信息安全人员从业指南

信息安全人员从业指南TT安全技术专题之“信息安全人员从业指南”Page2of39信息安全人员从业指南随着黑客的攻击越来越广泛，企业信息安全问题也越来越突出。随着这种趋势不断增加，信息安全职务将变得越来越有价值，行业竞争也日趋激烈。职业管理、职业发展和职业规划在决定未来发展道路上正变得越来越重要。本技术手册将为您介绍信息安全职业、信息安全人员职业规划、信息安全行业薪酬问题，以及信息安全人员的职业生涯抉择。我相信这不仅仅是针对信息安全人员的从业指南，IT界的工作者都可以借鉴。信息安全职业介绍在信息技术职业中，信息安全正日益成为流行的职业选择。由于需要各种不同的技术来解决安全问题，因而这一领域吸引了大量的不同背景的人才，信息安全行业的队伍正在不断地发展壮大。信息安全职业生涯咨询介绍怎样准备信息安全职位的面试职业生涯规划与发展我们把我们生活中的很大一部分时间都奉献给了信息安全事业。作为一个群体，很多人认为信息安全职业意味着：知识、热情和专注。因为我们大部分时间都沉浸在我们的事业中，只有少许的时间是站在一个更高的高度来看待我们的事业。其结果就是我们忽略了一件很重要的事：我们的职业生涯规划。制定有效的信息安全职业生涯规划如何做好安全领域职业生涯的投资规划TT安全技术专题之“信息安全人员从业指南”Page3of39如何成功地为你的信息安全事业投资？如何利用有效的信息安全职业关系网如何筛选出有利的信息安全事业关系人脉职业生存技巧：步入抗衰退的信息安全职业信息安全行业薪酬问题薪酬是公司员工最为关心的问题之一，信息安全专业人员也不例外。这些问题包括：如何获得更高的薪酬、信息安全专业人员应该获得多高的薪酬、当前经济状况下的薪酬水平如何等等。调查显示：信息安全专业人员薪酬期望高于职场行情信息安全重要性+安全技能+人才供求=薪酬？职业生涯抉择在最近我们对信息安全职业人员的调查中我们发现，那些宣称对自己的工作感到满意的人能够挣更多的钱。实际上，我们的数据表明，对工作感到“非常满意”或者“极其满意”的人挣的钱（每年可能会超过12万美元）几乎两倍于对工作感到“不满意”或者“还算满意”的人。职业生涯如何抉择IT安全从业人员何时选择跳槽？继续上班还是跳槽？怎样找到信息安全工作的满意感TT安全技术专题之“信息安全人员从业指南”Page4of39信息安全职业生涯咨询介绍在信息技术职业中，信息安全正日益成为流行的职业选择。由于需要各种不同的技术来解决安全问题，因而这一领域吸引了大量的不同背景的人才，信息安全行业的队伍正在不断地发展壮大。随着这个趋势不断加强，信息安全领导职务变得越来越有价值（诸如首席信息安全官（CISO）和信息安全主管角色），行业竞争日趋激烈。职业管理，职业发展和职业规划在决定未来发展道路上正变得越来越重要。过去，一个权威的认证足以证明一个信息安全专家的能力。但如今，这些凭证仅仅是通往成功职业生涯的基石。由于许多信息安全专业人员拥有综合的专业经验、教育背景和行业认可的认证，所以区分一个在其他许多情况下也有能力就业的人，变得越来越困难。为了有一个成功的信息安全职业生涯，必须拥有技术人员的技能，但需要像商业领导一样思考：除了信息技术，您还需要理解安全如何为机构的业务目标谋福利，知道如何架构客户网络和联系客户。根据我们的经验，我们发现大多数信息安全专业人士对这个专业有着热情，渴望实现卓越的职业生涯。然而，很少有人意识到，适当的职业咨询和指导对于做出正确的战略决策、了解市场情况、并有效地发展个人品牌，的重要性。这些信息将在您的个人职业生涯规划和执行过程中被证明是至关重要的，会帮助实现您的长期职业目标和愿望。我们新的月度信息安全职业顾问栏的目的，是提供专门面向信息安全职业相关倡议的定期指导。本专栏及时的主题报告将能够帮助您——信息安全专业人士，处理职业生涯相关的问题。这些栏将同时针对管理您的职业生涯和实现您想要的成功目标提供知识和观点。我们希望这些文章是互动的，你们（读者）可以把与你个人职业生涯发展相关的重要问题以及整个信息安全专业相关的话题和问题反馈给我们。原文出处：(作者：LeeKushnerandMikeMurray译者：Lily来源：TechTarget中国)TT安全技术专题之“信息安全人员从业指南”Page5of39怎样准备信息安全职位的面试由于合格的信息安全专业人员越来越多，面试的竞争日趋激烈。出于这个原因，一个人的面试表现将最终决定结果。高估你的面试技巧，或低估你的竞争对手，可能会导致一场灾难，但恰当的准备决定着录用和不录用这两种不同的结果。在你一头扎进信息安全职位的面试前，这里有一些指导，可以让你更好地准备这些面试。了解哪些信息安全问题正在威胁公司。当一个公司决定增加信息安全人员，这或许是因为它发现其当前员工队伍人手不足，或者它正面临一个崭新的、需要一定的专业水平去应对的商业挑战。在面试前弄清楚为什么公司要招人，可以使求职者展示出与雇主的领域相契合的经验。很多时候，这些信息可以通过研究潜在雇主所在行业的信息安全问题来确定。例如，零售商可能关注支付卡行业的数据安全标准，卫生保健组织必须关注HIPAA和保护医疗记录，而技术公司则需要在安全软件开发上的专业知识。阅读最近有关该公司的新闻，甚至其对投资者公布的年报，以收集强调信息安全相关问题的事件，也是一个好主意。甚至是企业市场营销手册，也可以有助于确定安全是如何作为卖点的。把工作的描述作为指导，但不要把它当作真理。候选人在信息安全职位面试前最需要了解的可能是对该职位描述。职务描述很好地向求职者提供了指导方针，但它们往往不能传达出雇主真正寻找的东西。有很多理由可以说明为什么把信息安全职位描述作为唯一标准来准备面试是一个很大的错误。首先，不能明确是谁写的职位描述。许多时候，职位描述是由招聘经理大致勾画，而由人力资源人员编写。就像在许多交流过程中，一些元素“在传递中丢失了”。其结果是，职位描述中的信息有时会造成误导使候选人去强调和面试团队不怎么相关的信息安全技能。此外，依赖职位描述往往会无意中制约候选人的准备，从而限制在描述中提到的信息安全主题。由于工作描述往往随着时间的推移而改变，目前的职位描述可能已经过时了，而且对信息安全技能的需求也已经发生了变化。TT安全技术专题之“信息安全人员从业指南”Page6of39最后，职位描述一般列出需要的信息安全技能，但他们不能在公司文化方面为面试者提供帮助。很多时候，如果候选人按照工作描述进行面试，他们的反应则显得照本宣科和机械，更不能表现出他们的热情。而激情则被看作大多数信息安全领导职位的必要条件。了解面试你的人。当面试一个信息安全领导职位时，进行面试的小组很可能由很多不同的董事会成员组成。这些面试都是在寻找能使他们的工作得更轻松的应聘者。了解信息安全如何涉及到他们的具体专业领域，以及作为信息安全专家的经验可以怎样帮助解决他们的特殊问题，将是受到他们认可的一个决定性因素。在面试前，应聘者应尽可能地了解面试官和他们的角色是很重要的。首先，在面试前领取一份面试安排表，人力资源或招聘人员通常是会提供的。使用面试安排表了解面试官的头衔，试着确定你将如何站在你要申请的信息安全角色上与他们进行互动。此外，用谷歌对面试官进行搜索，或查看他们的简历，这是一个不错的主意。做这些功课有助于了解一些诸如他们的背景、兴趣、在公司任职时间等方面的信息。总的来说，所有这些信息有利于你更好地回答他们在面试时提出的问题，也可以让你把自己在信息安全方面的经验更贴切地与他们的具体需求关联起来。复习你的简历上列出的专业技能。在面试过程中，面试官会测试面试者在技术方面的信息安全知识。最有可能的是，面试官将参照候选人的简历，考查他或她在简历上列出来的技能的相关技术问题。一般来讲，如果专业技能被列在了简历上，往往会成为面试官的重点询问对象。在参加信息安全职位面试前，请确保你复查过了自己的简历，并准备就简历上面的专业技能回答问题。如果可以找出过去的技术手册和学习指南，临时抱佛脚地在面试前复习这些东西，对面试来讲是绝对没有坏处的。一般来说，面试过程是紧张的。充分地准备面试，并遵循上面列出的建议，可以帮助你保持镇静，并带给你额外的自信。显示出自信，使面试者能够更好地专注于面试，并给对方留下良好的印象，这增加了登上下一个精彩舞台的可能性。原文出处：(作者：LeeKushnerandMikeMurray译者：Sean来源：TechTarget中国)TT安全技术专题之“信息安全人员从业指南”Page7of39制定有效的信息安全职业生涯规划我们把我们生活中的很大一部分时间都奉献给了信息安全事业。作为一个群体，很多人认为信息安全职业意味着：知识、热情和专注。因为我们大部分时间都沉浸在我们的事业中，只有少许的时间是站在一个更高的高度来看待我们的事业。其结果就是我们忽略了一件很重要的事：我们的职业生涯规划。职业生涯规划的重要性涵盖许多方面，包括智力激励（intellectualstimulation）、个人兴趣目标（personalsatisfaction），还有经济回报。因此，花费时间制定一份书面的职业规划，可以给你提供一个有效的参照工具，有助于你在职业生涯中达到较高的事业满意度并实现自己的职业目标。一个书面的职业规划是你个人发展的路线图，其目的是帮助你从当前的职位晋升到未来的信息安全职业生涯目标。它的基本形式包括一个“基准线”（即你目前的技能和经验水平）、一个“长期的职业目标”，以及“为了达到将来的职业目标，你必须掌握的技能和拥有的职业经验”。由于信息安全行业的工作环境和专业技能需求非常特殊，这使得信息安全从业者在进行职业规划时可以有多种选择。而信息安全职业的复杂性也是我们需要制定职业生涯规划的主要原因。信息安全这一职业的就业领域可以分为以下四个：直接向公司提供信息安全服务；为政府提供信息安全服务；提供信息安全咨询服务；为信息安全产品的生产商工作。由于以上四种不同的就业领域有各自的不同任务，因此工作技能也不相同。有许多技能标准可以判断一个人能否在某个领域获得成功，但这并不适用于其他的领域。通过花费时间制定你的信息安全职业生涯规划，你会发现哪种工作环境最有利于实现你的职业目标、符合你的个人特点，并且能为你的个人职业选择提供最大的灵活性。TT安全技术专题之“信息安全人员从业指南”Page8of39信息安全职业除了工作环境不同以外，它还涉及许多不同的领域，如人、流程、技术和业务。想在其中任何一个领域成功都不是一件易事，但人们往往要求信息安全专业人士能够胜任所有的领域。不同行业的规则、不断发展的技术、不同的个性以及不同的业务，这些因素虽然给信息安全专业人士提供了很多选择，但他们却必须把时间和精力专注于某一点上。制定一个书面职业规划可以有效的帮助个人识别自己感兴趣的领域，并把这些领域和自己的职业选择联系起来，从而最大限度的实现职业生涯长远目标。在你进行职业生涯决定和评估职业发展机会时，一份职业规划还能够提供某些指导。随着你信息安全事业的发展，你可以选择不同的职位来应用你当前拥有的技能，或掌握新技能。在这些职位中，有些能加快你事业的发展，有些则可能使你迷失方向。在许多情况下，全新的挑战或工作环境所带来的刺激会使你做出不明智的判断。当这些机会出现时，你需要咨询你的职业生涯规划，从而决定该选择哪种机会来弥补你“职业生涯的差距（careergap）”。通过培养自己在技术、管理、领导力和商业这些方面的技能，你才有可能缩小这些差距，进而增加你实现职业生涯长期目标的胜算。你的职业生涯规划能够使你更清楚意识到机遇和它所能带来的好处，如果顺利的话，它还可能使你对自己的前途和职位选择做出更明智的决定。职业规划会使你明白自己需要发展哪一项特定的信息安全技能，需要获取哪些经验。通常，“我想成为一名首