制定并实施一项全面的治理和合规战略,使其与组织的战略目标和监管要求保持一致,涵盖信息与通信技术(ICT)和运营技术(OT)系统。
持续监测和解释适用的法律、法规和行业标准,如APSR SCADA网络安全标准、OIA信息安全标准和ISO/IEC 27001,这些标准影响组织的ICT和OT环境。通过更新治理框架、操作控制、技术基准和组织政策,确保符合内部和外部要求,以适应不断变化的监管期望和风险状况。
领导全面的风险评估,以识别组织业务运营中潜在的威胁和漏洞,涵盖ICT和OT系统。这包括物联网和现场设备的威胁管理,以及企业OT安全架构的评估。与相关团队合作,制定并实施有效的风险缓解策略和可操作的响应计划。
评估关键资产(包括OT系统、先进计量基础设施(AMI)和IT资产)中的供应链和第三方供应商风险。识别安全漏洞和暴露点,强制供应商遵守适用要求,并推荐有针对性的缓解策略。
领导不同资产类型的安全项目实施,考虑ICT和OT系统的敏感性和重要性。确保与组织的网络安全战略、不断变化的威胁环境和风险缓解优先事项保持一致,同时实现既定项目目标。与跨职能团队合作,在项目生命周期中嵌入治理、风险和合规控制。
建立稳健的流程,以监控和评估ICT和OT系统中对内部政策和外部法规的合规性。提供有见地的合规报告和执行摘要,以告知领导层并支持战略决策。
在不断变化的网络威胁影响用户和系统的情况下,评估组织内的意识水平。设计有针对性的意识计划,开展培训活动,并评估其有效性,以持续加强组织的安全和合规文化。
制定和管理项目预算,通过预测来预见未来的资源需求,并确保在各项计划中有效分配。通过根据技能和工作量分配角色来监督团队运营,并使用关键绩效指标、进度跟踪和定期审查来监控绩效。营造一个支持及时交付、问责制和持续改进的结果导向环境。
监督包括OT在内的端到端安全运营,利用先进的威胁检测、SOAR自动化、AI和分析工具,主动识别、分析和响应网络威胁。有效管理SOC资源,根据专业知识分配职责,并使用MTTD和MTTR等运营关键绩效指标跟踪绩效。不断增强检测能力并自动化响应工作流程,以确保在应对不断变化的威胁时的敏捷性、精确性和弹性。
作为高级管理层在所有影响ICT和OT环境的网络安全事务上的战略联络人,确保及时了解和对齐新兴威胁、监管要求和行业标准。领导制定和实施适当措施,以应对已识别的风险和合规义务。与跨职能团队、内部和外部审计师、第三方供应商、监管和安全论坛以及政府当局有效协调,以支持统一和积极的网络安全态势。
通过识别ICT和OT环境中治理、技术防御和合规流程的差距和机会,推动持续改进。通过整合先进的威胁检测、增强防御控制和实施最佳实践,主动适应不断变化的网络威胁,以加强组织的安全态势和网络弹性。
计算机工程或计算机科学学士学位或同等学历。
至少9年相关经验。
在ICT和OT领域的安全法规和信息安全标准方面的经验。
至少2年以上的领导职位经验。
