從IT運營到風險治理
我是一名商業信息安全官(BISO),在一家受亞太監管的全球金融機構從事網絡安全治理、風險與合規(GRC)工作。我的日常處於監管要求、運營風險與技術變革的交匯點——將 ACSC Essential Eight、APRA CPS 234 和 ISO 27001 等框架轉化為切實可行的控制項目,在降低風險的同時避免對業務造成過度阻礙。
我的職業路徑是經過深思熟慮的。我從業務連續性實習起步,隨後進入 IT 支援,再投身一線運營風險,最終進入 BISO / GRC 領域。這樣的經歷讓我理解控制負責人的壓力、監管機構的語言,以及在大型複雜組織中落地控制的真實挑戰。
我對自動化驅動的 GRC 尤其感興趣:利用 Power BI、Power Automate、VBA 和 SQL 減少人工鑑證工作量、提升控制可見性,並讓管理層更快獲得高質量證據。同時,我也參與 AI 風險治理,幫助一家受監管銀行評估和監督 AI 用例。
工作之餘,我能夠使用普通話和粵語,並擁有亞太及全球持份者的工作經驗。我曾被評為 2025 年度員工,並入選全球及區域人才項目。
職業路徑
-
業務連續性實習生
金融服務
協調各業務線開展業務影響分析,並編寫 BIA 用戶手冊以減少重複培訓。
-
IT 服務台分析師
金融服務
為內部員工提供 IT 硬件和軟件支持,快速解決問題並提升員工滿意度。
-
運營風險控制官(第一道防線)
全球銀行
協調 RCSA 和第一道防線控制測試,跟踪風險事件,跟進審計發現,並為管理層編寫運營風險報告。
-
商業信息安全官(GRC)
亞太受監管金融機構
主導本地網絡安全 GRC 工作,包括安全風險治理、網絡衛生、ACSC Essential Eight 對齊、AI 風險缺口分析以及應用安全審查。