2023网络安全人才实战能力白皮书人才评价篇.docx

目录CONTENTS第一章网络安全人才评价状况分析O1.1.iEaM1.况Oi1.1.1 美国网络安全人才评价情况O1.1.1.2 欧盟网络安全人才评价情况O1.1.1.3英国网络安全人才评价情况02114国际网络安全人才认证情况021.2国内情况02121我国网络安全人才评价情况()2122我国网络安全人才认证情况()313面临问题041.3.1 人才评价政策制定缺乏战略规划和统筹协调041.3.2 人才评价模式和维度单一05133人才评价方法和技术有限05134人才评价工作持续性不强06第二章用人单位网络安全人才评价现状分析072.1 网络安全人才评价对象分析072.1.1 性别、年龄及学历情况072.1.2 行业、地域及岗位情况092.1.3 网络安全实战能力情况13目录CONTENTS22网络安全人才评价开展情况分析14221人才评价基本情况14222人才评价重视程度18223人才评价维度192.2.4人才评价方式2023网络科群分析212.3.1评价结果公开性21232评价结果TT效性222.3.3晋升和加薪兑现情况23第三章院校网络安全人才评价现状分析253.1 网络安全人才评价对象分析253.1.1 性别、年龄及所在院校情况253.1.2 地域及专业情况283.1.3 网络安全实战能力情况303.2 网络安全人才评价开展情况分析31321人才评价基本情况31322人才评价维度343.2.3人才评价方式3433网络贻分析353.3.1评价结果公开性35332评价结果有效性37333有效的评价方式40第四章网络安全人才评价体系建设情况分析434.1 网络安全人才评价体系建设现状434.1.1 院校学生人才评价体系建设现状434.1.2 用人堆位人才评价体系建设现状464.2 网络安全人才评价体系建设需求49421院校人才评价体系建设需求494.2.2用人单位评价体系建设需求534J网络安全人才交叉谶合能力评价分析564.3.1院校人才交叉融合能力评价分析56432用人单位人才交叉融合能力评价分析57第五章网络安全人才实战能力评价体系605.1 网络安全AijmASK-P模型底605.1.1 意识维度605.1.2 技能维度615.1.3 知识维度615.1.4 实践维度61目录CONTENTS5.2 网络安全人才分类分层评价概述625.2.1 网络安全人才分类63522网络安全人才分层645.3 网络安全人才岗位时665.3.1 网络安全管理岗位评价665.3.2 网络安全建设岗位评价715.3.3 网络安全运营岗位评价765.3.4 网络安全审计和评估岗位评价88535网络安全科研教育岗位评价91第六章网络安全人才评价指导性建议956.1强化统筹协调，完善政策体系9562优化人才岗位，践行人才分类分层施策9763完善评价体系，筑牢人才强基98第一章网络安全人才评价状况分析习近平总书记指出：“网络空间的竞争，In根结底是人才竞争。”“要斑立适应网信特点的人才评价机制，以实际能力为衡量标准，不唯学历，不唯论文，不唯资历，突出专业性、创新性、实用性。”人才评价是人才工作的“指挥棒”“风向标”，对人才发现和培养起者导向作用。识别人才、评价人才，不仅有助于人才资源的开发和利用，旦事关创新战略的驱动和发展.在网络空间成为继陆、海、空、天之后的第五大主权争夺空间的背景下，国际、国内对网络安全人才评价关注度不断上升，各国在网络安全人才培训和评价工作方面都在不断地探索和完善。1.1 国际情况1.1.1 美国网络安全人才评价情况美国很早开始注重网络安全人才建设制度的制定，2010年就启动了“国家网络安全教育计划(N1.CE)”，经过不断更新和迭代，2017年发布了NICE网络安全人才队伍框架3.0版本，其定义了7个工作类别、33个专业领域、52种工作角色，给出了1007项与工作角色相对应的“任务”、634项从事网络安全工作所需要的“知识”、377项“技能”和177项“能力”。2020年NIST将该框架重命名为网络安全劳动力框架。2023年2月美国发布了国防部手册(DoDM)8140.03网络空间劳动力资格和管理计划，提供了一种有针对性的、基于角色的方法，通过使用DOD网络劳动力框架(DCWF)来识别、培养和鉴定网络人员。1.1.2 欧盟网络安全人才评价情况2022年，欧盟网络安全局(ENISA)联合14个成员国发布了欧洲网络安全技能框架(ECSF),以完善网络安全人才培养与评价。该框架共确定了12个与网络安全相关的角色、以及每一个角色相关的任务、成果、以及所应掌握的知识、技能。为了保障欧盟职业技能相关政策有效衔接，该框架还与早期发布的欧盟ICT人员能力评估框架ej(eCompotcnceFraInCWOrk)进行了映射。C-CF框架在2015年4月正式成为欧盟标准，目前已发展到3.0版本。它把所有IeT人员能力分为5大能力域和40个核心能力项，每个能力项都含有5个熟练级别。e-CF框架还在不同能力领域内描述与划分了5个能力等级。1.1 .映国网络安全人才评价情况英国则是由通信总部下属国家信息安全保障技术管理局(CESG)发布信息安全保障专业人员认证框架，作为对网络安全人才进行认证和管理的重要依据C该框架将信息保障专业人员分为7大类别，根据不同职贡，每个类别又分为3至4个等级。CESG指定的认证机构对安全保障人员进行能力评估，以认定其是否具备相应资质。1.1.4国际网络安全人才认证情况网络安全人才评价的另一方面是网络安全用1.认证，主要由政府、大学(研究机构)、行业协会等提出。在国际上，国际信息系统安全认证联盟(ISC户提出的注册信息系统安全师(CISSP)认证，信息系统审计与管控协会(ISACA)提出的注册信息系统审i舜(C1.SA)认证、注册信息安全经理(QSM)认证，美国计算机行业协会(ComPT1.A)提出的Securi-ty+认证，国际电子商务顾问局(Ee-COUnCiI)提出的道德黑客(CertifiCatedEthica1.Hacker)认证比较有代表性。这些认证在知识体系的完备性、技术的先进性、评价过程的标准化上，也有一定的优势。CISSICISA、CISM.SeUrit尹证书也得到了美国国防部(DOD)等欧美政府机构的批准和认可，被全球网络安全从业人员普遍采纳。此外，英国作为发展互联网较早的国家之对网络安全人才的认证也比较重视。英国政府以“信息安全保障专业人员认证”作为其网络安全人才认证与管理的主要依据，实施“注册专业人员”认证项目。日本方面，日本文部科学省从2007年起开展了“研究与实践结合培养高级网络安全人才项目”，3所大学与U家企业联合开展网络安全人才教育将训，通过该项目建立了网络安全优秀人才认证制度。2016年，日本经济产业省开始实施“信息安全保障师”的资格认证制度，这是H本在信息网络领域开展的首个国家级资格认证。在此之前H本信息处理推进机构(IPA)和部分民间团体也实施了一些信息网络领域的资格考试并对合格人员颁发相应证书。些认证机构、协会也推出了若干普适性或细分领域的网络安全人员认证，如SANS培训认证覆盖网络防御、渗透测试、羿件响应和取证、管理，市计，法律、安全开发、工业控制系统6大类，每一大类下又细分若干小类；OffensiveSeCUriIy团队提出的国际渗透测试专家(OSCP)认证是一个实操性非常强的国际渗透测试认证，要求人才在实验环境中完成各项渗透任务。总之，发达国家在网络和信息安全方面的人员认证品类与完整度上有着明显优势，但也存在发证主体多和自成体系的问题。1.2 国内情况1.2.1 我国网络安全人才评价情况网络安全人才具布特殊性，网络安全人才评价更要考虑到精准性和综合性。立足不同岗位、不同层次的人才特点，使用科学的评价方法，对网络安全人才的实际能力和贡献做出精准评价：立足人才综合素质，对网络安全人才的意识、知识、技能、实践成果等做出综合评价。目前，各有关部门根据自身分管领域纷纷制定了网络安全人才政策。2019年，人社部印发了6关于改革完善技能人才评价制度的意见，要求建立由国家职业技能标准、行业企业评价规范、专项职业能力考核规范等构成的多层次、相互衔接的职业标准体系，作为开展技能人才评价的依据。按照国家职业技能标准和行业企业评价规范设芭的职业技能等级，般分为初级工、中级工、高级工、技师和高级技师5个等级。企业可根据需要，在相应的职业技能等级内划分层次，或在高级技师之上设立特级技帅、首席技师等，拓宽技能人才职业发展空间。2022年9月，人力资源社会保障部颁布了2022版中华人民共和国职业分类大典新增“密码技术应用员”和“密码工程技术人员”两个职业，&密码技术应用员国家职业技能标准密码工程技术人员国家职业标准均已公开发布，我国密码职业人才培养认定体系开始加速构建。2022年工业和信息化部制定了工业和信息化人才岗位能力评价通则评价框架，搭建了“支撑、测试、认定”三方协同的人才评价组织架构，从专业知识、技术技能、工程实践和综合能力4个维度对评估对象进行考核与评价，并按照产业发展需求及岗位进阶的客观规律，将产业人才岗位能力等级分为3级，共9等。同年由工业和信息化部网络安全产业发展中心与部人才交流中心联合牵头组织编制的网络安全产业人才岗位能力要求标准正式发布，涉及安全体系架构师等38个岗位。在地方和企业层面，2021年广东省网络空间安全协会以网络空间安全工程技术人才专业能力评价规范团体标准（标准编号为T/GDCSA009-2021）发布，将专业分为网络空间安全技术研究、网络空间安全技术应用、网络空间安全系统设计、网络空间安全系统评测、网络空间安全管理监测等5个方向，并将网络空间安全工程技术人才分为3个层次5个等级。2023年辽宁省发布了地方标准人才评价网络安全技能技术要求征求意见稿，按知识要素等级、技能要素等级和经验要素等级3个维度提出了网络安全从业人员职业能力人才评价要素等级体系，在职业分类的基础上，将网络安全职业等级划分为6个等级，针对网络安全服务职业的8个分类分别从3个维度给出了评价规则。粤港澳大湾区按照“香港品质保证局香港注册-人员注册-网络空间安全工程师专业能力评价规范”文件和团体标准T/GDCSA009-2021网络空间安全工程技术人才专业能力评价规范开展了网络安全工程师资格互认试点。1. 2.2我国网络安全人才认证情况我国相关网络安全主管机构均已构建和运营系列网络安全人员认证证书，中国信息安全测评中心的C1.SP系列认证、中国网络安全审查技术与认证中心的C1.SAW系列认证等最具布代表性，其中CISP系列认证以技术领域划分为主，CISAW以工作岗位划分为主。国家互联网应急中心(CNCERT)的网络安全能力认证CCSC、公安部的网络安全等级保护测评和认证、工业和信息化部的信息安全工程师、网络信息安全工程师等都具有较强的权威性。人社部门颁发的网络与信息安全管理人员、信息安全测试人员等职业技能等级认定证书，也为行业技能性人才培养提供了指导和评价作用。此外，公安部第三研究所还推出了“网络安全服务能力评价(CCSS),、，作为国内酋个针对网络安全服务能力的体系化认证，得到了为政府机关、事业单位及从事网络安全服务工作的专业岗位人员认可。在社会团体领域，2018年9月方滨兴院士发起成立了中国网络空间安全人才教育联盟(简称：网教盟),组织和动员全国网安领域相关高校、科研院所、企事业单位和社会团体，从人才教育、培养、培训、认证以及就业等环节，探索科学可行的网络安全人才培养新模式。网教盟已有成员单位300余家，共同制定发布了网络空间安全工程技术人才培养体系指南、网络安全相关岗位认证标准，为解决人才培养面临的挑战和人才需求短板以及国家网安事业发展提供了有力支掾。1.3面临问题1.3.1 人才评价政策制定缺乏战略规划和统筹协调网络安全人才培养是一项战略性、基础性、范围广、领域多的工作，需要提前布局，充分调动政产学研用多方力呈深度参与。美国'国家网络安全教育计划(N1.CEr2008年就开始了谋划、2010年实施：NICE下设工作组和跨部门协调委员会，协调国防部、国土安全部、教育部、商务部、人事管理办公室等十几个政府部门和大量产业界、学术界组织。英国2022年新版国家网络战略规划建立新的高级国家网络咨询委员会，涵盖行业、学术界和公民，使政府、行业和学术界建立更牢固的伙伴关系。我国在网络安全人才评价政策方面缺乏全国层面的宏观规划，因此需要进一步加强主管领导部门的统筹协调职责，建立跨部门、跨行业的协调机构，组纱班I关企业、行业组织和院校协同工作，“从顶向下”梳理网络安全领域的专业类别、岗位职支、任职能力需求等，打通学校教育、专业培训、岗位成才等各种渠道，形成网络安全人才评价政策体系。1.3.2人才评价模式和维度单一网络安全行业发展历史不长，传统的人才评价方式不完仝适用于掌握特殊技能的网络安全从业人员。习近平总书记在2021年中央人才工作会议上指出，“对待亟需紧缺的特殊人才，要有特殊政策，不要求全贡备，不要论资排辈，不要都用一把尺子衡量。”国外网络安全先进国家主要采用人员岗位资质评定的方式，如美国国防部要求所有信息保障岗位要职责明确化，并配备合格的人员：所有信息保障人员须进行培训，并在入职后6个月内通过基线资质要求，对文职部门人员网络安全整体能力进行评估的方法也在向军队的“基线资质要求”旅拢.我国的注册资质证书也是信息安全领域人才识别和能力评价的重要依据。传统网络安全人才评价方式包含考试、职称评定、奖项证书等，各模式下的人才评价标准不同，评价结果很难成为各单位网络安全人才画像的参考依据,而网络安全作为门综合型、实战型的学科，人才评价工作不应仅限于知识、技能或荣誉证书等单层面我们要尊重科学规律、尊重人才成长规律，以创新能力、交付质量、实际贡献为导向，建立不同领域、不同岗位、不同层次人才特点的评价模式，针对网络安全人才的知识水平、技能水平、科研水平、工作成效，甚至是态度意识等，作出综合评定。1.3.3«评价方法和技术有限网络安全产业人才缺口大，实战型人才培养难，关键在F网络安全人才评价方法和技术有限。很多政府机关、事业服位、关键信息基础设施单位在人才评价方面多采取考试、评审等固定方法，普遍看重纸质申请材料，现场展示、耳动答辩有所采用，但限于展示、答辩时长布限等原因，难以充分展现人才实际能力。人才测评工作始于百年前，但我国在上世纪七十年代才开始发展，长期处于“模仿”“跟随”状态。在美国，已有三分之一的小企业、三分之二的大企业都采取了完善的技术及工具开展人才测评，如应用公文处理测试、情景模拟等，但我国人才测评机构水平不一，很多机构只是对测试技术，甚至是测评工具、题目进行了大量“I到10”“10到100”的模仿性创新,原创性不足，不适用于我国情况。测评技术的发展限制了用人单位采用外部工具进行网络安全人才评价，大部分采取学历、资历、论文等易接化的方式，导致了网络安全人才评价出现偏差，一些高能力、高潜能、贡献突出的人无法享受应有的待遇°1.3.4人才评价工作持续性不强网络安全从业人员以及储备人员是实施网络安全保障措施的主力军，在网络安全专业领域和前沿技术领域需要保持能力提升，不断更新知识储备，学习掌握新的网络安全技能，研究前沿网络安全态势等，但网络安全人才在“选、育、用、留”各个阶段均缺乏持续的、可衔接的评价机制。2018年3月，美国N1.CE计划设立了个新的“学徒制工作组”，在针对学生的长期规划和针对从业人员的短期规划之间加入了一个“半工半学”人员的计划，进一步丰富了网络安全人员队伍的来源。英国在政府网络安全战略2022-2030中提出进步扩大网络学徒及培训计划。对于网络安全相关专业的学生，要创新人才培养模式，解决传统教育与产业脱节的痛点问题。对于网络安全从业人员需要将持续教育和评价贯穿整个职业生涯，促使学历教育、职业培训、单位内训等多种方式共同发力，破解当前用人单位疏于培养自Tj人才，不愿投入足够的资源开展内训或进行专业培训的行业现状，第二章M用人单位网络安全人才评价现状分析当前，网络安全人才缺口大，网络安全人才实战能力欠缺已成为了业界共识。各行业各单位“人才大战”如火如荼，高水平、高学历、高能力人才炙手可热，这些现状为网络安全人才的发展提供了积极的环境。然而，基础在“引”，根本在“用”，为在时代发展中掌握主动权，让网络安全人才活力竞相迸发，用人单位应以人才评价为基础，让人才特长与岗位精准对接，才能发挥人才最大价值。本章节遵循实事求是的基本原则，面向全国（港澳台除外）31个省（自治区、直辖市）及新疆生产建设兵团，能源、政府、通信、金融、网络安全等十余行业的一线网络安全从业人员展开调研,通过数据调研和专家访谈，客观分析用人单位网络安全人才评价对象的基本情况、网络安全人才评价工作开展情况、网络安全人才评价效果，全面呈现国内网络安全人才评价现状。希望为网络安全人才评价体系构建提供依据，为网络安全人才分类、分层评价模式提供参考，保障网络安全人才评价工作的客观性、公正性和持续性，为网络强国、人才强国、科技强国战略的实施贡献力量。2.1 网络安全人才评价对象分析2.1.1性别、年龄及学历情况依据对全国不同地域不同行业的网络安全人才评价对象开展调研，在用人单位中，网络安全人才性别比例依旧悬殊，男性占比高达89%,女性占比仅为11轨如图2T所示。男女B2-1用人单位网修安全人才性制分布从用人单位网络安全人才的学历来看，本科背景的人才依旧是网络安全行业的生力军，占比70机硕士背景的人才，占比23.8%;博士背景的人才占比0.2%。相较于2022年攻防实战篇B,本科、硕士背景的人才分别上升J'2%、6.3M这是因为网络安全学科建设成效显著，更多高校开设网络安全相关专业，招生规模化有序推进，从源头上本科、硕士占比上升。此外博士占比有所下降，也反映出用人单位在人才引进、人才评价时，结合网络安全学科综合型、实践型特性，从实际出发，不唯“学历论”，而是倾向丁人才的综合实力。如图2-2所示。2022B2O23图2-2用人单位网修安全人才学历分布从用人单位网络安全人才年龄分布来看，2630岁的人才占比最高，达34$;其次是21、25岁、3135岁，占比均为23机这说明，一方面26、30岁的人才抗压力、学习能力较强，受到用人单位青睐：另一方面，随着网络强国、人才强国战略的推进，院校作为人才培养的主力军，纷纷加大学科建设力度，为产业输送了大批新生力量，同时各地区各行业高度重视网络安全产业发展，产业规模高速增长，吸引了大批年轻一代投身于此，为产业带来了机遇和活力。如图2-3所示。2.1.2 行业、地域及岗位情况随着数字经济的高速发展，网络安全的基础性和保障性作用不断增强,网络安全实战能力正在HA能各个行业，为行业的高质量发展提供了新动能。尤其在关键信息基础设施领域，对网络安全实战人才的重视度逐步提升。其中，能源行业关系国计民生，占比最高，达20.0%;其次是政府、通信、金融，占比分别为19.0%、15.5尔I1.舞。可以看出，数字化建设阶段，美基行业高度重视网络安全人才队伍建设，网络安全防御思路也从“买硬件”转向“重实战”，持续逋过场景化训练、实战化演习等方式，培养网络安全人才实战能力，提升网络安全风险防范水平；能源、政府、通信、金融、交通等行业是经济社会运行的神经中枢，对业务的稳定性、持续性要求高，在网络安全形式不断演变的当下，也加速了网络安全实战人才队伍建设的步伐；同时，网络安全行业作为提供网络安全产品和服务的主要力51,也是网络安全实战人才聚集的高地之二如图27所示。网络安全人才实AI修力白皮书一人才WB2-4M倍安金实战人才行业分布从用人彳I位M络安全实战人才所在地域来看，网络安全人才奥媒效庖明显北京作为大型政企总位、阳络安全企业总部的次集地，人才占比最高.达10.9%.其次是广东、上海,分别占比10.7*5.6%,浙江占比5.2，。这说明在经济支撑力较强的省市，网络安全产业规模和人才需求随之拉大，同时线叶的就R资源也方利于科技成果行化.为吸引网络安全人才及人才高质量发展贽定了良好城4S.如图2-5所示.2.00%4.00%6.00%8.00IaOo%12.00%dg法7FZ£OaZZ4.Z密.9叱3依I?Ss竽柒m»If麦耍-H»提1.Ie/力E*f陛凶率即却察知出先第=s?三候皿兴旌冏SI属1.也I5辑削窜王«»恒滨凶典IINW三9加1ew!我扣afi三整*咫1.等««凶取血转回M小I½in1-Sff1.s图2-6用人单位网络安全实战人才地域分布IO相较于2022年£攻防实战篇3中的地区分布，西两、东北、西北、华中地区的用人单位网络安全人才占比均有所上升，其中西北地区上升15%.华中地区上升了8轧这说明在国家政策的推动卜.,中西部地区的网络安全产业取得了明显的发展成效,人才吸引力增强，逐渐形成了网络安全人才聚集新高地。如图26所示。2022H2023H2-6202242023用人单位网编安全实战人才地区分布目前,全国各省市各单位林在积极践行网络强国和人才强国战略，加速推进网络安全产业布局及人才布局，但与发达国家相比，我国受制于IT拓础设施和互联网的发展，网络安全产业起步较晚，对网络安全的重视程度不帔，很多用人单位的网络安全专职队伍存在规模校小、岗位划分不明确等方面的向超。调研数据显示，63$的用人单位网络安全专职队伍规模不足10人：其中“无专职人员”的占比为14%这一数据较2022年攻防实战篇的1册有所降低，是比较向好的趋势。此外，网络安全环境发杂，网络安全人才任务1ft，选任大，有33%的总位设置了专人专岗，但67%的第位没有设置专人专向，岗位职责比较模的。如图2-7、2-8所示.*量人BBM用人单位划分岗位I.W不同性质单位的网络安全专职队伍规模也存在差异，事业总位、国家行政机关网络安全人才专职队伍规模相对小，72%的事业单位、69%的国家行政机关网络安全专职队伍不足10人：科研机构、民营企业的网络安全专职队伍规模相对大，20%的科研机构、1妙的民营企业网络安全专职队伍规模大于100人：央企、国企网络安全专职队伍规模相对均衡：外资企业两级分化较为严重，78%的外资企业网络安全专职队伍规模不足IO人，11%的外资企业网络安全专职队伍规模大于100人。如图2-9所示。3不冏性质靴喇位全寿职队伍规模2.1.3 网络安全实战能力情况调研数据显示，在网络安全实战人才最擅长的能力方面，渗透测试能力占比最高，为42祝其次是Web安全能力，漏洞挖掘、分析和利用能力,分别占比40%、25%.这说明用人单位网络安全人才队伍技术专业水平较为均衡，捅长渗透测试的人才，熟悉常见的攻击手段和工具，能够发现和利用系统的弱点，并给出解决方案：擅长肥b安全的人才，熟悉Web应用的开发和运行原理，能够保障WCb应用和网站免受恶遨攻击：擅长漏洞、挖掘和利用的人才，能够发现软硬件、操作系统、固件、网络协议、管理机制等中存在的安全缺陷，并对发现的漏洞进行深入的研究，设计有效的攻击载荷或防御策略。但擅长云、5G、A1.区块链等新兴领域网络安全实战能力的人才，占比仅为4队这说明在新场景与新成胁相互福加的背景下，网络安全人才学习交叉领域的知识、综合分析解决交叉领域更杂安全问题的能力薄弱。院校、用人单位、社会培训机构需要共同努力，共同探讨新兴领域的安全问题场景，完善课程与实践教学体系，运用网络安全攻防演练、网络安全竞赛等形式，加速培养人才在专项领域的网络安全实战能力。如图2-10所示。KHO用人IMw幅安全实A认才始峥能力另个角度来看，在网络安全人才评价对象最想提升的网络安全实战能力中，”渗透测试”占比最高，达41%;其次是逆向分析，漏洞挖掘、分析和利用，各为37%、33%;这说明在网络安全形势瞬息万变的背景卜.，“渗透测试”“逆向分析”“漏洞挖掘、分析和利用”不仅是网络安全从业者必须掌握的实战能力，也是峭需持续学习、精进的实战领域。需要关注的是，用人单位中认为自身“各项网络安全实战能力均不需要提升”的占比仅为2而在2022年攻防实战篇中，占比为居。这说明在AI、物联网等快速发展下，网络安全技术不断加速迭代演进，网络安全从业人员更进一步看清了自身的网络安全实战能力短板，也在积极寻找提升路径。如图2-11所示。2.2网络安全人才评价开展情况分析2.2.1 人才评价基本情况调研数据显示，受制于评价机制不健全、重视度不足、评价能力欠缺等问题，我国网络安全用人单位还未全面、深入地开展人才评价。高达56$的用人单位人才评价工作较为表面化、形式化，甚至从未开展过人才评价。这说明用人单位虽然己经意识到网络安全人才评价的重要性和必要性，但仍有一半以上的用人单位需要从长远、发展的眼光看问题，尽快采取科学的方法、体系化开展人才评价，为人才提供一个公平竞争的环境，激发人才的胆动力、创造力.如图2-12所示.表面化甚至从未开展开展了系列评价2-12用人单位网售安全人才评价开情况为保障人才评价能期规范有序的进行，12%用人单位成立了专门的“人才评价工作组”，牵头开展评价工作：58%的用人单位没有设祝专门的“人才评价工作组”，由不同的部门或小组牵头开展，其中30%的单位由信息化部门牵头，27%的单位由人力资源部门牵头，23%的电位由网络安全部门牵头，还有20%的单位没有牵头部门，各小姐自行开.人才评价的组织建设力有待提高.如图2-13、274所示。有人才评价工作组没有人才评价工作蛆图273用人单位人才评价工作组设置情况由单位信息化Wn牵头由单位人力资源部门牵头由单位网络安全部门牵头没有牵头部门，各小组自行开展图2T4用人单位网络安全人才评价牵头部门人才是第一资源，企业持续性开展人才评价工作，既有助于招助员工进阶，也符合用人单位的发展故略.调研数据显示.用人单位开展网络安全人才评价最主要的原因各有不同，其中培养人才悌队（选拔而潜力、离绩效的人才，优化低潜力、低缄效的人才）占比最高，达28%;其次是“帮助员工看清自身的优势与不足”“帮助员工展示自我价值”，分别占比25%、19%.如图215所示.4、培养人才横队（选拔高潜力、高绩效的人才，优化低潜力'低绩效的人才帮助员工看清自身的优势和不足帮助员工展示自我价值提高培训的针对性和实用性树立人才招聘标准选拔干部了解员工需求促进跨部门沟通其他2-15用人单位开展网络安全人才评价的最主要原因29X为了明确各岗位职费和两位耕卅，帮助人才明确职业发展路任，用人整位还会建立职级体系。在职级体系里，通常会将岗位分成技术、管理、学术三类序列。其中，33%的用人单位采用管理和技术双序列：29%的用人单位仅采用了技术序列：13%的单位仅采用了管理序列：11，的单位仅采用了学术序列：仅有10%的用人单位采用了三种序列建立职级体系。如图2-16所示.管理类+技术类技术类管理类学术类管理类技术类学术类技术类+学术类图2-16用人单位职级体系种类5%10%(10%)从专职人协评价1：作精力投入方面看,用人单位投入到人才评价1：作上的精力有极大的提升空间。数据品示，63%的用人单位,在网络安全人才评价工作中投入精力不足10%.如图2-17所示。5%及以下15%-20%（含20%>20%-25%（含25%）25%及以上BB2-17网修安全人才评侨工作精力投入情况从图格安全人才评价工作预算投入上看,“无预算”的用人单位占比公名,为32%,可见用人冷位对于网络安全人才评价工作的关注度仍有待提升.如图2-18所示.研算20万以卜21-50万51-100万100万以上2.2.2人才评价篁视程度用体而言，有56%的用人单位对网络安全人才评价还不纺近视，其中“从未开展过人才评价”的用人单位占比最高，达29%,这些单位对网络安全人才评价没有意识和需求.也没有建立任何评价体系和机制，存在一些人力资源管理的向即和风险；其次“评价比较形式化”的占比也达到27%,这些单位虽然已经关注到网络安全人才评价，但没有一个明确的体系和标准，仅是为了应付一些外部要求或者内部规定而进行表面的评价活动，没有真正实现网络安全人才评价的目的和效果。如图2-19所示. 从未开展过人才评价 没有评价体系，人才评价比辘式化 有完善的评价体系，不定期开展评价活动1.1.有完善的评价体系，定期开展评价活动图279人才评价重视程度在所有开展网络安全人才评价的电位中，通信行业重视程度地高，39、的通信行业有完善的评价体系且定期开展评价活动.相较这一类别在总体行业中占比的20、高出一倍。说明通信行业通过强化人才支掠,在加速实施5G增强、光通信、量:子通信等关键技术突破，保障尽快实现高水平科技自立自强。其次.互联网和网络安全行业对网络安全人才评价也较为重视,26%的互联网单位、25%的网络安全单位有完善的评价体系，定期开展评价活动。而交通、医疗行业对网络安全人才评价工作的重视程度有很大提升空间。35%的交通行业从未开展过人才评价、人才评价比较形式化.在医疗行业中,从未开展过网络安全人才评价、人才评价比较形式化的单位各占比33%,政府、金融、能源的人才重视情况和全国总体水平较为接近。如图2-20所示。从未开展过人才评价没有评价体系,人才评价比较形式化!有完善的评价体系，不定期开展评价活动二有完善的评侨体系，定期开展评价活动图2-20不同行业的人才评价重视程度综上，通信、网络安全、互联网行业对网络安全人才评价工作的重视程度明显高于总体，表现在评价体系更完善，评价规范性更高，完全不评价的情况较低。这与这几个行业的人才意识和对人才需求的迫切性相关。未来，可在人才评价方面维续发挥示范引领作用。2. 2.3人才评价维度用人单位网络安全人才评价通常包含基本情况（学历，专业，工作年限，专利、论文等技术成果，认证证书,知识库）、获奖证书僮赛、众测、演练）、职称、专业技能、项日经验、个人绩效等多个维度。儿中对基本情况评价的普及率最高，为6端;其次是获奖证书（竞赛、众测、演练），普及率为56讥这说明用人单位非常注重人才的基本情况，也非常关注人才在网络安全竞赛、网络安全众测、网络安全攻防演练的表现。此外，职称等级、专业技能、项目经验也是重要考察的维度。而由于网络安全人才的特殊性，对职业素养（安全意识、个人品德、价值观、胆动力）的考察也较为关注，普及率39%。如图2-21所示。2.2.4人才评价方式从用人单位采取的网络安全人才评价方式来看，H常考察、实践评估（竞赛、众测、演练）方式比较普及，普及率均超50%,这表明用人单位在网络安全人才评价方面比较注重对日常工作表现和实际操作能力的评定。此外，技能测评和知识测评可以对网络安全人才的专业技能和知识储备进行全面的检杳，也是用人单位常用的评价方式，普及率也较急。1.图221所示。2.3网络安全人才评价效果分析2.3.1 评价结果公开性评价结果是否公开对于网络安全人才评价具有田要的影响.公开评价结果与不公开评价结果各有优缺点.公开评价结果可以增加评价的透明度和可信度.网络安全人才的评价结果对于企业和组织来说是重要的决策依据，公开评价结果可以使评价过程更加公正、客观和可信。通过公开评价结果，各方能终了解评价的方法、标准和过程，从而对结果有更好的理解和认可：还能够促进竞争和激励,激发网络安全人才提升白身能力和技术水平的动力。同时公开评价结果可以为网络安全人才提供一种展示和证明自己能力的机会，进一步激发其积极性和主动性.不公开评价结果可以保护个人隐私和檄感信息.网络安全人才的评价结果可能包含个人的细节和敏感信息，如技术能力、弱点和发展需求等。不公开评价结果可以防止这些信息被滥用或泄落,确保个人除私的保密性：还可以避免过度竞争和不必要的紧张氛困.使网络安全人才能鲂更专注于自身的成长和发展。在某些情况下，不公开评价结果可能更符合组织的需要和要求，有助于更精确地评估和发展网络安全人才。调研数据显示.有57%的单位不公开评价结果，43%的单位选择公开评价结果.如图2-23所示。图2-23评价结果的公开性各用人单位应该根据自己的实际情况选择对结果进行公开或者不公开.无论是公开还是不公开评价结果，关键在于确保评价过程的公正、客观和有效，以推动网络安全人才的发展和行业的进步.2.3. 面价结果有效性定期进行知识和技能考核,有助于网络安全人才定位自己的优势,看清能力短板。根据调研结果，42%的电位会举办知识和技能考核，但持续性不强，员工只能看清一个阶段的优势与短板：24%的用人单位会定期举办知识和技能考核，员工能够存清自己的优势与短板：21的单位会举办知识和技能考核，但考核内容与业务脱节，不能反映员工的优势与短板：还有13%的单位从未举办过知识和技能考核。如图2-24所示.考核内容与业务脱节，不能反应优势和短板从未举办知识和技能考核!仅到清阶段的楼与短板能够看梭切豆板8B2-24实显能力炮板的发现程度这说明在对网络安全人才进行评价时，评价方式应具备科学性，要能够反映个人般力在实际工作中的应用情况，并提供有针对性的反馈和改进建议。此外，大多数单位的评价工作持续性不强，人才无法得到连续、有效的反馈，从而了解自己的强项和薄弱点，并采取相应的行动来提升实战能力。另一方面，用人单位组织网络安全实践活动（竞赛、众测、演练），有助,帮助员工接触大量真实的网络安全场景，磨砺员工的实战傀力水平。43%的用人单位经常组抵员工参加网络安全实践活动，员工通过接触大信我实的安全场景和安全事件，系统性地检验网络安全实战能力：38%的用人单位定期组织网络安全实践活动,员工实成能力得到了有效检验：7%的用人单位单位偶尔组织网络安全实践活动，员工接触的安全场景和安全事件有限，检险效果一般：而12%的单位从未组织过实践活动。如图2-25所示。接触大量真实的安全场景和安全事件，系统性地检脸了网络安全实战能力叁与频次不高，检验效果一般口从未组织过实践活动偶尔参加实践活动,但因难度太大，不适合现阶段的能力水平图2-25实践活动叁与情况2.3.3晋升和加薪兑现情况是否兑现相应的晋升和加薪，是影响用人单一位对网络安全人才评价效果的一个我要因素嚏调研结果显示，有29%的单位有施行相关制度，并I1.及时兑现了晋升和加薪：43%的单位虽然有相关制度，但是兑现晋升和加薪较慢：有13%的单位有相关制度，但未兑现晋升和加薪：还有15$的单位没有相关制度。如图2-26所示。