信息安全职业类型分析(信息安全职业发展规划参考).pdfVIP

信息安全职业类型分析（信息安全职业发展规划参考）

职业类型：

信息安全咨询师，信息安全测评师，信息安全服务人员，信息安

全运维人员，信息安全方案架构师，安全产品开发工程师，安全策略

工程师、培训讲师、漏洞挖掘、攻防测试

咨询顾问一般需要以下技能：

熟悉各类安全标准--BS7799,ISO13335,CC,SSE-

CMM,IATF,SP800……

相关的知识领域—IT

Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……

咨询体系--企业经营管理，流程管理，人力资源管理，信息战略，

法律法规

基本技能--沟通表达、文档、项目管理

技术体系--Allabove（不要因为我说了这句话趋之若鹜哦）

分类：

市场销售类：销售员、营销人员

顾问咨询类：售前工程师、咨询顾问

管理类：内控审计师、信息安全管理

技术实现类：开发工程师、渗透测试

开发管理类：项目经理、技术总监

实施维护类：实施工程师、维护工程师

甲方

乙方：有技术、产品、有解决方案，更关注行业、技术等，保障

企业利益

X方：标准制定机构，处于中立地位的机构，监管机构等

四类主体岗位群：

管理、技术、销售、运维

管理类职业群：行业监管标准的执行，合规标准；管理实践；系

统方法进行指导

技术类职业群：技术开发类职业群，技术运维类职业群（核心是

对业务的需求和理解）

开发：语言、工具、思路、需求理解

运维：系统分析、运维思想、操作技能、流程管理

营销类职业群：（通常在乙方，向人提供产品技术），在什么情

景下使用什么技术解决什么问题。传播、方案、场景、市场。有技术

基础，又有良好的表达能力。

销售类职业群：关系+价值

信息安全管理岗位职业锚

甲方：以服务自己为主

1、安全体系管理员

大型企业，体系化的。有时候配合乙方进行企业安全建设。

职责：安全规划、需要多少钱多少人、制定相关安全制度，提出

相应安全要求。参照ISO27000级内控等。（还是比较难的）

督促实施，检查各项信息安全制度、体系文件和策略落实情况。

（在企业内部地位还可以）

2、信息安全经理

大型企业，会设安全处，是处长级别。不仅了解企业内部动态，

设置规章制度。而且要和监管机构、行业主管部门、上级进行沟通，

了解他们对安全的要求。对沟通能力，全局观有要求。定期组织各个

部门进行风险评估，针对问题制定相关措施。对技术也要有所了解。

很多技术活都要去做。（实干型的在企业中承担重要职责的岗位）

3、CSO首席安全官

负责整个机构的安全运行状态，物理安全信息安全等。（在很多

企业甚至是合伙人之一）互联网金融、银行等行业都非常重要，外企

的信息安全官各个方面都要管。甚至业务安全、反欺诈和隐私保护等

等，到犯罪的问题都要管。

涉及到公共安全等问题，已经进入公司的决策层。

超脱技术，从更高的层次去理解。本身是一个高级管理层。

（甲方安全的最高位置）

金融安全：1道防线技术部门，2道防线安全风险部门，3道防线

审计

乙方：以服务客户为主

安全咨询顾问

卖的是经验和脑子，帮客户发现问题解决问题。要有整套的方法

论。

帮客户进行合规性工作，安全规划、等级保护、安全体系建设等。

安全解决方案设计。对客户进行安全培训、售前交流等。

要有一定中立性，不是一去了就卖产品。帮客户以更少的投入解

决问题。（要求很高，很高的工作背景，技术，表达能力等等。30岁

左右才能从事这个行业）

IT审计师

业务依赖信息系统，系统一旦受损会影响公司。执行IT风险评估

和审计，对应用程序控制和安全控制审查等。

应用逻辑设计不合理等等。协助客户评估和改善应用西永的中IT

安全和业务控制。（国内接近1万人）

行业安全专家（咨询顾问在很多年后沉淀下来成为行业专家）

在某个行业数十年，最后沉淀。行业安全需