信息安全BP的能力模型

从事信息安全BP工作已经两年多，半年前的述职会上，有人问我，什么才是一个好的BP呢？我已不记得自己当时讲了什么，只记得自己罗里吧嗦的讲了一大堆自己的理解。如今再回头看这个问题，我会说，业务部门上下碰见信息安全问题，第一时间想着能交给你就一定能搞定时，这就达到了「好」的状态。

至于如何才能做到这样的状态，基于自己的工作经历，我认为BP应当具备如下5个方面的能力，仅供参考。

1. 信息安全的专业能力

2. 理解业务的能力

3. 风险洞察能力

4. 做“导演“的能力

5. 产品化的能力

论述开始 ~~ 

**1、**信息安全的专业能力

作为信息安全BP，信息安全的专业能力自然是最基础的能力。如果连自己的信息安全知识都不过硬，那如何才能让业务部门信服呢？

在专业知识方面，我认为BP应当做到“专且广“。「专」指的是合规工作要精专，「广」指的是知识面要广。

• 合规是BP专业能力基础中的基础。BP应当熟练掌握合规工作开展的方法，具备合规工作经验，熟悉国内外的主要信息安全合规要求，并能拥有自己的解读，同时，还了解国内外主要监管机构的职能与工作流程。另外，如果BP还能参与国标或行标的编制工作，那就更好不过了。

• 在安全技术方面，BP应当了解系统安全、数据库安全、网络安全、Web安全、移动安全、数据安全、桌面安全、业务安全等领域的基本知识，了解攻防对抗原理，甚至具备一些实操经验，这会对充分理解业务风险场景与合规监管要求有莫大帮助。

• BP应当保持对信息安全行业的关注，熟悉国内外主流厂商或新兴独角兽的安全产品与方案，并能够在工作中灵活借鉴和采用。

• BP还应保持对同业的关注，能够了解先进企业在信息安全风险管理或安全技术方面的实践，帮助自己在面对同类风险场景时能够快速应对，并发现自己与同行的差距，及时调整后续的工作策略。

**2、**理解业务的能力

要想BP好业务，光有专业知识肯定是不够的，还得能够充分的理解业务，这也是我在和很多业务同学交流中，被反复提及的一点。

有时候被BP的业务组织庞大复杂，BP会不知道如何下手。我觉得可以从「钱」、「人」、「事」三个方面开展。

• 「钱」，即业务赚钱的玩法。知道业务是如何赚钱的非常关键，在风险管理实践中会发现，凡是影响业务赚钱的风险都是要被关注和处置的，只有你理解业务逻辑，时常将风险场景与业务逻辑关联起来，才会有效地防止自己陷入自我为是、自说自话的境地。

• 「人」，即业务方的关键干系人，有些公司叫KP（Key Persons）。他们往往处在领导岗位，获取的信息量很大，能站在高处思考业务的发展方向以及其中的风险点，平日多与他们交流能够获得很多业务关键信息和需求，促进BP对信息安全工作的进一步思考。

• 「事」，即业务方的实际工作流程和内容。理解业务逻辑和认识业务KP不能叫真正的工作落地，只有将自己融入了业务方的实际工作流程和内容里，才是真正的做到了“充分理解“，也才能从信息安全专业角度给予业务切合实际的风险管理策略，实现真正的为业务发展保驾护航。

**3、**风险洞察能力

BP在掌握信息安全专业知识、理解业务的前提下，需要进一步梳理业务运营过程中的信息安全风险，形成自己的专业见地，我称之为“风险洞察“。简而言之，就是要将风险讲清楚。要想讲清楚，需要BP关注”风险分析方法论“、”抽象总结“、”指标与数据“的能力培养。

• 风险分析需要关注风险识别的全面性。在这方面已经有很成熟的方法论，例如围绕生命周期的分析方法、系统分层的分析方法、对照分析法等，需要BP在实际工作中根据风险场景和业务需求的不同灵活运用。

• 抽象总结是讲明白事情的基本能力。在实际工作里，一个风险场景往往有比较长的时间跨度、涉及了很多干系人、为很多方面带来负面影响，BP在总结时，需要把握风险场景的主干进行归纳，识别其中最需要投入精力解决的核心矛盾。

• 风险是由风险发生可能性和风险影响程度组成的，这两方面理论上都可以被量化。因此，当BP在描述风险的时候需要尽量使用指标和数据，以便自己和业务方都能清晰的知道风险的具体内容，以便做出正确的风险处置策略。在实操工作中，这个事情往往没有说的这么简单，但作为BP，应该在这个方向上努力探索。

4、做“导演“的能力

有一次我去业务方参加一个分享会，有一个专做高管培训的BP提到BP需要有做“导演“的能力，即自己能够设计与推动一个事项完整闭环，我觉得非常有形象，做信息安全BP同样也需要这样的能力。当完成风险洞察之后，那就需要着手处置了。风险处置包括接受、削减、转移和规避，意味着BP要进入”导演“位置。

“导演“包含这么两层意思，第一，BP要主导着风险处置项目的推进；第二，BP要为风险处置的结果负责。要想”导演“当的好，BP必须具备如下基本功。

• 勇于担当的责任心。BP要勇于承担起风险处置的“一号位“，对风险处置结果负责。只有这样，才能逼着自己站在一个更高的位置更全面的思考风险，亦是自我进步与自我成就的源动力。

• 以终为始的目标感。当BP在启动风险处置项目前，应对结果有明确的预期，这包括效果预期和时间预期两方面，目标一旦确认，就应该坚定不移地推动实现，否则，项目就不应该被启动。借用某个老板的话，没想好就不干，想好了就猛干。

• 统筹与协调能力。主导项目和拍电影一样，都不是只靠一个人就能完成的工作，必然有分工、有主次。好的导演会根据剧本来安排合适的演员，创造票房上的共赢。同样，BP在发起项目时，也应该想好什么样的工作需要哪些团队参与，最终，让所有参与的同学在项目成果上都能获益。

• 时间规划与管理能力。项目是有期限的，BP主导的项目不应该没有结束时点。在互联网公司里做项目，应该尽可能将整体时间控制在三个月以内，超过三个月很可能遇到人员变动或组织变动，进而给项目实施带来阻力。如果项目真的要超过三个月，那么建议分期启动。BP要想在短时间内拿到好结果，那必须得对项目计划有靠谱设计和管理能力。

整体而言，做“导演“一门艺术，最后结果呈现的好坏全凭个人拿捏。

5、产品化的能力

当风险处置策略部署完成后，就会进入持续运营阶段。在这个阶段里，我认为BP对运营产品的设计反应的是其对风险运营的思考。

• 产品化的意识。在强调管理落地的今天，一切管理手段最好都能有工具承载，风险管理亦是如此。BP在日常工作中要刻意培养自己的产品化意识，每设计一个风险处置策略都要思考是否有对应的产品能够承接。这里并不是说所有的产品都需要我们自己开发，这可以是融入业务方的产品里，形成对业务方的开发需求，也可以是从外部采购得来。总之，就是要尽量使我们的风险管理工作能被具象化。

• 产品设计能力。每一个BP都应该掌握编写PRD的能力，甚至负责一到两款安全产品，只有这样，才能充分体会什么叫落地，才会充分思考什么是核心矛盾。

• 产品运营能力。当BP有了属于自己的产品之后，就应该想着如何让自己的产品造福更多的人，和更多的同学创造双赢，这也是让自己影响力提升和业务能力不断精进的好办法。

总之，以上5大能力域构成了BP岗位的能力模型，是围绕着 “发现问题、分析问题、解决问题“的日常工作所梳理得来的。

当充分理解了这5个能力的要求之后，BP工作便能够更好量化。我自己试着做了一下自评，每个领域1-5分评价，1是最低，5是最高，我的打分是下面的橙色线，看起来比较均衡，但离完美还有差距，争取自己早日成为一个正五边形战士！

**-正文完，笔芯-
**

这是继做信息安全BP的一些感悟之后的第二弹思考，希望对做同类工作的朋友们能有所借鉴，也欢迎大家一起探讨。

最后，再打个招聘广告，信息安全BP持续火热招聘中~ 招人啦！【美团-信息安全BP】

---

**作者：**阿飞 or 韭不黄，都是同一个人。十余年来一直混迹于信息安全行业，扛过设备，卖过服务，做过审计，查过黑客，反过欺诈，岁月神偷带走了我的苹果肌，留下了一肚子的瘫软，貌似我将要成为一个油腻的中年男人，不过依然对世界充满好奇，依然是一颗嫩绿的韭菜~