商业信息安全经理

您是否有兴趣管理一个团队，与技术领导者和支持的业务领域合作，为一家财富200强公司提供思想领导力和广泛的商业战略目标的信息安全指导？如果是这样，那我们正在找您！


我们目前正在寻找一位高度积极和合格的个人，加入我们在弗吉尼亚州里士满的IT风险管理团队，担任业务信息安全经理 - BISM。成功的候选人将在这个角色中支持各种业务服务和运营公司。我们对远程工作安排持开放态度。


职责包括：
• 代表首席信息安全官（CISO）与Altria的业务线和/或运营公司合作，提供全面的风险评估和缓解策略，以改善公司的整体网络安全态势。
• 管理业务信息安全官（BISO）团队，提供全面的网络服务，以提高企业内风险理解和网络策略（例如公司风险指标）。
• 制定和管理策略以及质量控制，定期向业务高管简报网络安全威胁、倡议和开放风险。管理BISO期望，作为联络人收集支持业务线内的技术策略信息。
• 解释信息安全政策、标准（例如NIST、CIS、OWASP等），以及其他特定内部信息系统的要求，并协助实施这些和其他信息安全要求。
• 支持BISOs在提供业务和技术建议方面，涉及各种IT风险问题、关注点、问题和项目，确保所有业务流程都包含充分信息安全。
• 向技术和系统所有者以及关键业务合作伙伴制定和提出安全和合规要求，以支持业务领域倡议。
• 为用户提供选择技术产品的安全指导，以及这些产品的持续集成和改进。
• 评估和鉴定与第三方服务提供商相关的风险，并支持供应商风险管理计划，包括推动发现问题的整改和支持合同谈判。
• 为威胁和漏洞管理计划提供支持，包括Web应用程序安全、内部IT环境和基于云的基础设施，通过报告支持有效的漏洞管理，推动风险洞察。
• 作为定期信息系统和应用程序风险评估的技术领导者，包括与开发新的或显著改进的业务应用程序相关的那些。
• 监控当前和拟议的法律、法规、行业标准和与IT风险、信息安全和隐私相关的道德要求。
• 支持内部安全评估和公司审计评估，包括积极参与高风险可审计领域、风险管理和审计发现的整改，以及持续的信息安全治理。
• 确保BISOs作为他们支持的业务线中的技术运营的专家，与支持这些系统的IT专业人员建立牢固的工作关系，并支持有效的事件响应。


关键资格：
• 计算机科学、信息系统、工程或相关学科的学士学位
• 10年以上的IT经验，其中6年以上在IT风险或信息安全角色中。
• 对IT技术、操作系统、应用平台和新兴技术的广泛知识。
• 对IT信息安全基础、风险评估和风险管理基础、深度防御实践、现代网络技术和IT安全控制的详细理解。
• 敏捷开发实践（例如SecDevOps）
• 支付卡行业数据安全标准（PCI DSS）合规
• NIST安全控制框架，包括NIST网络安全框架
• 出色的口头和书面沟通能力及人际交往能力。
• 希望拥有认证信息系统安全专业人员（CISSP）、认证信息系统安全经理（CISM）、风险和信息系统控制认证（CRISC）或类似认证。