「分野ごとにカテゴライズして知識を身につけること」「マネジメント力」「組織を理解し、経営層にプレゼンする力」
私は圧倒的にIT知識が足りない！と思って、とりあえずLinuxのコマンドを片っ端から覚えていたのですが…とんだ勘違い！暗号化やファイアーウォールなどの分野別に、それぞれの機能を抑えて、引き出しを作っておく、という勉強が必要なんだそうです。危うく違う道に進むところでした。駒瀬彰彦先生、ありがとう！頑張りますo(^_^)o
http://jibun.atmarkit.co.jp/fengineer/special/tosepolicy/sepolicy.html
おすすめ書籍が紹介してあります。少し古い記事なので、今はもう少し書籍も充実しているかも、との思いも一寸ありますが、「改訂版システム監査基準解説書」は私も仕事の手引きにしてます。オススメ！
「上原孝之」さんの本もいいと思いますよ。組織も、IT知識も、さっぱりなかった何年か前に、情報セキュアドの資格が取れたのは、彼の本のおかげ。わかりやすくセキュリティの概念、考え方を身につけることができました。「ど素人でも理解できる」。セキュリティの専門家になるなら、そんな表現力こそ大事なのかもしれません。うーん、上原さんにお会いしてみたいなぁ。