security arch.

KEY ACCOUNTABILITIES 

1. 集团信息安全架构设计与治理体系建设
  1.1 主导集团信息安全整体架构设计，覆盖网络安全、应用安全、数据安全、终端安全、身份与访问管理（IAM）、云安全等模块。
  1.2 建立并持续优化信息安全治理体系架构（Security Governance Framework），明确组织、流程、制度、技术的协同关系。
  1.3 推动集团核心系统安全能力嵌入式建设（如SAP、OA、Power BI等），确保安全架构与业务架构深度融合。
2. ISO27001 等信息安全认证推进
  2.1 全面负责集团ISO27001认证推进工作，包括现状差距评估、制度建设、风险管理体系搭建与认证组织协调。
  2.2 编写相关制度文件与控制措施（如信息安全方针、风险评估机制、访问控制策略、事件响应流程等）。
  2.3 协调资产公司安全专家开展认证准备、内部审核、持续改进机制建设。
3. 信息安全现状评估与改进建议
  3.1 定期开展信息安全风险评估与成熟度分析，识别集团安全短板，输出整改建议与跟踪机制。
  3.2 设计与推动集团信息安全基线检查与资产公司安全能力评估体系。
  3.3 监测行业安全态势，结合漏洞情报与攻击趋势，动态调整安全防护重点。
4. 安全战略制定与规划落地
  4.1 制定集团年度与中长期信息安全战略，明确优先级、安全目标与能力建设路径。
  4.2 与IT治理团队协作，将安全控制措施嵌入IT流程、开发生命周期、IT运维规范等全流程。
5. 安全标准与落地支撑
  5.1 建立并维护集团信息安全标准体系，涵盖设备、系统、数据、人员等多维度，推动各资产公司执行落地。
  5.2 为项目评审、系统上线、第三方接入提供安全评估意见，确保“安全前置”。

QUALIFICATIONS，EXPERIENCE & SKILLS 

1. 教育背景与经验
  1.1 本科及以上学历，信息安全、计算机科学、网络安全、信息系统管理等相关专业；
  1.2 至少6年以上企业信息安全相关经验，其中3年以上安全架构、治理体系设计、或认证体系推动经验；
  1.3 有大型集团、多地部署或能源/制造类企业背景者优先。
2. 专业技能
  2.1 熟悉ISO/IEC 27001、NIST CSF、CIS Controls、GDPR、等保2.0等主流安全标准与框架；
  2.2 熟悉信息安全管理体系设计与运营，包括安全策略、安全风险管理、安全事件响应、业务连续性等模块；
  2.3 理解信息安全在IT系统架构中的作用，能评估如SAP、云平台、网络架构、工控环境中的安全问题； ...