信息安全人员从业指南信息安全人员从业指南 TT安全技术专题之“信息安全人员从业指南” Page 2 of 39 信息安全人员从业指南信息安全人员从业指南 随着黑客的攻击越来越广泛，企业信息安全问题也越来越突出。随着这种趋势不断增 加，信息安全职务将变得越来越有价值，行业竞争也日趋激烈。职业管理、职业发展和职 业规划在决定未来发展道路上正变得越来越重要。本技术手册将为您介绍信息安全职业、 信息安全人员职业规划、信息安全行业薪酬问题，以及信息安全人员的职业生涯抉择。我 相信这不仅仅是针对信息安全人员的从业指南，IT 界的工作者都可以借鉴。 信息安全职业介绍信息安全职业介绍 在信息技术职业中，信息安全正日益成为流行的职业选择。由于需要各种不同的技术 来解决安全问题，因而这一领域吸引了大量的不同背景的人才，信息安全行业的队伍正在 不断地发展壮大。 信息安全职业生涯咨询介绍信息安全职业生涯咨询介绍 怎样准备信息安全职位的面试怎样准备信息安全职位的面试 职业生涯规划与发展职业生涯规划与发展 我们把我们生活中的很大一部分时间都奉献给了信息安全事业。作为一个群体，很多 人认为信息安全职业意味着：知识、热情和专注。因为我们大部分时间都沉浸在我们的事 业中，只有少许的时间是站在一个更高的高度来看待我们的事业。其结果就是我们忽略了 一件很重要的事：我们的职业生涯规划。 制定有效的信息安全职业生涯规划制定有效的信息安全职业生涯规划 如何做好安全领域职业生涯的投资规划如何做好安全领域职业生涯的投资规划 TT安全技术专题之“信息安全人员从业指南” Page 3 of 39 如何成功地为你的信息安全事业投资？如何成功地为你的信息安全事业投资？ 如何利用有效的信息安全职业关系网如何利用有效的信息安全职业关系网 如何筛选出有利的信息安全事业关系人脉如何筛选出有利的信息安全事业关系人脉 职业生存技巧：步入抗衰退的信息安全职业职业生存技巧：步入抗衰退的信息安全职业 信息安全行业薪酬问题信息安全行业薪酬问题 薪酬是公司员工最为关心的问题之一，信息安全专业人员也不例外。这些问题包括： 如何获得更高的薪酬、信息安全专业人员应该获得多高的薪酬、当前经济状况下的薪酬水 平如何等等。 调查显示：信息安全专业人员薪酬期望高于职场行情调查显示：信息安全专业人员薪酬期望高于职场行情 信息安全重要性信息安全重要性+ +安全技能安全技能+ +人才供求人才供求= =薪酬？薪酬？ 职业职业生涯抉择生涯抉择 在最近我们对信息安全职业人员的调查中我们发现，那些宣称对自己的工作感到满意 的人能够挣更多的钱。实际上，我们的数据表明，对工作感到“非常满意”或者“极其满 意”的人挣的钱（每年可能会超过 12 万美元）几乎两倍于对工作感到“不满意”或者 “还算满意”的人。 职业生涯如何抉择职业生涯如何抉择 ITIT 安全从业人员何时选择跳槽？安全从业人员何时选择跳槽？ 继续上班还是跳槽？怎样找到信息安全工作的满意感继续上班还是跳槽？怎样找到信息安全工作的满意感 TT安全技术专题之“信息安全人员从业指南” Page 4 of 39 信息安全职业生涯咨询介绍信息安全职业生涯咨询介绍 在信息技术职业中，信息安全正日益成为流行的职业选择。由于需要各种不同的技术 来解决安全问题，因而这一领域吸引了大量的不同背景的人才，信息安全行业的队伍正在 不断地发展壮大。 随着这个趋势不断加强，信息安全领导职务变得越来越有价值（诸如首席信息安全官 （CISO）和信息安全主管角色），行业竞争日趋激烈。职业管理，职业发展和职业规划在 决定未来发展道路上正变得越来越重要。 过去，一个权威的认证足以证明一个信息安全专家的能力。但如今，这些凭证仅仅是 通往成功职业生涯的基石。由于许多信息安全专业人员拥有综合的专业经验、教育背景和 行业认可的认证，所以区分一个在其他许多情况下也有能力就业的人，变得越来越困难。 为了有一个成功的信息安全职业生涯，必须拥有技术人员的技能，但需要像商业领导一样 思考：除了信息技术，您还需要理解安全如何为机构的业务目标谋福利，知道如何架构客 户网络和联系客户。 根据我们的经验，我们发现大多数信息安全专业人士对这个专业有着热情，渴望实现 卓越的职业生涯。然而，很少有人意识到，适当的职业咨询和指导对于做出正确的战略决 策、了解市场情况、并有效地发展个人品牌，的重要性。这些信息将在您的个人职业生涯 规划和执行过程中被证明是至关重要的，会帮助实现您的长期职业目标和愿望。 我们新的月度信息安全职业顾问栏的目的，是提供专门面向信息安全职业相关倡议的 定期指导。本专栏及时的主题报告将能够帮助您信息安全专业人士，处理职业生涯相 关的问题。这些栏将同时针对管理您的职业生涯和实现您想要的成功目标提供知识和观 点。我们希望这些文章是互动的，你们（读者）可以把与你个人职业生涯发展相关的重要 问题以及整个信息安全专业相关的话题和问题反馈给我们。 原文出处： (作者：Lee Kushner and Mike Murray 译者：Lily 来源：TechTarget 中国) TT安全技术专题之“信息安全人员从业指南” Page 5 of 39 怎样准备信息安全职位的面试怎样准备信息安全职位的面试 由于合格的信息安全专业人员越来越多，面试的竞争日趋激烈。出于这个原因，一个 人的面试表现将最终决定结果。高估你的面试技巧，或低估你的竞争对手，可能会导致一 场灾难，但恰当的准备决定着录用和不录用这两种不同的结果。在你一头扎进信息安全职 位的面试前，这里有一些指导，可以让你更好地准备这些面试。 了解哪些信息安全问题正在威胁公司。当一个公司决定增加信息安全人员，这或许是 因为它发现其当前员工队伍人手不足，或者它正面临一个崭新的、需要一定的专业水平去 应对的商业挑战。在面试前弄清楚为什么公司要招人，可以使求职者展示出与雇主的领域 相契合的经验。 很多时候，这些信息可以通过研究潜在雇主所在行业的信息安全问题来确定。例如， 零售商可能关注支付卡行业的数据安全标准，卫生保健组织必须关注 HIPAA 和保护医疗记 录，而技术公司则需要在安全软件开发上的专业知识。阅读最近有关该公司的新闻，甚至 其对投资者公布的年报，以收集强调信息安全相关问题的事件，也是一个好主意。甚至是 企业市场营销手册，也可以有助于确定安全是如何作为卖点的。 把工作的描述作为指导，但不要把它当作真理。候选人在信息安全职位面试前最需要 了解的可能是对该职位描述。职务描述很好地向求职者提供了指导方针，但它们往往不能 传达出雇主真正寻找的东西。有很多理由可以说明为什么把信息安全职位描述作为唯一标 准来准备面试是一个很大的错误。 首先，不能明确是谁写的职位描述。许多时候，职位描述是由招聘经理大致勾画，而 由人力资源人员编写。就像在许多交流过程中，一些元素“在传递中丢失了”。其结果 是，职位描述中的信息有时会造成误导使候选人去强调和面试团队不怎么相关的信息安全 技能。此外，依赖职位描述往往会无意中制约候选人的准备，从而限制在描述中提到的信 息安全主题。由于工作描述往往随着时间的推移而改变，目前的职位描述可能已经过时 了，而且对信息安全技能的需求也已经发生了变化。 TT安全技术专题之“信息安全人员从业指南” Page 6 of 39 最后，职位描述一般列出需要的信息安全技能，但他们不能在公司文化方面为面试者 提供帮助。很多时候，如果候选人按照工作描述进行面试，他们的反应则显得照本宣科和 机械，更不能表现出他们的热情。而激情则被看作大多数信息安全领导职位的必要条件。 了解面试你的人。当面试一个信息安全领导职位时，进行面试的小组很可能由很多不 同的董事会成员组成。这些面试都是在寻找能使他们的工作得更轻松的应聘者。了解信息 安全如何涉及到他们的具体专业领域，以及作为信息安全专家的经验可以怎样帮助解决他 们的特殊问题，将是受到他们认可的一个决定性因素。在面试前，应聘者应尽可能地了解 面试官和他们的角色是很重要的。 首先，在面试前领取一份面试安排表，人力资源或招聘人员通常是会提供的。使用面 试安排表了解面试官的头衔，试着确定你将如何站在你要申请的信息安全角色上与他们进 行互动。此外，用谷歌对面试官进行搜索，或查看他们的简历，这是一个不错的主意。做 这些功课有助于了解一些诸如他们的背景、兴趣、在公司任职时间等方面的信息。总的来 说，所有这些信息有利于你更好地回答他们在面试时提出的问题，也可以让你把自己在信 息安全方面的经验更贴切地与他们的具体需求关联起来。 复习你的简历上列出的专业技能。在面试过程中，面试官会测试面试者在技术方面的 信息安全知识。最有可能的是，面试官将参照候选人的简历，考查他或她在简历上列出来 的技能的相关技术问题。一般来讲，如果专业技能被列在了简历上，往往会成为面试官的 重点询问对象。在参加信息安全职位面试前，请确保你复查过了自己的简历，并准备就简 历上面的专业技能回答问题。如果可以找出过去的技术手册和学习指南，临时抱佛脚地在 面试前复习这些东西，对面试来讲是绝对没有坏处的。 一般来说，面试过程是紧张的。充分地准备面试，并遵循上面列出的建议，可以帮助 你保持镇静，并带给你额外的自信。显示出自信，使面试者能够更好地专注于面试，并给 对方留下良好的印象，这增加了登上下一个精彩舞台的可能性。 原文出处： (作者：Lee Kushner and Mike Murray 译者：Sean 来源：TechTarget 中国) TT安全技术专题之“信息安全人员从业指南” Page 7 of 39 制定有效的信息安全职业生涯规划制定有效的信息安全职业生涯规划 我们把我们生活中的很大一部分时间都奉献给了信息安全事业。作为一个群体，很多 人认为信息安全职业意味着：知识、热情和专注。因为我们大部分时间都沉浸在我们的事 业中，只有少许的时间是站在一个更高的高度来看待我们的事业。其结果就是我们忽略了 一件很重要的事：我们的职业生涯规划。 职业生涯规划的重要性涵盖许多方面，包括智力激励（intellectual stimulation）、个人兴趣目标（personal satisfaction），还有经济回报。因此，花费 时间制定一份书面的职业规划，可以给你提供一个有效的参照工具，有助于你在职业生涯 中达到较高的事业满意度并实现自己的职业目标。 一个书面的职业规划是你个人发展的路线图，其目的是帮助你从当前的职位晋升到未 来的信息安全职业生涯目标。它的基本形式包括一个“基准线”（即你目前的技能和经验 水平）、一个“长期的职业目标”，以及“为了达到将来的职业目标，你必须掌握的技能 和拥有的职业经验”。由于信息安全行业的工作环境和专业技能需求非常特殊，这使得信 息安全从业者在进行职业规划时可以有多种选择。而信息安全职业的复杂性也是我们需要 制定职业生涯规划的主要原因。 信息安全这一职业的就业领域可以分为以下四个： 直接向公司提供信息安全服务； 为政府提供信息安全服务； 提供信息安全咨询服务； 为信息安全产品的生产商工作。 由于以上四种不同的就业领域有各自的不同任务，因此工作技能也不相同。有许多技 能标准可以判断一个人能否在某个领域获得成功，但这并不适用于其他的领域。通过花费 时间制定你的信息安全职业生涯规划，你会发现哪种工作环境最有利于实现你的职业目 标、符合你的个人特点，并且能为你的个人职业选择提供最大的灵活性。 TT安全技术专题之“信息安全人员从业指南” Page 8 of 39 信息安全职业除了工作环境不同以外，它还涉及许多不同的领域，如人、流程、技术 和业务。想在其中任何一个领域成功都不是一件易事，但人们往往