职位编号:031333
核心职责说明
1. 安全合规体系搭建与落地(20%)
主导并推动公司在中国区的信息安全与网络安全合规体系建设,确保符合《网络安全法》《数据安全法》《个人信息保护法(PIPL)》等国内法律法规要求。
负责等保三级认证的全流程管理(从定级到测评),确保核心系统通过认证并持续合规。
主导数据出境安全评估申报,协调网信办、公安三所等资源,确保数据出境合规。
深度参与生成式AI算法备案及数据标注合规审核,确保AI业务符合行业监管要求。
制定并实施公司信息安全与网络安全管理制度(如《信息网络安全管理制度》《数据分类分级标准》《网络安全事件应急预案》等),并推动内部培训与巡检。
2. 网络安全与数据安全技术防御(40%)
网络安全防护:
设计并实施公司网络架构的安全防护方案,包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、Web应用防火墙(WAF)等。
主导网络安全风险评估,识别潜在威胁并制定应对策略。
建立网络流量监控与分析机制,实时检测并阻断网络攻击行为。
数据安全防护:
设计并实施全生命周期数据安全管控方案,确保公司核心数据资产(如专家数据、用户数据)的安全。
主导双因子加密体系(SM4国密算法+KMS硬件密钥)、DRM防扩散方案、动态脱敏等技术的开发与实施。
建立数据泄露防护(DLP)机制,防止敏感数据外泄。
攻防实战能力建设:
搭建自动化漏洞扫描平台(如整合阿里云云盾+自研AI威胁检测模块),定期进行漏洞扫描与修复。
建立漏洞发现/报警/记录/修复机制,实时监控公司网络安全状况。
组织红蓝对抗演练,提升公司整体安全防护能力。
3. 供应链安全管理(20%)
供应商安全评估:建立并实施供应商安全评估机制,确保供应链上下游合作伙伴的信息安全和网络安全符合公司标准。
供应链风险监控:设计并实施供应链安全监控体系,实时识别和应对供应链中的潜在安全风险(如数据泄露、恶意软件植入等)。
合同安全条款:在供应商合同中加入信息安全与网络安全相关条款,明确责任和义务,确保供应链安全合规。
第三方审计:定期对关键供应商进行第三方安全审计,确保其安全措施符合行业最佳实践。
4. 业务安全与反欺诈(10%)
反薅羊毛机制:设计并实施业务安全防护策略,防止恶意用户通过技术手段(如脚本、自动化工具)进行薅羊毛行为。
用户行为分析:利用大数据和AI技术,建立用户行为分析模型,实时识别异常行为(如高频操作、异常IP地址等)。
风控系统建设:主导业务风控系统的设计与实施,包括实时风控规则引擎、黑名单机制、风险评分模型等。
安全事件响应:建立业务安全事件应急响应机制,确保在发生薅羊毛或其他业务安全事件时能够快速响应并处置。
5. 安全运营与团队管理(10%)
领导并发展2-4人境内安全团队(含SOC/GRC/渗透测试组等),提升团队专业能力。
统筹信息安全与网络安全解决方案的制定,包括技术方案、预算及制度设计。
配合网信办等监管单位,高效完成监管通报整改(如APP违法违规收集个人信息专项整治)。
建立网络安全事件应急响应机制,确保在发生安全事件时能够快速响应并处置。
任职资格标准
1. 工作经验
8年以上大型互联网企业、国央企金融机构或安全信息技术供应商的信息安全与网络安全从业经验。
3年以上管理岗经历,具备从0到1搭建信息安全与网络安全体系的经验。
至少主导过1次等保三级全流程项目(从定级到测评)。
2. 技术专精
精通国内主流网络安全产品(如防火墙、IDS/IPS、WAF、云安全产品等),并具备落地实施经验。
熟悉网络安全攻防技术,具备千万级用户数据泄露应急处置实战经验。
具备网络安全风险评估、漏洞扫描与修复、网络流量监控与分析等能力。
3. 供应链安全经验
具备供应链安全管理经验,熟悉供应链安全风险评估、供应商安全审计等流程。
熟悉供应链攻击面管理工具(如SecurityScorecard、BitSight)者优先。
4. 业务安全与反欺诈经验
具备业务安全防护经验,熟悉反薅羊毛、反欺诈等技术手段。
有用户行为分析、风控系统建设经验者优先。
5. 合规资质
持有CISP(注册信息安全专业人员)认证,熟悉《网络安全法》《数据安全法》《个人信息保护法》等法律法规。
持有CISSP、CISA、等级保护测评师等认证者优先。
6. 政企协作
具备与省市级网信办、公安网安部门协作的经验,能够高效处理安全事件。
熟悉CNVD/CNCERT等国家级漏洞平台,具备漏洞报送及协作经验。
7. 行业适配
具备AI、知识付费或相关行业经验,熟悉大模型训练数据合规及标注员管理风险。
8. 开发能力
具备Python开发能力,能够编写自动化安全脚本(如封禁恶意IP、监测OSS文件泄露)。
9. 资源网络
与CNVD/CNCERT等国家级漏洞平台建立过报送通道,熟悉境内暗网数据监测手段。
岗位价值与吸引力
核心价值:该岗位将全面负责公司在中国区的信息安全、网络安全、供应链安全及业务安全,确保公司业务合规、数据安全、网络稳定,并提升公司整体安全防护能力。
吸引力:
参与公司核心业务的安全建设,直接贡献于公司战略目标的实现。
负责供应链安全和业务安全等前沿领域,提升个人职业竞争力。