(最新整理)信息安全職業(yè)類型分析(信息安全職業(yè)發(fā)展規(guī)劃參考)

1、(完整)信息安全職業(yè)類型分析(信息安全職業(yè)發(fā)展規(guī)劃參考)(完整)信息安全職業(yè)類型分析(信息安全職業(yè)發(fā)展規(guī)劃參考) 編輯整理：尊敬的讀者朋友們：這里是精品文檔編輯中心，本文檔內(nèi)容是由我和我的同事精心編輯整理后發(fā)布的，發(fā)布之前我們對文中內(nèi)容進行仔細校對，但是難免會有疏漏的地方，但是任然希望（(完整)信息安全職業(yè)類型分析(信息安全職業(yè)發(fā)展規(guī)劃參考)）的內(nèi)容能夠給您的工作和學習帶來便利。同時也真誠的希望收到您的建議和反饋，這將是我們進步的源泉，前進的動力。本文可編輯可修改，如果覺得對您有幫助請收藏以便隨時查閱，最后祝您生活愉快 業(yè)績進步，以下為(完整)信息安全職業(yè)類型分析(信息安全職業(yè)發(fā)展規(guī)劃參考)的

2、全部內(nèi)容。職業(yè)類型:信息安全咨詢師，信息安全測評師，信息安全服務人員,信息安全運維人員，信息安全方案架構師，安全產(chǎn)品開發(fā)工程師，安全策略工程師、培訓講師、漏洞挖掘、攻防測試咨詢顧問一般需要以下技能:熟悉各類安全標準bs7799,iso13335,cc,ssecmm,iatf,sp800相關的知識領域it governance,itil/itsm，mof，cobit,soa，coso咨詢體系-企業(yè)經(jīng)營管理，流程管理，人力資源管理,信息戰(zhàn)略，法律法規(guī)基本技能-溝通表達、文檔、項目管理技術體系-all above（不要因為我說了這句話趨之若鶩哦)分類：市場銷售類：銷售員、營銷人員顧問咨詢類:售前工程

3、師、咨詢顧問管理類:內(nèi)控審計師、信息安全管理技術實現(xiàn)類：開發(fā)工程師、滲透測試開發(fā)管理類:項目經(jīng)理、技術總監(jiān)實施維護類:實施工程師、維護工程師甲方乙方：有技術、產(chǎn)品、有解決方案，更關注行業(yè)、技術等，保障企業(yè)利益x方:標準制定機構,處于中立地位的機構，監(jiān)管機構等四類主體崗位群：管理、技術、銷售、運維管理類職業(yè)群：行業(yè)監(jiān)管標準的執(zhí)行，合規(guī)標準；管理實踐；系統(tǒng)方法進行指導技術類職業(yè)群：技術開發(fā)類職業(yè)群，技術運維類職業(yè)群（核心是對業(yè)務的需求和理解)開發(fā)：語言、工具、思路、需求理解運維：系統(tǒng)分析、運維思想、操作技能、流程管理營銷類職業(yè)群：（通常在乙方,向人提供產(chǎn)品技術），在什么情景下使用什么技術解決什么問

4、題。傳播、方案、場景、市場。有技術基礎，又有良好的表達能力。銷售類職業(yè)群:關系+價值信息安全管理崗位職業(yè)錨甲方：以服務自己為主1、安全體系管理員 大型企業(yè),體系化的。有時候配合乙方進行企業(yè)安全建設。職責：安全規(guī)劃、需要多少錢多少人、制定相關安全制度，提出相應安全要求。參照iso27000級內(nèi)控等。（還是比較難的)督促實施，檢查各項信息安全制度、體系文件和策略落實情況。(在企業(yè)內(nèi)部地位還可以）2、信息安全經(jīng)理 大型企業(yè)，會設安全處，是處長級別。不僅了解企業(yè)內(nèi)部動態(tài)，設置規(guī)章制度。而且要和監(jiān)管機構、行業(yè)主管部門、上級進行溝通，了解他們對安全的要求.對溝通能力，全局觀有要求。定期組織各個部門進行風險

5、評估，針對問題制定相關措施。對技術也要有所了解。很多技術活都要去做。（實干型的在企業(yè)中承擔重要職責的崗位)3、cso首席安全官 負責整個機構的安全運行狀態(tài)，物理安全信息安全等。（在很多企業(yè)甚至是合伙人之一）互聯(lián)網(wǎng)金融、銀行等行業(yè)都非常重要，外企的信息安全官各個方面都要管。甚至業(yè)務安全、反欺詐和隱私保護等等，到犯罪的問題都要管。涉及到公共安全等問題，已經(jīng)進入公司的決策層。超脫技術，從更高的層次去理解.本身是一個高級管理層。（甲方安全的最高位置)金融安全:1道防線技術部門，2道防線安全風險部門，3道防線審計乙方:以服務客戶為主安全咨詢顧問 賣的是經(jīng)驗和腦子,幫客戶發(fā)現(xiàn)問題解決問題.要有整套的方法論

6、.幫客戶進行合規(guī)性工作，安全規(guī)劃、等級保護、安全體系建設等。安全解決方案設計。對客戶進行安全培訓、售前交流等. 要有一定中立性，不是一去了就賣產(chǎn)品.幫客戶以更少的投入解決問題.（要求很高，很高的工作背景，技術，表達能力等等。30歲左右才能從事這個行業(yè)) it審計師 業(yè)務依賴信息系統(tǒng),系統(tǒng)一旦受損會影響公司.執(zhí)行it風險評估和審計，對應用程序控制和安全控制審查等。應用邏輯設計不合理等等。協(xié)助客戶評估和改善應用西永的中it安全和業(yè)務控制.（國內(nèi)接近1萬人）行業(yè)安全專家（咨詢顧問在很多年后沉淀下來成為行業(yè)專家） 在某個行業(yè)數(shù)十年，最后沉淀.行業(yè)安全需求調(diào)研，行業(yè)安全方案推廣,行業(yè)項目支持，對行業(yè)發(fā)展

7、把握比較準，能創(chuàng)新的提出發(fā)展策略。（能創(chuàng)新并了解發(fā)展趨勢，帶著客戶走.）國家的政策有時候會請行業(yè)專家來聽聽他們的意見。專業(yè)能力要求（一開始很難做，要有一定的技術，才能跳出來看,對安全有全局性的了解）1、安全體系架構安全管理標準:iso27001安全合規(guī)標準：等級保護企業(yè)it架構：togaf（對企業(yè)有整體的了解）it內(nèi)控體系：cobit軟件開發(fā)管理：cmmi（it開發(fā)的)it服務管理：itil（it運維的）2、行業(yè)安全行業(yè)監(jiān)管要求和標準:不同行業(yè)有不同的監(jiān)管標準行業(yè)主要業(yè)務與應用：了解這個行業(yè)的業(yè)務（了解銀行的業(yè)務，他們是干什么的。）每個行業(yè)的架構都不一樣。行業(yè)從業(yè)經(jīng)驗：在一個行業(yè)有經(jīng)驗，在銀行

8、或者其他進行沉淀，不要在行業(yè)之間隨便跳.3、企業(yè)管理（cso、行業(yè)專家）治理、風險與合規(guī)公司戰(zhàn)略與業(yè)務管理（緊緊地貼到公司的業(yè)務上）人力、財務、法律（對細節(jié)更了解）信息安全管理崗位的專業(yè)認證安全:security+(全球有幾十萬人，面向技術操作）、cisp【高】（國內(nèi)安全方面頂級認證,國內(nèi)1萬人左右)、cissp【高】(國際頂尖的認證，全球有10萬人左右）【全面但不深入，比較適合管理崗位,什么都知道】審計：cisa（信息系統(tǒng)審計師，中國不到1萬人)標準：iso27001等級保護【含量高】運維:itil（it服務管理的最佳實踐）內(nèi)控：cobit5.0項目:傳統(tǒng)pmp,prince2（適合it項目

9、管理）、cmmi信息安全管理崗位發(fā)展路徑信息安全技術崗位職業(yè)錨信息安全技術崗位群甲方：安全運維工程師 運維層面的安全，對主機、網(wǎng)絡、數(shù)據(jù)庫、應用系統(tǒng)、數(shù)據(jù)等進行安全檢查，策略配置等等.（對思科路由器、防火墻設備、操作系統(tǒng)等等，各種安全產(chǎn)品的維護等等）安全監(jiān)控、日志分析、應急響應處理。(壓力也比較大，崗位需求比較大）安全開發(fā) 安全應用系統(tǒng)開發(fā),對全生命周期的支持，不僅懂安全還要懂開發(fā),要懂測試，會編寫軟件。（1個人負責幾百個人的安全開發(fā)，要使用自動化工具），開發(fā)安全防護組件供其直接調(diào)用。滲透測試 大型的企業(yè)，會設置專門的測試部門.定期對基礎設施和應用系統(tǒng)進行安全掃描和滲透測試,對漏洞的整改進行跟

10、蹤和支持等等。（直接承擔任務，不用去上班.白帽子加加班就能掙錢。全國有幾千人。）業(yè)務安全 貼近業(yè)務的工程師,懂業(yè)務還懂安全。產(chǎn)品的設計有沒有問題，用戶體驗有沒有問題。要深入到某一具體產(chǎn)品中去。乙方：安全服務工程師 實施信息安全風險評估、滲透測試、安全加固、漏洞掃描、基線檢查、安全巡檢等。負責客戶安全事件的應急響應支持。安全培訓，講解安全服務。（安全事件之后，調(diào)用安全服務工程師到現(xiàn)場。甚至駐場到甲方.同安全運營類似。做安全服務一般知識面比較寬。）售前工程師 核心目標，把公司產(chǎn)品賣出去。了解客戶安全需求，使用公司產(chǎn)品去解決問題。 配合銷售人員參與投標項目,完成整個投標過程；跟用戶進行現(xiàn)場交流。（工

11、作量比較大，技術和溝通能力要強,現(xiàn)場反應能要求高。對產(chǎn)品要熟悉.技術能力基本不需要,更多的是溝通能力，演講能力，理解能力?？梢赞D成安全顧問。)實施工程師 產(chǎn)品實施工程師，技能要求比較低，懂原理安裝培訓就可以了。（一般工作年限剛畢業(yè)一兩年。比較辛苦，常在機房泡著，入行的時候會選擇。之后轉成售前、安全服務、安全顧問）選擇產(chǎn)品線長的,大的廠商。薪資也不是很高。1個售前要有5個實施.崗位需求大點.研究工程師(漏洞挖掘等） 大型廠商有安全研究隊伍.跟蹤國內(nèi)外最新安全技術,對漏洞形成規(guī)則庫，負責各種網(wǎng)絡系統(tǒng)應用和設備的安全攻擊和防御技術研究，負責安全漏洞挖掘與分析相關技術研究及工具開發(fā)。（人數(shù)不多，但要精

12、。大廠商能夠承擔國家級課題。待遇高，要求高，崗位需求低）信息安全技術崗位專業(yè)能力要求基礎設施安全：(會配置起碼）數(shù)據(jù)庫安全系統(tǒng)安全網(wǎng)絡安全應用安全:（編程能力）web應用安全移動應用安全業(yè)務應用安全安全產(chǎn)品：（動手能力，全方位了解產(chǎn)品)邊界防護類：防火墻、防毒、入情監(jiān)測、vpn等（兩三年來了解，從產(chǎn)品一個一個學）內(nèi)網(wǎng)防護類：終端安全、賬戶安全、數(shù)據(jù)安全等安全攻防類：漏洞掃描、日志審計、siem事件分析等攻防能力：（幾年時間不斷地實踐，能深刻理解黑客是怎么回事）滲透測試逆向工程取證分析信息安全技術認證網(wǎng)絡：思科認證系統(tǒng)：rhce、unix、windows數(shù)據(jù)庫:ocp攻防:ceh道德黑客（對英文

13、要求比較高，沒有中文考試）安全：security+、cisp、cissp具體職業(yè)崗位漏洞挖掘/安全技術研究人員:漏洞挖掘、安全技術研究將結果轉化為商業(yè)價值安全產(chǎn)品開發(fā)：能開發(fā)安全的軟件的程序員產(chǎn)品工程師，廠商的技術人員一般對自有產(chǎn)品做售后支持,對技術要求一般，有一定的系統(tǒng)、網(wǎng)絡基礎，熟練部署產(chǎn)品即可，測試和問題解決能力比較重要技術顧問/售前工程師,了解自己的產(chǎn)品和解決方案非常熟悉，偏重于架構/方案設計。表達能力、文檔能力、售前工程能力（投標、銷售推介等)，有多年工作經(jīng)驗，有售后或研發(fā)背景,對特定的行業(yè)了解能增強競爭力，如能對專業(yè)安全技術服務及咨詢服務有所掌握，會使你的知識背景更強勢，項目管理技能也是必要的。安全服務工程師，產(chǎn)品選型和部署是相對簡單的，專業(yè)的安全服務。對技術理解并且有管理和項目知識。溝通、表達能力也是必須的.安全架構師，售前和服務工程師都是要寫整體的解決方案的，但沒有架構師的技術高度，需要了解安全趨勢和客戶的整體安全需求，既有深度又有廣度,需要較多的經(jīng)驗和技術。信息安全咨詢顧問,熟悉各類安全標準-bs7799,iso13335，cc，sse-cmm,iatf,sp800相關的知識領域it governance，itil/itsm，mof,cobit,soa，coso咨詢體系-企業(yè)經(jīng)營管理，流程管理，人力資源