InfoSec的领导，你好：

　　我是业内领先安全供应商的一名GRC产品顾问。通过使用作为主干的GRC产品，我帮助客户建立他们的规则遵从计划。我从事这份工作已经有四年左右的时间了，我觉得现在是时候做一个改变了。我的职业目标是成为一名首席信息安全官（CISO），然而现在有两个完全不同的工作机会摆在我面前，对于哪一个更与我的职业目标相匹配，我希望得到你们的建议。

　　第一个机会是担任现任公司同一产品的产品经理。这个职位将会使我与供应商所有客户的高级安全管理专业人员有大量的接触，也将有利于我更好地理解信息安全专家对于GRC的付出和痛苦。第二个机会是担任一家大型零售商的安全架构师。这个小组是该企业最近才成立的，这有可能使我接触到GRC之外的不同的安全领域。这两个职位都各有利弊，我不确定留在供应商能否获得一个很好的职业生涯，或者另一个职位才是更好的选择。也许你们会说，我的问题太多，确定的东西太少。但我真的不确定我是否应该专注于GRC领域（通过供应商），或者接触更多的领域（通过安全架构师职位）以达到一个更全面的安全认识。

　　希望你们能给我一些明智的建议，非常感谢！

　　署名，

　　“十字路口”（Fork in the Road）

　　尊敬的Fork：

　　在我们开始为你提建议前，请你明白我们给出的关于工作职位选择的建议仅仅是基于你在信中所提供给我们的信息，我们没有任何额外的背景。

　　因为你的职业目标是成为一名首席信息安全官，我们认为，在这个两个安全方面的职业机会中，你最好是离开产品部门，接受作为那家大型零售商刚成立的安全团队的信息安全架构师职位。为了与你的长远职业目标一致，我们的建议是基于一下原因：

1. 这个组是新近成立的。当听到这一点的时候，我们第一个反应就是“机遇”。新成立的信息安全机构，一般为信息安全专业人员提供了充分利用他们现有的专业领域（你的就是GRC）以及培养其它领域更广泛技能的环境。然而，许多信息安全专业人员在加盟处于这一阶段的企业时，他们所犯的最大错误就是限定他们对其工作职责的贡献：你所描述的这个工作机会为你提供了推动你自身培养新的专长领域的框架，而不是把自身限定在GRC领域。
2. 零售经验在未来应该是很有价值的。由于PCI DSS的重要性，许多零售商和电子零售商都日益重视并把额外的资源用于信息安全计划。目前，许多零售商在雇佣安全领域人员时不要求具有IT零售经验，但这一点很可能在接下来的几年发生变化。随着信息安全在零售行业文化中变得更加重要，在考虑到你职业的下一步规划时，作为你技能一部分的这个行业的知识将会是一个差异化的优势。
3. 产品管理经验不是成为一个首席信息安全官所必需的。毫无疑问，产品经理的工作将有利于你获得一名首席信息安全官应该具备的有益技能，包括客户技能、演讲技能、销售技能、市场知识以及类似技能专长。然而，当过渡到一名首席信息安全官的职业生涯道路时，在招聘过程中你会遇到这样的人，他们对雇佣一名来自产品/供应商这边的求职者担任更高的职位存在成见。想要直接从产品管理过渡到信息安全官，你必需发现自己是一个有远见的首席信息安全官，你会重视这方面的经验，并且相信作为产品经理的技能可以使你快速适应新公司的环境。然而，如果你仍然是一名产品经理，那么你最终将很有可能被迫担任一名内部信息安全的角色（比如一个架构师），既然这样，何必耽搁呢？在你面前已经有了这样的机会：现在是时候决定过渡到公司信息安全的职务是否适合你了。

　　再次提醒，我们的建议仅仅是基于你的信件所提供的信息以及我们对这个行业的一般性理解。

　　请认真决定，祝你好运。

　　Lee和Mike