信息安全工程师员工职责.pdf

信息安全⼯程师

运维安全
【运维⼯程师，DBA，
系统审计⼯程师，系统安全⼯程师】

部⻔职能：公司的数字化资产的管理，应⽤系统的运维，⼯具软件的管控，⽤⼾权限的管

理，根据RTO/RPO的指标要求完成相应的系统部署环境运维⽅案设计。在架构师的指导下

完成DevOps体系的搭建，执⾏公司定制的SLA指标。构建安全⽅案，针对开发、测试、⽣

产环境的⽹络安全，应⽤安全，数据安全进⾏管理。定例化处理安全检测，安全防护的⼯

作，形成安全监测和半年度/年度安全报告。完成系统资源的分配，管理。完成数据库的监

控，设计合理的数据库部署⽅式决定及DML/DDL的调优⼯作，保证数据的及时性，⼀致

性。

信息安全⼯程师⼯作职责

1.⾸⽉⼯作完成系统资产统计，并对相应资产进⾏初步的安全评估；

2.负责公司内部产品系统及各应⽤的安全测试及⻛险评估，出具评估报告，对安全隐患和漏洞⻛险

提出解决建议，完成系统渗透测试⼯作；

3.安全测试流程化，⽇常迭代发版上线前2-3天进⾏安全检测，并输出安全技术指导说明书（包括测

试项、检测⽅法和整改意⻅等），主要针对业务逻辑漏洞、越权、SQL注⼊等相关安全⻛险进⾏

测试，针对安全⻛险跟进处理，达到验收标准后可上线；

4.定期对公司内部代码进⾏泄露扫描，并输出对应结果。增加代码审计（条件满⾜情况下开始）实

现⽉度抽测等；

5.负责三级等保相关⼯作及测评对接，跟进等保测评安全事项的整改情况，逐步落实三级等保相关

安全规范及制度；

6.负责安全设备运营维护，安全设备巡检，安全事件处置，安全数据汇总分析，规则配置，⼚商对

接等⼯作，实现⽇、周巡检；

7.主导系统安全测试领域技术的研究和落地，⽀撑产品系统安全能⼒提升，做好安全体系建设初步

实施⼯作。

对以上输出的所有内容应做到严格必威体育官网网址，禁⽌在公⽹上随意传输相关涉密及输出的报告⽂档，所有敏

感⽂档应加密传输，密码通过单独渠道发送。

安全体系建设初步实施⼯作

计划⽬标
具体⼯作
计划时间

资产统计
1、外⽹暴露资对外⽹暴露资产进⾏信息收集，收集后对⾮必要开放资产4⽉6⽇-4⽉15⽇

（最⼩化产收集
进⾏暴露⾯收缩。

攻击⾯）

2、内⽹系统资对内⽹现有系统资产进⾏统计，统计后筛查对应资产版本4⽉18⽇-4⽉29⽇

产统计
是否存在漏洞。

3、内外⽹资产统计好内外⽹资产之后对外⽹缩⼩暴露⾯，对内⽹筛查安5⽉5⽇-5⽉18号

整合加强安全系全隐患，如默认⼝令未更改，弱⼝令等问题。

数

安全测试1、⿊盒扫描
对已上线平台和产品每⽉进⾏⼀次动态应⽤安全测试⿊盒每⽉⼀次，对应⼯具

流程化
扫描。
待确定

2、⽩盒扫描
对研发完成之后要上线的最终版本产品源代码进⾏静态应对应流程及⼯具待确

⽤安全测试⽩盒扫描。
定

3、⼈⼯渗透
1、
常规迭代发版测试
1、跟随业务发版上

2、⽉度渗透测试
线检测

2、每⽉⼀次

设备运维
1、


设备运营维安全设备巡检，安全事件处置，安全数据汇总分析，规则⽇、周巡检

护，规则配置、配置，⼚商对接

供应商对接

权限管理
1、最⼩化权限对各系统应⽤、数据库进⾏权限划分管理，如审计管理员

原则
不可超过审计权限范，以便达到