Responsibilities

? Application Security testing (leading role)

? Guide application teams to fulfill SAST (Static App Sec Testing by Veracode), DAST

(Dynamic App Sec Testing by AppScan) and Penetration Test (with external vendor)

requirements per AIA procedures.

? Provide assistance to the technology teams in the resolution of identified risk and

vulnerabilities identified through control assessment and/or security testing.

? Secure SDLC & DevSecOps (leading role)

? Advise and assist the development team on the Secure Software development lifecycle

activities.

? Study and promote the DevSecOps practice, including CI/CD pipeline security set up,

container secuirty scanning, and dashboarding configuration, monitoring and reporting.

? Documentation & Dashboarding (leading role)

? Maintain and revise existing application security related procedure documents.

? Improve the Application security risk assessment framework so functional and nonfunctional

security controls of the applications are properly assessed and verified.

? Monitor application security activities throughout AIA entities and consolidate them into

periodic dashboard for regular reporting to both Group Office and Local Business Units.

? Security champion (leading role)

? Support and maintain the regional application inventory together with system support

team.

? Assist to Support and coordinate the security training related exercises, including online

eLearning and classroom-based Instructor Led Training (ILT).

? App Risk Assessment & Security Tollgate (supporting role)

? Perform Security design reviews and application threat modelling on new applications.

? Conduct Application Security Risk assessment on existing applications based on security

controls defined by the Group following AIA Security Tollgate process.

? Ensure the risks identified are clearly defined and documented with appropriate evidence.

Requirements

? Degree in Computer Science or related discipline.

? 3+ years’ experience in a hands-on technical role in Information Security or related discipline.

? Previous experience in app development (Java, C#, Objective-C, etc.) is highly advantageous.

? Previous experience in DevOps/DevSecOps and Container security is highly advantageous.

? Previous experience in penetration testing services and techniques is highly advantageous.

? Excellent written and verbal communication skills and ability to escalate timely to management.

? Ability to define, prioritize and execute process in a structured manner.

? Excellent knowledge of SDLC practices and common security requirements within web and mobile

applications.

? Desirable: Previous experience in WAF (Web App Firewall) and/or anti-DDoS solutions.

? Desirable: Technical certifications: CISSP, CISA, ISO 270xx, CRISC, GWAPT, GPEN.

友邦资讯科技(广州)有限公司由友邦保险有限公司独资兴办。公司宗旨是为友邦保险集团属下全球的业务单位提供软件开发、维护、管理及业务外包等服务。

公司秉承以客户为中心的服务理念，不懈地进行有效的持续改进工程，务求成为友邦保险集团内一流的信息技术和企业营运中心,为客户提供高素质的服务和解决方案。公司的业务主要包括：开发及维护保险软件及办公室自动化、商务外包服务、架构支持（包括数据中心服务）、产品及工具开发。