角色与职责及具体要求(应用安全):
- 协助审查IT计划,并从技术风险角度提供建议
- 协助建立和审查应用安全领域的政策、指南、程序
- 提供建议和实际指导以支持技术风险和信息安全评估,包括漏洞扫描、渗透测试等
- 定期进行应用安全评估
- 熟悉安全测试工具,如Fortify、AppScan和开源扫描工具,了解DevSecOps技术和行业最佳实践OWASP者优先
角色与职责及具体要求(系统安全):
- 研究和评估信息安全和金融科技领域的最新趋势和技术,如金融科技、人工智能、大数据、云计算等
- 定期进行操作系统平台安全和中间件软件安全评估
- 计划和进行物理安全领域的安全评估(如:数据中心安全)
- 协助建立和审查系统安全、物理安全和金融科技技术安全领域的政策、指南、程序
- 熟悉系统平台操作和系统架构设计者优先
角色与职责及具体要求(第三方安全):
- 推动第三方供应商的安全评估,重点关注法规、公司政策和内部控制的合规性
- 监督第三方供应商关系的入职和离职的信息安全风险管理流程
- 就第三方供应商风险问题和/或控制缺口与业务部门和跨职能团队沟通,并建议补救措施
- 通过进行第三方供应商风险管理框架培训提高意识
- 参与内部实践开发计划和技术风险知识库
- 了解第三方供应商风险管理领域的最新发展
角色与职责及具体要求(信息安全):
- 协助高级经理制定和管理信息安全政策、标准和程序
- 计划和进行信息安全评估和IT风险评估,涵盖IT一般控制、信息资产管理、访问控制和端点安全审查等领域
- 计划和执行各种信息安全保证活动,如计算机账户重新认证
- 审查安全配置更改的启动,如访问规则、数据泄漏防护政策
- 与系统管理员合作部署各种信息安全控制或工具,并主导对安全事件进行适当的补救行动
- 作为主题专家协助业务部门和跨职能团队识别和缓解信息安全风险和/或控制缺口,并建议补救措施
一般职位要求:
- 计算机科学或信息系统相关学科的学位持有者
- 在IT安全、技术风险、风险管理、合规或IT审计职能方面有超过4年的经验,来自其他大型金融机构
- 持有至少一个HKMA增强能力框架下的公认专业资格,如CISA、CISSP、CRISC者优先
- 熟悉HKMA TMG-1、TM-E-1、PCI-DSS、ISO 2700系列或其他安全风险管理框架者优先
- 良好的英语书写和口语能力,普通话优先
- 良好的沟通和人际交往能力
- 旅行的灵活性
- 经验较少的候选人将被考虑为助理经理
如果您申请的是强制性参考检查计划下的职位(即由IA、SFC和MPFA许可的受监管活动的角色),您需要进行强制性参考检查。我们的负责招聘人员会在适当时候通知您MRC流程的详细信息和要求。有关详细信息,请点击此处。
