注册安全工程师心得体会

导语：什么都四安全第一，没有了这安全，做什么都会不安心，做好防范措施才是最重要!下面给大家带来了一些心得体会，希望对你有所帮助!

胜利油田根据各机关部门与安全工作相关性以及责任和工作量大小，将38个机关部门分为直接相关、密切相关和相关三个层次，并分层明确职责。

第一个层次包括工程技术中心、生产运行中心、销售中心、公共事业部等8个部门，第二个层次包括法律事务处、技术监督处等19个部门，第三个层次包括概预算中心、财务监控中心等11个部门。

各部门职责最多9条、最少1条，阐明管业务必须管安全的职责界限，语言严谨易懂好记;将科学性、先进性与实用好用紧密结合。

2015年12月9日，胜利油田召开机关安全生产责任制分解落实专题推进会，由公共事业部、生产运行中心、人力资源处、法律事务处等4个部门作典型经验介绍，指导帮助机关部门进一步分解落实安全生产职责，引领督导二级单位修订完善各级各岗位安全生产责任制。

基层部门设专职安全员、安全工程师、基层安全总监，安全员从部门中选拔优秀的班长来担任;安全工程师从部门中选拔优秀的技术员来担任，工作出色将提拔为基层安全总监或部门副主任;基层安全总监属于部门领导班子成员。

公司安全督查大队定为副处级，大队长由公司HSE专家担任，队员的岗位级别暂定为操作人员岗位技能序列的较高级别。安全环保部主任从公司各部门中选拔最优秀的领导干部来担任。

在安全工作的激励上，公司安全环保部对总部奖励企业的`年度安全奖和年度安全先进奖，具有全额支配发放权。

全公司共有市级以上劳动模范13人，其中有11人是目前或曾经在安全岗位任职。

沧州分公司鼓励全体员工参加注册安全工程师资格考试，对取得资格的人员给予奖励。

一、员工取得注册安全工程师资格后，基本薪酬晋升一档。

二、从事安全专业管理的人员(指各级安全总监，安全环保处全体专业技术管理人员，各单位安全工程师、安全员)取得注册安全工程师资格后，在基本薪酬晋升一档的基础上，安全津贴调增100元月。

2015年，河南石油分公司完善HSE工作激励和约束机制，开展HSE工作考评与奖罚办法，奖惩与绩效挂钩。通过对市分公司进行考核排名，按照人均薪酬标准对每季度前五名和后五名单位给予奖罚，并在下一季度市分公司薪酬总额中兑现。

前五名单位奖励标准依次按150、120、90、70、50人乘季度核编用工人数计算，其中：市分公司领导分别按个人月度基薪的10%、8%、6%、4%、2%奖励。2015年对前五名单位奖励万元。

后五名单位扣罚标准依次按75、60、45、35、25人乘季度核编用工人数计算，其中：市分公司领导分别按个人月度基薪的5%、4%、3%、2%、1%扣罚。2015年对后五名单位扣罚万元。

上海石化为进一步激发员工查找身边隐患的积极性，提高工作责任心，更好地履职尽责，2015年9月起加倍“我为安全作诊断”活动奖励基数。调整后，公司级诊断建议奖励以6000元作为下限，最高可达20000元。

截至2015年12月底，二级单位共上报诊断建议6567项(含上报公司级奖励)，奖励总额达万元。其中：上报公司级诊断建议31起，奖励总额万元。储运部何康“”发现卫五路火炬区跨随塘河管架生成油管线泄漏事件，获个人奖励万元。

上海石化还将员工累计诊断积分作为评选年度十大“HSE卫士”主要依据。

注册安全工程师的考试心得有两方面，一方面是复习上要有步骤、循序渐进掌握知识点；另一方面是答题技巧，在考场上一定要认真看清楚题目，理解解题思路，有一定的做题步骤，做题不要留下空白。

1、看清题目理解题意

在安全工程师考试中难免会有所紧张，在看到题目的时候不够细致，没有全面理解题目就开始答题，容易出现错误。还有些考生会想当然，随意看一下，觉得自己比较熟悉和了解，就匆忙下手答题了，等发现解答的不是题目需要的问题时就已经来不及了，时间不允许，答题纸的空间也不允许，所以考生一定要好好审题，摸清楚问题再下笔。

2、清晰的解题思路

在做安全工程师主观试题的时候，首先要考虑的就是解题思路，千万不能想到哪写到哪，很容易出现中途不知道如何作答的情况，所以一定要把思路弄清楚，把自己认为的重点或答案可以在草稿纸上罗列写一下，整理清楚再答题。

3、做题步骤

在安全工程师做题的时候，做题顺序也是非常重要的，对于主观题，一定要用序号依次写好，千万不要字数太多，让阅卷老师看的眼花缭乱，最重要的就是突出答案的重点。

4、做题不要留下空白

对于安全工程师案例题答题切勿留白，会的一定要准确应答，不会的尽量回答。安全工程师考试主要是检测考生对知识点掌握情况，尤其是在主观题。对于解不出的难题，可以依照自己平时的方法，理顺一下做题思路。选择题一定要都做完，主观题有时间的话也要根据自己的解析，能答一些就答一些，不要不做，写上的话就有得分的可能，若是留下空白那么肯定就是零分。

1、粗略学习

对科目知识的大体了解，知道优势和弱势的地方。大家可以根据注册安全工程师考试大纲大致阅读考试辅导资料，大致了解各科目的知识，对考试的内容和难度有一个基本的认识，找到自己的薄弱科目和优势科目，然后制定相关的学习计划。

2、解疑学习

注册安全工程师考试教材中要考的所有知识都必须了解，对于学过的内容，可以允许忘记，但是不允许有不理解的内容，遇到不理解的，必须想办法理解，然后再继续学习，这样才能为下次的记忆复习打下坚实的基础。

3、记忆学习

注册安全工程师教材中的重点内容，既要熟记，既能看懂，又能用规范的专业术语在卷子上写出来，符合考试的答题要求。

4、考察学习

通过做模拟题，可以检查自己的复习状态和学习成果，找到自身的薄弱环节并进行重点复习。随机抽取一组模拟题，通过答题，找出自己在各个科目中的薄弱环节，然后有针对性地复习，使所掌握的知识趋于全面、准确。

5、巩固学习

大家需经常背诵注册安全工程师考试所有的知识点，以便更巩固、更准确。掌握专业技术知识，掌握得更熟练，运用得更灵活；对事故案例进行更系统、完整和准确的分析。

作为一名安全工程师是怎样的体验 　　在某世界前三云计算公司做安全攻城狮，在中国也有业务但是和世界其他地方是分开的，我不负责中国区。 　　主要有几大团队 　　安全运营团队，分布在全世界几大地区，轮流oncall，主要负责应急响应，和内部业务团队沟通处理安全事件等等 　　安全整合团队，负责将安全作为主要功能结合在产品里 　　应用安全团队，red team这种，对内渗透测试和代码安全审计。 　　安全平台团队，写各种安全相关的工具和管理平台。 　　威胁情报团队，精英都在里面，人数很少技术很牛逼，主要研究botnet和malware。 　　更神秘的研究团队，挖0day，主要是hypervisor和内核级的。 　　很多大产品团队本身也有自己的安全团队，我们主要就是有事和他们沟通了。 　　忙不忙看人品，有时候oncall一大早十来个page，有时候两三天也没一个。 　　具体负责什么主要看你在哪个团队了。 　　进入大公司安全部门最大的挑战就是熟悉业务，熟悉业务，熟悉业务，重要的事情说三遍。比如，有人给你们报了某产品有漏洞，你要知道去找哪个团队，由谁负责，又比如你们的扫描器发现某主机存在漏洞，你要知道这个主机是谁负责，上面有什么业务，存了什么数据等等。 　　另外就是要会写小工具，有时候一下通知几百上千个团队更新软件包是件很痛苦的事情。 　　主要分为哪几种类型的工作? 　　主要分类：安全运维，安全审计。按照CISSP，安全要细分十个领域，不过真正在甲方工作的话，职位就这两个差不多了。(不知道保安算在哪一种?) 　　有些公司是直接分到IT技术部门;有些公司有安全部门，部分公司会有很多安全小团体，共同向安全总监汇报。第三种比较常见。 　　一般情况下一天的工作时间安排会是什么样子? 　　不管具体是负责安全哪一块的，都差不多是这样工作的： 　　开会，总结安全的问题(被黑了，信息泄露了，公司发现了哪些安全脆弱了) 　　做产品(包括开发安全产品，各种需要的产品，包括写文档之类的，文档很重要，可以把安全信息可视化，主要看公司的需求) 　　协助其他部门买产品或做顾问(买安全设备，检查别的部门买的设备是否有明显的安全漏洞，检查别的部门的工作会不会影响公司的安全。不仅仅是指参与IT部门的安全啊，甚至包括财务人事等，各个部门，当然会有分工的，不是一个人查全部。) 　　安全检查(全方位，因为大公司要过安全审计的。这点很琐碎，无所不及，而且还不能影响其他部门正常工作，所以基本是中午啊，半夜啊，虽然会有自动化工具什么的，但是依然心里惦记着，晚上手机震动就会醒了，以为有报警。) 　　会遇到什么在其他公司难以遇到的挑战? 　　这里是重点： 　　1、团队人少是肯定的，安全部门不会很庞大，有经验的就更少了，几乎只有经理级别的有经验。大多数队员们都是来自各行各业(开发啊，运维啊，测试啊)就算是安全公司跳过来的，技能也比较局限，比如人家只会挖web漏洞，给他个二进制的他也不行，给他系统级的安全问题，他也 不擅长，没办法，安全是需要积累的，但是坚持下来的人很少。事多钱少背黑锅。 　　2、事情杂多杂多的，全部要自己来。一般其他部门的开发就开发，运维就运维，安全部门基本上是自己做的。绝对不可能让开发公司app的或web的团队帮你做安全产品。原因很简单，他们是为公司赚钱的，安全表面上看不出赚钱。所以基本上开发测试上线运维都自己来，虽说自己来是指安全部门或团队自己来，但是由于安全团队不可能跟开发团队人数比，所以实际工作中还是相当于一个人能做的.越多越好。之前说了，安全还要参与别的部门的事情，所以知识面必须很广。比如销售们出台了一个活动，你要放下手里的代码，去看看他们这么玩行不行，会不会有安全隐患。根据经验，人事部门，销售部门经常出问题。IT部门中的开发测试也问题多多，运维也不省心，产品选型必须参与。有时心态也会调整不好，我那边正忙着补一个漏洞呢，你们这种过家家的事还要浪费我时间，但是不去不行啊，你这边好不容易防护过滤通通上了，人家一做活动，大字报一贴，什么奇奇怪怪的信息都能轻易的泄露出去。 　　3、安全部门地位尴尬。事情要做，但是没人理你。举个例子，要开发安全产品，没有人给你资源，因为开发部门都不够用呢。你要买安全产品，人家不批准，因为安全产品比较贵。你部署的要求，没人理你，什么?你要加一个设备在我的网络里?你要干嘛啊，我们网络组好不容易把网维护的棒棒哒，你别多事。因为安全很难引起管理层的重视。哪怕出了事故了也很难引起足够的重视。 　　4、永远招人恨。业务部门想出来绝妙的点子。安全部门冲上去说不行!!! 开发部门来不及上新版本了，安全部门冲上去说慢着!!!人事部门只是发邮件收集一下信息，安全部门说等下!!!大家会觉得安全部门太TM烦了。安全部门的要求很难被理解。还会打扰人家。比如人家DBA玩的挺hi的你过去说：季度审计一下，不好意思配合做个。。。沟通永远是个麻烦的问题，更恶心的是安全没有大家想象的那么闲的蛋疼，相反是很忙很忙。已经尽可能避开业务高峰了。 　　5、专业背黑锅。从CSO开始到工程师都背的。信息安全是全公司的事，并不是安全部门的事。但是大家不会理你的。每次沟通，说的再清楚也没用。因为安全一定会与便利性冲突，没办法CIA原则平衡起来确实困难。漏洞百出安全部门只能看在眼里也没办法。举个例子：安全扫描(这个无论大小公司比做吧，而且一般是半夜做哦)发现一台数据库服务器有系统漏洞。然后跑去跟系统部门说吧，他们不理你，说这是DBA的事情啊。DBA会说：什么漏洞?我们的数据库很安全的，绝对注入不了，安全部门要从何科普起好呢?这还是技术部门内部。其他部门就更坑爹了，业务部门根本无法理解安全部门担心的问题。觉得是想多了，也不好解释这是风险控制吧，不好直接给她们看那个定性的量表图吧?然后出事了，就是安全部门背黑锅，虽然在具体追责的时候会追个人的责任，但是大家对安全部门印象好不起来。”我们的安全部门不行“。经验得，出事情最多的：行政部(社会工程防不胜防)>测试部>运维部>其他部门。 　　应届生来大公司(如阿里巴巴、腾讯、百度)，可能会遇到的最大的挑战与困难是什么? 　　同上所诉，就是因为回答这个小问题，才决定匿的。个人觉得三家的安全部门百度管理的好一些。但也是50步笑百步，都比较散乱。最乱的是阿里个人感受。要补充说明一下，安全是非常隐蔽的，非专业人士难以评价的，这三家还有一些大公司在安全上都是付出了努力的，但是由于一些非常致命的原因，他们的安全还是会出问题，以及他们自己对安全不到位可能产生的后果的承担能力不同，所以给人感受不同(简单说就是，有企业明确安全目标是：老子不怕你来黑我，这样的指导思想会直接影响安全结果，与企业的一个安全工程师是否优秀无关，安全是打全局战的) 　　三家都有一个优势，就是他们的安全部门都已经不仅仅是support部门了，都受到公司的重视了，可以有明确的目标，有东西学。比如 阿里的云安全，其实是可以算作“盈利”的存在了。因为保护的用户不是散户而是企业级的用户。 　　另外，应届生的话，其实就是没有经验的学生，很遗憾的是，学生不等于没有经验，牛的学生足够多，但是!做安全太依赖经验了，所以安全行业的学生等于没有经验。所以，没经验的话我刚刚说的那么些(那些只是一部分工作内容，还不是全部)基本不会给你接触的，所以，学生其实只是做最落到实处的部分，比如：开发。区别就是人家开发app，你开发安全应用咯。一定要说有什么工作上的区别，对学生来说可能就是你要学的东西太多了吧，具体上手不会有太多的区别的。人家开发你也是，人家写文档你也是。所以，学生做安全的一天基本上是这样的： 　　开发 　　领导开会回来了，告诉你要继续开发 　　开发 　　领导去参与其他部门的安全问题了，告诉你继续开发 　　开发 　　验收开发的阶段性成果 　　下班，下班前做一下安全审计的工作，很简单很耗时 　　下班回家，担心着自动化的审计工具有没有问题啊? 　　第二天上班，先查看一下昨天的审计是否顺利，顺利则上交审计数据，不顺利?则今晚重来一遍。 　　开发。。。 　　当然，这也只是一种，也有其他的，比如把开发改成运维，审计改成分析log等等，大致就是这个节奏了。 　　安全工程师工作适合什么样子性格和能力的人，怎么样就算做得“优秀”? 　　适合打人生下半场的人做。仔细回忆一下，身边做安全的，好像没什么人能坚持下来从事这一行的。因为钱少事多背黑锅。所以尝试转行的基本上都转回去了。学生来做的，纷纷转行的也不少。 　　真正坐下来的，我认识的从事这行也有5年以上，到十几年的都有。他们已经有很大的不可替代性了，已经是manager级别的了。所以坚持很重要。 　　回答最后一个问题，网上总会有各种人才，脚本小子也好，漏洞达人也好。我想说一下，那不是安全从业者追求的状态。原因是这样的，安全是正当职业。虽然黑客也可以赚钱，而且暴利。但是很难洗白。真正的需要安全人才的公司不要流氓的。另外一个原因，安全很大的只是宽度，而不是深度。当然，深度也需要，只是没宽度重要。现在可以做黑客，找漏洞。那么10年之后呢?还继续找漏洞?10年后公司不是需要一个找漏洞的人，而是可以保护企业安全的人，那时候你要可以全面评估企业资产安全，制定计划，出台安全政策。说了安全有10个领域，局限于一个是不行的。 　　最后说一下：安全不会比开发这种工作工资高的哦。都说了不受重视了。所以很有可能题主找工作的时候直接奔着钱就去做开发了，还懂些安全很受欢迎了。或者觉得开发简单一心做开发就好了，安全学那么多学都学不完。我技术不差为什么要受人指点，转行吧。这两个诱惑可以过，基本就适合做安全。 　　利益相关：CISSP，工作经历：大公司安全工作人员(SIEM)，曾在乙方主要做加密，DLP等方向。;