信息安全等级测评师分为初级等级测评师、中级等级测评师和高级等级测评师三级,你可以把等保测评认为是了解信息安全的一项入门基础。
信息安全等级测评师分为初级等级测评师、中级等级测评师和高级等级测评师三级。
其中,初级等级测评师又分为技术和管理两类。
三级等级测评师能力要求如下:
初级等级测评师 了解信息安全等级保护的相关政策、标准;熟悉信息安全基础知识;熟悉信息安全产品分类,了解其功能、特点和操作方法;掌握等级测评方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;掌握测评工具的操作方法,能够合理设计测试用例获取所需测试数据;能够按照报告编制要求整理测评数据。
中级等级测评师 熟悉信息安全等级保护相关政策、法规;正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;能够独立开发测评指导书,熟悉测评指导书的开发、版本控制和评审流程;能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和测评方法;具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力;了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题,提出合理化的整改建议。
高级等级测评师 熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展;对信息安全等级保护标准体系及主要标准有较为深入的理解;具有信息安全理论研究的基础、实践经验和研究创新能力;具有丰富的质量体系管理和项目管理经验,具有较强的组织协调和管理能力;熟悉等级保护工作的全过程,熟悉定级、等级测评、建设整改各个工作环节的要求。
干了等保测评这一行现在出来面临选择,你可以把等保测评认为是了解信息安全的一项入门基础,这个问题已有一年半了,如果题主现在还在做等保应该有切身体会,等保涉及的面是比较广的,但深度不够,因此就如楼上的前辈说的,需要配合其它方面的信息安全标准或认证,或者学习一些安全技术,如渗透,增加自身的价值,简历中单靠等保还是比较薄弱的,因为像银行、保险、大型国企等甲方公司,对于信息安全的要求不局限于等保。
等保拿到中级后,会有一定项目管理的基础,如果想依然在信息安全行业发展,还是单身,喜欢出差,与人交流,可以选择售前,因为这时你的基本积累已经足够,可以熟悉上手一些招投标工作,这里我说的不仅限于等保,包括其它的安全服务、安全产品(等保其实赚不到什么钱)。
如果依然选择做项目管理,这时除了学习一些项目管理的控制流程外,我个人偏向学习一些安全运维的技术工作,因为我离开公司的原因很大一部分是因为我们在发现问题的基础上,并没有实际解决问题的技术能力,而我偏向于解决问题,所以需要选择具有安全服务水平比较高的单位。
这些说的是乙方公司的方向,题主可能会因为工作经历想选择一些甲方单位深造,比如我就是有这想法,主要是会投入资金做安全的公司基本都是大公司,待遇不会太差,也不用东奔西走,对自己深入了解学习行业的信息安全防护与控制管理手段会有很大帮助。此时的方向对应的分类大概也是两个,对应等保的技术与管理,可能有的公司要同时做这两类事情,这就看自己的倾向和提升情况了。
总之一点,等保只是基础门槛和提升的铺垫,单单只考虑这个工作的售前、售后、运维会很狭隘,一定要多学习。
来源:https://www.zhihu.com/question/23009430/answer/115881418
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。
