设立职业机构提供网络安全从业者职业技能等级评定标准的想法已经讨论了很多年。如今,英国政府明确提出要建立这样一个机构以“发展网络安全职业”,并拟在2020年获得皇家特许头衔。
除了名字不对,这完全就是网络安全的职业化。该提案并未提及“管理”一词,但正如英国医学总会管理着医疗从业人员,“未来的”英国国家网络安全委员会或许最终会统管网络安全从业人员。
所谓管理,可能包括设置并要求网络安全职业资格证书,设立特定行业所需的职业资格等级。虽然这终将提高很多网络安全从业者的技术水平,但也意味着可能会有一些从业者因为没获取到预设的职业资格级别而无法被某些公司企业雇佣。
一份题为《发展英国网络安全行业》的咨询文档中指出,这并非政府提案的必然结果。但该项咨询已于2018年8月31日截止,英国政府目前正在分析反馈。
提案
提案表明,到2021年网络安全职业会提供4个特定发展主题,分别为职业发展、职业道德、思想领袖与影响,以及外延与多样性。每个主题后面都跟着一个或多个相关咨询问题。
支持拟议国家网络安全委员会角色的是CyBOK项目——英国布里斯托大学教授Awais Rashid主导的网络安全知识体系发展项目。CyBOK项目旨在编撰网络安全领域的基础及公认知识。
该项目目前正在进行中。第一阶段于2017年10月完成,定义了19个网络安全知识域(KA)。
19个KA设定了网络安全的范围,塑造了培训、标准设置、专家意见传播和职业化推进的方式方法。
CyBOK的19个KA
这里面有很多好的建议。比如说,政府希望支持该职业机构的建设,但在之后要放手,让该机构保持完整的独立性。
然而,值得吐槽的地方一样很多。首先,这不是一份讨论该做什么的文档,而是指导该怎么做到已经决定了的事的指南。说白了,就是告诉你要怎么组建国家网络安全委员会。
更值得注意的是,这个委员会是要由现有组织而不是个人构成。提案中称:我们设想,委员会不由个人成员构成,而是来自组织之间的联合,由现有职业机构和其他对网络安全感兴趣的组织组成。
尽管没人会否定这些现有组织做出的巨大贡献,但事实是,它们基本上都是售卖证书的公司。
真正要代表的个人网络安全从业者反而没有直接代表加入,那这个机构的建立本身就值得商榷。
来自现有职业机构的支持
现有网络安全职业机构表达了强烈的赞同意愿,并联合起来组建了一个“联盟”以支持政府的提案。
该联盟目前包含的成员组织有:英国计算机学会(BCS)、英国特许IT协会、英国特许人事与发展协会(CIPD)、英国特许鉴证科学学会(CSofFS)、CREST、英国工程师委员会、泛美认证合作组织(IAAC)、分析师与程序员协会(IAP)、英国工程技术学会(IET)、信息安全专业人员协会(IISP)、英国测量与控制学会 (InstMC)、信息系统审计与控制协会(ISACA)、国际信息系统安全认证联盟(ISC)2、techUK、英国安全协会,以及信息技术专家公司(WCIT)。
(ISC)2欧洲、中东及亚洲常务董事 Deshini Newman 就表示称:发展建设国家认可的职业机构并考虑取得国家特许地位,可以令我们的职业成熟度取得重大进展。英国在这方面走在了世界前列,为世界其他国家政府树立了榜样。我们很乐于支持他们的工作。
ISACA董事 Michael Hughes 补充道:我们认为,优先设立网络技能基准和更加注重高技术网络安全人才的培养输送,令联盟得以作为一份宝贵的资源对英国国家网络安全战略加以支持。
IISP主席 Alastair MacWillson 博士则表示:IISP从一开始就参与了这项倡议。这些讨论促成英国文化传媒与体育部(DCMS)去年7月开始咨询创建新的英国网络安全委员会,以发展英国的网络安全职业。政府通过这项倡议提出的,是信息安全职业最为深刻的治理发展方案。
现有职业机构会支持政府的职业化道路并不令人意外——不支持的会让位于支持的那些。但从业者的声音在提案或者对提案的支持中并没有地方安放。
(责任编辑:安博涛)