CSO说安全：王平：生命·成长·安全

王平

安言咨询副总经理

在安全行业从业17年，虽然没有做与安全相关的具体技术工作，但是也算是天天跟安全界的人打交道，如果真要说自己对安全的感知，我也只能从“安全的人才”方向跟大家做一个初步的汇报，希望我的浅薄观点可以给“战斗在安全一线”的你一点点的启发。

人才是指具有一定的专业知识或专门技能，进行创造性劳动并对社会作出贡献的人，是人力资源中能力和素质较高的劳动者。（中共中央、国务院2010年６月６日印发《国家中长期人才发展规划纲要（２０１０－２０２０年）》[1]）具体到企业中，人才的概念是指具有一定的专业知识或专门技能，能够胜任岗位能力要求，进行创造性劳动并对企业发展做出贡献的人，是人力资源中能力和素质较高的员工。

企业的人才总量包括经营人才、管理人才、技术人才和技能人才。经营人才指企业的单位负责人和部门负责人；管理人才、技术人才是具有中级及以上专业技术资格或本科及以上学历的人员；技能人才是在生产技能岗位工作，具有高级工及以上技能等级或具有专业技术资格的人员。

■信息安全专业-点析

2000年，当时云南省重点实验室开始探索“信息安全”，招生了第一批做信息安全的研究生，从密码学的探索性学习开始，一直到2003年毕业的时候，丁志强导师还在说：这是个很有前景的专业。

2005年我加入安言做CISSP的培训，彼时的大家对“信息安全”的理解状况是：即使在人流聚集的人广喊一嗓子“我是做信息安全的”，别人肯定会投来差异的眼光（这哥们儿估计有病吧？）。但是那个时候做安全招聘人员，我会自豪地跟应聘者说：来做安全吧，这个行业在未来10年都不会没饭吃。

一直到2010年，国家出台了信息安全的国标执行规范，信息安全专业才在国内逐渐得到认可。时至2022年，我依然还是敢说：信息安全行业尚在朝阳期。

信息安全作为一个相对新兴的领域，行业内对于人才的渴求度是非常高的。目前，全国信息安全人才缺口高达70万，但每年毕业生仅3万，相关人才可以说相当抢手。为了增加相关人才的数量，高校也趁势加快脚步增设相关专业，在这几年的新增审批本科专业中，共有38所高校新增了信息安全专业。

有人担心人才缺口这么大，高校会不会大量增设该专业，导致人才很快达到饱和？但其实不用担心，信息安全专业代码为080904K，而在代码后加“K”的专业，说明是国家控制布点专业，涉及国家安全、特殊行业，专业数量会受到限制。毕竟，该专业培养不好有成为黑客的风险。所以信息安全专业不太会大幅度扩招，人才缺口也会长期存在。

再从社会发展角度来看，随着社会信息化的加深，人类开始越来越依赖于各类电子产品，并且有越来越多的人把各类资产信息化后保存于各种设备中，这使资产的安全性也越来越受到人们的关注，人们也愿意花更多的成本去保护资产的安全。

也有人会担心，随着人工智能的发展，人在其中的作用会不会越来越低。不过要知道的是，信息安全的本质其实是正邪两派在网络空间的利益博弈，因此这种强制力对抗性质的东西是很难被人工智能所替代的。

总的来说，如果以十年为单位考虑自己的职业生涯的话，信息安全是一个非常明智的选择。

■信息安全-行业需求

据不完全统计，安全方面的人员缺口高达150万。在安全日趋风口的今天，每年安全行业在政府和各种机构、企业的牵头之下开展的各种展会、论坛和竞赛高达200场之多，出席的都是国家级、省部级领导。大家强调了主要围绕建立行业标准、示范项目和人才对接，从等保2.0、密码法的实施到2021年各种新法规的发布，国家也全力推进安全监管和行业变革，行业发展的前景也是毋容置疑的。

焦虑和内卷无处不在，如此的环境之下，更需要我们“认真于当下，放眼未来”，人无远虑必有近忧。自己能做什么？自己前期的积累有哪些资源可以为自己想去的方向助力？企业能在我的带领之下走多远？自己思考的点子跟运营中的合伙人头脑风暴一下，看看能不能达成大方向上的认同，把内部的沟通做到极致。

2004年CISSP的课程作为国内首个与安全相关的培训落户上海，开启了信息安全的培训首航；

2007年，交大信息安全专业作为国内首批信息安全的本科毕业生毕业；

2020年，国内已经有171个学校开设了信息安全专业（包括技校和专科学校）。

安全这个行业急缺的是人才，但不缺人，所以，对人才的要求不只是靠考一个简单的网络管理员证书就，冒充网络安全工程师就可以，那是根本行不通的。

安全行业是个对人的智商和情商要求都高的行业，所以作为安全的人才，终身学习才是生存之路。

■学习认知的改变

不同于在学校，工作中的学习目标更清晰。学校阶段是知识密集积累的过程，工作阶段则是知识运用的过程，如果用毛竹的生命过程来比拟这两个学习阶段，那么竹子的生根阶段就是学校学习的阶段，工作是竹子出土后的成长。

学校的学习相对填鸭和被动，而工作上的学习就要改变为“主动学习”，因为不再有父母的学费支撑，此刻你是为自己的生存而学，为更好的自己去努力，为成就自己而奋进。

■工作中学习的种类

知识学习：理论学习，书籍或视频、音频资料。

技能学习：别人实践后的成果案例，通过前人留下的对项目的描述，在实施过程中遇到的问题以及如何解决，达到解决实际问题能力的了解和提升。

■企业提供的学习方法

1、内部学习（自我学习小组）：内部知识库，每个人根据自己测试后的雷达图情况，自我选择加载自己需要的学习课程，也可以跟自己能力相当的人一起组成互助学习小组，完成在学习过程中的问题讨论，提升学习的效率；

2、师带徒：有专业基础的高校毕业生，让有经验的人来带，也是企业通过“导师制”方式让后备梯队可以快速学习的好方法；

3、沙盘演练：主要是让后备梯队人员主导相关的模拟工作项目，通过实际工作的历练，促进理论与实践的相互结合，同时通过发表工作实践案例检验其学习成果，根据模拟项目的难度分段实施循序渐进；

4、外部培训：针对某一项技能的快速掌握，送去外部培训机构做封闭式学习。

目前国内的安全培训，一种是公司内部组织培训，讲师为内部讲师或外聘讲师；另外一种是将员工外送到机构进行培训学习。

安全行业的特殊性在于行业新，成体系的课程少，成熟讲师难找，找得到也是价格很高。

机构的培训，除非定制化培训，否则也很难做到在很短的时间内让受训人员所学的知识点融会贯通，很多时候，机构为了追求学员的通过率会进行刷题战术。

■确立培训战略

培训的最终目标是提升员工的综合素养。技能培训方面，可以内训和外送培训相结合；素养类的课程，可以员工分类分小组一起学习，尤其是沟通能力的学习更是打开部门屏障的好方法。

培训的形式包括但不限于内训、外送培训、线上学习、线下小组学习以及团队沙盘演练。

服务性人才的单兵作战能力非常重要。更强的单兵作战能力不但能够提升客户满意度，也能提升员工满意度，还能降低管理成本。

■制订培训计划和跟进培训成果

年度培训计划和季度调整以及周跟进：

内训-录音并上载到培训平台，平台配备与内训内容相匹配的习题；

外送培训-考试结果存档，培训内容整理和内化输出；

线上学习-最开始每个人轮流做主持，后续主持人竞选并给予积分评价。

公司的人员管理，都是从“选、用、育、留”四个方面来梳理的，“传、帮、带”也一直是很多小企业惯用的低成本用人方法，但是问题在于，可以带人的老员工本来事情就多，带人的精力难免不足。相对比之下，公司的老员工对工作业务熟悉，风险点把控比较到位，但是老员工一般会存在“难题解决上创新能力不够”和“工作量加大时响应不及时”的情况。

所以，要想在有限的资源下快速地使员工达到“顺利解决事件” 的用人要求，可以尝试在规划时把人员分类，招聘高薪的人员让他来帮助我们解决有难度的事情，招聘低薪的人员帮助我们解决工作量的问题。那么从这个角度出发，在岗位规划上，可以用“有经验的”搭配“小白”或者只有1-2年工作经验的人，形成 “难度和工作量都可以拆分解决的”团队，再加入老员工在这个岗位上的风险把控，就可以完美地规划出一个“顺利解决问题”的战队。

现状：好不容易培养出来的人，能力上去后就离开了。

对于一个从事安全顾问招聘近10年工作的人来讲，能找到合适的安全人才，是一件让人非常欣慰的事情，曾经有一家在美国上市做人力外包的公司销售找到我，说想开辟国内信息安全人员的输出。从他们能提供的单价上看，我还是可以接受的，随后就跟他们一起做综合能力分析以及人物画像，根据画像帮我招人。结果一个月过去后，对方的销售跟我说：找不到合适的人。

一方面外面有很多人找工作，一方面企业非常的缺“合适的人”，安全行业尤其炽烈。我也看到有很多的培训机构，在以每年几千万的销售额做安全人员的培养，但仍旧不能满足日趋热烈的安全市场需求。

在“很多人找工作”和企业缺少“合适的人”之间，我看到了这样几个问题：

1、急于求成-得不偿失

很多人都抱着“先就业再择业”的想法，冲入就业大军，安全这个有潜力的行业，更是成了很多毕业生的首“冲”之路。

2、缺少职业素养-人才难成大器

技能证书的加载，项目经验的叠加，看上去2-3年就成就的漂亮简历实际上很多难经得起推敲，因为很多的伏笔都埋在了利益之中，殊不知经验的积累，尤其是沟通能力、管理能力的积累，不是一朝一夕就可以养成的。一屋不扫何以扫天下？此时的“一屋”就是一个checklist，彼时的“天下”可能就是某一个项目，那是一个个用心带着团队，用真诚沟通和认真态度叠加起来的交付，不是靠关系就能糊弄出的结果。

用签订培养协议的方式，将培养人和使用人两件事情贯穿起来，课程的设计和人员的能力一一对应起来形成定制化培训课程，搭配课后的习题考试以及系列课程完成后的现场实景演练，完成技能性的能力成长。

绩效和工作岗位职责的界定不仅仅在考核层面，如果要想激发出下属发自内心的投入，我们需要跳出操作层面，跳出盈亏，抓住大家都觉得更好更美的东西——一种所有相关人员不仅会支持，而且会全心热爱和拥抱的东西，你需要让你的生活和周围人的生活变得真正有意义。 

所有员工必须是一个整体，为着同一个目标奋斗的整体，公司的利益才能最大化。改变对于员工分工的考核机制，加大岗位职责和个人职责融入更大的整体目标。这首先也是一种企业文化，是一种尊重人和“帮助别人就是帮助自己的”的文化氛围。

孔子曰：三人行，则必有我师。是故弟子不必不如师，师不必贤于弟子，闻道有先后，术业有专攻，如是而已。

终身学习是一个人可以拥有成长性的源泉，那么学习的吸收能力，也是可以有参考的，从下图可以看到“转教别人”是能力转化的捷径。

■你值得拥有更美更好的东西

当今的社会浮躁不已，各种内卷也让每个人的内心焦躁不安，那么作为身在信息安全行业里的你，如何正身前行，如何让自己做一个“有生命力的人”呢？我这里给出一个捷径：

1、放下你的面具，用心伸出你手，你可以更快地收获到跟你同频的资源，可以更快地凝结出你的伙伴；

2、感恩你所遇到的环境，听从你的内心，找到自己喜欢的事情，并用一生去呵护。

找到自己喜欢的事情，还有一群跟自己同频的伙伴，可谓人生快事：一个人可以走的很快，一群人可以走得很远。

用乔布斯的说法：“展望未来，你不可能预知这些片段将如何串联起来，只有在回顾往事时才会明白其中的关联，因此你必须相信这些点点滴滴在未来总会以某种方式串联起来，你必须要相信某些东西，比如勇气、命运、生命、因缘等等。因为只有相信生命中的点滴一定会在未来相串联，你才会有听从自己内心的勇气，即使你的内心将引导你离开熟悉的寻常之路。这将让你变得与众不同。”

一个人的独立，是从经济和思想两个方面来衡量的，如果一个人可以做到有多大的能力，得到了与之匹配的薪金，并用这笔薪金买得起他的欲望，那么，我们可以定义这个人是一个独立的人，是一个成熟的人。

■如何找到心的美好？

在我们的生活中，到了一定年龄，就会出现各种危机，危机来了，试图改变，总觉得太晚了。

但是，就像美国那位八十岁的摩西奶奶说的：什么时候开始都不晚。

在我们生命的任何一个时刻，当我们觉醒，当我们回到我们的根源，回到我们的根本上，重新开始，那么，过去的一切弯路都会变得意味深长。那是一种不可多得的历练，都会变成一笔我们生命的财富。任何时候，我们个人都应该回到内心的热爱和相信，那样才可以找到属于自己的更美更好的东西。

心的作用，就是引领着我们找到“应该”去做的根源。

认真地去听和感受内心，我们可以就可以达到真正的自由。

愿每个行走在安全行业里的人都可以找到内心的热爱。

第二届超级CSO研修班全貌

过程回顾

开营  导师团  结营 

导师授课

谭晓生  刘新凯  欧阳梅雯  欧和  贺嘉  

吕一平  黄承  杜跃进  李吉慧  杨哲

学员论文

丛林  张福明  宋士明  冯斯恩  

王书魁  徐越  乔庆鹏

首届超级CSO研修班全貌

过程回顾

首发 CSO说 报名 导师团 领航 价值 开营 揭幕 结营 

导师授课

学员论文

向阳 廖位明 张永刚 郑太海 胡广跃 秦峰 黄乐 赵锐

洪岩  刘峰  

齐心抗疫 与你同在