制定并实施一项全面的治理和合规战略,使其与组织的战略目标和监管要求保持一致,涵盖信息和通信技术(ICT)和运营技术(OT)系统。
持续监控和解释适用的法律、法规和行业标准,如APSR SCADA网络安全标准、OIA信息安全标准和ISO/IEC 27001,这些标准会影响组织的ICT和OT环境。通过更新治理框架、操作控制、技术基线和组织政策,确保符合内部和外部要求,以适应不断变化的监管期望和风险状况。
领导全面的风险评估,识别组织业务运营中潜在的威胁和漏洞,涵盖ICT和OT系统。这包括对物联网和现场设备的威胁管理,以及对企业OT安全架构的评估。与相关团队合作,制定并实施有效的风险缓解策略和可操作的响应计划。
评估供应链和第三方供应商在关键资产(包括OT系统、高级计量基础设施(AMI)和IT资产)中的风险。识别安全漏洞和暴露点,强制供应商遵守适用要求,并推荐有针对性的缓解策略。
领导在不同资产类型中实施安全项目,考虑ICT和OT系统的敏感性和重要性。确保与组织的网络安全战略、不断变化的威胁环境和风险缓解优先事项保持一致,同时实现既定的项目目标。与跨职能团队合作,在项目生命周期中嵌入治理、风险和合规控制。
建立稳健的流程,以监控和评估ICT和OT系统中对内部政策和外部法规的合规性。提供有见地的合规报告和执行摘要,以告知领导层并支持战略决策。
在不断变化的网络威胁影响用户和系统的情况下,评估整个组织的意识水平。设计有针对性的意识计划,开展培训活动,并评估其有效性,以持续加强组织的安全和合规文化。
制定和管理项目预算,进行预测以预见未来的资源需求,并确保在各项计划中有效分配。通过根据技能和工作量分配角色来监督团队运作,并使用关键绩效指标、进度跟踪和定期审查来监控绩效。营造一个以结果为导向的环境,支持及时交付、责任感和持续改进。
监督包括OT在内的端到端安全操作,利用高级威胁检测、SOAR自动化、AI和分析来主动识别、分析和响应网络威胁。有效管理SOC资源,根据专业知识分配职责,并使用MTTD和MTTR等操作关键绩效指标跟踪绩效。不断增强检测能力并自动化响应工作流程,以确保在应对不断变化的威胁时的敏捷性、精确性和弹性。
作为高级管理层在所有影响ICT和OT环境的网络安全事务上的战略联络人,确保及时了解和与新兴威胁、监管要求和行业标准保持一致。领导制定和实施适当的措施,以应对识别出的风险和合规义务。与跨职能团队、内部和外部审计师、第三方供应商、监管和安全论坛以及政府当局有效协调,以支持统一和积极的网络安全态势。
通过识别ICT和OT环境中的治理、技术防御和合规流程中的差距和机会,推动持续改进。通过集成高级威胁检测、增强防御控制和实施最佳实践来主动适应不断变化的网络威胁,以加强组织的安全态势和网络弹性。
计算机工程或计算机科学学士学位或同等学历。
至少9年相关经验。
在ICT和OT领域的安全法规和信息安全标准方面的经验。
至少2年以上的领导职位经验。
