主要职责：

1. 数据安全策略与框架：




• 参与制定和更新集团的数据安全策略、标准、流程和控制框架（如基于NIST
  CSF、ISO 27001、GDPR、CCPA、中国《个人信息保护法》《数据安全法》等）。


• 将数据安全要求融入IT项目和数据治理计划。




2. 数据分类与分级：




• 设计、推动和实施集团范围内的数据分类分级标准和方案，识别敏感数据和关键数据资产。


• 指导业务部门对数据进行正确分类和标记。




3. 数据安全控制设计与实施：




• 设计、评估和部署数据安全技术解决方案，重点关注：




• 数据访问控制： 基于角色的访问控制（RBAC）、属性基访问控制（ABAC）、特权访问管理（PAM）。


• 数据加密： 应用透明数据加密（TDE）、文件/磁盘加密、应用层加密、令牌化等技术保护静态数据、传输中数据和使用中数据。


• 数据丢失防护（DLP）： 部署和优化DLP解决方案（网络、端点、云），制定策略以监控和防止敏感数据外泄。


• 数据脱敏/匿名化： 为开发、测试和分析环境设计并实施数据脱敏方案。


• 数据库安全： 对核心数据库（如Oracle, SQL Server, MySQL, NoSQL）实施安全加固、审计、活动监控和漏洞管理。


• 云数据安全： 设计并实施公有云（AWS, Azure, GCP, AliCloud）环境中的数据安全控制（如存储桶策略、KMS、云DLP）。






4. 数据安全监控与审计：




• 配置和管理数据安全相关的日志与审计工具（如SIEM、数据库活动监控、DLP报告）。


• 定期进行数据安全审计和合规性检查，分析日志以检测可疑活动或策略违规。




5. 数据安全合规：




• 确保数据安全实践符合适用的法律法规（如GDPR、CCPA、PIPL、行业特定法规）及集团内部政策。


• 支持内部和外部审计（如SOC
  2， ISO 27001）中与数据安全相关的部分。




6. 数据安全意识与培训：




• 为员工（特别是数据所有者、管理员和处理者）提供数据安全意识和最佳实践培训。




7. 事件响应支持：




• 参与数据泄露或安全事件的调查与响应，提供数据取证支持。




8. 技术评估与文档：




• 评估新的数据安全技术和产品。


• 编写数据安全设计方案、策略文档、操作指南和审计报告。

任职资格：

1. 教育背景：




• 本科及以上学历，信息安全、计算机科学、数据科学、或相关专业。




2. 工作经验：




• 至少3-5年IT安全领域工作经验，其中至少2年专注于数据安全管理。


• 具有数据安全控制（如DLP、加密、访问控制、数据库安全）的设计、部署、管理和优化经验。


• 有参与数据分类分级项目或数据治理项目的经验者优先。




3. 专业技能：




• 核心知识： 深入理解数据安全原理、技术、标准和法规（如加密技术、DLP、IAM、数据库安全、GDPR/PIPL等）。


• 技术实操：




• 熟悉主流数据安全产品（如Symantec DLP, Forcepoint, Microsoft Purview, Vormetric, Voltage,
  Thales CipherTrust, Imperva, etc）。


• 精通数据库安全配置与审计（Oracle, SQL Server, MySQL）。


• 了解云平台（AWS S3/KMS/GuardDuty,
  Azure Blob Storage/Key Vault/Sentinel）的数据安全特性。


• 掌握数据脱敏技术（静态/动态脱敏）。




• 合规理解： 熟悉数据安全相关法律法规和合规要求。


• 分析能力： 能够分析数据流、识别风险并设计控制措施。




4. 软技能：




• 出色的沟通能力，能够清晰地向技术和非技术干系人解释数据安全要求和风险。


• 优秀的协作能力，能与数据治理团队、IT运维团队、法务合规团队和业务部门有效合作。


• 注重细节，责任心强，具备良好的解决问题和项目管理能力。




5. 加分项：




• 持有CISSP、CISM、CISA、CDPSE (Certified
  Data Privacy Solutions Engineer) 或 CCSP (Certified
  Cloud Security Professional) 等认证。


• 熟悉大数据平台（如Hadoop,
  Spark）或数据湖的安全保护。


• 具备数据隐私管理经验。


• 有在制造业或拥有大量敏感数据（如研发、客户、生产数据）的行业工作经验。

主要职责：

1. 数据安全策略与框架：




• 参与制定和更新集团的数据安全策略、标准、流程和控制框架（如基于NIST
  CSF、ISO 27001、GDPR、CCPA、中国《个人信息保护法》《数据安全法》等）。


• 将数据安全要求融入IT项目和数据治理计划。




2. 数据分类与分级：




• 设计、推动和实施集团范围内的数据分类分级标准和方案，识别敏感数据和关键数据资产。


• 指导业务部门对数据进行正确分类和标记。




3. 数据安全控制设计与实施：




• 设计、评估和部署数据安全技术解决方案，重点关注：




• 数据访问控制： 基于角色的访问控制（RBAC）、属性基访问控制（ABAC）、特权访问管理（PAM）。


• 数据加密： 应用透明数据加密（TDE）、文件/磁盘加密、应用层加密、令牌化等技术保护静态数据、传输中数据和使用中数据。


• 数据丢失防护（DLP）： 部署和优化DLP解决方案（网络、端点、云），制定策略以监控和防止敏感数据外泄。


• 数据脱敏/匿名化： 为开发、测试和分析环境设计并实施数据脱敏方案。


• 数据库安全： 对核心数据库（如Oracle, SQL Server, MySQL, NoSQL）实施安全加固、审计、活动监控和漏洞管理。


• 云数据安全： 设计并实施公有云（AWS, Azure, GCP, AliCloud）环境中的数据安全控制（如存储桶策略、KMS、云DLP）。






4. 数据安全监控与审计：




• 配置和管理数据安全相关的日志与审计工具（如SIEM、数据库活动监控、DLP报告）。


• 定期进行数据安全审计和合规性检查，分析日志以检测可疑活动或策略违规。




5. 数据安全合规：




• 确保数据安全实践符合适用的法律法规（如GDPR、CCPA、PIPL、行业特定法规）及集团内部政策。


• 支持内部和外部审计（如SOC
  2， ISO 27001）中与数据安全相关的部分。




6. 数据安全意识与培训：




• 为员工（特别是数据所有者、管理员和处理者）提供数据安全意识和最佳实践培训。




7. 事件响应支持：




• 参与数据泄露或安全事件的调查与响应，提供数据取证支持。




8. 技术评估与文档：




• 评估新的数据安全技术和产品。


• 编写数据安全设计方案、策略文档、操作指南和审计报告。

任职资格：

1. 教育背景：




• 本科及以上学历，信息安全、计算机科学、数据科学、或相关专业。




2. 工作经验：




• 至少3-5年IT安全领域工作经验，其中至少2年专注于数据安全管理。


• 具有数据安全控制（如DLP、加密、访问控制、数据库安全）的设计、部署、管理和优化经验。


• 有参与数据分类分级项目或数据治理项目的经验者优先。




3. 专业技能：




• 核心知识： 深入理解数据安全原理、技术、标准和法规（如加密技术、DLP、IAM、数据库安全、GDPR/PIPL等）。


• 技术实操：




• 熟悉主流数据安全产品（如Symantec DLP, Forcepoint, Microsoft Purview, Vormetric, Voltage,
  Thales CipherTrust, Imperva, etc）。


• 精通数据库安全配置与审计（Oracle, SQL Server, MySQL）。


• 了解云平台（AWS S3/KMS/GuardDuty,
  Azure Blob Storage/Key Vault/Sentinel）的数据安全特性。


• 掌握数据脱敏技术（静态/动态脱敏）。




• 合规理解： 熟悉数据安全相关法律法规和合规要求。


• 分析能力： 能够分析数据流、识别风险并设计控制措施。




4. 软技能：




• 出色的沟通能力，能够清晰地向技术和非技术干系人解释数据安全要求和风险。


• 优秀的协作能力，能与数据治理团队、IT运维团队、法务合规团队和业务部门有效合作。


• 注重细节，责任心强，具备良好的解决问题和项目管理能力。




5. 加分项：




• 持有CISSP、CISM、CISA、CDPSE (Certified
  Data Privacy Solutions Engineer) 或 CCSP (Certified
  Cloud Security Professional) 等认证。


• 熟悉大数据平台（如Hadoop,
  Spark）或数据湖的安全保护。


• 具备数据隐私管理经验。


• 有在制造业或拥有大量敏感数据（如研发、客户、生产数据）的行业工作经验。