优秀案例|2024数字中国创新大赛数据安全产业优秀案例评比赛金奖—基于2+4模式的数据安全人才培养体系

#导语#

由国家发展和改革委员会、国家数据局、国家互联网信息办公室、科学技术部、国务院国有资产监督管理委员会、福建省人民政府共同主办，福建省发展和改革委员会（福建省数据管理局）、福建省互联网信息办公室、福州市人民政府承办的“2024数字中国建设峰会”已华丽落幕。作为本次大赛中备受瞩目的焦点之一，数字安全赛道在紧张而激烈的角逐中圆满收官。本赛道依托福建数据产业大省的头部效应和资源优势，面向全国选拔数据安全优秀人才，推动解决各行业领域数据安全实际需求，促进数据安全产业高质量发展，为建设网络强国、数字中国，保障数字经济健康发展提供有力支撑。

本期分享

^^^^^^^^^^^

本期分享案例为“2024数字中国创新大赛”数字安全赛道数据安全产业优秀案例评比赛（数据安全人才培养方向）金奖案例——基于“2+4”模式的数据安全人才培养体系。

背景目标

^^^^^^^^^^^

背景与意义

在当今时代，随着数据源的多样化和数据量的爆炸性增长，传统通信运营商、互联网行业和智能制造等关键领域已经与数据紧密相连，数据成为了这些行业不可或缺的基石。近年来，数据安全事件频发，对个人、企业、甚至是国家造成了严重的影响。面对这一挑战，我国政府已经认识到了数据安全的重要性，并逐步加强了对数据安全的监管，相继出台了一系列的数据安全法律法规，对企业提出了更为严格和明确的安全要求。

在这样的大背景下，构建一支顶尖的数据安全专业团队变得至关重要。企业只有汇聚了一流的数据安全人才，才能从根本上提升自身的数据安全防护能力。因此，企业必须重视并实施新的数据安全人才培养策略，以满足自身发展的需求，确保在数据安全领域的竞争力。

目标与策略

中国电信股份有限公司北京分公司（以下简称北京电信）将“打造一支科创技术能力前沿、理论实操技能兼备的数据安全人才队伍铁军”纳入企业战略发展愿景目标统筹规划，并建立了一套有北京电信特色的基于“2+4”模式的数据安全人才培养体系。

在人才培养中，北京电信强调“全覆盖、高质量、分层级”开展人才培养，聚焦主责主业，加强系统谋划，创新人才培养、使用、评价、激励机制，深化人才发展体制机制改革，营造识才、爱才、敬才、用才的环境，为加快建设世界一流企业提供坚实人才支撑。依靠绘制人才图谱，做好人才规划，创新人才培养模式，建立多元化评价体系，强化激励机制建设等人才培养方法，加快培养形成一支与企业云网融合和数字化转型相匹配的高水平、创新型、复合型数据安全人才队伍。

图1 人才培养三原则

人才培养“2+4”模式

^^^^^^^^^^^^^^^^^

“2+4”模式人才培养体系内涵为：基于“管理岗位”和“技术岗位”两类岗位系列，围绕“数据安全工程师、数据安全骨干人才、数据安全核心人才、数据安全领军人才”四级人才梯度，建设。横向拉通两类从业人员岗位和专业职务聘任体系，纵向贯通人才专业能力认证体系，实现北京电信数据安全工程师队伍的全面优化与发展。

图2 “2+4”模式人才培养体系总视图

一、2类岗位系列

岗位职责

管理类岗位（数据安全管理岗）

根据公司工作部署，制定数据安全管理和个人信息保护管理专业整体方针策略；
统筹规划、建设数据安全技术保障措施；
组织开展数据安全、用户个人信息保护责任考核；
组织协调相关部门开展数据安全防护，监督管理制度的落地执行情况；
牵头数据安全、个人信息事件的应急处置，按时组织开展演练；
组织开展数据安全和个人信息保护培训。

技术类岗位（数据安全运营岗）：

负责对数据自动化识别策略及分类分级策略进行策略配置，对数据资产进行梳理并分类分级；
负责部署网络数据安全技术工具，对数据在收集、存储、使用、加工、传输、提供、公开、数据销毁各个过程域中实施相关管控措施；
负责对企业内部权限管理、数据库操作行为、数据流向情况、非授权访问等高危操作进行数据安全审计；
负责根据相关数据安全管理要求及实施指南，对各级数据系统开展的常规性安全检测及加固，排查数据安全隐患，维护数据安全相关产品，充分发挥数据安全产品的作用，保障数据全生命周期环节中的安全性；
负责对数据安全风险进行监测和预警，及时开展研判安全风险并进行预警，并采取应对措施；
负责对具体数据安全场景的安全态势及需求分析，理解场景业务逻辑，制定数据安全应急响应预案，并完成快速应急响应处置。

岗位能力

北京电信参照《网络安全产业人才岗位能力要求》、《大数据产业人才岗位能力要求》、《工业互联网产业人才岗位能力要求》等要求，对数据安全管理类及技术类岗提出“综合能力+专业能力”的岗位能力要求。

管理类岗位能力要求（数据安全管理岗）

通过数据安全领域的专业能力培训，以及相关的职业资格认证，使之具备“综合能力+专业能力”等相应的数据安全管理岗位能力。

综合能力

政策适配能力：负责行业主管部门以及集团公司数据安全政策在本单位的落地执行；
风险管控能力：识别本单位数据安全风险，组织制定合规与风险管控方案并落地；
沟通协调能力：与行业主管部门、集团公司建立沟通机制，并协调相关部门开展数据安全防护，监督管理制度的落地执行。

专业能力

掌握数据安全的国际国内政策、标准和规范的要求；
掌握数据安全风险的检查评估方法，数据资产识别、脆弱性识别、威胁性识别等；
掌握数据泄露防护系统（DLP）的数据保护机制和原理；
掌握数据安全审计的方法；
熟悉不同业务场景中的数据安全与隐私保护需求；
熟悉数据安全相关的基础知识，如加解密技术、认证技术、数据库知识、DLP技术、大数据知识；
熟悉敏感数据分类分级的方法；
熟悉数据安全治理能力相关模型。

技能类岗位能力要求（数据安全运营岗）

通过数据安全专业理论及实操技能培训，以及相关的职业资格认证，使之具备相应的数据安全运营能力。

综合能力

熟悉数据安全运维技术体系，跟踪数据安全运维技术的发展；
具备数据安全隐患的检测、排查能力；
具备良好的文档编制能力；
具备良好的沟通表达及团队合作能力。

专业能力

掌握数据安全运营相关技术指标、标准及规范；
能够配置、使用、升级数据安全运维产品及工具，通过访问权限管理、备份关键数据、加密敏感数据等技术手段，保障数据在全生命周期环节中的安全性；
能够根据数据的分类分级和所处的全生命周期环节，分析面临的具体安全风险，制定有针对性的控制措施，部署和优化安全策略；
能够制定数据安全检测计划任务，通过日志分析、漏洞扫描、基线检测等方式，对所负责的系统开展的常规性安全检测及加固，排查数据安全风险隐患；
熟悉数据安全及个人信息保护相关的法律法规，相关部门监管要求，本企业数据安全管理规范等；
熟悉数据安全的基础知识，如数据备份与恢复、加解密技术、认证技术、DLP技术等；
熟悉数据安全分类分级、数据安全访问控制、数据生命周期管理知识；
熟悉数据安全运维的安全检测、安全研判、风险处置、应急响应等的流程及方法；
熟悉数据安全运维产品及工具的功能。

二、4级人才梯度

北京电信共设“数据安全工程师、数据安全骨干人才、数据安全核心人才、数据安全领军人才”四级人才梯度。构建“数据安全工程师-->数据安全骨干人才-->数据安全核心人才-->数据安全领军人才”的递进式职业发展路径。

培养体系持续性建设

^^^^^^^^^^^^^^^^^^

一、健全人才体系培养

数据安全产业链前后端不同岗位的专业性要求不同，对于人才梯队的培养需要更个性化和适应性的契合培养。

本案例侧重专业理念，结合实际工作，针对数据安全不同部门、不同岗位、不同级别的人才，开展人才能力画像;根据人才掌握能力所需的知识和技能，完成分层级的知识技能框架设定，和认证考评方法设计。在此指导下深化落实，制定数据安全人才体系分级分类的培训课程。具体落实方法如下：

个性化培训计划：根据员工专业特长、兴趣和发展目标,设计员工成长路径,在人才培养时选择适配的培训课程。
实践机会：鼓励员工参与实际项目，如内部漏洞挖掘、高水平攻防演练、科创项目等活动，通过实践锻炼和提升能力。
导师制度：实施导师制度，安排经验丰富的集团级专家、公司级专家以及内训师担任员工导师，导师指导并带领员工从事实际项目，帮助员工在实战中积累经验。

图3 人才培养课程设置流程图

二、构建多元化评价体系

图4 多元化评价体系结构图

多维度评价：对于员工在日常培训、竞赛、漏洞挖掘、攻防演练、科技创新项目中的参与情况采用积分制度，同时对于积极授课、经验分享的人员也给予积分奖励，年底将员工积分情况反馈到员工所在部门，帮助不同岗位领导更全面的了解员工的能力和潜力。
注重提升综合素质：对于积分排名靠前的人员不仅进行传统的业绩评价，还同时关注员工的创新能力、团队合作、沟通能力等方面。通过多元化评价体系，可以更全面挖掘员工的潜力，促进员工全面发展和持续进步。

三、落实人才激励机制

图5 人才激励机制结构图