(qū)、單位兩級的管理意識培訓來滲透有關(guān)管理知識，還必須建立可操作指標來逐步加以地區(qū)級的宏觀控制和必要的引導。考察的指標可以是：針對人力資源培訓計劃、職業(yè)生涯規(guī)劃及實施、人員培養(yǎng)資金具體投入額度或占成本比例等、崗位專業(yè)化或資質(zhì)所達程度等。

綜上所述，本文依據(jù)對52個單位的實際調(diào)研和數(shù)據(jù)統(tǒng)計分析，驗證了“地區(qū)內(nèi)信息安全人員隊伍年輕化程度高、高職稱偏少、專業(yè)（或有正規(guī)專業(yè)資質(zhì)）人員參與管理及決策的較少、現(xiàn)有人員整體結(jié)構(gòu)的專業(yè)化程度低等原因，造成民用領(lǐng)域的單位這一級從整體角度講對信息安全知識、自身需求、危機等問題的認識還無法獲得單位高層的認同，是影響單位甚至地區(qū)信息安全建設和有關(guān)人力資源梯隊建設的內(nèi)因之一”的假設。繼而，給出單位內(nèi)部的解決對策，并就地區(qū)宏觀管理給出一些建議。另外，基層單位信息安全及人才建設問題的解決，還需要由外部的因素來推動，將在其他文章中加以闡述。

1. 張建彪等：《信息安全體系結(jié)構(gòu)》，北京工業(yè)大學出版社，2011年版。

2. 王巖：《2012中國信息安全年會暨CSO俱樂部大會召開》，計算機世界：http://www.donews.co m/net/201209/1664407.shtm．2012年9月。

3. 沈昌祥：《信息安全國家發(fā)展戰(zhàn)略思考與對策》，載《中國公共安全（學術(shù)卷）》，2005年第6期。

4. 梁鎮(zhèn)等：《新技術(shù)企業(yè)知識型員工成長戰(zhàn)略研究》，中國鐵道工業(yè)出版社，2010年版。

5. 方勇等：《信息安全學科體系和人才體系研究》，載《北京電子科技學院學報》，2006年第3期。

6. 李振汕：《信息安全專業(yè)人才需求分析與高職培養(yǎng)定位》，載《計算機教育》，2010年第1期。

7. 白潔：《圍城—信息安全人才的培養(yǎng)和就業(yè)—信息安全人才面面觀之人才就業(yè)篇》，載《信息安全與通信保密》，2010年第1期。

8. 劉樹林等：《年齡與腦力勞動工作績效的關(guān)系研究綜述》，載《丹東師專學報》，2002年第12期。

9. 龔會等：《IT行業(yè)技術(shù)員工年齡與創(chuàng)新行為——年齡刻板印象的影響作用》，載《四川教育學院學報》，2012年第3期。

10. 韋欽云：《科技創(chuàng)新與黃金年齡人才開發(fā)》，載《發(fā)展論壇》，2000年第4期。