搞資安的就一定是程式高手??
實在很不認同這句話~~

資訊安全~~不管是ISO27001還是PCIDSS幾個目前在台灣業界較有名的資安領域
還是認證體系中的CISA、CISM、CISP、CCSA、CompTIA Security+（太多了 @@）
都沒看到成為一家資安專家一定要是程式高手的前提
並非貶低程式設計師，而是二者的工作領域和專業真的有很大差異

我反而比較認同的觀念是
資安專家是具備了IT領域通才型的能力，並且以不偏不倚的中立角度看待每件資安事件並解決它，同時也具有企業流程知識領域與軟性溝通技能的專業人才
這樣的人才能以全觀的角度去看待企業裡資訊安全的問題，並且將專業的術語轉成白話文轉述給企業裡的使用者

個人經驗：看過所謂太多的高手了，無法說服使用者接受資訊安全的規範，再厲害也沒用，都是廢話

我個人認為，資訊安全的精神在於『針對資訊安全領域目標中的每個流程，去檢視流程、改善流程、控管流程、稽核流程，避免流程中的暇絲造成企業的損失或是危害』

以ISO27001來看資訊安全，有太多的規範及Paperwork要去遵守，我個人來看，ISO27001是資訊安全領域，也是一種企業流程改善，簡單說，從事ISO27001比較像在搞流程管理，不像從事資訊領域的專業人員；因為大多數人被文字上的意義搞迷糊了，以為『資訊』安全就一定是和資訊人員有關係，不否認，企業裡能大量碰到敏感性資料的人，除了高階主管外，就屬資訊人員是首當其衝了
但是就是因為如此，我認同資訊專業領域需要有一位資安人員，但是不應該由這位資訊人員去 leader 資訊安全專案（以 ISO27001 來說，由於需要每半年稽核一次，往往做完 ISO27001 後，由原執行人員來執行稽核動作，所以PS.我有2年沒做ISO27001了，如果有誤請見諒），這樣反而出現所謂的球員兼裁判的謎思，
在企業裡，所謂的資安專家可能就是意指這些稽核人員了，至於是不是資訊高手，就見仁見智了，通常企業裡做資安的，往往都是企業裡的黑臉（笑）

個人想法：
所謂的資安專家，真正有當過PG、SD、SA的高手，不敢說沒有沒有這樣的人才，只是麟毛鳳角
當然這樣的人，如果不是太混或是太爛，在資安界應該都有不錯的發展，畢竟現在資安的很多問題，是出現在SA、SD系統開發時就沒有考慮資訊安全這個領域，這方面的人才，真的有他的優勢

shunyuan提到：
資訊安全，是一門很深且很廣的學問，真正搞資安的專家，鐵定是程式高手。

資安是否是程式高手,這我不以為然,且高手的定義為何? 精通一種還是十種? 精通程式設計漏洞? ...
資訊安全包含很多層面,政策.策略.程式碼.系統.設備.應用軟體.平台....您應該只是說明了其中的一小項而已(程式碼的安全性)
都要面面俱到精通的資訊安全領域高手,與工作背景與學習背景有所關聯,你想,寫程式的人各種領域都有,然有多少人是資訊領域出身的? 有些人連外文文件都看不懂,連封包剖析.網路行為.社交行為.甚至連基本指定及判斷的邏輯都不是很清楚,甚至工作規模不大,考了幾張認證,這就是專家?
資安歸資安, 程式歸程式~ 只是程式考量的周嚴度會影響應用層的資訊安全疑慮層度.

我不知你在陳述什麼?
雖然資安是非常重要的一件事.
但看使用者需求,專案要件..因素而定.
我不是什麼資安專家.但我可以看出系統的安全問題.
在我開發8年程式經驗.換過多家公司,主管.參加很多專案.
坦白說.沒人重視安全.
我只能說,功能面是立即可看到的功效,也就是你的績效,你的獎金.
資安是遇到時才會痛.
每當我參與專安初都很熱血,提出很多建議和一些系統的疑慮.
但~最後大家都會說,誰提的誰負責..
反正官大學問大,學歷高的說的算.
所以何必在意!反正總有人要扛.

資訊安全是屬於後續維護的工作，
網站上線後總是面對的廣大的網際網路，
基於公司、使用者隱私，
資安當然會重到重視。
沒有必要將資安和程式分開談，
也沒必要兩者結合，
只是能夠顧慮到安全寫出來的程式，當然最佳。
不過您似乎在尋求某種道理呢，會提出很多不同的論點向大家尋求解答。

通常資安問題都是程式高手搞出來的...那些寫病毒、木馬的 ...肯定都是程式高手，也是搞（亂）資安的...

資安分兩段
1.懂資安
2.懂佈署資安

大多數的人只有第一選項的概念,第二項幾乎都是來自廠商
講大家都會講,做不見得會,除非公司很有預算

至於程式也屬於資安的一塊,程式與Client 端握手的行為也是與資訊有關
我之前bebug某智慧電視的後台App,Client端每個App與後台握手的次數
也會影響到整體系統的效能,當大量Client App在與後台溝通,系統與網路承載
都會有很大的關係,而且都還沒加密,我也沒學過寫程式,但是網路的分析軟體
是可以debug每個封包的內容,結論是吃飽太閒的人會兩樣都看,但是只是吃飽
的人,就沒那麼閒去搞這個了。