信息安全职业类型分析(信息安全职业发展规划参考)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
业Baidu Nhomakorabea安全
贴近业务的工程师,懂业务还懂安全。产品的设计有没有问题,用户体验有没有问题。要深入到某一具体产品中去。
乙方:
安全服务工程师
审计:CISA(信息系统审计师,中国不到1万人)
标准:ISO27001等级保护【含量高】
运维:ITIL(IT服务管理的最佳实践)
内控:Cobit5.0
项目:传统PMP,prince2(适合IT项目管理)、CMMI
信息安全管理岗位发展路径
信息安全技术岗位职业锚
信息安全技术岗位群
甲方:
安全运维工程师
运维层面的安全,对主机、网络、数据库、应用系统、数据等进行安全检查,策略配置等等。(对思科路由器、防火墙设备、操作系统等等,各种安全产品的维护等等)安全监控、日志分析、应急响应处理。(压力也比较大,岗位需求比较大)
IT服务管理:ITIL(IT运维的)
2、行业安全
行业监管要求和标准:不同行业有不同的监管标准
行业主要业务与应用:了解这个行业的业务(了解银行的业务,他们是干什么的。)每个行业的架构都不一样。
行业从业经验:在一个行业有经验,在银行或者其他进行沉淀,不要在行业之间随便跳。
3、企业管理(CSO、行业专家)
安全开发
安全应用系统开发,对全生命周期的支持,不仅懂安全还要懂开发,要懂测试,会编写软件。(1个人负责几百个人的安全开发,要使用自动化工具),开发安全防护组件供其直接调用。
渗透测试
大型的企业,会设置专门的测试部门。定期对基础设施和应用系统进行安全扫描和渗透测试,对漏洞的整改进行跟踪和支持等等。(直接承担任务,不用去上班。白帽子加加班就能挣钱。全国有几千人。)
国家的政策有时候会请行业专家来听听他们的意见。
专业能力要求
(一开始很难做,要有一定的技术,才能跳出来看,对安全有全局性的了解)
1、安全体系架构
安全管理标准:ISO27001
安全合规标准:等级保护
企业IT架构:TOGAF(对企业有整体的了解)
IT内控体系:cobit
软件开发管理:CMMI(IT开发的)
(甲方安全的最高位置)
金融安全:1道防线技术部门,2道防线安全风险部门,3道防线审计
乙方:以服务客户为主
安全咨询顾问
卖的是经验和脑子,帮客户发现问题解决问题。要有整套的方法论。
帮客户进行合规性工作,安全规划、等级保护、安全体系建设等。安全解决方案设计。对客户进行安全培训、售前交流等。
要有一定中立性,不是一去了就卖产品。帮客户以更少的投入解决问题。(要求很高,很高的工作背景,技术,表达能力等等。30岁左右才能从事这个行业)
咨询体系--企业经营管理,流程管理,人力资源管理,信息战略,法律法规
基本技能--沟通表达、文档、项目管理
技术体系--All above(不要因为我说了这句话趋之若鹜哦)
分类:
市场销售类:销售员、营销人员
顾问咨询类:售前工程师、咨询顾问
管理类:内控审计师、信息安全管理
技术实现类:开发工程师、渗透测试
开发管理类:项目经理、技术总监
大型企业,体系化的。有时候配合乙方进行企业安全建设。
职责:安全规划、需要多少钱多少人、制定相关安全制度,提出相应安全要求。参照ISO27000级内控等。(还是比较难的)
督促实施,检查各项信息安全制度、体系文件和策略落实情况。(在企业内部地位还可以)
2、信息安全经理
大型企业,会设安全处,是处长级别。不仅了解企业内部动态,设置规章制度。而且要和监管机构、行业主管部门、上级进行沟通,了解他们对安全的要求。对沟通能力,全局观有要求。定期组织各个部门进行风险评估,针对问题制定相关措施。对技术也要有所了解。很多技术活都要去做。(实干型的在企业中承担重要职责的岗位)
开发:语言、工具、思路、需求理解
运维:系统分析、运维思想、操作技能、流程管理
营销类职业群:(通常在乙方,向人提供产品技术),在什么情景下使用什么技术解决什么问题。传播、方案、场景、市场。有技术基础,又有良好的表达能力。
销售类职业群:关系+价值
信息安全管理岗位职业锚
甲方:以服务自己为主
1、安全体系管理员
治理、风险与合规
公司战略与业务管理(紧紧地贴到公司的业务上)
人力、财务、法律
(对细节更了解)
信息安全管理岗位的专业认证
安全:Security+(全球有几十万人,面向技术操作)、CISP【高】(国内安全方面顶级认证,国内1万人左右)、CISSP
【高】(国际顶尖的认证,全球有10万人左右)
【全面但不深入,比较适合管理岗位,什么都知道】
IT审计师
业务依赖信息系统,系统一旦受损会影响公司。执行IT风险评估和审计,对应用程序控制和安全控制审查等。
应用逻辑设计不合理等等。协助客户评估和改善应用西永的中IT安全和业务控制。(国内接近1万人)
行业安全专家(咨询顾问在很多年后沉淀下来成为行业专家)
在某个行业数十年,最后沉淀。行业安全需求调研,行业安全方案推广,行业项目支持,对行业发展把握比较准,能创新的提出发展策略。(能创新并了解发展趋势,带着客户走。)
实施维护类:实施工程师、维护工程师
甲方
乙方:有技术、产品、有解决方案,更关注行业、技术等,保障企业利益
X方:标准制定机构,处于中立地位的机构,监管机构等
四类主体岗位群:
管理、技术、销售、运维
管理类职业群:行业监管标准的执行,合规标准;管理实践;系统方法进行指导
技术类职业群:技术开发类职业群,技术运维类职业群(核心是对业务的需求和理解)
职业类型:
信息安全咨询师,信息安全测评师,信息安全服务人员,信息安全运维人员,信息安全方案架构师,安全产品开发工程师,安全策略工程师、培训讲师、漏洞挖掘、攻防测试
咨询顾问一般需要以下技能:
熟悉各类安全标准--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
3、CSO首席安全官
负责整个机构的安全运行状态,物理安全信息安全等。(在很多企业甚至是合伙人之一)互联网金融、银行等行业都非常重要,外企的信息安全官各个方面都要管。甚至业务安全、反欺诈和隐私保护等等,到犯罪的问题都要管。
涉及到公共安全等问题,已经进入公司的决策层。
超脱技术,从更高的层次去理解。本身是一个高级管理层。
贴近业务的工程师,懂业务还懂安全。产品的设计有没有问题,用户体验有没有问题。要深入到某一具体产品中去。
乙方:
安全服务工程师
审计:CISA(信息系统审计师,中国不到1万人)
标准:ISO27001等级保护【含量高】
运维:ITIL(IT服务管理的最佳实践)
内控:Cobit5.0
项目:传统PMP,prince2(适合IT项目管理)、CMMI
信息安全管理岗位发展路径
信息安全技术岗位职业锚
信息安全技术岗位群
甲方:
安全运维工程师
运维层面的安全,对主机、网络、数据库、应用系统、数据等进行安全检查,策略配置等等。(对思科路由器、防火墙设备、操作系统等等,各种安全产品的维护等等)安全监控、日志分析、应急响应处理。(压力也比较大,岗位需求比较大)
IT服务管理:ITIL(IT运维的)
2、行业安全
行业监管要求和标准:不同行业有不同的监管标准
行业主要业务与应用:了解这个行业的业务(了解银行的业务,他们是干什么的。)每个行业的架构都不一样。
行业从业经验:在一个行业有经验,在银行或者其他进行沉淀,不要在行业之间随便跳。
3、企业管理(CSO、行业专家)
安全开发
安全应用系统开发,对全生命周期的支持,不仅懂安全还要懂开发,要懂测试,会编写软件。(1个人负责几百个人的安全开发,要使用自动化工具),开发安全防护组件供其直接调用。
渗透测试
大型的企业,会设置专门的测试部门。定期对基础设施和应用系统进行安全扫描和渗透测试,对漏洞的整改进行跟踪和支持等等。(直接承担任务,不用去上班。白帽子加加班就能挣钱。全国有几千人。)
国家的政策有时候会请行业专家来听听他们的意见。
专业能力要求
(一开始很难做,要有一定的技术,才能跳出来看,对安全有全局性的了解)
1、安全体系架构
安全管理标准:ISO27001
安全合规标准:等级保护
企业IT架构:TOGAF(对企业有整体的了解)
IT内控体系:cobit
软件开发管理:CMMI(IT开发的)
(甲方安全的最高位置)
金融安全:1道防线技术部门,2道防线安全风险部门,3道防线审计
乙方:以服务客户为主
安全咨询顾问
卖的是经验和脑子,帮客户发现问题解决问题。要有整套的方法论。
帮客户进行合规性工作,安全规划、等级保护、安全体系建设等。安全解决方案设计。对客户进行安全培训、售前交流等。
要有一定中立性,不是一去了就卖产品。帮客户以更少的投入解决问题。(要求很高,很高的工作背景,技术,表达能力等等。30岁左右才能从事这个行业)
咨询体系--企业经营管理,流程管理,人力资源管理,信息战略,法律法规
基本技能--沟通表达、文档、项目管理
技术体系--All above(不要因为我说了这句话趋之若鹜哦)
分类:
市场销售类:销售员、营销人员
顾问咨询类:售前工程师、咨询顾问
管理类:内控审计师、信息安全管理
技术实现类:开发工程师、渗透测试
开发管理类:项目经理、技术总监
大型企业,体系化的。有时候配合乙方进行企业安全建设。
职责:安全规划、需要多少钱多少人、制定相关安全制度,提出相应安全要求。参照ISO27000级内控等。(还是比较难的)
督促实施,检查各项信息安全制度、体系文件和策略落实情况。(在企业内部地位还可以)
2、信息安全经理
大型企业,会设安全处,是处长级别。不仅了解企业内部动态,设置规章制度。而且要和监管机构、行业主管部门、上级进行沟通,了解他们对安全的要求。对沟通能力,全局观有要求。定期组织各个部门进行风险评估,针对问题制定相关措施。对技术也要有所了解。很多技术活都要去做。(实干型的在企业中承担重要职责的岗位)
开发:语言、工具、思路、需求理解
运维:系统分析、运维思想、操作技能、流程管理
营销类职业群:(通常在乙方,向人提供产品技术),在什么情景下使用什么技术解决什么问题。传播、方案、场景、市场。有技术基础,又有良好的表达能力。
销售类职业群:关系+价值
信息安全管理岗位职业锚
甲方:以服务自己为主
1、安全体系管理员
治理、风险与合规
公司战略与业务管理(紧紧地贴到公司的业务上)
人力、财务、法律
(对细节更了解)
信息安全管理岗位的专业认证
安全:Security+(全球有几十万人,面向技术操作)、CISP【高】(国内安全方面顶级认证,国内1万人左右)、CISSP
【高】(国际顶尖的认证,全球有10万人左右)
【全面但不深入,比较适合管理岗位,什么都知道】
IT审计师
业务依赖信息系统,系统一旦受损会影响公司。执行IT风险评估和审计,对应用程序控制和安全控制审查等。
应用逻辑设计不合理等等。协助客户评估和改善应用西永的中IT安全和业务控制。(国内接近1万人)
行业安全专家(咨询顾问在很多年后沉淀下来成为行业专家)
在某个行业数十年,最后沉淀。行业安全需求调研,行业安全方案推广,行业项目支持,对行业发展把握比较准,能创新的提出发展策略。(能创新并了解发展趋势,带着客户走。)
实施维护类:实施工程师、维护工程师
甲方
乙方:有技术、产品、有解决方案,更关注行业、技术等,保障企业利益
X方:标准制定机构,处于中立地位的机构,监管机构等
四类主体岗位群:
管理、技术、销售、运维
管理类职业群:行业监管标准的执行,合规标准;管理实践;系统方法进行指导
技术类职业群:技术开发类职业群,技术运维类职业群(核心是对业务的需求和理解)
职业类型:
信息安全咨询师,信息安全测评师,信息安全服务人员,信息安全运维人员,信息安全方案架构师,安全产品开发工程师,安全策略工程师、培训讲师、漏洞挖掘、攻防测试
咨询顾问一般需要以下技能:
熟悉各类安全标准--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
3、CSO首席安全官
负责整个机构的安全运行状态,物理安全信息安全等。(在很多企业甚至是合伙人之一)互联网金融、银行等行业都非常重要,外企的信息安全官各个方面都要管。甚至业务安全、反欺诈和隐私保护等等,到犯罪的问题都要管。
涉及到公共安全等问题,已经进入公司的决策层。
超脱技术,从更高的层次去理解。本身是一个高级管理层。