职位描述
本站申请链接
offer要求
- 开发功能和技术要求;担任信息系统安全问题的 POC;
- 编写和更新报告,确保本单位符合授权的内部和外部安全报告要求,包括《联邦信息安全现代化法案》(FISMA)和资本规划;
- 通过评估系统环境的安全要求和控制措施,与机构 IT 项目经理协调安全计划和系统要素,包括
- 管理安全控制,以确保信息的保密性、完整性和可用性;
- 将安全纳入系统开发流程,并定义安全规范,以支持新系统的采购;
- 支持系统所有者或项目官员审查系统采购申请,以确保安全已得到考虑并包括在内;
- 遵守并实施系统安全控制,确保使用身份验证技术、加密、防火墙和访问控制来保护敏感但未分类 (SBU) 的信息;
- 完成安全评估;
- 协助评估和授权流程;
- 创建和/或更新系统安全计划和其他 ATO 文档;
- 在所有系统的风险评估中担任顾问,并减少漏洞;
- 坚持持续监控实践,确保在 IT 系统的整个生命周期内保持安全控制;
- 协助系统所有者开发、测试和维护应急计划、备份和存储程序;
- 根据组织标准记录所有程序;
- 审计和监控应用程序、系统和安全日志,以发现安全威胁、漏洞和可疑活动;向机构事件协调员报告可疑活动;
- 监控和协调所有单位系统的补丁管理和扫描技术;参与识别和减少所有系统漏洞;
- 支持和促进安全意识、培训和教育计划;以及
- 根据要求协助信息系统安全经理 (ISSM) 或 CISO 履行任何其他安全相关职责。
offer待遇
- 公共信任
- 5-8 年作为 ISSO 直接支持联邦组织网络安全计划的经验。
- 具有起草 FISMA 相关工件的经验,这些工件包括:系统安全计划、事件响应计划、配置管理计划、FIPS 199、数字身份风险评估、安全影响分析、应急计划、安全评估计划和报告、行动计划和里程碑 (POA&M) 以及培训材料。
- 具有将 NIST 特别出版物应用于信息系统的经验。
- 具有对安全控制措施进行信息系统持续监控的经验,以确保这些措施继续得到正确实施,按照预期运行,并在满足安全要求方面产生预期结果。
- 了解网络安全工具,如Tenable、Qualys、治理风险合规 (GRC) 工具(如 Xacta、eMass 或 CSAM 等)。
- 具有参与安全评估和/或审计的经验。