该如何学习信息安全体系方面的知识？

这个分享，缘起今天登陆知乎，发现有个问题。“你好，麻烦推荐下安全体系方面的书籍教材。谢谢”

本来想列出一大堆书籍告知这个朋友

@mingyue

 ，但是我想了想，书只是知识的固态展现，如何来融会贯通的学习，将知识能够灵活的应用起来才是最重要的，所以我先列出学习的总体思路是什么。

目前这个答案适合在信息安全领域工作2-5年的从业人员看，后面也会烦请

@刘巍然-学酥

 一起合作，补充相关书籍名称和内容，更好的适合各个阶段的人员看：）

建议先看isaca机构的cisa教材，特别是2008版本的教材。个人觉得这个教材在“大”安全体系方面的切分会很容易让人理解大安全是什么样子的，如何深入学习下去。原因如下：

1，cisa里面囊括的不仅有信息安全，还有it审计、it治理、安全治理、itil、bcm、软件开发安全生命周期的内容。而且cisa本身是一个审计书籍，所以它是站在第三方（或者说独立的审核视角）来看安全的。它的展现不像cissp、itil等材料仅仅是知识的展示，而是灵魂的展示（这句话可能比较难以理解，我后面再解释下）

2，初看cisa，会发现这本书里面写的东西只说了关键点，让人感觉不过瘾。感觉是说到点上，又蜻蜓点水的感觉。但是我的理解是初看csa就是把自己对安全的认识从“不知道自己不知道”提高到“知道自己不知道”，然后自己再根据这些点去补充缺乏的知识。比如cisa2008的第二章，it治理可以自己再去翻看cobit等资料，第三章软件开发生命周期可以去翻看微软SDL的书，第四章itil可以去翻看itilv3和对应的5个生命周期的书籍（有5本书英文书被翻译成中文的，共计4000多页）。第五章信息安全可以翻看all in one的cissp，第六章bcm可以去翻看业务连续性的两本书（也是英文译过来的）。当然，你在看这些书籍的时候，可能也会发现关联到其他知识领域，比如看cissp的安全运营cbk时，发现又会关联到owasp的web漏洞利用。看bcm时，又会关联到togaf。当你把这些关联知识都学习到了，并且能够理解其细微的原理或协议，你已经不知不觉得把安全的认识又提高到“不知道自己知道”。这个时候，你再去看一遍cisa，你会发现原来里面的关键点再结合第一章it审计（不用纠结为什么是it审计，而不是安全审计，当融会贯通后会发现安全审计脱胎于it审计，思想都是共通的），可以教你如何融会贯通的来看安全，解决安全问题，思想是什么？ 这就是我说的灵魂的作用。这个时候，对安全的认识就提高到“知道自己知道”的境界。恩，当然到了最后一步，就不是仅限于cisa的这些知识点了，多看看freebuf的文章，理解新的安全技术和架构，有助于知识和实操的结合。

恩，上面也或多或少说了点书籍的内容，但是具体的书名我就不敲了，网上找一找就知道了。我只想说，这样学习后并且融汇贯通，组建的安全体系才是可运转的。安全组织在公司内会具有很强的影响力，很多业务部门会愿意和安全部门来合作。安全流程是可以和业务交融共同发展的，并不会阻碍业务的发展。安全技术是可以灵活支撑的业务和安全需求的，实现 体验好、效率高、又安全的格局。