前段时间太忙了，需要思考和应对的事情太多，导致两个月都没动力更新这个公众号。马上春节了，终于闲下来一点，给公众号里的新朋旧友拜个年，祝大家新的一年里身体健康，万事如意，Happy 牛 Year ！

印象里第一次接触到BP这个词是2016年在滴滴做项目的时候，访谈了一个HRBP，当时我特别纳闷，什么叫BP？滴滴信息安全部的老哥告诉我叫 Business Partner，业务伙伴，HR的事儿都找这个BP就对了。但我还是不能理解，这个BP到底是干啥的呢？职责是啥？权限是啥？HR、财务、法务都有BP，你们信息安全部怎么没有BP？

然后。。。直到现在，我自己成为了一个信息安全BP。。。。一开始也很懵，捣鼓了大半年，个人感觉才上道了吧。。。以下是这两年来我的一些感悟，不见得对，只代表我当下的认知。

1、什么样的组织需要信息安全BP？

完成了基础安全建设，整体目标从「服务基础设施」向「服务业务目标」过度的信息安全团队。

简而言之，内外对抗能力建设起来了，0到1的工作已经结束了，剩下的就是不断优化和输出更多业务增值服务的事了。

目前，业内互联网大厂的信息安全部门都需要这样的人。

2、信息安全BP的工作职责是什么？

理论上是「反馈」业务方的信息安全需求，「协调」内外部信息安全资源，「制定」解决方案，「推动」实施落地，实现闭环。

3、信息安全BP的组织定位是什么？

一开始干这份工作的时候，领导给定的调子是业务线的CRO或CISO，但实操起来会发现，你的组织关系不在业务线，不背业务线的OKR/KPI，却把自己放在那么高的高度，非常迷茫。

最后，把自己放下来，当一个业务线的安全顾问，马上就找到了方向，心里踏实了。

4、信息安全BP的日常工作是什么？

就和以前做外部咨询顾问一样，「发现」问题，「分析」问题，「解决」问题，只不过以前面对的是N个客户，如今面对的是某一两个业务线。看起来比在咨询公司做业务简单，其实更难了，因为你没什么选择了。。。过去，A客户找不到需求，就去试试B客户，市场这么大，总能找到机会点，但在甲方就不一样了，没得选，只能每天在心理默默给自己鼓劲：加油！干饭人。

4.1 如何「发现」问题？

这里说的问题，我更喜欢理解为“需求”，对信息安全团队的需求。

这种需求的描述往往是宽泛的、模糊的，而非明确的，因为明确的需求不需要BP去解决，自然会有对应的技术团队去承接，比如某业务反映的薅羊毛情况。

需求主要来自于如下三方面：

a - 业务线老板的需求。老板很少关注具体的事情，但会在意一些风险场景，例如某老板提的需求是解决“高P离职带走数据”的问题，这种需求就不是某一个技术团队能够完全响应的了。

b - 来自风险事件驱动。业务线发生的安全事件看起来是一个单点问题，反推到根，可以看到是某一个该做的事情没做或没做好引发的，例如合作伙伴被黑导致公司数据泄露，说到底是第三方安全管理不够好。

c - 来自业务自身变化。业务线的竞争环境变化、自身产品的增减，都会带来风险关注点的转移，BP可以从这些变化中识别出安全需求。

4.2 如何「分析」问题？

随着对业务线接触的深入，我们会收集到各种各样的反馈，BP要做的第一步，就是“识别需求背后的隐含意思”。

当你调研一线业务同学时，有些业务同学会和你反馈说：“我们的XX业务安全风险很高啊，你们需要关注，得有个解决办法。”你再细问有没有风险案例时，对方却说，暂时没有，但我们就是觉得风险很大，出了事就完蛋了。

其实，这句话的潜台词是，我们觉得信息安全很重要，但我不知道该干什么，我也不知道你们已经干了什么。

有时候会有一些业务线的负责人会找过来，说自己的业务很重要，不能出错，要你去给他/她的业务做一次风险评估。

其实，这个需求的潜台词是，我不了解业务的安全风险全貌，但我真的很焦虑。

当你分析出来了业务方的真实意图之后，BP就知道该投入多大effort去响应了，也知道接下来该设计一个多大规模的方案了。

设计方案的方法包含分层的思路、生命周期的思路、体系的思路等，这里就不赘述了。

需要强调的是，好的解决方案考验BP需要具备如下能力：

• 对业务方需求的理解；

• 对部门内部团队和已有产品的理解；

• 对业务方的团队、业务流程和产品的理解；

• 对公司内相似风险场景解决方案的理解；

• 对业界的解决方案的理解。

最后，形成的方案一定要可落地（符合现状）、可执行（计划与分工明晰）、可闭环（有效果评价）、可运营（能够产品化）。

4.3 如何「解决」问题？

一个方案会包含多个团队，甚至外部供应商，这时候就非常考验BP的资源整合能力和项目执行能力。

首先，需要BP有很强的目标感。知道项目的终极目标是什么，且每一个阶段都需要谁完成什么任务达到什么目标。

其次，需要BP能够管理内外部期望。能够让项目干系人们正确的认知项目价值，平衡大家的预期。

再次，需要BP可以团结项目里的所有人。需要让每个人都能理解自己在项目里的位置、分工、产出和收益。

最后，需要BP具备操盘项目的能力。可以不断推动项目前进，及处置项目风险，每到一个里程碑节点组织汇报，及时纠偏。

5、信息安全BP的发展路线是什么？

我还没想好，认知有限，还需持续迭代，先把眼前的活干好再说吧。

全文完~

笔芯❤️

【韭菜永不黄】是阿飞的小号，表示阿飞一直都是后浪。