★信息安全管理究竟需要什么样的人才

orange13130

楼主分析的很有道理！
信息安全管理到底是什么样的？是很多论坛乃至整个信息安全产业都在不断争论的事情。传统意义上认为信息安全人才往往出自于厂商或集成商，对于技术了解比较深入或对产品及各方面技术相当熟悉的大牛或者高手。但是这些高手给客户带来的真正价值体现在哪里？厂家和集成商面对客户只有一个想法，就是把产品卖给客户，以前意义上交钥匙最终的结果就是把产品交给客户。具体客户能不能应用的好，就要看自己的造化了。周而复始，每个客户手里都积攒了很多产品，防病毒、防火墙、IDS、IPS，一个个大大的问号出现在客户脑子里：
1、我如何把这些产品用好？
2、每个产品都来自不同的厂家，他们之间如何配合？
3、是不是把这些产品用好了，就代表我们公司的安全做好了？
4、如何评估安全体系中人的价值？
等等。。。。
    27001也好，13335也好，SOX也好，Cobit也好都是提供了一种方法，此方法协助最终客户建立自己的体系。以安全体系为例，熟悉9000和14000的人都知道，通过体系建立的目的是形成一套可以自我完善的方法，也就是常说的PDCA，这种方法很大程度上是管理制度和管理标准，而在安全方面需要补充的就是安全技术。在17799中11个域133个控制点也并未明确说明那些控制点需要由管理的手段来补充，那些控制点需要技术手段来补充，只是和27001一样是一个指导性框架。具体怎么做，就要靠企业自身或者咨询公司辅导。
    说了这么多想说的就是，安全的建设是管理和技术相辅相承，缺一而不可，同时，安全的建设也需要对企业内部做到充分的了解，不仅要了解他们的基础架构，网络架构，更要细致的了解客户的管理氛围、企业文化，等等。这样才能保证两条腿走路，两条腿迈出统一的步伐。

SuperCube

这个帖子应该加精。
信息安全扫盲贴。

A.com

做信息安全管理和安保管理其实没什么不同，都必须要明确的知道那些东西需要什么层次的防护，然后才能规划好安全方案以及应急预案，在最大程度的防护和费用以及可操作性中取得最佳的平衡点。

ayazero

我觉得很多人对信息安全的理解还是有所偏颇的

大部分安全从业人员对信息安全的理解还是停留在网络安全的范畴

网络安全属于技术管理，而信息安全属于企业管理，两者差别还是比较大的

stulyxu

顶。。。。。。。。。 有道理

swl2004

好帖子

linkboy

cso                                              cio
  |                                                 |
安全经理                               安全顾问———ciso
  |                                                  |                              
安全主管 安全员工                         安全主管 安全员工


一般采用这两种模式，主要是看CSO的个人偏向和公司架构。

[ 本帖最后由 linkboy 于 2007-7-4 10:32 编辑 ]

ayazero

信息安全需要的高端复合型人才

1.技术+人品复合型
2.技术+企业管理复合型（CSO）

CSO下面需要两种类型的人
1.technique oriented
2.internal control & internal audit oriented

33to9

貌似楼主十分偏执于IT技术

Brevity

原帖由 ayazero 于 2007-7-8 12:23 发表
信息安全需要的高端复合型人才

1.技术+人品复合型
2.技术+企业管理复合型（CSO）

CSO下面需要两种类型的人
1.technique oriented
2.internal control & internal audit oriented

楼主，这个跟人品又有什么关系了？