01
数据安全岗-转型需求
最近两年咨询转型做数据安全的人特别多,有在校的学生、有刚参加工作的同学、也有工作经验丰富的朋友,在认真回答他们后,发现大家对数据安全岗需求认识有一些误区。现在不能用传统网络安全的思路、或纯安全思维看待数据安全(如仅考虑安全管理、安全技术),它们与新型态的数据安全差异性比较大,今天借助本文一起理一理数据安全岗位相关的事情。
02
数据安全岗-就业方向
数据安全相关岗位可分为四大块,如下:
甲方企业:围绕甲方企业开展数据安全管理、数据安全技术建设,过程中从严管控风险等,主要涉及数据安全管理、数据安全合规、数据安全技术、数据安全运营等岗位。
乙方企业:为甲方企业提供数据安全服务、支持的各类服务商,如数据安全厂商,包括市场、销售、售前、实施、运维岗等;数据安全咨询方,包括数据安全咨询专家、解决方案专家等。这些企业协助甲方搭建数据安全技术体系、提供数据安全解决方案等支持内容。
第三方企业:包括数据安全第三方的测评、评估机构、协助监管的支撑机构等,主要从第三方的视角验证甲方企业的安全合规、安全技术的执行情况,配合做好各类支持工作,形成评估报告等。
安全监管机构:国家数据安全管理及监管机构,承担相关职责的机构,他们负责对管辖的企业发起安全监管、检查、考核等动作,从国家层面推动企业数据安全水平的整体提升,防范主要数据安全风险事件。
03
数据安全岗-主要类型
数据安全管理/合规方向
工作主要内容
(1)甲方企业为主,比如集团型的数据安全管理,推进落实国家、行业主管的数据安全监管、考核要求和新型试点工作要求,形成主要工作项向集团内部子公司、专业公司推进落实。
(2)类似子公司或专业公司的数据安全岗,更多配合集团公司的管理要求,进行企业数据安全工作落地实践,配合各类安全检查和监管工作,在公司内部横向组织技术部门、业务部门等进行落地,开展内部的安全检查和工作执行的复核、内部审计等,防范风险为主。
知识能力要求
(1)以数据安全管理和合规方面知识为核心,掌握国家及行业数据安全法律法规、标准规范和每年主要的数据安全重点工作,配套数据安全管理类的产品或工具辅助安全管理支撑。
(2)重点把安全要求转化工作方案,推进工作的落地执行,具备综合协调和沟通能力。其中,工作推进能力非常重要,对数据安全技术需要一定的了解,要求不会特别高,掌握数据安全通用知识,熟悉数据安全技术或者产品的工作实际应用场景。
数据安全技术方向
工作主要内容
主要围绕数据安全产品的部署实施、配置管理、运行维护、技术支持等方面。包括数据分类分级、防泄漏、数据脱敏、数字水印、数据备份恢复、隐私技术、数据虚拟化等数据安全相关的产品和工具。
知识能力要求
(1)通用的IT技术能力,如网络、密码、操作系统、数据库、大数据平台等,会覆盖网络安全方向内容,都是技术类岗位。但是网络安全的安全渗透测试、安全扫描、攻防演练、代码审计等需要具备比较强的安全开发能力及IT编程能力,专业能力要求度非常高。
(2)相对而言,个人认为数据安全技术区别网络安全技术,技术性没有那么强,更多是体现综合能力,在了解基础原理的情况下,能够掌握和使用好数据安全产品,运用到实际工作开展过程中、数据处理活动过程中,发挥安全产品的实际功能。
数据安全运营方向
工作主要内容
(1)围绕信息系统或数据业务过程中,从风险视角观察业务过程可能存在风险隐患,搭建体系化的数据安全运营内容,包含组织架构、制度规范、流程机制、安全技术能力等内容,是一个更大的范畴,需要衔接网络安全部分运营的内容,比如日志、流量、攻防、告警等。
(2)实际工作内容也有明显区别,数据安全运营覆盖面更广、与业务和数据处理活动结合度更高,因此颗粒度更细、更复杂,是综合性更强的运营。具体工作上,围绕数据安全产品运行情况进行分析和运营,风险告警处置等。
(3)另一方面,运营的对象有所不同,网络安全对象是信息系统和网络流量,数据安全对象包含信息系统、网络流量和数据资产,围绕数据资产延伸出来的数据资产目录、数据分类分级、个人信息保护等相关内容。
知识能力要求
(1)要求综合能力强,整体构建数据安全运营体系,运营的核心是体系化、常态化,即建立系统性的工作流程,让参与其中各类角色有序的运转起来,各自清晰需要日常周期性开展的工作,这些工作的标准和规则是什么,输入、输出物内容。
(2)个人想转向数据安全运营岗位,可以从其中一些角色做起来,逐步建立综合的运营能力和管理能力,比如先从熟悉数据安全产品配置使用,日常监测维护等,或者从数据安全流程规范、安全运营周报逐步入手。
04
哪些岗位比较适合转型数据安全
数据安全岗位核心方向包括管理方向和技术方向,需要具备安全的思维能力,即安全、合规、风险的意识,用安全的视角看信息系统及数据处理活动过程。
管理方向包含合规:技术要求不会特别高,适合技术能力不强,尤其是没有IT能力基础的同学。熟悉数据安全相关法律法规、标准规范,组织企业安全管理、考核、检查等偏向于管理性质内容,具备较好的沟通表达能力和文字编辑能力,通常需要写很多通知、方案、各类总结报告等。因此,非技术方向的同学可以向数据安全管理和合规方向转型。
技术方向含运营:需要较强的IT背景知识,实际工作中数据安全与信息系统、网络、数据库、大数据平台等IT技术知识交叉较多,需要较强的IT基础知识。具体来说,开发、运维(含系统、应用、数据库)、网络安全、IT项目经理、安全售前等岗位比较适合转向数据安全技术方向,像偏管理、数据分析师、数据工程师、网络工程师(IT经验欠缺)等不太适合。
有IT背景的适合转安全技术,没有IT背景的可以考虑安全管理。但是,作为学校学生或者刚毕业没多久的同学,还是特别建议从技术做起,积累IT方面的技术知识,它们都是通用类知识,有技术的经历后期转安全管理会比较容易。当然,只要学习能力强和悟性高,什么专业方向的都适合做数据安全。
►Tips特别提醒:
企业侧实际很少有数据安全部门,相关的岗位实际不多,具体工作开展整体还是以网络安全为主,数据安全工作内容比重在不断提升和重视,未来发展方向肯定是趋势向好,属于“朝阳”岗位,尽量向数据类企业比较多的行业,比如金融、互联网、运营商、卫生健康等行业,数据应用、数据运营类企业方向靠拢。
05
可落地的数据安全知识体系
构建数据业务的数据安全体系
除了信息系统的数据安全,围绕“数据业务”的数据安全知识体系,属于相对比较前沿和新鲜的内容,需要从“数据合规、风险、安全”三角出发进行整理考虑和设计。
从数据安全的整体框架出发,包括建设、运行、监督管理、事后审计等基本动作,即如何将安全要求进行设计、安全执行落地,然后确认安全执行情况,并对执行情况进行监督和审计。
大数据平台数据安全的知识构成
在数据业务类的项目实际落地中,通常以大数据平台形式建设,围绕数据进行加工利用和数据内部使用和外部共享等场景开展,带动了较多的数据运营项目。接下来,我们以大数据平台的数据安全为例,提出个人如何积累相关实用知识。
1.掌握基础设施底座
了解云基础知识、基础框架,比如在腾讯、阿里、华为官网去了解一个大厂家的云基础知识,云的整体框架知识都差不多,先找一个先熟悉即可,比如iaas、paas、ecs、负载均衡、网闸、waf、安全组、vpc等等基础知识。
图3:阿里公有云的产品文档
2.了解数据底座
除了了解云基础设施,或者私有云部署情况,第二个关键是了解数据底座,即华为、腾讯、阿里的大数据平台,它们背后大体逻辑是基于Hadoop框架,比如hdfs、mapreduce等,在官网同样有大量的基础资料,找一个大厂家深入查看各类白皮书和文档,能快速掌握基础大数据组件和框架。
图4:华为智能数据湖FusionInsight
3.了解数据治理体系
搭建好云基础设施底座和数据底座后,在大数据平台进行数据治理和数据融合开发,会涉及数据治理相关知识体系,即利用大数据平台的组件进行数据开发任务,比如华为DGC(数据治理中心)和MRS(mapreduce服务-任务执行中心)应用,需要熟悉基本的工具和组件,然后了解数据开发工程师的大致过程。 过程中需要了解数据全生命周期或者数据处理活动的知识,即数据源的收集、数据加工处理过程、数据共享服务过程。即掌握一个数据产品到底是如何产生的?
图5:华为MRS大数据平台示意图
4.了解数据运营体系
以前大数据平台基本功能是做数据的归集,现在要挖掘数据的价值必然有大量的数据分析、数据融合开发工作,因此需要大量的数据开发方参与到数据开发工作中,数据开发方通常带着数据需求场景而来,如何管理好数据开发方、承接数据需求方的需求,数据运营的概念就顺其产生。
围绕数据运营过程构建体系化的运营框架,变得异常重要,它涉及商务、结算、业务、工单派发等,也涉及具体数据服务开发等事项。
5.了解数据安全
关于数据业务的过程,经过上述1-4步,对其过程已经相对了解,接下来就是学习数据安全知识,包括数据安全管理、数据安全技术、数据处理活动、个人信息保护等方面知识,包括国家政策、法律法规、安全标准的了解;
包括数据管理、数据技术等具体的数据安全工作内容,比如数据安全风险评估、数据安全监督检查、数据安全考核、数据安全能力建设等方面。对上述内容熟悉后,再考虑数据安全运营的思路来整体管控数据业务过程的风险点。
总体来说,想要做好数据运营类项目的数据安全,需要不断拓宽数据相关的知识面,在实际项目中磨练和实践。在未正式参与相关项目前,上述提及的五方面的知识内容,相当于提前的知识储备,和以后实际工作所遇到实际情况匹配度非常高,不过特别提示,做数据安全一定要从业务和数据视角出发,再谈数据安全。
06
数据合规可能包含的方面
甲方企业面的数据安全重点工作还是需要区分偏安全管理|合规方向还是数据安全技术方向。
安全管理的重点工作清单:
安全技术的重点工作清单:
此外,建议把国标《数据安全风险评估(报批稿)》401项的评估仔细了解和研究,尤其关注401项的一级和二级分类,基本就知道数据安全它到底关注哪些方面,每个方面的大致内容是什么,然后在企业具体的数据安全工作开展,逐步积累实战经验。
数据安全风险评估的“一个调研四个评估”
07
数据合规可能包含的方面
个人从IT项目建设、系统运维,再到数据运营,后来往数据安全管理转型;在过去的几年,又开始做IT项目的安全建设和具体实施,从信息系统层面做具体安全运行保障工作。随着数据要素价值流通,最近重点研究数据业务、大数据平台的数据安全体系建设和落地运营,都属于比较新鲜、前沿的内容。
的设计初期,内心想法是普及数据安全通用知识,提升数据安全风险意识,一起学习国家数据安全方面的新趋势、新要求。
因此,在设计整个课程时,从数据安全管理视角切入,先通过系统全面的了解数据安全管理的各方面工作,从“管”的视角了解数据安全,熟悉数据的政策、标准规范、企业内具体工作。
目前已开展两期,收到广大同学的好评,可以系统、全面得获取数据安全管理工作经验。
课程的每一期都会动态更新对于数据安全“新的认识和经验积累”,在与大量同学的互动过程中,针对第三期我们又又又进行持续的迭代更新,在保留数据安全通用知识、安全合规体系搭建、安全制度体系搭建、数据安全审计、数据安全风险评估等核心底座课程内容之上,课程更加务实、贴近实践,围绕《数据安全管理15讲》第三期课程体系,主要变化如下:
1.增加垂直行业数据安全实践分享。邀请行业内企业数据安全实践专家进行主题分享,目前邀请到“互联网行业”“汽车行业”“金融行业”三位大咖,一同探索数据安全实践落地的经验,开放式的讨论互动环节。
2.优化数据安全应急管理体系建设。企业数据安全管理视角,优化应急体系管理课程。
3.优化数据安全出境合规落地实操课程。邀请行业内法务专家讲解数据安全出境的实践案例,积累数据安全出境事务经验及过程细节。
4.课程内容优化合并。进一步优化学员反馈的重复性内容,从数据安全面广的思路更加聚焦数据安全管理工作具体落实实践与思路方法,体现可实操性。
一个持续更新、更加务实实践的课程,邀请更多领域专家分享数据安全知识与实践经验,一起推动数据安全意识普及,让更多的人参与参与数据安全岗位,让企业数据安全工作更加坚实的落地,真正防范好数据安全风险,保障数据要素的流通利用,为数据经济创造真实的价值。
数据安全管理15讲第三期开放报名啦!
培训时间:4月29日-5月24日
本文作者
Smart,数据安全管理15讲课程主讲导师 ,成长性思维践行者,从事IT技术17年,7年+数据安全经历,拥有大型集团数据安全管理和大型IT项目安全实践经验。对安全领域法律法规、行业标准有较深研究,擅长“转化”成平台安全落地实践。
本文作者
Smart,数据安全管理15讲课程主讲导师 ,成长性思维践行者,从事IT技术17年,7年+数据安全经历,拥有大型集团数据安全管理和大型IT项目安全实践经验。对安全领域法律法规、行业标准有较深研究,擅长“转化”成平台安全落地实践。
「 一键加入数据安全及个人信息保护领域的知识宝库」
770+已加入
⬇️⬇️⬇️
「 数据安全合规知识星球 」数据安全合规专业人士交流社区
社区汇聚了近千位来自法律、合规、安全技术等多领域的专家。 社区提供丰富的资源,包括图解PPT、优质课程视频、话题研讨及问答、管理制度&评估工具&报告模板、典型案例合集等。 社区通过链接、分享、交流的成长理念,助力安全合规专业人士持续提升。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...