Alex Yao Alex Yao

从IT运营到风险治理

我是一名商业信息安全官(BISO),在一家受亚太监管的全球金融机构从事网络安全治理、风险与合规(GRC)工作。我的日常处于监管要求、运营风险与技术变革的交汇点——将 ACSC Essential Eight、APRA CPS 234 和 ISO 27001 等框架转化为切实可行的控制项目,在降低风险的同时避免对业务造成过度阻碍。

我的职业路径是经过深思熟虑的。我从业务连续性实习起步,随后进入 IT 支持,再投身一线运营风险,最终进入 BISO / GRC 领域。这样的经历让我理解控制负责人的压力、监管机构的语言,以及在大型复杂组织中落地控制的真实挑战。

我对自动化驱动的 GRC 尤其感兴趣:利用 Power BI、Power Automate、VBA 和 SQL 减少人工鉴证工作量、提升控制可见性,并让管理层更快获得高质量证据。同时,我也参与 AI 风险治理,帮助一家受监管银行评估和监督 AI 用例。

工作之余,我能够使用普通话和粤语,并拥有亚太及全球利益相关方的工作经验。我曾被评为 2025 年度员工,并入选全球及区域人才项目。

职业路径

  1. 商业信息安全官(GRC)

    亚太受监管金融机构

    主导本地网络安全 GRC 工作,包括安全风险治理、网络卫生、ACSC Essential Eight 对齐、AI 风险缺口分析以及应用安全审查。

  2. 运营风险控制官(第一道防线)

    全球银行

    协调 RCSA 和第一道防线控制测试,跟踪风险事件,跟进审计发现,并为管理层编写运营风险报告。

  3. IT 服务台分析师

    金融服务

    为内部员工提供 IT 硬件和软件支持,快速解决问题并提升员工满意度。

  4. 业务连续性实习生

    金融服务

    协调各业务线开展业务影响分析,并编写 BIA 用户手册以减少重复培训。