每天进步一点点
打造更好的的自己

安全管理的发展情景,我们来谈一谈

安全管理的发展建议,可以参考质量管理,同样取决于对企业带来的价值。重要价值的可以做到高薪和一票否决,低价值仅是低工资和应付检查。更关键的,在于自身的努力。

一、生产行业安全管理

安全管理作为一项系统的工程,简化起来大概有两方面工作,一是管理制度,二是操作规程,工作内容包括工业安全,消防安全,特种设备管理以及危险源管理,安全教育培训以及安全评价等。安全管理的发展方向同样可以在企业做安全管理,或进入咨询业和认证业。

证书持有方面,比较关键的是注册安全工程师和国家注册审核员。

安全工程作为交叉学科,面非常广,能真正做好安全管理工作绝对是全才,不仅要通专业知识,还要很会处事。专业方面,仅法律法规而言,最高可以到安全生产法甚至宪法,更细可以到GB/T或AQ的某一个标准,再到企业标准,作为外资企业,可能还要了解国家的法规。作为企业的安全管理人员,还需要具备和管理层、一线员工、班组长的沟通技巧,培训能力。具体内容,可以看注册安全工程师教材。

更为有利的是,国家已经开始重视安全工作,尤其是一次次重大、特别重大生产事故发生后,让这个行业的前景就会更亮。这一点,也是区别质量管理的地方,简直就是神助。

总的来讲,如果满足现状,肯定觉得没有前途,但是如果把工作做细,前途一片光明。

二、建筑行业安全管理

很多从事建筑工程的人都对安全员这个岗位有所偏见,安全员就是打杂管安全帽的。但是安全员真的就是这么没前途吗?我接触到的最高安全岗位从业者的年薪是46个W,我知道的是国家对安全员的要求是越来越高,我看到的是企业对安全管理越来越重视,我听到的是越来越多的大学本科非安全专业毕业生开始选择从事安全岗位工作,现在你觉得安全有没有前途?

1.安全这一行有没有前途?很多人瞧不上安全这个职业。

很负责任的告诉你,安全这一行绝对有前途。以前传统认识是做安全就是没出息、只有啥都干不了的人才去做安全。但随着社会发展、国家对安全的约来越重视,安全行业正越来越正规,对安全从业者的要求正越来越高(刚上任的安监总局领导说:要让懂工艺懂流程的人管安全,足以证明现在对安全从业人员的要求越来越高)。目前的人才行市场行情就是真正愿意静下心来做安全的人太少,真正懂安全的人太少。安全从业者整体处于供不应求局面(这也是很多高校开始开设安全专业的原因)。有学历有能力的安全人是市场抢手资源,而且,会越来越抢手。

2.安全如何快速入门快速提高自己?

不论哪个行业类型的安全,都有安全资料。安全资料体系是一套最完整的安全管理体系。建议初学者从资料入手(一般用人单位也会这么安排),最重要的是不能低头做资料,要自己多问一句为什么,这样能够很快成长起来,因为你知道前因后果,马快就能触类旁通,最怕就是低头不问的人,永远机械重复做一个事情,最后就跟生产线的操作工一样。安全资料是安全最快最好的入门点。

3.安全员需要哪些素质和能力。

安全工作最重要的就是责任心和原则性。安全工作来不得半点马虎的,出了问题是要承担责任的(法律规定尽职免责)。情商高低我认为是第三要素,最终决定你走的多高的就是情商这个东西,情商主要表现在与人沟通能力(安全工作者很重要的能力)和为人处世的能力(就是会不会来事)。当然,学习能力不用说肯定也重要,不学习自然就要被淘汰。剩下的就是自己的努力和坚持。

4.安全发展的趋势

未来的安全管理者一定是懂技术懂管理善组织沟通的综合体。一般(临电、脚手架、大型机械设备等)专业性较强的内容,因为技术负责人自身知识结构的局限性,很难编制或制定有效的安全技术措施。新生代安全员(尤其具备学历的安全员)因学习能力较强,正逐步承担安全技术员的角色。未来安全员将不仅仅是个管理者执行者,也将是一个安全措施的制定者,岗位重要性和岗位要求将越来越高。

5.安全岗位前途就是一片光明吗?

前途一定是光明的,但目前还笼罩着一点乌云:我们的安全管理发展还存在差距,目前仍然存在较多不合理的安全怪象,安全岗位从业者的地位和话语权急待提高,主要负责人的安全意识也急需提高。

三、信息行业安全管理

1、信息安全从业的几个分类:

(1)[漏洞挖掘/安全技术研究员]:研究对象:OS,网络,应用,通讯媒介及协议的安全漏洞和防御方法,偏重于底层技术,对技术要求最高,但不要求很全面,只需精通一两种流行的平台即可。其研究成果经常为IDS/IPS/Vulnerability Scanner插件作分析等,最新的技术可能被转化到产品中实现商业价值,或可能承担技术最高的一部分专业安全服务。主要技能:C\C++,ASM,OS kernel,调试器,反汇编、缓冲区溢出类,逻辑编程错误等

(2)[安全产品开发]:和其他程序员一样,只不过是面向安全产品,有核心引擎也有界面开发,如何成为一个优秀的程序员就不用我废话了吧,网上的Proposal多的是

(3)[产品工程师]:作为厂商的技术人员,一般是对自有产品做售后技术支持,如FW,VPN,IDS/IPS,Scanner,AV,AAAA,CF,UTM,SOC,Terminal Management,Vulnerability/Patch Management,Anti-DOS,Anti-Spam……该职位对技术要求一般,有一定的系统、网络基础,可以熟练部署产品即可,另外还有Testing和Troubleshooting的能力也是比较重要的

(4)[技术顾问/售前工程师]:作为厂商的售前,须对自有的产品和解决方案非常熟悉,售前偏重于架构/方案设计,Presentation,Documentation以及其他Presale Engineering的能力(如投标、销售推介技能),一般需要多年工作经验,有售后或者研发背景,对特定行业的理解-如曾在电信、金融或者SI的工作经验能增强竞争力,如能对专业安全技术服务及咨询服务有所掌握,会使你的知识背景更强势,项目管理技能也是必要的。

(5)[安全服务工程师]:个人觉得在安全工程领域,产品选型和部署相对简单,门槛较高的是专业安全服务,先不论当前行业内的安全服务技术人员实际水平如何,我只是就我的理解谈一下以下职位的技能需求。如渗透测试、安全加固、安全外包/安全监控,应急响应,高级安全技术培训,风险评估等要求技术人员对主流的操作系统平台,网络设备,数据库,企业应用有一定程度的掌握,并且需要融入对安全和攻防技术的理解,另外安全服务人员最好需要有信息安全管理和项目管理的知识。沟通表达以及文档撰写能力都是必须的。

(6)[安全架构师]:之前的售前工程师和安全服务工程师也要写整体解决方案,但从专业程度来说,他们还达不到安全架构师的技术高度,安全架构师须熟悉IT基础设施、容灾备份,大型企业级应用,安全集成,网络设计规划,网络安全产品典型部署,熟悉各种通信标准及协议,需要了解安全趋势和客户的整体安全需求,既有深度又有广度,需要较多的经验和技术。

(7)[信息安全咨询顾问]:信息安全既有技术也有管理的问题,如传统的Strategy、HR、IT consulting一样,Information Security Consulting也是专业服务中的主要业务,如:Risk Assessment、ISMS building、SOX Compliance……

(8)信息安全不可能脱离企业自身的业务和实际需求,否则便成了空中楼阁,信息安全管理应该是以企业管理为上层引导,信息安全管理为中间支柱,下层以计算机及通信技术为基础依托的三层结构,当然出售的最终产物是三层融合的整体解决方案,咨询顾问一般需要以下技能:

  • 熟悉各类安全标准--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
  • 相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
  • 咨询体系--企业经营管理,流程管理,人力资源管理,信息战略,法律法规
  • 基本技能--沟通表达、文档、项目管理
  • 技术体系--All above(不要因为我说了这句话趋之若鹜哦)

(9)[CHO]:这里并不是指人力资源总监,而是传说中的Chief Hacker Officer--首席黑客官,在国外某些公司设有此类职位,是更加纯技术的职位,从名字就可以看出他的技术偏向哪里,实际上应该是安全教科书中的Whitehat,从Know your enemy的角度讲,反黑的的能力也确实强

(10)[CSO/CISO]:一般只有较大的组织机构才单独设有首席安全官或首席信息安全官,在没有独立设置CSO职位的情况下,信息安全通常属于CIO/CTO/COO考虑的范畴,实际上也由他们扮演CSO的角色,因此换个角度—信息安全管理咨询应该是in CXO’s perspective,实际上高级咨询顾问到甲方即可成为CSO

2、通用且有一定竞争力的认证:CISSP,CISM,CISA,BS7799LA

3、可供职的厂商:

  • 国内专业安全公司:绿盟科技、启明星辰、天融信、联想网御、安氏
  • 国外安全公司:ISS、Mcafee、Symantec、Checkpoint、TrendMirco
  • 各大IT公司:Microsoft、HP、IBM、Cisco、Juniper、F5、Various vendors
  • 会计事务所:PWC、E&Y、KPMG、DTT……
  • 咨询公司:Accenture
  • 甲方:如电信移动、金融、各大门户、电子商务以及IT系统对内部运营起到关键作用的企业

4、薪酬

职位当然是影响Salary的重要因素,除此之外,审计师/咨询顾问、安全架构师和研究员的工资较高,外企的工资一般比国内企业高,在甲方的工资不一定有乙方高,主要看所在行业、企业盈利程度和对信息安全的**程度,但乙方高薪职位通常来说比甲方更忙碌,其实质也是用时间换工资,从行为经济学看未必很实惠。

5、职业发展路线

  • 研究员-高级安全研究员
  • 开发程序员-项目经理
  • 产品工程师-安全服务工程师-售前技术顾问
  • 产品工程师-安全服务工程师-安全服务项目经理
  • 产品工程师、安全服务工程师、技术顾问有两个发展方向:1.  偏技术方向—安全架构师;2. 偏管理方向—咨询顾问

甲方和乙方的角色切换,如果对当前的视角失去了兴趣,不妨换个角度,如果结婚了寻求安定不想出差可以去甲方,当然以上只是理论公式,现实生活中的“天花板”在哪里有机会可以自己去体验一下

6、知识体系结构

大体分为技术体系和管理体系吧

技术体系:

  • 对攻防技术的理解
  • OS、Network、Application、Data protection and related
  • TCP/IP protocol suits
  • 研究偏重底层技术,架构偏重网络

安全管理体系:

  • 各种信息安全技术/管理标准,审计及内部控制标准
  • 传统管理学大集合
  • 咨询及审计

其他:

  • 对客户业务的理解
  • 表达沟通,文档,演讲,项目管理和销售技能

假设你是一个刚毕业的学生,无非有两种方式,top-down和down-top的方式,但无论如何,此时你都不可能站在一个很高的视角上,因为你缺乏知识和经验。

down-top从安全公司做技术开始,由网络安全逐渐向信息安全过渡,top-down从四大或咨询公司开始,一开始就走咨询的模式。但我想大多数都是从做技术开始的。

假设把职业技能分级的话,我认为大致可以分为几类:

战略 - 管理 - 技术(技术管理)

技术的东西其实很容易学,操作系统、网络、数据库等无非就是依葫芦画瓢,学生时代花点力气自学即使不敢用精通(如果你的水平超过在职从业人员的平均水平,你就可以用精通,水平的高低完全不在于年龄的大小,也不在于从业时间的长短),熟悉还是可以的吧,计算机平台以外的信息技术可以到接触信息安全的时候再学业无所谓,毕竟信息安全的大头还是计算机网络通讯。如果你把这些想的很难,那你学起来一定很“艰辛”,如果你不把这些当成是什么,那么学起来自然很轻松。很多在外行人看来是大牛的角色,如果客观的用“知识容量”来衡量的话,就不会盲目崇拜了。

我个人认为CISSP的内容其实还不属于管理,更多的属于技术管理或技术的范畴。

如果进度比较快的话,技术基础学生时代即可完成,工作后主要是接触一些企业运营系统,了解各个行业中IT系统如何支撑业务运营,了解企业中的组织结构和角色、职能。

当试图向信息安全管理过渡的时候,首先必须切换自己的视角,不要时时处处都抱着技术的视角去看待并解决问题。那些国际安全标准和IT治理的最佳实践学起来一点都不难,难在如果你不懂企业管理、不了解企业运营、不了解行业的IT系统特性而硬要生搬硬套做咨询的话,就会发现一个知识大空洞。

很多人的职业生涯都“死”在视角切换不过去,不能站在更高的角度看问题。当然喜欢做技术倒也无可厚非。

从普通的技术人员向顾问过渡之后,即将面临职业生涯的第一个瓶颈,第一种选择是去甲方当CSO。

管理体系成熟的大公司可能会有以下职位:
首席风险官,CRO
首席安全官,CSO/CISO
首席保密官,CPO
内部审计总监

CRO,风险管理总监实际上主要是管理财务风险,IT风险只是其次,所以技术出身的人基本不可能胜任这个职位。
CSO,信息安全总监,出现频率最高,最有可能的职位。
另一方面,在国内单独设置风险/安全管理职位的企业并不多,一般是境外上市公司为了符合国外法规的治理合规性需求,或者是规模较大,对风险和信息控制比较敏感的企业。

如果你在企业组织架构中的位置远离最佳实践的治理水平,手脚施展不开,做不了事情,那就请联系猎头跳槽吧。

CSO不仅要精通信息安全技术,更要了解管理和商业,虽然总也有人试图对我表达一个精通技术的安全管理者是多么称职,但事实上,技术不是第一位的,包括如何借助国际标准建立ISMS的方法论等都是相对简单的事情,对CSO来说在组织中成功开展工作最重要的能力是EQ

一种职业发展是行业过渡,比如去甲方做CSO可以把自己换到任何一个行业,而另一种职业发展则是专业过渡,比如由纯粹的安全管理变成IT治理、风险管理,甚至变成财务风险管理,完全转变自己工作的性质内容和性质。

任何一个行业,任何一项职业发展都会有上限。一种“模式”必然伴随了一种“结果”。如果你选择了走某条道路,那么其结果也是八九不离十。大多数人工作多年后抱怨失去成长空间,其实就是没有规划,视野狭隘所致。实际上抱怨大可不必,因为这种阶段性的结果是完全可以提前预知的,每个人都必须为自己的选择承担结果。在你选择走这条路之前你就应该知道这条路通向何方!

虽然全球信息化趋势不可阻挡,这也造就了很多IT企业并向社会提供了大量的IT就业机会。但我并不看好那些狭义的IT职位。虽然常话说条条大路通罗马,但实际上不同的行业随着其资本积累速度和需求容量的不同,潜在的暗示着不同的行业仍有高低贵贱之分,就像CSO永远无法与CFO相提并论一样。如果你觉得行业的太容易走到“头”,那么尝试切换专业是必要的。对信息安全从业者来说比较明显的出路是找一家“面子”很大的咨询公司,自己尝试读MBA+自学补全财务,金融方面的知识,由IT风险管理转向真正的企业管理咨询或财务咨询,以后的出路才可能宽一些。这种模式可以再生出一棵很庞大的职业发展树,不过就此打住。

那些专注于技术本身的从业者,出路都不会很大。创业虽然也有蓝海,但是蓝海的SIZE对于这个行业来说本质上都很小,红海更是已经被争夺的一塌糊涂,并且你的成长速度将决定是否能在仅存的蓝海中活下来。

到甲方的话,CSO就是尽头吗?也不尽然,CSO可以继续变成CIO,关键在于自己的能力积累和角色转变。如果CIO成为推动利润大幅增长的的变革者,潜在的承担CGO(G:Growth),那么成为COO甚至CEO都是可能的,如果不能成为变革者,或者CIO只承担有限责任地位不高,那么CIO的职业生涯将到此为止。

自己的成长和环境选择是内因,职业发展还依赖于另一个外因:你所拥有的社会资源以及你整合资源的能力。学无止尽,时刻充电提高自己的能力和视野都是必要的,你所学到的知识不会因为公司不重视而贬值,社会需求将决定你的价值。

对时间的利用犹如投资,必须考虑:机会成本,投资组合,收益回报和风险。你今天走了这条职业发展的路,就没有时间走另外一条。你是在走慢速通道还是高速公路,还是坐飞机?假如道路A失败,你将如何延续发展等……

本文举了一些例子,实际上暗示了任何行业、任何职业都有职业再造,二次发力的可能。战略性的职业规划,有计划的迁移自己的知识和能力的重心,超越职业禁锢,不墨守陈规,做自己感兴趣并且有挑战的事情。

路不是越走越宽就是越走越窄,很多人觉得没有回头路就是因为只走不想,或者是几年前为了捡眼前的芝麻而丢了西瓜。大多数人蜂拥而去的方向往往是空间狭窄的,聪明的人从来不随大流,站在十字路口应该静下来想一想,我到底要以多少速度走哪条路?

本文的目的不在于向你穷尽职业发展的所有的轨迹,你至少应该明白那些“常规模式”只是目光短浅者自己给自己下套而已。不受传统观念的束缚,你将看到更广阔的空间,不过话不能道尽,剩下的留给读者自己想吧。

赞(0) 打赏
分享到: 更多 (0)

评论 抢沙发

评论前必须登录!

 

本站致力于建设自我管理和自我进化为核心的知识体系

海纳百川合作共赢

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏