周一徐总会议纪要

  很荣幸能自大学毕业起就追随徐总。徐总的逻辑思维和商业谈判能力都是我等望尘莫及的。每每参加周一徐总的例会，都收获颇丰。所以趁今日上班有闲暇时间，赶紧整理了一下徐总的一些理念和想法等等。最近一次的会议还收获了一个我认为近乎完美的商业谈判案例。

  考虑到总结的笔记有些零散，而且日后可能还有机会参加周一徐总的例会，所以就以会议日期为一级标题进行归纳总结吧。

2021.11.29

亮灯机制

  此次会议徐总再次明确了部门所采用的“亮灯机制”，采取“黄灯”和“红灯”两种。既有制订的客观的“亮灯标准”，也有可以同事之间主观的进行“亮灯”。当被“亮灯”达到一定的次数，即辞退。该“亮灯机制”适用于部门内的所有人。

  我认为这个“亮灯机制”普遍适用于任何一家公司，既能起到一个“威慑”作用，又能杜绝老员工“老油条”的情况发生。

安全服务理念

  参考国家网络安全相关标准，制定一套适用于现有企事业单位和组织的信息安全保障模型，为网络安全保驾护航。

  信息安全保障模型是一套闭环：预警-保护-检测-响应-恢复-反击

安全能力

1. 预警：持续监测
2. 保护：体系规划
3. 检测：风险评估或等保
4. 响应：应急响应
5. 恢复：问题处置
6. 反击：攻防对抗

安全价值

1. 合规检查
2. 政策依据
3. 体系建设
4. 抵御威胁
5. 重保安全

安全服务类型

1. 合规安全运营和运维
   1. 安全加固
   2. 驻场运维
   3. 威胁检测及处置
2. 安全评估
   1. 渗透测试
   2. 漏洞扫描
   3. 攻防演练
   4. 应急响应
3. 规划咨询
   1. 等保合规安全规划
   2. 密码评估安全规划
4. 安全培训
   1. 意识类培训
   2. 商业培训

徐总提出的网络安全的各种定义

  做网络安全一定要找准对象；对象一定是实体的；实体就是信息和数据的载体；载体一定有环境；有环境一定有边界。

2021.12.06

一个徐总商务谈判的案例

  南通的一个客户说：“系统上线前让我们做了检测，系统上线后被通报，应该由我们担责。”

  徐总的回答我归纳为五点

1. 没有百分之百的安全 → 网络安全的本质就是攻与防
2. 举例 IOS 被破解：苹果每发布一个 IOS 新版本，过一段时间总会被破解
3. 结合客户现有情况进行“劝解”，使其自己认为应该“驳回”自己刚才的要求：客户是做光缆的，很容易被境外势力误认为军工企业，而后针对性的对其展开 APT 攻击，所以更难以“防”。正好客户前几天刚被境外势力攻击，于是很容易认同这个观点
4. 承担我们自己应有的责任
5. 给出我们现提供的服务过程视频，体现我们的专业性和价值

2021.12.13

  销售的能力不代表公司的实力，消化项目的能力才是公司的核心。技术人员的水品是业务提升的核心。

  国家标准 + 工作经验 + 项目经理意见 = 项目实施方案

  内部交流要分享交流分析个人失败经验。

向上管理

  案例：合同未约定漏扫范围，客户要求扫 B 段。原解决思路为

1. 和公司内部协调设备去漏扫
2. 和客户沟通延后漏扫
3. 和客户沟通减少漏扫范围

  但其实应该“向上管理”，明确客户需求，提出更优解决方案，而不是盲目的想办法去解决客户需求。

过年后公司架构发生了较大的变动，徐总不再是我的上级领导了，所以本博文应该也不会再更新了……😫