信息安全工程师

1、网络安全运营：

（1）负责企业网络与系统的安全防护，包括应用系统渗透测试、漏洞扫描、资产梳理、基线制定等工作。

（2）负责完善网络安全系统建设和管理，配置与维护安全设备（如WAF、防火墙、防病毒系统、上网行为管理、各类漏扫工具等），持续优化系统安全策略。

（3）监测和分析网络安全事件，识别入侵和攻击行为，持续完善安全防护与应急响应措施，并指导相关组织机构细化执行。

2、网络安全策略与审计：

（1）负责制定、审计企业的网络安全政策、网络安全架构设计/访问控制/数据保护/设备与系统安全等策略要求。

（2）负责审计各类网络基础设施与安全设备的策略与日志等情况。

（3）负责协助编制信息安全管理基线、应用安全开发技术管控标准。

（4）协助上级单位开展对相关企业的IT基础设施安全检查工作，包括机房环境安全检查、网络设备配置检查、终端与主机安全检查等并编制报告。提供相关指导建议、推进问题整改。

3、安全风险评估：

（1）负责业务系统上线或变更的风险评估工作，参与评审业务、应用系统等信息安全相关需求，对系统开发提出安全建议，协助制定安全解决方案与应急预案。

（2）负责研究和跟踪各种新型安全漏洞和攻击手段，及时做出相应对策和措施，对安全事件进行备案记录。

4、安全日常管理：

（1）领导企业安全监控与响应、安全培训与安全意识的提高。负责对接相关企业网络安全联络人员，配合、落实开展的信息安全监督管理和各类信息安全事件处置工作。

（2）与企业相关部门沟通，为信息安全问题提供技术支持。普及安全知识（包括培训），帮助提升公司全员的信息安全意识。

5、其它：完成上级交办的其它工作。

岗位要求：

1、全日制本科以上学历（计算机、信息安全相关专业优先）。3年以上信息安全领域、网络架构规划与优化和网络设备管理工作经验。甲方生产制造业经验者优先。

2、精通ISO27001信息安全管理体系标准，熟悉网络信息安全领域相关国家法律法规、标准（如等级保护）等。

3、熟悉主流安全技术架构和各类网络安全设备原理，如防火墙、VPN、WAF、日志审计、防病毒、上网行为管理系统等，并有相关安全产品使用、平台运营经验。

4、具有渗透测试经验者优先，了解OWASP TOP10，熟悉主流的Web安全技术，包括SQL注入、XSS、CSRF等安全相关知识；能对业务系统实施安全测试、风险评估和安全加固，以及各种入侵、渗透的防范。

5、具备注册信息安全专业相关认证（CISSP、CISP、CISP-PTE、CISA、ISO27001LA、OSCP等）。

6、熟悉网络协议、网络设备及操作系统的安全管理并有相关运维经验，具备CCNP、MCSE、RHCE等相关证书者更佳。

7、有较强的执行力、沟通能力、团队协作能力和文档编辑能力。