职位描述
【岗位职责】
1、负责对接监管机构和总行主管部门,根据国家法律法规和监管要求,建立安全相关标准、制度和规范。
2、负责统筹管理网络与信息安全防控体系的整体规划、持续完善本单位信息系统资产管理策略和安全基线。
3、负责统筹管理网络与信息安全落地执行成效,持续开展网络与信息安全风险评估,制定有针对性的解决方案和安全策略,牵头网络与信息安全建设和实施,落实威胁监测、运营维护。
4、负责网络与信息安全管理和技术支持,及时掌握信息安全趋势,及时关注最新安全威胁、漏洞公告等,积极采取措施降低业务系统风险,指导开展信息系统安全加固,风险防范和威胁处置。
5、负责总行云环境和本地环境下,信息系统安全日志的数据分析与处理,并对攻击场景进行分析、响应、调查与处置。
7、负责本单位信息系统全生命周期安全管理,包括安全需求评审、安全架构设计、安全研发管理、安全评估(代码审计、漏洞扫描、渗透测试等)等工作。
8、负责网络安全整体风险管控,组织网络安全检查和风险评估、安全风险监测体系建设、网络安全风险事件的应急处置等。
9、负责本单位网络与信息安全文化建设,负责分行网络信息安全培训和宣贯工作,提升全员合规意识和防护技能。
10、负责研究安全技术和网络攻防技术发展,提升本单位安全技术能力,积极参与行内外的网络攻防竞赛。
11、负责组织开展本单位信息系统网络安全等级保护评测和商用密码应用安全性评估,落实关键信息基础设施安全保护。
12、负责组织落实本单位信息安全事件管理和应急处置工作,及时识别和发现安全事件,紧急止损并推进风险排查整改。
【岗位要求】
1、本科及以上学历,计算机、信息安全相关专业,3年以上网络与信息安全相关工作经验。
2、熟悉网络安全和信息科技风险管理相关法律法规和制度要求,具有CISSP、CISP等证书或信息安全运营管理、大数据分析等从业背景者优先;
3、具备5年以上安全架构设计与开发工作经验,熟练掌握常用的Java类库及框架,如SSH、SSM、Spring boot、Spring cloud等。
4、熟悉软件工程体系,对DevSecOps有深入理解,有Java Web安全漏洞防护框架、安全模块、SAST、DAST、IAST等安全扫描工具开发经验者优先。
5、熟悉各领域的安全技术和主流安全解决方案,包括网络安全、应用安全、数据安全等。精通web安全技术及常见的网络攻击和预防方法,熟悉常见的安全防御及保障技术。
6、熟悉数据安全主流技术,如行为监控、数据脱敏、权限管控等,并有相关实践经验。对数据敏感,具备一定的安全大数据处理能力,掌握Flink、Kafka、ES、Redis等常用组件的使用方法。
7、在安全风险评估、安全监控和响应等方面具备较为丰富的维护和管理经验。原则性及保密意识强,善于沟通及团队协作,对事物敏感度高,有较强的逻辑分析能力,抗压能力好。
8、熟悉网络安全产品(防火墙、入侵检测、网络流量分析)的定位、价值、场景、和使用方式。
9、熟悉渗透测试原理与步骤;熟悉WEB渗透手法,如sql注入、XSS、文件上传等;熟练使用各类渗透工具,如Burpsuite、nmap、sqlmap 、KaliLinux、Wireshark等。