职位名称网络安全专家等级流 PT&C 职能 IDS & CI 地点阿曼预算控制 - OPEX 和/或 CAPEX 和/或收入金额（视情况而定）汇报对象 IDS & CI 副总裁直接下属 1 职位目的引领 OQEP 在 IT 和 OT 环境中的网络安全战略方向、运营执行和持续加强。确保企业系统、运营资产、云平台和业务应用免受不断演变的网络威胁，同时为公司实现安全、可扩展和合规的数字化转型。作为组织的网络安全权威，网络安全经理定义安全战略，监督端到端的安全运营，并实施强有力的政策、流程和控制措施，以保护 OQEP 的数字生态系统。这包括管理安全团队和供应商，推动主动威胁管理，领导事件响应能力，确保法规和标准合规性，并优化网络安全技术格局和预算。该角色作为网络风险治理的技术监护人，将所有安全活动与 OQEP 的使命、愿景、价值观和国家监管义务对齐，同时嵌入国际最佳实践，如 ISO 27001、NIST CSF、ISA/IEC 62443（用于 OT）以及石油和天然气行业网络安全标准。主要任务和职责 - A. 网络安全治理、风险与合规 - 开发、更新和执行与 OQEP 治理框架、ISO 27001、NIST 和阿曼监管要求对齐的网络安全政策、标准和程序。 - 领导 IT 和 OT 领域的内部/外部审计、风险评估和合规审查。 - 维护网络安全 KPI、KRI、仪表板和 IDS 领导层的合规报告。 - 监督与 OQEP 采购和合同要求对齐的供应商和第三方安全保证。 - 支持监管提交和国家网络安全任务的合规性。 - B. 威胁管理与事件响应 - 领导事件检测、分类、遏制、根除和法证调查。 - 进行事后审查、经验教训并实施纠正/预防措施。 - 与 OQ 企业 SOC 和运营安全团队协调，以确保准备就绪、威胁狩猎和主动防御措施。 - 维护并持续改进 OQEP 的事件响应手册和升级程序。 - C. 安全架构与技术控制 - 审查并批准新系统、云服务、OT 系统和企业应用的安全架构。 - 设计和优化技术控制：防火墙 | EDR/XDR | SIEM | SOAR | IAM | PAM | DLP | 网络分段 | OT 安全控制 - 领导漏洞管理活动，并确保与 IT/OT 团队及时修复。 - 支持 OQ 企业共享服务与 OQEP 业务系统之间的安全集成。 - 确保跨环境的安全系统配置、加固和基线执行。 - D. 身份、访问与数据保护 - 监督身份和访问管理（IAM）生命周期，并确保最小权限执行。 - 实施数据保护框架，包括加密、标记化、DLP 和数据分类。 - 确保特权访问受到监控、控制并定期审查。 - E. 意识、韧性与持续改进 - 领导网络安全意识、钓鱼模拟和员工及 IT/OT 团队的技术技能提升。 - 通过有针对性的活动和研讨会将网络风险意识嵌入 OQEP 文化。 - 支持业务连续性（BCP）、灾难恢复（DR）和危机管理活动。 - 推荐改进措施以加强整体网络韧性和准备状态。关键互动内部：IDS（IT 运营、架构、数据）、PT&C、HSSE、保证、财务与采购、法律、运营（IT/OT）、企业安全团队、领导团队。外部：OQ 企业网络安全服务、SOC 提供商、供应商、OEM、顾问、监管机构（MEM、CDC、MTCIT）和第三方审计员。显著工作条件：办公室环境，广泛使用电脑屏幕，偶尔访问操作现场。教育要求信息安全、计算机科学、信息系统、工程或相关领域的学士学位。语言优秀的英语书写、阅读和口语能力（必需）背景和经验能力和技能 - 至少 8 年以上网络安全领域的渐进经验，包括： - 安全运营和事件响应 - 安全架构与工程 - 风险与合规 - 漏洞管理 - IT 和 OT 安全曝光（能源行业经验是一个很大的优势） - 在关键基础设施、石油和天然气、电信或金融行业工作的经验是有益的。 - 熟悉现代安全平台（EDR、SIEM、IAM、PAM、DLP、CASB 等）。 - 有与 SOC 团队、监管机构和跨职能利益相关者合作的经验。技术能力 - 深刻理解网络安全框架（ISO 27001、NIST CSF、MITRE ATT&CK）。 - 强大的 IT/OT 网络安全、云安全和终端保护知识。 - 在漏洞管理、安全配置和威胁检测方面的专业知识。 - 能够设计和审查企业安全架构。 - 对身份、访问和数据保护原则有扎实的理解。软技能 - 强大的沟通能力（能够为业务利益相关者简化复杂的技术风险）。 - 具有分析和解决问题的思维方式，注重细节。 - 能够影响、协作和在团队中建立信任。 - 高度的责任感、韧性和主动的风险管理。 - 能够在压力下工作并在网络事件期间领导。