国家标准《信息安全技术 网络安全从业人员能力基本要求》重点解读

2024/03/01

一、 标准发布的背景

职业化是行业迈向成熟的关键标志，它反映了行业在进步过程中对任务分工和专业化的需求。然而，通过观察我国网络安全领域从业人员现状，不难发现，除了人员总量不足，更为普遍的是“人岗不匹配”现象。许多企业对网络安全的重要性认识不足，因此并未设立专门的网络安全管理部门和岗位；即便有，企业在相关安全岗位设置的标准和专业人员的能力上也存在很大差异，这无疑阻碍了网络安全行业的健康发展。因此，推进网络安全从业人员职业化建设，对于保障网络安全建设工作的稳定与进步至关重要。

2023年3月17日，我国首部且唯一一部国家级网络安全从业人员能力要求标准、国家标准GB/T 42446-2023《信息安全技术 网络安全从业人员能力基本要求》正式发布。长扬科技作为此标准的主要起草单位，全程参与了编制工作。此标准不仅明确了网络安全从业人员的分类，还详细规定了从业人员所应具备的知识和技能。这一标准的发布，为规范网络安全从业市场、提升从业人员能力水平提供了有力的指导，为网络安全行业的持续、健康发展提供了坚实的支撑。

本文将围绕网络安全从业人员能力基本要求的组成要素、要素之间的内在联系、主要工作类别、具体任务以及所需的知识和技能进行解读，旨在帮助网络安全从业人员构建系统化的职业认知体系。

二、 标准的主要内容

01、组成要素及其关系

网络安全从业人员完成工作任务需要具备相应的能力。工作类别中的工作任务需要由承担不同工作角色的网络安全从业人员来完成，从业人员应具有完成工作任务所需要的知识和技能。从业人员工作任务、工作类别、工作角色、知识和技能之间关系如下图所示：

图1  从业人员组成要素关系图谱

02、工作类别及工作任务

网络安全从业人员工作类别分为网络安全管理、网络安全建设、网络安全运营、网络安全审计和评估以及网络安全科研教育5大类。网络安全主要工作任务及任务网络安全需求分析、网络安全规划和管理、网络数据安全保护等20项。工作类别对应承担的工作任务具体如下图所示：

图2  工作类别和工作任务对应关系图谱

03、通用知识和技能要求

网络安全从业人员应具备完成其所承担工作角色所赋予的工作任务所需的知识和技能。包括通用知识和技能要求及专业知识和技能要求。

通用知识和通用技能要求为所有类别的从业人员都应具备。具体如下图所示：

图3  通用知识和通用技能要求

04、专业知识和技能要求

承担相应工作类别的从业人员应具备的基本专业知识和技能要求，当从业人员只承担工作类别中的部分工作任务时，从业人员应具备该工作类别中相对应的知识和技能，不必具备所有的知识和技能。5项工作类别对应的专业知识和技能要求如下图所示：

图4  网络安全管理类人员专业知识和技能要求

图5  网络安全建设类人员专业知识和技能要求

图6  网络安全运营类人员专业知识和技能要求

图7  网络安全审计和评估类人员专业知识和技能要求

图8  网络安全科研教育类人员专业知识和技能要求

05、工作角色及知识技能程度

工作岗位是组织根据自身实际情况对工作角色的落实， 一个工作岗位可落实一个或多个工作角色，一个工作角色可被一个或多个岗位落实，落实相同工作角色的工作岗位在不同组织中的岗位名称可能不同，组织按其设置的工作岗位分配从业人员的工作。本文件没有对掌握知识和技能的程度提出要求，组织可根据实际业务情况规定。

图9  工作角色和工作任务对应关系表

尽管不同组织对工作角色的划分定位不同，但从业人员可统一参考下方网络安全从业人员分类与国家网络安全职业分类映射关系表作为指导：

图10  网络安全从业人员分类与国家网络安全职业分类映射关系表

三、标准发布的意义

网络安全工作是信息化建设不可或缺的一环，它贯穿于数据、应用、系统、网络等多个工作层面，并涉及规划、研发、建设、运营、管理、生产等整个业务流程。在任何一个环节，都需要有专业的网络安全从业人员来承担保障网络安全的职责。

在当前网络安全领域对专业人才需求迫切的情况下，国家标准的发布具有深远意义。它不仅明确了网络安全职业的正当性与重要性，还提高了网络安全教育培训的针对性，有助于促进网络安全人才供需的精准匹配，进而提升网络安全职业的吸引力和竞争力。这一标准的实施，对于推动网络安全行业的整体发展、保障国家网络安全和信息安全具有重大的战略价值和社会意义。