发明一个类似于您希望他们处理的场景，并让他们引导您了解他们将如何解决它。您需要评估他们理解您的业务需求的能力以及他们对技术的理解。关键因素是他们是否提出正确的问题并给您正确的答案。

例如，您可能希望有人评估您的电子商务基础设施，因此您的方案可能会从以下问题开始：

1. “我们想建立一个新网站——我们应该如何保护它？”

一个好的候选人会立即开始询问所涉及的数据，以及您愿意承受的风险水平。一个糟糕的候选人会立即被禁止。

如果他们的回答令您满意，或者从您那里获取信息，您可以将其扩展为：

1. 该网站将包含一个购物车。我们应该如何确保这一点？

... 等等。理想情况下，在这种情况下，您应该有一位候选人不仅关注 IT 问题，还关注更广泛的问题 - 政策、程序、员工培训、备份和备份安全性以及防火墙和 IPS 都会发挥作用。

如果您没有任何人可以挑战他或她的技术专长，那么我会说走客户参考路线。要求参考 - 最好是从他们执行类似工作的客户那里。

要求参考是一个合理的开始。

另一个粗略的指标是他们在备受推崇的会议上的知名度和记录。如果他们是 Blackhat、RSA 安全会议、WOOT 等的演讲者，那通常是一个好兆头。（但缺乏这种可见性并不一定意味着他们不合格。这是一个非常粗略的指标，充其量。）

您还可以查看他们披露的漏洞报告、白皮书等的跟踪记录。

我不会过多关注认证。如果他们的主要或唯一证书是 CISSP 或类似证书，那么您很可能获得的是低级别人员。认证的价值将取决于特定的认证以及您希望顾问从事的工作类型。

有关认证内容及其声誉的更多详细信息，请参阅以下主题：IT 安全专业认证；网络安全认证；国际渗透测试认证；初学者的基础认证课程有哪些？; CISSP 对刚毕业的学生有多大用处？; CEH 或 GIAC - 我应该追求哪一个？; 准备 CCNA 会“显着”增加我作为渗透测试员的知识吗？.

参考资料、参考资料和更多参考资料。来自与您规模相近的公司。你应该打电话给推荐人，询问顾问是怎么做的。询问他们是否阅读了您现有的政策和程序并提出了改进建议。好像他们建议了行业最佳实践。在会议上担任演讲角色的顾问根本不考虑他们是否能胜任这项工作。如果他们在会议上发表过演讲或写过书，你应该总是要求他们提供书或幻灯片或谈话的录音，并查看他们是否引用了以前的客户。你最不希望他们在下一次会议上谈论你的公司（甚至是匿名的）。