هل ترغب في أن تُسمع صوتك وتُحتسب أفعالك؟

اكتشف فرصتك مع مجموعة ميتسوبيشي يو إف جي المالية (MUFG)، واحدة من المجموعات المالية الرائدة في العالم. نحن 150,000 زميل حول العالم، نسعى لإحداث فرق لكل عميل ومنظمة ومجتمع نخدمه. نحن نؤمن بقيمنا، نبني علاقات طويلة الأمد، نخدم المجتمع، ونعزز النمو المشترك والمستدام لعالم أفضل.

مع رؤية أن نكون المجموعة المالية الأكثر موثوقية في العالم، من ثقافتنا أن نضع الناس أولاً، نستمع إلى أفكار جديدة ومتنوعة ونتعاون نحو ابتكار أكبر وسرعة ومرونة. هذا يعني الاستثمار في المواهب والتقنيات والأدوات التي تمكنك من امتلاك مسيرتك المهنية.

في MUFG، حيث يُتوقع الإلهام ويُكافأ التأثير المعنوي.

ملخص الوظيفة: هذه الوظيفة هي عضو في فريق CISO لأمريكا ضمن وظيفة الأمن السيبراني GRC وتكون مسؤولة عن تنفيذ اختبارات التحكم المستقلة، وتقييمات التحكم، وأنشطة التحقق عبر البيئات المحلية والسحابية. تقوم الوظيفة بإجراء تقييمات نضج ملف CRI، والتحقق من الضوابط الأمنية الرئيسية المدمجة في دورة حياة تطوير البرمجيات (مثل التصميم الآمن، التكوين الآمن، إدارة الثغرات، وضوابط التغيير/الإصدار)، وتقييم الأدلة لتأكيد تصميم التحكم وفعالية التشغيل. كما تقوم الوظيفة بإجراء تقييمات الأمن السيبراني للجهات الخارجية/الموردين مع التركيز على التحقق من الضوابط وتوثيق نتائج الاختبار.

المسؤوليات الأساسية:

• تخطيط وتحديد نطاق التقييم: تخطيط وتنفيذ اختبارات التحكم من خلال تحديد النطاق، نهج الاختبار، العينة، ومتطلبات الأدلة للبيئات المحلية والسحابية.

  
  

• اختبار والتحقق من التحكم (محلي وسحابي): اختبار تصميم التحكم وفعالية التشغيل باستخدام إجراءات قائمة على الأدلة (مثل الجولات، الاستفسارات، الفحص، المراقبة، وإعادة الأداء) عبر الهوية، الشبكة، نقطة النهاية/الخادم، حماية البيانات، التسجيل/المراقبة، إدارة الثغرات، وإدارة التكوين/التغيير لكل من المنصات المحلية والسحابية.

  
  

• تقييمات نضج ملف CRI: إجراء تقييمات نضج ملف CRI من خلال رسم الضوابط إلى متطلبات CRI، تقييم الأدلة، تحديد تصنيفات النضج، وتوثيق الفجوات وفرص التحسين.

  
  

• تقييمات التحكم للجهات الخارجية/الموردين: إجراء تقييمات الأمن السيبراني للجهات الخارجية/الموردين مع التركيز على التحقق من تصميم التحكم وفعالية التشغيل من خلال الاستبيانات، المقابلات، ومراجعة الأدلة (مثل تقارير SOC، السياسات/المعايير، الإجراءات، نتائج الاختبار) وتوثيق استنتاجات الاختبار والمخاطر المتبقية.

  
  

• التحقق من ضوابط دورة حياة تطوير البرمجيات: التحقق من فعالية الضوابط الأمنية المدمجة في دورة حياة تطوير البرمجيات من خلال اختبار التصميم الآمن ونمذجة التهديدات، فحص الكود والاعتماد، ضوابط البناء/الإصدار، إدارة التغيير، SLAs لمعالجة الثغرات، ومعالجة الاستثناءات عبر خطوط تسليم محلية وسحابية.

  
  

• توثيق التقييم والتقارير: إنتاج أوراق عمل تقييم عالية الجودة، نصوص اختبار، ونتائج مكتوبة تصف بوضوح النطاق، الإجراءات المنفذة، الأدلة التي تمت مراجعتها، الاستثناءات المحددة، والاستنتاجات النهائية. التواصل بالنتائج من خلال التقارير الرسمية، بما في ذلك تصنيفات المخاطر، فجوات التحكم، وإجراءات التصحيح المطلوبة.

  
  

• التحقق من التصحيح (إعادة الاختبار): التحقق من إغلاق نتائج التقييم من خلال إعادة اختبار الضوابط التي تم تصحيحها والتأكد من أن الإجراءات التصحيحية تعالج بشكل كافٍ أوجه القصور المحددة في التحكم.

  
  

المتطلبات:

• الخبرة: 8-12 سنة من الخبرة في إدارة المخاطر، الأمن المعلوماتي، مخاطر التكنولوجيا، تدقيق تكنولوجيا المعلومات، أو عمليات تكنولوجيا المعلومات، مع خبرة مثبتة في تقييم تصميم التحكم وفعالية التشغيل. الخبرة السابقة في التدقيق/الضمان تعتبر ميزة.

  
  

• عمق فني هجين (محلي وسحابي): القدرة المثبتة على اختبار والتحقق من الضوابط عبر البنية التحتية المحلية (الشبكات، الخوادم، نقاط النهاية، منصات الهوية) والبيئات السحابية، بما في ذلك الخدمات السحابية الأصلية ونماذج التحكم ذات المسؤولية المشتركة.

  
  

• خبرة تقييم الجهات الخارجية/الموردين: خبرة في إجراء تقييمات مخاطر الأمن السيبراني للجهات الخارجية، بما في ذلك جمع الأدلة والمراجعة، رسم الضوابط إلى المعايير (مثل NIST، CIS، ISO)، تصنيف المخاطر، توثيق القضايا، وتتبع التصحيح.

  
  

• خبرة في ملف CRI: خبرة في إجراء تقييمات ملف CRI و/أو تقييمات النضج، بما في ذلك رسم الضوابط، التحقق من الأدلة، وتسجيل النضج.

  
  

• التوثيق وأوراق العمل: خبرة في إنتاج وثائق تقييم واضحة (أوراق العمل)، سرد العمليات/التحكم، نصوص الاختبار، وبيانات القضايا التي تدعم تصنيفات المخاطر وخطط التصحيح.

  
  

• المعرفة باللوائح والخدمات المالية: معرفة باللوائح المصرفية والخصوصية ذات الصلة وتوقعات الإشراف (مثل FFIEC، OCC، FRB، بازل، GDPR، إلخ)، بما في ذلك التوقعات لإدارة مخاطر التكنولوجيا، حوكمة الأمن السيبراني، والإشراف على الجهات الخارجية ضمن المؤسسات المالية الخاضعة للتنظيم.

  
  

• ضوابط دورة حياة تطوير البرمجيات/الهندسة الآمنة: خبرة في التحقق من فعالية ضوابط دورة حياة تطوير البرمجيات (مثل التصميم الآمن/نموذج التهديد، SAST/DAST، فحص الاعتماد، ضوابط البناء والإصدار CI/CD، إدارة التغيير، معالجة الثغرات، والاستثناءات/الإعفاءات).

  
  

• الشهادات: شهادات مهنية مثل CISSP، CISM، CRISC، CISA، CGEIT، أو شهادات أمان سحابية (مثل CCSK/CCAK أو ما يعادلها). تعتبر مؤهلات مخاطر الموردين/الجهات الخارجية أو التدقيق/الضمان ميزة.

  
  

التعليم:

درجة البكالوريوس في الأمن المعلوماتي، علوم الكمبيوتر، نظم المعلومات، أو تخصص ذو صلة وثيقة (أو خبرة ذات صلة مكافئة).

تعتبر مجموعة ميتسوبيشي يو إف جي المالية (MUFG) صاحب عمل يتيح الفرص المتساوية. نحن نرى موظفينا كأصول رئيسية لدينا حيث أنهم أساسيون لنموّنا ونجاحنا على المدى الطويل. تلتزم MUFG بالتوظيف بناءً على الجدارة والتوافق التنظيمي، بغض النظر عن العرق أو الدين أو الجنس.