作為高管層安全獵頭，每周都要花大量時間在2件事情上：與CISO或即將成為CISO的人商談，以及為想要招募安全主管的公司提供顧問咨詢。

[[240114]]

招募安全主管的公司企業分為三類：***類，知道自身風險承受力并對自身安全項目有著明確預期的;第二類，認為自己知道但仍有點不確定，因而需要面試不同層次的應聘者才能做出決定的;第三類，被數據泄露的新聞報道嚇到，雖不清楚自身需求，但知道自己應盡快搞清所需的企業。這三類企業都有機會找到合適的安全主管。

如果你的公司也正在招募安全主管，那首先得確定自身屬于上述哪一類潛在雇主。然后再考慮下列注意事項。

三個不要

1. 不要列出全功能安全項目所需的全部技能并塞到職位描述中去

考慮清楚你公司當前的安全態勢和風險承受力。美國新思科技公司日前發布了一份CISO報告，對CISO“部落”進行了一番有趣的探索。你的公司將安全視為公司業務促進者還是單純的技術、合規或燒錢中心?不妨描繪一番自家公司在安全領域所處的位置以及想要到達的地方。只要描述到位，那些無意加入的安全主管在面試過程之前就會自動退出，省下你寶貴的時間。

2. 不要在招聘版上放出安全主管職位

首先，這會消耗你大量時間，因為你將收到400-500份簡歷(很多人覺得自己可以擔任CISO一職。)其次，合適的候選人往往不會在求職版塊閑晃。安全主管一般忙碌而薪金豐厚。他們傾向于被動地接受新機會，甚至要被賣了才會去考慮別的。

3. 不要急于對薪水采取強硬態度

安全領導力市場可謂是最為自由的市場空間了。做好被要價嚇到的準備，因為手握成功項目的安全主管大多會要求高薪。面試過程之后，你可能會發現，自己需要的是能夠調整薪資預期的那些應聘者。

五個應該

1. 應該花時間仔細匹配所需的資格與職責

從具應用開發背景的資深技術人員，到具備合規專業知識的律師，安全主管的來源多種多樣。招聘中應取得一定平衡，既不堵死公司吸納人才的管道，也不漫無目的地廣發英雄帖，什么人都拉來面試。SANS CISO 思維導圖在這方面是個不錯的資源，對考慮安全主管職責大有裨益。

2. 應該考慮清楚自己到底要保護什么

這將決定你的公司需要多少行業特定的安全知識。很多安全領導力和背景技能都是跨行業通用的，但有幾個方面需要特別注意。IoT和供應鏈安全就是需要經驗的特例。銀行業和金融服務則是因為他們各自的監管規定而引人關注。因為監管首先落到金融服務業頭上，所以此類安全背景可能便于移植到醫療行業的公司企業中。

3. 應該考察應聘者的持久力

安全項目的建立或重構是一項耗時4到6年的工作。如果是每兩年就跳槽一次的安全主管，那可以直接放棄了。

4. 應該考慮你的公司文化

你想要的是年輕的安全能人還是被經驗染上華發的老手?別小看這一點。如果不清楚自身文化偏好，人才搜索工作往往耗時良久，因為得把兩種完全不同類型的候選人放到一起衡量，考察到底誰更適合自家公司。而只要確定了這一點，搜索工作就能快速推進了。

5. 應該準備另一套與之前完全不同的面試過程

安全不是會計，風險高，責任也大。而且不僅僅是對公司和客戶而言，和公司所選安全主管的職業生涯也是如此。合適的候選人會向你拋出很多問題，而他/她看起來會對答案感到滿意，或者至少對其履行職責所需的預算、時間和支持感到滿意。安全主管天性謹慎。極少見到不摸清各種細節就冒險行事的安全主管。

無論公司安全狀況和風險承受力如何，招聘安全主管都是一場冒險。招聘的最終目標是理清重點，快速鑒別出合適的候選人，然后組織一場有成效的面試。以上注意事項應該能幫助公司企業走上招聘安全主管的正軌。

CISO報告：

https://www.synopsys.com/software-integrity/resources/analyst-reports/ciso.html

【本文是51CTO專欄作者“”李少鵬“”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文