信息安全人员的招聘的一些常识
1、人的精力是有限的,什么都会就很难什么都精通;
2、精通云平台或者数据库管理系统本身就能拿很多的工资,薪资甚至比做信息安全还要多;
3、当目标人员薪酬水平达到一定阶段,他已经很难有机会再去做一些具体的基础性的操作工作;
4、即使找到了什么都会,各方面能力又比较突出的人,那么一旦这个人离职很难找到可以替代的人选;
5、目标人员存在期望薪酬,我们晓之以理动之以情使之以低于预期的薪酬入职进来,这样的人很难留住;
6、渗透测试人员与安全攻防研究人员具有相似的知识结构,他们可能同时也熟悉编程;
7、信息安全产品的研发人员并不都具有充分的信息安全攻防知识,他们可能只是负责实现各种产品中通用的展示部分;
8、信息安全厂商的安全咨询顾问与甲方的信息安全管理人员具有相似的知识结构。他们可能同时喜欢攻防技术,但这些人员在日常工作中不大有精力从事编程;
9、技术难度大的岗位一定需要更多的钱,但在日常安全建设和运维过程中不一定能带来性价比。
如:对甲方用人单位来说,招聘一个操作系统底层的漏洞挖掘人员,发现一个具体操作系统的漏洞除了能让你提前加固这个问题外,更多的是带来荣誉。可是漏洞还有很多,加固一个漏洞对整体的信息安全强度的提升非常有限。而一个什么都了解一些的安全运维人员,通过对外安全意识宣贯和积极的补丁管理却能在整体上对安全大大加强;
10、我们不能期望任何人没有持续深入到具体场景,而创造出能够落地的信息安全管理制度;
11、安全原理、标准规范、攻防技术、漏洞挖掘、系统运维、架构开发、数据分析能精通其中一样就已经很不容易了,你还想要能说能写能交流、形象好气质佳、具有丰富工作经验且年纪不能太老的?嗯,多给钱,相信这样的人一定有的,呵呵,呵呵呵。
最后,组织的目的是使平凡的人做出不平凡的事。组织不能依赖于天才。因为天才稀少如凤毛麟角。考察一个组织是否优秀,要看其能否使平常人取得比他们看来所能取得的更好的绩效,能否使其成员的长处都发挥出来,并利用每个人的长处来帮助其他人取得绩效。组织的任务还在于使其成员的缺点相抵消。
最后这条是德鲁克说的,如有不服请找德鲁克理论:)