“To be, or not to be, that is a question。”——《哈姆雷特》

最近有很多安全從業者咨詢我，去甲方做安全好還是去乙方做安全好，尤其是應屆生或工作1-3年的安全從業者。其實這是一個不太好回答的問題，因為牽扯的因素太多，每個人的狀況也不盡相同。但是之所以有這么多人問，更多的是折射出大家對甲方安全工作和乙方安全工作的未知，不知道哪個更適合自己，更深層次的意識可能是對自身職業發展的不確定。

[[317400]]

我大學畢業后直接進入綠盟工作，3年后入職甲方一直工作到現在。我可以跟大家聊聊甲方做安全和乙方做安全的區別，正如安全是動態的一樣，甲乙方的工作和發展也是動態變化的，僅限于個人視角，供參考。其實甲方和乙方的主要區別是你的職場角色不同。在乙方你是盈利人員(可為公司產生直接收益)，在甲方你是后臺職能人員(不對企業產生直接收益，但是保障企業的安全或合規建設、規避風險、確保業務安全運行)。角色的不同意味著你的工作氛圍、強度、薪資、成長和晉升空間的巨大差異。

[[317401]]

一、工作氛圍

作為安全廠商或服務商，大家聚在一起都是圍繞公司業務開展的，無論銷售、售前、售后還是服務都會有一個團隊支撐，各個團隊有相同的目標、接受相應的培訓、學習支持工作的技能，一起溝通問題、尋求解決方案。但是很多甲方企業，安全沒有獨立的部門，掛靠在運維部或合規部，對崗位的需求也可能是為了上市的合規需求或某些認證的崗位需求。所以會看到網上有人寫《一個人的安全部門》，也有很多網絡工程師兼職做安全工作。這種環境的氛圍就要求你跟運維同事或合規同事打成一片。評績效的時候也會比較尷尬，因為別人不理解你的工作內容，你也不了解別人的工作內容，結果可能差強人意。還有安全項目的推進會很困難，如某家公司的企業文化是便利性優先，員工的體驗優先。那么你在進行終端安全管控，如封禁U口、終端審計、數據加密的時候，就很難執行，因為違背了公司的企業文化。

當然對于金融、運營商這種對安全重視度很高的企業，以及阿里、騰訊和華為這種已經可以把安全作為盈利部分的企業，另當別論。

綜上，乙方的工作氛圍會更濃厚，大家評價績效的標準也相對一致。甲方的工作氛圍會比較孤寂，明知道有風險，但是安全措施推不下去，提心吊膽，有時候評績效也是一個問題。

[[317402]]

二、薪資構成

乙方的薪資構成大部分是工資+提成(或績效獎金)，跟你的工作強度和產出有關。你干的多、產出多，你的薪資就相對高。甲方的薪資構成是工資+績效+福利構成，福利包括餐廳、健身房、下午茶、幼兒園、過節費、服裝費、住房補貼、集體婚禮等等。所以甲方工作單看薪資可能不高，但是加上福利費或按照年薪算可能比較高。而且甲方的工作強度相對比乙方輕松一些，因為只需要服務一家公司，乙方需要服務多家公司。

[[317403]]

三、成長速度

這個跟工作氛圍有很大的關系，回這么多年的工作可以說在綠盟的成長是最快的。沒辦法，你在乙方就注定要不停的面對客戶的問題，各種各樣的問題、事件，很多你都沒見過可能也找不到人問，你能做的就是邊學習邊解決。所以在乙方無論是工作氛圍、工作要求都能讓你快速成長。在甲方，一些安全服務會外包給乙方，比如掃描、滲透、基線核查、等保測評等，甲方負責做好項目管理和資源協調來即可。當遇到新的問題或發展需求時，也會優先找同行業或乙方交流，調研是否有合適的解決方案，評估后選擇合適的方案解決。在甲方待久了，你會發現你安全方面的能力可能退化了，但是你的資源協調能力、溝通表達能力、團隊協作能力、項目管理能力、思辨能力得到顯著提升。

[[317404]]

四、晉升空間

安全崗在甲方晉升是比較難的，難在企業不需要一個安全總監或一個CISO。解釋一下，崗位的晉升是跟公司的發展掛鉤的，企業不重視安全或安全不能給企業帶來可觀的價值，那么只需要有一名安全工程師就足夠了。乙方的晉升相對快一些，因為售前需要TeamLeader、售后需要、服務團隊需要、銷售團隊也需要，說白了就是有安全管理崗的需求。順便引申一個點，招聘的時候，候選人的職責規劃大多是往管理方向發展，比較少的人會往技術路線發展。其實走技術路線并不比管理路線差，你可以成為一個企業某個領域的顧問或專家，那你的影響力、關注度也是別的崗位比不了的。

很多人會有疑問，為什么那么多甲方都有安全高管。所以跟大家聊下，成為安全高管的突破點：

• 讓安全引領產品或業務。也就是說安全不是保障業務安全，而是走在前面，變成產品的屬性和主打賣點。公司某款產品的競爭門檻就是安全，競爭對手的產品安全性就是比不過你們的，那你就可以成功晉升安全總監或CISO。這需要很強的綜合力能，需要熟悉公司的業務、產品特性、調動資源的能力、真的能把產品打造的安全，別人找不到漏洞或競爭對手在安全上杠不過。否則一旦爆出一個漏洞，新聞頭條就是“某公司以安全著稱的產品爆出匿名登錄漏洞”，你的總監和CISO也就拜拜了。
• 讓安全成為盈利部門。說白了就是安全部門可以自己賺錢，比如對外部客服提供掃描、滲透、評估、咨詢服務。可以給供應商、友商、服務商提供類似服務，如果每年安全的產出是10萬或20萬甚至百萬，那你們的地位就不一樣了。安全就成了公司業務發展方向，公司就需要安全高管，你就可以上了。
• 合規要求。合規要求必須有安全負責人，有安全團隊，那么就需要對應的安全管理層。
• 安全績效的體現。如能要體現安全的價值，或讓安全價值可視化，一定要制定可測量的安全目標，比如每年的安全事件不超過2起，攻擊事件不超過10起，數據泄露不超過1起，勒索病毒0起等。這樣到年終總結的時候，進行量化的匯報，高層和公司才能意識到原來安全做了這么多事情，阻攔了多少風險，為公司提供了多少服務。安全績效高，被需要感就高，就有可能晉升。

[[317405]]

額外補充一點心理差異。很多在乙方工作的人會羨慕在甲方工作的人，覺得在甲方工作有優越感，因為可以找乙方做服務。但是換個角度看，本質就是一個有需求一個有方案，一個出錢一個出力，心態放平衡就好。

不知道上述內容對大家是否有幫助，安全是動態的，選擇也是動態的，每個人在不同的階段會有不同的看法或選擇，該去甲方或乙方，會一直是個問題，希望你們都能有最適合自己的選擇。

PS：名詞解釋。

• 甲方：一般是出資方或投資方，也就是經營的主體。在合同擬訂過程中主要是提出實現目標，是合同的主導方。本文中指非經營安全業務的公司，并將自身的安全需求外包出去的公司。
• 乙方：一般是勞務方，也就是負責實現目標的主體。本文中經營主體為安全的公司，承接甲方的業務需求。