美國資訊保安架構師的崗位職責和勝任資格

優秀資訊保安架構師橫跨業務和技術兩界。寫出清晰切實的職位描述，可確保雙方都理解該角色的職責。

 

 

無論什麼角色，對職責和職位期待的良好溝通，都是職場人士成功的關鍵。這種溝通，始於一份切實透徹的職位描述，是職位招聘時的重要基準，是員工入職後的業績觸點。職位描述，也是幫助安全團隊經理緊跟多種角色發展的基線。

任何良好的職位描述，都會涉及該角色的職責和重要性，還會列出其在報告層級中的位置。對角色的需求，比如資質證照、技能、經驗和學歷等，也會包含在職位描述中。因為角色重要性和報告層級各公司迥異，這裡就僅論述職務描述中的職責和需求部分了。

針對資訊保安架構師職位，儘管各行業具體要求不同，但其總體描述，總脫不開：高階員工，負責計劃、分析、設計、配置、測試、實現、維護和支援公司計算機與網路安全基礎設施，響應監管與風險變化。資訊保安架構師需要知曉業務，對其技術和資訊需求有廣泛瞭解，能夠開發和測試安全架構以保護其各類系統。

一、關鍵職責

職責，就是資訊保安架構師應負責的任務和目標。取決於公司所屬行業或特定需求而有所不同，但都包括：

為生產環境設計、建立並部署企業級安全系統;

將標準、框架和安全，與總體業務與技術戰略相彌合;

識別並交流當前及新興安全威脅;

設計安全架構元素，以便在威脅冒頭時加以緩解;

建立在業務需求與資訊及網路安全需求中取得平衡的解決方案;

在現有及提案架構中識別出安全設計缺陷，提出修改或強化建議;

採用當前程式語言和技術撰寫程式碼，完成程式設計，進行應用測試與除錯;

在解決方案部署或系統轉換中培訓使用者。

二、技術與能力

這一節給出了所需的基本技術技能，以及公司可能會期待資訊保安架構師具備的資格證照或學歷。

1. 關鍵技術包括

(以下方面的5年或5年以上經驗)

安全架構，解決方案交付、原則和新興技術展示——安全解決方案設計與實現。這包括對這些解決方案的持續監測與改進，與資訊保安團隊的協作。

安全最佳實踐的設計開發，以及企業級安全原則的實現中，為達成業務目標，符合客戶與監管需求，所涉及到的諮詢與工程工作。

雲端計算安全考慮：包括資料洩露、身份驗證失效、黑客攻擊、賬戶劫持、惡意內部人、第三方威脅、高階持續性威脅(APT)、資料遺失和DoS攻擊。

身份與訪問管理(IAM)——企業中對敏感技術資源訪問的限制與跟蹤所需的安全策略與技術框架。

2. 以下方面的知識與經驗

VB.NET、Java/J2EE、ColdFusion、API/Web服務、指令碼語言，以及 MS SQL Sever 或Oracle之類關聯式資料庫管理系統(RDBMS)。這是在企業中建立安全所需的一些技術元素。

國家標準與技術局(NIST)制定的相關標準。不符合NIST設立標準，以及ISO27001、COBIT和COSO標準的系統，在合規及安全架構上都會有所欠缺。

ISO27001——策略與規程框架的規範，包括企業風險管理中所涉全部法律、物理和技術上的控制。

資訊系統和技術控制目標(COBIT：國際上通用的資訊系統審計的標準)。

美國反虛假財務報告委員會下屬的發起人委員會(COSO)，一個對抗企業欺詐的聯合倡議。

Windows、UNIX和大型機。

3. 通用技術

面對不同受眾的優秀溝通技巧——強批判性思維和分析能力。

強領導力，強專案與團隊構建能力，包括領導團隊的能力，以及在不同部門驅動專案與計劃的能力。

業務過程、運營、資訊保安專案及技術工程相關風險的識別能力。

成為企業安全主題專家，向非技術背景人士解釋技術問題的能力。

4. 可能的認證要求

註冊資訊系統安全師(CISSP)

註冊資訊保安經理(CISM)

註冊資訊系統審計師(CISA)

資訊系統安全架構師(ISSAP)

資訊系統安全工程師(ISSEP)

SANS相關認證教育要求可能各有不同，但大多數都要求有資訊保安、工程、數學或相關領域的文學或理學學士學位。IT領域碩士學位是加分項，網路安全專業的碩士學位是更大的加分項。

馬特·梅林，Palo Alto Networks 醫療健康安全架構師，認為經驗和工人的業績，有時候比證照更能說明問題。

通常CISSP是基本要求，但只要你的背景經歷清楚地顯露出在建立安全解決方案方面的大量經驗——就像我一樣，那你就有可能僅憑經驗和學歷勝出。

三、行業特定要求

某些行業可能會在資訊保安架構師職位描述上有些特別的要求。尤其是在醫療保健這種需要對電子病歷(EHR)系統和HIPPA合規深入瞭解的行業。

阿克塞爾·沃什，賽門鐵克醫療保健解決方案架構師，稱該“生態系統複雜性”意味著安全架構師需要具備多方面的技能。

我不認為有其他什麼行業，像醫療行業一樣有這麼多系統同時執行著來自不同廠商的不同平臺。

除此之外，醫療行業資訊保安架構師還面臨著一大挑戰：建立的安全系統不能阻礙病患護理。比如說，ATM在PIN碼多次輸入錯誤的情況下可以暫停服務，但面對剛從18小時輪班中下來的疲憊醫生，這麼做顯然是不合適的。而且，附加的安全層必須小心部署，不能影響到生產力，還得定期重新評估。

四、如何吸引到頂尖人才

薪資調查機構PayScale資料表明，資訊保安架構師薪資範圍在8.4萬美元到16萬美元之間，平均是109,794美元。

除了薪資，人的因素也很重要——學習慾望、開發慾望和接受挑戰的慾望。

在醫療保健行業，使命感同樣很重要。“你會發現這行有很多人對他們的工作是抱著理想主義精神的。他們認為，‘只要我讓醫院維持運轉，我就是在為我的社群做好事。’這是醫療保健行業所能提供的神聖使命感。”

本文轉自d1net（轉載）