工作角色描述:
负责管理和拥有实体内的网络安全保证活动,并负责建立、实施和维护一个覆盖实体信息、系统和网络的企业级网络安全管理计划。除了其他责任领域,还包括战略、人员、基础设施、需求、政策执行、应急计划、安全意识和其他资源。
基本任务和责任:
- 管理网络安全目标和目标的实施和实现。
- 支持网络安全预算的制定、分配和利用,并在适当的情况下进行支出控制。
- 就实体的风险水平、安全状况、信息安全计划、政策、流程和系统的成本效益分析向管理层提供建议。
- 领导和监督信息安全预算、人员配备和合同。
- 收集和维护满足网络安全报告要求的数据。
- 在组织的所有层面与利益相关方沟通网络安全的价值。
- 与利益相关方合作制定业务连续性计划,并确保网络安全要求被整合进去。
- 确保安全改进措施根据需要进行评估、验证和实施。
- 确保采用IS安全工程方法获取或开发保护和检测能力,并与组织级网络安全架构保持一致。
- 建立整体企业信息安全架构,与组织整体安全策略相一致。
- 解释和/或批准与新信息技术能力相对应的安全要求。
- 解释不符合模式,确定其对风险水平和/或实体网络安全计划整体有效性的影响。
- 管理信息安全数据源的监控,以保持组织的态势感知。
- 在实体内进行网络防御信息的威胁或目标分析。
- 监测和评估实体网络安全保障的有效性,确保其提供预期的保护水平。
- 监督网络安全培训和意识计划。
- 制定和应用适当的风险管理策略。
- 在安全评估和授权过程中参与定期风险评估。
- 发现可能的安全违规行为,并采取适当行动报告事件。
- 推荐政策并协调审查和批准。
- 在发现网络安全事件或漏洞时监督或管理保护或纠正措施。
- 在违规或事件发生后审查调查,包括影响分析和避免类似漏洞的建议。
- 跟踪审计发现和建议,确保采取适当的缓解措施。
- 监督政策和标准,制定实施策略,确保程序和准则符合网络安全政策。
- 建立适当的安全治理结构、模型和计划,并监督风险治理流程。
- 持续验证实体对政策/准则/程序/法规/法律的合规性。
知识:
- 常见的信息安全管理框架、程序、原则和技术。
- 风险管理框架、方法和流程,以及当前和新兴的威胁/威胁向量。
- 网络安全法律、法规、政策、伦理和隐私原则。
- 与网络安全相关的威胁和漏洞类型,信息传播来源(例如警报和通知)。
- 渗透测试和漏洞评估原则、工具和技术。
- 加密算法。
- 业务连续性和灾难恢复。
- 网络概念和协议,以及网络安全攻击、漏洞、流程、方法、访问控制机制、流量分析方法、体系结构概念(包括拓扑、协议、组件和原理)。
- 事件响应和处理概念、程序、流程、方法、角色和责任。
- 用于检测主机和基于网络的入侵的入侵检测方法和技术。
- 评估、实施和传播安全评估、监控、检测和修复工具的当前行业方法。
- 数据分类程序和与数据的使用、处理、存储和传输相关的信息泄露、数据备份、恢复和控制。
技能:
- 制定反映网络安全目标的政策。
- 实施风险管理计划,包括执行风险评估、确定和实施控制措施,以及管理安全状况。
- 确定安全系统的工作方式(包括其弹性和可靠性能力)以及更改如何影响这些结果。
- 提供及时、建设性和可行行动的反馈,提高个人和团队的效能。
- 应用强大的分析、创造和组织技能。
- 出色的书面和口头沟通能力,人际和合作能力,以及将信息安全和风险相关概念传达给各个层次的技术和非技术人员,从董事会成员到技术专家。
能力:
- 管理日常安全运营。
- 授权和领导网络安全团队。
- 向高级管理层提供出色的口头和书面沟通能力。
- 考虑替代方案和新的思考方式来解决问题。
- 根据需要改变方向,显示灵活性以满足新的需求。
- 管理多个并发项目并优先处理需求。
资格要求:
学术:
- 信息技术、网络安全或等同工作经验的学士学位。
经验:
- 在网络安全领域拥有6年以上经验,领导多个安全/网络/系统运营,与运营管理、业务连续性和政策合规开发有重要关联。
认证:
- CISM:认证信息安全经理
- CISSP:认证信息系统安全专业人员
- CompTIA Security+
- LPT:许可渗透测试员
- GSLC:GIAC安全领导
- ISO27001首席审计员
如果您需要进一步的帮助或在在线申请过程中遇到任何问题,请随时联系招聘团队(recruitmentteam@ku.ac.ae)。
主要地点:阿布扎比,阿联酋
职位:高级专员
工作时间:全职 
阿布扎比