概述：

控制測試專家 - IT 和網絡安全負責控制測試活動的規劃、執行和報告，以確保 IT 和網絡安全控制的有效性。此角色專注於驗證系統、流程和技術是否按預期運行，以減輕風險並遵守相關法規和標準。專家需要與 IT、資訊安全、數據治理和合規團隊密切合作，確定控制差距、評估漏洞，並提供修復建議。

你將要進行的工作：

合規性測試策略：

• 協助制定和實施與行業標準（例如 ISO 27001，PCI DSS）和監管要求（例如與 IT 風險和網絡安全相關的 BSP 通函）對齊的基於風險的 IT 和網絡安全控制測試策略。
• 支持根據風險評估、漏洞掃描、滲透測試結果以及威脅環境的變化設計和更新測試計劃。

測試與監控：

• 執行 IT 基礎設施、應用程序、數據安全、訪問控制、事件響應和其他網絡安全領域的全面控制測試程序。
• 進行技術評估，包括漏洞掃描、配置審查和日誌分析，以識別控制弱點和漏洞。
• 評估安全工具和技術的有效性，例如防火牆、入侵檢測系統和安全信息及事件管理 (SIEM) 系統。
• 對業務持續性和災難恢復計劃進行測試，重點關注 IT 和網絡安全方面。
• 記錄測試結果和證據，確保可追溯性和準確性。

報告與文檔：

• 準備詳細的控制測試報告，記錄發現、評估和建議的修復措施。
• 向 IT、資訊安全和合規團隊呈現發現，突出控制缺陷和潛在風險。
• 維護測試程序、結果和修復計劃的準確和最新的文檔。

風險與法規意識：

• 保持對新興 IT 和網絡安全威脅、漏洞和監管變更的了解。
• 評估新技術和安全趨勢對組織控制環境的影響。
• 確保測試活動符合相關的法規要求和行業標準。

持續改進：

• 與 IT 和資訊安全團隊合作，加強組織的控制框架和測試流程。
• 實施過去測試活動中學到的經驗教訓，以改進未來的評估。
• 貢獻於安全政策、標準和程序的制定和維護。

持份者參與：

• 與 IT、資訊安全和合規團隊密切合作，以協調測試活動並解決已識別的問題。
• 支持內部和外部審計，提供控制測試結果的證據和解釋。
• 與 Maya 菲律賓的 IT 和資訊安全團隊協調進行 One Maya IT 和網絡安全的控制測試活動。

我們在尋找什麼：

• 相關證書（例如 CISSP、CISA、CEH、CompTIA Security+）是非常可取的。
• 2-4 年 IT 和網絡安全控制測試、審計或風險管理的相關經驗。
• 具備安全工具和技術的經驗，例如漏洞掃描器、滲透測試工具和 SIEM 系統。
• 熟悉常見作業系統、數據庫和網絡協議。熟悉 AI 會是一個優勢。

請參考職位描述。