信息安全从业人员的职业选择（1）

这篇讲一下体制外的，先从我最熟悉的外企甲方开始，也是介绍一下外企甲方安全团队的情况，然后总结一下优点和缺点。

在中国开展业务，同时有招聘安全人员需求的跨国公司基本都在500强的水平。最典型的是汽车行业，戴姆勒、宝马、大众、现代等等车企在中国已经耕耘几十年，拥有大量的客户和雇员。对于这些已经有几十年甚至百余年历史的公司，数字化其实是一个相对新鲜的玩意儿，并不像互联网公司一样生下来就是一个Online的时代。

但是对于信息安全来说对他们并不陌生，他们基本拥有非常成熟的安全制度和流程，以及规模不小的安全团队，但是这个安全团队指的是全球的安全团队，这个安全团队会支持全球各个市场，并不一定在中国会有多少人。

但是这个也要取决于这个外企本土化的程度。如果本土化的程度非常轻的话，很可能虽然这个系统是为中国市场提供服务的，但是是由外国人开发的，他的服务器以及整个网络环境都设在境外，这种的话中国的安全团队基本上就是做一些本土合规方面的支持，比如数据跨境传输的评估，个人隐私的合规评估，还有员工安全意识培训之类的。而实际到对系统进行渗透啊、安全设备运维啊这些都由海外团队负责。

对于本土化比较彻底的外企，也就是整个网络环境都在境内管理。那么安全团队的工作会多一些，除了上面提到的数据跨境传输的评估，个人隐私的合规评估，还有员工安全意识培训这些。技术相关的部分会更多的参与进去，但是安全和运维、网络、开发等等一定是分开的不同团队，安全更多的是一个咨询的角色，为其他团队包括业务提供服务。以及lead一些安全相关的项目，这个安全相关的项目可大可小，往大了说比如建一个中国自己的SOC。因为大多数外企他们的SOC都在海外，全球共享一个SOC，但是由于担心这些日志数据跨境传输的合规问题，可能会倾向于在中国单独建一个SOC。往小了说可能就是找咨询公司做各种合规评估。

对外企来说除了要受到中国法律的监管，很多情况下还需要受到母公司所在国家的法律的监管，比如 GDPR 比如美国相关的隐私保护法规。所以往往从合规上，尤其是对于隐私保护上这个事儿来说往往非常非常重视，如果中国的安全团队只做一件事，那肯定是扑在隐私保护上面。

但是对于中国的安全团队其实面临一个和其他市场都不同的问题，中国的网络环境是特殊的。我们不使用Facebook Google YouTube 而是使用微博、微信、小红书等等。所以海外团队制定的一些数字化相关的安全策略往往在中国不适用，中国市场需要自己去摸索相关的管理策略。同时中国由于互联网的蓬勃发展，传统行业越来越多的业务放在线上进行，利用线上活动进行营销等等，这些跟海外团队是脱节的，他们并不了解中国的特色互联网环境，比如我给海外的同事解释什么是微信小程序就非常费劲。。。