最近参加了一些业务方的会，每个会上管理层都着重强调要【苦练基本功】。我也总结了一些我认为做信息安全风险管理工作的基本功，抛砖引玉吧。

基本功1:对信息安全风险场景的理解与处置能力。​随着业务的不断发展，竞争环境与监管压力的变化，风险场景也在快速变化。例如个保法马上就要正式实施了，对于很多业务来说，合规风险成了重中之重。另外，业务运营中还有很多技术对抗的场景，例如反爬，刷单，骗赔，系统破坏等，这些工作的技术原理是需要每一个做信息安全风险管理的人员所需要掌握的。tk有句总结很赞，未知攻，焉知防。当你理解了风险是怎么产生的，对业务有多大的影响，你也就知道该向管理层建议选择什么样的处置方案了。最后，就是对风险处置方法：接受、转移、消减、规避在各种实际场景中灵活应用了。

基本功2:做减法的能力。​实际工作中会发现有不少同学都能够很好的理解风险场景，却不能很好的制定处置方案。总结下来发现，是因为想做的事情太多了，把自己都搞糊涂了。例如，当面对个保法合规这个场景的时候，想一次性就完全合规，感觉要做的事情很多，却又不知从何下手。这是因为没有识别出来最最重要的任务。如何识别呢？围绕目标去识别。如果我们的目标是不被通报下架，那第一步就是要去做App合规。突然想到，魏巍在写《谁是最可爱的人》的时候，一开始收集了20多个志愿军故事，最后通过做减法，留下了三个故事，让全国人民深刻理解了抗美援朝的伟大和幸福生活的来之不易。

基本功3:指标化和数据化管理的能力。​德鲁克说，如果一件事情不能被衡量，就不能被管理。风险管理既然是管理工作，那就需要可衡量。如何定指标呢？那就看你到底面向谁，呈现什么工作了。比如当你面向业务管理层呈现个保法合规工作的时候，可以从App合规、个人信息流转、个人信息存储使用、第三方管理等方面设置指标项，反映合规风险管理现状。

基本功4:项目运作能力。​在企业里做这种中后台工作，想要好绩效，那就得做项目，取得好成果。如何做项目，如何做有价值的项目呢？其实也是有方法论的。比较经典的就是whwhorere，读作huruirui。具体的就不展开了，可以看看网上的描述

https://zhuanlan.zhihu.com/p/153271332

总之，掌握有效的方法论，并且熟练使用，能使我们的工作事半功倍。

以上就是我根据自己实际工作做的一点梳理总结吧，不一定全面，只是我的认知，欢迎各位朋友一起讨论。