《信息安全职业类型分析信息安全职业发展规划参考.docx》由会员分享,可在线阅读,更多相关《信息安全职业类型分析信息安全职业发展规划参考.docx(14页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全职业类型分析信息安全职业发展规划参考职业类型:信息安全咨询师,信息安全测评师,信息安全服务人员,信息安全运维人员,信息安全方案架构师,安全产品开发工程师,安全策略工程师、培训讲师、漏洞挖掘、攻防测试咨询参谋一般需要下面技能:熟悉各类安全标准-BS7799,ISO13335,CC,SSE-CMM,IATF,SP800相关的知识领域ITGovernance,ITIL/ITSM,MOF,COBIT,SOA,COSO咨询体系-企业经营管理,流程管理,人力资源管理,信息战略,法律法规基本技能-沟通表达、文档、项目管理技术体系-Allabove不要由于我讲了这句话趋之若鹜哦分类:市场销售类:销售员
2、、营销人员参谋咨询类:售前工程师、咨询参谋管理类:内控审计师、信息安全管理技术实现类:开发工程师、浸透测试开发管理类:项目经理、技术总监施行维护类:施行工程师、维护工程师甲方乙方:有技术、产品、有解决方案,更关注行业、技术等,保障企业利益X方:标准制定机构,处于中立地位的机构,监管机构等四类主体岗位群:管理、技术、销售、运维管理类职业群:行业监管标准的执行,合规标准;管理实践;系统方法进行指导技术类职业群:技术开发类职业群,技术运维类职业群核心是对业务的需求和理解开发:语言、工具、思路、需求理解运维:系统分析、运维思想、操作技能、流程管理营销类职业群:通常在乙方,向人提供产品技术,在什么情景下
3、使用什么技术解决什么问题。传播、方案、场景、市场。有技术基础,又有良好的表达能力。销售类职业群:关系+价值信息安全管理岗位职业锚甲方:以服务本人为主1、安全体系管理员大型企业,体系化的。有时候配合乙方进行企业安全建设。职责:安全规划、需要多少钱多少人、制定相关安全制度,提出相应安全要求。参照ISO27000级内控等。还是比拟难的催促施行,检查各项信息安全制度、体系文件和策略落实情况。在企业内部地位还能够2、信息安全经理大型企业,会设安全处,是处长级别。不仅了解企业内部动态,设置规章制度。而且要和监管机构、行业主管部门、上级进行沟通,了解他们对安全的要求。对沟通能力,全局观有要求。定期组织各个部
4、门进行风险评估,针对问题制定相关措施。对技术也要有所了解。很多技术活都要去做。实干型的在企业中承当重要职责的岗位3、CSO首席安全官负责整个机构的安全运行状态,物理安全信息安全等。在很多企业甚至是合伙人之一互联网金融、银行等行业都非常重要,外企的信息安全官各个方面都要管。甚至业务安全、反欺诈和隐私保护等等,到犯罪的问题都要管。涉及到公共安全等问题,已经进入公司的决策层。超脱技术,从更高的层次去理解。本身是一个高级管理层。甲方安全的最高位置金融安全:1道防线技术部门,2道防线安全风险部门,3道防线审计乙方:以服务客户为主安全咨询参谋卖的是经历和脑子,帮客户发现问题解决问题。要有整套的方法论。帮客
5、户进行合规性工作,安全规划、等级保护、安全体系建设等。安全解决方案设计。对客户进行安全培训、售前沟通等。要有一定中立性,不是一去了就卖产品。帮客户以更少的投入解决问题。要求很高,很高的工作背景,技术,表达能力等等。30岁左右才能从事这个行业IT审计师业务依靠信息系统,系统一旦受损会影响公司。执行IT风险评估和审计,对应用程序控制和安全控制审查等。应用逻辑设计不合理等等。协助客户评估和改善应用西永的中IT安全和业务控制。国内接近1万人行业安全专家咨询参谋在很多年后沉淀下来成为行业专家在某个行业数十年,最后沉淀。行业安全需求调研,行业安全方案推广,行业项目支持,对行业发展把握比拟准,能创新的提出发
6、展策略。能创新并了解发展趋势,带着客户走。国家的政策有时候会请行业专家来听听他们的意见。专业能力要求一开场很难做,要有一定的技术,才能跳出来看,对安全有全局性的了解1、安全体系架构安全管理标准:ISO27001安全合规标准:等级保护企业IT架构:TOGAF对企业有整体的了解IT内控体系:cobit软件开发管理:CMMIIT开发的IT服务管理:ITILIT运维的2、行业安全行业监管要求和标准:不同行业有不同的监管标准行业主要业务与应用:了解这个行业的业务了解银行的业务,他们是干什么的。每个行业的架构都不一样。行业从业经历:在一个行业有经历,在银行或者其他进行沉淀,不要在行业之间随意跳。3、企业管
7、理CSO、行业专家治理、风险与合规公司战略与业务管理紧紧地贴到公司的业务上人力、财务、法律对细节更了解信息安全管理岗位的专业认证安全:Security+全球有几十万人,面向技术操作、CISP【高】国内安全方面顶级认证,国内1万人左右、CISSP【高】国际顶尖的认证,全球有10万人左右【全面但不深化,比拟合适管理岗位,什么都知道】审计:CISA信息系统审计师,中国不到1万人标准:ISO27001等级保护【含量高】运维:ITILIT服务管理的最佳实践内控:Cobit5.0项目:传统PMP,prince2合适IT项目管理、CMMI信息安全管理岗位发展途径信息安全技术岗位职业锚信息安全技术岗位群甲方:
8、安全运维工程师运维层面的安全,对主机、网络、数据库、应用系统、数据等进行安全检查,策略配置等等。对思科路由器、防火墙设备、操作系统等等,各种安全产品的维护等等安全监控、日志分析、应急响应处理。压力也比拟大,岗位需求比拟大安全开发安全应用系统开发,对全生命周期的支持,不仅懂安全还要懂开发,要懂测试,会编写软件。1个人负责几百个人的安全开发,要使用自动化工具,开发安全防护组件供其直接调用。浸透测试大型的企业,会设置专门的测试部门。定期对基础设施和应用系统进行安全扫描和浸透测试,对漏洞的整改良行跟踪和支持等等。直接承当任务,不用去上班。白帽子加加班就能挣钱。全国有几千人。业务安全贴近业务的工程师,懂
9、业务还懂安全。产品的设计有没有问题,用户体验有没有问题。要深化到某一详细产品中去。乙方:安全服务工程师施行信息安全风险评估、浸透测试、安全加固、漏洞扫描、基线检查、安全巡检等。负责客户安全事件的应急响应支持。安全培训,讲解安全服务。安全事件之后,调用安全服务工程师到现场。甚至驻场到甲方。同安全运营类似。做安全服务一般知识面比拟宽。售前工程师核心目的,把公司产品卖出去。了解客户安全需求,使用公司产品去解决问题。配合销售人员介入投标项目,完成整个投标经过;跟用户进行现场沟通。工作量比拟大,技术和沟通能力要强,现场反响能要求高。对产品要熟悉。技术能力基本不需要,更多的是沟通能力,演讲能力,理解能力。
10、能够转成安全参谋。施行工程师产品施行工程师,技能要求比拟低,懂原理安装培训就能够了。一般工作年限刚毕业一两年。比拟辛苦,常在机房泡着,入行的时候会选择。之后转成售前、安全服务、安全参谋选择产品线长的,大的厂商。薪资也不是很高。1个售前要有5个施行。岗位需求大点。研究工程师漏洞挖掘等大型厂商有安全研究队伍。跟踪国内外最新安全技术,对漏洞构成规则库,负责各种网络系统应用和设备的安全攻击和防御技术研究,负责安全漏洞挖掘与分析相关技术研究及工具开发。人数不多,但要精。大厂商能够承当国家级课题。待遇高,要求高,岗位需求低信息安全技术岗位专业能力要求基础设施安全:会配置最少数据库安全系统安全网络安全应用安
11、全:编程能力web应用安全移动应用安全业务应用安全安全产品:动手能力,全方位了解产品边界防护类:防火墙、防毒、入情监测、VPN等两三年来了解,从产品一个一个学内网防护类:终端安全、账户安全、数据安全等安全攻防类:漏洞扫描、日志审计、SIEM事件分析等攻防能力:几年时间不断地实践,能深入理解黑客是怎么回事浸透测试逆向工程取证分析信息安全技术认证网络:思科认证系统:RHCE、UNIX、Windows数据库:OCP攻防:CEH道德黑客对英文要求比拟高,没有中文考试安全:Security+、CISP、CISSP详细职业岗位漏洞挖掘/安全技术研究人员:漏洞挖掘、安全技术研究将结果转化为商业价值安全产品开
12、发:能开发安全的软件的程序员产品工程师,厂商的技术人员一般对自有产品做售后支持,对技术要求一般,有一定的系统、网络基础,熟练部署产品即可,测试和问题解决能力比拟重要技术参谋/售前工程师,了解本人的产品和解决方案非常熟悉,侧重于架构/方案设计。表达能力、文档能力、售前工程能力投标、销售推介等,有多年工作经历,有售后或研发背景,对特定的行业了解能加强竞争力,如能对专业安全技术服务及咨询服务有所把握,会使你的知识背景更强势,项目管理技能也是必要的。安全服务工程师,产品选型和部署是相对简单的,专业的安全服务。对技术理解并且有管理和项目知识。沟通、表达能力也是必须的。安全架构师,售前和服务工程师都是要写
13、整体的解决方案的,但没有架构师的技术高度,需要了解安全趋势和客户的整体安全需求,既有深度又有广度,需要较多的经历和技术。信息安全咨询参谋,熟悉各类安全标准-BS7799,ISO13335,CC,SSE-CMM,IATF,SP800相关的知识领域ITGovernance,ITIL/ITSM,MOF,COBIT,SOA,COSO咨询体系-企业经营管理,流程管理,人力资源管理,信息战略,法律法规基本技能-沟通表达、文档、项目管理技术体系-Allabove不要由于我讲了这句话趋之若鹜哦CHO,首席黑客官,反黑客能力也非常强CSO,首席信息安全观,较大的组织才会有。高级咨询参谋到了甲方可以是CSO知识体系技术体系:对攻防的理解、操作系统、网络、应用、数据库等、协议。研究偏底层,架构偏网络管理体系:各种技术、标准,审核标准,传统管理学大集合、咨询和审计需求理解、表达沟通、文档、演讲、项目管理、销售技能