Ø 合规管理办法和管理要求的制定 1. 参考合规要求、国家标准、行业标准等，制定满足合规需求的针对性管理办法及合规基线的制定。 2. 编写数据合规需求分析、现状、风险评估和合规要求的SOA声明 statement of application。 3. 管理办法及运营流程等与各团队进行交流，推进管理办法的同步和审批。 4. 对管理办法进行动态更新和加固，保持行业先进性。 5. 与数据合规供应商进行对接，对合规供应商、合规资质公司能力、产品、方案进行合规一致性评估与引入。 6. 跨团队合作，达成可满足数据合规要求的技术方案设计和落地，对落地的产品和技术进行验证验收。 Ø 数据合规现状分析和风险评估 1. 对数据合规需求对象的防护现状进行了解，识别已有的控制措施，进行调研和分析。 2. 针对数据合规管理的风险评估，识别可能面临的各种风险。 3. 梳理现阶段数据合规管理和策略现状标准度、问题点、脆弱点。 4. 进行威胁分析，识别残余风险，风险评估计算，制定风险评估报告 Ø 安全合规标准化管理 1. 负责车联网、车端安全合规相关标准政策的跟踪、研究。 2. 负责提供相关标准文本及清单给工程运营标准法规团队，以确保企业级法规库完整有效。 3. 识别涉及到的专业领域，并传递信息到职能团队，提供标准法规要求的解读。 4. 制定满足标准的合规管理办法和要求、现状分析和风险评估。 5. 跟踪、推进相关标准合规要求在公司合规建设中的方案设计和落地。 6. 作为安全合规标准专家，参加并推进整车产品涉及信息安全、数据安全的符合性校核，确保整车产品满足法规要求。 7. 负责参加信安标委、信息安全国家准入认证、汽车标准化技术委员会、车联网协会等相应的标准法规工作组，参与相关工作。 Experience: 经验： 5年以上车联网合规经验，有汽车行业工作经验者优先。 对国内外最新的智能汽车网络数据安全合规相关标准、管理办法进行解读、推进标准的转化、落地经验。 对车联网场景下的网络、数据安全、整车安全的需求洞察和分析经验。 制定信息数据合规管理基线和管理办法的经验，涉及个人数据、重要数据的数据合规管理经验。 Competencies: 能力： 数据国内外智能汽车信息数据合规相关标准法规，对汽车相关的安全标准、隐私合规要求有一定了解。熟悉常见的云端一体化车联网安全合规建设。 深入了解WP29、R155 21434 26262等标准，了解CSMS体系建设工作。 信息合规现状分析能力，合规风险评估能力 具备规划设计汽车安全网络、数据、整车安全合规方案的能力。 了解汽车电子系统进行威胁风险评估经验，了解汽车数据脱敏、车载系统、秘钥安全、接口安全、OTA TSP安全、安全启动、域安全、标准合规测试等合规知识。

岗位职责： 1、对核心业务进行应用安全架构设计，能够出具完整的应用安全实施解决方案； 2、安全需求评审、安全代码审计、渗透测试、漏洞应急响应等工作； 3、进行与业务贴近的安全技术研究、安全方案设计、安全产品能力运营等； 任职资格: 1.本科及以上学历，5年以上甲乙方安全从业经验 2.精通软件安全开发生命周期（比如微软SDL或owasp SAMM），熟悉行业主流的安全标准、安全模型、安全解决方案、安全体系； 3.丰富的WEB或移动端安全测试及漏洞挖掘经验（黑盒和白盒），有大型应用项目安全评估经验； 4.安全基础扎实，熟悉漏洞的内在原理、检测方法、利用手段以及对应解决方案； 5.熟练掌握JAVA、Python、Swift中的一种或多种编程语言； 加分项：    1、掌握数据挖掘及机器学习算法技能并有实践经验；    2、SRC核心白帽子或者通用漏洞提报者；

职位职责： 1、针对抖音电商的消费者欺诈风险以及交易中涉及的合规风险开展攻防，挖掘作恶动机和团伙特征，并应用于线上防控识别，进一步制定处置策略、制定整体风险解决方案； 2、有效协同横向团队，整合产品、研发、算法资源，达成业务结果； 3、通过风险指标监控，及时掌握风险及业务的变化，根据实际情况持续优化调整风控方案； 4、根据公司业务方向、行业特性、政策法规等，调动各相关资源对风险进行预判和预防，完善风控体系； 5、负责带领团队从安全、体验、效率等多维度，守住抖音电商整体交易体系的安全。 职位要求： 1、5年以上风控相关工作经验，有数据分析经验，有电商风控，懂算法和安全产品相关经验者优先； 2、熟练掌握数据分析技能，具备一定的数据运营能力； 3、有良好的沟通能力，能与非专业人士沟通风控策略工作，推动项目进展，拿到预期结果； 4、有带团队相关经验，实线或者虚线带人经验均可。

职位职责： 1、对质量指标体系进行追踪、分析，系统化解决人审质量和流程问题，对内容质量结果负责； 2、对接风险治理、体验治理等团队，联动审核侧提升审核质量，减少风险外溢及体验问题； 3、搭建产品能力、数据能力，主动发现质量问题并推动优化； 4、统筹审核质量提升专项，把控项目进度，协调资源达成项目目标。 职位要求： 1、本科及以上学历，3年以上风控运营/质量运营相关经验； 2、熟悉直播业务和玩法，熟悉审核标准、审核机制、队列定位等； 3、目标感强，结果导向，有较好的项目管理、数据分析能力和产品思维； 4、对复杂的事物有判断，抗压性好，具备优秀沟通能力，能够高效地跨团队协作。

高级安全合规工程师/专家 职位描述： 1、获取安全合规资质，包括但不限于：PCI-DSS、ISO27001等； 2、完成监管部门的安全合规、安全审计工作； 3、配合合作伙伴的安全合规、安全审计工作； 4、安全合规咨询，为业务部门提供安全合规咨询，给出合规建议、支持 ； 5、其它安全合规工作，包括但不限于：内部安全合规审计、制定安全策略、安全意识培训等。 任职要求： 1、**本科及以上学历，6年以上安全合规工作经验 2、熟悉安全合规工作，有实际从业经验，如PCI-DSS、ISO27001、GDPR等； 3、熟悉安全标准，对主流安全技术、安全标准等有深入的了解； 4、熟悉常见的安全产品，如FW、IDS、WAF、EDR等； 5、良好的沟通能力、团队协作能力；良好的英文能力。 加分项： 1、有金融公司安全合规经验、海外安全合规经验； 2、具有CISSP、DPO等相关认证；

岗位职责： 1.充分理解公司的业务目标、业务流程和安全需求，制定安全管理&运营规划，及安全管理运营工作的具体实施； 2.安全管理和运营指标体系的建立和量化管理工作； 3.负责公司安全合规组织运营、安全宣传、安全管理相关规章制度增补&优化等日常安全管理运营工作； 4.负责推进公司安全事件体系的标准化建设、应急处置、运营闭环； 5.负责推进数据安全合规治理、数据安全治理工作； 6.其他安全管理与运营工作。 任职资格 职位要求： 1.大学本科或以上学历，计算机科学、信息安全或相关专业； 2.至少五年以上的信息安全管理&运营经验，具有行业认证如CISSP、CISA、CISM等优先； 3.熟悉ISO 27001、SOX、GDPR等国内外的信息安全标准和法规； 4.具备安全相关技术背景，了解各种安全技术和工具，对新的安全威胁与挑战有敏锐的洞察力与应对策略； 5. 擅长组织协调和项目管理，具备优秀的分析与解决问题的能力，同时需要良好的沟通与队协作能力。

岗位职责： 1、负责数据安全管理策略、标准和技术框架制定和建设，并在集团各业务组织和子公司推动落地； 2、负责数据安全防护和运营体系建设，开展数据安全风险的识别和治理，结合业务特点和内外部需求建设数据安全技术能力，并联合业务和IT部门推动落地，开展常态化数据安全运营，监测和_x0008_处置数据安全风险和事件； 2、负责数据合规体系建设，联合法务合规团队，建设满足国内和海外数据合规能力，落实监管要求，支撑业务的拓展。 任职要求 1、大型集团公司和跨国公司数据安全合规和技术实践经验； 2、精通数据全生命周期和多场景(包括但不限于生产网、办公网、大数据等)的数据安全技术和方案； 3、精通数据安全典型技术的原理和使用，如KMS、脱敏、DLP、大数据平台数据安全等。

岗位描述： 1. 负责公司SaaS服务安全体系设计和执行； 2. 负责公司安全攻防能力建设，包括漏洞分析、安全事件响应、后门分析，开发自动化的安全监测和扫描系统； 3. 负责DSL体系建设和最终落地； 4. 执行针对云服务的渗透测试，决策风险评估且给出风险预警及解决方案； 5. 通过技术驱动不断完善完全监控和安全加固。 岗位要求： 1. 大学本科及以上学历，计算机、安全等相关专业； 2. 熟练掌握Java/PHP等至少一种语言，有相关开发经验； 3. 具有三年以上互联网安全经验，熟悉主流的应用攻击原理及防御方案，有渗透测试或攻防产品经验优先； 4. 熟悉云计算的安全策略和安全框架，了解安全行业标准和最新技术发展； 5. 有虚拟化和云平台方面的安全产品项目经验。

1.对公司项目交付中涉及的渗透测试、APP检测、风险评估、安全攻防、应急处置、培训演练等提供安全服务工作支持。（常规有人做，支持和提升工作） 2.研究和分析国际前沿攻击技术与最新技术成果，负责进行各类新型网络安全威胁、攻击趋势和新攻击手法的研究和应急响应方案设计。 3.负责对重大网络攻击事件包括紧急漏洞、服务器入侵、勒索**、恶意代码、黑客攻击等响应处置及追踪溯源。 4.负责带领团队参加省市级及行业级网络安全攻防竞赛活动。 5.负责红队（蓝军）攻击技术深度研究、后渗透阶段利用研究及工程化实现，编写和维护用于安服团队进行安全测试的攻击工具、分析工具、自 动化检测工具及漏洞POC验证工具。 6.负责红蓝对抗等高端渗透支持工作，能独立完成高安全防护条件下渗透测试，帮助各项目组完成漏洞挖掘指标任务； 7.负责组建专家团队，担任导师，根据团队成员的现有技能和团队目标，制定个性化的培养计划，为公司培养网络安全实战型人才。

工作职责： 1、安全评估与漏洞发现：利用各种技术和工具，模拟黑客攻击手段，对目标系统进行全面的安全测试，包括但不限于网络设备、服务器、应用程序、数据库以及Web服务等，以发现潜在的安全漏洞和弱点。 2、规划与执行测试：根据客户需求或内部安全政策，设计渗透测试计划，包括测试范围、目标、方法论以及预期成果。执行测试时，需确保在授权范围内操作，避免对生产环境造成不必要的干扰或损害。 3、漏洞利用与风险分析：一旦发现安全漏洞，渗透测试人员需验证这些漏洞的可利用性，并评估如果漏洞被恶意利用可能造成的风险等级和影响范围，包括数据泄露、系统瘫痪等潜在后果。 4、报告与建议：测试结束后，编写详细的渗透测试报告，总结发现的所有安全问题，包括漏洞描述、影响分析、利用步骤、截图证据以及修复建议。报告需既专业又易于非技术背景的管理层理解。 5、培训与咨询：向开发团队、IT运维人员及管理层提供安全意识培训，讲解渗透测试发现的漏洞类型、安全最佳实践及如何采取措施加强系统安全防护。有时还需就特定安全问题提供专业咨询。 6、持续监控与改进：建议并协助实施安全改进措施后，可能需要进行后续测试以验证漏洞是否已被有效修复，并持续监控系统的安全状态，确保新出现的威胁能得到及时识别和应对。 合规性评估：帮助组织确保其IT系统和流程符合行业安全标准和法律法规要求，如PCI-DSS、GDPR、HIPAA等，通过渗透测试验证合规性。

About the Team Business Security负责Shopee的反欺诈工作，包括客户端安全（如设备指纹）、流量安全（如反爬虫、waf）和业务安全（如促销/cbk/ato欺诈），也负责Sea Money应用安全和日常安全运营，以及数据安全产品和能力（如KMS和审计）建设。 岗位职责 1、负责对Andriod/iOS/h5 进行逆向分析，发现其薄弱点并提供安全加固建议； 2、负责跟进竞品版本迭代，并对比自身能力，提供安全加固建议； 3、负责对Andriod/iOS/h5 反编译、脱壳、加解密算法破解、抓包、数据传输分析、拦截、算法破解等逆向工作； 4、负责某些国家合规监管要求(隐私安全检测)，配合业务部门完成合规工作。 职位要求 - 本科及以上学历，计算机科学或相关专业背景。 - 至少2年以上APP逆向工程经验。 - 精通Android逆向、ARM汇编、python、js逆向、熟悉网络协议，熟悉c/c++与NDK开发; - 熟悉Java、C++、Smali等编程语言。 - 熟悉常见加密解密算法，熟练使用逆向工程和反编译工具包括不仅限于(IDA Pro、Frida、objection、Xposed、JEB、JADX、unidbg)。 - 熟悉 Linux内核、libc标准库的各种函数在内核中的实现、Android ART虚拟机。并能自主修改AOSP源码并制作脱壳机。 - 熟练使用Fiddler，wireshark，charles等抓包工具；熟悉TCP/IP、Http/Https，对SSL证书有一定了解。 【加分项】 1、参与过移动端风控建设工作，对设备指纹有一定研究； 3、参与过大型app逆向，有定制rom经验优先； 3、熟悉现有app加固技术，能够全部还原或部分还原商业加固后的app中的核心逻辑。

安全运营专家-全面风险管理 风险管理体系 职位描述： 1、紧跟政策与业务发展变化，制定适配于阿里1+6+N组织变革后的风险管理体系，建设产品化驱动的机制流程 2、从控股集团和子公司业务视角，进行定期地合规尽责评估、重大风险识别、事后应急响应优化，完善合规尽责体系、风险管理体系、应急管理体系的策略和解决方案，并推动执行 3、与控股集团和子公司相关职能团队合作，持续运行不同层级的全面风险管理组织，建立持续的监督评价机制 4、监督内部和外部发现的各项必要风险，保障重大风险事项及时上报并经过不同层级的全面风险管理组织及时决策，持续跟进落地 职位要求： 1、本科及以上学历，三年以上风险管理工作经验或咨询公司企业经验 2、具有较好的逻辑思维能力，善于思考和总结问题 3、具有优秀的沟通协调能力，能主动推动事项解决 4、敢于接受挑战，能够在压力下工作与自我创新

1、负责业务系统数据安全风险的识别、治理落地、效果验证; 2、负责运营治理体系建设, 基于业务场景定义数据安全标准、 运营策廠、运营流程; 3、负责数据安全域的产品运营、业务线数据安全风险评估,提 由最佳数据安全解决方案: 岗位要求:1、本科以上学历, 网络安全、计算机、数学等相关专业; 2、 熟练使用数据分析工具和大数据平台,如SQL、 spark python等; 3、 具有敏锐的风险意识、数据分析能力、风险挖掘能力, 能 够基于海量数据对潜在的用户风险行为建立分析模型, 工具化 识别风险; 4、 具备优秀的逻辑思考能力、洞察力、自竖力, 善于发现间 题、独立分析解决问题, 并输出体系化的解决方案; 5、 擅长数据安全情报收集、 处理及有价值信息的挖提, 对黑 灰产、内鬼风险行为可洞察分析、技术溯源.

职位描述： 负责阿里云网络安全防护平台和产品研发，直接参与系统设计和核心代码开发。包括但不限于如下方向：云平台边缘/南北/东西向各网络边界处防护网关，海量网络流量的实时采集和分析，防护系统高可靠性/高承载力架构演进，全局策略智能管控调度等。 职位要求： 1.计算机基础扎实，熟悉TCP/IP和HTTP等常见网络协议； 2.精通C/Go等编程语言，有相关大型项目开发经验； 3.对技术有激情，喜欢钻研，良好的学习能力和解决问题的能力； 4.良好的表达、组织、沟通和协作能力；

岗位职责 整体防护能力建设与运营： 负责货拉拉的全面反爬风险控制，包括但不限于服务端API、应用程序、小程序、H5等前端的安全防护。 安全方案研究与规划： 研究行业内先进的反爬安全解决方案，结合公司业务特点，制定和实施长短期的安全策略和建设规划。 数据监控体系建设： 构建和优化数据监控体系，以实现实时风险感知和响应。主动与相关部门协作，确保监控体系的有效运行。 跨部门协调与持续优化： 与安全和业务团队紧密合作，提高反爬的多层防御机制，并不断优化安全运营效率。 岗位要求 学历与经验： 本科及以上学历，拥有3年以上反爬或流量安全领域的实际工作经验。 反爬专业知识： 拥有丰富的反爬对抗经验，对于常见的反爬防御策略（包括前端、API、用户行为分析、产品设计等方面）有深入理解。 风险评估与解决方案制定： 具备出色的风险识别能力和强烈的责任心，能够基于业务需求，评估潜在风险并制定有效的解决策略。 沟通与项目推进： 具备良好的跨部门沟通能力和项目管理能力，能够主动协调各部门，确保安全方案的高效实施。 加分项 大型互联网公司经验： 有在大型互联网公司进行反爬建设和运营的经验者优先考虑。 高强度风控经验： 深入理解并有实际应用各类风险控制措施的经验。 相关领域专长： 具有账号安全、移动安全、数据挖掘算法等相关领域的工作经验者优先。