首先還是為大家說說我對(duì)這個(gè)職業(yè)的印象：

這個(gè)職業(yè)呢往往和計(jì)算機(jī)搭邊，所以可以想象到要學(xué)的東西還是很多的，像最基礎(chǔ)的C語言、操作系統(tǒng)、數(shù)據(jù)庫等都是要求要掌握的，因此想要當(dāng)一個(gè)合格的信安工作人員不下點(diǎn)苦功夫是很難的，而至于說它的工作方面也是很廣的，大體來說可以分為business和technique兩個(gè)方向，business的話，通常是保證公司穩(wěn)定運(yùn)營(yíng)、合規(guī)、降低風(fēng)險(xiǎn)的，比如風(fēng)險(xiǎn)分析、合規(guī)等；technique方向的話方向就更多，更專業(yè)也更深入，比方說滲透測(cè)試、網(wǎng)絡(luò)安全、病毒研究等，所以還是要分清楚自己更適合哪一方向再?zèng)Q定一個(gè)勁兒地鉆研，當(dāng)然這個(gè)職業(yè)除了辛苦外也是偉大的，畢竟是保護(hù)大家的信息安全，他們（信安工作人員）不僅預(yù)防信息泄露也要做出一系列的應(yīng)急措施還有相應(yīng)的管理方法，說了這么多，其實(shí)這份職業(yè)要求應(yīng)該挺高，但是獲得的回報(bào)也是成比例的，還是希望對(duì)信息安全方面感興趣的朋友們積極加入進(jìn)來。

接下來我們一起來看看應(yīng)當(dāng)如何規(guī)劃好這份職業(yè)吧：

假設(shè)把職業(yè)技能分級(jí)的話，我認(rèn)為大致可以分為幾類：

戰(zhàn)略 - 管理 - 技術(shù)（技術(shù)管理）

技術(shù)方面：

技術(shù)的東西其實(shí)很容易學(xué)，操作系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫等無非就是依葫蘆畫瓢，學(xué)生時(shí)代花點(diǎn)力氣自學(xué)即使不精通（如果你的水平超過在職從業(yè)人員的平均水平，你就算是精通了，水平的高低完全不在于年齡的大小，也不在于從業(yè)時(shí)間的長(zhǎng)短），熟悉還是可以的吧，計(jì)算機(jī)平臺(tái)以外的信息技術(shù)可以到接觸信息安全的時(shí)候再學(xué)也無所謂，畢竟信息安全的大頭還是計(jì)算機(jī)網(wǎng)絡(luò)通訊。如果你把這些想的很難，那你學(xué)起來一定很“艱辛”，如果你不把這些當(dāng)成是什么，那么學(xué)起來自然很輕松。很多在外行人看來是大牛的角色，如果客觀的用“知識(shí)容量”來衡量的話，就不會(huì)盲目崇拜了。

我個(gè)人認(rèn)為CISSP的內(nèi)容其實(shí)還不屬于管理，更多的屬于技術(shù)管理或技術(shù)的范疇。

如果進(jìn)度比較快的話，技術(shù)基礎(chǔ)學(xué)生時(shí)代即可完成，工作后主要是接觸一些企業(yè)運(yùn)營(yíng)系統(tǒng)，了解各個(gè)行業(yè)中IT系統(tǒng)如何支撐業(yè)務(wù)運(yùn)營(yíng)，了解企業(yè)中的組織結(jié)構(gòu)和角色、職能。

當(dāng)試圖向信息安全管理過渡的時(shí)候，首先必須切換自己的視角，不要時(shí)時(shí)處處都抱著技術(shù)的視角去看待并解決問題。那些國(guó)際安全標(biāo)準(zhǔn)和IT治理的最佳實(shí)踐學(xué)起來一 點(diǎn)都不難，難在如果你不懂企業(yè)管理、不了解企業(yè)運(yùn)營(yíng)、不了解行業(yè)的IT系統(tǒng)特性而硬要生搬硬套做咨詢的話，就會(huì)發(fā)現(xiàn)一個(gè)知識(shí)大空洞。

很多人的職業(yè)生涯都“死”在視角切換不過去，不能站在更高的角度看問題。當(dāng)然喜歡做技術(shù)倒也無可厚非。

管理方面：

從普通的技術(shù)人員向顧問過渡之后，即將面臨職業(yè)生涯的第一個(gè)瓶頸，第一種選擇是去甲方當(dāng)CSO。

管理體系成熟的大公司可能會(huì)有以下職位：

首席風(fēng)險(xiǎn)官CRO，

首席安全官CSO/CISO，

首席保密官CPO，

內(nèi)部審計(jì)總監(jiān)。

CRO，風(fēng)險(xiǎn)管理總監(jiān)實(shí)際上主要是管理財(cái)務(wù)風(fēng)險(xiǎn)，IT風(fēng)險(xiǎn)只是其次，所以技術(shù)出身的人基本不可能勝任這個(gè)職位。

CSO/CISO，信息安全總監(jiān)，出現(xiàn)頻率最高，最有可能的職位。另一方面，在國(guó)內(nèi)單獨(dú)設(shè)置風(fēng)險(xiǎn)/安全管理職位的企業(yè)并不多，一般是境外上市公司為了符合國(guó)外法規(guī)的治理合規(guī)性需求，或者是規(guī)模較大，對(duì)風(fēng)險(xiǎn)和信息控制比較敏感的企業(yè)。

如果你在企業(yè)組織架構(gòu)中的位置遠(yuǎn)離最佳實(shí)踐的治理水平，手腳施展不開，做不了事情，那就請(qǐng)聯(lián)系獵頭跳槽吧。

CSO不僅要精通信息安全技術(shù)，更要了解管理和商業(yè)，雖然也有人表達(dá)一個(gè)精通技術(shù)的安全管理者是多么稱職，但事實(shí)上，技術(shù)不是第一位的，包括如何借助國(guó)際標(biāo)準(zhǔn)建立ISMS的方法論等都是相對(duì)簡(jiǎn)單的事情，對(duì)CSO來說在組織中成功開展工作最重要的能力是EQ。

一種職業(yè)發(fā)展是行業(yè)過渡，比如去甲方做CSO可以把自己換到任何一個(gè)行業(yè)，而另一種職業(yè)發(fā)展則是專業(yè)過渡，比如由純粹的安全管理變成IT治理、風(fēng)險(xiǎn)管理，甚至變成財(cái)務(wù)風(fēng)險(xiǎn)管理，完全轉(zhuǎn)變自己工作的性質(zhì)內(nèi)容和性質(zhì)。

建議：

任何一個(gè)行業(yè)，任何一項(xiàng)職業(yè)發(fā)展都會(huì)有上限。一種“模式”必然伴隨了一種“結(jié)果”。如果你選擇了走某條道路，那么其結(jié)果也是八九不離十。大多數(shù)人工作多年后抱怨失去成長(zhǎng)空間，其實(shí)就是沒有規(guī)劃，視野狹隘所致。實(shí)際上抱怨大可不必，因?yàn)檫@種階段性的結(jié)果是完全可以提前預(yù)知的，每個(gè)人都必須為自己的選擇承擔(dān)結(jié)果。在你選擇走這條路之前你就應(yīng)該知道這條路通向何方！

雖然全球信息化趨勢(shì)不可阻擋，這也造就了很多IT企業(yè)并向社會(huì)提供了大量的IT就業(yè)機(jī)會(huì)。但我并不看好那些狹義的IT職位。雖然常話說條條大路通羅馬，但實(shí)際上不同的行業(yè)隨著其資本積累速度和需求容量的不同，潛在的暗示著不同的行業(yè)仍有高低貴賤之分，就像CSO永遠(yuǎn)無法與CFO相提并論一樣。如果你覺得行業(yè)的太容易走到“頭”，那么嘗試切換專業(yè)是必要的。對(duì)信息安全從業(yè)者來說比較明顯的出路是找一家“面子”很大的咨詢公司，自己嘗試讀MBA+自學(xué)補(bǔ)全財(cái)務(wù)，金融方面的知識(shí)，由IT風(fēng)險(xiǎn)管理轉(zhuǎn)向真正的企業(yè)管理咨詢或財(cái)務(wù)咨詢，以后的出路才可能寬一些。這種模式可以再生出一棵很龐大的職業(yè)發(fā)展樹，不過就此打住。

那些專注于技術(shù)本身的從業(yè)者，出路都不會(huì)很大。創(chuàng)業(yè)雖然也有藍(lán)海，但是藍(lán)海的SIZE對(duì)于這個(gè)行業(yè)來說本質(zhì)上都很小，紅海更是已經(jīng)被爭(zhēng)奪的一塌糊涂，并且你的成長(zhǎng)速度將決定是否能在僅存的藍(lán)海中活下來。

到甲方的話，CSO就是盡頭嗎？也不盡然，CSO可以繼續(xù)變成CIO，關(guān)鍵在于自己的能力積累和角色轉(zhuǎn)變。如果CIO成為推動(dòng)利潤(rùn)大幅增長(zhǎng)的的變革者，潛在的CGO（G：Growth），那么成為COO甚至CEO都是可能的，如果不能成為變革者，或者CIO只承擔(dān)有限責(zé)任地位不高，那么CIO的職業(yè)生涯將到此為止。

自己的成長(zhǎng)和環(huán)境選擇是內(nèi)因，職業(yè)發(fā)展還依賴于另一個(gè)外因：你所擁有的社會(huì)資源以及你整合資源的能力。學(xué)無止盡，時(shí)刻充電提高自己的能力和視野都是必要的，你所學(xué)到的知識(shí)不會(huì)因?yàn)楣静恢匾暥H值，社會(huì)需求將決定你的價(jià)值。

對(duì)時(shí)間的利用猶如投資，必須考慮：機(jī)會(huì)成本，投資組合，收益回報(bào)和風(fēng)險(xiǎn)。你今天走了這條職業(yè)發(fā)展的路，就沒有時(shí)間走另外一條。你是在走慢速通道還是高速公路，還是坐飛機(jī)？假如道路A失敗，你將如何延續(xù)發(fā)展等……

以上就是關(guān)于信息安全職業(yè)的規(guī)劃和建議了，希望能對(duì)熱衷于這份職業(yè)的你有所幫助。