我们正在寻找一位经验丰富的IT和网络安全审计员,他需要对技术环境的设计、实施和操作有深刻的理解,并能够快速识别控制弱点、安全漏洞和合规风险。
该角色负责独立规划和执行IT一般控制(ITGC)、应用控制、信息系统和网络安全框架的审计和评估,确保信息资产的机密性、完整性和可用性,同时保持对监管和行业要求的合规性。
成功的候选人将作为管理层的可信顾问,将复杂的技术风险转化为实用的、以业务为重点的见解和可操作的建议。
主要职责
- 进行全面的信息安全和网络安全评估
- 执行IT一般控制(ITGC)审计,包括访问管理、变更管理和IT运营
- 执行涵盖SDLC、系统配置、接口和数据完整性的应用安全和控制审查
- 在基础设施、数据库、网络和云环境中进行信息系统审计
- 领导与ISO 27001、NIST、COBIT和适用的监管要求对齐的网络安全审计和成熟度评估
- 识别控制缺口,评估风险影响,并推荐实用的、与业务对齐的补救措施
- 审查安全政策、程序和技术配置的合规性和有效性
- 准备清晰的高管级审计报告,并向高级管理层和关键利益相关者报告发现
- 跟踪补救活动并验证纠正措施的实施和有效性
- 监控数据保护法律、监管要求和内部政策的合规性
- 就GDPR合规、隐私设计原则和合法数据处理实践向组织提供建议
- 开发、维护和监督数据保护政策、标准和程序
- 领导和审查数据保护影响评估(DPIA)
所需技能和经验
- 在ITGC、应用控制和网络安全审计方面有丰富的实践经验
- 对企业系统、安全控制和风险管理框架有扎实的理解
- 了解监管标准和行业最佳实践
- 具备将技术风险转化为清晰、以业务为重点的见解的能力
- 有信息安全和网络安全意识培训的经验
- 能够独立管理和执行审计和安全项目
认证(优先)
- CISA、CISSP、CISM、CDPSE、CRISC、ISO 27001 LA/LI或同等认证
