这位网络安全总监将领导并实施网络安全策略,覆盖一个多元化且分散的企业。这是一个适合经验丰富的网络安全领导者的实操型领导角色,该领导者需具备提升项目成熟度、建立流程纪律以及推动多个业务单元之间协同的经验。
向IT副总裁汇报,网络安全总监将负责建立和扩展现代网络安全项目——从政策制定和风险管理到安全运营和合规性。成功的候选人将带来一种务实的、与业务对齐的网络安全方法,同时倡导在整个企业中采用零信任架构。
主要职责
项目开发与执行
- 在具有不同成熟度和技术采用水平的多业务单元企业中建立和实施基础网络安全项目。
- 建立核心流程、治理模型和控制措施,以推动组织内的一致性和可见性。
- 制定可操作的短期、中期和长期网络安全计划路线图,包括工具、流程和能力开发。
零信任策略与实施
- 领导零信任原则的评估和分阶段实施,包括身份、设备、应用程序和网络安全。
- 与IT和业务单元团队合作,现代化访问控制、分段和认证机制。
安全运营
- 建立并领导安全运营流程,包括监控、威胁检测、事件响应和漏洞管理。
- 监督或与供应商合作提供SIEM、端点保护、渗透测试和事件响应服务。
- 管理网络安全工具、警报和事件处理的日常运营执行。
治理、风险与合规
- 制定和执行符合监管框架(如NIST、SOX、CMMC)的网络安全政策、标准和程序。
- 在各业务单元进行安全风险评估并协调补救措施。
- 支持内部和外部审计,确保控制文档和证据的维护。
业务合作与支持
- 与IT、法律、合规、人力资源和运营领导紧密合作,确保网络安全支持业务运营,而不是阻碍它们。
- 作为业务单元IT负责人的可信顾问,帮助他们实施一致的安全实践而不干扰工作流程。
- 领导公司范围内的安全意识和培训工作。
供应商与工具管理
- 评估并推荐网络安全工具和服务提供商,以支持运营效率和战略目标。
- 管理与MSSP和其他第三方供应商的现有关系。
资格
- 8-12年以上网络安全经验,至少3-5年在中大型企业环境中领导安全项目的经验。
- 在去中心化或多实体环境中建立或显著提升网络安全功能的经验。
- 对零信任概念有深刻理解,并能在传统和现代IT环境中实施。
- 具备使用Tenable、LogRhythm、SentinelOne、Microsoft Defender、Abnormal Security和Varonis等领先安全平台和工具的经验者优先。
- 对安全框架(如NIST CSF、ISO 27001、CMMC)有深入了解。
- 有管理或监督安全运营(包括检测、响应和漏洞管理)的经验。
- 具备在技术和业务受众间有效沟通和协作的能力。
- 需具备信息安全、计算机科学或相关领域的学士学位;高级学位或MBA优先。
- 强烈推荐拥有CISSP、CISM或类似行业认证。
