信息安全职业类型分析信息安全职业发展规划参考
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
产品实施工程师,技能要求比较低,懂原理安装培训就可以了。(一般工作年限刚毕业一两年。比较辛苦,常在机房泡着,入行的时候会选择。之后转成售前、安全服务、安全顾问)选择产品线长的,大的厂商。薪资也不是很高。1个售前要有5个实施。岗位需求大点。
研究工程师(漏洞挖掘等)
大型厂商有安全研究队伍。跟踪国内外最新安全技术,对漏洞形成规则库,负责各种网络系统应用和设备的安全攻击和防御技术研究,负责安全漏洞挖掘与分析相关技术研究及工具开发。(人数不多,但要精。大厂商能够承担国家级课题。待遇高,要求高,岗位需求低)
信息安全技术岗位专业能力要求
基础设施安全:(会配置起码)
数据库安全
系统安全
网络安全
应用安全:(编程能力)
web应用安全
移动应用安全
业务应用安全
安全产品:(动手能力,全方位了解产品)
边界防护类:防火墙、防毒、入情监测、VPN等(两三年来了解,从产品一个一个学)
内网防护类:终端安全、账户安全、数据安全等
职业类型:
信息安全咨询师,信息安全测评师,信息安全服务人员,信息安全运维人员,信息安全方案架构师,安全产品开发工程师,安全策略工程师、培训讲师、漏洞挖掘、攻防测试
咨询顾问一般需要以下技能:
熟悉各类安全标准--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
IT服务管理:ITIL(IT运维的)
2、行业安全
行业监管要求和标准:不同行业有不同的监管标准
行业主要业务与应用:了解这个行业的业务(了解银行的业务,他们是干什么的。)每个行业的架构都不一样。
行业从业经验:在一个行业有经验,在银行或者其他进行沉淀,不要在行业之间随便跳。
3、企业管理(CSO、行业专家)
具体职业岗位
漏洞挖掘/安全技术研究人员:漏洞挖掘、安全技术研究将结果转化为商业价值
安全产品开发:能开发安全的软件的程序员
产品工程师,厂商的技术人员一般对自有产品做售后支持,对技术要求一般,有一定的系统、网络基础,熟练部署产品即可,测试和问题解决能力比较重要
技术顾问/售前工程师,了解自己的产品和解决方案非常熟悉,偏重于架构/方案设计。表达能力、文档能力、售前工程能力(投标、销售推介等),有多年工作经验,有售后或研发背景,对特定的行业了解能增强竞争力,如能对专业安全技术服务及咨询服务有所掌握,会使你的知识背景更强势,项目管理技能也是必要的。
安全服务工程师,产品选型和部署是相对简单的,专业的安全服务。对技术理解并且有管理和项目知识。沟通、表达能力也是必须的。
安全架构师,售前和服务工程师都是要写整体的解决方案的,但没有架构师的技术高度,需要了解安全趋势和客户的整体安全需求,既有深度又有广度,需要较多的经验和技术。
信息安全咨询顾问,
熟悉各类安全标准--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
咨询体系--企业经营管理,流程管理,人力资源管理,信息战略,法律法规
基本技能--沟通表达、文档、项目管理
技术体系--All above(不要因为我说了这句话趋之若鹜哦)
分类:
市场销售类:销售员、营销人员
顾问咨询类:售前工程师、咨询顾问
管理类:内控审计师、信息安全管理
技术实现类:开发工程师、渗透测试
开发管理类:项目经理、技术总监
实施维护类:实施工程师、维护工程师
甲方
乙方:有技术、产品、有解决方案,更关注行业、技术等,保障企业利益
X方:标准制定机构,处于中立地位的机构,监管机构等
四类主体岗位群:
管理、技术、销售、运维
管理类职业群:行业监管标准的执行,合规标准;管理实践;系统方法进行指导
技术类职业群:技术开发类职业群,技术运维类职业群(核心是对业务的需求和理解)
开发:语言、工具、思路、需求理解
运维:系统分析、运维思想、操作技能、流程管理
营销类职业群:(通常在乙方,向人提供产品技术),在什么情景下使用什么技术解决什么问题。传播、方案、场景、市场。有技术基础,又有良好的表达能力。
销售类职业群:关系+价值
信息安全管理岗位职业锚
甲方:以服务自己为主
1、安全体系管理员
IT审计师
业务依赖信息系统,系统一旦受损会影响公司。执行IT风险评估和审计,对应用程序控制和安全控制审查等。
应用逻辑设计不合理等等。协助客户评估和改善应用西永的中IT安全和业务控制。(国内接近1万人)
行业安全专家(咨询顾问在很多年后沉淀下来成为行业专家)
在某个行业数十年,最后沉淀。行业安全需wk.baidu.com调研,行业安全方案推广,行业项目支持,对行业发展把握比较准,能创新的提出发展策略。(能创新并了解发展趋势,带着客户走。)
业务安全
贴近业务的工程师,懂业务还懂安全。产品的设计有没有问题,用户体验有没有问题。要深入到某一具体产品中去。
乙方:
安全服务工程师
实施信息安全风险评估、渗透测试、安全加固、漏洞扫描、基线检查、安全巡检等。负责客户安全事件的应急响应支持。安全培训,讲解安全服务。(安全事件之后,调用安全服务工程师到现场。甚至驻场到甲方。同安全运营类似。做安全服务一般知识面比较宽。)
国家的政策有时候会请行业专家来听听他们的意见。
专业能力要求
(一开始很难做,要有一定的技术,才能跳出来看,对安全有全局性的了解)
1、安全体系架构
安全管理标准:ISO27001
安全合规标准:等级保护
企业IT架构:TOGAF(对企业有整体的了解)
IT内控体系:cobit
软件开发管理:CMMI(IT开发的)
大型企业,体系化的。有时候配合乙方进行企业安全建设。
职责:安全规划、需要多少钱多少人、制定相关安全制度,提出相应安全要求。参照ISO27000级内控等。(还是比较难的)
督促实施,检查各项信息安全制度、体系文件和策略落实情况。(在企业内部地位还可以)
2、信息安全经理
大型企业,会设安全处,是处长级别。不仅了解企业内部动态,设置规章制度。而且要和监管机构、行业主管部门、上级进行沟通,了解他们对安全的要求。对沟通能力,全局观有要求。定期组织各个部门进行风险评估,针对问题制定相关措施。对技术也要有所了解。很多技术活都要去做。(实干型的在企业中承担重要职责的岗位)
安全攻防类:漏洞扫描、日志审计、SIEM事件分析等
攻防能力:(几年时间不断地实践,能深刻理解黑客是怎么回事)
渗透测试
逆向工程
取证分析
信息安全技术认证
网络:思科认证
系统:RHCE、UNIX、Windows
数据库:OCP
攻防:CEH道德黑客(对英文要求比较高,没有中文考试)
安全:Security+、CISP、CISSP
售前工程师
核心目标,把公司产品卖出去。了解客户安全需求,使用公司产品去解决问题。
配合销售人员参与投标项目,完成整个投标过程;跟用户进行现场交流。(工作量比较大,技术和沟通能力要强,现场反应能要求高。对产品要熟悉。技术能力基本不需要,更多的是沟通能力,演讲能力,理解能力。可以转成安全顾问。)
实施工程师
3、CSO首席安全官
负责整个机构的安全运行状态,物理安全信息安全等。(在很多企业甚至是合伙人之一)互联网金融、银行等行业都非常重要,外企的信息安全官各个方面都要管。甚至业务安全、反欺诈和隐私保护等等,到犯罪的问题都要管。
涉及到公共安全等问题,已经进入公司的决策层。
超脱技术,从更高的层次去理解。本身是一个高级管理层。
CSO,首席信息安全观,较大的组织才会有。高级咨询顾问到了甲方也可是CSO
知识体系
技术体系:对攻防的理解、操作系统、网络、应用、数据库等、协议。研究偏底层,架构偏网络
管理体系:各种技术、标准,审核标准,传统管理学大集合、咨询和审计
需求理解、表达沟通、文档、演讲、项目管理、销售技能
审计:CISA(信息系统审计师,中国不到1万人)
标准:ISO27001等级保护【含量高】
运维:ITIL(IT服务管理的最佳实践)
内控:Cobit5.0
项目:传统PMP,prince2(适合IT项目管理)、CMMI
信息安全管理岗位发展路径
信息安全技术岗位职业锚
信息安全技术岗位群
甲方:
安全运维工程师
运维层面的安全,对主机、网络、数据库、应用系统、数据等进行安全检查,策略配置等等。(对思科路由器、防火墙设备、操作系统等等,各种安全产品的维护等等)安全监控、日志分析、应急响应处理。(压力也比较大,岗位需求比较大)
(甲方安全的最高位置)
金融安全:1道防线技术部门,2道防线安全风险部门,3道防线审计
乙方:以服务客户为主
安全咨询顾问
卖的是经验和脑子,帮客户发现问题解决问题。要有整套的方法论。
帮客户进行合规性工作,安全规划、等级保护、安全体系建设等。安全解决方案设计。对客户进行安全培训、售前交流等。
要有一定中立性,不是一去了就卖产品。帮客户以更少的投入解决问题。(要求很高,很高的工作背景,技术,表达能力等等。30岁左右才能从事这个行业)
治理、风险与合规
公司战略与业务管理(紧紧地贴到公司的业务上)
人力、财务、法律
(对细节更了解)
信息安全管理岗位的专业认证
安全:Security+(全球有几十万人,面向技术操作)、CISP【高】(国内安全方面顶级认证,国内1万人左右)、CISSP
【高】(国际顶尖的认证,全球有10万人左右)
【全面但不深入,比较适合管理岗位,什么都知道】
安全开发
安全应用系统开发,对全生命周期的支持,不仅懂安全还要懂开发,要懂测试,会编写软件。(1个人负责几百个人的安全开发,要使用自动化工具),开发安全防护组件供其直接调用。
渗透测试
大型的企业,会设置专门的测试部门。定期对基础设施和应用系统进行安全扫描和渗透测试,对漏洞的整改进行跟踪和支持等等。(直接承担任务,不用去上班。白帽子加加班就能挣钱。全国有几千人。)
相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
咨询体系--企业经营管理,流程管理,人力资源管理,信息战略,法律法规
基本技能--沟通表达、文档、项目管理
技术体系--All above(不要因为我说了这句话趋之若鹜哦)
CHO,首席黑客官,反黑客能力也非常强
研究工程师(漏洞挖掘等)
大型厂商有安全研究队伍。跟踪国内外最新安全技术,对漏洞形成规则库,负责各种网络系统应用和设备的安全攻击和防御技术研究,负责安全漏洞挖掘与分析相关技术研究及工具开发。(人数不多,但要精。大厂商能够承担国家级课题。待遇高,要求高,岗位需求低)
信息安全技术岗位专业能力要求
基础设施安全:(会配置起码)
数据库安全
系统安全
网络安全
应用安全:(编程能力)
web应用安全
移动应用安全
业务应用安全
安全产品:(动手能力,全方位了解产品)
边界防护类:防火墙、防毒、入情监测、VPN等(两三年来了解,从产品一个一个学)
内网防护类:终端安全、账户安全、数据安全等
职业类型:
信息安全咨询师,信息安全测评师,信息安全服务人员,信息安全运维人员,信息安全方案架构师,安全产品开发工程师,安全策略工程师、培训讲师、漏洞挖掘、攻防测试
咨询顾问一般需要以下技能:
熟悉各类安全标准--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
IT服务管理:ITIL(IT运维的)
2、行业安全
行业监管要求和标准:不同行业有不同的监管标准
行业主要业务与应用:了解这个行业的业务(了解银行的业务,他们是干什么的。)每个行业的架构都不一样。
行业从业经验:在一个行业有经验,在银行或者其他进行沉淀,不要在行业之间随便跳。
3、企业管理(CSO、行业专家)
具体职业岗位
漏洞挖掘/安全技术研究人员:漏洞挖掘、安全技术研究将结果转化为商业价值
安全产品开发:能开发安全的软件的程序员
产品工程师,厂商的技术人员一般对自有产品做售后支持,对技术要求一般,有一定的系统、网络基础,熟练部署产品即可,测试和问题解决能力比较重要
技术顾问/售前工程师,了解自己的产品和解决方案非常熟悉,偏重于架构/方案设计。表达能力、文档能力、售前工程能力(投标、销售推介等),有多年工作经验,有售后或研发背景,对特定的行业了解能增强竞争力,如能对专业安全技术服务及咨询服务有所掌握,会使你的知识背景更强势,项目管理技能也是必要的。
安全服务工程师,产品选型和部署是相对简单的,专业的安全服务。对技术理解并且有管理和项目知识。沟通、表达能力也是必须的。
安全架构师,售前和服务工程师都是要写整体的解决方案的,但没有架构师的技术高度,需要了解安全趋势和客户的整体安全需求,既有深度又有广度,需要较多的经验和技术。
信息安全咨询顾问,
熟悉各类安全标准--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
咨询体系--企业经营管理,流程管理,人力资源管理,信息战略,法律法规
基本技能--沟通表达、文档、项目管理
技术体系--All above(不要因为我说了这句话趋之若鹜哦)
分类:
市场销售类:销售员、营销人员
顾问咨询类:售前工程师、咨询顾问
管理类:内控审计师、信息安全管理
技术实现类:开发工程师、渗透测试
开发管理类:项目经理、技术总监
实施维护类:实施工程师、维护工程师
甲方
乙方:有技术、产品、有解决方案,更关注行业、技术等,保障企业利益
X方:标准制定机构,处于中立地位的机构,监管机构等
四类主体岗位群:
管理、技术、销售、运维
管理类职业群:行业监管标准的执行,合规标准;管理实践;系统方法进行指导
技术类职业群:技术开发类职业群,技术运维类职业群(核心是对业务的需求和理解)
开发:语言、工具、思路、需求理解
运维:系统分析、运维思想、操作技能、流程管理
营销类职业群:(通常在乙方,向人提供产品技术),在什么情景下使用什么技术解决什么问题。传播、方案、场景、市场。有技术基础,又有良好的表达能力。
销售类职业群:关系+价值
信息安全管理岗位职业锚
甲方:以服务自己为主
1、安全体系管理员
IT审计师
业务依赖信息系统,系统一旦受损会影响公司。执行IT风险评估和审计,对应用程序控制和安全控制审查等。
应用逻辑设计不合理等等。协助客户评估和改善应用西永的中IT安全和业务控制。(国内接近1万人)
行业安全专家(咨询顾问在很多年后沉淀下来成为行业专家)
在某个行业数十年,最后沉淀。行业安全需wk.baidu.com调研,行业安全方案推广,行业项目支持,对行业发展把握比较准,能创新的提出发展策略。(能创新并了解发展趋势,带着客户走。)
业务安全
贴近业务的工程师,懂业务还懂安全。产品的设计有没有问题,用户体验有没有问题。要深入到某一具体产品中去。
乙方:
安全服务工程师
实施信息安全风险评估、渗透测试、安全加固、漏洞扫描、基线检查、安全巡检等。负责客户安全事件的应急响应支持。安全培训,讲解安全服务。(安全事件之后,调用安全服务工程师到现场。甚至驻场到甲方。同安全运营类似。做安全服务一般知识面比较宽。)
国家的政策有时候会请行业专家来听听他们的意见。
专业能力要求
(一开始很难做,要有一定的技术,才能跳出来看,对安全有全局性的了解)
1、安全体系架构
安全管理标准:ISO27001
安全合规标准:等级保护
企业IT架构:TOGAF(对企业有整体的了解)
IT内控体系:cobit
软件开发管理:CMMI(IT开发的)
大型企业,体系化的。有时候配合乙方进行企业安全建设。
职责:安全规划、需要多少钱多少人、制定相关安全制度,提出相应安全要求。参照ISO27000级内控等。(还是比较难的)
督促实施,检查各项信息安全制度、体系文件和策略落实情况。(在企业内部地位还可以)
2、信息安全经理
大型企业,会设安全处,是处长级别。不仅了解企业内部动态,设置规章制度。而且要和监管机构、行业主管部门、上级进行沟通,了解他们对安全的要求。对沟通能力,全局观有要求。定期组织各个部门进行风险评估,针对问题制定相关措施。对技术也要有所了解。很多技术活都要去做。(实干型的在企业中承担重要职责的岗位)
安全攻防类:漏洞扫描、日志审计、SIEM事件分析等
攻防能力:(几年时间不断地实践,能深刻理解黑客是怎么回事)
渗透测试
逆向工程
取证分析
信息安全技术认证
网络:思科认证
系统:RHCE、UNIX、Windows
数据库:OCP
攻防:CEH道德黑客(对英文要求比较高,没有中文考试)
安全:Security+、CISP、CISSP
售前工程师
核心目标,把公司产品卖出去。了解客户安全需求,使用公司产品去解决问题。
配合销售人员参与投标项目,完成整个投标过程;跟用户进行现场交流。(工作量比较大,技术和沟通能力要强,现场反应能要求高。对产品要熟悉。技术能力基本不需要,更多的是沟通能力,演讲能力,理解能力。可以转成安全顾问。)
实施工程师
3、CSO首席安全官
负责整个机构的安全运行状态,物理安全信息安全等。(在很多企业甚至是合伙人之一)互联网金融、银行等行业都非常重要,外企的信息安全官各个方面都要管。甚至业务安全、反欺诈和隐私保护等等,到犯罪的问题都要管。
涉及到公共安全等问题,已经进入公司的决策层。
超脱技术,从更高的层次去理解。本身是一个高级管理层。
CSO,首席信息安全观,较大的组织才会有。高级咨询顾问到了甲方也可是CSO
知识体系
技术体系:对攻防的理解、操作系统、网络、应用、数据库等、协议。研究偏底层,架构偏网络
管理体系:各种技术、标准,审核标准,传统管理学大集合、咨询和审计
需求理解、表达沟通、文档、演讲、项目管理、销售技能
审计:CISA(信息系统审计师,中国不到1万人)
标准:ISO27001等级保护【含量高】
运维:ITIL(IT服务管理的最佳实践)
内控:Cobit5.0
项目:传统PMP,prince2(适合IT项目管理)、CMMI
信息安全管理岗位发展路径
信息安全技术岗位职业锚
信息安全技术岗位群
甲方:
安全运维工程师
运维层面的安全,对主机、网络、数据库、应用系统、数据等进行安全检查,策略配置等等。(对思科路由器、防火墙设备、操作系统等等,各种安全产品的维护等等)安全监控、日志分析、应急响应处理。(压力也比较大,岗位需求比较大)
(甲方安全的最高位置)
金融安全:1道防线技术部门,2道防线安全风险部门,3道防线审计
乙方:以服务客户为主
安全咨询顾问
卖的是经验和脑子,帮客户发现问题解决问题。要有整套的方法论。
帮客户进行合规性工作,安全规划、等级保护、安全体系建设等。安全解决方案设计。对客户进行安全培训、售前交流等。
要有一定中立性,不是一去了就卖产品。帮客户以更少的投入解决问题。(要求很高,很高的工作背景,技术,表达能力等等。30岁左右才能从事这个行业)
治理、风险与合规
公司战略与业务管理(紧紧地贴到公司的业务上)
人力、财务、法律
(对细节更了解)
信息安全管理岗位的专业认证
安全:Security+(全球有几十万人,面向技术操作)、CISP【高】(国内安全方面顶级认证,国内1万人左右)、CISSP
【高】(国际顶尖的认证,全球有10万人左右)
【全面但不深入,比较适合管理岗位,什么都知道】
安全开发
安全应用系统开发,对全生命周期的支持,不仅懂安全还要懂开发,要懂测试,会编写软件。(1个人负责几百个人的安全开发,要使用自动化工具),开发安全防护组件供其直接调用。
渗透测试
大型的企业,会设置专门的测试部门。定期对基础设施和应用系统进行安全扫描和渗透测试,对漏洞的整改进行跟踪和支持等等。(直接承担任务,不用去上班。白帽子加加班就能挣钱。全国有几千人。)
相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
咨询体系--企业经营管理,流程管理,人力资源管理,信息战略,法律法规
基本技能--沟通表达、文档、项目管理
技术体系--All above(不要因为我说了这句话趋之若鹜哦)
CHO,首席黑客官,反黑客能力也非常强