为什么网络安全仍然难以实现专业化？

快速阅读: 《ITProPortal》消息，英国网络安全委员会（UKCSC）推动网络安全专业化，提供特许资格以提升行业标准，增强雇主与从业者的信任。目前虽处于初期阶段，但此举有望规范行业，吸引人才，并促进国际间专业认证的统一。

如果需要律师或会计师的建议，你会希望确认他们已注册于其专业机构。同样地，如果你雇佣一名工程师或聘请建筑师进行项目工作，知道他们拥有特许资格会让人感到安心。自2000年起，信息技术行业甚至有了自己的特许专业资格，即通过英国计算机学会（BCS）获得CITP认证。获得特许资格并不容易。申请者需要8到10年的经验，其中包括在信息时代技能框架第五级的高级经验。申请人需要一位“推荐人”来支持其申请，且申请将由评估员审核。为了保持CITP资格，会员必须参加持续的专业发展培训。

许多IT安全专业人士已经获得了CITP认证。相比之下，网络安全行业在专业化方面似乎落后了一些，尤其是在网络攻击可能带来的影响以及企业设计和维护安全系统所涉及的高风险情况下。但这一局面正在逐渐改善。

**碎片化**

实际上，网络安全行业确实有专业资格和认证。部分挑战在于行业的碎片化特性，不同的认证项目和进入职业的不同路径。在全球范围内，ISACA和ISC2都提供认可的资格认证，其中ISC2的“注册信息系统安全专家”（CIISP）可能是最知名的。在英国，信息安全特许学院（CIISec）提供认证会员资格，更专业的组织如CREST（安全测试或‘道德黑客’的专业组织）也提供类似服务。

订阅每日ITPro资讯请向我发送其他Future品牌的相关新闻和优惠信息。请允许我们代表可信赖的合作伙伴或赞助商向您发送邮件。

许多提供的资格认证随着行业的发展而演变，并反映了颁发机构在网络安全领域的专长。但这种碎片化导致了许多问题，不仅给网络安全专业人士带来困扰，也给雇佣他们的组织或使用其服务的组织造成难题。并非总是清楚哪些技能和资格与岗位相匹配。候选人往往面临令人困惑的选择：会员资格、课程、资格认证和继续教育要求，这些通常价格不菲。

这就是英国网络安全委员会（UKCSC）试图解决的问题。该委员会由英国政府成立，并得到科学、创新和技术部的资金支持，旨在成为网络安全行业的伞形组织。它还负责管理网络安全专业人士的特许资格。“UKCSC的目标是通过为网络安全领域赋予专业头衔，使其与其他职业接轨，从而提升和扩展国家在各个层次上的网络安全技能、知识和职业水平，”The Cyber Scheme运营总监肖恩·麦考马克说道，该组织是与UKCSC合作授予特许资格的组织之一。

这就是英国网络安全委员会（UKCSC）试图解决的问题。该委员会由英国政府成立，并得到科学、创新和技术部的资金支持，旨在成为网络安全行业的伞形组织。它还负责管理网络安全专业人士的特许资格。麦考马克表示，这符合英国政府的国家网络安全战略。对于个人网络安全从业者来说，它提供了一个‘被认可的职业发展框架’。但对于雇主以及使用外部网络安全公司服务的组织而言，这些益处同样重要。

“对于雇主而言，专业头衔提供了保证，表明个人具备一定水平的认可能力，从而简化了招聘过程中的一些难题，”他说。

**专业化**

然而，专业注册和特许资格较为新颖。UKCSC成立于2018年，特许资格从2023年底开始提供。截至目前，已有550人向UKCSC登记为专业人士，而达到‘特许网络安全专家’（ChCSP）资格的人数不多。因此，尚处于起步阶段。通过查看特许资格的运作方式，可以发现这个行业已经变得多么复杂。

理事会为网络安全领域的各种不同专业提供了注册和特许路径，这些路径反过来由多个专业认证组织或授权机构进行评估。目前的专业领域包括治理与风险、安全系统架构、网络安全审计与保障（均由CIISec提供）、安全测试和渗透测试、事件响应与安全操作（通过The Cyber Scheme提供），以及通过CREST提供的安全测试、渗透测试和事件响应。

计划新增的专业领域包括网络安全管理和安全系统开发。英国在这方面走在前列。仅有加纳和新加坡有类似的计划（加纳实际上走得更远，强制要求网络安全从业人员获得认证）。并且为网络安全专业人士创建可行的国际标准并不容易。

“在专业化网络安全领域时，目标是设定行业的核心价值观、伦理和技能标准，为雇主建立信任，确保岗位人员能胜任工作，”ISACA首席全球战略官克里斯·迪米特里亚迪斯说。但他表示，仍有大量工作要做，以将资格认证映射到技能框架上，特别是在国际层面上。

“ISACA提供认证，并与世界各地的政府合作，将这些资格认证与技能框架映射起来，”他说。这项工作有助于统一来自不同司法管辖区的要求。

“这是重要的，因为技术产品和服务没有地理边界，为专业人士提供更多寻找下一份工作的机会，也让雇主在国内和国际上都能雇佣到高质量的人才，”他说。

尽管困难重重，但英国网络安全委员会（UKCSC）首席执行官克劳迪娅·纳塔森认为，网络安全行业希望被视为一种职业。

“你可以在任何行业中看到同样的情况，”她说。“专业人士不仅要具备能力，即拥有知识和经验，还要有承诺。大多数从事某一职业的人都对该职业充满热情，否则他们不会在大多数职业中长时间工作。”

所以我认为我们需要一些教育，来了解如何管理那些处于这些情况下的专业人士。他们需要来自高层的支持，在组织内营造这种文化，让他们以有用且有影响力的方式实施网络安全，并无缝融入组织的目标。

纳塔森说，委员会正致力于‘去神秘化’，帮助组织了解所需达到的标准，并补充说这涉及为网络安全职业设定明确的时间表。

“我们在这里告诉专业人士，有一条你可以选择的路径，可以通过努力工作来满足组织的需求。”

她希望，这将吸引更多优秀人才进入并留在网络安全行业。

(以上内容均由Ai生成)