Ekspert ds. bezpieczeństwa łańcucha dostaw ICT ( k/m)
PKP Polskie Linie Kolejowe S.A
⚲ Warszawa
12 000–16 000 zł brutto / mies.
Opis stanowiska
Nasze wymagania:
wykształcenie wyższe w specjalności IT lub cyberbezpieczeństwo,
10 lat doświadczenia zawodowego, w tym 5 lat pracy w obszarze IT, bezpieczeństwa IT lub cyberbezpieczeństwa,
wiedza zawodowa w zakresie łańcucha dostaw ICT, infrastruktury krytycznej, zarządzania ryzykiem,
znajomość norm i standardów: ISO 22301, ISO 27036, ISO 27001, NIS2, CRA, IEC 62443,
znajomość oprogramowania i narzędzi do zarządzania ryzykiem i audytowania bezpieczeństwa dostawców, do monitorowania dostawców i oceny ich bezpieczeństwa, JIRA, Systemy klasy GRC,
znajomość języka angielskiego na poziomie min. średniozaawansowanym,
umiejętność współpracy, adaptacji oraz odpowiedzialność,
samodzielność w działaniu oraz orientacja na osiąganie wyników,
zdolność analitycznego myślenia oraz sprawnego rozwiązywania problemów.
Mile widziane:
certyfikat CISM lub CRISC.
Zakres obowiązków:
identyfikacja i ocena ryzyk związanych z dostawcami technologii i usług ICT,
monitorowanie zmian w regulacjach dotyczących bezpieczeństwa łańcucha dostaw ICT i dostosowywanie polityk organizacyjnych do nowych wymagań,
ciągłe monitorowanie dostawców pod kątem nowych zagrożeń, ataków cybernetycznych lub incydentów, które mogą wpłynąć na Spółkę oraz współpraca z SOC,
utrzymywanie ścisłej współpracy z kluczowymi dostawcami technologii i usług ICT, aby zapewnić, że wszyscy partnerzy spełniają wymagania organizacji w zakresie bezpieczeństwa
opracowanie warunków kontraktowych z dostawcami z uwzględnieniem aspektów bezpieczeństwa, takich jak odpowiedzialność za incydenty, procedury reagowania na naruszenia bezpieczeństwa,
zapewnienie ciągłości dostaw i operacji ICT w przypadku wystąpienia incydentów związanych z bezpieczeństwem, takich jak ataki ransomware, awarie systemów lub przerwy w dostawie usług oraz opracowanie i wdrażanie planów awaryjnych,
doradztwo w zakresie dobrych praktyk bezpieczeństwa dla komórek odpowiedzialnych za zakupy,
wsparcie w realizacji procesów związanych z tworzeniem i utrzymaniem Systemem Zarządzania Ciągłością Działania,
prowadzenie szkoleń i warsztatów dla zespołów technicznych i biznesowych dotyczących bezpieczeństwa łańcucha dostaw ICT oraz jego wpływu na ciągłość działania.
wsparcie w budowaniu kultury organizacyjnej opartej na odporności operacyjnej i zarządzaniu ryzykiem dostawców.
wykształcenie wyższe w specjalności IT lub cyberbezpieczeństwo,
10 lat doświadczenia zawodowego, w tym 5 lat pracy w obszarze IT, bezpieczeństwa IT lub cyberbezpieczeństwa,
wiedza zawodowa w zakresie łańcucha dostaw ICT, infrastruktury krytycznej, zarządzania ryzykiem,
znajomość norm i standardów: ISO 22301, ISO 27036, ISO 27001, NIS2, CRA, IEC 62443,
znajomość oprogramowania i narzędzi do zarządzania ryzykiem i audytowania bezpieczeństwa dostawców, do monitorowania dostawców i oceny ich bezpieczeństwa, JIRA, Systemy klasy GRC,
znajomość języka angielskiego na poziomie min. średniozaawansowanym,
umiejętność współpracy, adaptacji oraz odpowiedzialność,
samodzielność w działaniu oraz orientacja na osiąganie wyników,
zdolność analitycznego myślenia oraz sprawnego rozwiązywania problemów.
Mile widziane:
certyfikat CISM lub CRISC.
Zakres obowiązków:
identyfikacja i ocena ryzyk związanych z dostawcami technologii i usług ICT,
monitorowanie zmian w regulacjach dotyczących bezpieczeństwa łańcucha dostaw ICT i dostosowywanie polityk organizacyjnych do nowych wymagań,
ciągłe monitorowanie dostawców pod kątem nowych zagrożeń, ataków cybernetycznych lub incydentów, które mogą wpłynąć na Spółkę oraz współpraca z SOC,
utrzymywanie ścisłej współpracy z kluczowymi dostawcami technologii i usług ICT, aby zapewnić, że wszyscy partnerzy spełniają wymagania organizacji w zakresie bezpieczeństwa
opracowanie warunków kontraktowych z dostawcami z uwzględnieniem aspektów bezpieczeństwa, takich jak odpowiedzialność za incydenty, procedury reagowania na naruszenia bezpieczeństwa,
zapewnienie ciągłości dostaw i operacji ICT w przypadku wystąpienia incydentów związanych z bezpieczeństwem, takich jak ataki ransomware, awarie systemów lub przerwy w dostawie usług oraz opracowanie i wdrażanie planów awaryjnych,
doradztwo w zakresie dobrych praktyk bezpieczeństwa dla komórek odpowiedzialnych za zakupy,
wsparcie w realizacji procesów związanych z tworzeniem i utrzymaniem Systemem Zarządzania Ciągłością Działania,
prowadzenie szkoleń i warsztatów dla zespołów technicznych i biznesowych dotyczących bezpieczeństwa łańcucha dostaw ICT oraz jego wpływu na ciągłość działania.
wsparcie w budowaniu kultury organizacyjnej opartej na odporności operacyjnej i zarządzaniu ryzykiem dostawców.
🔍 Dekoder Ogłoszenia
🔴
10 lat doświadczenia zawodowego, w tym 5 lat pracy w obszarze IT, bezpieczeństwa IT lub cyberbezpieczeństwa
Poszukujemy osoby z bardzo długim stażem, która spędziła znaczną część kariery w specyficznych dziedzinach, co może ograniczać pulę kandydatów.
🔴
znajomość norm i standardów: ISO 22301, ISO 27036, ISO 27001, NIS2, CRA, IEC 62443
Oczekiwana jest bardzo szeroka i specjalistyczna wiedza z wielu złożonych obszarów regulacyjnych i technicznych, co może być trudne do znalezienia u jednej osoby.
🔴
znajomość oprogramowania i narzędzi do zarządzania ryzykiem i audytowania bezpieczeństwa dostawców, do monitorowania dostawców i oceny ich bezpieczeństwa, JIRA, Systemy klasy GRC
Wymagana jest biegłość w obsłudze wielu specyficznych narzędzi, co może oznaczać potrzebę szybkiego przyswojenia nowych technologii lub pracę z przestarzałym oprogramowaniem.
🟡
samodzielność w działaniu oraz orientacja na osiąganie wyników
Oznacza to, że będziesz musiał działać w dużej mierze bez nadzoru i być rozliczany z konkretnych, mierzalnych celów.
🔴
utrzymywanie ścisłej współpracy z kluczowymi dostawcami technologii i usług ICT, aby zapewnić, że wszyscy partnerzy spełniają wymagania organizacji w zakresie bezpieczeństwa
Może to oznaczać konieczność prowadzenia trudnych negocjacji i egzekwowania standardów od zewnętrznych firm, co bywa frustrujące.