周念念

《上海信息化》：我們所知的三零衛(wèi)士是一家專業(yè)的信息安全服務商，為何會涉足CISP（Certificated Information Security Professional，國家注冊信息安全專業(yè)人員）信息安全培訓？

鄧高峰：國內信息安全產業(yè)經(jīng)歷了十多年的發(fā)展積累了一批中堅力量，大多分布在信息安全產品提供商和服務提供商以及第三方機構，但從信息安全責任單位以及為其提供各類信息技術服務外包的更廣泛的IT行業(yè)來看，大部分行業(yè)和組織還沒有專門的信息安全崗位設置和專業(yè)的信息安全人才配置，據(jù)權威機構估算，我國信息安全人才的需要量在50多萬。目前，信息安全專業(yè)在國內仍是高等教育的二級學科，全國有將近80家高校設置了信息安全類本科專業(yè)，通過高校培養(yǎng)的信息安全人才不到4萬人，這些青年軍無論在整體數(shù)量還是在實踐實戰(zhàn)上，距離國家健全信息安全保障體系、上海市智慧城市所要求的信息安全總體可控，還有很大缺口，亟需通過專業(yè)的職業(yè)培訓來補充和提升。

我理解的信息安全是暫時的，不安全是永恒的；信息安全的系統(tǒng)建設是一個持續(xù)進行的過程，其實就是指信息安全的“新四化”。以上海這樣信息化程度很高的城市為例，無論是政府還是企業(yè)，一方面其業(yè)務對信息技術的依賴程度很大，另一方面這些改革開放的前沿也是各方關注的焦點，信息安全和業(yè)務連續(xù)的保障需求自然就十分迫切，信息安全不應成為信息化發(fā)展瓶頸，而應成為趨利避害的重要手段。全面提高各單位各企業(yè)的信息安全意識，有效提升信息安全專業(yè)技能水平，包括重點培育信息安全專業(yè)服務機構，這些工作都離不開信息安全人才培養(yǎng)和集聚，因此在各行業(yè)大力開展CISP等相關培訓將為建設上海信息安全人才高地打下堅實的基礎。

《上海信息化》：三零衛(wèi)士在CISP培訓體系建設上，又有哪些新的創(chuàng)新與思考？

鄧高峰：CISP培訓一直致力于培養(yǎng)信息安全的組織者、推動者和管理者。信息安全體系建設，不只是用信息安全產品搭建一個堡壘，更重要的是組織自身需建立一套完善的信息安全制度，只有硬件（技術）和軟件（人才）相互結合，才能保障信息的機密性、完整性和可用性。對于公司的培訓來說，則是將安全知識體系和實際工作中的應用一起納入了信息安全體系建設。組織面臨的安全問題多種多樣，除了常見的系統(tǒng)漏洞、黑客入侵、掛馬和釣魚網(wǎng)站、木馬下載器等一些技術性威脅外，一些安全意識薄弱同樣也會產生安全問題，比如：沒有專業(yè)的安全培訓嚴重缺乏安全意識；不知道組織存在哪些安全隱患；出現(xiàn)突發(fā)安全事故無法第一時間了解等等。對于那些沒有經(jīng)過專門的安全培訓、沒有配備專業(yè)的技術人才、沒有設定合理安全流程的企業(yè)來講，只靠采購安裝軟、硬件安全產品來避免威脅或在遇到威脅時應急處理，是非常不現(xiàn)實的。

對此，CISP全面覆蓋全球信息安全知識，充分貼合中國信息安全國情，具有非常系統(tǒng)化的知識體系，使用組件模塊化的結構，包括知識類、知識體、知識域和知識子域四個層次，更注重全面性、前沿性和實用性。

《上海信息化》：國際上也有CISSP等信息安全培訓，與之相比CISP有什么優(yōu)勢或特點？

鄧高峰：國際上除了（ISC）2的CISSP（信息系統(tǒng)安全專家）培訓之外，還有ISACA的CISA（注冊信息安全審計師）、ISO27001的主任審核員等與信息安全相關的人員培訓，但分別側重技術、審計和管理體系，參與培訓的人員也未必是信息安全從業(yè)人員。國內有公安部的信息安全師、工信部網(wǎng)絡信息安全師、國家信息安全認證中心的CISAW（信息安全保障從業(yè)人員）等培訓，還有不少社會化IT培訓中也有所謂的信息安全模塊，但是無論從專業(yè)人員定位、培訓體系構成還是從與國家信息安全保障工作的關聯(lián)度來看，均遜色于CISP。

CISP最初是瞄準CISSP所設計的高端專業(yè)培訓，十年來結合國家信息安全保障的需求，不斷得到更新和充實，現(xiàn)在已形成由CISM（注冊信息安全人員）、CISO（注冊信息安全管理人員）、CISE（注冊信息安全工程師）、CISP-AUDIT（注冊信息安全審計師）、CISP-DRP（注冊信息安全災難恢復工程師）、CISD（注冊信息安全專業(yè)開發(fā)人員）所構成的系列培訓和人員認證。所以說，如果希望在信息安全行業(yè)長期發(fā)展，就目前而言，CISP專業(yè)培訓具有不可替代性。

《上海信息化》：今年上海針對信息安全教育培訓有什么具體的政策和要求？

鄧高峰：“發(fā)展以安全為重，安全以人才為本”是CISP培訓的宗旨，信息化的成效很大程度上取決于信息安全保障水平，而信息安全保障的關鍵在于人，CISP培訓的初衷就是在最大范圍建立大家的信息安全意識，并針對信息安全相關人員普及信息安全知識，掌握必要的信息安全技能。就目前來看，CISP不僅是申請信息安全服務資質的必備條件，并在越來越多的行業(yè)成為信息安全崗位的“上崗證”，上海市也開始要求IT服務外包企業(yè)將信息安全專業(yè)人員納入技術團隊標準配置。

早在2011年，上海在《上海市推進智慧城市建設2011-2013年行動計劃》中就提出：“把信息安全擺在城市安全的突出位置，提高全民信息安全意識，通過推行CISP等專業(yè)資格認證完成1000人次信息安全員的知識更新?！苯衲?，上海市網(wǎng)絡與信息安全協(xié)調小組辦公室發(fā)布了《關于加強本市信息安全教育培訓工作的通知》【滬網(wǎng)安辦〔2013〕2號】，明確要求全市199家信息安全重點單位加強信息安全人才的專業(yè)技能培訓，在涉及國計民生的重要信息系統(tǒng)實行關鍵崗位持證上崗；并將信息安全服務資質作為選擇系統(tǒng)集成商和服務提供商的重要依據(jù)，要求其提供服務的技術隊伍至少擁有2名信息安全專業(yè)人員。

上海這個政策舉措在地方上還是首例，其示范作用和規(guī)模效應正在逐漸顯現(xiàn)，很多單位已將信息安全教育培訓工作制度化、常態(tài)化，不少行業(yè)已開展了CISP集中培訓和定向培訓，就今年上半年已有超過180人通過我們的專業(yè)培訓，拿到了CISP專業(yè)資質證書，正式開始以CISP的道德規(guī)范（Code of Ethics）為其職業(yè)操守。

《上海信息化》：目前在上海如果拿到該證書，有什么實際收益？

鄧高峰：首先該證書是行業(yè)的客觀需要，政策上已開始要求全市199家信息安全重點單位的信息安全崗位進行人員備案和持證上崗（政府、公安、國資、城建等行業(yè)本身也已將其納入信息化考核中），我們作為這些單位的信息系統(tǒng)建設和運維服務商，現(xiàn)在已經(jīng)有不少客戶要求我們?yōu)槠涮峁┘夹g服務的人員也要持證上崗，相信今后上海市網(wǎng)安辦會就甲方信息安全責任單位和乙方信息技術服務商的信息安全專業(yè)人員要求做出進一步規(guī)范。

其次，拿到該證書對于個人不僅是信息安全知識體系的升級，也是實際的信息安全技能的提升，理論聯(lián)系實際，很多CISP學員已開始為所在單位制定信息安全策略、建立信息安全管理體系、編制信息安全應急預案、通過專業(yè)工具和平臺對網(wǎng)絡和系統(tǒng)進行安全配置和加固優(yōu)化、系統(tǒng)性開展等級保護定級建設和運維整改工作，有針對性開展安全攻防演練等，由普通的網(wǎng)管變?yōu)樾畔踩鞴?，由信息安全主管變?yōu)樾畔踩珜＜摇?/p>

第三，從社會認可角度來看，由于CISP是國內最權威的專業(yè)培訓，已成為很多政府和企業(yè)信息中心，IT服務企業(yè)選擇專業(yè)人才和組建專業(yè)團隊的重要標準。上海市每年都會開展信息安全技能競賽，某公司由CISP認證人員組成的參賽團隊每年均取得三甲成績，一方面為這個技術團隊帶來了加薪提升的砝碼（收入水平明顯高于公司其他技術部門），另一方面也就此得到了得到客戶的認可和尊重（就信息安全專項服務簽單）。

《上海信息化》：三零衛(wèi)士目前和后續(xù)的培訓目標和推廣優(yōu)惠政策有哪些？

鄧高峰：我們今年在上海市計劃的培訓目標是完成300個CISP，從目前結合市網(wǎng)安辦的推進政策來看，上半年已開展針對上海市建工集團、上海建交委系統(tǒng)、國核自儀、上?？萍夹畔⒅行摹|方有線、上海證交所等全市信息安全重點單位的培訓。下半年三零衛(wèi)士還會堅持每月固定開班的做法，不僅在199家重點單位推進CISP和CISM培訓，還會面向更廣泛的中小企業(yè)、IT服務企業(yè)等群體。

在今后幾年，三零衛(wèi)士還將在三零服務網(wǎng)覆蓋的省市和行業(yè)，更多地與主管部門就信息安全人才教育培訓進行溝通和對接，通過積極爭取政府和行業(yè)補貼、拓展第三方合作辦學模式、贈送信息安全服務體驗、按行業(yè)需求定制開班等多種方式，通過優(yōu)質的培訓質量和合理的價格政策，進一步向全社會推介CISP。