工作概要和使命
该职位通过以下方式为 wizlynx 集团的成功做出贡献:
- 负责我们客户安全治理、风险和合规计划的整个范围内的开发和运营活动。
- 工作内容包括领导和参与应用程序、基础设施和技术项目的安全性、风险和控制有效性评估。专家将通过记录评估结果、推荐纠正措施、跟踪补救措施、评估政策和控制标准例外情况以及定期向客户 IT 管理层报告,识别、分类和记录客户计算环境中的控制问题。
- 作为问题升级的主要联络点
- 管理服务支持要求并确保满足质量计划、KPI/SLA
- 起草支持 SOP 和文档
- 按照 wizlynx 集团指导原则行事
担任此职位后,您还将有机会了解信息和网络安全的不同领域,例如进攻性安全和渗透测试
主要职责摘要
- 领导我们的客户的 IT 控制评估,以确保有效的 IT 控制能够满足运营和合规性要求。
- 与客户的 IT、内部审计、合规和其他关键利益相关者合作,制定符合专业标准并解决客户运营和行业固有的 IT 风险的 IT GRC 战略。
- 制定供应商风险管理政策并支持客户对供应商入职流程的风险状况评估,并对关键供应商进行年度审查。
- 执行持续的逻辑访问审查并建议更新访问控制权限,以确保根据用户访问审查正确地划分职责。
- 有效地向客户的 IT 管理层报告和传达测试结果,以便在必要时采取纠正措施。
- 进行信息安全意识培训。
为我们的客户年度合规(例如 CREST、PCI DSS)认证计划执行证据收集和项目管理协助。
- 跟踪和监控风险异常,以确保识别控制偏差并实施缓解控制措施。
- 协助我们的客户起草和维护信息安全政策
- 为其他团队成员提供指导。
- 展示出色的项目管理技能,激发参与团队成员的团队合作和责任感,并使用当前的技术/工具来提高交付成果和服务的有效性。
- 促进我们客户年度灾难恢复测试和业务连续性计划的执行和测试。
–
对经验、技能、知识和能力的需要
- a) 高级 GRC:
至少有五年信息安全审计或技术相关审计或合规领域的经验,最好具有丰富的运营、企业网络、系统评估/架构和咨询经验。
- b) 初级 GRC:
具有一至两年信息安全审计或技术相关审计或合规领域的工作经验,且在运营、企业网络、系统评估/架构和咨询经验方面具有扎实的知识基础者优先。
- 深入了解并能够提供网络和操作系统的安全配置和测试,包括 TCP/IP、WAN/LAN 路由、VLAN 架构以及包括各种主要 Web 应用服务器在内的各种大型环境。
- 深入了解信息安全原则,如 ISO 27001、香港金融管理局 CFI、CRAF、香港证监会、香港保险业监督管理局网络安全指南 (GL20)、PCI-DSS、PDPO 和其他监管合规性
语言技能
流利的英语(口语和写作)
软技能
- 出色的团队领导能力、团队意识和敢于承担责任的团队合作精神
- 态度灵活、可靠、行动导向
- 顾客友好型态度和外观
- 愿意出差
- 具有创新精神,推动新理念,充满活力和前瞻性,对团队有明确的管理原则
- 能够独立工作、批判性思考并能够与支持团队和客户进行有效沟通
- 喜欢与不同文化背景的全球团队合作
技术技能和能力
- 了解 Microsoft OS 和 Office
- 技术文档撰写
- 拥有 IT 项目管理经验
- 了解外围防火墙基础设施和 VPN 远程访问
教育概要
- 获得经认可的学院/大学颁发的相关专业的学士学位
认证/培训
- CISM、CISA、CRISC、CISSP 认证
关键绩效指标/成功衡量标准
- 在质量、时间和成本方面实现商定的目标/SLA/KPI
- 带领团队成员实现团队/组织目标
- 提高并保持较高的客户满意度
潜在的职业发展
- 晋升至更高的业务发展层级或地理范围
