安全顾问岗位职责任职要求
安全顾问岗位职责
岗位职责:
1)负责基于S-SDLC/DevSecOps等应用安全建设方法论,结合软件系统的研发组织模式(如DevOps等),构建软件安全开发相关的体系、流程、框架等;并推动在软件项目中的落地。
2)负责与管理层沟通,向管理层清晰汇报软件安全建设的思路、进展、成果等。
3)负责与国家信息安全主管部门等进行沟通,组织安全方案评审等,向主管部门汇报安全建设的思路、方案等。
4)负责与软件需求、开发团队等进行沟通,推动安全评审、安全开发、代码审计、安全测试等各项安全活动和过程。
5)持续跟踪WASP、WASC等软件安全研究组织的研究成果,结合项目情况,在项目中进行应用。
6)持续跟踪等级保护、PCIDSS等国内外安全合规标准,提出安全需求和建议。
7)对软件架构、软件设计等进行安全评审,侧重于功能、合规性等评审;
8)负责建设软件漏洞的管理流程、应急响应流程、体系等。
任职要求:
1)熟悉S-SDLC、Devsecops等应用安全建设的方法论,框架,工作流程等,具备在大型软件公司、互联网公司主持大型软件产品/系统的安全开发管理经验;
2)精通风险评估、信息安全等级保护,熟悉iso27001及其它国外相关安全标准;
3)具有大型软件系统(产品)开发领域的安全需求分析、威胁建模、风险评估、代码审计、安全测试等管理、组织和实施经验;
4)具有较强的跨组织沟通、协调和推动能力,善于寻求安全和业务需求的平?;
5)较强的方案编写和汇报能力;
6)具有高度的责任心,较强的抗压能力以及良好的职业道德;
7)英语听说读写能力强,可以无障碍阅读英文技术文献,具备技术方面的沟通能力;
岗位职责:
1)负责基于S-SDLC/DevSecOps等应用安全建设方法论,结合软件系统的研发组织模式(如DevOps等),构建软件安全开发相关的体系、流程、框架等;并推动在软件项目中的落地。
2)负责与管理层沟通,向管理层清晰汇报软件安全建设的思路、进展、成果等。
3)负责与国家信息安全主管部门等进行沟通,组织安全方案评审等,向主管部门汇报安全建设的思路、方案等。
4)负责与软件需求、开发团队等进行沟通,推动安全评审、安全开发、代码审计、安全测试等各项安全活动和过程。
5)持续跟踪WASP、WASC等软件安全研究组织的研究成果,结合项目情况,在项目中进行应用。
6)持续跟踪等级保护、PCIDSS等国内外安全合规标准,提出安全需求和建议。
7)对软件架构、软件设计等进行安全评审,侧重于功能、合规性等评审;
8)负责建设软件漏洞的管理流程、应急响应流程、体系等。
任职要求:
1)熟悉S-SDLC、Devsecops等应用安全建设的方法论,框架,工作流程等,具备在大型软件公司、互联网公司主持大型软件产品/系统的安全开发管理经验;
2)精通风险评估、信息安全等级保护,熟悉iso27001及其它国外相关安全标准;
3)具有大型软件系统(产品)开发领域的安全需求分析、威胁建模、风险评估、代码审计、安全测试等管理、组织和实施经验;
4)具有较强的跨组织沟通、协调和推动能力,善于寻求安全和业务需求的平?;
5)较强的方案编写和汇报能力;
6)具有高度的责任心,较强的抗压能力以及良好的职业道德;
7)英语听说读写能力强,可以无障碍阅读英文技术文献,具备技术方面的沟通能力;
安全顾问岗位
篇2:应用安全顾问岗位职责应用安全顾问职责任职要求
应用安全顾问岗位职责
安全顾问-应用安全方向具体职责:
?在架构、设计和评审阶段与开发团队紧密合作。
?向开发团队提供专业的安全指导和见解。具体的安全控制领域会涉及但不限于,安全的数据库访问,验证方式,会话管理,加密技术,权限设计与访问控制,安全测试,错误处理和日志,输入验证,安全存储设计。
?根据应用系统生命周期安全管理要求,对所服务团队互联网系统进行安全风险评估,提出安全需求,并评估安全要求不能达到时的风险,向项目建议控制措施。;
?与开发团队共同讨论,确定安全功能设计方案,提供方案实现的具体建议,供开发团队实现;
?确定应用系统的各阶段安全测试方法、验证方法,准备测试用例、工具,组织或实施安全测试;
?与开发团队共同分析测试中发现的问题,提出建议,督促及时整改;
?向开发团队传授专业安全知识和技能;
?归纳总结开发中遇到的经验和教训,形成一致的安全标准、安全功能模块,提高开发安全的保障水平。
?针对已使用技术和新技术,创建开发安全相关的规范、指引和实践文档。
?识别安全开发生命周期框架中需要改进和落实的领域,以进一步完善安全开发实践和纪律,逐步建立安全的程序库供开发人员使用。
?与其他安全顾问沟通和协作,相互支持,一致地优化安全实践。
技能要求:
软性技能:
?与人交互和影响的技能非常重要,该岗位需要与项目、开发团队紧密协作,并能够对改变和决策产生积极影响。
?口语、书面表达和沟通技能。
开发经验:
?架构/实施:理想的候选人需要具备架构和实施(开发)企业级应用的经验,并在组织中担当过IT岗位。
?软件开发:这个岗位不是日常的程序开发岗位,成功的候选人应具备在商业环境下程序开发的经验,尤其偏重于大型Web应用开发项目。这需要掌握开发生命周期(SDLC)的知识和Web安全的实践(如OWASP实践集)。
?编程语言:理想的候选人应具备在实践中使用不止一种开发语言的能力,如Java,HTML5,Perl,C/C++,C#,Python。
?深入了解Web技术和框架,如JavaScript,JSP/Servlet/EJB,ASP.NET,PHP,HTTP/HTTPS,Cookies,AJAX,Flex/Silverlight。
?移动平台:熟悉iOS和安卓平台下的开发。
安全经验:
?了解通常的应用层安全漏洞,能够可以向开发人员讲解漏洞的原理,风险和相应的控制。熟悉、实践过主流应用安全实践集如(OWASP),和移动安全领域的控制。
?能够在开发过程中,评估安全相关的技术和功能性特性,识别威胁和脆弱的领域。具备参与设计阶段的经验。
?能够从安全角度评审企业级应用的代码,借助工具的结果向开发人员讲解可能的安全漏洞。
?候选人应熟悉、实践过安全相关的控制领域和措施,如身份验证,权限,身份管理,数据保护,输入输出验证,加密,软件攻击模型,安全的数据传输和存储。
?具备使用动态漏洞评估和静态漏洞评估工具,甚至渗透测试或其他安全测试工具的经验。
其他:
?5年以上工作经验。
?硕士(大公司多年经验本科也可)
具体职责:
?在架构、设计和评审阶段与开发团队紧密合作。
?向开发团队提供专业的安全指导和见解。具体的安全控制领域会涉及但不限于,安全的数据库访问,验证方式,会话管理,加密技术,权限设计与访问控制,安全测试,错误处理和日志,输入验证,安全存储设计。
?根据应用系统生命周期安全管理要求,对所服务团队互联网系统进行安全风险评估,提出安全需求,并评估安全要求不能达到时的风险,向项目建议控制措施。;
?与开发团队共同讨论,确定安全功能设计方案,提供方案实现的具体建议,供开发团队实现;
?确定应用系统的各阶段安全测试方法、验证方法,准备测试用例、工具,组织或实施安全测试;
?与开发团队共同分析测试中发现的问题,提出建议,督促及时整改;
?向开发团队传授专业安全知识和技能;
?归纳总结开发中遇到的经验和教训,形成一致的安全标准、安全功能模块,提高开发安全的保障水平。
?针对已使用技术和新技术,创建开发安全相关的规范、指引和实践文档。
?识别安全开发生命周期框架中需要改进和落实的领域,以进一步完善安全开发实践和纪律,逐步建立安全的程序库供开发人员使用。
?与其他安全顾问沟通和协作,相互支持,一致地优化安全实践。
技能要求:
软性技能:
?与人交互和影响的技能非常重要,该岗位需要与项目、开发团队紧密协作,并能够对改变和决策产生积极影响。
?口语、书面表达和沟通技能。
开发经验:
?架构/实施:理想的候选人需要具备架构和实施(开发)企业级应用的经验,并在组织中担当过IT岗位。
?软件开发:这个岗位不是日常的程序开发岗位,成功的候选人应具备在商业环境下程序开发的经验,尤其偏重于大型Web应用开发项目。这需要掌握开发生命周期(SDLC)的知识和Web安全的实践(如OWASP实践集)。
?编程语言:理想的候选人应具备在实践中使用不止一种开发语言的能力,如Java,HTML5,Perl,C/C++,C#,Python。
?深入了解Web技术和框架,如JavaScript,JSP/Servlet/EJB,ASP.NET,PHP,HTTP/HTTPS,Cookies,AJAX,Flex/Silverlight。
?移动平台:熟悉iOS和安卓平台下的开发。
安全经验:
?了解通常的应用层安全漏洞,能够可以向开发人员讲解漏洞的原理,风险和相应的控制。熟悉、实践过主流应用安全实践集如(OWASP),和移动安全领域的控制。
?能够在开发过程中,评估安全相关的技术和功能性特性,识别威胁和脆弱的领域。具备参与设计阶段的经验。
?能够从安全角度评审企业级应用的代码,借助工具的结果向开发人员讲解可能的安全漏洞。
?候选人应熟悉、实践过安全相关的控制领域和措施,如身份验证,权限,身份管理,数据保护,输入输出验证,加密,软件攻击模型,安全的数据传输和存储。
?具备使用动态漏洞评估和静态漏洞评估工具,甚至渗透测试或其他安全测试工具的经验。
其他:
?5年以上工作经验。
?硕士(大公司多年经验本科也可)
篇3:高级安全顾问岗位职责高级安全顾问职责任职要求
高级安全顾问岗位职责
高级安全咨询顾问广州万方安全技术有限公司广州万方安全技术有限公司,万方技能要求:
Web安全,网络安全,信息安全,配置管理,系统运维,Linux
1、信息安全风险评估、信息安全体系规划、ISO27001安全体系建设等各类安全咨询服务的研究和创新;
2、区域内安全服务项目的支持工作;
3、区域内安全服务项目的实施和管理。
任职资格:
1、热爱信息安全事业,有意与公司共同发展;
2、有3年以上信息安全工作经验与相关项目经历;
3、有良好的良好的文档能力、语言表达、沟通能力;
4、熟悉国内外信息安全标准和规范,对信息安全风险评估、等级保护、信息安全管理体系有较深刻理解;
5、最好具有CISSP、CISA、CISP、ISO27001LA、ITIL、PMP等相关资质之一;
6、具备相关行业背景者优先,具备多年安全技术经验者、有信息安全咨询相关项目实施经验优先。
篇4:信息安全顾问岗位职责
信息安全顾问职位要求
1、前沿安全技术的跟踪和深入研究,能灵活运用信息安全专业技术与信息安全管理体系的相关方法提供定制化的信息安全解决方案;
2、具备一定知识广度,能针对安全功能、行业场景、业务需求等多种视角输出总体安全解决方案;
3、跟进业务发展,在集团安全前沿领域进行布局,通过项目主导进行选型、落地和实施;
4、能够与业界战略同盟、监管部门、信息安全服务厂商紧密合作,共同打造集团信息安全防线;
5、制定云平台安全运营标准和规范,规划云平台系统安全持续改进计划,跟踪安全改进工作进展情况,督促内部整改
6、上级交办的其他工作。
任职资格
专业技能要求:
1、具有非常强的学习能力,较好的分析问题解决问题的能力、归纳总结和文档能力,能够从行业发展趋势等角度,分析安全需求,准备技术交流材料;
2、熟悉常见的网络攻击技术、入侵检测思路、防御加固方案,熟悉常见的网络访问控制手段和方案
3、了解国内外信息安全产品、技术、政策与标准,具有风险评估、安全策略设计、等级保护、安全管理体系、安全体系规划、安全集成等实施经验和项目管理经验;
4、熟悉Linux系统攻防,了解常见容器技术、沙箱技术原理以及安全攻防、流行的虚拟化技术、分布式计算、中间件、SDN等技术原理、安全风险及加固方案。
5、对业界安全标准有一定的了解。
业务知识要求:
1、具有安全行业、互联网行业或者金融行业工作经历者优先
2、具有世界500强或者国际知名咨询公司经验者优先。
其他:
1、有较强的沟通能力和组织协调能力;
2、表达能力强,善于发现、分析和解决问题;
3、有较强的时间管理和项目管理经验;
4、有较好的英文读、写能力。
5、具备CCSK、CISSP等证书优先。
实际薪资面议职位要求
1、前沿安全技术的跟踪和深入研究,能灵活运用信息安全专业技术与信息安全管理体系的相关方法提供定制化的信息安全解决方案;
2、具备一定知识广度,能针对安全功能、行业场景、业务需求等多种视角输出总体安全解决方案;
3、跟进业务发展,在集团安全前沿领域进行布局,通过项目主导进行选型、落地和实施;
4、能够与业界战略同盟、监管部门、信息安全服务厂商紧密合作,共同打造集团信息安全防线;
5、制定云平台安全运营标准和规范,规划云平台系统安全持续改进计划,跟踪安全改进工作进展情况,督促内部整改
6、上级交办的其他工作。
任职资格
专业技能要求:
1、具有非常强的学习能力,较好的分析问题解决问题的能力、归纳总结和文档能力,能够从行业发展趋势等角度,分析安全需求,准备技术交流材料;
2、熟悉常见的网络攻击技术、入侵检测思路、防御加固方案,熟悉常见的网络访问控制手段和方案
3、了解国内外信息安全产品、技术、政策与标准,具有风险评估、安全策略设计、等级保护、安全管理体系、安全体系规划、安全集成等实施经验和项目管理经验;
4、熟悉Linux系统攻防,了解常见容器技术、沙箱技术原理以及安全攻防、流行的虚拟化技术、分布式计算、中间件、SDN等技术原理、安全风险及加固方案。
5、对业界安全标准有一定的了解。
业务知识要求:
1、具有安全行业、互联网行业或者金融行业工作经历者优先
2、具有世界500强或者国际知名咨询公司经验者优先。
其他:
1、有较强的沟通能力和组织协调能力;
2、表达能力强,善于发现、分析和解决问题;
3、有较强的时间管理和项目管理经验;
4、有较好的英文读、写能力。
5、具备CCSK、CISSP等证书优先。
制度专栏
