Alex Yao Alex Yao

從IT運營到風險治理

我是一名商業信息安全官(BISO),在一家受亞太監管的全球金融機構從事網絡安全治理、風險與合規(GRC)工作。我的日常處於監管要求、運營風險與技術變革的交匯點——將 ACSC Essential Eight、APRA CPS 234 和 ISO 27001 等框架轉化為切實可行的控制項目,在降低風險的同時避免對業務造成過度阻礙。

我的職業路徑是經過深思熟慮的。我從業務連續性實習起步,隨後進入 IT 支援,再投身一線運營風險,最終進入 BISO / GRC 領域。這樣的經歷讓我理解控制負責人的壓力、監管機構的語言,以及在大型複雜組織中落地控制的真實挑戰。

我對自動化驅動的 GRC 尤其感興趣:利用 Power BI、Power Automate、VBA 和 SQL 減少人工鑑證工作量、提升控制可見性,並讓管理層更快獲得高質量證據。同時,我也參與 AI 風險治理,幫助一家受監管銀行評估和監督 AI 用例。

工作之餘,我能夠使用普通話和粵語,並擁有亞太及全球持份者的工作經驗。我曾被評為 2025 年度員工,並入選全球及區域人才項目。

職業路徑

  1. 業務連續性實習生

    金融服務

    協調各業務線開展業務影響分析,並編寫 BIA 用戶手冊以減少重複培訓。

  2. IT 服務台分析師

    金融服務

    為內部員工提供 IT 硬件和軟件支持,快速解決問題並提升員工滿意度。

  3. 運營風險控制官(第一道防線)

    全球銀行

    協調 RCSA 和第一道防線控制測試,跟踪風險事件,跟進審計發現,並為管理層編寫運營風險報告。

  4. 商業信息安全官(GRC)

    亞太受監管金融機構

    主導本地網絡安全 GRC 工作,包括安全風險治理、網絡衛生、ACSC Essential Eight 對齊、AI 風險缺口分析以及應用安全審查。