岗位职责:1.集团信息技术安全管理,包括但不限于制度体系和合规体系的构建、运行和改进等。2.集团信息技术安全运营,包括但不限于以标准化的方式定义信息技术安全过程和协同关系。输出需求至信息安全技术等。3.集团信息技术之安全技术运用,包括但不限于信息技术安全工具与平台,技术能力等。4.定期执行并持续改进漏洞扫描、网络扫描、渗透测试和其他信息安全技术检查。5.集团信息技术安全事件应急响应与处置等。6.集团信息技术安全等级保护、风险评估、安全咨询、攻防演习(护网行动)、安全审计等活动的策划、实施与协调等。7.独立负责评估公司内部信息系统或第三方供应商提供的信息系统的信息安全风险,推动信息安全设计与测试。8.识别新的信息技术项目在信息安全方面的风险与需求,并纳入到信息技术项目中。参与信息系统设计与架构的评审工作,从信息安全角度积极提供反馈。9.制订信息安全测试计划并将其集成到软件开发生命周期中。配合应用安全测试团队、开发团队对应用系统的信息安全测试,并指导相关信息技术团队对信息安全漏洞的补救工作。10.提供安全事件调研、验证性证据、信息安全漏洞、补救建议和整体风险状况的书面报告,向技术团队和最终用户部门说明应用系统的信息安全状况。11.集团信息技术安全架构、方案及其实施与改进等。12.业务/用户导向的工作方式。13.职责范围内的业务连续性方案、管理与维护等。14.用户培训。任职要求:1.信息安全类或计算机类专业,CET-4,统招本科及以上。2.有3年及以上信息安全工作经验,包括但不限于信息系统安全评估、信息系统安全审计、信息安全管理咨询、或其它相关经历,熟悉信息系统安全评估方法论和框架并有对信息系统的实际安全评估经验。3.了解应用安全系统测试(SAST, DAST, PenTest)或有相关工作经验,具有 API接口安全测试经验更佳。能够与开发、测试团队合作协调测试安排和测试后的问题追踪。4.了解已识别的应用程序安全漏洞、API 安全和威胁追踪,可以提供有关修复应用程序级漏洞在一定程度上的指导。5.良好的沟通能力。6.团队工作能力。优先选项:1.项目管理能力。2.持有CISSP/CISP, CISA, CISM, CRISC, CGEIT, ISO27001等证书者。