职位描述

TherapyNotes正在寻找一名GRC工程师，该职位需要具备扎实的GRC专业知识，并能够设计和实施可扩展、自动化的解决方案。此职位负责执行核心GRC功能（例如风险评估、政策管理、第三方风险）并通过工程和自动化改造这些流程。理想候选人了解GRC工作当前的运作方式，并具备将GRC工作现代化、扩展和技术化的技术能力。职责包括：开展第三方风险评估（TPRM），包括供应商审查、安全问卷和风险评估；维护和更新安全策略、标准和程序；支持跨框架的合规性倡议（SOC 2、ISO 27001、HIPAA、NIST等）；执行内部风险评估、控制测试和差距分析；识别手动、重复的GRC流程并设计自动化解决方案；构建和维护自动化证据收集（通过API、脚本和整合）；实施持续控制监控（CCM）以替代点时间审计；将合规性要求转化为技术控制和系统配置；通过自动化测试和监控验证控制有效性；通过仪表板和报告系统实现实时或近实时的风险可见性；与安全工程合作，持续审计配置并程序化修复漂移；构建可扩展的工作流进行供应商风险评估、重新评估和跟踪；将供应商数据整合到集中风险系统中；自动化第三方安全姿态的受理、审查和监控流程；开发自助审计证据系统和仪表板；与审计师合作提供API驱动或系统生成的证据。

任职要求

学士学位，计算机科学、工程或相关领域（或同等经验）；3-6年在安全工程、GRC、GRC工程或云安全角色中的经验；扎实的脚本/编程经验（Python、Go或类似）；有云平台（AWS、Azure、GCP）的实际经验；熟悉基础设施即代码（Terraform、CloudFormation等）；深入理解安全控制及其与合规框架的映射；有整合API和构建自动化流水线的经验