Question

金融企业的信息安全人员，主要分成两类：第一类，专职的信息安全团队成员，其中分为团队负责人、安全管理和安全技术几个子类。第二类，开发或运维团队中从事信息安全工作的人员。

第一类可以由第二类转化而来，第一类的几个子类间也可以相互转化，例如，开发人员转型开发类的信息安全人员，然后转型为专业的安全人员；运维人员转型至运维类的信息安全人员，然后转型为专业的安全人员；安全管理人员可以转型为安全技术人员；安全技术人员也可以转型为安全管理人员。诸如此类。

对于专职的信息安全团队成员来说，如果确定要从事信息安全工作，首先必须先考虑清楚，自己是走安全管理路线，还是走安全技术路线；然后一旦选定，就埋头苦干三年，在自己负责的领域做到极致，从 0 到 1，从 1 到 N 不断地学习成长；之后在专业的基础上，继续选择是在深度上继续进阶，还是在广度上拓展；最后，考虑是走向安全团队负责人、CSO（首席安全官）、还是转型去其他团队。对于信息安全团队成员来说，如果想突破信息安全领域转向其他领域工作，就要尽早实现转型，否则难度很大。

对于开发或运维团队中从事信息安全工作的人员来说，角色会有点“尴尬”，似乎既懂开发或者运维、又懂安全，属于复合型跨界人才，但会面临两者都知道、两者都不精的情况，很难在专业能力或者管理能力上有大的突破。所以建议要么尽快转型做安全团队专业人士，要么转型做开发或运维团队专业人士，或者让自己具备能力做团队主管，走管理路线。

总体来说，由于信息安全功能定位的特殊性，信息安全与科技主营功能，以及金融企业的主营业务之间，都有点距离。这也导致了信息安全团队的规模较难壮大，中小型金融企业往往只能安排 1~3 人专职从事信息安全工作，大型金融企业可以拓展到十人以上，极少数国内大型银行才可能达到几十人的规模。所以，信息安全在金融企业内部的功能相对来说比较局限，只能是一个相对较小的舞台。最高的职位也许能做到安全总监或 CSO，大部分充其量就是安全团队主管的角色。这就是安全团队的“天花板”问题，如果“天花板”已经基本确定不会是很高的角色，那么信息安全团队的成员，应该把自己培养修炼成非常“高精尖”的技术专家，或者转型至其他团队，或者走管理路线。

有个不一定绝对、但相对比较真实的说法是：如果你想成为公司的 CIO，带领数百上千人的团队，主导公司内部 IT，成为老板甚至是董事会眼中的热门人物，那么还是不要选择信息安全，如果你的终极目标是企业的 CEO，那么也请尽早离开信息安全领域，去做企业的主营业务。

任何一个硬币都有两面。有利的一面就是，信息安全作为一项基础性功能，已经越来越成为信息科技部门下开发、运维、规划等各子专业的人员必备的技术之一。因此，具备信息安全专业能力，也许可以让信息安全从业人员在转型至信息科技部门的其他专业团队时，更具有差异化的竞争力，而不是让他们一直保持为专门的信息安全专家。

关于安全从业人员职业规划的其他话题，后面第 24 章还将详细介绍。