副总裁/副总经理，网络安全（内部、风险与安全）

淡马锡是一家总部位于新加坡的全球投资公司，截至2025年3月31日，其净投资组合价值为4340亿新元（3240亿美元，2990亿欧元，2500亿英镑，和人民币2.35万亿）。将我们的非上市资产按市值计价将提供350亿新元的价值提升，并使我们的按市值计价的净投资组合价值达到4690亿新元。 我们的宗旨“让每一代繁荣昌盛”引导我们为当代和未来的世代做出贡献。 我们以商业原则运作，寻求在长期内实现可持续的回报。 我们在全球9个国家设有13个办事处：亚洲的北京、河内、孟买、上海、深圳和新加坡；以及亚洲以外的布鲁塞尔、伦敦、墨西哥城、纽约、巴黎、旧金山和华盛顿特区。 欲了解更多关于淡马锡的信息，请访问www.temasek.com.sg。 欲了解淡马锡2025年回顾，请访问www.temasekreview.com.sg。 欲了解2025年可持续发展报告，请访问https://www.temasek.com.sg/content/dam/temasek-corporate/sustainability/2025/Temasek-Sustainability-Report-2025.pdf。 简介 企业对技术和人工智能的日益依赖意味着网络安全和IT风险管理在淡马锡内是一个具有战略重要性的职能。网络防御主要是为了阻止外部对手，但对内部活动的可见性和控制有限。对手越来越多地利用内部访问（恶意、疏忽或被妥协）进行间谍活动、数据盗窃和预置。同时，快速的生成式AI采用引入了新的数据泄漏和滥用渠道，需要加强终端用户责任、监督和控制。 该职位直接向首席信息安全官（CISO）汇报，负责在网络安全部门内执行内部风险和安全职能。该职位专注于预防、检测和应对淡马锡及其生态系统中的内部威胁，包括员工、供应商和合作伙伴。 网络安全副总裁/副总裁将领导内部风险计划的发展和持续管理，向淡马锡的首席信息安全官（CISO）汇报。初步重点是建立新团队的战略、运营模式和能力，并通过建立控制和技术能力来推动内部相关风险的可衡量减少。特别是，该职位将支持建立控制机制和计划，以便监控内部活动以及预防和检测内部威胁。还将研究建立结构化流程和机制，以便有效运作内部风险和安全职能，包括与关键业务部门联合审查和调查潜在/恶意的内部活动。 职责 该职位属于淡马锡网络安全部门的内部风险与安全（IRS）职能，直接向淡马锡集团CISO汇报。个人应具备有效项目交付的良好记录，并具备有效的沟通和风险管理技能。他们将有在大型复杂组织中设计、建立和运行内部风险或类似安全计划的经验，并能够在战略和技术操作层面上自如运作。 内部风险战略和计划领导 - 定义并领导淡马锡的内部风险战略，与组织的风险偏好、监管期望和网络安全战略保持一致。 - 设计并实施内部风险运营模式，包括角色和责任、流程、技术堆栈以及与网络安全、风险、人力资源、法律、合规和审计的互动模式。 - 建立并维护涵盖政策、用例开发、监控、检测、响应和补救的内部风险框架和计划。 - 制定多年度计划，发展内部风险能力，明确优先事项、里程碑和基于结果的指标。 - 领导内部风险职能的最终构建和扩展，并发展专业能力。 内部威胁分析和响应 - 为员工、供应商和合作伙伴建立威胁分析和行为监控，以提供更大的内部威胁可见性并实现及时行动。 - 定义并维护内部威胁角色、用例和场景（例如数据盗窃、欺诈、间谍活动、破坏、疏忽数据泄漏、生成式AI滥用），以威胁情报和业务背景为基础。 - 与技术团队合作设计和操作监控和分析能力（例如UEBA、DLP、云安全、终端和身份遥测、特权访问监控），并不断优化检测逻辑以提高覆盖率和减少误报。 - 监督内部风险案件的端到端生命周期，从警报到分类、调查、响应和结案，协调网络安全、人力资源、法律、合规和业务部门。 - 确保对内部事件的及时和适当响应，推动基于风险的方法，区分恶意、疏忽和被妥协的内部人员，并推动根本原因分析以改进控制和流程。 - 评估和减轻与生成式AI和其他新兴技术相关的内部风险，包括数据泄漏、模型滥用和未经批准的工具使用。 - 审查并建立操作授权、程序和指南，以确保内部风险和安全职能的持续有效性。 政策、保证和文化 - 与法律、人力资源、合规和风险合作，制定、审查和维护内部风险政策、标准和指南（例如可接受使用、监控、数据处理、生成式AI使用）。 - 为内部相关案件建立明确的升级路径、决策权和文档标准，并确保活动符合适用法律、法规和内部政策，特别是在隐私、数据保护和雇佣实践方面。 - 根据审计委员会和高级管理层的指示，领导或支持内部风险的内部保证活动，包括目标审查、主题风险评估和深入调查控制有效性，并定期报告姿态、趋势和补救进展。 - 与高级利益相关者建立牢固关系，设计针对不同角色和风险概况的内部风险和安全使用协作和生成式AI工具的定向意识、教育和培训。 - 培养信任、责任和安全意识行为的文化，平衡威慑和透明度，并代表淡马锡参与相关外部论坛和同行网络，以利用行业最佳实践并不断改进计划。 要求 - 计算机科学、信息系统、网络安全、风险管理、法律、心理学、商业或同等学科的学士学位。 - 相关专业认证（例如CISSP、CISM、CISA、CPP、CRISC或同等风险/欺诈证书）是一个额外的优势。 - 8-12年以上网络安全、内部风险、欺诈、安全运营、IT风险管理或相关领域的经验，包括在大型组织中设计或运行复杂安全或风险计划的经验。 - 在内部风险管理、用户行为监控、欺诈分析、安全调查或类似学科方面有可证明的经验。 - 对内部风险计划中常用技术（例如SIEM、UEBA、DLP、EDR/XDR、CASB、身份和访问管理、特权访问监控）有深刻理解，并知道如何将它们整合到有效的监控和响应能力中。 - 熟悉与员工监控、数据保护和跨境数据流相关的法律、隐私、雇佣和道德考虑；有与法律、人力资源和合规密切合作的经验者优先。 - 有领导或监督复杂调查的经验，包括与人力资源、法律、合规以及在相关情况下与外部各方的协调。 - 证明有能力建立新能力和团队，包括定义运营模式、流程和绩效指标。 - 具有强大的分析和问题解决能力，能够使用数据和指标推动决策、衡量影响和识别改进。 - 具备优秀的沟通、影响和利益相关者管理技能，有向高级管理层、治理机构以及理想情况下向审计委员会或董事会汇报的经验。 - 能够以务实、基于风险的方式平衡安全、隐私、文化和运营考虑。 - 具有高度的诚信、谨慎和专业判断能力，能够适当处理敏感和机密信息。