作为高管层安全猎头，每周都要花大量时间在2件事情上：与CISO或即将成为CISO的人商谈，以及为想要招募安全主管的公司提供顾问咨询。

　　招募安全主管的公司企业分为三类：第一类，知道自身风险承受力并对自身安全项目有着明确预期的;第二类，认为自己知道但仍有点不确定，因而需要面试不同层次的应聘者才能做出决定的;第三类，被数据泄露的新闻报道吓到，虽不清楚自身需求，但知道自己应尽快搞清所需的企业。这三类企业都有机会找到合适的安全主管。
 
　　如果你的公司也正在招募安全主管，那首先得确定自身属于上述哪一类潜在雇主。然后再考虑下列注意事项。
 
　　三个不要
 
　　1. 不要列出全功能安全项目所需的全部技能并塞到职位描述中去
 
　　考虑清楚你公司当前的安全态势和风险承受力。美国新思科技公司日前发布了一份CISO报告，对CISO“部落”进行了一番有趣的探索。你的公司将安全视为公司业务促进者还是单纯的技术、合规或烧钱中心?不妨描绘一番自家公司在安全领域所处的位置以及想要到达的地方。只要描述到位，那些无意加入的安全主管在面试过程之前就会自动退出，省下你宝贵的时间。
 
　　2. 不要在招聘版上放出安全主管职位
 
　　首先，这会消耗你大量时间，因为你将收到400-500份简历(很多人觉得自己可以担任CISO一职。)其次，合适的候选人往往不会在求职版块闲晃。安全主管一般忙碌而薪金丰厚。他们倾向于被动地接受新机会，甚至要被卖了才会去考虑别的。
 
　　3. 不要急于对薪水采取强硬态度
 
　　安全领导力市场可谓是最为自由的市场空间了。做好被要价吓到的准备，因为手握成功项目的安全主管大多会要求高薪。面试过程之后，你可能会发现，自己需要的是能够调整薪资预期的那些应聘者。
 
　　五个应该
 
　　1. 应该花时间仔细匹配所需的资格与职责
 
　　从具应用开发背景的资深技术人员，到具备合规专业知识的律师，安全主管的来源多种多样。招聘中应取得一定平衡，既不堵死公司吸纳人才的管道，也不漫无目的地广发英雄帖，什么人都拉来面试。SANS CISO 思维导图在这方面是个不错的资源，对考虑安全主管职责大有裨益。
 
　　2. 应该考虑清楚自己到底要保护什么
 
　　这将决定你的公司需要多少行业特定的安全知识。很多安全领导力和背景技能都是跨行业通用的，但有几个方面需要特别注意。IoT和供应链安全就是需要经验的特例。银行业和金融服务则是因为他们各自的监管规定而引人关注。因为监管首先落到金融服务业头上，所以此类安全背景可能便于移植到医疗行业的公司企业中。
 
　　3. 应该考察应聘者的持久力
 
　　安全项目的建立或重构是一项耗时4到6年的工作。如果是每两年就跳槽一次的安全主管，那可以直接放弃了。
 
　　4. 应该考虑你的公司文化
 
　　你想要的是年轻的安全能人还是被经验染上华发的老手?别小看这一点。如果不清楚自身文化偏好，人才搜索工作往往耗时良久，因为得把两种完全不同类型的候选人放到一起衡量，考察到底谁更适合自家公司。而只要确定了这一点，搜索工作就能快速推进了。
 
　　5. 应该准备另一套与之前完全不同的面试过程
 
　　安全不是会计，风险高，责任也大。而且不仅仅是对公司和客户而言，和公司所选安全主管的职业生涯也是如此。合适的候选人会向你抛出很多问题，而他/她看起来会对答案感到满意，或者至少对其履行职责所需的预算、时间和支持感到满意。安全主管天性谨慎。极少见到不摸清各种细节就冒险行事的安全主管。
 
　　无论公司安全状况和风险承受力如何，招聘安全主管都是一场冒险。招聘的最终目标是理清重点，快速鉴别出合适的候选人，然后组织一场有成效的面试。以上注意事项应该能帮助公司企业走上招聘安全主管的正轨。