應(yīng)用安全顧問崗位職責(zé)應(yīng)用安全顧問職責(zé)任職要求（2篇范文）

第1篇 應(yīng)用安全顧問崗位職責(zé)應(yīng)用安全顧問職責(zé)任職要求

應(yīng)用安全顧問崗位職責(zé)

安全顧問-應(yīng)用安全方向 具體職責(zé):

?在架構(gòu)、設(shè)計(jì)和評(píng)審階段與開發(fā)團(tuán)隊(duì)緊密合作。

?向開發(fā)團(tuán)隊(duì)提供專業(yè)的安全指導(dǎo)和見解。具體的安全控制領(lǐng)域會(huì)涉及但不限于，安全的數(shù)據(jù)庫訪問，驗(yàn)證方式，會(huì)話管理，加密技術(shù)，權(quán)限設(shè)計(jì)與訪問控制，安全測(cè)試，錯(cuò)誤處理和日志，輸入驗(yàn)證，安全存儲(chǔ)設(shè)計(jì)。

?根據(jù)應(yīng)用系統(tǒng)生命周期安全管理要求，對(duì)所服務(wù)團(tuán)隊(duì)互聯(lián)網(wǎng)系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，提出安全需求，并評(píng)估安全要求不能達(dá)到時(shí)的風(fēng)險(xiǎn)，向項(xiàng)目建議控制措施。;

?與開發(fā)團(tuán)隊(duì)共同討論，確定安全功能設(shè)計(jì)方案，提供方案實(shí)現(xiàn)的具體建議，供開發(fā)團(tuán)隊(duì)實(shí)現(xiàn);

?確定應(yīng)用系統(tǒng)的各階段安全測(cè)試方法、驗(yàn)證方法，準(zhǔn)備測(cè)試用例、工具，組織或?qū)嵤┌踩珳y(cè)試;

?與開發(fā)團(tuán)隊(duì)共同分析測(cè)試中發(fā)現(xiàn)的問題，提出建議，督促及時(shí)整改;

?向開發(fā)團(tuán)隊(duì)傳授專業(yè)安全知識(shí)和技能;

?歸納總結(jié)開發(fā)中遇到的經(jīng)驗(yàn)和教訓(xùn)，形成一致的安全標(biāo)準(zhǔn)、安全功能模塊，提高開發(fā)安全的保障水平。

?針對(duì)已使用技術(shù)和新技術(shù)，創(chuàng)建開發(fā)安全相關(guān)的規(guī)范、指引和實(shí)踐文檔。

?識(shí)別安全開發(fā)生命周期框架中需要改進(jìn)和落實(shí)的領(lǐng)域，以進(jìn)一步完善安全開發(fā)實(shí)踐和紀(jì)律，逐步建立安全的程序庫供開發(fā)人員使用。

?與其他安全顧問溝通和協(xié)作，相互支持，一致地優(yōu)化安全實(shí)踐。

技能要求:

軟性技能:

?與人交互和影響的技能非常重要，該崗位需要與項(xiàng)目、開發(fā)團(tuán)隊(duì)緊密協(xié)作，并能夠?qū)Ω淖兒蜎Q策產(chǎn)生積極影響。

?口語、書面表達(dá)和溝通技能。

開發(fā)經(jīng)驗(yàn):

?架構(gòu)/實(shí)施:理想的候選人需要具備架構(gòu)和實(shí)施(開發(fā))企業(yè)級(jí)應(yīng)用的經(jīng)驗(yàn)，并在組織中擔(dān)當(dāng)過it崗位。

?軟件開發(fā):這個(gè)崗位不是日常的程序開發(fā)崗位，成功的候選人應(yīng)具備在商業(yè)環(huán)境下程序開發(fā)的經(jīng)驗(yàn)，尤其偏重于大型web應(yīng)用開發(fā)項(xiàng)目。這需要掌握開發(fā)生命周期(sdlc)的知識(shí)和web安全的實(shí)踐(如owasp實(shí)踐集)。

?編程語言:理想的候選人應(yīng)具備在實(shí)踐中使用不止一種開發(fā)語言的能力，如java， html5，perl， c/c++， c#， python。

?深入了解web技術(shù)和框架，如javascript， jsp/servlet/ejb， asp.net， php， http/http， cookies， ajax， flex/silverlight。

?移動(dòng)平臺(tái):熟悉ios和安卓平臺(tái)下的開發(fā)。

安全經(jīng)驗(yàn):

?了解通常的應(yīng)用層安全漏洞，能夠可以向開發(fā)人員講解漏洞的原理，風(fēng)險(xiǎn)和相應(yīng)的控制。熟悉、實(shí)踐過主流應(yīng)用安全實(shí)踐集如(owasp)，和移動(dòng)安全領(lǐng)域的控制。

?能夠在開發(fā)過程中，評(píng)估安全相關(guān)的技術(shù)和功能性特性，識(shí)別威脅和脆弱的領(lǐng)域。具備參與設(shè)計(jì)階段的經(jīng)驗(yàn)。

?能夠從安全角度評(píng)審企業(yè)級(jí)應(yīng)用的代碼，借助工具的結(jié)果向開發(fā)人員講解可能的安全漏洞。

?候選人應(yīng)熟悉、實(shí)踐過安全相關(guān)的控制領(lǐng)域和措施，如身份驗(yàn)證，權(quán)限，身份管理，數(shù)據(jù)保護(hù)，輸入輸出驗(yàn)證，加密，軟件攻擊模型，安全的數(shù)據(jù)傳輸和存儲(chǔ)。

?具備使用動(dòng)態(tài)漏洞評(píng)估和靜態(tài)漏洞評(píng)估工具，甚至滲透測(cè)試或其他安全測(cè)試工具的經(jīng)驗(yàn)。

其他:

?5年以上工作經(jīng)驗(yàn)。

?碩士(大公司多年經(jīng)驗(yàn)本科也可)

具體職責(zé):

?在架構(gòu)、設(shè)計(jì)和評(píng)審階段與開發(fā)團(tuán)隊(duì)緊密合作。

?向開發(fā)團(tuán)隊(duì)提供專業(yè)的安全指導(dǎo)和見解。具體的安全控制領(lǐng)域會(huì)涉及但不限于，安全的數(shù)據(jù)庫訪問，驗(yàn)證方式，會(huì)話管理，加密技術(shù)，權(quán)限設(shè)計(jì)與訪問控制，安全測(cè)試，錯(cuò)誤處理和日志，輸入驗(yàn)證，安全存儲(chǔ)設(shè)計(jì)。

?根據(jù)應(yīng)用系統(tǒng)生命周期安全管理要求，對(duì)所服務(wù)團(tuán)隊(duì)互聯(lián)網(wǎng)系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，提出安全需求，并評(píng)估安全要求不能達(dá)到時(shí)的風(fēng)險(xiǎn)，向項(xiàng)目建議控制措施。;

?與開發(fā)團(tuán)隊(duì)共同討論，確定安全功能設(shè)計(jì)方案，提供方案實(shí)現(xiàn)的具體建議，供開發(fā)團(tuán)隊(duì)實(shí)現(xiàn);

?確定應(yīng)用系統(tǒng)的各階段安全測(cè)試方法、驗(yàn)證方法，準(zhǔn)備測(cè)試用例、工具，組織或?qū)嵤┌踩珳y(cè)試;

?與開發(fā)團(tuán)隊(duì)共同分析測(cè)試中發(fā)現(xiàn)的問題，提出建議，督促及時(shí)整改;

?向開發(fā)團(tuán)隊(duì)傳授專業(yè)安全知識(shí)和技能;

?歸納總結(jié)開發(fā)中遇到的經(jīng)驗(yàn)和教訓(xùn)，形成一致的安全標(biāo)準(zhǔn)、安全功能模塊，提高開發(fā)安全的保障水平。

?針對(duì)已使用技術(shù)和新技術(shù)，創(chuàng)建開發(fā)安全相關(guān)的規(guī)范、指引和實(shí)踐文檔。

?識(shí)別安全開發(fā)生命周期框架中需要改進(jìn)和落實(shí)的領(lǐng)域，以進(jìn)一步完善安全開發(fā)實(shí)踐和紀(jì)律，逐步建立安全的程序庫供開發(fā)人員使用。

?與其他安全顧問溝通和協(xié)作，相互支持，一致地優(yōu)化安全實(shí)踐。

技能要求:

軟性技能:

?與人交互和影響的技能非常重要，該崗位需要與項(xiàng)目、開發(fā)團(tuán)隊(duì)緊密協(xié)作，并能夠?qū)Ω淖兒蜎Q策產(chǎn)生積極影響。

?口語、書面表達(dá)和溝通技能。

開發(fā)經(jīng)驗(yàn):

?架構(gòu)/實(shí)施:理想的候選人需要具備架構(gòu)和實(shí)施(開發(fā))企業(yè)級(jí)應(yīng)用的經(jīng)驗(yàn)，并在組織中擔(dān)當(dāng)過it崗位。

?軟件開發(fā):這個(gè)崗位不是日常的程序開發(fā)崗位，成功的候選人應(yīng)具備在商業(yè)環(huán)境下程序開發(fā)的經(jīng)驗(yàn)，尤其偏重于大型web應(yīng)用開發(fā)項(xiàng)目。這需要掌握開發(fā)生命周期(sdlc)的知識(shí)和web安全的實(shí)踐(如owasp實(shí)踐集)。

?編程語言:理想的候選人應(yīng)具備在實(shí)踐中使用不止一種開發(fā)語言的能力，如java， html5，perl， c/c++， c#， python。

?深入了解web技術(shù)和框架，如javascript， jsp/servlet/ejb， asp.net， php， http/http， cookies， ajax， flex/silverlight。

?移動(dòng)平臺(tái):熟悉ios和安卓平臺(tái)下的開發(fā)。

安全經(jīng)驗(yàn):

?了解通常的應(yīng)用層安全漏洞，能夠可以向開發(fā)人員講解漏洞的原理，風(fēng)險(xiǎn)和相應(yīng)的控制。熟悉、實(shí)踐過主流應(yīng)用安全實(shí)踐集如(owasp)，和移動(dòng)安全領(lǐng)域的控制。

?能夠在開發(fā)過程中，評(píng)估安全相關(guān)的技術(shù)和功能性特性，識(shí)別威脅和脆弱的領(lǐng)域。具備參與設(shè)計(jì)階段的經(jīng)驗(yàn)。

?能夠從安全角度評(píng)審企業(yè)級(jí)應(yīng)用的代碼，借助工具的結(jié)果向開發(fā)人員講解可能的安全漏洞。

?候選人應(yīng)熟悉、實(shí)踐過安全相關(guān)的控制領(lǐng)域和措施，如身份驗(yàn)證，權(quán)限，身份管理，數(shù)據(jù)保護(hù)，輸入輸出驗(yàn)證，加密，軟件攻擊模型，安全的數(shù)據(jù)傳輸和存儲(chǔ)。

?具備使用動(dòng)態(tài)漏洞評(píng)估和靜態(tài)漏洞評(píng)估工具，甚至滲透測(cè)試或其他安全測(cè)試工具的經(jīng)驗(yàn)。

其他:

?5年以上工作經(jīng)驗(yàn)。

?碩士(大公司多年經(jīng)驗(yàn)本科也可)

第2篇 應(yīng)用安全顧問崗位職責(zé)

安全顧問-應(yīng)用安全方向 具體職責(zé):

?在架構(gòu)、設(shè)計(jì)和評(píng)審階段與開發(fā)團(tuán)隊(duì)緊密合作。

?向開發(fā)團(tuán)隊(duì)提供專業(yè)的安全指導(dǎo)和見解。具體的安全控制領(lǐng)域會(huì)涉及但不限于,安全的數(shù)據(jù)庫訪問,驗(yàn)證方式,會(huì)話管理,加密技術(shù),權(quán)限設(shè)計(jì)與訪問控制,安全測(cè)試,錯(cuò)誤處理和日志,輸入驗(yàn)證,安全存儲(chǔ)設(shè)計(jì)。

?根據(jù)應(yīng)用系統(tǒng)生命周期安全管理要求,對(duì)所服務(wù)團(tuán)隊(duì)互聯(lián)網(wǎng)系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,提出安全需求,并評(píng)估安全要求不能達(dá)到時(shí)的風(fēng)險(xiǎn),向項(xiàng)目建議控制措施。;

?與開發(fā)團(tuán)隊(duì)共同討論,確定安全功能設(shè)計(jì)方案,提供方案實(shí)現(xiàn)的具體建議,供開發(fā)團(tuán)隊(duì)實(shí)現(xiàn);

?確定應(yīng)用系統(tǒng)的各階段安全測(cè)試方法、驗(yàn)證方法,準(zhǔn)備測(cè)試用例、工具,組織或?qū)嵤┌踩珳y(cè)試;

?與開發(fā)團(tuán)隊(duì)共同分析測(cè)試中發(fā)現(xiàn)的問題,提出建議,督促及時(shí)整改;

?向開發(fā)團(tuán)隊(duì)傳授專業(yè)安全知識(shí)和技能;

?歸納總結(jié)開發(fā)中遇到的經(jīng)驗(yàn)和教訓(xùn),形成一致的安全標(biāo)準(zhǔn)、安全功能模塊,提高開發(fā)安全的保障水平。

?針對(duì)已使用技術(shù)和新技術(shù),創(chuàng)建開發(fā)安全相關(guān)的規(guī)范、指引和實(shí)踐文檔。

?識(shí)別安全開發(fā)生命周期框架中需要改進(jìn)和落實(shí)的領(lǐng)域,以進(jìn)一步完善安全開發(fā)實(shí)踐和紀(jì)律,逐步建立安全的程序庫供開發(fā)人員使用。

?與其他安全顧問溝通和協(xié)作,相互支持,一致地優(yōu)化安全實(shí)踐。

技能要求:

軟性技能:

?與人交互和影響的技能非常重要,該崗位需要與項(xiàng)目、開發(fā)團(tuán)隊(duì)緊密協(xié)作,并能夠?qū)Ω淖兒蜎Q策產(chǎn)生積極影響。

?口語、書面表達(dá)和溝通技能。

開發(fā)經(jīng)驗(yàn):

?架構(gòu)/實(shí)施:理想的候選人需要具備架構(gòu)和實(shí)施(開發(fā))企業(yè)級(jí)應(yīng)用的經(jīng)驗(yàn),并在組織中擔(dān)當(dāng)過it崗位。

?軟件開發(fā):這個(gè)崗位不是日常的程序開發(fā)崗位,成功的候選人應(yīng)具備在商業(yè)環(huán)境下程序開發(fā)的經(jīng)驗(yàn),尤其偏重于大型web應(yīng)用開發(fā)項(xiàng)目。這需要掌握開發(fā)生命周期(sdlc)的知識(shí)和web安全的實(shí)踐(如owasp實(shí)踐集)。

?編程語言:理想的候選人應(yīng)具備在實(shí)踐中使用不止一種開發(fā)語言的能力,如java, html5,perl, c/c++, c#, python。

?深入了解web技術(shù)和框架,如javascript, jsp/servlet/ejb, asp.net, php, http/https, cookies, ajax, flex/silverlight。

?移動(dòng)平臺(tái):熟悉ios和安卓平臺(tái)下的開發(fā)。

安全經(jīng)驗(yàn):

?了解通常的應(yīng)用層安全漏洞,能夠可以向開發(fā)人員講解漏洞的原理,風(fēng)險(xiǎn)和相應(yīng)的控制。熟悉、實(shí)踐過主流應(yīng)用安全實(shí)踐集如(owasp),和移動(dòng)安全領(lǐng)域的控制。

?能夠在開發(fā)過程中,評(píng)估安全相關(guān)的技術(shù)和功能性特性,識(shí)別威脅和脆弱的領(lǐng)域。具備參與設(shè)計(jì)階段的經(jīng)驗(yàn)。

?能夠從安全角度評(píng)審企業(yè)級(jí)應(yīng)用的代碼,借助工具的結(jié)果向開發(fā)人員講解可能的安全漏洞。

?候選人應(yīng)熟悉、實(shí)踐過安全相關(guān)的控制領(lǐng)域和措施,如身份驗(yàn)證,權(quán)限,身份管理,數(shù)據(jù)保護(hù),輸入輸出驗(yàn)證,加密,軟件攻擊模型,安全的數(shù)據(jù)傳輸和存儲(chǔ)。

?具備使用動(dòng)態(tài)漏洞評(píng)估和靜態(tài)漏洞評(píng)估工具,甚至滲透測(cè)試或其他安全測(cè)試工具的經(jīng)驗(yàn)。

其他:

?5年以上工作經(jīng)驗(yàn)。

?碩士(大公司多年經(jīng)驗(yàn)本科也可)

具體職責(zé):

?在架構(gòu)、設(shè)計(jì)和評(píng)審階段與開發(fā)團(tuán)隊(duì)緊密合作。

?向開發(fā)團(tuán)隊(duì)提供專業(yè)的安全指導(dǎo)和見解。具體的安全控制領(lǐng)域會(huì)涉及但不限于,安全的數(shù)據(jù)庫訪問,驗(yàn)證方式,會(huì)話管理,加密技術(shù),權(quán)限設(shè)計(jì)與訪問控制,安全測(cè)試,錯(cuò)誤處理和日志,輸入驗(yàn)證,安全存儲(chǔ)設(shè)計(jì)。

?根據(jù)應(yīng)用系統(tǒng)生命周期安全管理要求,對(duì)所服務(wù)團(tuán)隊(duì)互聯(lián)網(wǎng)系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,提出安全需求,并評(píng)估安全要求不能達(dá)到時(shí)的風(fēng)險(xiǎn),向項(xiàng)目建議控制措施。;

?與開發(fā)團(tuán)隊(duì)共同討論,確定安全功能設(shè)計(jì)方案,提供方案實(shí)現(xiàn)的具體建議,供開發(fā)團(tuán)隊(duì)實(shí)現(xiàn);

?確定應(yīng)用系統(tǒng)的各階段安全測(cè)試方法、驗(yàn)證方法,準(zhǔn)備測(cè)試用例、工具,組織或?qū)嵤┌踩珳y(cè)試;

?與開發(fā)團(tuán)隊(duì)共同分析測(cè)試中發(fā)現(xiàn)的問題,提出建議,督促及時(shí)整改;

?向開發(fā)團(tuán)隊(duì)傳授專業(yè)安全知識(shí)和技能;

?歸納總結(jié)開發(fā)中遇到的經(jīng)驗(yàn)和教訓(xùn),形成一致的安全標(biāo)準(zhǔn)、安全功能模塊,提高開發(fā)安全的保障水平。

?針對(duì)已使用技術(shù)和新技術(shù),創(chuàng)建開發(fā)安全相關(guān)的規(guī)范、指引和實(shí)踐文檔。

?識(shí)別安全開發(fā)生命周期框架中需要改進(jìn)和落實(shí)的領(lǐng)域,以進(jìn)一步完善安全開發(fā)實(shí)踐和紀(jì)律,逐步建立安全的程序庫供開發(fā)人員使用。

?與其他安全顧問溝通和協(xié)作,相互支持,一致地優(yōu)化安全實(shí)踐。

技能要求:

軟性技能:

?與人交互和影響的技能非常重要,該崗位需要與項(xiàng)目、開發(fā)團(tuán)隊(duì)緊密協(xié)作,并能夠?qū)Ω淖兒蜎Q策產(chǎn)生積極影響。

?口語、書面表達(dá)和溝通技能。

開發(fā)經(jīng)驗(yàn):

?架構(gòu)/實(shí)施:理想的候選人需要具備架構(gòu)和實(shí)施(開發(fā))企業(yè)級(jí)應(yīng)用的經(jīng)驗(yàn),并在組織中擔(dān)當(dāng)過it崗位。

?軟件開發(fā):這個(gè)崗位不是日常的程序開發(fā)崗位,成功的候選人應(yīng)具備在商業(yè)環(huán)境下程序開發(fā)的經(jīng)驗(yàn),尤其偏重于大型web應(yīng)用開發(fā)項(xiàng)目。這需要掌握開發(fā)生命周期(sdlc)的知識(shí)和web安全的實(shí)踐(如owasp實(shí)踐集)。

?編程語言:理想的候選人應(yīng)具備在實(shí)踐中使用不止一種開發(fā)語言的能力,如java, html5,perl, c/c++, c#, python。

?深入了解web技術(shù)和框架,如javascript, jsp/servlet/ejb, asp.net, php, http/https, cookies, ajax, flex/silverlight。

?移動(dòng)平臺(tái):熟悉ios和安卓平臺(tái)下的開發(fā)。

安全經(jīng)驗(yàn):

?了解通常的應(yīng)用層安全漏洞,能夠可以向開發(fā)人員講解漏洞的原理,風(fēng)險(xiǎn)和相應(yīng)的控制。熟悉、實(shí)踐過主流應(yīng)用安全實(shí)踐集如(owasp),和移動(dòng)安全領(lǐng)域的控制。

?能夠在開發(fā)過程中,評(píng)估安全相關(guān)的技術(shù)和功能性特性,識(shí)別威脅和脆弱的領(lǐng)域。具備參與設(shè)計(jì)階段的經(jīng)驗(yàn)。

?能夠從安全角度評(píng)審企業(yè)級(jí)應(yīng)用的代碼,借助工具的結(jié)果向開發(fā)人員講解可能的安全漏洞。

?候選人應(yīng)熟悉、實(shí)踐過安全相關(guān)的控制領(lǐng)域和措施,如身份驗(yàn)證,權(quán)限,身份管理,數(shù)據(jù)保護(hù),輸入輸出驗(yàn)證,加密,軟件攻擊模型,安全的數(shù)據(jù)傳輸和存儲(chǔ)。

?具備使用動(dòng)態(tài)漏洞評(píng)估和靜態(tài)漏洞評(píng)估工具,甚至滲透測(cè)試或其他安全測(cè)試工具的經(jīng)驗(yàn)。

其他:

?5年以上工作經(jīng)驗(yàn)。

?碩士(大公司多年經(jīng)驗(yàn)本科也可)