- 目錄
第1篇 安全顧問崗位職責(zé)任職要求
安全顧問崗位職責(zé)
崗位職責(zé):
1) 負(fù)責(zé)基于s-sdlc/devsecops等應(yīng)用安全建設(shè)方法論,結(jié)合軟件系統(tǒng)的研發(fā)組織模式(如devops等),構(gòu)建軟件安全開發(fā)相關(guān)的體系、流程、框架等;并推動在軟件項目中的落地。
2) 負(fù)責(zé)與管理層溝通,向管理層清晰匯報軟件安全建設(shè)的思路、進(jìn)展、成果等。
3) 負(fù)責(zé)與國家信息安全主管部門等進(jìn)行溝通,組織安全方案評審等,向主管部門匯報安全建設(shè)的思路、方案等。
4) 負(fù)責(zé)與軟件需求、開發(fā)團(tuán)隊等進(jìn)行溝通,推動安全評審、安全開發(fā)、代碼審計、安全測試等各項安全活動和過程。
5) 持續(xù)跟蹤wasp、wasc等軟件安全研究組織的研究成果,結(jié)合項目情況,在項目中進(jìn)行應(yīng)用。
6) 持續(xù)跟蹤等級保護(hù)、pci dss等國內(nèi)外安全合規(guī)標(biāo)準(zhǔn),提出安全需求和建議。
7) 對軟件架構(gòu)、軟件設(shè)計等進(jìn)行安全評審,側(cè)重于功能、合規(guī)性等評審;
8) 負(fù)責(zé)建設(shè)軟件漏洞的管理流程、應(yīng)急響應(yīng)流程、體系等。
任職要求:
1) 熟悉s-sdlc、devsecops等應(yīng)用安全建設(shè)的方法論,框架,工作流程等,具備在大型軟件公司、互聯(lián)網(wǎng)公司主持大型軟件產(chǎn)品/系統(tǒng)的安全開發(fā)管理經(jīng)驗;
2) 精通風(fēng)險評估、信息安全等級保護(hù),熟悉iso27001及其它國外相關(guān)安全標(biāo)準(zhǔn);
3) 具有大型軟件系統(tǒng)(產(chǎn)品)開發(fā)領(lǐng)域的安全需求分析、威脅建模、風(fēng)險評估、代碼審計、安全測試等管理、組織和實(shí)施經(jīng)驗;
4) 具有較強(qiáng)的跨組織溝通、協(xié)調(diào)和推動能力,善于尋求安全和業(yè)務(wù)需求的平?;
5) 較強(qiáng)的方案編寫和匯報能力;
6) 具有高度的責(zé)任心,較強(qiáng)的抗壓能力以及良好的職業(yè)道德;
7) 英語聽說讀寫能力強(qiáng),可以無障礙閱讀英文技術(shù)文獻(xiàn),具備技術(shù)方面的溝通能力;
崗位職責(zé):
1) 負(fù)責(zé)基于s-sdlc/devsecops等應(yīng)用安全建設(shè)方法論,結(jié)合軟件系統(tǒng)的研發(fā)組織模式(如devops等),構(gòu)建軟件安全開發(fā)相關(guān)的體系、流程、框架等;并推動在軟件項目中的落地。
2) 負(fù)責(zé)與管理層溝通,向管理層清晰匯報軟件安全建設(shè)的思路、進(jìn)展、成果等。
3) 負(fù)責(zé)與國家信息安全主管部門等進(jìn)行溝通,組織安全方案評審等,向主管部門匯報安全建設(shè)的思路、方案等。
4) 負(fù)責(zé)與軟件需求、開發(fā)團(tuán)隊等進(jìn)行溝通,推動安全評審、安全開發(fā)、代碼審計、安全測試等各項安全活動和過程。
5) 持續(xù)跟蹤wasp、wasc等軟件安全研究組織的研究成果,結(jié)合項目情況,在項目中進(jìn)行應(yīng)用。
6) 持續(xù)跟蹤等級保護(hù)、pci dss等國內(nèi)外安全合規(guī)標(biāo)準(zhǔn),提出安全需求和建議。
7) 對軟件架構(gòu)、軟件設(shè)計等進(jìn)行安全評審,側(cè)重于功能、合規(guī)性等評審;
8) 負(fù)責(zé)建設(shè)軟件漏洞的管理流程、應(yīng)急響應(yīng)流程、體系等。
任職要求:
1) 熟悉s-sdlc、devsecops等應(yīng)用安全建設(shè)的方法論,框架,工作流程等,具備在大型軟件公司、互聯(lián)網(wǎng)公司主持大型軟件產(chǎn)品/系統(tǒng)的安全開發(fā)管理經(jīng)驗;
2) 精通風(fēng)險評估、信息安全等級保護(hù),熟悉iso27001及其它國外相關(guān)安全標(biāo)準(zhǔn);
3) 具有大型軟件系統(tǒng)(產(chǎn)品)開發(fā)領(lǐng)域的安全需求分析、威脅建模、風(fēng)險評估、代碼審計、安全測試等管理、組織和實(shí)施經(jīng)驗;
4) 具有較強(qiáng)的跨組織溝通、協(xié)調(diào)和推動能力,善于尋求安全和業(yè)務(wù)需求的平?;
5) 較強(qiáng)的方案編寫和匯報能力;
6) 具有高度的責(zé)任心,較強(qiáng)的抗壓能力以及良好的職業(yè)道德;
7) 英語聽說讀寫能力強(qiáng),可以無障礙閱讀英文技術(shù)文獻(xiàn),具備技術(shù)方面的溝通能力;
安全顧問崗位
第2篇 應(yīng)用安全顧問崗位職責(zé)應(yīng)用安全顧問職責(zé)任職要求
應(yīng)用安全顧問崗位職責(zé)
安全顧問-應(yīng)用安全方向 具體職責(zé):
?在架構(gòu)、設(shè)計和評審階段與開發(fā)團(tuán)隊緊密合作。
?向開發(fā)團(tuán)隊提供專業(yè)的安全指導(dǎo)和見解。具體的安全控制領(lǐng)域會涉及但不限于,安全的數(shù)據(jù)庫訪問,驗證方式,會話管理,加密技術(shù),權(quán)限設(shè)計與訪問控制,安全測試,錯誤處理和日志,輸入驗證,安全存儲設(shè)計。
?根據(jù)應(yīng)用系統(tǒng)生命周期安全管理要求,對所服務(wù)團(tuán)隊互聯(lián)網(wǎng)系統(tǒng)進(jìn)行安全風(fēng)險評估,提出安全需求,并評估安全要求不能達(dá)到時的風(fēng)險,向項目建議控制措施。;
?與開發(fā)團(tuán)隊共同討論,確定安全功能設(shè)計方案,提供方案實(shí)現(xiàn)的具體建議,供開發(fā)團(tuán)隊實(shí)現(xiàn);
?確定應(yīng)用系統(tǒng)的各階段安全測試方法、驗證方法,準(zhǔn)備測試用例、工具,組織或?qū)嵤┌踩珳y試;
?與開發(fā)團(tuán)隊共同分析測試中發(fā)現(xiàn)的問題,提出建議,督促及時整改;
?向開發(fā)團(tuán)隊傳授專業(yè)安全知識和技能;
?歸納總結(jié)開發(fā)中遇到的經(jīng)驗和教訓(xùn),形成一致的安全標(biāo)準(zhǔn)、安全功能模塊,提高開發(fā)安全的保障水平。
?針對已使用技術(shù)和新技術(shù),創(chuàng)建開發(fā)安全相關(guān)的規(guī)范、指引和實(shí)踐文檔。
?識別安全開發(fā)生命周期框架中需要改進(jìn)和落實(shí)的領(lǐng)域,以進(jìn)一步完善安全開發(fā)實(shí)踐和紀(jì)律,逐步建立安全的程序庫供開發(fā)人員使用。
?與其他安全顧問溝通和協(xié)作,相互支持,一致地優(yōu)化安全實(shí)踐。
技能要求:
軟性技能:
?與人交互和影響的技能非常重要,該崗位需要與項目、開發(fā)團(tuán)隊緊密協(xié)作,并能夠?qū)Ω淖兒蜎Q策產(chǎn)生積極影響。
?口語、書面表達(dá)和溝通技能。
開發(fā)經(jīng)驗:
?架構(gòu)/實(shí)施:理想的候選人需要具備架構(gòu)和實(shí)施(開發(fā))企業(yè)級應(yīng)用的經(jīng)驗,并在組織中擔(dān)當(dāng)過it崗位。
?軟件開發(fā):這個崗位不是日常的程序開發(fā)崗位,成功的候選人應(yīng)具備在商業(yè)環(huán)境下程序開發(fā)的經(jīng)驗,尤其偏重于大型web應(yīng)用開發(fā)項目。這需要掌握開發(fā)生命周期(sdlc)的知識和web安全的實(shí)踐(如owasp實(shí)踐集)。
?編程語言:理想的候選人應(yīng)具備在實(shí)踐中使用不止一種開發(fā)語言的能力,如java, html5,perl, c/c++, c#, python。
?深入了解web技術(shù)和框架,如javascript, jsp/servlet/ejb, asp.net, php, http/http, cookies, aja_, fle_/silverlight。
?移動平臺:熟悉ios和安卓平臺下的開發(fā)。
安全經(jīng)驗:
?了解通常的應(yīng)用層安全漏洞,能夠可以向開發(fā)人員講解漏洞的原理,風(fēng)險和相應(yīng)的控制。熟悉、實(shí)踐過主流應(yīng)用安全實(shí)踐集如(owasp),和移動安全領(lǐng)域的控制。
?能夠在開發(fā)過程中,評估安全相關(guān)的技術(shù)和功能性特性,識別威脅和脆弱的領(lǐng)域。具備參與設(shè)計階段的經(jīng)驗。
?能夠從安全角度評審企業(yè)級應(yīng)用的代碼,借助工具的結(jié)果向開發(fā)人員講解可能的安全漏洞。
?候選人應(yīng)熟悉、實(shí)踐過安全相關(guān)的控制領(lǐng)域和措施,如身份驗證,權(quán)限,身份管理,數(shù)據(jù)保護(hù),輸入輸出驗證,加密,軟件攻擊模型,安全的數(shù)據(jù)傳輸和存儲。
?具備使用動態(tài)漏洞評估和靜態(tài)漏洞評估工具,甚至滲透測試或其他安全測試工具的經(jīng)驗。
其他:
?5年以上工作經(jīng)驗。
?碩士(大公司多年經(jīng)驗本科也可)
具體職責(zé):
?在架構(gòu)、設(shè)計和評審階段與開發(fā)團(tuán)隊緊密合作。
?向開發(fā)團(tuán)隊提供專業(yè)的安全指導(dǎo)和見解。具體的安全控制領(lǐng)域會涉及但不限于,安全的數(shù)據(jù)庫訪問,驗證方式,會話管理,加密技術(shù),權(quán)限設(shè)計與訪問控制,安全測試,錯誤處理和日志,輸入驗證,安全存儲設(shè)計。
?根據(jù)應(yīng)用系統(tǒng)生命周期安全管理要求,對所服務(wù)團(tuán)隊互聯(lián)網(wǎng)系統(tǒng)進(jìn)行安全風(fēng)險評估,提出安全需求,并評估安全要求不能達(dá)到時的風(fēng)險,向項目建議控制措施。;
?與開發(fā)團(tuán)隊共同討論,確定安全功能設(shè)計方案,提供方案實(shí)現(xiàn)的具體建議,供開發(fā)團(tuán)隊實(shí)現(xiàn);
?確定應(yīng)用系統(tǒng)的各階段安全測試方法、驗證方法,準(zhǔn)備測試用例、工具,組織或?qū)嵤┌踩珳y試;
?與開發(fā)團(tuán)隊共同分析測試中發(fā)現(xiàn)的問題,提出建議,督促及時整改;
?向開發(fā)團(tuán)隊傳授專業(yè)安全知識和技能;
?歸納總結(jié)開發(fā)中遇到的經(jīng)驗和教訓(xùn),形成一致的安全標(biāo)準(zhǔn)、安全功能模塊,提高開發(fā)安全的保障水平。
?針對已使用技術(shù)和新技術(shù),創(chuàng)建開發(fā)安全相關(guān)的規(guī)范、指引和實(shí)踐文檔。
?識別安全開發(fā)生命周期框架中需要改進(jìn)和落實(shí)的領(lǐng)域,以進(jìn)一步完善安全開發(fā)實(shí)踐和紀(jì)律,逐步建立安全的程序庫供開發(fā)人員使用。
?與其他安全顧問溝通和協(xié)作,相互支持,一致地優(yōu)化安全實(shí)踐。
技能要求:
軟性技能:
?與人交互和影響的技能非常重要,該崗位需要與項目、開發(fā)團(tuán)隊緊密協(xié)作,并能夠?qū)Ω淖兒蜎Q策產(chǎn)生積極影響。
?口語、書面表達(dá)和溝通技能。
開發(fā)經(jīng)驗:
?架構(gòu)/實(shí)施:理想的候選人需要具備架構(gòu)和實(shí)施(開發(fā))企業(yè)級應(yīng)用的經(jīng)驗,并在組織中擔(dān)當(dāng)過it崗位。
?軟件開發(fā):這個崗位不是日常的程序開發(fā)崗位,成功的候選人應(yīng)具備在商業(yè)環(huán)境下程序開發(fā)的經(jīng)驗,尤其偏重于大型web應(yīng)用開發(fā)項目。這需要掌握開發(fā)生命周期(sdlc)的知識和web安全的實(shí)踐(如owasp實(shí)踐集)。
?編程語言:理想的候選人應(yīng)具備在實(shí)踐中使用不止一種開發(fā)語言的能力,如java, html5,perl, c/c++, c#, python。
?深入了解web技術(shù)和框架,如javascript, jsp/servlet/ejb, asp.net, php, http/http, cookies, aja_, fle_/silverlight。
?移動平臺:熟悉ios和安卓平臺下的開發(fā)。
安全經(jīng)驗:
?了解通常的應(yīng)用層安全漏洞,能夠可以向開發(fā)人員講解漏洞的原理,風(fēng)險和相應(yīng)的控制。熟悉、實(shí)踐過主流應(yīng)用安全實(shí)踐集如(owasp),和移動安全領(lǐng)域的控制。
?能夠在開發(fā)過程中,評估安全相關(guān)的技術(shù)和功能性特性,識別威脅和脆弱的領(lǐng)域。具備參與設(shè)計階段的經(jīng)驗。
?能夠從安全角度評審企業(yè)級應(yīng)用的代碼,借助工具的結(jié)果向開發(fā)人員講解可能的安全漏洞。
?候選人應(yīng)熟悉、實(shí)踐過安全相關(guān)的控制領(lǐng)域和措施,如身份驗證,權(quán)限,身份管理,數(shù)據(jù)保護(hù),輸入輸出驗證,加密,軟件攻擊模型,安全的數(shù)據(jù)傳輸和存儲。
?具備使用動態(tài)漏洞評估和靜態(tài)漏洞評估工具,甚至滲透測試或其他安全測試工具的經(jīng)驗。
其他:
?5年以上工作經(jīng)驗。
?碩士(大公司多年經(jīng)驗本科也可)
第3篇 高級安全顧問崗位職責(zé)高級安全顧問職責(zé)任職要求
高級安全顧問崗位職責(zé)
高級安全咨詢顧問 廣州萬方安全技術(shù)有限公司 廣州萬方安全技術(shù)有限公司,萬方 技能要求:
web安全,網(wǎng)絡(luò)安全,信息安全,配置管理,系統(tǒng)運(yùn)維,linu_
1、信息安全風(fēng)險評估、信息安全體系規(guī)劃、iso27001安全體系建設(shè)等各類安全咨詢服務(wù)的研究和創(chuàng)新;
2、區(qū)域內(nèi)安全服務(wù)項目的支持工作;
3、區(qū)域內(nèi)安全服務(wù)項目的實(shí)施和管理。
任職資格:
1、熱愛信息安全事業(yè),有意與公司共同發(fā)展;
2、有3年以上信息安全工作經(jīng)驗與相關(guān)項目經(jīng)歷;
3、有良好的良好的文檔能力、語言表達(dá)、溝通能力;
4、熟悉國內(nèi)外信息安全標(biāo)準(zhǔn)和規(guī)范 ,對信息安全風(fēng)險評估、等級保護(hù)、信息安全管理體系有較深刻理解;
5、最好具有cissp、cisa、cisp、iso27001 la、itil、pmp等相關(guān)資質(zhì)之一;
6、具備相關(guān)行業(yè)背景者優(yōu)先,具備多年安全技術(shù)經(jīng)驗者、有信息安全咨詢相關(guān)項目實(shí)施經(jīng)驗優(yōu)先。
第4篇 高級安全顧問崗位職責(zé)
高級安全咨詢顧問 深圳市易聆科信息技術(shù)股份有限公司 深圳市易聆科信息技術(shù)股份有限公司,易聆科,易聆科 崗位職責(zé):
1.應(yīng)對客戶需求,向用戶提供信息安全咨詢等服務(wù),包括售前階段與客戶交流、編寫咨詢方案、提供咨詢實(shí)施工作、交付咨詢項目;
2.承擔(dān)公司信息安全研究任務(wù),針對信息安全重點(diǎn)領(lǐng)域制定解決方案;
3.應(yīng)對培訓(xùn)需求提供面向公司內(nèi)部及外部的信息安全培訓(xùn)。
任職要求:
1.大專及以上學(xué)歷,5年以上信息安全行業(yè)工作經(jīng)驗;
2.具有中大型組織信息安全規(guī)劃、信息安全管理體系、等級保護(hù)等相關(guān)項目實(shí)施經(jīng)驗;
3.熟悉信息安全技術(shù)原理及應(yīng)用;
4.熟悉信息安全法律法規(guī)和標(biāo)準(zhǔn)(如網(wǎng)絡(luò)安全法、等級保護(hù)、信息安全管理體系要求等);
5.具備較好的執(zhí)行能力、溝通能力、文檔撰寫能力、團(tuán)隊協(xié)作能力及快速學(xué)習(xí)能力。