職業(yè)類型:信息安全咨詢師，信息安全測(cè)評(píng)師，信息安全服務(wù)人員，信息安全運(yùn)維人員，信息安全方案架構(gòu)師，安全產(chǎn)品開(kāi)發(fā)工程師，安全策略工程師、培訓(xùn)講師、漏洞挖掘、攻防測(cè)試咨詢顧問(wèn)一般需要以下技能:熟悉各類安全標(biāo)準(zhǔn)--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……—ITGovernance，ITIL/ITSM，MOF,COBIT,SOA,COSO……咨詢體系-—企業(yè)戰(zhàn)略，法律法規(guī)-—溝通表達(dá)、技術(shù)體系-—Allabove（不要相關(guān)的知識(shí)領(lǐng)域經(jīng)營(yíng)管理，流程管理，人力資源管理，信息基本技能文檔、項(xiàng)目管理因?yàn)槲艺f(shuō)了這句話趨之若鶩哦）分類：市場(chǎng)銷售類：銷售員、營(yíng)銷人員顧問(wèn)咨詢類：售前工程師、咨詢顧問(wèn)管理類：內(nèi)控審計(jì)師、信息安全管理技術(shù)實(shí)現(xiàn)類：項(xiàng)目經(jīng)理、技術(shù)總監(jiān):實(shí)施工程師、維護(hù)工程師：開(kāi)發(fā)工程師、滲透測(cè)試開(kāi)發(fā)管理類實(shí)施維護(hù)類方甲乙方:有技術(shù)、產(chǎn)品、有解決方案X方：標(biāo)準(zhǔn)制定機(jī)構(gòu)，處于中立地位的機(jī)構(gòu),監(jiān)管機(jī)構(gòu)等,更關(guān)注行業(yè)、技術(shù)等，保障企業(yè)利益四類主體崗位群：管理、技術(shù)、銷售、運(yùn)維

管理類職業(yè)群:行業(yè)監(jiān)管標(biāo)準(zhǔn)的執(zhí)行，合規(guī)標(biāo)準(zhǔn)；管理實(shí)踐；系統(tǒng)方法進(jìn)行指導(dǎo)技術(shù)類職業(yè)群：技術(shù)開(kāi)發(fā)類職業(yè)群,技術(shù)運(yùn)維類職業(yè)群（核心是對(duì)業(yè)務(wù)的需求和理解）開(kāi)發(fā)：語(yǔ)言、工具、思路、需求理解運(yùn)維：系統(tǒng)分析、運(yùn)維思想、操作技能、流程管理營(yíng)銷類職業(yè)群：（通常在乙方,向人提供產(chǎn)品技術(shù)），在什么情景下使用什么技術(shù)解決什么問(wèn)題。傳播、方案、場(chǎng)景、市場(chǎng)。有技術(shù)基礎(chǔ),又有良好的表達(dá)能力。銷售類職業(yè)群:關(guān)系+價(jià)值信息安全管理崗位職業(yè)錨甲方：以服務(wù)自己為主1、安全體系管理,體系化的。有時(shí)候配合乙方進(jìn)行企業(yè)安全建設(shè)。員大型企業(yè)職責(zé)：制定相關(guān)安全制度，提出相應(yīng)安全要求。參照ISO27000安全規(guī)劃、需要多少錢多人少、級(jí)內(nèi)控等.（還是比較難的）督促實(shí)施，檢查各項(xiàng)信息安全制度、體系文件和策略落實(shí)情況。(在企業(yè)內(nèi)部地位還可以）2、信息安全經(jīng)理大型企業(yè)，會(huì)設(shè)安全處,是處長(zhǎng)級(jí)別。不僅了解企業(yè)內(nèi)部動(dòng)態(tài)，設(shè)置規(guī)章制度.而且要和監(jiān)管機(jī)構(gòu)、行業(yè)主管部門、上級(jí)進(jìn)行溝通，了解他們對(duì)安全的.對(duì)溝通能力,全局觀有要求。定期組織各個(gè)部門進(jìn)行風(fēng)險(xiǎn)評(píng)估，針對(duì)問(wèn)題制定相關(guān)措施。對(duì)技術(shù)也要有所了解。很多技術(shù)活都要去做。(實(shí)干型的在企業(yè)中承擔(dān)重要職要求責(zé)的崗位）3、CSO首席安全官負(fù)責(zé)整個(gè)機(jī)構(gòu)的安全運(yùn)行狀態(tài)，物理安全信息安全等。（在很多企業(yè)甚至是合伙人之一）

互聯(lián)網(wǎng)金融、銀行等行業(yè)都非常重要，外企的信息安全官各個(gè)方面都要管.甚至業(yè)務(wù)安全、反欺詐和隱私保護(hù)等等，到犯罪的問(wèn)題都要管。涉及到公共安全等問(wèn)題，已經(jīng)進(jìn)入公司的決策層。超脫技術(shù)，從更高的層次去理解。本身是一個(gè)高級(jí)管理層。(甲方安全的最高位置)金融安全：1道防線技術(shù)部門，2道防線安全風(fēng)險(xiǎn)部門，3道防線審計(jì)乙方：以服務(wù)客戶為主安全咨詢顧問(wèn)賣的是經(jīng)驗(yàn)和腦子，幫客戶發(fā)現(xiàn)問(wèn)題解決問(wèn)題.要有整套的方法論.幫客戶進(jìn)行合規(guī)性工作，安全規(guī)劃、等級(jí)保護(hù)、安全體系建設(shè)等.安全解決方案設(shè)計(jì)。對(duì)客戶進(jìn)行安全培訓(xùn)、售前交流等。要有一定中立性，不是一去了就賣產(chǎn)品。幫客戶以更少的投入解決問(wèn)題。(要求很高,很高的工作背景，技術(shù)，表達(dá)能力等等。30歲左右才能從事這個(gè)行業(yè)）IT審計(jì)師業(yè)務(wù)依賴信息系統(tǒng)，系統(tǒng)一旦受損會(huì)影響公司。執(zhí)行IT風(fēng)險(xiǎn)評(píng)估和審計(jì),對(duì)應(yīng)用程序控制和安全控制審查等。應(yīng)用邏輯設(shè)計(jì)不合理等等。協(xié)助客戶評(píng)估和改善應(yīng)用西永的中IT安全和業(yè)務(wù)控制。（國(guó)內(nèi)接近1萬(wàn)人）行業(yè)安全專家(咨詢顧問(wèn)在很多年后沉淀下來(lái)成為行業(yè)專家)在某個(gè)行業(yè)數(shù)十年，最后沉淀.行業(yè)安全需求調(diào)研，行業(yè)安全方案推廣，行業(yè)項(xiàng)目支持，對(duì)行業(yè)發(fā)展把握比較準(zhǔn),能創(chuàng)新的提出發(fā)展策略。（能創(chuàng)新并了解發(fā)展趨勢(shì),帶著客戶走。）國(guó)家的政策有時(shí)候會(huì)請(qǐng)行業(yè)專家來(lái)聽(tīng)聽(tīng)他們的意見(jiàn)。

專業(yè)能力要求(一開(kāi)始很難做，要有一定的技術(shù)，才能跳出來(lái)看,對(duì)安全有全局性的了解)1、安全體系架構(gòu)安全管理標(biāo)準(zhǔn)：ISO27001安全合規(guī)標(biāo)準(zhǔn)：等級(jí)保護(hù)企業(yè)IT架構(gòu)：TOGAF(對(duì)企業(yè)有整體的了解)IT內(nèi)控體系：cobit軟件開(kāi)發(fā)管理：CMMI(IT開(kāi)發(fā)的IT服務(wù)管理：ITIL(IT運(yùn)維的)）2、行業(yè)安全行業(yè)監(jiān)管要求和標(biāo)準(zhǔn)：不同行業(yè)有不同的監(jiān)管標(biāo)準(zhǔn)行業(yè)主要業(yè)務(wù)與應(yīng)用：了解這個(gè)行業(yè)的業(yè)務(wù)（了解銀行的業(yè)務(wù),他們是干什么的。）每個(gè)行業(yè)的架構(gòu)都不一樣.行業(yè)從業(yè)經(jīng)驗(yàn)：在一個(gè)行業(yè)有經(jīng)驗(yàn),在銀行或者其他進(jìn)行沉淀，不要在行業(yè)之間隨便跳.3、企業(yè)管理（CSO、行業(yè)專家）治理、風(fēng)險(xiǎn)與合規(guī)公司戰(zhàn)略與業(yè)務(wù)管理(緊緊地貼到公司的業(yè)務(wù)上）人力、財(cái)務(wù)、法律（對(duì)細(xì)節(jié)更了解）信息安全管理崗位的專業(yè)認(rèn)證安全：Security+（全球有幾十萬(wàn)人，面向技術(shù)操）作、CISP【高】（國(guó)內(nèi)安全方面頂級(jí)認(rèn)證，國(guó)內(nèi)1萬(wàn)人左右）、CISSP

【高】（國(guó)際頂尖的認(rèn)證，全球有10萬(wàn)人左右）,什么都知道】,中國(guó)不到1萬(wàn)人）標(biāo)準(zhǔn)：ISO27001等級(jí)保護(hù)【含量高】ITIL（IT服務(wù)管理的最佳實(shí)踐）內(nèi)控:Cobit5.0PMP,prince2（適合安全管理崗位發(fā)展路徑【全面但不深入，比較適合管理崗位審計(jì):CISA（信息系統(tǒng)審計(jì)師運(yùn)維：項(xiàng)目：傳統(tǒng)IT項(xiàng)目管理）、CMMI信息信息安全技術(shù)崗位職業(yè)錨信息安全技術(shù)崗位群甲方：安全運(yùn)維工程師運(yùn)維層面的安全，對(duì)主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、數(shù)據(jù)等進(jìn)行安全檢查,策略配置.(對(duì)思科路由器、防火墻設(shè)備、操作系統(tǒng)等等，各種安全產(chǎn)品的維護(hù)等等)安全監(jiān)控、日。(壓力也比較大，崗位需求比較大）等等志分析、應(yīng)急響應(yīng)處理安全開(kāi)發(fā)安全應(yīng)用系統(tǒng)開(kāi)發(fā)，對(duì)全生命周期的支持，不僅懂安全還要懂開(kāi)發(fā)，要懂測(cè)試，會(huì)編寫軟件。（1個(gè)人負(fù)責(zé)幾百個(gè)人的安全開(kāi)發(fā),要使用自動(dòng)化工具)，開(kāi)發(fā)安全防護(hù)組件供其直接調(diào)用。滲透測(cè)試大型的企業(yè),會(huì)設(shè)置專門的測(cè)試部門.定期對(duì)基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)試，對(duì)漏洞的整改進(jìn)行跟蹤和支持等等。（直接承擔(dān)任務(wù)，不用去上班。白帽子加加班就能掙錢。全國(guó)有幾千人。）進(jìn)行安全掃描和滲透測(cè)

業(yè)務(wù)安全貼近業(yè)務(wù)的工程師，懂業(yè)務(wù)還懂安全。產(chǎn)品的設(shè)計(jì)有沒(méi)有問(wèn)題，用戶體驗(yàn)有沒(méi)有問(wèn)題。要深入到某一具體產(chǎn)品中去.乙方：安全服務(wù)工程師實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試、安全加固、漏洞掃描、基線檢查、安全巡檢等.負(fù)責(zé)客戶安全事件的應(yīng)急響應(yīng)支持.安全培訓(xùn)，講解安全服務(wù)。（安全事件之后,調(diào)用安全服務(wù)工般知識(shí)面比較寬.）程師到現(xiàn)場(chǎng)。甚至駐場(chǎng)到甲方。同安全運(yùn)營(yíng)類似。做安全服務(wù)一售前工程師核心目標(biāo)，把公司產(chǎn)品賣出去。了解客戶安全需求，使用公司產(chǎn)品去解決問(wèn)題。配合銷售人員參與投標(biāo)項(xiàng)目，完成整個(gè)投標(biāo)過(guò)程；跟用戶進(jìn)行現(xiàn)場(chǎng)交流。（工作量比較大，技術(shù)和溝通能力要強(qiáng)，現(xiàn)場(chǎng)反應(yīng)能要求高。對(duì)產(chǎn)品要熟悉。技術(shù)能力基本不需要，更多的是溝通能力，演講能力，理解能力?？梢赞D(zhuǎn)成安全顧問(wèn)。）實(shí)施工程師產(chǎn)品實(shí)施工程師，技能要求比較低，懂原理安裝培訓(xùn)就可以了。(一般工作年限剛畢業(yè)一兩年。比較辛苦，常在機(jī)房泡著,入行的時(shí)候會(huì)選擇.之后轉(zhuǎn)成售前、安全服務(wù)顧問(wèn)）選擇產(chǎn)品線長(zhǎng)的，大的廠商。薪資也不是很高.1個(gè)售前要有5個(gè)實(shí)施.崗位需求大點(diǎn).、安全研究工程師(漏洞挖掘等）大型廠商有安全研究隊(duì)伍.跟蹤國(guó)內(nèi)外最新安全技術(shù)，對(duì)漏洞形成規(guī)則庫(kù)，負(fù)責(zé)各種網(wǎng)絡(luò)系統(tǒng)應(yīng)用和設(shè)備的安全攻擊和防御技術(shù)研究，負(fù)責(zé)安全漏洞挖掘與分析相關(guān)技術(shù)研究及工具開(kāi)發(fā)。（人數(shù)不多，但要精.大廠商能夠承擔(dān)國(guó)家級(jí)課題.待遇高，要求高，崗位需求低）信息安全技術(shù)崗位專業(yè)能力要求基礎(chǔ)設(shè)施安全：（會(huì)配置起碼）

數(shù)據(jù)庫(kù)安全系統(tǒng)安全網(wǎng)絡(luò)安全應(yīng)用安全：（編程能力）web應(yīng)用安全移動(dòng)應(yīng)用安全業(yè)務(wù)應(yīng)用安全安全產(chǎn)品：（動(dòng)手能力，全方位了解產(chǎn)品）邊界防護(hù)類：防火墻、防毒、入情監(jiān)測(cè)、VPN等（兩三年來(lái)了解，從產(chǎn)品一個(gè)一個(gè)學(xué)）:終端安全漏洞掃描、日志審計(jì)、SIEM事件分析等內(nèi)網(wǎng)防護(hù)類、賬戶安全、數(shù)據(jù)安全等安全攻防類：攻防能力:（幾年時(shí)間不斷地實(shí)踐,能深刻理解黑客是怎么回事)滲透測(cè)試逆向工程取證分析信息安全技術(shù)認(rèn)證網(wǎng)絡(luò)：思科認(rèn)證系統(tǒng)：RHCE、UNIX、Windows數(shù)據(jù)庫(kù)：OCP攻防：CEH道德黑客（對(duì)英文要求比較高，沒(méi)有中文考試)安全:Security+、CISP、CISSP

具體職業(yè)崗位漏洞挖掘/安全技術(shù)研究人員：漏洞挖掘、安全技術(shù)研究將結(jié)果轉(zhuǎn)化為商業(yè)價(jià)值安全產(chǎn)品開(kāi)發(fā):能開(kāi)發(fā)安全的軟件的程序員產(chǎn)品工程師，廠商的技術(shù)人員一般對(duì)自有產(chǎn)品做售后支持,對(duì)技術(shù)要求一般，有一定的系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)，熟練部署產(chǎn)品即可，測(cè)試和問(wèn)題解決能力比較重要技術(shù)顧問(wèn)/售前工程師,了解自己的產(chǎn)品和解決方案非常熟悉，偏重于架構(gòu)/方案設(shè)計(jì)。表達(dá)能力、文檔能力、售前工程能力（投標(biāo)、銷售推介等）,有多年工作經(jīng)驗(yàn)，有售后或研發(fā)背景，對(duì)特定的行業(yè)了解能增強(qiáng)競(jìng)爭(zhēng)力，如能對(duì)專業(yè)安全技術(shù)服務(wù)及咨詢服務(wù)有所掌握，會(huì)使你的知識(shí)背景更強(qiáng)勢(shì),項(xiàng)目管理技能也是必要的.安全服務(wù)工程師，產(chǎn)品選型和部署是相對(duì)簡(jiǎn)單的,專業(yè)的安全服務(wù)。對(duì)技術(shù)理解并且有和項(xiàng)目知識(shí)。溝通、表達(dá)能力也是必須的。管理安全架構(gòu)師,售前和服務(wù)工程師都是要寫整體的解決方案的,但沒(méi)有架構(gòu)師的技術(shù)高度,需要了解安全趨勢(shì)和客戶的整體安全需求，既有深度又有廣度,需要較多的經(jīng)驗(yàn)和技術(shù)。信息安全咨詢顧問(wèn)，熟悉各類安全標(biāo)準(zhǔn)——BS7799，ISO13335，CC，SSE—CMM，IATF，SP800……相關(guān)的知識(shí)領(lǐng)域-ITGovernance，ITIL/ITSM，MOF,COBIT,SOA，COSO……—-企業(yè)經(jīng)營(yíng)管理，流程管理，人力資源管理,信息戰(zhàn)略,法律法規(guī)基