ICT Risk Management Senior Specialist

İşin təsviri

Your main job responsibilities:

• Develop and Implement information security audit processes for application software/networks/systems and oversee ongoing audits to ensure that operational processes and procedures are in compliance with organizational and mandatory secuirty requirements and accurately followed by Systems Administrators and other cybersecurity staff when performing their day-to-day activities
• Develop methods to monitor and measure risk, compliance, and assurance efforts
• Oversees, evaluates, and supports the documentation, validation, and accreditation processes necessary to ensure new and existing information technology (IT) systems meet the organization’s information security requirements. Ensures appropriate treatment of risk, compliance, and monitoring assurance from internal and external perspectives
• Develop and document supply chain risks for critical system elements, as appropriate
• Participate in the acquisition process as necessary, following appropriate supply chain risk management practices
• Provide enterprise information security and supply chain risk management guidance for development of the Continuity of Operations Plans
• Interpret patterns of non-compliance to determine their impact on the enterprise's levels of risk and/or the information security program's overall effectiveness
• Participate in Risk Governance process to provide security risks, mitigations, and input on other technical risk
• Draft and publish security policy
• Document and manage an enterprise technical risk register prioritizing and managing technical risks throughout the system lifecycle
• Perform security reviews, identify gaps in security architecture, and develop a security risk management plan
• Provide input to the Risk Management Framework (RMF) process activities and related documentation (e.g., system lifecycle support plans, concept of operations, operational procedures, and maintenance training materials)
• Develops, plans, coordinates, delivers, and/or evaluates instructional cybersecurity content using various formats, techniques, and venues

Your job requirements:

• Minimum Bachelor’s Degree in Information Technology, Computer Science, Information Security or Applied Mathematic  or at least 3 year experience in Information Security
• Knowledge of cryptography and cryptographic key management concepts.
• Knowledge of known vulnerabilities from alerts, advisories, errata, and bulletins.
• Knowledge of information security principles and organizational requirements to protect confidentiality, integrity, availability, authenticity, and non-repudiation of information and data.
• Knowledge of Risk Management Framework (RMF) requirements.
• Knowledge of current industry methods for evaluating, implementing, and disseminating information security assessment, monitoring, detection, and remediation tools and procedures, utilizing standards-based concepts, and capabilities.
• Knowledge of system diagnostic tools and fault identification techniques.
• Skill in identifying measures or indicators of system performance and the actions needed to improve or correct performance, relative to the goals of the system.
• Knowledge of Personally Identifiable Information (PII) data security standards.
• Knowledge of applicable laws (e.g., Electronic Communications Privacy Act, Foreign Intelligence Surveillance Act, Protect America Act, GDPR), Azerbaijan Law of Privacy, Presidential Directives, executive branch guidelines, and/or administrative/criminal legal guidelines and procedures relevant to work performed.
• Knowledge of information technology supply chain security and risk management policies, requirements, and procedures.
• Knowledge of local specialized system requirements (e.g., critical infrastructure systems that may not use standard information technology [IT]) for safety, performance, and reliability.
• Skill in evaluating the trustworthiness of the supplier and/or product.
• Knowledge of relevant laws, policies, procedures, or governance related to work impacting critical infrastructure.
• Knowledge of network security architecture concepts, including topology, protocols, components, and principles (e.g., application of defense-in-depth).
• Knowledge of security architecture concepts and enterprise architecture reference models (e.g., Zackman, Federal Enterprise Architecture [FEA]).
• Knowledge of an organization's information classification program and procedures for level information loss.
• 3+ years’ experience in Information Technologies, Telecommunication or İnformation Security sphere
• Knowledge of Languages: English (fluent), Azerbaijani (fluent), Russian (intermediate)
• Microsoft Office skills
• Information Security Organization and Technologies
• Enterprise Systems and Networks
• Telecommunication Systems and Networks
• International certifications in Information Security such as CISSP, CEH, CISA, CISM, CCNP Security are desirable

Applications will be reviewed against position requirements and only shortlisted candidates will be contacted.

Sizin əsas vəzifə öhdəlikləriniz:

• Tətbiq proqramı / şəbəkələri / sistemləri üçün İnformasiya Təhlükəsizliyi Audit Prosesləri hazırlamaq və həyata keçirmək və Əməliyyat proseslərinin və prosedurlarının təşkilati və məcburi qəbul edilmiş tələblərə uyğun olmasını təmin etmək üçün yoxlamaları və gündəlik fəaliyyətlərini yerinə yetirərkən sistem idarəçiləri və digər kiber təhlükəsizlik işçiləri tərəfindən dəqiq nəzarətə götürmək
• Risk, uyğunluq və zəmanət səylərini izləmək və ölçmək üsullarını inkişaf etdirmək
• Yeni və mövcud informasiya texnologiyaları sistemlərinin (İT) müəssisənin informasiya təhlükəsizliyi tələblərinə cavab verməsi üçün lazım olan sənədlərin, təsdiqləmə və akkreditasiya proseslərini nəzarətə götürmək, təsdiqləmək və dəstəkləmək. Daxili və xarici perspektivlərdən risk, uyğunluq və izləmə təminatının müvafiq müalicəsini təmin edir
• Kritik sistem elementləri üçün təchizat zəncirinə bağlı riskləri hazırlamaq və sənədləşdirmək
• Zəruri hallarda satılma prosesində iştirak etmək, müvafiq təchizatı zəncirinin riskinin idarə edilməsi təcrübələrini izləmək
• Davamlı Əməliyyat Planını inkişaf etdirmək məqsədilə müəssisənin informasiya təhlükəsizliyinin təşkilində iştirak etmək və təchizat zənciri üzrə risklərin idarə edilməsi qaydalarını müəyyən etmək
• Müəssisə risk səviyyəsinə və / və ya informasiya təhlükəsizliyi proqramının ümumi effektivliyinə təsirlərini müəyyənləşdirmək üçün uyğunluq nümunələrini şərh etmək
• Təhlükəsizlik riskləri, yumşalma və digər texniki riskə giriş təmin etmək üçün risk idarəetmə prosesində iştirak etmək
• Təhlükəsizlik siyasətini hazırlamaq və yayımlamaq
• Sistemin ömrü boyu texniki risklərin qeydiyyat prioritetləşdirilməsi və texniki risklərin idarə olunmasını sənədləşdirmək və idarə etmək
• Təhlükəsizlik rəylərini yerinə yetirmək üçün təhlükəsizlik memarlığında boşluqları müəyyənləşdirmək və təhlükəsizlik riskinin idarə edilməsi planını hazırlamaq
• Risklərin idarə edilməsi çərçivə prosesi fəaliyyətinə və əlaqəli sənədlərə giriş təmin etmək. (məs:, sistemin ömrü boyu dəstək planları, əməliyyatlar, əməliyyat prosedurları və texniki xidmət təhsili materialları)
• Müxtəlif formatlardan, texnikalardan və yerlərdən istifadə edərək istiqamətləndirici kiber təhlükəsizlik təlimatların məzmununu inkişaf etdirir, planlaşdırır, koordinatlayır, verir və ya qiymətləndirir

Vəzifənin tələbləri:

• İnformasiya Texnologiyaları, Kompüter Elmləri, İnformasiya Təhlükəsizliyi vəya Tətbiqi Riyaziyyat sahəsi üzrə minimum Bakalavr təhsili və ya İnformasiya Təhlükəsizliyi sahəsində ən azı 3 il iş təcrübəsi
• Kriptoqrafiya və kriptoqrafik açarların idarə edilməsi konsepsiyaları haqqında biliklər.
• Xəbərdarlıqlar, tövsiyələr, səhvlər və bülletenlərdən məlum olan zəifliklər haqqında məlumat.
• Məlumat və məlumatların məxfiliyini, bütövlüyünü, əlçatanlığını, həqiqiliyini və təkzib edilməməsini qorumaq üçün informasiya təhlükəsizliyi prinsipləri və təşkilati tələblər haqqında biliklər.
• Risk İdarəetmə Çərçivəsi (RMF) tələblərini bilmək.
• Standartlara əsaslanan konsepsiyalardan və imkanlardan istifadə etməklə informasiya təhlükəsizliyinin qiymətləndirilməsi, monitorinqi, aşkarlanması və aradan qaldırılması alətləri və prosedurlarının qiymətləndirilməsi, həyata keçirilməsi və yayılması üçün cari sənaye üsulları haqqında biliklər.
• Sistem diaqnostikası alətləri və nasazlıqların müəyyən edilməsi üsulları haqqında biliklər.
• Sistemin məqsədlərinə uyğun olaraq sistemin fəaliyyətinin ölçülərini və ya göstəricilərini və performansı yaxşılaşdırmaq və ya düzəltmək üçün lazım olan tədbirləri müəyyən etmək bacarığı.
• Şəxsi Müəyyənləşdirilə bilən Məlumat (PII) məlumat təhlükəsizliyi standartları haqqında bilik.
• Tətbiq olunan qanunlar (məsələn, Elektron Rabitə Məxfilik Aktı, Xarici Kəşfiyyata Nəzarət Aktı, Amerikanı Qoruma Aktı, GDPR), Azərbaycan Məxfilik Qanunu, Prezident Direktivləri, icra hakimiyyəti təlimatları və/və ya işə aid olan inzibati/cinayət hüquqi təlimatlar və prosedurlar haqqında biliklər
• İnformasiya texnologiyaları təchizat zəncirinin təhlükəsizliyi və risklərin idarə edilməsi siyasətləri, tələbləri və prosedurları haqqında biliklər.
• Təhlükəsizlik, performans və etibarlılıq üçün yerli ixtisaslaşmış sistem tələbləri (məsələn, standart informasiya texnologiyasından [İT] istifadə etməyən kritik infrastruktur sistemləri) bilik.
• Təchizatçı və/və ya məhsulun etibarlılığını qiymətləndirmək bacarığı.
• Kritik infrastruktura təsir edən işlə bağlı müvafiq qanunlar, siyasətlər, prosedurlar və ya idarəetmə haqqında biliklər.
• Şəbəkə təhlükəsizliyi arxitekturası konsepsiyaları, o cümlədən topologiya, protokollar, komponentlər və prinsiplər haqqında biliklər (məsələn, dərindən müdafiənin tətbiqi).
• Təhlükəsizlik memarlığı konsepsiyaları və müəssisə arxitekturasının istinad modelləri (məsələn, Zackman, Federal Enterprise Architecture [FEA]) haqqında biliklər.
• Təşkilatın məlumat təsnifatı proqramı və səviyyəli məlumat itkisi prosedurları haqqında biliklər.
• İnformasiya Texnologiyaları, Telekommunikasiya və ya İnformasiya Təhlükəsizliyi sahəsində 3+ illik təcrübə
• Dil biliyi: İngilis (səlis), Azərbaycan (səlis), Rus (orta)
• Microsoft Office bacarıqları
• İnformasiya Təhlükəsizliyi Təşkilatı və Texnologiyaları
• Müəssisə sistemləri və şəbəkələri
• Telekommunikasiya sistemləri və şəbəkələri
• CISSP, CEH, CISA, CISM, CCNP Security kimi İnformasiya Təhlükəsizliyi üzrə beynəlxalq sertifikatların olması arzuolunandır.

Müraciətlər vakansiyanın tələblərinə əsasən dəyərləndiriləcək və yalnız seçilmiş namizədlərlə əlaqə saxlanılacaqdır.

İşəgötürənin reytinqi

Azerconnect tərəfindən digər vakansiyalar

• Project Manager
• Product and Pricing Expert
• Receptionist
• Sabit xidmətlər əlaqə mərkəzi üzrə təmsilçi
• Senior Tax Accountant