美国信息安全架构师的岗位职责和胜任资格
优秀信息安全架构师横跨业务和技术两界。写出清晰切实的职位描述,可确保双方都理解该角色的职责。
无论什么角色,对职责和职位期待的良好沟通,都是职场人士成功的关键。这种沟通,始于一份切实透彻的职位描述,是职位招聘时的重要基准,是员工入职后的业绩触点。职位描述,也是帮助安全团队经理紧跟多种角色发展的基线。
任何良好的职位描述,都会涉及该角色的职责和重要性,还会列出其在报告层级中的位置。对角色的需求,比如资质证书、技能、经验和学历等,也会包含在职位描述中。因为角色重要性和报告层级各公司迥异,这里就仅论述职务描述中的职责和需求部分了。
针对信息安全架构师职位,尽管各行业具体要求不同,但其总体描述,总脱不开:高级员工,负责计划、分析、设计、配置、测试、实现、维护和支持公司计算机与网络安全基础设施,响应监管与风险变化。信息安全架构师需要知晓业务,对其技术和信息需求有广泛了解,能够开发和测试安全架构以保护其各类系统。
一、关键职责
职责,就是信息安全架构师应负责的任务和目标。取决于公司所属行业或特定需求而有所不同,但都包括:
为生产环境设计、建立并部署企业级安全系统;
将标准、框架和安全,与总体业务与技术战略相弥合;
识别并交流当前及新兴安全威胁;
设计安全架构元素,以便在威胁冒头时加以缓解;
创建在业务需求与信息及网络安全需求中取得平衡的解决方案;
在现有及提案架构中识别出安全设计缺陷,提出修改或强化建议;
采用当前编程语言和技术撰写代码,完成编程,进行应用测试与调试;
在解决方案部署或系统转换中培训用户。
二、技术与能力
这一节给出了所需的基本技术技能,以及公司可能会期待信息安全架构师具备的资格证书或学历。
1. 关键技术包括
(以下方面的5年或5年以上经验)
安全架构,解决方案交付、原则和新兴技术展示——安全解决方案设计与实现。这包括对这些解决方案的持续监测与改进,与信息安全团队的协作。
安全最佳实践的设计开发,以及企业级安全原则的实现中,为达成业务目标,符合客户与监管需求,所涉及到的咨询与工程工作。
云计算安全考虑:包括数据泄露、身份验证失效、黑客攻击、账户劫持、恶意内部人、第三方威胁、高级持续性威胁(APT)、数据遗失和DoS攻击。
身份与访问管理(IAM)——企业中对敏感技术资源访问的限制与跟踪所需的安全策略与技术框架。
2. 以下方面的知识与经验
VB.NET、Java/J2EE、ColdFusion、API/Web服务、脚本语言,以及 MS SQL Sever 或Oracle之类关系数据库管理系统(RDBMS)。这是在企业中建立安全所需的一些技术元素。
国家标准与技术局(NIST)制定的相关标准。不符合NIST设立标准,以及ISO27001、COBIT和COSO标准的系统,在合规及安全架构上都会有所欠缺。
ISO27001——策略与规程框架的规范,包括企业风险管理中所涉全部法律、物理和技术上的控制。
信息系统和技术控制目标(COBIT:国际上通用的信息系统审计的标准)。
美国反虚假财务报告委员会下属的发起人委员会(COSO),一个对抗企业欺诈的联合倡议。
Windows、UNIX和大型机。
3. 通用技术
面对不同受众的优秀沟通技巧——强批判性思维和分析能力。
强领导力,强项目与团队构建能力,包括领导团队的能力,以及在不同部门驱动项目与计划的能力。
业务过程、运营、信息安全项目及技术工程相关风险的识别能力。
成为企业安全主题专家,向非技术背景人士解释技术问题的能力。
4. 可能的认证要求
注册信息系统安全师(CISSP)
注册信息安全经理(CISM)
注册信息系统审计师(CISA)
信息系统安全架构师(ISSAP)
信息系统安全工程师(ISSEP)
SANS相关认证教育要求可能各有不同,但大多数都要求有信息安全、工程、数学或相关领域的文学或理学学士学位。IT领域硕士学位是加分项,网络安全专业的硕士学位是更大的加分项。
马特·梅林,Palo Alto Networks 医疗健康安全架构师,认为经验和工人的业绩,有时候比证书更能说明问题。
通常CISSP是基本要求,但只要你的背景经历清楚地显露出在建立安全解决方案方面的大量经验——就像我一样,那你就有可能仅凭经验和学历胜出。
三、行业特定要求
某些行业可能会在信息安全架构师职位描述上有些特别的要求。尤其是在医疗保健这种需要对电子病历(EHR)系统和HIPPA合规深入了解的行业。
阿克塞尔·沃什,赛门铁克医疗保健解决方案架构师,称该“生态系统复杂性”意味着安全架构师需要具备多方面的技能。
我不认为有其他什么行业,像医疗行业一样有这么多系统同时运行着来自不同厂商的不同平台。
除此之外,医疗行业信息安全架构师还面临着一大挑战:创建的安全系统不能阻碍病患护理。比如说,ATM在PIN码多次输入错误的情况下可以暂停服务,但面对刚从18小时轮班中下来的疲惫医生,这么做显然是不合适的。而且,附加的安全层必须小心部署,不能影响到生产力,还得定期重新评估。
四、如何吸引到顶尖人才
薪资调查机构PayScale数据表明,信息安全架构师薪资范围在8.4万美元到16万美元之间,平均是109,794美元。
除了薪资,人的因素也很重要——学习欲望、开发欲望和接受挑战的欲望。
在医疗保健行业,使命感同样很重要。“你会发现这行有很多人对他们的工作是抱着理想主义精神的。他们认为,‘只要我让医院维持运转,我就是在为我的社区做好事。’这是医疗保健行业所能提供的神圣使命感。”
本文转自d1net(转载)
