参考编号 250009D0
职责
网络安全风险负责人正在寻求招聘一名网络安全风险经理,加入 RISQ/NFR 组织。
该角色负责主动识别、评估、缓解和报告整个组织的网络风险,强调对各级利益相关者的影响。作为高级职位,需要能够有效地与高级领导层沟通,以推动战略决策,同时与组织内的团队合作,培养风险意识文化。对网络安全、合规监管和风险治理的深入专业知识是确保强有力的保护和符合行业标准的必要条件。出色的沟通和领导能力对于建立信任、推动一致性和确保网络安全实践的成功实施至关重要。
网络风险覆盖的关键领域包括参考网络流程和控制,包括应用安全、基础设施运营、威胁情报与检测、身份和访问管理、数据保护、网络安全和网络安全事件响应。网络安全风险经理将负责评估和评估整体网络安全风险,保持主动概览,并报告组织内的实际、缓解和剩余网络安全风险。
此外,该角色将有助于提升网络安全风险的第二道防线实践,包括评估、生命周期实践、操作事件响应、服务交付和业务连续性计划(BCP)。
日常职责包括但不限于:
• 进行全面的技术和网络安全风险管理生命周期活动,包括风险识别、评估、报告和监督补救计划及执行。这包括在网络安全、基础设施运营、安全运营中心(SOC)、应用安全(例如 SAST/DAST)和云安全(例如 Azure)等领域进行技术网络风险评估,以及评估第三方、应用程序、数据库、基础设施和网络渗透测试。
• 与首席信息安全官(CISO)和 IT 组织合作,建立标准和政策,并制定关键风险指标(KRI)和关键绩效指标(KPI),以持续测量和监控网络风险。
• 使用 FAIR 等框架管理 IT 和信息安全风险计划,进行网络安全控制的保证,并建议增强架构、流程和控制,以加强风险管理和合规监管。
• 评估风险管理治理框架、流程和方法的准确性、完整性和充分性,同时识别和定义对 Société Générale 环境的新兴网络威胁和风险。挑战关键的和高度敏感的流程和控制,包括业务连续性措施。
• 开发网络安全风险场景,以识别潜在攻击向量和战术、技术和程序(TTP),以增强公司的网络防御能力。领导和支持选定的网络安全补救工作,并与第一道防线(1LOD)进行战略规划。
• 创建和实施工具,以聚合和监控网络安全、数据和技术风险。识别法律、监管和合同要求,以及与数据管理系统相关的组织政策和标准,以评估其对业务目标的潜在影响。
• 增强操作风险流程、数据收集和问题管理工具,以跟踪和报告操作风险和问题。参与数据泄露和技术事件响应升级流程的审查。
• 积极参与并进行银行网络安全桌面演练的审查和挑战。
• 确保遵守特定于美洲地区的信息安全行业法规和标准,同时与更广泛的组织政策和全球最佳实践保持一致。
要求
所需档案
风险管理(RISQ)部门独立于业务线,其使命是通过促进业务线的目标,同时保持通过风险评估和监控的独立监督,来促进 SG 集团活动的发展。美国的 RISQ 部门支持美洲地区(美国、加拿大和拉丁美洲)的所有活动,几乎完全面向企业和投资银行(GBIS)。
能力
要求:
• 精通金融服务,特别是在风险和监管领域。
• 该角色要求对技术安全概念有全面的理解,并熟悉相关技术、基础设施,以及对企业 IT 系统运营的强大概念知识。它还要求在评估技术网络安全流程、控制及其相关风险的设计和操作有效性方面具有经验,以确保实施强有力的安全措施。
• 对人工智能、机器学习和量子计算等领域的新兴网络风险有广泛的了解。
• 具备信息技术和信息安全原则的坚实基础,熟悉常见的网络安全框架和标准,包括 NIST SP 800-53、NIST CSF、MITRE ATT&CK、CSC 前 20 名、COBIT 和 ISO 27000 系列。
• 能够分析网络安全问题的根本原因并记录补救工作。
• 熟悉与金融服务相关的网络法律、法规、框架和指南(例如 NYSDFS - 23 NYCRR 500、ECB、GDPR、GLBA、Regulation S-P)。
• 较强的人际交往和协作能力,能够向技术和非技术受众传达安全和风险相关概念。
• 该角色要求高度细致和注重细节的人,能够有效地同时管理多项任务。理想的候选人表现出高度的主动性、可靠性和独立工作能力,能够在最小监督下完成工作。强大的领导能力,包括通过影响力进行领导的能力,对于推动协作和实现组织目标至关重要。
技术技能
• 在网络安全重点领域拥有广泛的技术技能和专业知识,包括网络安全、基础设施运营、安全运营中心(SOC)、应用安全(例如 SAST/DAST)、云安全(例如 Azure)、行业标准安全堆栈和相关安全解决方案。
• 对各种安全工具、平台和技术有实践经验。
• 对网络安全威胁、防御、动机和技术有深入了解。
• 精通漏洞和补丁管理流程和工具、渗透测试、事件处理、网络威胁情报、威胁狩猎和监控工具(例如 SIEM、审计和日志收集工具、网络 IDS/IPS、恶意软件检测)。
• 对网络技术(例如 TCP/IP)和协议(例如 SSL、SSH、LDAP、SMTP、DNS)有扎实的知识。
• 具有将漏洞和补丁管理工具与 IT/IS 风险程序集成的经验,以及优先处理和沟通漏洞补救工作的能力。
• 擅长为技术和网络安全事件执行根本原因分析。
• 具有开发或定义 GRC(治理、风险和合规)管理工具需求的经验。
• 精通 Microsoft Office 套件,包括 Excel、Word、Access、PowerPoint、Outlook 和 SharePoint。
• 较强的书面和口头沟通能力。
工作经验
要求:
• 在网络安全、基础设施和/或安全运营 – 1LOD 方面工作过。
• 最好在金融服务/银行行业工作过。
• 最好还在第二道防线网络安全风险职能中工作过。
• 进行过技术网络安全风险评估。
• 在高级管理层有效沟通的能力。
• 展示出分析和建设性的网络安全风险审查和挑战能力。
• 拥有计算机科学、工程或相关技术领域的学士或硕士学位。
• 了解美国金融服务行业的 IT 安全监管要求和环境者优先(即 FFIEC、FINRA 规则、SEC、NIST/Mitre Att&ck 网络安全框架)。
业务洞察
法国兴业银行致力于为所有候选人提供包容性的招聘体验。如果您在招聘过程中需要任何合理的便利,请随时告知我们的招聘人员。
我们的文化:
在法国兴业银行,我们遵循承诺、责任、团队精神和创新这四个核心价值观。我们积极参与并关心他人。我们以道德和勇气行事。我们将才华和精力集中在集体成功上。我们尝试并提出新想法。通过这种方式,我们最大化满足客户需求和预见市场变化的能力。法国兴业银行致力于加强与同事、社区和我们生活的世界的联系,因为关系是我们运作的核心。有关我们文化和行为倡议的更多信息,请访问此链接(https://americas.societegenerale.com/en/careers/get-know-culture/)
多样性与包容性:
我们的多样性与包容性使命:招聘、发展、提升和留住一个多元化的劳动力,以增强我们的竞争地位并为客户提供创新解决方案。
我们的多样性与包容性愿景:
• 参与的劳动力在各个方面都具有多样性,能够反映我们运营的社区
• 包容的文化和工作场所,认可员工的独特需求并利用他们的多样化才能
• 吸引我们的社区和市场,并使组织能够满足所有客户的需求
有关我们的多样性与包容性倡议的更多信息,请访问此链接(https://americas.societegenerale.com/en/societe-generale-about/diversity-and-inclusion/)
混合工作环境:
法国兴业银行提供混合工作安排,员工可以灵活选择远程工作和现场工作,以促进与同事的互动和协作,同时遵循所有 SG 标准协议。混合工作安排因业务领域而异。适用的业务线将确定并传达最佳满足其业务需求的工作安排。
薪酬:
基本薪资范围不包括加班费、奖金和/或其他福利(如适用)。实际基本薪资报价将根据技能和经验而有所不同。该角色有资格获得年度酌情奖金,并包括竞争力的福利套餐,包括公司匹配的 401(k) 计划、医疗/牙科/视力保险,以及其他生育、健康、学生贷款和通勤福利。
多样性与包容性
法国兴业银行是一个平等机会雇主,我们自豪于将多样性作为公司的优势。我们致力于认可和促进员工和员工的才能和成就,无论种族、宗教、肤色、国籍、性别、残疾、年龄、性别、性取向以及任何其他受适用法律保护的特征或身份。 
