信息安全职业类型分析(信息安全职业发展规划参考)
职业类型:
信息安全咨询师,信息安全测评师,信息安全服务人员,信息安全运维人员,信息安全方案架构师,安全产品开发工程师,安全策略工程师、培训讲师、漏洞挖掘、攻防测试
咨询顾问一般需要以下技能:
熟悉各类安全标准--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
咨询体系--企业经营管理,流程管理,人力资源管理,信息战略,法律法规 基本技能--沟通表达、文档、项目管理
技术体系--All above(不要因为我说了这句话趋之若鹜哦) 分类:
市场销售类:销售员、营销人员
顾问咨询类:售前工程师、咨询顾问
管理类:内控审计师、信息安全管理
技术实现类:开发工程师、渗透测试
开发管理类:项目经理、技术总监
实施维护类:实施工程师、维护工程师
甲方
乙方:有技术、产品、有解决方案,更关注行业、技术等,保障企业利益 X方:标准制定机构,处于中立地位的机构,监管机构等
四类主体岗位:
管理、技术、销售、运维
管理类职业:行业监管标准的执行,合规标准;管理实践;系统方法进行指导 技术类职业:技术开发类职业,技术运维类职业(核心是对业务的需求和理解)
开发:语言、工具、思路、需求理解
中国越南冲突运维:系统分析、运维思想、操作技能、流程管理
营销类职业:(通常在乙方,向人提供产品技术),在什么情景下使用什么技术解决什么问题。传播、方案、场景、市场。有技术基础,又有良好的表达能力。
销售类职业:关系+价值
信息安全管理岗位职业锚
甲方:以服务自己为主
1、安全体系管理员
大型企业,体系化的。有时候配合乙方进行企业安全建设。
职责:安全规划、需要多少钱多少人、制定相关安全制度,提出相应安全要求。参照ISO27000级内控等。(还是比较难的)
督促实施,检查各项信息安全制度、体系文件和策略落实情况。(在企业内部地位还可以)
2、信息安全经理
反对本本主义论文大型企业,会设安全处,是处长级别。不仅了解企业内部动态,设置规章制度。而且要和监管机构、行业主管部门、上级进行沟通,了解他们对安全的要求。对沟通能力,全局观有要求。定期组织各个部门进行风险评估,针对问题制定相关措施。对技术也要有所了解。很多技术活都要去做。(实干型的在企业中承担重要职责的岗位)
意见领袖
3、CSO首席安全官
负责整个机构的安全运行状态,物理安全信息安全等。(在很多企业甚至是合伙人之一)互联网金融、银行等行业都非常重要,外企的信息安全官各个方面都要管。甚至业务安全、反欺诈和隐私保护等等,到犯罪的问题都要管。
涉及到公共安全等问题,已经进入公司的决策层。
超脱技术,从更高的层次去理解。本身是一个高级管理层。
(甲方安全的最高位置)
金融安全:1道防线技术部门,2道防线安全风险部门,3道防线审计
乙方:以服务客户为主
安全咨询顾问
卖的是经验和脑子,帮客户发现问题解决问题。要有整套的方法论。
帮客户进行合规性工作,安全规划、等级保护、安全体系建设等。安全解决方案设计。对客户进行安全培训、售前交流等。
要有一定中立性,不是一去了就卖产品。帮客户以更少的投入解决问题。(要求很高,很高的工作背景,技术,表达能力等等。30岁左右才能从事这个行业)
IT审计师
业务依赖信息系统,系统一旦受损会影响公司。执行IT风险评估和审计,对应用程序控制和安全控制审查等。
应用逻辑设计不合理等等。协助客户评估和改善应用西永的中IT安全和业务控制。(国内接近1万人)
行业安全专家(咨询顾问在很多年后沉淀下来成为行业专家)
在某个行业数十年,最后沉淀。行业安全需求调研,行业安全方案推广,行业项目支持,对行业发展把握比较准,能创新的提出发展策略。(能创新并了解发展趋势,带着客户走。)
全国污染源普查条例国家的政策有时候会请行业专家来听听他们的意见。
专业能力要求
(一开始很难做,要有一定的技术,才能跳出来看,对安全有全局性的了解)
1、安全体系架构
安全管理标准:ISO27001
安全合规标准:等级保护
企业IT架构:TOGAF(对企业有整体的了解)
IT内控体系:cobit
软件开发管理:CMMI(IT开发的)
昂达vi40精英版
IT服务管理:ITIL(IT运维的)
2、行业安全
行业监管要求和标准:不同行业有不同的监管标准
行业主要业务与应用:了解这个行业的业务(了解银行的业务,他们是干什么的。)每个行业的架构都不一样。
行业从业经验:在一个行业有经验,在银行或者其他进行沉淀,不要在行业之间随便跳。
3、企业管理(CSO、行业专家)
治理、风险与合规
公司战略与业务管理(紧紧地贴到公司的业务上)
人力、财务、法律
(对细节更了解)
信息安全管理岗位的专业认证
安全:Security+(全球有几十万人,面向技术操作)、CISP【高】(国内安全方面顶级认证,国内1万人左右)、CISSP
【高】(国际顶尖的认证,全球有10万人左右)
【全面但不深入,比较适合管理岗位,什么都知道】
审计:CISA(信息系统审计师,中国不到1万人)
标准:ISO27001等级保护【含量高】
运维:ITIL(IT服务管理的最佳实践)
内控:Cobit5.0
项目:传统PMP,prince2(适合IT项目管理)、CMMI
信息安全管理岗位发展路径
信息安全技术岗位职业锚
信息安全技术岗位
甲方:
安全运维工程师
it技能
运维层面的安全,对主机、网络、数据库、应用系统、数据等进行安全检查,策略配置等等。(对思科路由器、防火墙设备、操作系统等等,各种安全产品的维护等等)安全监控、日志分析、应急响应处理。(压力也比较大,岗位需求比较大)
安全开发
安全应用系统开发,对全生命周期的支持,不仅懂安全还要懂开发,要懂测试,会编写软件。(1个人负责几百个人的安全开发,要使用自动化工具),开发安全防护组件供其直接调用。
渗透测试
大型的企业,会设置专门的测试部门。定期对基础设施和应用系统进行安全扫描和渗透
测试,对漏洞的整改进行跟踪和支持等等。(直接承担任务,不用去上班。白帽子加加班就能挣钱。全国有几千人。)
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议