甲方安全工程师生存手册 xi4oyu 2016-04 目录 •甲方安全的目标 •找准方向和定位 •把事情搞定 •成长与发展 甲方的安全目标 •甲方和甲方安全工程师 •安全目标： –不让安全成为业务发展的瓶颈 –让安全成为产品的feature，成为竞争力 •甲方中的乙方 找准方向和定位 • 公司于我的诉求 –想解决什么问题？ –看重哪方面的才能？ • 个人诉求 –求仁得仁 • 寻求一致的发展目标 目录 •甲方安全的目标 •找准方向和定位 •把事情搞定 •成长与发展 快速进入状态 • 熟悉组织架构 –关键人 –关键技术 –关键资产 • 熟悉组织的做事方法 –自下而上VS自上而下 –从别人的实践中学习（Case Study的重要性） • 心态和做事方式的转变 –Be Professional 从了解目标出发 • 搞清要解决的问题 –熟悉问题的背景 • 到底什么问题需要解决 • 质疑问题本身的合理性 • 理解所处的大环境 –全局视野 –了解问题的外延 • 自身的期待 –我能从中学到什么 Case 1：安全运维工作 • 自身目标 – 及时有效的处理安全问题，消除安全隐患 • 问题的大环境 – 整个防御环节均有效发挥作用？ – 查漏补缺：各个方向是否有所缺失和改进空间？ • 自身提升 – 快速熟悉组织架构 – 增加对业务的熟悉程度 – 安全防护有效性的全面思考 – 威胁的实际影响的重新认知 – 新姿势的获取：自身知识体系的盲区 方案的有效性 •可行性和有效性：注重TCO和ROI –可落地 –可量化 –可发展 方案的选择 • 整体和部分 –找出关键点 –局部最优VS全局最优 • 优劣势分析 –扬长避短 –快速试错 –避免重复造轮子 平衡的艺术 • 不需要每件事都做100分 –不是所有的问题都有解 –注重可改进性 • 新技术的诱惑 –阳春白雪vs下里巴人 •培养同理心 –推动的艺术 –坚持和妥协 –时机的重要性 方案的执行 • 一个小故事 外力的重要性 •公司内部：借人/借势 •甲方同行：借鉴 •乙方同行：借力 总结与汇报 • 汇报：贯穿始终 –及时了解进展 –协调资源 –及时调整目标 –阶段性成果 • 总结：有始有终 –从（别人的）错误中学习 –增强对问题的判断力 –注重最佳实践的积累 –眼界的提升：广度与深度 日常的积累 • 技术更新 • 见识和眼界 –杂货铺：打通技术、产品与商业 –功夫在诗外 • 熟悉法律和合规 – PCI-DSS，ISO27001… • 借鉴但不僵化 • 快速学习的能力 –《The first 20 hours-How to learn Anything》 Whole Picture 确定目标 方案选择 日常积累 方案执行 汇报与总结 Case 2 事情跟进 • 问题：XX将负责跟进此事 1. 2. 3. 4. 5. 6. 7. 跟进的事情处于全局的什么位置？ 需要我要做什么事情（主导者/观察者）？ 什么是这件事情的关键节点，关键人，关键资源 在执行过程中可能遇到的重大问题有哪些？ 以什么样的频率进行反馈，反馈什么，反馈给谁？ 什么事情标志此事的完结？ 事情的完成标志着什么？ 目录 •甲方安全的目标 •找准方向和定位 •把事情搞定 •成长与发展 成长与发展 • 努力与专注 • 从提问题到提方案到整体规划 • 培养自己的抓核心的能力 • 与麻木为敌：惯例vs突破创新 • 打造核心竞争力：技术、资源、人脉 • 心境的修炼 说在最后的话 做个正直的人