Responsibilities

? Application Security testing (leading role)

? Guide application teams to fulfill SAST (Static App Sec Testing by Veracode), DAST

(Dynamic App Sec Testing by AppScan) and Penetration Test (with external vendor)

requirements per AIA procedures.

? Provide assistance to the technology teams in the resolution of identified risk and

vulnerabilities identified through control assessment and/or security testing.

? Secure SDLC & DevSecOps (leading role)

? Advise and assist the development team on the Secure Software development lifecycle

activities.

? Study and promote the DevSecOps practice, including CI/CD pipeline security set up,

container secuirty scanning, and dashboarding configuration, monitoring and reporting.

? Documentation & Dashboarding (leading role)

? Maintain and revise existing application security related procedure documents.

? Improve the Application security risk assessment framework so functional and nonfunctional

security controls of the applications are properly assessed and verified.

? Monitor application security activities throughout AIA entities and consolidate them into

periodic dashboard for regular reporting to both Group Office and Local Business Units.

? Security champion (leading role)

? Support and maintain the regional application inventory together with system support

team.

? Assist to Support and coordinate the security training related exercises, including online

eLearning and classroom-based Instructor Led Training (ILT).

? App Risk Assessment & Security Tollgate (supporting role)

? Perform Security design reviews and application threat modelling on new applications.

? Conduct Application Security Risk assessment on existing applications based on security

controls defined by the Group following AIA Security Tollgate process.

? Ensure the risks identified are clearly defined and documented with appropriate evidence.

Requirements

? Degree in Computer Science or related discipline.

? 3+ years’ experience in a hands-on technical role in Information Security or related discipline.

? Previous experience in app development (Java, C#, Objective-C, etc.) is highly advantageous.

? Previous experience in DevOps/DevSecOps and Container security is highly advantageous.

? Previous experience in penetration testing services and techniques is highly advantageous.

? Excellent written and verbal communication skills and ability to escalate timely to management.

? Ability to define, prioritize and execute process in a structured manner.

? Excellent knowledge of SDLC practices and common security requirements within web and mobile

applications.

? Desirable: Previous experience in WAF (Web App Firewall) and/or anti-DDoS solutions.

? Desirable: Technical certifications: CISSP, CISA, ISO 270xx, CRISC, GWAPT, GPEN.

友邦資訊科技(廣州)有限公司由友邦保險(xiǎn)有限公司獨(dú)資興辦。公司宗旨是為友邦保險(xiǎn)集團(tuán)屬下全球的業(yè)務(wù)單位提供軟件開發(fā)、維護(hù)、管理及業(yè)務(wù)外包等服務(wù)。

公司秉承以客戶為中心的服務(wù)理念，不懈地進(jìn)行有效的持續(xù)改進(jìn)工程，務(wù)求成為友邦保險(xiǎn)集團(tuán)內(nèi)一流的信息技術(shù)和企業(yè)營運(yùn)中心,為客戶提供高素質(zhì)的服務(wù)和解決方案。公司的業(yè)務(wù)主要包括：開發(fā)及維護(hù)保險(xiǎn)軟件及辦公室自動(dòng)化、商務(wù)外包服務(wù)、架構(gòu)支持（包括數(shù)據(jù)中心服務(wù)）、產(chǎn)品及工具開發(fā)。