我们正在寻找一位经验丰富的IT和网络安全审计员,要求对技术环境的设计、实施和操作有深刻理解,并能够快速识别控制弱点、安全漏洞和合规风险。
该职位负责独立规划和执行IT一般控制(ITGC)、应用控制、信息系统和网络安全框架的审计和评估,确保信息资产的机密性、完整性和可用性,同时保持对法规和行业要求的合规性。
成功的候选人将作为管理层的可信顾问,将复杂的技术风险转化为实用的、以业务为中心的见解和可操作的建议。
主要职责
• 进行全面的信息安全和网络安全评估
• 执行IT一般控制(ITGC)审计,包括访问管理、变更管理和IT运营
• 执行涵盖SDLC、系统配置、接口和数据完整性的应用安全和控制审查
• 在基础设施、数据库、网络和云环境中进行信息系统审计
• 领导符合ISO 27001、NIST、COBIT和适用法规要求的网络安全审计和成熟度评估
• 识别控制缺口,评估风险影响,并推荐实用的、与业务一致的补救措施
• 审查安全政策、程序和技术配置的合规性和有效性
• 准备清晰的高管级别审计报告,并向高级管理层和关键利益相关者汇报结果
• 跟踪补救活动并验证纠正措施的实施和有效性
• 监控数据保护法律、法规要求和内部政策的合规性
• 就GDPR合规、隐私设计原则和合法数据处理实践向组织提供建议
• 制定、维护和监督数据保护政策、标准和程序
• 领导和审查数据保护影响评估(DPIA)
所需技能和经验
• 在ITGC、应用控制和网络安全审计方面有丰富的实际经验
• 对企业系统、安全控制和风险管理框架有扎实的理解
• 了解法规标准和行业最佳实践
• 具备将技术风险转化为清晰、以业务为中心的见解的能力
• 有提供信息安全和网络安全意识培训的经验
• 能够独立管理和执行审计和安全项目
认证(优先)
• CISA、CISSP、CISM、CDPSE、CRISC、ISO 27001 LA/LI或同等认证
