感谢您阅读《网络安全之：等级保护评测机构》，您可前往信创致远http://www.dengbao110.com/查看完整版内容。

6)安全品牌营销、渠道维护：CSO有时要做一些务虚的事情,例如为品牌的安全形象出席一些市场宣介，presentation。笼统一点讲,现在SRC的活动基本也属于这一类。

7)CXO们的其他需求：俗称打杂。这里你不要理解为让安全团队去攻击一下竞争对手的企业这样负面向的事情,而是有很多公司需要做,但运维开发都不干,干不了或者不适合干的事情,安全团队能力强大时可以承包下来的部分,事实上我的职业生涯里就做了不少这样的事情。

基础的网络安全信息系统测评是由等级保护评测机构在甲方的绝大多数安全团队能覆盖的事情,不管你的安全团队能力如何,在公司里有无影响力,这个是必须要做的,因为这是把你招过来的初衷。再往后的发展,是否止于此则看个人的想法。对于沉醉攻防技术的人，其实不需要往后发展了,这些足够了。但如果你的安全团队富有活力和想法,即便你想止于此他们也不干,把部门做大做强是这些人的愿望,只有这样才能给安全团队更大的空间。这点跟乙方是不一样的,对于乙方而言,你可以在某个单点领域上无限深挖,而不会遇到天花板,因为你始终是在满足主营业务的需求,即使你成为骨灰级的专家,公司也会对你在某方面创新有所期待而给你持续发展的可能性。甲方,可以要求主营业务,委托一个，等级保护评测机构做等保测评，等级保护评测机构是一个经认证持测评机构资质的机构。安全成本的大小跟业务规模以及公司盈利能力相关,公司发展时预算和人员编制都会增加,业务停滞时安全做得再好也不会追加投入,因为无此必要。反面的例子也有：做得不好反而追加投入的,那是一种政治技巧而非现实需要。在乙方，无论你的漏洞挖掘技能多厉害,公司都不会跳岀来说“你已经超出我们需求了，你还是去更强大的公司吧”(通常情况下)。但是在甲方,假设是在一个国内排名大约TOP5以后的互联网企业,养一个漏洞挖掘的大牛也会令人很奇怪,他是在给企业创造价值还是在自娱自乐是会受到质疑的,CSO也会被质疑是否花了大价钱挖来的人不是出于业务需要而是用于扩大自己团队在业内影响力这种务虚的事。假如公司到了Google这种级别，有一大堆产品，储备大牛则是顺利成章的,业务上显然是有这种需求的。不过还是要看产出是否对主营业务有帮助,工作成果不能转化为主营业务竟争力的尝试性活动在公司有钱的时候无所谓,在公司收紧腰带时则其存在价值就有争议。