工作职责：

1.负责公司整体网络安全威胁防御基础架构的设计规划和构建，完善公司整体安全攻防基础体系架构，组织开展网络和数据安全相关体系建设和应审，各系统的安全及优化实施策略；信息安全技术方案的评估、引入和优化；信息安全相关预算的编制，使用和后评估；

2.制定网络安全策略，优化网络边界安全控制，提升纵深防御深度，加强核心数据保护能力，审核日常网络访问控制需求等；制定公司数据分级分类相关标准和制度，实现重要数据的保护和访问控制；

3.制定操作系统、数据库、中间件等相关安全基线，推进落地并定期review；监控、维护、运营公司信息安全基础设施(包括但不限于HIDS，WAF，终端安全管理系统等)，负责公司安全产品的前期测试、部署实施、故障分析、诊断排除及日常运营工作；

4.负责网络安全基础运维相关的应急响应工作，对部门内及相关业务部门提供必要的技术支持；

5.负责安全漏洞跟踪、威胁分析和检测评估等日常技术管理及应急响应处理；组织开展系统渗透测试、安全加固、安全整改、漏洞扫描，代码安全评审的实施；

6.与业务部门紧密合作，开展公司IT内控合规工作，编制并完善公司IT风险控制文档，积极宣导公司IT内控理念和规章制度，检查公司IT制度、标准的执行情况，监督整改建议、审计发现的落实整改情况，强化信息安全管理建设，提供IT内控咨询和培训服务，配合完成外部审计和合规检查工作提供信息安全技术指导、咨询和培训；负责公司员工信息安全意识培训；

7.负责完成公司信息技术服务体系（如ISO 20000/27001/27701、等保和Tisax）的导入、建设、落地实施和持续改进，完善公司IT内控体系并积极推动制度和流程的建设与优化工作。

经 验 要求：

1. 5-8年工作经验，至少3年信息安全工作经验。具有2~5年或以上国内外咨询公司相关IT内控咨询经验，或者国内外上市企业IT内控或内审相关工作经验；

2.愿意专注于基础架构安全与运营方向，持续学习与提升，网络基础知识扎实，熟悉了解主流路由器，交换机等的配置；有能力对网络的整体性能进行优化，对网络的整体安全进行评估和进一步的解决

3.熟悉和理解主流网络攻防对抗技术与手段，拥有丰富网络攻防对抗实战经验者优先；熟悉和理解一种或多种主流安全产品实现原理、适用场景和优劣势，有一种或多种安全产品生产环境部署、运营实践经验；

4.精通SQL注入、跨站分析、上传漏洞、抓包分析、病毒木马等防范，熟悉注入和跨站攻击原理，掌握信息存储和传输安全方法，保护核心数据安全；精通常见的Web漏洞原理、防范方法和审计方法，包括DDos攻击、SQL注入、XSS、CSRF等OWASP TOP 10安全风险；

5.熟悉国内外网络安全产品（防病毒、VPN，IPS、加密，DLP，SIEM，堡垒机，漏洞扫描、渗透测试、多因子认证等），并熟练掌握其工作原理和配置管理；包含但不限于：飞塔防火墙、深信服防火墙、Waf，漏洞扫描、防病毒、上网行为管理和态势感知等；

6.具备ISO27001、等保和Tisax等信息安全管理标准应审经历者优先；具有网络安全攻防经验者优先，拥有CCIE/CISSP/CISP等相关证书者优先。