您想让自己的声音被听到,让自己的行动产生影响吗?
与三菱UFJ金融集团(MUFG)一起发现您的机会,MUFG是全球领先的金融集团之一。我们在全球拥有150,000名同事,努力为每一位客户、组织和社区带来改变。我们秉持着我们的价值观,建立长期关系,服务社会,并促进共享和可持续的增长,以创造一个更美好的世界。
作为全球最受信任的金融集团的愿景的一部分,我们的文化是以人为本,倾听新颖和多样化的想法,并协作以实现更大的创新、速度和灵活性。这意味着投资于人才、技术和工具,使您能够掌握自己的职业生涯。
加入MUFG,在这里,期待您受到启发并获得有意义的影响。
被选中的同事将每周在MUFG办公室或客户现场工作四天,并远程工作一天。我们的人力资源团队将提供更多细节。
职位概述:
该职位是美国首席信息安全官(CISO)团队的一员,将在团队内提供协作和支持,以确保应用程序具有适当的控制级别,以响应既定的固有风险配置文件CIA。该角色在应用程序设计开始之前定义安全控制至关重要,确保应用程序通过控制设计是安全的,并符合FFIEC、SOX、PCI-DSS、NIST CSF、CRI和行业最佳实践(OWASP)等监管要求。
理想的候选人将主动挑战架构假设,解读现有解决方案设计,并确保整体的、基于风险的控制嵌入整个应用程序生命周期。该角色填补了信息安全风险治理与安全架构之间的空白。
职责:
控制规范与设计启用:
• 在架构设计之前定义全面的、云感知的安全控制,确保与企业风险偏好和监管要求的一致性。
• 开发跨主要云提供商和混合环境的IaaS、PaaS和SaaS模型的控制要求。
• 识别云资源中的风险,并与技术团队、控制合作伙伴和业务利益相关者合作。
• 确保控制措施解决数据的机密性、完整性、可用性和不可否认性,并明确企业和应用团队之间的责任划分。
• 将监管和合规要求整合到控制规范中。
• 对开发和生产环境中的应用程序进行风险评估,包括代码审查。
• 审查第三方应用程序架构并识别风险。
• 与开发、DevOps和应用安全团队合作,了解应用程序架构并识别潜在的安全风险。
• 为应用程序创建威胁模型,审查DAST和SAST审查、渗透测试报告的输出。
• 参与SDLC的安全治理、设计审查和安全编码标准(OWASP)。
• 利用MITRE ATT&CK框架有效识别和缓解威胁。
• 交叉培训其他团队关于威胁建模技术和最佳实践。
• 架构审查与风险挑战
• 分析现有解决方案架构,以验证与预期控制基线的一致性。
• 识别和挑战可能引入风险或未能满足不断变化的威胁和合规环境的架构模式。必要时建议补偿控制或替代设计策略。
治理与监管对齐:
• 确保所有控制措施可追溯到业务风险、监管要求和内部政策。
• 与合规、法律和审计团队合作,确保控制框架支持监管检查和内部审计。
• 利益相关者参与
• 在网络安全、云架构、应用开发和合规团队之间架起桥梁。
• 在SDLC和云迁移项目的早期阶段主导控制设计研讨会和云风险评估。
持续改进:
• 了解新兴的云威胁、配置错误风险和金融行业不断变化的监管期望。
• 参与云安全社区和工作组,以基准和改善内部实践。
• 监控与应用安全相关的新兴安全威胁和漏洞。
资格要求:
• 至少6至8年以上的风险管理、云信息安全、安全编码、应用安全和IT角色的组合经验。具有审计和网络风险研究所框架的相关经验者优先。
• 在安全配置方面的专家,专注于执行信息安全风险评估/测试方法、安全软件开发生命周期、评估内部控制的充分性和有效性;以及识别由于内部和/或外部合规检查而导致的问题,尤其是在云环境中。
• 具备流程文档及设计/执行控制测试脚本的经验。
• 了解应用安全原则、安全SDLC实践和影响应用的常见漏洞。
• 具备使用SAST、DAST和威胁建模工具的经验。
• 评估现代应用架构的经验,包括API、微服务、容器和云原生应用。
• 能够解读漏洞扫描、渗透测试结果、SAST和DAST报告,并将发现转化为业务可理解的风险。
• 理解与技术风险相关的监管环境和法规,以及货币监理办公室(OCC)和联邦储备委员会(FRB)的期望。
• 在主要云提供商的安全领域拥有专业认证,如AWS认证安全专家、微软认证:网络安全架构师专家或Azure安全工程师助理及其他相关证书,如注册信息系统审计师(CISA)、注册信息系统经理(CISM)、注册信息系统安全专家(CISSP)。
• 能够在独立和协作环境中建设性地工作,涉及所有管理层和员工。
• 能够同时管理多个优先事项,合理安排优先级,高效完成责任,同时保持最高质量。
• 优秀的分析、组织和概念技能。
• 优秀的口头和书面沟通能力。
教育与认证:
信息安全或相关学科的学士学位,或相关的等效经验。
“签证赞助/支持取决于业务需求。我们不预期为该职位提供签证赞助/支持。”
该职位的典型基本薪资范围在145K - 185K之间,具体取决于职位相关的知识、技能、经验和地点。该职位还可能有资格获得某些基于绩效的奖金和/或激励补偿。此外,我们的整体奖励计划为同事提供竞争力的福利套餐(根据各自的资格要求和条款),包括全面的健康与福利、退休计划、教育援助和培训项目、合格残疾员工的收入替代、带薪产假和父母假、带薪休假、病假和假期。有关我们整体奖励套餐的更多信息,请点击以下链接。
MUFG福利概述
我们将考虑所有合格申请者的就业,包括有犯罪历史的申请者,符合适用州和地方法律的要求(包括(i)旧金山公平机会条例,(ii)洛杉矶市公平机会招聘条例,(iii)洛杉矶县公平机会条例,以及(iv)加利福尼亚公平机会法),前提是(a)申请者不受1934年证券交易法第3(a)(39)条或商品交易法第8a(2)或8a(3)条的法定排除,以及(b)不与金融行业监管局(FINRA)和国家期货协会(NFA)的背景筛查要求相冲突。上述主要责任是该职位的主要工作职责,公司合理认为犯罪历史可能与条件就业录用的撤回直接、负面和不利的关系。
上述声明旨在描述所执行工作的总体性质和水平,并不打算被解释为对所有责任、职责和技能的详尽列表。
我们自豪地成为一个平等机会的雇主,并致力于利用我们员工多样化的背景、观点和经验为我们的同事和业务创造机会。我们不基于种族、肤色、国籍、宗教、性别表达、性别认同、性别、年龄、祖籍、婚姻状况、受保护的退伍军人和军事身份、残疾、医疗状况、性取向、遗传信息或任何其他受适用联邦、州或地方法律保护的个人状态或该个人的关联者或亲属而歧视。 
纽约