该库中的示例职位描述将帮助安全和风险管理领导者、招聘经理和招聘团队在招聘网络安全人员时澄清和传达角色定义和技能要求。
根据 Gartner 2024 年 CIO 人才规划调查,网络安全目前是 IT 行业中第三个最难招聘和聘用合格人才的领域(仅次于生成式人工智能和机器学习)。此外,根据ISC2的2021年和2023年网络安全劳动力研究,全球人才缺口从2021年的270万人增加到2023年的390万人。这种上升趋势表明全球人才缺口将继续加速。与此同时,跨组织的数字化转型需要更广泛的安全角色,这需要新的技能和知识。因此,大多数网络安全职能部门都在努力填补现有职位,并且无法针对未来可能出现的新人才需求进行规划。
更好的职位列表和对新出现的角色的更深入了解可以解决安全招聘挑战。精心设计的职位列表吸引了更多合格的候选人,并且对新兴安全角色的早期了解确保了该职能为数字时代做好了准备。
这项研究帮助安全专业人员更好地定义安全角色并编写高质量的职位列表。
安全和风险管理 (SRM) 领导者的职位描述
SRM领导者帮助组织设计、开发、治理和管理其特定计划,以提供和保护其价值。以下是网络安全职能中一些最重要的 SRM 角色的职位描述示例。
表1 :安全和风险管理 (SRM) 领导者的职位描述
| 角色 | 描述 |
| CISO 负责实施和运行企业网络安全计划。这涉及识别、评估和报告信息资产的部分或全部法律和监管、IT 和网络安全风险,同时支持和推进业务目标。 | |
| 该角色协调所有 CISO 活动,以支持职能优先事项,例如战略计划、举措和组织发展流程。这涉及在工作流程、日程安排、人员配置、预算、通信和活动方面最大限度地提高网络安全功能的有效运作。 | |
| BISO 是网络安全职能部门与其指定的业务部门、区域、服务线、平台和/或公司职能部门之间的主要联络点。他们负责与特定业务部门或职能部门保持战略关系,以确保将网络安全纳入相关企业/组织/业务部门的文化中。 | |
| 该角色负责身份和访问管理 (IAM) 计划的规划、构建、交付和支持。它们为 IAM 应用程序和架构的开发、规范和通信提供方向和指导。他们还为业务部门和 IT 管理层提供深入的技术咨询,并协助制定信息安全需求整合的计划和方向。 | |
| 该角色负责防御网络安全事件,并在事件发生时识别、分析、沟通和遏制事件。 | |
| 该角色确保其组织的第三方生态系统得到适当的评估、评估和管理,以最大限度地减少网络安全风险暴露和对业务的影响。 | |
| 该角色负责组织信息安全意识计划的开发、审查、实施和维护。他们最终将通过在整个企业范围内吸引、教育和强化安全行为和心态来推动员工行为改变,从而降低整个组织的风险。 | |
| 该角色有助于定义和评估组织的安全策略、架构和实践。他们将业务目标和风险管理策略转化为由安全技术和服务支持的特定安全流程。 | |
| 该角色负责规划、管理和协调各种网络安全风险管理活动,重点是从业务角度识别、评估和减轻组织的风险。 | |
| 该角色负责确保其组织满足其网络安全标准和目标。他们参与制定安全要求和基线以及评估设计方案。除了计划和项目管理职责外,他们还与其他技术主管(内部和外部)合作以降低风险。 |
表2 :安全运营中心角色的职位描述
| 角色 | 描述 |
| 该角色与各个安全操作小组协作,在整个企业内使用、验证和创建检测内容。他们致力于实时检测、监控和响应安全事件。 | |
| 渗透测试工程师 | 该角色负责系统地查找和验证组织的信息安全漏洞。他们试图代表其所有者渗透计算机系统、应用程序或网络,以查找可能被恶意黑客利用的安全漏洞。 |
| 该角色通过在事件发生时进行识别、分析、优先级排序、沟通和缓解来防御网络安全事件。 | |
| 该角色寻找传统网络安全流程无法发现的妥协指标,并跟踪针对公司的威胁和活动。他们与整个企业的利益相关者合作,识别、监控、评估和应对网络威胁。 | |
| 该角色负责制定和执行标准、程序和流程,以发现、抵御安全事件并从中恢复。 | |
| 该角色负责针对IT平台和自动化信息系统的安全事件(安全事件)的第一线防御,以及计算机安全事件响应团队的绩效。 | |
| 该角色负责收集、处理、保存、分析和呈现整个企业职能的证据。 |
表3 :基础设施、应用程序和数据安全角色的职位描述
| 角色 | 描述 |
| 该角色负责识别、评估和减轻软件应用程序中的安全漏洞。他们与开发团队密切合作,将安全实践集成到软件开发生命周期 (SDLC) 中,并帮助确保应用程序安全并符合相关标准和法规。 | |
| 该角色提供身份验证、授权、访问管理、特权访问管理、身份治理和管理以及人和机器的 IAM 现代化等领域的技术专业知识。 | |
| 该角色提供身份验证、授权、访问管理、特权访问管理、身份治理和管理以及人和机器的 IAM 现代化等领域的技术专业知识 | |
| 该角色负责管理保护组织的计算机网络、系统和数据免受网络攻击的控制措施。他们与 IT 团队密切合作,识别、评估和减轻安全风险,并与事件响应部门合作,遏制安全事件造成的损害并防止未来的攻击。 | |
| 该角色负责支持计算机网络防御,包括审核网络漏洞、开发安全问题解决方案以及调查安全漏洞。 | |
| 该角色负责设计、实施和管理安全措施,以保护组织的数据免遭未经授权的访问、使用、披露、破坏、修改和破坏,并满足合规性要求。他们与其他 IT 专业人员以及数据和分析工程师密切合作,确保将数据安全集成到组织 IT 基础设施的各个方面。 | |
| 该角色负责管理和维护安全措施,以保护组织的数据免遭未经授权的访问、使用、披露、中断、修改和破坏,并满足合规性要求。他们与其他 IT 专业人员、数据安全工程师以及数据和分析工程师密切合作,确保将数据安全集成到组织 IT 基础设施的各个方面。 |
表4 :网络风险角色的职位描述
| 角色 | 描述 |
| 该角色负责评估组织的信息资产是否根据所有政策、控制、行业标准和框架受到保护。他们支持法律部门评估适用法律和法规的遵守情况。他们致力于开发、实施和维护全面的信息合规计划,涵盖组织信息管理生命周期的各个方面。 | |
| 该角色进行隐私风险评估,重点关注特定业务活动。它们同时促进业务利益相关者在业务流程级别上进行隐私影响评估,并与安全专业人员联络以进行以应用程序为中心的数据保护影响评估。他们确定并建议组织的隐私风险处理优先级,并与法律部门合作确定如何保持和改进对监管要求和公司政策的遵守。他们制定隐私培训和意识计划,并与 CISO 合作制定个人数据泄露响应计划。 | |
| 该角色负责开发、实施、维护、管理、治理和促进企业的业务连续性管理 (BCM) 计划,以便从企业整个地理足迹中的所有类型的业务中断威胁(自然、技术、地缘政治、意外、劳动力、供应商)中恢复。 | |
| 该角色负责识别、分析和影响整个组织的信息风险管理。 |
1195
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
