——基于“2+4”模式的
数据安全人才培养体系
#导语#
由国家发展和改革委员会、国家数据局、国家互联网信息办公室、科学技术部、国务院国有资产监督管理委员会、福建省人民政府共同主办,福建省发展和改革委员会(福建省数据管理局)、福建省互联网信息办公室、福州市人民政府承办的“2024数字中国建设峰会”已华丽落幕。作为本次大赛中备受瞩目的焦点之一,数字安全赛道在紧张而激烈的角逐中圆满收官。本赛道依托福建数据产业大省的头部效应和资源优势,面向全国选拔数据安全优秀人才,推动解决各行业领域数据安全实际需求,促进数据安全产业高质量发展,为建设网络强国、数字中国,保障数字经济健康发展提供有力支撑。
本期分享
^^^^^^^^^^^
本期分享案例为“2024数字中国创新大赛”数字安全赛道数据安全产业优秀案例评比赛(数据安全人才培养方向)金奖案例——基于“2+4”模式的数据安全人才培养体系。
背景目标
^^^^^^^^^^^
背景与意义
在当今时代,随着数据源的多样化和数据量的爆炸性增长,传统通信运营商、互联网行业和智能制造等关键领域已经与数据紧密相连,数据成为了这些行业不可或缺的基石。近年来,数据安全事件频发,对个人、企业、甚至是国家造成了严重的影响。面对这一挑战,我国政府已经认识到了数据安全的重要性,并逐步加强了对数据安全的监管,相继出台了一系列的数据安全法律法规,对企业提出了更为严格和明确的安全要求。
在这样的大背景下,构建一支顶尖的数据安全专业团队变得至关重要。企业只有汇聚了一流的数据安全人才,才能从根本上提升自身的数据安全防护能力。因此,企业必须重视并实施新的数据安全人才培养策略,以满足自身发展的需求,确保在数据安全领域的竞争力。
目标与策略
中国电信股份有限公司北京分公司(以下简称北京电信)将“打造一支科创技术能力前沿、理论实操技能兼备的数据安全人才队伍铁军”纳入企业战略发展愿景目标统筹规划,并建立了一套有北京电信特色的基于“2+4”模式的数据安全人才培养体系。
在人才培养中,北京电信强调“全覆盖、高质量、分层级”开展人才培养,聚焦主责主业,加强系统谋划,创新人才培养、使用、评价、激励机制,深化人才发展体制机制改革,营造识才、爱才、敬才、用才的环境,为加快建设世界一流企业提供坚实人才支撑。依靠绘制人才图谱,做好人才规划,创新人才培养模式,建立多元化评价体系,强化激励机制建设等人才培养方法,加快培养形成一支与企业云网融合和数字化转型相匹配的高水平、创新型、复合型数据安全人才队伍。
图1 人才培养三原则
人才培养“2+4”模式
^^^^^^^^^^^^^^^^^
“2+4”模式人才培养体系内涵为:基于“管理岗位”和“技术岗位”两类岗位系列,围绕“数据安全工程师、数据安全骨干人才、数据安全核心人才、数据安全领军人才”四级人才梯度,建设。横向拉通两类从业人员岗位和专业职务聘任体系,纵向贯通人才专业能力认证体系,实现北京电信数据安全工程师队伍的全面优化与发展。
图2 “2+4”模式人才培养体系总视图
一、2类岗位系列
1
岗位职责
管理类岗位(数据安全管理岗)
根据公司工作部署,制定数据安全管理和个人信息保护管理专业整体方针策略;
统筹规划、建设数据安全技术保障措施;
组织开展数据安全、用户个人信息保护责任考核;
组织协调相关部门开展数据安全防护,监督管理制度的落地执行情况;
牵头数据安全、个人信息事件的应急处置,按时组织开展演练;
组织开展数据安全和个人信息保护培训。
技术类岗位(数据安全运营岗):
负责对数据自动化识别策略及分类分级策略进行策略配置,对数据资产进行梳理并分类分级;
负责部署网络数据安全技术工具,对数据在收集、存储、使用、加工、传输、提供、公开、数据销毁各个过程域中实施相关管控措施;
负责对企业内部权限管理、数据库操作行为、数据流向情况、非授权访问等高危操作进行数据安全审计;
负责根据相关数据安全管理要求及实施指南,对各级数据系统开展的常规性安全检测及加固,排查数据安全隐患,维护数据安全相关产品,充分发挥数据安全产品的作用,保障数据全生命周期环节中的安全性;
负责对数据安全风险进行监测和预警,及时开展研判安全风险并进行预警,并采取应对措施;
负责对具体数据安全场景的安全态势及需求分析,理解场景业务逻辑,制定数据安全应急响应预案,并完成快速应急响应处置。
2
岗位能力
北京电信参照《网络安全产业人才岗位能力要求》、《大数据产业人才岗位能力要求》、《工业互联网产业人才岗位能力要求》等要求,对数据安全管理类及技术类岗提出“综合能力+专业能力”的岗位能力要求。
管理类岗位能力要求(数据安全管理岗)
通过数据安全领域的专业能力培训,以及相关的职业资格认证,使之具备“综合能力+专业能力”等相应的数据安全管理岗位能力。
综合能力
政策适配能力:负责行业主管部门以及集团公司数据安全政策在本单位的落地执行;
风险管控能力:识别本单位数据安全风险,组织制定合规与风险管控方案并落地;
沟通协调能力:与行业主管部门、集团公司建立沟通机制,并协调相关部门开展数据安全防护,监督管理制度的落地执行。
专业能力
掌握数据安全的国际国内政策、 标准和规范的要求;
掌握数据安全风险的检查评估方法,数据资产识别、脆弱性识别、威胁性识别等;
掌握数据泄露防护系统(DLP) 的数据保护机制和原理;
掌握数据安全审计的方法;
熟悉不同业务场景中的数据安全与隐私保护需求;
熟悉数据安全相关的基础知识,如加解密技术、认证技术、数据库知识、DLP技术、大数据知识;
熟悉敏感数据分类分级的方法;
熟悉数据安全治理能力相关模型。
技能类岗位能力要求(数据安全运营岗)
通过数据安全专业理论及实操技能培训,以及相关的职业资格认证,使之具备相应的数据安全运营能力。
综合能力
熟悉数据安全运维技术体系,跟踪数据安全运维技术的发展;
具备数据安全隐患的检测、排查能力;
具备良好的文档编制能力;
具备良好的沟通表达及团队合作能力。
专业能力
掌握数据安全运营相关技术指标、标准及规范;
能够配置、使用、升级数据安全运维产品及工具,通过访问权限管理、备份关键数据、加密敏感数据等技术手段,保障数据在全生命周期环节中的安全性;
能够根据数据的分类分级和所处的全生命周期环节,分析面临的具体安全风险,制定有针对性的控制措施,部署和优化安全策略;
能够制定数据安全检测计划任务,通过日志分析、漏洞扫描、基线检测等方式,对所负责的系统开展的常规性安全检测及加固,排查数据安全风险隐患;
熟悉数据安全及个人信息保护相关的法律法规,相关部门监管要求,本企业数据安全管理规范等;
熟悉数据安全的基础知识,如数据备份与恢复、加解密技术、认证技术、DLP技术等;
熟悉数据安全分类分级、数据安全访问控制、数据生命周期管理知识;
熟悉数据安全运维的安全检测、安全研判、风险处置、应急响应等的流程及方法;
熟悉数据安全运维产品及工具的功能。
二、4级人才梯度
北京电信共设“数据安全工程师、数据安全骨干人才、数据安全核心人才、数据安全领军人才”四级人才梯度。构建“数据安全工程师-->数据安全骨干人才-->数据安全核心人才-->数据安全领军人才”的递进式职业发展路径。
培养体系持续性建设
^^^^^^^^^^^^^^^^^^
一、健全人才体系培养
数据安全产业链前后端不同岗位的专业性要求不同,对于人才梯队的培养需要更个性化和适应性的契合培养。
本案例侧重专业理念,结合实际工作,针对数据安全不同部门、不同岗位、不同级别的人才,开展人才能力画像;根据人才掌握能力所需的知识和技能,完成分层级的知识技能框架设定,和认证考评方法设计。在此指导下深化落实,制定数据安全人才体系分级分类的培训课程。具体落实方法如下:
个性化培训计划:根据员工专业特长、兴趣和发展目标,设计员工成长路径,在人才培养时选择适配的培训课程。
实践机会:鼓励员工参与实际项目,如内部漏洞挖掘、高水平攻防演练、科创项目等活动,通过实践锻炼和提升能力。
导师制度:实施导师制度,安排经验丰富的集团级专家、公司级专家以及内训师担任员工导师,导师指导并带领员工从事实际项目,帮助员工在实战中积累经验。
图3 人才培养课程设置流程图
二、构建多元化评价体系
图4 多元化评价体系结构图
多维度评价:对于员工在日常培训、竞赛、漏洞挖掘、攻防演练、科技创新项目中的参与情况采用积分制度,同时对于积极授课、经验分享的人员也给予积分奖励,年底将员工积分情况反馈到员工所在部门,帮助不同岗位领导更全面的了解员工的能力和潜力。
注重提升综合素质:对于积分排名靠前的人员不仅进行传统的业绩评价,还同时关注员工的创新能力、团队合作、沟通能力等方面。通过多元化评价体系,可以更全面挖掘员工的潜力,促进员工全面发展和持续进步。
三、落实人才激励机制
图5 人才激励机制结构图
给通道:丰富发展通道,加快晋升速度:开展专业职务聘任,加快专业人才岗等晋升
给激励:对于专家人才给予固定津贴和专项激励,确保专家人才的平均薪酬增幅高于普通员工薪酬增长平均值
给荣誉:公司内部建立人才荣誉体系,同时积极推荐人才参与国家及地方荣誉评选。
给机会:推荐专家人才参加高端、个性化培训,匹配导师项目培养实战能力。
四、评估和反馈共促机制
通过对培训课程质量和参训人才能力的双向评估,实现以课育才,以才促课的循环共促机制。
1、课程评估:
每次培训课程结束后,都会组织学员对讲师课程情况进行评价。学员评价的信息以及对课程的建议会反馈到课程主办单位及讲师,以便于后续课程不断改进提升。
2、能力评估:
通过组织开展人员岗位能力等级评价,帮助数据安全从业人员更好的了解自己的能力水平,并选择和参加相应等级的培训课程。
数据安全人员岗位能力等级可分为初、中、高三级,具体评价标准如下:
初级:在他人指导下完成所承担的工作,具有一定独立工作能力,具有定实践经历;
中级:独立完成较为复杂的工作,具备指导他人工作的能力,具有一定工作经验;
高级:独立完成高度复杂的工作,精通关键专业技能,引领革新,具有资深工作经验。
数据安全人员岗位能力可从综合能力、专业知识、技术技能、工程实践四个方面进行评价,具体评价方法如下:
综合能力主要通过笔试或答辩等方式进行评价;
专业知识主要通过笔试考核的方式进行评价;
技术技能主要通过实操考核方式进行评价;
工程实践主要通过成果评价方式进行评价。
#往期回顾#
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...