一項最新研究調查顯示,對於想真正做好資訊安全的企業而言,最重要的因素是「管理高層對資安政策的支持」,而非資安專才或軟硬體解決方案。此外這個調查還發現,資安專業人才的需求量遠比一般資訊領域多,尤其在亞太地區更是搶手。
來自一百餘國的四千多位資訊安全專業人員認為,有效保障其機構的基礎設施安全的因素,依重要程度排列依序是:主管階層對安全政策的支持、用戶遵從安全守則、合格技術的資安人員、軟體解決方案、硬體解決方案。
許多受訪者表示,公司已經開始了解,資安策略的成功取決於政策、流程與內部員工的配合,技術只是一種助力而非解答。調查顯示,企業內部的資安責任已逐漸從資訊長身上,轉移至其他管理高層與執行層面主管,例如執行長、財務長、風險管理總監、資訊安全總監或法律與行政部門。這個趨勢從去年度研究發現後一直持續到今年。
已經是第三次實施的「全球資訊安全從業員人力研究」,是由國際資安專業組織(ISC)2委託IDC所做的年度調查,今年訪問了一百餘國的四千多位資訊安全專業人員,是同類研究中規模最大的一次。受訪者來自美洲(57.3%)、歐洲/中東/非洲(22.8%)和亞太地區及日本(19.5%)各行各業規模不一的代表性公民營企業,近四成受訪者在年營收10億美元以上的企業工作。
IDC統計2006年全球資安專業人員的數量大約是150萬,比去年增加8.1%,預估到2010年將超過200萬,年複合成長率為7.8%。其中亞太地區的資訊安全專業人員的數量將從458,844增至733,943,年增率達9.8%。相較之下全球資訊技術從業人員的年增率預估僅4.6%。
資訊安全證照依然是極為重要的聘用標準,85%的招聘經理認為持有此類證書是必須的,但這個比例與2004年時92%的最高記錄相比有所下降。相對的,今年企業比去年更樂於實施內部資安培訓,用於員工與資安人員培訓及配置的支出,佔了企業整體資訊安全預算的41%以上。
全球各地企業運用安全技術的領域,主要都是生物辨識(biometrics)、無線安全(wireless security)、入侵防禦(intrusion prevention)與數位鑑識工具(forensics tools)等。在各個地區,生物辨識應用的排名都在前二位。
資訊安全風險管理(information security risk management)在美洲和歐洲地區都被視為教育訓練的首要重點,在亞太地區也排名第二。(ISC)2指出,在可預見的未來這種情況仍將持續,企業會採取各種措施強化風險管理,開發快速適應新環境的靈活架構。此外營運持續性(business continuity)和數位鑑識技術也是專業人員希望拓寬自身知識基礎、提升技能的優先範疇。
在平均薪資方面,亞太地區已逐漸開始趕上其它地區的水準,年收入介於70,000到125,000美元之間者,比2005年增加了6.2%。在亞太地區的安全專業人員中,年收入低於40,000美元者仍佔多數(超過39%),不過這個數字已經比去年降低了7%。