信息安全职业类型分析(信息安全职业发展规划参考).docxVIP

职业类型：信息安全咨询师，信息安全测评师，信息安全服务人员，信息安全运维人员，信息安全方案架构师，安全产品开发工程师，安全策略工程师、培训讲师、漏洞挖掘、攻防测试咨询顾问一般需要以下技能：熟悉各类安全标准--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……咨询体系--企业经营管理，流程管理，人力资源管理，信息战略，法律法规基本技能--沟通表达、文档、项目管理技术体系--All above（不要因为我说了这句话趋之若鹜哦）分类：市场销售类：销售员、营销人员顾问咨询类：售前工程师、咨询顾问管理类：内控审计师、信息安全管理技术实现类：开发工程师、渗透测试开发管理类：项目经理、技术总监实施维护类：实施工程师、维护工程师甲方乙方：有技术、产品、有解决方案，更关注行业、技术等，保障企业利益X方：标准制定机构，处于中立地位的机构，监管机构等四类主体岗位群：管理、技术、销售、运维管理类职业群：行业监管标准的执行，合规标准；管理实践；系统方法进行指导技术类职业群：技术开发类职业群，技术运维类职业群（核心是对业务的需求和理解）开发：语言、工具、思路、需求理解运维：系统分析、运维思想、操作技能、流程管理营销类职业群：（通常在乙方，向人提供产品技术），在什么情景下使用什么技术解决什么问题。传播、方案、场景、市场。有技术基础，又有良好的表达能力。销售类职业群：关系+价值信息安全管理岗位职业锚甲方：以服务自己为主1、安全体系管理员 大型企业，体系化的。有时候配合乙方进行企业安全建设。职责：安全规划、需要多少钱多少人、制定相关安全制度，提出相应安全要求。参照ISO27000级内控等。（还是比较难的）督促实施，检查各项信息安全制度、体系文件和策略落实情况。（在企业内部地位还可以）2、信息安全经理 大型企业，会设安全处，是处长级别。不仅了解企业内部动态，设置规章制度。而且要和监管机构、行业主管部门、上级进行沟通，了解他们对安全的要求。对沟通能力，全局观有要求。定期组织各个部门进行风险评估，针对问题制定相关措施。对技术也要有所了解。很多技术活都要去做。（实干型的在企业中承担重要职责的岗位）3、CSO首席安全官 负责整个机构的安全运行状态，物理安全信息安全等。（在很多企业甚至是合伙人之一）互联网金融、银行等行业都非常重要，外企的信息安全官各个方面都要管。甚至业务安全、反欺诈和隐私保护等等，到犯罪的问题都要管。涉及到公共安全等问题，已经进入公司的决策层。超脱技术，从更高的层次去理解。本身是一个高级管理层。（甲方安全的最高位置）金融安全：1道防线技术部门，2道防线安全风险部门，3道防线审计乙方：以服务客户为主安全咨询顾问 卖的是经验和脑子，帮客户发现问题解决问题。要有整套的方法论。帮客户进行合规性工作，安全规划、等级保护、安全体系建设等。安全解决方案设计。对客户进行安全培训、售前交流等。 要有一定中立性，不是一去了就卖产品。帮客户以更少的投入解决问题。（要求很高，很高的工作背景，技术，表达能力等等。30岁左右才能从事这个行业） IT审计师 业务依赖信息系统，系统一旦受损会影响公司。执行IT风险评估和审计，对应用程序控制和安全控制审查等。应用逻辑设计不合理等等。协助客户评估和改善应用西永的中IT安全和业务控制。（国内接近1万人）行业安全专家（咨询顾问在很多年后沉淀下来成为行业专家） 在某个行业数十年，最后沉淀。行业安全需求调研，行业安全方案推广，行业项目支持，对行业发展把握比较准，能创新的提出发展策略。（能创新并了解发展趋势，带着客户走。）国家的政策有时候会请行业专家来听听他们的意见。专业能力要求（一开始很难做，要有一定的技术，才能跳出来看，对安全有全局性的了解）1、安全体系架构安全管理标准：ISO27001安全合规标准：等级保护企业IT架构：TOGAF（对企业有整体的了解）IT内控体系：cobit软件开发管理：CMMI（IT开发的）IT服务管理：ITIL（IT运维的）2、行业安全行业监管要求和标准：不同行业有不同的监管标准行业主要业务与应用：了解这个行业的业务（了解银行的业务，他们是干什么的。）每个行业的架构都不一样。行业从业经验：在一个行业有经验，在银行或者其他进行沉淀，不要在行业之间随便跳。3、企业管理（CSO、行业专家）治理、风险与合规公司战略与业务管理（紧紧地贴到公司的业务上）人力、财务、法律（对细节更了解）信息安全管理岗位的专业认证安全：Security+（全球有几十万人，面向技术操作）、CISP【高】（国内安全方面顶级认证，国内1万人左右）、CISSP【高】（国际顶尖的认证，全球有1