角色:控制测试员 – 技术控制
概述:执行技术控制的操作有效性测试,涵盖广泛的NIST领域;在多个技术领域中制作高质量的工作文件和发现。
经验:
• 5-8年以上IT审计/控制测试/网络风险经验
• 展示了从头到尾进行测试的经验(演练、抽样、结论)
职责:
• 执行演练,记录控制执行情况,并保持详细的利益相关者互动和信息收集笔记。
• 创建/执行与沟通的方法论一致的测试程序(检查/访谈/测试)。
• 选择样本,评估证据的充分性,并起草例外/发现。
• 支持整改验证和重新测试;并与利益相关者跟踪后续行动。
所需技能/知识:
• 强大的证据评估、抽样判断和工作文件纪律。
• 在3-5个领域具有技术深度(IAM、变更、配置、漏洞/补丁、日志、IR、备份/灾难恢复、云)。
• 清晰的写作(标准/条件/原因/影响)和利益相关者管理。
我们希望团队在以下技术和网络安全主题中具有一定的技术深度和覆盖范围:
• 资产管理
• 业务连续性和灾难恢复(BC/DR)
• 配置和变更管理
• 治理、风险和合规
• 加密和密钥管理
• 终端安全
• 人员安全和人力资源控制
• 身份、认证和访问管理(IAAM)
• 事件响应
• 安全监控、日志记录和分析
• 网络和外围安全
• 物理和环境安全
• 资源和容量管理
• 安全意识和培训
• 安全工程和SDLC
• 供应链和第三方风险
• 威胁和漏洞管理
