如何规划自己的职业生涯 信息安全

发布网友 发布时间：2022-04-23 04:45

我来回答

共1个回答

热心网友 时间：2023-10-17 15:36

信息安全人的职业生涯规划

假设你是一个刚毕业的学生，无非有两种方式，
top-down
和
down-top
的方
式，
但无论如何，
此时你都不可能站在一个很高的视角上，
因为你缺乏知识和经
验。

down-top
从安全公司做技术开始，由网络安全逐渐向信息安全过渡，
top-down
从四大或咨询公司开始，一开始就走咨询的模式。但我想大多数都是
从做技术开始的。

假设把职业技能分级的话，我认为大致可以分为几类：

战略
-
管理
-
技术（技术管理）

技术的东西其实很容易学，操作系统、网络、数据库等无非就是依葫芦画瓢，学
生时代花点力气自学即使不敢用精通
（如果你的水平超过在职从业人员的平均水
平，你

就可以用精通，水平的高低完全不在于年龄的大小，也不在于从业时间
的长短）
，熟悉还是可以的吧，计算机平台以外的信息技术可以到接触信息安全
的时候再学业

无所谓，毕竟信息安全的大头还是计算机网络通讯。如果你把这
些想的很难，那你学起来一定很“艰辛”
，如果你不把这些当成是什么，那么学
起来自然很轻松。
很

多在外行人看来是大牛的角色，
如果客观的用
“知识容量”
来衡量的话，就不会盲目崇拜了。

我个人认为
CISSP
的内容其实还不属于管理，
更多的属于技术管理或技术的
范畴。

如果进度比较快的话，
技术基础学生时代即可完成，
工作后主要是接触一些
企业运营系统，了解各个行业中
IT
系统如何支撑业务运营，了解企业中的组织
结构和角色、职能。

当

试图向信息安全管理过渡的时候，首先必须切换自己的视角，不要时时
处处都抱着技术的视角去看待并解决问题。那些国际安全标准和
IT
治理的最佳
实践学起来一

点都不难，难在如果你不懂企业管理、不了解企业运营、不了解
行业的
IT
系统特性而硬要生搬硬套做咨询的话，就会发现一个知识大空洞。

很多人的职业生涯都
“死”
在视角切换不过去，
不能站在更高的角度看问题。
当然喜欢做技术倒也无可厚非。

从普通的技术人员向顾问过渡之后，
即将面临职业生涯的第一个瓶颈，
第一
种选择是去甲方当
CSO
。

管理体系成熟的大公司可能会有以下职位：

首席风险官，
CRO
首席安全官，
CSO/CISO
首席保密官，
CPO
内部审计总监

CRO
，风险管理总监实际上主要是管理财务风险，
IT
风险只是其次，所以技
术出身的人基本不可能胜任这个职位。

CSO
，信息安全总监，出现频率最高，最有可能的职位。

另一方面，在国内单独设臵风险
/
安全管理职位的企业并不多，一般是境外上市
公司为了符合国外法规的治理合规性需求，
或者是规模较大，
对风险和信息控制
比较敏感的企业。

如果你在企业组织架构中的位臵远离最佳实践的治理水平，手脚施展不开，

做不了事情，那就请联系猎头跳槽吧。

CSO
不仅要精通信息安全技术，更要了解管理和商业，虽然总也有人试图对
我表达一个精通技术的安全管理者是多么称职，但事实上，技术不是第一位的，
包括如何借助国际标准建立
ISMS
的方*等都是相对简单的事情，对
CSO
来说
在组织中成功开展工作最重要的能力是
EQ
一种职业发展是行业过渡，
比如去甲方做
CSO
可以把自己换到任何一个行业，
而另一种职业发展则是专业过渡，比如由纯粹的安全管理变成
IT
治理、风险管
理，甚至变成财务风险管理，完全转变自己工作的性质内容和性质。

任

何一个行业，任何一项职业发展都会有上限。一种“模式”必然伴随了
一种“结果”
。如果你选择了走某条道路，那么其结果也是*不离十。大多数
人工作多年后

抱怨失去成长空间，其实就是没有规划，视野狭隘所致。实际上
抱怨大可不必，
因为这种阶段性的结果是完全可以提前预知的，
每个人都必须为
自己的选择承担结

果。在你选择走这条路之前你就应该知道这条路通向何方！

虽然全球信息化趋势不可阻挡，这也造就了很多
IT
企业并向社会提供了大
量的
IT
就

业机会。但我并不看好那些狭义的
IT
职位。虽然常话说条条大路通
罗马，
但实际上不同的行业随着其资本积累速度和需求容量的不同，
潜在的暗示
着不同的行业仍

有高低贵贱之分，就像
CSO
永远无法与
CFO
相提并论一样。如
果你觉得行业的太容易走到“头”
，那么尝试切换专业是必要的。对信息安全从
业者来说比较明显

的出路是找一家“面子”很大的咨询公司，自己尝试读
MBA+
自学补全财务，金融方面的知识，由
IT
风险管理转向真正的企业管理咨询或财
务咨询，以后的出路

才可能宽一些。这种模式可以再生出一棵很庞大的职业发
展树，不过就此打住。

那些专注于技术本身的从业者，
出路都不会很大。
创业虽然也有蓝海，
但是
蓝海的
SIZE
对于这个行业来说本质上都很小，
红海更是已经被争夺的一塌糊涂，
并且你的成长速度将决定是否能在仅存的蓝海中活下来。

到

甲方的话，
CSO
就是尽头吗？也不尽然，
CSO
可以继续变成
CIO
，关键在
于自己的能力积累和角色转变。
如果
CIO
成为推动利润大幅增长的的变革者，
潜
在

的承担
CGO
（
G
：
Growth
）
，那么成为
COO
甚至
CEO
都是可能的，如果不能成
为变革者，或者
CIO
只承担有限责任地位不高，那么
CIO
的职业生涯

将到此为
止。

自己的成长和环境选择是内因，
职业发展还依赖于另一个外因：
你所拥有的社会
资源以及你整合资源的能力。
学无止尽，
时刻充电提高自己的能力和视野都是必
要的，你所学到的知识不会因为公司不重视而贬值，社会需求将决定你的价值。

对时间的利用犹如投资，必须考虑：机会成本，投资组合，收益回报和风险。你
今天走了这条职业发展的路，
就没有时间走另外一条。
你是在走慢速通道还是高
速公路，还是坐飞机？假如道路
A
失败，你将如何延续发展等……

本文举了一些例子，
实际上暗示了任何行业、
任何职业都有职业再造，
二次发力
的可能。
战略性的
职业规划
，
有计划的迁移自己的知识和能力的重心，
超越职业
禁锢，不墨守陈规，做自己感兴趣并且有挑战的事情。

路不是越走越宽就是越走越窄，很多人觉得没有回头路就是因为只走不想，
或者是几年前为了捡眼前的芝麻而丢了西瓜。
大多数人蜂拥而去的方向往往是空