http://bbs.chinaunix.net/thread-711737-1-1.html信息安全从业参考(摘录)
信息安全不可能脱离企业自身的业务和实际需求,否则便成了空中楼阁,信息安全管理应该是以企业管理为上层引导,信息安全管理为中间支柱,下层以计算机及通信技术为基础依托的三层结构,当然出售的最终产物是三层融合的整体解决方案。
职位当然是影响Salary的重要因素,除此之外,审计师/咨询顾问、安全架构师和研究员的工资较高,外企的工资一般比国内企业高,在甲方的工资不一定有乙方高,主要看所在行业、企业盈利程度和对信息安全的重视程度,但乙方高薪职位通常来说比甲方更忙碌,其实质也是用时间换工资,从行为经济学看未必很实惠。
http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=919526信息安全职业生涯(摘录)
技术的东西其实很容易学,操作系统、网络、数据库等无非就是依葫芦画瓢,学生时代花点力气自学即使不敢用精通(如果你的水平超过在职从业人员的平均水平,你就可以用精通,水平的高低完全不在于年龄的大小,也不在于从业时间的长短),熟悉还是可以的吧,计算机平台以外的信息技术可以到接触信息安全的时候再学业无所谓,毕竟信息安全的大头还是计算机网络通讯。如果你把这些想的很难,那你学起来一定很“艰辛”,如果你不把这些当成是什么,那么学起来自然很轻松。很多在外行人看来是大牛的角色,如果客观的用“知识容量”来衡量的话,就不会盲目崇拜了。
如果你选择了走某条道路,那么其结果也是八九不离十。大多数人工作多年后抱怨失去成长空间,其实就是没有规划,视野狭隘所致。实际上抱怨大可不必,因为这种阶段性的结果是完全可以提前预知的,每个人都必须为自己的选择承担结果。在你选择走这条路之前你就应该知道这条路通向何方!
那些专注于技术本身的从业者,出路都不会很大。
虽然常话说条条大路通罗马,但实际上不同的行业随着其资本积累速度和需求容量的不同,潜在的暗示着不同的行业仍有高低贵贱之分。
http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=1163970CSO的生存艺术(摘录)
要解决这个问题,首先要不断让自己的知识重心向高维度和多平面迁移,例如有时间可以看一些经营管理方面的书,尽可能的熟悉公司的业务,多看一些分析师,投资者,专家对本行业的评论,多培养自己的逆商AQ,知道你的上司、老板的业绩压力是什么,知道他们的痛处,
很多时候出台一个什么政策,让你去做一个什么策略,写个什么文档,往往只是表面现象,背
后另有深层次的原因。如果不闻不问按自己的理解往往会对不上需求,切勿闭门造车。等EQ
攒到了一定程度,自然临渊而知深浅,闻一而知三。
在会议上,不要急于表达安全策略的具体内容,应该倾听业务部门的“牢骚”,分析
他们的牢骚的原因,从而变通策略的形式或者暂时搁置在所有的策略文件中,要非常注意措
词,在发送邮件前,要仔细斟酌,不要逞“快”,一定要站在阅读者的立场揣摩一下对方的心理。
推策略尽可能通过流程,而不要把自己放在炭火上烤,是安全职能向公司的业务推策略,而不
是你在向别人推策略。
如果CSO缺乏智慧,整个团队必定弱势,更不用谈那些分蛋糕的事情了。
安全事件发生时你可以以退为进的暗示:人、流程、技术上的一系列问题,以及资
源的不足。
中庸
奉天子以令不臣
们的工作首先要与关键业务绑定,凡事分轻重缓急。深入关键业务,利润中心
信息安全=人(权、责)治理+事(流程,程
序,操作指南)+技术(标准、策略)IT,是对人的流程和对技术的架构
创建治理结构,变人治为法治,但仍需要变通
从管理的维度看,任何技术都只是最后的实现手段,问
题只在于select哪一种。当试图解决问题时,应首先从管理的角度去分析,因为技术现象背
后的本质往往是管理的问题。在执行的时候应恢复到具体的技术视角,这样不断的切换视角,
变换维度才能在组织中、工作中的各个层面游刃有余。

http://hi.baidu.com/mwpeawbpjrdfjse/item/254ffcbb478ff346ba0e1239闲话信息安全入门(摘录)
安全首先是对风险的管理