资深信息安全工程师岗位职责

资深信息安全工程师是做什么的?本文提供资深信息安全工程师的岗位职责例子,包括详细的工作内容及任职要求。

岗位职责：

1、制定运行安全策略、安全技术架构和管理制度的规划、设计

2、负责业务系统安全测试、漏洞扫描及自动化平台建设等工作（黑、白盒）；

3、参与漏洞管理工作，对各类重大通用漏洞、应用漏洞进行评估、预警，并推动相关负责人按期修复；;

4、负责安全事件（高级、中级事件）的分析、紧急响应和事件处理；

5、负责安全测试技术和安全解决方案积累，提升团队安全测试能力和效率；

6、跟踪和分析业界最新安全漏洞、发展趋势和解决方案，引入业界安全测试***实践。

7、负责公司安全合规项目的推进。

任职要求：

1、3年及以上互联网金融行业安全工作经验，掌握典型攻防技术原理；

2、有渗透测试和Web漏洞挖掘实战经验；

3、具有业务逻辑场景及业务系统架构安全设计的经验；

4、具PHP/JAVA/Python等编程能力者先；

5、有源代码审计、移动应用安全经验优先；

6、有互联网金融公司安全工作经验者优先；

7、具CISSP、CISP、CWASP等认证优先。

8、学习能力强，较好的沟通协作能力，极强的执行力，动手能力强；具有良好的团队意识、高度敬业精神。

管理体系运营： 1、结合公司业务发展需求，提供专业的信息安全控制方案，指导业务安全运行； 2、给合行业信息安全先进管理经验，合理规划公司信息工作路标和推进路径； 3、根据信息管理需求，推动公司新的信息安全技术工具的导入，参与选型评估，配合IT完成部署实施； 4、负责处理和响应公司突发性安全事件，确保安全事件在最短的时间内解决； 5、信息安全管理和技术方案的法律遵从与合规性管理 信息安全审计： 1、负责编制全面的信息安全审计方案和计划，组织实施例行的内部审计； 2、负责组织对供应商、外包合作方等公司的关键外部合作方进行安全测评、检查和审计工作 外部合作： 1、与外部第三方安全机构或白帽子组织合作，发现公司潜在外部信息安全风险，及时应对整改； 2、参与行业信息安全研讨和交流，掌握行业安全动态，开展外部合作

任职要求：

1、具备5年以上大型研发型科技公司（如苹果、华为等）或互联网企业的信息安全从业经验，其中从事管理职三年以上；
2、对基础架构安全、终端安全、应用安全、数据安全、网络安全、云安全等的原理和管理机制有深刻的理解；
3、熟悉产品研发、营销、供应链等业务流程，有手机等智能终端行业经验更佳；
4、熟悉信息安全产业动态和行业展趋势，能够将行业态势和公司业务发展需求有效的结合，形成公司级信息安全规划方案和工作路径；
5、熟悉国内外信息安全法律法规和行业规范，能够将其转化为内部管理要求

岗位职责：

1.建立及完善信息安全体系，包括安全制度的建设，并结合行业监管规范，及时更新信息安全标准；

2.负责信息安全测评和安全审计工作，并按照安全规范推进整改；

3.负责业务架构运行分析及安全漏洞管理，业务代码漏洞审查及运行管理，跟踪并分析最新的安全漏洞；

4.负责漏洞扫描、配置核查、渗透测试、网络分析、日志分析、代码审计、App安全加固等安全服务项目的交付；

5.负责安全事件应急响应，安全风险识别，并给出解决方案。

任职要求：

1、5年以上的安全行业工作经验，有大型金融公司及互联网公司从业经历；

2、精通Web应用攻防安全技术，熟悉常规安全漏洞（SQL注入、XSS、CSRF、LFI、RFI等），深入理解Web漏洞的原理及对抗方法；

3、熟悉主流信息安全安全产品的配置及使用，如IPS、WAF、防火墙、NGFW、VPN、网络防病毒、网络管理软件等；

4、精通网络安全技术，包括端口、服务漏洞扫描、程序漏洞扫描分析检测、入侵和攻击分析追踪、网站渗透、病毒木马防范等；

5、熟悉常用的安全框架及常用开发语言，可实施安全规范制定及代码审核；

6、了解国际和国内安全标准，对安全风险评估有一定的经验，能够独立处理安全事故。

1.负责贯彻执行国家网络安全、关键信息基础设施防护等工作要求，协调和规范公司信息安全工作；

2.负责客户网络与信息安全技防体系建设与实施和等级保护、风险评估工作；

3.负责熟悉网络及安全产品架构，对于网络及安全领域从客户到行业有较深的了解；

4.具备网络及安全产品客户售前方案设计，培训及方案交流的能力；同时具备一定技术实施的能力；

5.负责公司网络与信息系统及设备的入网审查与安全测评管理；

6.负责公司网络安全监测与预警、安全漏洞发现和治理；

7.负责制修订网络与信息安全规划、制度、方案及标准；

8.负责公司信息安全知识的培训和宣传工作；

9.负责跟踪网络安全防护的前沿技术，组织信息通信新业态新技术的安全防护技术研究和建设；

职位要求：

1.大学专科及以上学历，计算机应用、网络、通信、信息安全等相关；

2.5年以上相关行业工作经验；为人踏实，品行端正，有较强的责任心及高度的协同和执行能力；

3.熟悉tcp/ip协议、精通网络安全技术：包括端口、服务漏洞扫描、程序漏洞分析检测、精通入侵和攻击分析追踪、网站渗透、病毒木马防范等；

4.熟悉sql注入原理和手工检测、熟悉内存缓冲区溢出原理和防范措施、熟悉信息存储和传输安全、熟悉数据包结构、熟悉ddos攻击类型和原理有一定的ddos攻防经验，熟悉iis安全设置、熟悉ipsec、组策略等系统安全设置。

5.熟悉主流网络主流厂商安全产品（防火墙、IDS、IPS、audit等设备）的配置及使用；

6.较强的表达能力及与客户沟通能力，良好的分析问题和解决问题能力，良好的学习和创新能力；

7. 持有CISP或其他安全类者证书优先。