優秀信息安全架構師橫跨業務和技術兩界。寫出清晰切實的職位描述，可確保雙方都理解該角色的職責。

無論什么角色，對職責和職位期待的良好溝通，都是職場人士成功的關鍵。這種溝通，始于一份切實透徹的職位描述，是職位招聘時的重要基準，是員工入職后的業績觸點。職位描述，也是幫助安全團隊經理緊跟多種角色發展的基線。

任何良好的職位描述，都會涉及該角色的職責和重要性，還會列出其在報告層級中的位置。對角色的需求，比如資質證書、技能、經驗和學歷等，也會包含在職位描述中。因為角色重要性和報告層級各公司迥異，這里就僅論述職務描述中的職責和需求部分了。

針對信息安全架構師職位，盡管各行業具體要求不同，但其總體描述，總脫不開：高級員工，負責計劃、分析、設計、配置、測試、實現、維護和支持公司計算機與網絡安全基礎設施，響應監管與風險變化。信息安全架構師需要知曉業務，對其技術和信息需求有廣泛了解，能夠開發和測試安全架構以保護其各類系統。

一、關鍵職責

職責，就是信息安全架構師應負責的任務和目標。取決于公司所屬行業或特定需求而有所不同，但都包括：

為生產環境設計、建立并部署企業級安全系統;

將標準、框架和安全，與總體業務與技術戰略相彌合;

識別并交流當前及新興安全威脅;

設計安全架構元素，以便在威脅冒頭時加以緩解;

創建在業務需求與信息及網絡安全需求中取得平衡的解決方案;

在現有及提案架構中識別出安全設計缺陷，提出修改或強化建議;

采用當前編程語言和技術撰寫代碼，完成編程，進行應用測試與調試;

在解決方案部署或系統轉換中培訓用戶。

二、技術與能力

這一節給出了所需的基本技術技能，以及公司可能會期待信息安全架構師具備的資格證書或學歷。

1. 關鍵技術包括

(以下方面的5年或5年以上經驗)

安全架構，解決方案交付、原則和新興技術展示——安全解決方案設計與實現。這包括對這些解決方案的持續監測與改進，與信息安全團隊的協作。

安全最佳實踐的設計開發，以及企業級安全原則的實現中，為達成業務目標，符合客戶與監管需求，所涉及到的咨詢與工程工作。

云計算安全考慮：包括數據泄露、身份驗證失效、黑客攻擊、賬戶劫持、惡意內部人、第三方威脅、高級持續性威脅(APT)、數據遺失和DoS攻擊。

身份與訪問管理(IAM)——企業中對敏感技術資源訪問的限制與跟蹤所需的安全策略與技術框架。

2. 以下方面的知識與經驗

VB.NET、Java/J2EE、ColdFusion、API/Web服務、腳本語言，以及 MS SQL Sever 或Oracle之類關系數據庫管理系統(RDBMS)。這是在企業中建立安全所需的一些技術元素。

國家標準與技術局(NIST)制定的相關標準。不符合NIST設立標準，以及ISO27001、COBIT和COSO標準的系統，在合規及安全架構上都會有所欠缺。

ISO27001——策略與規程框架的規范，包括企業風險管理中所涉全部法律、物理和技術上的控制。

信息系統和技術控制目標(COBIT：國際上通用的信息系統審計的標準)。

美國反虛假財務報告委員會下屬的發起人委員會(COSO)，一個對抗企業欺詐的聯合倡議。

Windows、UNIX和大型機。

3. 通用技術

面對不同受眾的優秀溝通技巧——強批判性思維和分析能力。

強領導力，強項目與團隊構建能力，包括領導團隊的能力，以及在不同部門驅動項目與計劃的能力。

業務過程、運營、信息安全項目及技術工程相關風險的識別能力。

成為企業安全主題專家，向非技術背景人士解釋技術問題的能力。

4. 可能的認證要求

注冊信息系統安全師(CISSP)

注冊信息安全經理(CISM)

注冊信息系統審計師(CISA)

信息系統安全架構師(ISSAP)

信息系統安全工程師(ISSEP)

SANS相關認證教育要求可能各有不同，但大多數都要求有信息安全、工程、數學或相關領域的文學或理學學士學位。IT領域碩士學位是加分項，網絡安全專業的碩士學位是更大的加分項。

馬特·梅林，Palo Alto Networks 醫療健康安全架構師，認為經驗和工人的業績，有時候比證書更能說明問題。

通常CISSP是基本要求，但只要你的背景經歷清楚地顯露出在建立安全解決方案方面的大量經驗——就像我一樣，那你就有可能僅憑經驗和學歷勝出。

三、行業特定要求

某些行業可能會在信息安全架構師職位描述上有些特別的要求。尤其是在醫療保健這種需要對電子病歷(EHR)系統和HIPPA合規深入了解的行業。

阿克塞爾·沃什，賽門鐵克醫療保健解決方案架構師，稱該“生態系統復雜性”意味著安全架構師需要具備多方面的技能。

我不認為有其他什么行業，像醫療行業一樣有這么多系統同時運行著來自不同廠商的不同平臺。

除此之外，醫療行業信息安全架構師還面臨著一大挑戰：創建的安全系統不能阻礙病患護理。比如說，ATM在PIN碼多次輸入錯誤的情況下可以暫停服務，但面對剛從18小時輪班中下來的疲憊醫生，這么做顯然是不合適的。而且，附加的安全層必須小心部署，不能影響到生產力，還得定期重新評估。

四、如何吸引到頂尖人才

薪資調查機構PayScale數據表明，信息安全架構師薪資范圍在8.4萬美元到16萬美元之間，平均是109,794美元。

除了薪資，人的因素也很重要——學習欲望、開發欲望和接受挑戰的欲望。

在醫療保健行業，使命感同樣很重要。“你會發現這行有很多人對他們的工作是抱著理想主義精神的。他們認為，‘只要我讓醫院維持運轉，我就是在為我的社區做好事。’這是醫療保健行業所能提供的神圣使命感。”