基于信息管理專業(yè)綜合改革的信息安全管理人才培養(yǎng)體系探討

胡雪松 熊壯 官海濱 周常寶,3

（1 中原工學院信息商務學院；2 青島職業(yè)技術學院人事處；3 南開大學商學院）

基于信息管理專業(yè)綜合改革的信息安全管理人才培養(yǎng)體系探討

胡雪松1熊壯1官海濱2周常寶1,3

（1 中原工學院信息商務學院；2 青島職業(yè)技術學院人事處；3 南開大學商學院）

本文從社會需求層面探討了信息安全管理人才培養(yǎng)體系建設，旨在為我國完善信息安全管理的人才培養(yǎng)計劃、課程體系和教育體系提供參考。

信息安全管理 人才培養(yǎng)體系

專欄信息安全管理系列之五

隨著信息安全行業(yè)的飛速發(fā)展，人才培養(yǎng)已經成為制約其發(fā)展的瓶頸之一。一方面，用人單位抱怨人才匱乏，用人費用虛高；另一方面，高校抱怨就業(yè)難，就業(yè)市場競爭激烈。如何解決其中的矛盾？高校在課程設置上應該承擔更多的責任，本文基于此背景，初步探討了信息安全管理專業(yè)的人才培養(yǎng)計劃和課程體系，以期更有效地培養(yǎng)市場所需要的專業(yè)人才。

謝宗曉（特約編輯）

1 信息安全管理人才需求

隨著IT的飛速發(fā)展，國家層面越來越重視信息安全工作，近幾年來信息安全相關標準、各行業(yè)的信息安全規(guī)范不斷地出臺，例如，2010年8月17日，工業(yè)和信息化部聯合國家認證認可監(jiān)督管理委員會等六部委印發(fā)了《關于加強信息安全管理體系認證安全管理的通知》，其中明確指出：開展信息安全管理體系認證，有利于各單位規(guī)范信息安全管理，有利于企業(yè)特別是服務外包企業(yè)開拓國際市場。

前幾年有部分錯誤觀點認為安全只是一個技術問題，所以，信息安全管理的責任被限制在技術負責人。但是現在信息越來越成為企業(yè)最重要的資產，高級管理層越來越重視信息安全工作，大部分企業(yè)都能意識到信息安全管理是一個需要最高管理層重視并參與的工作，信息安全管理將成為現有管理措施的一部分。

或許，無數的信息安全工作者思考過這個問題：為什么信息安全的工作會事倍功半呢?估計他們得到的答案都一樣，縈繞在腦海里的還是那句話：三分技術，七分管理。正是因為信息安全管理工作的不足或者是缺失，導致一系列信息安全產品、技術等工作收效甚微。于是信息安全相關領導、主管們開始痛下決心要重視信息安全管理，然而，新的問題又出現了。

其一，信息安全管理工作誰懂?誰會做?誰又能做好?信息安全管理工作需要的是既懂計算機又懂管理的復合型人才。然而，企業(yè)內部沒找到，寄希望于各大招聘網站，結果還是兩手空空。規(guī)模在幾百人以上的政府、企事業(yè)單位，從自身發(fā)展、保護組織信息資產的角度出發(fā)都需要信息安全管理人員，國內各大信息安全廠商、服務商、集成商，國際各大咨詢企業(yè)常年招聘信息安全技術、咨詢服務顧問。據工業(yè)和信息化部中國電子信息產業(yè)發(fā)展研究院信息安全研究所保守估計，目前國內信息安全相關專業(yè)人才的需求量超過50萬人，社會對信息安全相關專業(yè)人才的需求量每年還將新增1.2萬人左右，而我國信息安全相關專業(yè)的畢業(yè)生不足1萬人，社會培訓學員數量也不足1萬人，遠遠滿足不了政府或企業(yè)對信息安全相關專業(yè)人才的需求。由此可見，信息安全管理人才的匱乏是制約信息安全管理工作做好的大瓶頸和大障礙。

其二，從信息管理與信息系統(tǒng)專業(yè)人才培養(yǎng)與就業(yè)的角度來看，該專業(yè)的目標就是培養(yǎng)既懂計算機又懂管理的復合型人才，是一個適應面相當廣的專業(yè)，就業(yè)機會應該非常多。然而現實并非如此，很多學生都沒有找到相應的工作，甚至找不到設給該專業(yè)的崗位。用人單位往往認為凡是與計算機有關的都是計算機專業(yè)，而畢業(yè)生反饋的信息是專業(yè)定位不明確，特色不明顯。這種現狀不得不引起我們的重視和思考，信息管理與信息系統(tǒng)專業(yè)該如何定位、突出專業(yè)特色，如何構建一個合理的人才培養(yǎng)體系？要想改變現狀，我們需要對信息管理與信息系統(tǒng)專業(yè)進行綜合改革。

2 信息管理專業(yè)改革背景

為了進一步深化本科教育教學改革，提高本科教育教學質量，大力提升人才培養(yǎng)水平，教育部、財政部于2011年7月1日頒布了《教育部 財政部關于“十二五”期間實施“高等學校本科教學質量與教學改革工程”的意見》，決定在“十二五”期間繼續(xù)實施“高等學校本科教學質量與教學改革工程”。為引導高校主動適應國家戰(zhàn)略和地方經濟社會發(fā)展需求，優(yōu)化專業(yè)結構，加強專業(yè)內涵建設，創(chuàng)新人才培養(yǎng)模式，大力提升人才培養(yǎng)水平，教育部高等教育司于2011年12月30日頒發(fā)了《關于啟動實施“本科教學工程”“專業(yè)綜合改革試點”項目工作的通知》，明確了“十二五”期間啟動實施“專業(yè)綜合改革試點”項目。在對一些高校信息管理與信息系統(tǒng)專業(yè)綜合改革和一些企業(yè)進行調研的基礎上，結合近幾年畢業(yè)生和用人單位的反饋，信息管理與信息系統(tǒng)專業(yè)可以通過專業(yè)細分方式進行試點改革，信息安全管理作為其中一個方向。

早在2003年9月7日，中辦、國辦轉發(fā)了國家信息化領導小組第三次會議審議的《關于加強信息安全保障工作的意見》，以進一步提高我國信息安全保障工作的能力和水平、維護公眾利益和國家安全生產，提出了信息安全保障工作的總體要求和主要原則，并確定了工作重點和保障措施。

信息安全保障工作的主要目的是通過信息安全管理體系、信息安全技術體系以及信息安全運維體系的綜合有效的建設，讓政府或企業(yè)的信息系統(tǒng)面臨的風險能夠達到一個可以控制的標準，進一步保障信息系統(tǒng)的運行效率。長期以來，人們一直認為信息安全保障只是通過技術手段實現，沒有認識到信息安全管理的重要性。我們必須明確地認識到一點，不管企業(yè)所使用的安全技術有多先進，都只是實現信息安全管理的手段而已。信息安全源于有效的管理。要使技術發(fā)揮好的效果的基礎是有一定的信息安全管理體系（Information Security Management Systems，ISMS）。

3 信息安全管理人才培養(yǎng)目標

信息安全管理專業(yè)方向旨在培養(yǎng)針對信息安全管理的專門人才，通過系統(tǒng)的專業(yè)學習，使學生具備一定的系統(tǒng)、網絡、數據庫等技術基礎和安全管理標準的理解和認識，能從事安全需求、安全規(guī)劃、安全開發(fā)、安全運維管理以及應急響應和恢復等各個層面的安全管理工作，了解與安全管理工作相關的IT運維、IT治理與內控、IT審計等管理領域的知識，具備較好的溝通和團隊合作能力。學生在校學習期間，可有選擇性地考取ISO 27000內審員、ISMS審核員等專業(yè)認證，畢業(yè)后可從事與信息安全管理相關的咨詢、審核與實施工作或安全測試等技術工作。

4 信息安全管理人才四位一體培養(yǎng)體系

信息管理與信息系統(tǒng)專業(yè)的學生進入大學三年級階段細分信息安全管理作為其中一個方向。

大學一年級和大學二年級主要開設政治理論課程、公共基礎課程和專業(yè)基礎課程。公共基礎課程如：數學英語類課程，計算機基礎類課程等；專業(yè)基礎課程如：信息管理基礎、高級語言程序設計、數據結構、運籌學、數據庫原理、計算機網絡基礎等。

從大學三年級開始為了更好地體現學生的就業(yè)競爭優(yōu)勢，激發(fā)學生的學習積極性，信息安全管理方向的人才培養(yǎng)聯系實際工作崗位，以考取相關的專業(yè)認證為引領，重視實踐能力的培養(yǎng)，構建理論課程、實踐環(huán)節(jié)、專業(yè)認證、工作崗位四位一體培養(yǎng)體系，所開設的相應課程按照漸進式知識體系的構建模式可分為專業(yè)方向基礎課程、專業(yè)方向核心課程和拓寬專業(yè)方向課程，如圖1所示。

圖1 信息安全管理人才培養(yǎng)四位一體培養(yǎng)體系

5 結語

信息安全管理發(fā)展至今，人們越來越認識到安全管理在整個企業(yè)運營管理中的重要性。但現階段，我國信息安全管理的人才培養(yǎng)計劃、課程體系和教育體系還不完善。因此，借著省級專業(yè)綜合改革的契機，開展信息安全管理人才培養(yǎng)建設，改革現有的課程和教學體系，培養(yǎng)滿足社會需求、具備一定的實踐動手能力的學生，幫助更多的企事業(yè)單位建立信息安全管理體系。

[1] 武德昆，官海濱，王興起，等. 高管支持對信息安全管理有效性的影響研究：信息安全意識的中介效應[J]. 中國海洋大學學報(社會科學版)，2014（02）.

[2] 趙戰(zhàn)生，謝宗曉.信息安全風險評估[M]. 北京：中國標準出版社，2007.

[3] 魏軍，謝宗曉. 信息安全管理體系審核指南[M]. 北京：中國標準出版社，2012.

Investigation Information Security Management Personnel Training System

Hu Xuesong1, Xiong Zhuang1, Guan Haibin2, Zhou Changbao1,3
( 1 College of Information and Business, Zhongyuan University of Technology; 2 Personnel division, Qingdao Technical College; 3 Business School, Nankai University )

The paper explores the construction of personnel training system of information security management form the aspect of society demand, in order to provide reference for perfecting the personnel training plan, curriculum system and education system of information security management of our country.

information security management, personnel training system