从IT运营到风险治理
我是一名商业信息安全官(BISO),在一家受亚太监管的全球金融机构从事网络安全治理、风险与合规(GRC)工作。我的日常处于监管要求、运营风险与技术变革的交汇点——将 ACSC Essential Eight、APRA CPS 234 和 ISO 27001 等框架转化为切实可行的控制项目,在降低风险的同时避免对业务造成过度阻碍。
我的职业路径是经过深思熟虑的。我从业务连续性实习起步,随后进入 IT 支持,再投身一线运营风险,最终进入 BISO / GRC 领域。这样的经历让我理解控制负责人的压力、监管机构的语言,以及在大型复杂组织中落地控制的真实挑战。
我对自动化驱动的 GRC 尤其感兴趣:利用 Power BI、Power Automate、VBA 和 SQL 减少人工鉴证工作量、提升控制可见性,并让管理层更快获得高质量证据。同时,我也参与 AI 风险治理,帮助一家受监管银行评估和监督 AI 用例。
工作之余,我能够使用普通话和粤语,并拥有亚太及全球利益相关方的工作经验。我曾被评为 2025 年度员工,并入选全球及区域人才项目。
职业路径
-
商业信息安全官(GRC)
亚太受监管金融机构
主导本地网络安全 GRC 工作,包括安全风险治理、网络卫生、ACSC Essential Eight 对齐、AI 风险缺口分析以及应用安全审查。
-
运营风险控制官(第一道防线)
全球银行
协调 RCSA 和第一道防线控制测试,跟踪风险事件,跟进审计发现,并为管理层编写运营风险报告。
-
IT 服务台分析师
金融服务
为内部员工提供 IT 硬件和软件支持,快速解决问题并提升员工满意度。
-
业务连续性实习生
金融服务
协调各业务线开展业务影响分析,并编写 BIA 用户手册以减少重复培训。