工作职责：
1、安全策略和程序制定：制定和实施信息安全策略、标准和流程。确保所有信息系统的安全性符合行业***实践和法规要求。
2、风险评估与管理：对公司的信息系统进行安全风险评估，并提出缓解措施。定期审查和更新风险管理计划以应对新的威胁。
3、安全监控和事件响应：监控网络和系统活动，识别潜在的安全威胁。处理安全事件，进行调查并采取适当的纠正措施。
4、漏洞管理和渗透测试：进行定期的漏洞扫描和渗透测试，确保系统安全性。跟进漏洞修复进度，并验证补丁的有效性。
5、技术架构安全设计：参与IT项目的规划和设计阶段，提供安全方面的建议和支持。设计安全的技术架构，包括防火墙配置、加密方案等。
6、安全意识培训：为员工提供信息安全意识培训，提高整个组织的安全文化。开发和维护内部知识库，帮助员工了解最新的安全趋势和技术。
7、合规性和审计支持：确保公司的信息安全实践符合相关法律法规和行业标准（如ISO27001, NIST）。协助内外部审计工作，准备必要的文档和证据。
8、应急准备和灾难恢复：制定和测试灾难恢复计划（DRP）和业务连续性计划（BCP）。在发生重大安全事件时，协调资源进行快速恢复。
9、工具和技术的使用：使用各种安全工具来检测和防御攻击，如入侵检测系统（IDS）、入侵防御系统（IPS）等。持续关注最新安全技术和工具的发展，并将其应用于实践中。
任职资格：
1、2-5年以上的相关工作经验，拥有丰富的实战经验和独立完成安全项目的能力，对集团信息安全进行全面规划，实施和落地。
2、网络安全基础知识，需要了解网络攻防技术，包括但不限于渗透测试、漏洞扫描和安全防护。
3、主流安全工具使用：掌握如Metasploit、Wireshark、Nmap等工具的使用，并能够编写安全脚本或工具。
4、信息安全体系熟悉度：了解信息安全规范和标准，能跟进新技术与趋势。
5、编程能力：至少掌握一门编程语言（如Python、C++），用于分析问题和排查故障。