岗位概述
1. 商密测评与风险评估
- 技术评估：使用渗透测试（如Metasploit）、漏洞扫描工具（Nessus）检测系统弱点。
- 流程审查：分析保密制度、权限管理等流程，识别管理漏洞。
- 方法论应用：采用OCTAVE或FAIR模型进行风险量化，输出风险矩阵报告。
2. 合规咨询
- 法规对齐：确保企业符合《中国商业秘密保护法》、ISO 27001及行业特定标准（如金融行业的PCI DSS）。
- 差距分析：通过差距分析工具（如SAFECode）识别合规差距，制定整改路线图。
3. 技术支持与应急响应
- 架构设计：参与零信任架构或DLP系统部署，提供技术选型建议。
- 事件处理：主导CSIRT（计算机安全事件响应团队）行动，采用SANS应急响应流程遏制数据泄露。
4. 文档管理
- 报告编写：使用Markdown或Confluence编写结构化报告，包含CVSS评分漏洞详情及修复优先级。
任职要求
1. 硬技能
- 技术栈：精通加密算法（AES/RSA）、访问控制模型（RBAC/ABAC）、日志分析工具（ELK Stack）。
- 工具熟练度：熟练使用Burp Suite进行Web应用测试，或Qualys进行云环境风险评估。
- 必须具有：商用密码安全评估从业资格证！
2. 软技能
- 跨部门沟通：能将技术术语转化为业务影响（如将SQL注入风险关联至财务损失）。
- 项目管理：使用Jira或禅道管理测评项目进度，协调多方资源。
3. 加分项
- 法律知识：学习GDPR、CCPA（加州隐私法）以应对跨国企业需求。
特别注意：兼职全职均可，待遇面议，必须具有：商用密码安全评估从业资格证！