顺丰安全合规工程师（安全审计方向）

1、参与公司办公数据安全标准的制定和维护，包括数据安全需求识别、风险分析、数据流转、泄露防护等； 2、参与公司办公安全基础设施建设、包括但不限于终端DLP、文档加密、网络流量分析等方面，针对办公数据泄露风险设计、落地解决方案； 3、参与办公数据安全的日常维护和管理工作，包括办公数据安全的监控与响应、安全合规审计与调查等。

1. 安全测试体系建设与优化 主导设计覆盖SDLC全流程的自动化安全测试体系，整合SAST、DAST、SCA、IAST等工具链，建立多维度的风险识别机制 持续优化漏洞检测策略与工具性能指标（如检出率/误报率/扫描效率），输出可量化的安全能力提升方案 2. 白盒安全能力建设 基于静态代码分析（SAST）技术构建代码安全门禁，设计精准的规则引擎与扫描策略 主导开发语言级安全缺陷模式研究（Java/Go/Python等），通过污点分析、控制流分析等技术实现高危漏洞的精准定位 建立软件成分分析（SCA）的组件风险评级体系，制定开源组件准入规范 3. 黑盒安全测试实施 主导关键业务系统的渗透测试，覆盖Web/API/移动端等多类攻击面 设计基于ATT&CK框架的攻击模拟方案，探索AI Agent自动化渗透测试等前沿技术应用 负责漏洞赏金项目运营与应急响应，建立漏洞有效性验证与分级响应机制 4. 安全缺陷全生命周期管理 制定漏洞CVSS评级标准与修复SLA机制，输出包含PoC验证、影响范围分析、修复建议的标准化报告 与DevOps团队协作设计安全左移方案，推动安全测试能力与CI/CD管道的深度集成

信息安全方向： 1、网络&应用安全 - 领导信息安全风险评估、漏洞扫描、渗透测试，制定有效的风险缓解与应急响应计划；监控公司核心系统、平台与数据的安全态势，建立高效的威胁检测与响应机制（SIEM、SOC）； 2、数据安全 - 建立完善的数据资产分级体系，并设计和建设体系化的数据安全工程体系和防控体； 3、安全制度和培训 - 联动研发、运维、法务、合规等部门推动全公司的安全措施实施，主导全员安全培训与安全意识提升计划； 4、安全技术研究 - 关注前沿安全技术动态，推进零信任架构、DevSecOps、AI驱动安全等新技术应用。 应用安全方向： 1、参与SDLC(安全开发生命周期)能力的建设，包括安全流程、自动化工具(黑盒/白盒/灰盒)、指标体系等； 2、负责公司应用系统和APP的安全测试，发现应用/数据/隐私相关风险漏洞； 3、负责日常应用安全事件的分析和应急响应，跟进前沿安全技术领域研究。 数据安全方向： 1、分析数据安全需求，负责数据安全产品的系统设计&核心功能开发和维护工作，包括但不限于加解密、脱敏、UEBA、数据网关等； 2、组织开展数据安全风险评估，识别潜在漏洞并提出可行的改进措施； 3、负责数据安全技术方案选型、系统部署与运维，推动安全能力落地。

ESH体系工程师方向： 1.负责ESH流程的推广、执行监控、评价优化及数字化解决方案推进，确保流程有效落地与持续改进 2.负责部门级信息流与信息化平台的设计构建，推动业务数据实时获取与数字化分析，提升决策效率与报告质量 3.负责部门级项目平台的设计与运营，统筹项目资源、需求立项、进度监控及结项评价，确保项目高效交付和长效应用 ESH技术工程师方向 1.负责ESH管理体系的搭建与标准化，统筹各厂区ESH制度、数据监控及绩效管理，确保合规与持续改善 2.负责安防流程制定与SOP执行监督，配合信息安全部门实施物理安全管控，处理异常事件并推进系统规划与运维 3.负责损防与安全仪表设计审查及标准迭代，推进安全数智化应用开发与风险预警能力建设 4.负责业务流与风险控制数智化应用，构建集智能感知、分析、预警于一体的数智化风控能力 现场ESH工程师方向： 1.负责安全合规风险评估与标准制定，监督安全三同时执行，组织事件调查和建设项目安全管理 2.负责废水废气及危废合规处置，管理在线监测系统，推进环评、碳排放和节能减排相关事务 3.负责公司消防系统运营维护与故障识别，协助第三方审计，开展危化区域检查及消防培训演练 4.协助突发事件应急处置与ICS管理，优化应急指挥体系，组织演练和跨部门协作以提升响应能力 ESH体系工程师和ESH技术工程师：base合肥；现场ESH工程师，base合肥、上海。