职位名称:网络安全控制评估员
主要技能:ITGC框架和监管标准及要求(例如,NIST SP800-53、SP800-115、SOX、NERC CIP)。
地点:加利福尼亚州奥克兰,94518(混合办公)
时长:12个月以上
职位描述:
重要事项:
- 深刻理解安全框架和IT评估流程;注重细节
SOX
- IT审计技能
- 时间管理
- 总体上,2-5年经验
- 行业经验/公用事业经验是加分项
- IT-GC框架经验
- 控制领域
职位概述
网络安全控制评估团队负责对企业范围内的一般计算机控制进行评估、验证、审查和审计。网络安全控制评估员(“评估员”)将负责评估,这需要对IT和/或业务系统和流程进行审查和评估,以确保符合既定的监管标准、内部流程和程序。此外,评估员还将负责识别风险、评估控制缺陷,并根据IT组织政策、标准、程序和监管要求提出补救建议。
职责和责任
• 根据预定义的测试目标和测试计划,执行多平台(应用程序、数据库、操作系统、中间件、监控工具和业务流程)级别的评估。对因先前识别的缺陷而进行补救或更新的控制进行重新测试。
获取、审查和解释提供的证据,以验证控制的有效执行。
• 根据行业最佳实践和既定的监管标准和要求(例如,NIST SP800-53、SP800-115、SOX、NERC CIP)执行并报告IT合规性评估结果。
• 获取、审查和解释组织的IT政策、标准和程序,以识别有助于降低业务风险的控制点。
• 审查测试结果或解释证据以解决漏洞、差距或控制缺陷;与利益相关者合作制定可持续解决方案的计划。
• 识别与控制失败相关的风险,并支持识别缓解控制措施
• 与控制所有者合作,确保控制文档定期更新以反映当前的控制环境
• 执行其他必要任务,以确保合规性履行对客户的承诺
• 根据需要支持合规性高级经理/经理。
资格
最低教育要求:
• 计算机科学、商业或同等经验的学士/硕士学位。
最低工作经验
• 至少3年的一般IT经验,包括IT安全或IT风险管理经验
• 使用Excel工作表、工作簿和公式的经验
• 管理多个优先级冲突项目的经验
期望经验
• 公用事业行业经验
• 四大会计师事务所经验
• 展示了与萨班斯-奥克斯利法案或国家标准与技术研究院(NIST)SP800-53安全控制目录的经验。
