ISACA & Adobe：2023年全球网络安全现状-劳动力、资源和网络运营的全球发展新态势（42页）.pdf

《ISACA & Adobe：2023年全球网络安全现状-劳动力、资源和网络运营的全球发展新态势（42页）.pdf》由会员分享，可在线阅读，更多相关《ISACA & Adobe：2023年全球网络安全现状-劳动力、资源和网络运营的全球发展新态势（42页）.pdf（42页珍藏版）》请在三个皮匠报告上搜索。

1、2023 年网络安全现状年网络安全现状劳动力、资源和网络运营的全球发展新态势劳动力、资源和网络运营的全球发展新态势 2023 ISACA。版权所有。信息安全22023 年网络安全现状劳动力、资源和网络运营的全球发展新态势目录目录 2023 ISACA。版权所有。4执行摘要执行摘要5调查方法调查方法5网络安全人才面临长期挑战网络安全人才面临长期挑战8/人员配置10/岗位空缺14/留住人才15/企业福利缩减17深入探究人才输送问题深入探究人才输送问题20/对大学毕业生的调查22/员工资质问题 22/对职场新人的调查 22/针对人力资本的缓解措施27网络安全预算网络安全预算缩减缩减30威胁态势威胁态

2、势31/对检测和监控的信心 31/威胁行为者和攻击36网络安全成熟度网络安全成熟度一项一项正处于发展阶段正处于发展阶段的工作的工作38全全组织组织方位的方位的一致性一致性40结论结论未见显著变化未见显著变化41致谢致谢32023 年网络安全现状劳动力、资源和网络运营的全球发展新态势摘要摘要 ISACA 于 2023 年第二季度进行了一年一度的“全球网络安全现状调查”，2023 年网络安全现状劳动力、资源和网络运营的全球发展新态势一文对相关调查结果进行了总结汇报。该调查报告聚焦当今网络安全人才发展、人员配置、网络安全预算、威胁态势和网络安全成熟度等领域的发展趋势。总体上，2023 年的调查数据再

3、度印证了 2022 年的调查结果，甚至几乎与去年的数据如出一辙。但是进一步的深入分析表明，与之前的调查结果相比，2023 年的数据可能受到地缘政治、经济和技术进步的影响，表现出一些微妙的变化。2023 ISACA。版权所有。42023 年网络安全现状劳动力、资源和网络运营的全球发展新态势执行摘要执行摘要ISACA 第九次全球网络安全现状年度调查持续聚焦网络安全领域的发展趋势以及当下面临的挑战。继去年以来，ISACA 继续深入探讨网络安全人才技能组 合以及入门级岗位人员配置等长期议题。2023 年网络安全现状这一报告对网络安全技能和人员配置、资源、网络威胁和网络安全成熟度等方面的调查结果进行了深

4、入分析。本次调查结果与往年的调查结果基本一致，但当今时代科技进步日新月异、经济形 势动荡不安、重大网络安全隐患时刻存在，这些要素都可能对本次调查数据产生影响，导致数据发生一定的变化。社会发展存在多 种不确定性，这导致员工不再频繁跳槽。尽管多数公司仍有职位空缺，但调查结果表明，绝大多数企业预见了经济衰退的趋势，并有意提前缩减公司预算以及薪酬补贴。主要调查结果如下：在负责安全管理工作的受访者中，工作经验不足三年的人数占比与往年数据持平。此外，受访者的人口统计信息表明，安全管理人员呈现出老龄化的趋势。71%的受访企业仍有空缺的网络安全岗位，其中空缺的高级岗位数量是入门级岗位的两倍。没有岗位空缺的受访

5、企业数量增加了 6 个百分点。据统计，受访者对网络安全项目资金的看法与 2022 年基本相同。去年对网络安全预算的乐观看法昙花一现，当下企业普遍认为下一个预算周期将遵循少花钱多办事的原则。年度网络风险评估仍在进行中，相关数据显示，企业将更为频繁地进行小幅度改善。去年对网络安全预算的乐观看法昙花一去年对网络安全预算的乐观看法昙花一现，当下企业普遍认为下一个预算周期现，当下企业普遍认为下一个预算周期将遵循将遵循“少花钱多办事”“少花钱多办事”的原则的原则。企业明显缩减了学费报销以及聘用奖金等员工福利，越来越多的企业推出“带薪志愿服务休假”。软技能是网络安全专业人士和大学毕业生技能差距中的主要问题，

6、而存在于前者的软技能差 距有所恶化。在现有从业人员中，云计算技能掌握情况比 2022 年提高了5 个百分点。大学毕业生的技术技能表现与2022年的数据基本相似，在安全控制和网络运 维方面略有提高；值得关注的是，大学毕业生网络相关能力方面的数据下降了4 个百分点。对员工进行交叉培训以及选用承包商和顾问依然是缓解劳动力短缺问题的主要方式。52%的企业在设立入门级岗位时要求雇员拥有大学学历，这与 2022 年的数据一致，但不同地区的数据则表现出了明显的变化欧洲和非洲的数据有所下降，亚洲和北美洲保持不变，拉丁美洲和大洋洲的数据则大幅上升。企业遭受网络攻击的频率与安全领导者和网络安全团队的一致性毫无关联

7、，但部分企业在董事会层面着重考虑网络安全问题并将网络安全战略融入企业目标，这些企业更有可能会设立首席信息安全官（CISO）及其下属的网络安全团队。很多企业则会忽视这种一 致性，由首席信息官（CIO）统领网络安全团队，这种企业不设立首席信息安全官（CISO）或首席安全官（CSO）的可能性要高出一倍。2023 ISACA。版权所有。52023 年网络安全现状劳动力、资源和网络运营的全球发展新态势调查方法调查方法 2023 ISACA。版权所有。2023年第二季度，ISACA向全球发出在线调研的邀请，对象为网络安全从业人员，包括持有 ISACA 国际注册信息安全经理（CISM）证书的人士或者在信息安

8、全领域任职的专业人士。其中，共有 2178 名受访者完成了全部调查，调查结果展示了受访者的回答情况1。该调查的误差范围为+/-2%，置信区间为 95%。该调查采用多项选择和李克特量表的形式，主体内容包括七个部分：人员配置 技能 网络安全预算 网络安全威胁 网络安全成熟度 网络风险度量 组织治理本次调查的调查对象为负责网络安全工作的人员。在2178位受访者中，53%表示网络安全是他们的主要专业职责领域。图 1 是受访者的人口统计信息，他们来自 112 个不同的国家和地区。图 2 进一步说明了本次调查的覆盖范围之大，受访者代表了 17 个以上的行业。网络安全人才网络安全人才面临长期挑战面临长期挑战

9、从行业的总体从业人员概况来看，网络安全就业市场似乎为拥有雄心壮志的网络安全从业者以及跳槽人员提供了巨大的机会。迄今为止，价值数十亿美元的全球网络安全培训市场2、丰富的大学课程和数不胜数的其他举措（如学徒制、再培训、奖学金）都无法扭转供需失衡的市场现状。尽管越来越多的调查预计就业市场将呈现出供不应求的趋势，但几乎没有看到任何有效的解决措施。继续过度关注人员短缺问题并试图填补那些未经核实的网络安全人员空缺岗位并非良策，因为这不仅没有解决市场中空缺岗位重复发布的问题，也没有考虑到壮志难酬的从业人员们，他们花费了大量的时间和金钱完成了对自身的培训，却依然无法在网络安全领域就业。尽管美国国家网络劳动力和

10、教育战略（NCWES）3以及全球其他类似的项 目已经做出了全面的努力，但它们无法迫使企业设立更多的入门级岗位。如果不能解决这一关键问题，就算学生和跳槽人员掌握了相关的知识和技能并且拥有相关证书，他们因缺乏工作经验而无法就业的问题将变得更加严重。1部分问题的答案中存在“不知道”的选项，与往年一致，这种选项将视情况在计算结果中予以剔除。计算结果将基于四舍五入的原则取最为相近的整数值。2Patil,V.；2022 年网络安全培训市场报告未来趋势研究，LinkedIn，2023 年 1 月 20 日，https:/ 年 7 月 31 日，https:/www.whitehouse.gov/briefi

11、ng-room/statements-releases/2023/07/31/fact-sheet-biden62023 年网络安全现状劳动力、资源和网络运营的全球发展新态势24%21%金融/银行93%ISACA会员59%政府/军事（国家/州/地方）网络安全管理13%12%受雇企业的人员规模超过行业行业主要职能领域主要职能领域地区地区13%欧洲欧洲 26%42%5%3%4%5%40%7%*包括加勒比和中美洲*不包括中国 包括香港、澳门和台湾亚洲亚洲*3%2023 ISACA。版权所有。图图 1：受访者人口统计信息北美北美*中国中国技术服务/咨询 大洋洲大洋洲拉丁美洲拉丁美洲非洲非洲印度印度IT

12、 合规性管理 14%网络安全专员IT 风险管理1500名员工名员工72023 年网络安全现状劳动力、资源和网络运营的全球发展新态势图图 2：所代表的行业请选择贵公司的所属行业。0%10%20%30%40%50%60%70%80%90%100%技术服务/咨询金融/银行政府/军队（国家/州/地方）其他保健/医疗制造/工程保险电信/通信公共设施运输采矿/建筑/石油/农业广告/营销/媒体航空航天公共会计制药法务/法律/房地产24%21%14%9%5%4%2%1%1%1%1%1%2%5%零售/批发/分销 3%4%2%2023 ISACA。版权所有。82023 年网络安全现状劳动力、资源和网络运营的全球发

13、展新态势网络安全现状形势严峻员工队伍老化，入门级职位紧缺。把关制度的存在4、5和职位描述不清6导致局势恶化，企业如此作为终将自食其果，再多的再就业培训计划也无济于事。此外，当前员工倦怠问题严重7，经济形势动荡8，多数企业重启了线下办公模式9,10，这使本已脆弱的局面雪上加霜。据经济学家预测，全球经济可能会进入衰退期。11曾经在“大辞职潮”的影响下，从业人员跳槽指数一度创下新高，但那可能已经成为过去式，经济的不确定性迫使员工不敢轻易变动工作。12 目前的经济发展情况可能不会影响那些经验丰富的网络安全专业人士挑选其满意的岗位，但有证据表明，很多企业有意通过减少福利来缩减开支。人员配置在 ISACA

14、 调查中，管理从业经验不足三年的安全人员团队的受访者占比保持不变，仍为 44%。劳动力体系面临着诸多挑战，为日益老龄化的劳动力带来了压力。在 ISACA 的调查中，35 至 44 岁的受访者人数占比最高（34%），但 44 岁以上的受访者人数有所增加。与 2022 年相比，45 至 54 岁的受访者人数增加了 2 个百分点（32%），55 至 64 岁的受访者人数则增加了 3 个百分点（19%）（图 3）。今年关于人员配置的调查结果与去年的趋势基本相似（图 4）。各个年龄段的受访者大体上都认为今年企业招聘网络安全人员的速度没有变化（40%），但有 20%的受访者认为招聘速度变快了。企业今年在留

15、住人才方面的压力有所减轻，但局势依然不容乐观。超过一半（56%）的受访者表示他们所在的企业在努力留住人才，去年该比例则为60%。在就业市场中，员工倦怠的问题早已众所周知13，但经济不确定性直接减少了人员流动，这可能帮助了企业更好地留住人才。多年数据表明，任何类型的不确定性都会影响员工留任（图 5）。4Markel,D.；“把关制度在网络安全中没有立足之地”，福布斯，2022年10月7日，https:/ Buckwalter-SCW#83”，2021年8月17日，https:/ 10Peck,E.；“企业开始大规模恢复线下办公模式”，A，2023年6月13日，https:/ 13Budge,J.

16、;J.Roberts;H.Shey;D.Levine；“我们需要更重视网络安全领域中的倦怠问题”，F，2023年2月14日，https:/ ISACA。版权所有。92023 年网络安全现状劳动力、资源和网络运营的全球发展新态势图图 3：劳动者年龄分布请选择您的年龄。0%10%20%30%40%50%60%70%80%90%100%18-2425-3435-4445-5455-6465+不便透露35%11%16%30%5%2023202234%9%2%2%19%32%4%1%1%图图 4：网络安全人员配置您如何评价贵公司网络安全团队目前的人员配置？0%10%20%30%40%50%60%70%8

17、0%90%100%人员严重不足人员较为缺乏 人员配置恰当人员略多人员过多无效回答34%47%15%36%46%2%2%1%1%2%2%13%20232022图图 5：企业留住人才的困难度（2019-2023）您的企业是否在留住网络安全专业人才方面遇到过困难？40%20%0%60%80%202120222019 2020回答“是”的受访者百分比64%57%53%60%202356%2023 ISACA。版权所有。100%102023 年网络安全现状劳动力、资源和网络运营的全球发展新态势0%10%20%30%40%50%60%70%80%90%100%从未5%5%图图 6：人力资源部门对招聘需求的

18、理解您觉得贵公司的人力资源部门在多大程度上能充分了解您的网络安全招聘需求并对应聘者进行适当的预筛选？10%8%25%22%36%40%25%25%20232022岗位空缺对于招聘负责人来说，图图 6 的调查数据可谓是一个好消息。调查发现，认为公司人力资源部门总是能够掌握网络安全招聘需求的受访者数量较之去年增加了 5 个百分点，这表明人力资源部门的招聘努力没有白费。71%的调查受访者称他们的企业依然缺乏各种类型的网络安全人才（图图7）。前几年的调查中未对空缺岗位进行入门级岗位和非入门级岗位的区分；142023 年的调查对此进行了完善，受访者需要分别针对上述两种岗位类型做出回答。如图 7 所示，与

19、入门级岗位空缺的百分比相比，非入门级岗位空缺的百分比是其两倍以上。14 2022 年，63%的受访者在回答“贵公司是否有岗位空缺”时选择“是”。图图 7：空缺岗位贵公司是否有网络安全岗位空缺？请选择所有符合的选项。0%10%20%30%40%50%60%70%80%90%100%非入门级岗位入门级岗位无岗位空缺不清楚35%21%50%8%2023 ISACA。版权所有。极少偶尔总是经常112023 年网络安全现状劳动力、资源和网络运营的全球发展新态势图图 8：网络安全岗位招聘所需的时间贵公司平均需要多长时间才能为网络安全岗位招聘到一名合适的应聘者？0%10%20%30%40%50%60%70%

20、80%90%100%6 个月无合适应聘者无效回答不清楚19%14%8%3%2%4%10%38%40%27%入门级非入门级1%2%7%5%11%10%同样引人注目的是，选择“无岗位空缺”的人数比去年增加了 6 个百分点。非入门级岗位的招聘耗时更长，67%的受访者表示他们的企业至少需要三个月的时间来填补这些非入门级岗位（图（图 8）。技术类非管理网络安全岗位仍然是今年空缺最为严重的岗位类别（图（图 9）。然而，数据表明，所有类别的岗位空缺数据都同比降低了至少 3 个百分点（图（图 10）。技术类非管理网络安全岗位仍然是今年空缺最为严技术类非管理网络安全岗位仍然是今年空缺最为严重的岗位类别重的岗位类

21、别。2023 ISACA。版权所有。122023 年网络安全现状劳动力、资源和网络运营的全球发展新态势0%10%20%30%40%50%60%70%80%90%100%个人贡献者/技术类网络安全岗位个人贡献者/非技术类网络安全岗位网络安全经理高级经理/网络安全总监主管或企业最高管理层中的网络安全负责人（如，首席信息安全官）25%22%15%22%35%41%56%69%14%20%3%11%4%10%3%7%3%6%24%29%21%12%7%所有多数一些少数 无9%34%2023 ISACA。版权所有。图图 9：下述级别空缺岗位的百分比您有多少个网络安全空缺岗位属于以下级别？132023 年

22、网络安全现状劳动力、资源和网络运营的全球发展新态势0%10%20%30%40%50%60%70%80%90%100%主管或企业最高管理层中的网络安全负责人（如首席信息安全官）高级经理/网络安全总监 网络安全经理个人贡献者/非技术类网络安全岗位个人贡献者/技术类网络安全岗位55%82%63%36%47%61%68%83%36%51%71%86%47%63%75%92%28%29%31%43%56%66%81%2018201920202021202219%202331%44%63%60%65%81%图图 10：空缺岗位报告（2018-2023）15 2023 ISACA。版权所有。15 本图比较了

23、 2018 年至 2023 年 ISACA 网络安全现状调查中的空缺岗位数据。百分比代表每个岗位所有空缺岗位百分比的总和，其中不包括“无”的回答。142023 年网络安全现状劳动力、资源和网络运营的全球发展新态势图图 11：未来的招聘需求您认为贵公司明年对以下网络安全职位级别的需求是增加、减少还是保持不变？0%10%减少20%30%40%50%60%70%80%90%100%个人贡献者/技术类网络安全岗位个人贡献者/非技术类网络安全岗位网络安全经理高级经理/网络安全总监主管或企业最高管理层中的网络安全负责人（如，首席信息安全官）78%30%36%2%20%46%48%48%49%59%66%6

24、%3%5%5%增加不变关于未来的招聘需求（图（图 11），受访者对目前的岗位空缺问题能否得到解决还保持怀疑态度，预计所有岗位的招聘需求都将显著下降。图图12 显示了近六年的数据，今年的数据表明去年出现的数据峰值是异常现象。2023 ISACA。版权所有。留住人才去年企业留住人才的难度激增，ISACA“2023年网络安全现状”调查的数据显示，受访者认为 2023 年留住网络安全专业人才的难度有所降低（56%），与 2022 年（60%）相比下降了 4 个百分点。与去年的数据相比，网络安全专业人员决定离职的原因有所变化（图图 13），但被其他公司的猎头挖走依然是最主要的离职原因（58%）。其次，糟

25、糕的经济激励机制（例如，工资或奖金）位居离职原因第二位，这可能是员工离职的核心动因。54%的员工因为想要寻求更好的经济补贴而离职，152023 年网络安全现状劳动力、资源和网络运营的全球发展新态势该数据与去年相比增长了 6 个百分点。因高工作压力水平而离职的员工占比 43%，位居榜单第四位，与去年相比下降了两个百分点。还有一些其他因素也很值得注意，比如远程工作机会有限（该数据同比增长4%）以及糟糕的工作文化/环境，这两个因素都可能受到线下办公模式的影响。有限的晋升和发展机会、退休、工作场所多样性的缺乏以及转行等因素的占比基本保持不变。企业福利缩减经济不确定性可能会导致雇员福利的缩减。如果真的出

26、现这种情况，这可能会影响企业留住人才，也不利于企业保护关键的业务功能和数据。大学学费报销比例降至 28%，同比下降了 5 个百分点。招聘奖金今年下降了 2 个百分点，证书费用报销则下降了 1 个百分点。认证维持/更新和签约奖金保持不变。21%的受访者表示企业设立了带薪志愿服务休假，与去年的数据相比略有上升。56%的受访者表示雇主提供弹性工作时间，该数据与去年持平（图（图 14）。雇主对待雇员认证费和相关的维持/更新费用的态度大相径庭。目前来看，雇员常常被要求接受继续教育，但企业往往故意不为持证的从业者报销相关费用，这为部分雇员带来了额外的压力。30%20%10%0%40%50%60%70%80

27、%90%100%2018202020212022个人贡献者/技术类网络安全岗位个人贡献者/非技术类网络安全岗位网络安全经理高级经理/网络安全总监主管或企业最高管理层中的网络安全负责人（如，首席信息安全官）20192023图图 12：招聘需求变化趋势（2018-2023）雇员常常被要求接受继续教育，但企业往往故意不雇员常常被要求接受继续教育，但企业往往故意不为为持证持证的从业者报销相关费用，这为部分雇员带来的从业者报销相关费用，这为部分雇员带来了额外的压力了额外的压力。2023 ISACA。版权所有。162023 年网络安全现状劳动力、资源和网络运营的全球发展新态势Survey response

28、s indicate that cloud computing is the second-largest skillgap among cybersecurity professionals,just behind soft skillsthe top skillgap identified.Other notable gaps include security controls implementation,coding,softwaredevelopment,data-related topics and networking-related topics.0%10%20%30%40%5

29、0%60%70%80%90%100%其他公司挖人经济激励机制（如工资或奖金）不健全晋升和发展机会有限工作压力大缺乏管理层的支持恶劣的工作文化/环境远程工作机会受限工作政策缺乏灵活性接触最新技术（如人工智能）的机会有限渴望在新兴行业工作家庭状况发生变化（如孩子出生、结婚）退休转行（如完全离开网络安全行业）工作场所缺乏多样性不清楚其他（请详细说明）58%54%48%43%34%33%28%20%21%9%13%14%16%9%6%3%2023 ISACA。版权所有。图图 13：网络安全专业人士的离职原因您认为以下哪些因素（如果有）会导致网络安全专业人员离职？请选择所有符合的选项。172023 年网

30、络安全现状劳动力、资源和网络运营的全球发展新态势图图 14：企业福利您的企业提供以下哪些福利？请选择所有符合的选项。0%10%20%30%40%50%60%70%80%90%100%*2022 年的调查中没有该选项支付雇员认证费用职业发展培训*弹性工作时间支付员工证书维持（如更新）费大学学费报销招聘奖金带薪志愿服务休假签约奖金上述选项都没有66%55%56%33%11%2023202265%55%56%28%18%19%16%20%21%16%8%64%深入探究人才输送问题 2023 ISACA。版权所有。招聘经理仍然对网络安全应聘者的资质信心不足 这种情况已经持续了很多年。图图15表明，只有

31、26%的受访者认为超过一半的应聘者能力过关。图图16 表明，网络安全从业经验仍然是决定候选人是否合格的主要因素（72%），该数据与 2022 年相比并未表现出显著的统计变化。软技能依然是最大的技能差距（图图 17）。调查结果显示，仅次于软技能（55%），云计算是网络安全专业人员的第二大技能差距（47%）。其他明显的技能差距还包括安全控制实施、编码、与软件开发相关的问题（例如，语言、机器代码、测试、部署）、与数据相关的问题（例如，特征、分类、收集、处理、结构）以及与网络相关的问题（例如，体系结构、寻址、网络组件）。19%182023 年网络安全现状劳动力、资源和网络运营的全球发展新态势图图 16

32、：应聘者资质以下因素对确定网络安全岗位应聘者是否合格的重要性程度？0%10%有些重要20%30%不太重要40%50%60%完全不重要70%80%90%100%具有网络安全实践经验持有证书接受过实践培训雇主推荐大学学历 协会会员72%25%20%19%37%0%1%6%7%2%2%1%2%4%2%23%50%55%47%44%2%9%16%24%26%8%3%31%38%非常重要不清楚图图 15：符合招聘条件的网络安全应聘者百分比平均而言，有多少网络安全应聘者完全胜任其所申请的职位？0%10%20%30%40%50%60%70%80%90%100%0%1-25%26-49%50-75%76-10

33、0%无效回答不清楚25%20%28%1%6%5%15%2023 ISACA。版权所有。192023 年网络安全现状劳动力、资源和网络运营的全球发展新态势0%10%20%30%40%50%60%70%80%90%100%软技能（如沟通能力、灵活性、领导力）云计算安全控制（如端点、网络、应用程序）实施编码技能软件开发相关问题（如语言、机器代码、测试、部署等）数据相关问题（如特征、分类、收集、处理、结构）网络相关问题（如架构、寻址、网络组件）网络运行（如配置、性能监控）系统加固模式分析计算设备（如硬件、软件、文件系统）不清楚其他（请详细说明）55%47%35%30%30%28%27%20%21%5%

34、9%10%21%图图 17：量化的量化的技能差距您认为当今网络安全专业人士最大的技能差距是什么？请选择所有符合的选项。2023 ISACA。版权所有。202023 年网络安全现状劳动力、资源和网络运营的全球发展新态势图图 19：对大学学历的要求贵公司的入门级网络安全岗位是否有大学学历要求？0%10%20%30%40%50%60%70%80%90%100%是否不清楚10%37%52%图图 18：对网络安全学历的信任程度网络安全专业的应届大学毕业生为应对贵公司的网络安全挑战做好了充分准备，请选择您对该说法的认同程度。0%10%20%30%40%50%60%70%80%90%100%非常赞同赞同中立

35、态度反对坚决反对不清楚39%24%4%8%6%18%2023 ISACA。版权所有。对大学毕业生的调查尽管行业趋势表明大量从业人员都拥有相应的学历16，但就大学毕业生面对企业网络安全挑战所做的准备工作而言，受访者的看法依然至关重要，今年的数据与去年相比没有明显变化（图（图 18）。在入门级空缺岗位中，52%的岗位对应聘者学历作出了要求（图（图 19），该比例与去年一致。但长期以来，大学毕业生在技术和软技能能力方面均表现欠佳，这引起相关人员的担忧，网络安全学位课程的设置是否能够满足招聘者的需求（图（图 20）。今年的调查数据依然反映出应届毕业生在软技能方面的不足（68%）。虽然今年报告的许多技术

36、技能缺口与去年相似，但网络相关问题的技能缺口比去年高出 4 个百分点，数据相关问题的技能缺口则同比高出 2 个百分点（图（图 20）。16 ISC2，“(ISC)2 网络安全劳动力研究，2022 年”，https:/media.isc2.org/-/media/Project/ISC2/Main/Media/documents/research/ISC2-Cybersecurity-Workforce-Study-2022.pdf实施、编码、软件开发相关话题（如语言、机器代码、测试、部署），数据相关话题（如特征、分类、收集、处理、结构）以及网络相关话题（如架构、寻址、网络组件）。212023

37、年网络安全现状劳动力、资源和网络运营的全球发展新态势软技能（如沟通能力、灵活性、领导力）安全控制（如端点、网络、应用程序）实践网络相关问题（如架构、寻址、网络组件）系统加固数据相关问题（如特征、分类、收集、处理、结构）网络运行（如配置、性能监控）模式分析软件开发相关问题（如语言、机器代码、测试、部署等）编码技能计算设备（如硬件、软件、文件系统）其他（请详细说明）0%10%20%30%40%50%60%70%80%90%100%20222021202356%56%39%41%34%36%41%35%41%36%39%27%25%66%64%54%图图 20：应届毕业生的技能差距您认为应届大学毕业

38、生中存在以下哪些技能差距？68%33%40%35%25%30%25%22%30%21%6%11%20%22%9%27%20%2023 ISACA。版权所有。222023 年网络安全现状劳动力、资源和网络运营的全球发展新态势 2023 ISACA。版权所有。员工资质问题今年的数据显示，企业内部对不同安全技能重要性的看法发生了一些变化。云计算的数据下降了 4 个百分点，身份和访问管理（IAM）取代云计算成为最重要的安全技能（图 21）。数据保护下降了3个百分点（44%），但仍居第三位。数据收集和关联略有上升，达到 33%。最重要的五项软技能仍然是沟通、批判性思维、解决问题、团队合作和关注细节的能力

39、（图 22）。58%的受访者认为，沟通（听和说）仍然是安全专业人员最需要的软技能。62%的受访者认为企业低估了网络犯罪。因此，若企业领导者想要成功应对瞬息万变的监管环境，就应当重视同理心（13%）和诚实（17%）在软技能重要性排名中过于靠后的现象。针对人力资本的缓解措施对非专业人员进行交叉培训并使其担任安全职务依然是企业解决技术短缺和员工技能差距问题的首要缓解措施（图 24）。选择承包商和顾问这一措施的占比减少了四个百分点，而对人工智能（AI）或自动化的依赖则减少了六个百分点，在技能差距缓解措施的排名中位列第五。前几年该措施一直呈现出稳步增长的趋势，今年表现出的下降趋势可能与ChatGPT 等

40、生成式人工智能工具（及相关风险）的爆炸式发展有关。对非专业人员进行交叉培训并使其担任安全职务依然对非专业人员进行交叉培训并使其担任安全职务依然是企业解决技术短缺和员工技能差距问题的首要缓解是企业解决技术短缺和员工技能差距问题的首要缓解措施措施。对职场新人的调查ISACA 收集数据并探索工作经验不足三年的安全从业人员的就业准备情况，这在劳动力老龄化的背景下颇为重要。工作经验不足三年的安全从业人员在报告列出的前四个培训领域的数据基本与去年持平，但软技能（如沟通、批判性思维、灵活性和领导力）增加了三个百分点，几乎与安全控制持平（图23）。图图 25 显示了企业为克服软技能方面的不足而采取的措施，其中

41、学费补贴的数据表现出了明显变化，同比减少了 4 个百分点。17 欧盟网络安全局，“高等教育网络安全数据库”，https:/www.enisa.europa.eu/topics/education/cyberhead/#/faq与去年的数据相比，在入门级网络安全岗位招聘时，要求应聘者具有大学学历的企业比例总体上未表现出明显变化，但不同地区的数据波动非常显著。在欧洲，要求应聘者具备大学学历的企业占比减少，与 2022年和2021年相比分别下降了 5 个百分点和 11 个百分点。欧盟网络安全局（ENISA）积极推广欧洲网络安全技能框架（ECSF）和高等教育网络安全数据库（CyberHEAD），这可能

42、对上述数据变化产生了影响。尤其是，当下学士学位课程的培养计划仅要求 25%的课程为网络安全专业课程。17非洲的相关数据也略有下降（2023年为69%，2022年为71%），亚洲和北美的数据与去年相比则没有表现出明显变化。拉丁美洲的数据扭转了去年的下降趋势，上升了 9 个百分点并达到 70%。大洋洲的数据也比 2022年（37%）增长了 10 个百分点。232023 年网络安全现状劳动力、资源和网络运营的全球发展新态势图图 21：最重要的五项安全技能请选择贵公司目前最需要的五项安全技能。0%10%20%30%40%50%60%70%80%90%100%身份和访问管理（IAM）云计算数据保护紧急事

43、件响应DevSecOps 数据收集和关联（如SIEM，SOAR）威胁检测技术（如IDS、IPS、UTM）终端安全（如EDR、XDR）威胁追踪 漏洞扫描 渗透测试 漏洞发现取证 网络分段 虚拟化2022202348%52%49%46%44%47%44%43%36%36%33%31%30%32%28%30%29%28%31%29%27%27%24%24%16%17%20%21%10%11%2023 ISACA。版权所有。242023 年网络安全现状劳动力、资源和网络运营的全球发展新态势图图 22：最重要的五项软技能请选择贵公司安全专业人员当下最需要的五项软技能。0%10%20%30%40%50%6

44、0%70%80%90%100%沟通（听/说技能）批判性思维 解决问题的能力 团队工作（包括协作与合作）注重细节 适应变化 决策能力态度 领导力 时间管理职业道德 写作技巧 冲突解决诚实同理心57%49%56%44%38%30%32%23%22%16%22%13%2023 202258%49%54%45%36%31%33%29%26%24%27%27%25%25%23%17%22%13%2023 ISACA。版权所有。252023 年网络安全现状劳动力、资源和网络运营的全球发展新态势图图 23：工作经验未满三年员工的职业发展需求对于那些工作经验未满三年的员工来说，您认为他们在以下哪些领域最需要专

45、业发展/培训？请选择所有符合的选项。安全控制（如端点、网络、应用程序）实施软技能（如沟通能力、批判性思维、灵活性、领导力）网络相关问题（如架构、寻址、网络组件）数据相关问题（如特征、分类、收集、处理、结构）网络运行（如配置、性能监控）计算设备（如硬件、软件、文件系统）编码技能软件开发相关问题（如语言、机器代码、测试、部署等）其他（请详细说明）无需专业培训/发展22%22%0%10%20%30%40%50%60%70%80%90%100%60%61%48%47%57%60%42%44%36%34%25%25%35%35%23%22%23%21%2%2%2%3%20222023 2023 ISAC

46、A。版权所有。系统加固模式分析262023 年网络安全现状劳动力、资源和网络运营的全球发展新态势图图 24：缓解技术能力差距的方法贵公司采取了以下哪些措施（如有）来缩小技术网络安全技能差距？请选择所有符合的选项。0%10%20%30%40%50%60%70%80%90%100%对感兴趣转行从事安全职位的非安全专业人员进行培训增加合同雇员或外部顾问增加再培训项目增加实践培训以测试技能的实际掌握程度更多地依赖人工智能或自动化学徒制度/实习制度*更注重资格证书以测试针对实际问题的专业水平未采取任何措施21%42%45%19%22%21%38%45%18%19%20%12%4%3%企业不存在技能差距问

47、题1%其他（请详细说明）2023 202225%19%2023 ISACA。版权所有。*2022 年的调查中没有该选项。1%3%272023 年网络安全现状劳动力、资源和网络运营的全球发展新态势图图 25：缓解非技术能力差距的方法贵公司采取了以下哪些措施（如有）来缩小非技术能力差距？请选择所有符合的选项。0%10%20%30%40%50%60%70%80%90%100%在线学习网站（如LinkedIn Learning、Coursera、edX等）导师制企业培训活动学费报销未采取任何措施55%42%53%45%42%46%20%24%17%17%3%Organization has no no

48、ntechnical skills gap3%2%Other(please specify)1%20222023 2023 ISACA。版权所有。网络安全预算缩减受访者对网络安全经费的看法（图（图 26）与去年基本保持一致，相关数据未表现出显著的统计学差异。受访者普遍认为网络安全预算将逐渐减少（图（图 27），但2024年网企业不存在非技术能力差距问题其他（请详细说明）络安全资金的预算前景延续了此前一年两次的起伏周期，即将跌至 2017 年以来的最低点（图（图 28）。多年数据证实了此前报告中的结论，即预算已趋于稳定。282023 年网络安全现状劳动力、资源和网络运营的全球发展新态势0%10%

49、20%30%40%50%60%70%80%90%100%资金严重不足资金略有不足资金适当资金有些过剩资金严重过剩14%17%19%202220212020201943%37%38%34%4%1%1%2%14%15%202340%39%41%41%41%42%2%3%4%3%2%1%2023 ISACA。版权所有。图图 26：对网络安全资金的看法您认为贵公司目前的网络安全预算是：292023 年网络安全现状劳动力、资源和网络运营的全球发展新态势0%10%20%30%40%50%60%70%80%90%100%显著增加略有增加略有减少 显著减少8%5%4%7%54%48%47%47%34%27%2

50、9%16%11%9%6%4%2%3%202220212020201920235%46%338%8%9%2%2%2023 ISACA。版权所有。图图 27：企业安全预算前景贵公司的网络安全预算在未来一年内将发生怎样的变化（如有）？略有增加302023 年网络安全现状劳动力、资源和网络运营的全球发展新态势威胁态势38%的受访者表示其企业今年遭受的网络攻击次数比去年更多（图 29），这一数据同比下降了 5 个百分点。认为其所在的企业在未来一年内可能/很可能会遭受网络攻击的受访者数量与去年相比也有所减少（图 30）。自 ISACA 开始收集网络安全相关数据以来，这是受访者态度最为乐观的一个问题。认为网

51、络安全攻击频率将保持现状的人数今年也有所增加，这也为上述结论提供了支持。当下 MoVEit 攻击18频次增加、“网络犯罪即服务”模式19不断演变、商务电子邮件泄露事件频发20、大型语言模型（LLM）21恶意使用事件增多，考虑到上述因素，这一趋势可能会在明年发生逆转。图图 28：安全预算增长预测（8 年）100%90%80%50%40%30%20%10%0%60%70%20182019202020212017201661%50%64%55%58%55%202252%202351%38%31%11%20%攻击次数增加攻击次数减少攻击次数不变不便透露图图 29：网络安全攻击次数的变化与去年相比，您的

52、企业遭受的网络攻击次数是增加了还是减少了？2023 ISACA。版权所有。18Kapko,M.；“MOVEit 大规模攻击时间线：文件传输服务攻击如何纠缠受害者”，C，2023年7月14日，https:/ 20微软，“策略转变使商业电子邮件泄露事件激增”，2023年5月19日，https:/ 年网络安全现状劳动力、资源和网络运营的全球发展新态势0%10%20%30%40%50%60%攻击次数不变攻击次数减少55%52%62%62%201853%31%35%28%36%36%7%9%10%9%11%攻击次数增多2019 2020 2021 2022 202348%39%13%图图 30：网络安全

53、攻击报告的年度对比22100%90%80%70%2023 ISACA。版权所有。22下列数据省略了“不知道”和“不便透露”的选项。2381%是“完全自信”（8%）、“非常自信”（34%）和“有点自信”（39%）三个选项的总和。2481%是“强烈的积极影响”（36%）和“一些积极影响”（45%）两个选项的总和。对检测和监控的信心威胁行为者和攻击四年来，受访者最为关心的三大网络攻击问题一直保持不变（图 33）：企业声誉（79%）担心数据泄露（69%）供应链中断（55%）根据受访者的报告，进行网络攻击的幕后黑手类别并未表现出显著变化（图 34）。网络罪犯（27%）、黑客（20%）、恶意内部人员（12

54、%）、民族国家行为者（12%）仍然是企业面对的最大威胁。值得注意的是，企业内部人员无意造成网络漏洞的占比达到 11%，增加了 3 个百分点。社会工程攻击仍然是主要的网络攻击方法，占比增长了两个百分点（15%），其次是高级持续性威胁（APT）（11%）、安全配置错误（10%）、勒索软件（10%）、未打补丁的系统（10%）、敏感数据泄露（9%）和拒绝服务漏洞（9%）。图 35 显示了不同攻击类型的完整响应列表。问及企业网络安全团队检测与应对网络威胁的能力，对其公司团队具备信心的受访者占比 81%，基本与去年持平23（图31）。这项数据非常值得注意，尤其是 47%的受访者企业安全团队只有 2 至 1

55、0 人。今年的数据显示，企业内部员工基本能够履行一半以上的五项主要安全职能（识别、保护、检测、响应和恢复）。网络安全教育和网络安全意识培训计划持续对整体员工思维产生积极影响，81%24的受访者表示培训至少产生了一些积极影响（图 32）。322023 年网络安全现状劳动力、资源和网络运营的全球发展新态势0%10%20%30%40%50%60%70%80%90%100%图图 31：对组织的信心对组织的信心（2020-2023）总体来说，您对贵公司网络安全团队检测和应对网络威胁的能力有多大信心？8%8%6%4%34%35%33%30%39%39%38%40%7%8%8%9%2%2%3%2%4%3%5

56、%5%5%5%8%9%2022202120202023 2023 ISACA。版权所有。完全自信非常自信不便透露不清楚毫无自信不太自信有点自信332023 年网络安全现状劳动力、资源和网络运营的全球发展新态势10%20%30%40%50%60%70%80%90%100%202220210%20205%5%2023图图 32：网络安全意识培养计划的影响（2020-2023）您认为网络安全培训和意识培养计划对贵公司整体员工网络安全意识有何影响？36%34%32%28%45%46%46%50%11%12%11%11%1%2%1%1%3%4%5%5%3%4%2023 ISACA。版权所有。强烈的积极影

57、响一些积极影响不清楚无积极影响较小的积极影响不便透露342023 年网络安全现状劳动力、资源和网络运营的全球发展新态势图图 33：企业网络安全担忧在与贵公司遭受网络攻击相关的问题中，您最关心的问题是什么？请选择所有符合的选项。0%10%20%30%40%50%60%70%80%90%100%企业声誉数据泄露，对客户造成物理或财政危害对供应链的网络攻击或业务中断丢失商业机密（例如，冠状病毒疫苗研究成果、知识产权等）您个人的职业声誉企业的股票价格/财务业绩企业工作保障您的个人工作保障其他79%55%69%29%29%22%28%21%2%0%10%20%30%40%50%60%70%80%90%1

58、00%网络罪犯27%黑客20%恶意内部人员12%民族/国家12%非恶意内部人员11%黑客活动家8%无效回答26%不清楚17%不便透露20%其他（请详细说明）1%2023 ISACA。版权所有。图图 34：威胁行为者贵公司今年遭受的网络攻击（如有）涉及下述哪些威胁行为者？请选择所有符合的选项。352023 年网络安全现状劳动力、资源和网络运营的全球发展新态势图图 35：网络攻击类型贵公司今年遭受的网络攻击（如有）涉及下述哪些攻击类型？请选择所有符合的选项。社会工程社会工程攻击攻击：对人们进行心理操纵以实施攻击行为或泄露信息高级持续性威胁高级持续性威胁（APT）：）：一系列隐蔽性强且持续时间长的网

59、络攻击安全配置错误：安全配置错误：应用程序堆栈的任何层级都可能存在未打补丁的漏洞或默认凭据勒索软件：勒索软件：一种通过公开受害者的机密数据或永久禁止访问这些数据等威胁手段来勒索赎金的恶意软件未打补丁的系统：未打补丁的系统：未为已知漏洞打补丁的计算机或网络设备，这种设备容易遭到攻击敏感数据泄露：敏感数据泄露：Web 应用程序或API不能正确保护敏感数据拒绝服务拒绝服务攻击（攻击（DoS）：）：使计算机或网络资源不可用的网络攻击失效的失效的身份验证：身份验证：与身份验证和会话管理相关的应用程序功能第三方第三方风险风险：归因于第三方（包括供应链各方）的所有安全事件注入缺陷：注入缺陷：不受信任的数据作

60、为命令或查询的一部分发送到解析器，会产生SQL、NoSQL、OS或LDAP等注入缺陷失效的访问控制：失效的访问控制：策略执行问题通常会导致未经授权的信息泄露、所有数据被修改或销毁记录和监控不足：记录和监控不足：缺乏对高价值可审核事件和系统错误的监控，或未能保留日志内部盗窃：内部盗窃：企业内部员工实施的网络犯罪移动设备丢失移动设备丢失（如笔记本电脑或手机被盗）跨站脚本跨站脚本（XSS）：应用程序或新网页中包含不受信任的数据移动恶意软件：移动恶意软件：专门针对移动设备的恶意软件中间人攻击：中间人攻击：攻击者躲在通信双方之间，窃听甚至篡改通信信息XML外部实体外部实体（XXE）：）：较旧的或配置不当

61、的XML 处理器问题不安全的反序列化：不安全的反序列化：不受信任的数据被用于滥用应用程序的逻辑离地攻击（离地攻击（LOTL）：利用系统中现存的或易于安装的二进制文件来进行恶意攻击加密劫持：加密劫持：秘密利用未受保护设备的计算能力来挖掘加密货币水坑水坑攻击攻击：攻击者观察或猜测组织或个人经常使用的网站，然后通过恶意软件感染这些网站其他类型的网络攻击不清楚不便透露无效回答0%5%10%20%25%30%15%7%8%9%10%11%6%4%6%5%3%3%8%9%10%10%15%15%30%23%1%5%1%2%1%2%2%2023 ISACA。版权所有。362023 年网络安全现状劳动力、资源

62、和网络运营的全球发展新态势网络安全成熟度网络安全成熟度一项一项正处于发展正处于发展阶段阶段的工作的工作ISACA 基于近年来收集的基线数据，在 2023 年的调查中引入了网络安全成熟度的问题。一般情况下，网络安全成熟度是指企业为应对安全威胁做的准备工作与保护措施之间的关联性。25 相关数据与 2022 年相比变化不大，55%的受访者表示他们所在企业的董事会充分重视企业网络安全，而 75%的受访者认为他们的企业网络安全战略与企业目标一致。从 2022 年到 2023 年，风险评估的频率几乎没有变化，但 1-6 个月评估一次的企业数量呈现出积极的增长趋势，增加了 3 个百分点（图 36）。从未每月

63、一次 1-6 个月一次 7-12 个月一次每年一次 1-2 年一次 2 年或更久一次不清楚0%10%20%30%40%50%60%70%80%90%100%9%8%16%17%8%7%41%39%4%7%7%14%16%3%2%2023 2022 202125 ISACA，主动网络安全：网络成熟度快速指南，美国，2022年，https:/www.isaca.org/resources/proactive-cybersecurity-a-quick-guide-to-understanding-cyber-maturity 图图 36：网络风险评估（2021-2023）您的企业多久进行一次网络风

64、险评估？3%3%7%19%8%39%7%15%2023 ISACA。版权所有。3%372023 年网络安全现状劳动力、资源和网络运营的全球发展新态势图图 37：网络安全成熟度评估贵公司目前是否对网络安全成熟度进行了评估？0%10%20%30%40%50%60%70%80%90%100%是否不清楚65%14%21%65%的受访者所在企业会对其网络安全成熟度进行评估，这与 2022 年的数据几乎一致（图（图37）。进行网络风险评估仍然是有效监测风险要素并完善风险处理方案的一项关键商业任务。阻碍企业频繁进行网络风险评估的因素排名从 2022 年开始呈现出变化趋势。时间投入是主要障碍（41%），其次是

65、缺乏评估人员（38%）这两个因素的数据都比去年下降了两个百分点。缺乏网络工具的数据增加了 3 个百分点，网络工具相关成本的数据增加了 2 个百分点。图图 38 展示了去年和今年的数据对比情况。0%10%20%30%40%50%60%70%80%90%100%缺乏评估人员企业内部缺乏专业知识领导团队的支持无障碍评估优先项不由客观与数据驱动（如管理层偏见）缺乏合适的网络工具进行有效评估网络工具的成本资金不足，无法外包给第三方合并报告调查结果其他（请详细说明）40%21%17%16%15%16%11%图图 38：网络风险评估的阻碍因素（2022-2023）贵公司在进行网络风险评估时面临哪些障碍（如有

66、）？请选择所有符合的选项。41%时间投入43%38%22%22%22%21%22%18%19%14%18%11%2%2%20222023 2023 ISACA。版权所有。382023 年网络安全现状劳动力、资源和网络运营的全球发展新态势全组织范围的一致性题进行了研究，深入探讨首席信息安全官与首席执行官、IT 领导者、风险领导者（如首席财务官、首席风险官）之间的一致性。基于相关证据，Forrester 得出结论，隶属于首席执行官的首席信息安全官拥有更大的控制权和责任、遇到的阻力更小，这有利于减少对第三方终端安全产品的依赖以及违规事件，加强企业对网络安全相关责任的人士。26ISACA 从各方面对该

67、问题进行了探究，受访者数据显示，遭受更多网络攻击的企业与其网络安全团队一致性之间不存在显著相关性，更遑论网络安全信息官与 IT 领导者或其他领导者之间的关系。图图 39：网络安全组织一致性在您的企业中，网络安全团队向谁汇报工作？0%10%20%30%40%50%60%70%80%90%100%首席信息安全官（CISO）首席信息官（CIO）首席执行官（CEO）首席技术官（CTO）董事会首席战略官（CSO）其他（请详细说明）首席风险官（CRO）首席财务官（CFO）首席审计官（CAE）49%8%17%7%5%5%5%2%1%2%2023 ISACA。版权所有。26 Pollard,J.；“首席信息官

68、应向首席执行官汇报的五个理由”，Forrester，2023年2月21日，https:/ 39）。但谈及首席信息安全官由谁来领导，受访者的答复大致可以分为两类25%的受访者称他们公司的首席信息安全官向首席信息官汇报工作，24%的受访者称首席信息安全官向首席执行官汇报工作（图 40）。虽然首席信息安全官的职责范围有所扩大，但他们在企业中的地位并未得到统一。普遍来说，首席信息安全官（更不用说网络安全团队）无需向任何 IT 领导者（如首席信息官、首席技术官）汇报工作。Forrester 针对该问首席信息官（CIO）25%首席执行官（CEO）2 4%未设立首席信息安全官11%董事会9%首席技术官（CT

69、O）9%首席运营官（COO）5%首席战略官（CSO）4%其他（请详细说明）4%首席风险官（CRO）4%首席财务官（CFO）4%392023 年网络安全现状劳动力、资源和网络运营的全球发展新态势图图 40：首席信息安全官与组织的一致性贵公司的首席信息安全官向谁汇报工作？0%10%20%30%40%50%60%70%80%90%100%CAE1%那些表示其企业的网络安全战略与企业目标一致的受访者更有可能向首席信息安全官汇报工作。2023 ISACA。版权所有。若企业网络安全战略与企业目标不一致，网络安全团队将向首席信息安全官或首席信息官汇报工作。同样，如果企业董事会将网络安全置于首要位置，那么该企

70、业的网络安全团队更有可能会向首席信息安全官汇报工作。反之，若企业董事会不够重视网络安全，网络安全团队可能会向首席信息安全官或首席信息官汇报工作。那些称企业缺乏一致性的受访者更有可能会向首席信息官汇报工作，但这种企业未设立首席信息安全官或首席战略官的可能性要比其他企业高一倍。25%24%11%9%9%5%4%4%4%4%CFOCRO其他（请详细说明）CSOCOOCTO董事会成员我公司没有CISOCEOCIO402023 年网络安全现状劳动力、资源和网络运营的全球发展新态势结论未见显著变化 2023 ISACA。版权所有。尽管当下威胁态势正在迅速演变，但对于大多数身处其中的从业者来说，近年来的局势

71、变化并不明显ISACA“网络安全现状”调查的纵向数据进一步印证了这一点。网络安全劳动力短缺的情况将持续存在，现有劳动力则呈现出老龄化趋势。传闻证据表明，网络安全行业的人才培训机制（如再培训、大学、学徒制）成果频出，致力于最大限度地缓解网络安全供需鸿沟的问题。行业报告勾勒出一幅截然不同的行业发展图景：市场对网络安全人员的需求不断增加，但人才输送项目几乎完全没有得到重视，其中一部分还是长期项目。尽管求职者更喜欢远程工作，但要求线下办公的企业数量越来越多。关于全球经济衰退的讨论愈演愈烈，这可能会对企业签约奖金和学费报销造成影响。在网络安全人才供应不足的情况下，企业进一步的福利缩减加上企业对远程工作的

72、过时看法必将影响企业招聘所需的网络安全人员。网络安全预算保持平稳状态，每隔一年会出现一定的波动。受访者对预算规划的看法略显悲观且普遍认为明年的预算会缩减。正式教育依然是众矢之的，尽管技术领域已经取得了一定的进步，但软技能依然是一个令人担忧的议题。ISACA 和其他机构主张企业在招聘时取消学历要求，特别是在入门级岗位招聘时。从业经验依然是企业最为重视的应聘者资质。对人才招聘经理来说，扩充人才库至关重要，这就需要企业提供足够的入门级职位，便于那些完成网络安全培训的人员获得从业经验。网络攻击经历的报告结果与去年相比几乎完全一致，在与网络攻击相关的问题中，企业主要担心声誉受损、数据泄漏和供应链中断等问题。一半的受访者表示所在企业设立了网络信息安全官并由其领导网络安全团队。首席信息安全官主要向首席执行官或首席信息官汇报工作。虽然数据显示，这并不会影响网络攻击的可能性和频率，但董事会对网络安全的重视程度与企业目标的组织一致性之间存在一定的联系。412023 年网络安全现状劳动力、资源和网络运营的全球发展新态势致谢致谢 2023 ISACA。版权所有。ISACA对下列人士致谢：对下列人士致谢：董事会422023 年网络安全现状劳动力、资源和网络运营的全球发展新态势 2023 ISACA。版权所有。