从甲方视角看乙方商业化安全产品的需求

关于信息安全工作的定位

乙方商业化团队的职责是通过产品和技术能力，向甲方IT部门和安全部门提供服务，赋能甲方业务。

因此，乙方商业化团队应该多多站在甲方的视角进行产品和技术规划，从本质上讲，企业的商业价值是为客户提供服务，业务永远是其根本和主业，IT的价值在于把技术做好，为公司提供先进的、安全的、有市场竞争力的IT平台和工具，服务好客户。因此IT万不可跳脱出来，就着技术论技术，甚至倒逼公司做投入。信息安全作为IT的一个细分领域，也同样必须统一到这个认识上。作为甲方的安全从业人员，必须基于公司的业务、发展阶段和内外部环境，综合统筹制定安全规划和实施路径，帮助企业达成商业目标，与业务的差别仅仅是分工不同、职责不同而已。

同时，对于甲方安全团队来说，他们所面临的信息安全问题包罗万象，涉及技术与管理、研发与测试等全链条，从物理层到应用层，从机器到人都需要纳入到工作范畴里，从体系、规划、架构、管理与技术落地以及运营迭代形成闭环。这是一个复杂的系统工程，需要整体系统性思维，乙方的安全服务和安全产品需要找准真实客户的实际需求，根据自身的供给能力，按照年度计划持续完善自己的产品和服务，不断给甲方创造更多的实际价值。

对乙方来说，有两个点是值得思考的：

一是，跳出企业安全的领域，关注到2C、2B、2G的企业生态安全，这也是数字化发展过程中，企业边界的生态环境发展的必然，安全的薄弱环节往往出现在生态领域内，但目前看来，大部分安全厂商关注的仍是企业内部的安全，产品的场景适应性不足

二是，安全不要局限在传统的系统，网络，主机，应用的范畴，应改关注数据、业务领域，从技术风险的维度来全面考量企业的网络信息安全风险，这两点与Gartner提出的EASM有异曲同工之妙。

客户价值交付的两种形态 - 产品/服务

• 能力，是管理能力、组织能力、流程能力、知识能力、人员能力。
• 资源，是人力资源、信息资源、数据资源、软硬件资源和资金资源。

    举例：

   我所处的相对技术落后区域，几乎商业化的公司分为一托三模式，大一指的：三大**商

拖三指的是：一种安全厂家的办事处、一种地方集成公司，还有一种等保测评机构。 

原文始发于微信公众号（三沐数安）：从甲方视角看乙方商业化安全产品的需求