职位描述
职位概述:
安全控制评估员/网络安全经理负责执行网络安全框架评估,以确定是否符合政府强制性合同网络安全监管认证的要求。这包括:网络安全成熟度模型认证(CMMC)成熟度等级1、3和5,NIST SP 800-171,NIST SP 800-172,NIST SP 800-53(RMF),ISO 27001,CIS,NST网络安全框架等。此角色还充当客户的首席信息安全官(CISO),持续管理客户的网络政策、技术解决方案实施、认证过程指导和事件响应。
工作职责:
• 了解适用的法律(例如,电子通信隐私法、外国情报监视法、保护美国法、搜查与扣押法、民权和隐私法),法规(例如,美国法典第10、18、32、50条),总统指令,行政分支指南,和/或与工作相关的行政/刑事法律指南和程序。
• 了解当前和新兴的网络技术。
• 评估系统是否符合信息技术(IT)安全、韧性和可靠性要求。
• 了解计算机网络概念和协议,以及网络安全方法论。
• 能够制定政策、计划和策略,以符合支持组织网络活动的法律、法规、政策和标准。
• 评估NIST 800-171/CMMC安全控制的有效性。
• 设计/整合网络策略,概述与组织战略计划相一致的愿景、使命和目标。
• 起草、审查并发布网络政策。
• 开发监控和衡量风险、合规性和保证努力的方法。
• 制定规范,以确保风险、合规性和保证努力符合软件应用、系统和网络环境的安全、韧性和可靠性要求。
• 起草系统操作的初步或残余安全风险声明。
• 维护信息系统保证和认证材料。
• 执行安全审查,识别安全架构中的缺口,并制定安全风险管理计划。
• 执行安全审查,识别安全架构中的安全缺口,并提出纳入风险缓解策略的建议。
• 在应用程序或系统发生重大变更时,进行风险分析(例如,威胁、漏洞和发生概率)。
• 计划并进行安全授权审查和初始安装系统和网络的保证案例开发。
• 验证应用软件/网络/系统安全态势是否按声明实施,记录偏差,并建议采取必要措施纠正这些偏差。
• 评估政策需求,并与利益相关者合作制定治理网络活动的政策。
• 监控网络政策、原则和实践在规划和管理服务交付中的严格应用。
• 向网络管理、员工和用户提供政策指导。
• 审查、进行或参与网络项目和计划的审计。
• 支持首席信息官制定网络相关政策。
• 解释并应用适用的法律、法规和监管文件,并将其整合到政策中。
• 在管理层中适当地促进网络政策和战略的意识,并确保健全的原则反映在组织的使命、愿景和目标中。
• 了解风险管理流程(例如,评估和缓解风险的方法)。
• 了解可能被对手利用的新兴技术。
• 了解与网络安全相关的国家和国际法律、法规、政策和伦理。
• 了解网络安全失误的具体操作影响。
• 能够利用外部组织和学术机构在网络问题上的最佳实践和经验教训。
监督职责:
• 担任咨询组管理团队的成员。
• 监督、发展和培训助理和高级助理。
• 审查和评估助理和高级助理准备的工作。
• 培训助理和高级助理使用当前的软件工具和行业专业服务方法。
• 安排并监督助理和高级助理的工作负载。
• 向助理和高级助理提供口头和书面的绩效反馈。
• 担任助理和高级助理的职业顾问。
资格、知识、技能和能力:
教育:
• 网络安全、信息保障、信息技术、软件工程、信息系统、计算机科学、计算机工程或其他相关领域的学士学位,必需。
• 硕士学位,优先。
经验:
• 5年或以上相关经验,包括网络安全、信息保障、信息技术、软件工程、信息系统、计算机科学、计算机工程的经验,必需。
• 在风险管理框架(RMF)、评估NIST 800-171或其他网络安全框架方面的经验,优先。
• 在网络架构或系统/网络管理或IT角色方面的经验,优先。
执照/认证:
• 一项(1)或多项认证,必需:
• Security +
• CISSP
• CISM
• CEH
• CHFI
• CySA+
• CCNA Security
• CAP
• CNDA
• CMMC注册从业者
• CMMC认证评估员
软件:
• 熟练使用Windows 10、Windows Server、Active Directory、电子邮件平台(如MS Exchange),优先。
• 云平台(AWS、Microsoft Azure、Microsoft Office 365 GCC High)加分,优先。
硬件:
• 熟悉防火墙、VPN、IPS/IDS、Wifi、路由器、网络设备以及网络设备的安全配置和一般安全概念,必需。
• 对网络安全设计和原则有良好了解,必需。
语言:
• 不适用。
其他知识、技能和能力:
• 优秀的口头和书面沟通能力,尤其是商业/报告写作。
• 较强的分析能力和基本研究技能。
• 良好的组织能力,尤其是能够在注重细节的情况下满足项目截止日期。
• 能够在独立或团队环境中成功地进行多任务处理。
• 在截止日期驱动的环境中工作的能力和同时处理多个项目的能力。
• 证明掌握网络安全评估框架(CMMC、NIST 800-171、NIST 800-53、ISO 27001、NIST CSF、CIS)。
• 能够遵循和应用特定的规则和法规。
• 能够在最小监督下工作。
• 需要美国公民身份。
为候选人提供的个人薪资是在考虑多个因素后确定的,包括但不限于候选人的资格、经验、技能和地理位置。
全国范围:$130,000 - $150,000
纽约市/长岛/韦斯特切斯特范围:$130,000 - $150,000
马里兰州范围:$130,000 - $150,000
关于我们
加入BDO,在这里您将发现的不仅仅是一份职业,而是一个您工作的地方,您的工作具有影响力,并且您因个性而受到重视。我们提供灵活性和晋升机会。我们的文化围绕着建立有意义的联系,以好奇心对待互动,并忠于自我,同时为世界带来积极的变化。
在BDO,我们帮助人们每天茁壮成长的目标是我们所做一切的核心。我们共同致力于为我们的员工、客户和社区提供卓越和可持续的成果和价值。BDO自豪地成为一家员工持股公司(ESOP),反映了一种以人为本的文化,通过与美国团队共同分享我们价值的增长来实现财务共享。BDO专业人员为美国和全球160多个国家的各种客户提供保证、税务和咨询服务。
BDO是第一家实施员工持股计划(ESOP)的大型会计和咨询机构。作为一种合格的退休计划,ESOP为参与者提供了通过有利的所有权在公司成功中占有一席之地的机会,并为提高他们的财务福祉提供了独特的机会。ESOP是我们全面薪酬和整体奖励福利*提供的一个重要补充。ESOP的年度分配由BDO通过对公司股票的投资全额资助,并使员工有机会随着公司成功而增长财富,且无需员工贡献。
我们致力于通过分享洞察驱动的观点,为中型市场领导者提供卓越体验,帮助公司将日常业务提升到更高水平。凭借行业知识和经验、广泛的资源和对质量的坚定承诺,我们以以下方面为荣:
• 欢迎多元化的观点,理解我们专业人员和客户的经验。
• 赋予团队成员探索其全部潜力的能力。
• 我们的人才团队带来了不同的技能、知识和经验,积极帮助客户应对日益复杂的挑战和机遇。
• 庆祝创造力和创新,以转变我们的业务并帮助客户转变他们的业务。
• 专注于韧性和可持续性,以积极影响我们的员工、客户和社区。
• BDO整体奖励不仅仅包括传统的“福利”。点击此处了解更多!
• 福利可能需要符合资格要求。
平等机会雇主,包括残疾/退伍军人
点击此处了解更多! 
