高级信息安全管理工程师
职位描述
1. 信息安全管理体系建设与运营
- 主导公司信息安全管理体系(ISMS)框架搭建、制度流程体系建设与持续改进(例如对标 ISO/IEC 27001、NIST CSF 等)。
- 建立信息安全治理机制:安全目标、年度计划、度量指标(KPI/KRI)、例会机制与持续改进闭环。
2. 信息安全策略与制度流程制定
- 负责公司信息安全策略、标准、规范、基线与流程的制定与发布(如访问控制、账号与权限、密码、终端安全、日志与审计、数据安全、变更管理、资产管理、供应商安全等)。
- 将策略要求转化为可执行的管理控制与检查清单,确保可落地、可验证、可审计;推动在研发、制造、供应链、办公及海外站点等业务侧落实。
3. 安全组织建设与责任分工(治理落地)
- 设计并推动信息安全组织架构与职责分工(如安全委员会/安全负责人、安全联络人机制),明确各部门安全责任边界(研发/IT/制造/供应链/人力/法务等)。
- 推动安全责任制与考核机制(如制度宣导、签署、培训、抽查、通报整改)。
4. 管理控制措施设计、推行与检查
- 建立风险管理流程:资产识别、威胁建模、风险评估与分级、整改计划与跟踪验证。
- 组织开展安全检查/内审/专项评估(权限审计、弱口令与账号治理、供应商安全审查、数据流转合规检查等),推动问题整改闭环。
- 与IT/安全技术团队协作,将管理要求落实到技术控制与运营机制(例如日志留存、EDR覆盖、补丁SLA、备份演练、权限审批流程等)。
5. 安全事件与应急管理(管理视角)
- 建立/完善安全事件管理制度与应急响应流程,组织演练,推动跨部门协同与复盘改进。
- 牵头重大风险/事件的管理报告与改进推动。
6. 合规与外部审计支持(按业务需要)
- 支撑公司客户审计、合作伙伴安全要求、全球业务带来的隐私与数据保护要求(如 GDPR/CCPA 等在管理体系层面的配套:制度、流程、记录与证据)。
- 维护合规证据链与文档体系,提升审计通过率与客户信任度。
7. 工厂产线与物理安全治理(核心)
- 建立工厂/产线(OT)相关安全管理要求与边界:OT资产台账、网络分区分域与远程运维访问管理、移动介质/USB管控、补丁与变更窗口管理、供应商/外包人员现场作业管理等。
- 牵头建立或完善物理安全管理体系与检查机制(与行政/工厂/IT/安防协同):门禁与访客、机房/实验室/产线关键区域出入、监控与留存、钥匙/证卡管理、关键设备防拆防盗、盘点与例检等。
- 熟练使用生成式AI辅助制度起草、条款比对、检查表与审计材料初稿、多语言要点整理,定稿与对外发布须经本人审核,遵守公司数据与AI使用规范。
职位要求
1、经验背景:8年以上信息安全/IT治理/风险内控/合规相关经验;具备跨部门推动制度落地与整改闭环的成功案例。制造业/研发型企业/多工厂多站点经验优先。
2、体系与方法:熟悉安全治理与管理体系建设方法(ISO27001/NIST等任一),能把要求落到流程、控制点、证据链与检查机制。
3、制造业关键能力:理解高科技制造业现场管理特点;对物理安全管理与现场稽核有实操经验或可快速建立体系化方法。
4、沟通推动:具备全球协作与跨文化沟通能力,能在无直接汇报关系情况下推动研发、工厂、供应链、IT等团队执行。
5、文档能力:能输出高质量制度文本、流程图、RACI、检查清单、审计证据包与管理层汇报材料。
6、AI素养:对生成式AI能力边界有认知,具备人机协作习惯,不把未审核的AI输出直接作为正式制度或对外证据。
加分项:
--CISM、CISA、ISO 27001 LA 等相关认证;
--复杂供应链或海外站点合规协同经验。
投递