システムリスクの転職求人

当社は仮想通貨の販売所・取引所等の各種サービスプラットフォームの運営を行っており、IT統制部は全社のITガバナンス及びシステムリスク管理を実施するための態勢の整備、当社システムサービスに関する変更管理・障害管理をはじめ、テクノロジー本部全体に係る活動を統括することによって、システムサービスの適正かつ効率的な構築・維持に資することを担っています。今回の募集では以下のようなIT統制に係る業務（関連規程類の作成と更新f含む）を担当いただきます。

●業務内容（例）
・ITガバナンスの企画・推進・管理に関する事項
・システムリスク管理に係る実務に関する事項
・情報セキュリティ管理に係る実務に関する事項
・システム変更管理、障害管理に関する事項
・関係会社（欧米支社含む）における上記に関連する事項
・その他上記に関連する事項

社内各業務における次のような主にシステムリスク管理に関わる業務をご担当いただきます。
・システムリスク管理、評価、提案、モニタリング
・システムリスクに関連する領域に関する各種リスク評価・検証、課題のフォローアップ
・社内・グループ会社からの相談事項について、専門的知見を活かしたアドバイス など

なお、担当領域に関わらず管理職として幅広くチームの業務に携わって頂く可能性があります。

暗号資産取引所で最先端のセキュリティに携わる、セキュリティマネージャーを募集します。

【主に担当していただくこと】
・セキュリティグループのメンバーを率いて下記の各種施策への取り組み
・情報セキュリティ管理体制の構築および評価、施策の立案、推進
・情報セキュリティ関連の規程及び社内ルールの整備
・セキュリティツールの選定・導入・運用
・セキュリティインシデント対応
・脆弱性診断のハンドリングや設計・実装のセキュリティレビュー
・システムリスクの評価・改善案の立案・企画実行

【開発環境】
・バックエンド
　Ruby, Ruby on Rails
・フロントエンド
　Nuxt.js, Vue.js
・デザイン
　Figma
・データベース
　MySQL(Aurora), Redis
・インフラ
　AWS, Docker
・CI/CD
　CircleCI
・モニタリング
　Bugsnag, Datadog, PagerDuty, New Relic
・品質保証
　RSpec
・タスク管理
　JIRA
・コラボレーション
　Slack, JIRA, Confluence

・システムリスク管理（社内に数十あるシステムを規則/規定で管理/評価）
・海外（中国/ASEAN/欧米）、国内子会社のシステムリスク管理（本社同様の管理/評価実施）
・システム関連規定最新化（最新のセキュリティ動向を踏まえて更改）
・システム監査や内部統制の対応
・親会社報告業務

＜本ポジションの魅力＞
・グループにおけるシステムリスク管理手法の取得
・最新のセキュリティ動向（ゼロトラスト等）を反映したシステムリスク管理ルールを適用し、セキュリティ知識の習得が可能
・同一チーム内に中途入社者がおり、転職者が溶け込みやすい環境

情報リスク管理（IRM）は、独立的な立場からファーストライン（事業責任者、マネジメント、担当者）に助言およびチャレンジを行い、適切に情報（IT）リスク管理が行えるよう会社を支援します。

このポジションには、情報（IT）リスク管理と保険ビジネス（保険商品、サービス、顧客、戦略目標、ビジネスプロセス、システムなど）の知識が必要です。

【主な責務/ Key Responsibilities】
情報（IT）関連（システム、アプリケーション、外部委託ベンダー、セキュリティ、プロジェクト、BCM / DR等）に関するリスク評価および課題の特定、管理統制の定義、リスク緩和や改善策を策定の支援
コーポレートガバナンス、ポリシー、事業目標、および戦略に沿った情報（IT）関連の統制、プロセスのデザインとその有効性の継続的な確認
情報（IT）関連のリスクや課題に関するフォローアップと検証
Effective Control Framework（ECF）を介し、情報（IT）関連のリスクに対する統制およびその有効性のテストの実施と保証の提供
ローカルのリスク委員会とマネジメント、およびコーポレートに対する、情報（IT）に関連のリスクおよび課題の報告
情報（IT）リスク、セキュリティの分野における外部および内部監査の促進と支援
グループポリシーおよび現地法令に遵守した情報(IT)リスク方針の整備
情報およびテクノロジー関連リスクの意識向上

本ポジションの魅力
エンジニアの経験を活かし、内部管理部門としてシステムに関わることが可能であり、システム以外にもリスク管理としてのキャリアを形成していくことが可能です。
また、本ポジションは、立ち上がって間もないリスク管理部門に配属されます。そのため、定型化された業務の遂行ではなく、自ら考え新しいことを検討・提案する業務も多く、自分自身のスキルアップや知識向上が望める環境となっています。

具体的な業務内容
内部管理部門（第二線）として以下の観点においてモニタリングを行っていっていただきます。
システムリスクアセスメント
品質管理プロセス（キャパシティー管理等）
障害管理プロセス

＜概要＞
●クラウドネイティブな銀行のITリスクマネジメントを担う人財を募集しています。
●当行では、世の中の変化に素早く対応できるよう、アジャイル開発を採用し、スピードと品質を両立させるとともに、システム基盤にクラウドを中心に採用しています。
●最新の開発手法や基盤を採用する中で、スピード感を落とさずに銀行としてのITリスクマネジメントの各種施策に実行していくための企画・推進できる方を歓迎します。

＜業務内容＞
クラウドネイティブ、アジャイル開発を支えるITリスクマネジメント領域において、以下の業務を担っていただきます。
●スピーディな開発・デプロイを妨げないITリスクマネジメントの実現（システムのリリースや障害リスクに係るルール・体制改善の企画、推進やインシデント対応時の全体リード）
●クラウド、アジャイル開発に相応しいシステムリスク評価・管理の実施、およびその改善の検討・企画

国際部門ITリスク担当として、下記をご担当いただきます。
●各国当局要請に対する本部システム対応の対応方針策定
●各地域のITリスク担当と連携し、当局対応案件の推進をサポート
●本部システムの行内ポリシーとのGap remediationをシステム横断的に管理・推進

【具体的なプロジェクト】
各国規制要件の充足にむけた案件新たなガイドラインを踏まえたテクノロジーリスク、サイバーリスク対応の高度化案件

【想定されるキャリアパス】
当部でのキャリアに加えて、各業務部門や海外拠点への異動など。

【システムリスク管理】
・システムリスク関連規程制定・改訂
・システムリスク評価やモニタリングの実施
・リスク対応策の検討（リスク統括部門と連携を含む）
・新商品システムリスク検討
・ASP、クラウド導入評価

【コンチ管理】
・コンティンジェンシープランの策定
・コンティンジェンシープランの訓練企画・実施

【障害管理】
・システム障害に係わる全体統括
　（1）システム障害発生時の対応に関する事項
　　・障害会議の運営・管理および経営報告等
　　・ユーザー部対応の支援
　　・障害管理に関する事項（期日管理）
　（2）システム障害に関する分析と所管部への対応指導・管理
　（3）システム障害の未然防止に関する事項

【システム企画／開発管理／運用管理】
・システムリスク評価に基づくシステム開発計画の策定
・システム企画開発に係わる規程類等の制定・改定
・システム運用に係わる規程類の制定・改定

【システム品質管理】
・システム品質に係わる全体統括・管理・方針策定・企画立案・推進
・システム品質に係わる社内外の牽制
　(1)　品質レビュー、品質管理検討会、再発防止対策の実施状況モニタリング
　(2)　開発部署が行う真因追求・再発防止策の評価、指導
　(3)　委託先における品質向上施策の推進・牽制

【外部委託先管理】
・外部委託先に関する新規契約時の審査
・外部委託先に対するモニタリング（外部委託先チェックシート等に基づく業務遂行状況の確認・結果報告・指示）※二段階以上の委託先管理も含む

【その他】
・ISMS対応
・PCIDSS準拠対応の方針・計画の策定・管理・遂行
・その他、システム安定稼動に関する事項

<業務の魅力>
・我が国有数の顧客基盤をもつ企業で、通信事業と並んで社会的影響力があり、事業の中核となる金融・決済事業に携わることができる。
・グループとして取り扱う金融・決済サービスは、クレジットカードやQRコード決済の他、資金移動、融資、保険、投資など多岐にわたり、多様な経験を積むことができる。
QRコード決済など、業界全体としてまだ確たる基準がないサービスにおいては、官民協力しての新規のルール作りなどにも従事できる。
・スペシャリストとして、自由な発想で自身の能力を更に伸ばし、事業の発展と共に成長することが可能

●システムリスクアセスメント：
当社のシステムにおけるリスクアセスメントレビュー。
システム障害やリスクアセスメントで生じた問題の調査・分析・報告。
残存リスクに対する提言等。

●監査対応：
システム監査の対応。
システムから監査部門への監査事項におけるフィードバック。
監査に準拠したマニュアル制定・改定
システム本部内の牽制部門的立ち位置で業務を推進いただきます。


本ポジションの魅力
品質管理部の存在は、当社が顧客に信頼され、市場競争力を維持するために必要不可欠です。
プロフェッショナルな環境で働き、最新のテクノロジーとベストプラクティスを活用するチャンスを提供し、品質管理の専門家としてのスキルを高める機会を提供します。クレジットカード会社のシステムの安定性と信頼性に直接貢献出来る魅力的な仕事です。品質管理部はシステムの品質を維持・向上させるために開発からテスト、リリースまでの開発プロセスを監視し、常にシステム開発全体を俯瞰する力が求められます。

品質管理未経験でも品質管理や監査対応の業務知識が身につけることができ、システムの安定性・信頼性に貢献することができます。

クレジットカード領域でのシステムリスク・情報セキュリティ管理業務に携わっていただきます。

●担当業務：
システムリスク管理・情報セキュリティ管理の所管部となるリスク管理部にて、システムリスク管理態勢の整備・高度化を担っていただきます。

＜具体的な業務（例）＞
・システムのリスク評価並びにリスク軽減策の立案・実施
・システム障害管理や分析

これらの業務において、企画立案、プロセス整備、運営実行および定着化等を担っていただきます。また、社内の2線部署として、事業部門から独立した立場より、牽制機能を発揮すると同時に、事業部門を支援する役割となります。

当社の海外拠点のITガバナンス／マネジメントレベルの向上に資するべく、海外拠点におけるシステム予算管理状況の把握、海外拠点が主導して開発を進めているIT案件の進捗状況の把握、海外拠点における情報セキュリティ等に関連する情報の収集等。また当該情報をITガバナンスの観点を踏まえ、経営メンバー他のマネジメントへのインプットを行える人材を募集。

・システムリスクに関する幅広い専門分野における企画立案・推進
・関連部署との連携や経営メンバーへの報告、金融庁をはじめとした対外機関向け報告

●概要：
社内セキュリティ対策の責任者を募集します。

●業務内容：
CSIRTを担当するチーム（2名）、ISMSなどの情報セキュリティを担当する部門（3名）の両方を包括的にリードいただきます。
セキュリティ対策の窓口やISMSの運用だけではなく、現場の実態改善を担っていただきます。そのために、各部門のセキュリティ向上や運用に寄り添って、対策が完了するまで伴走し、そして時には牽引していただくことが求められます。

(1)セキュリティ事故のリスク軽減
セキュリティ事故の発生可能性を減らすとともに、影響を最小化するための打ち手の策定・遂行、打ち手の実効性を高めるための現場部門の巻き込み・教育、現場部門向けの情報管理のガイドラインのドキュメント化、打ち手が実行されているかのモニタリングの仕組みの導入

(2)セキュリティ関連実務の体制強化
CSIRT(SOC)の運営・改善、セキュリティ事故発生時の社内・社外対応窓口の整備、事故に対しての修正・是正対応の指導、社内訓練（情報漏洩事案・BCP）事務局の構築、各種会議体企画・運営準備

(3)内部統制（IT統制）関連全般
複数部署を横断したシステム面におけるセキュリティ監査の社内メイン窓口、社内規定管理及び定期的な見直し、セキュリティポリシー策定、運用の定着に向けて定点観測の推進、定点観測時に発覚した変更における、内部統制上のリスクチェックおよび修正提案

(4)リスクマネジメント全般（社内のガバナンス系の各部門と協力して実施します）
リスクマネジメントプロセスの全体管理、リスク分析・評価、リスク対応策検討、管理策・基準/ルール策定、実施体制整備（対策・監査・品質保証体制）

●業務内容：
・当銀行及びグループ各社を対象とする内部監査業務（主としてシステム監査、情報セキュリティ監査）
　1）リスクアセスメント及び監査計画の立案
　2）オンサイトモニタリング
　3）オフサイトモニタリング
　4）監査報告（報告書作成、会議での報告等）

●業務詳細
・業務推進の仕方：担当領域毎のチーム（5〜6名）に属し、年間2〜3本程度の監査を担当頂きます。担当領域（チーム）はご経験・ご希望を踏まえ決定させていただきます。
・監査対象領域：ITガバナンス、ITセキュリティ、コンプライアンス、AML/CFT管理、自己資本比率規制、等
・監査対象部署：システム部門、コンプライアンス部門、リスク管理部門、財務部門等

SRC（System Risk ＆ Control）チームは、当社全体のテクノロジーリスク管理を担当します。
IT部内、海外拠点のIT担当、社内各部署の関係者、およびグループの関係者と活発にコミュニケーションをとり合意を得ながら進めていきます。
SRCチームでは、グループCIOの統制組織であるCCO（Chief Control Office）や、当社のITRC（IT Risk & Control）部門と連携し、
統制環境の標準化、最適化に向けたグループ全体のプロジェクトに参画しており、様々な施策、変革に取り組んでいます。主な業務は以下の通りです。
1. ガバナンス・コンプライアンス
　　ITリスク管理ガバナンス管理　・ ポリシーフレームワーク管理　・ システム一覧・CMDB管理　・ 法令諸規則・ガイドライン準拠
2. リスクアセスメント
　　システムリスクアセスメント　・ システム外部委託先評価　・ クラウド導入リスク評価
3. リスクモニタリング・レポーティング
　　システムリスク管理委員会報告・事務局　・ RCSA・リスクアクセプタンス管理　・ システム障害管理

・ITガバナンスの推進、IT投資案件のガバナンスとモニタリング
・SOX監査対応（IT全般統制、IT業務処理統制）
・IT業務処理統制テストと調書作成
・業務効率化・改善

大手銀行での米州における下記業務
●情報セキュリティ関連の当局・規制対応と東京への情報発信
●システムリスク評価、セキュリティコントロール評価の企画・実施
●クラウド等導入時のセキュリティレビューや期中管理
●情報セキュリティのガバナンス強化、レポーティングの企画・実施
●プラットフォーム構築、自動化推進

情報リスクマネジメント（IRM）チームは、情報リスクに関して、ファーストライン部門（各ビジネス部門、業務管理部門、IT 部門）と密接に連携を取り、かつ、独立性の立場を保ちながら助言や課題提言を提供し行い、会社組織全体の情報リスク管理をサポートしています。
IRMアシスタントマネージャーは、チーム業務に関して、必要に応じて上位マネージャからのサポートを得ながら日々の関連タスクに責任を持ちます。
情報リスク（およびITリスク）、サイバーセキュリティ、ならびに、生命保険ビジネス（保険商品、サービスおよび顧客、戦略目標、ビジネスプロセス、システムなど）の知識が必要となります。またこの他にも、既存のリスクや新たに発生するリスクに関して、積極的にかつ自律的に、分析し解決まで導いていくハンズオンの実践的なビジネスセンスが必要となります。具体的には、ITガバナンス、サイバーフォレンジックや脅威情報をはじめとする各サイバーセキュリティ対策を柱とする、リスクの管理監督を実行させていく幅広い知識への理解が求められます。


1.情報（IT）リスクドメインにおいて独立的な立場からファーストライン（事業責任者、マネジメント、担当者）に助言およびチャレンジを行い、適切に情報（IT）リスク管理が行えるよう会社を支援する

情報（IT）関連（システム、アプリケーション、外部委託ベンダー、セキュリティ、プロジェクト、BCM / DR等）に関するリスク評価および課題の特定の実施および2nd Line Opinionの提示と管理統制の定義、リスク緩和や改善策を策定の支援


グループガバナンス、ポリシー、事業目標、および戦略に沿った情報（IT）関連の統制、プロセスのデザインとその有効性の継続的な確認

ローカルのリスク委員会とマネジメント、およびグループに対する、情報（IT）に関連のリスクおよび課題の報告

2.定義されたITセュリティとITガバナンスの展望を維持し、会社全体をサポートします。

社内外の各ステークホルダーとの連携

法律・当局規制、および契約事項の遵守を目的としたポリシーと基準の策定と管理


既知のリスクと統制を適切な認知を目的としたリスクの状況の記録


各統制の有効性と品質を維持を目的に、リスクアセスメント、コンプライアンステストの実施し、またテスト結果をセカンドラインとして独立してレポート

ITリスクとコントロールを評価、ならびに、KRIを定義し、ファーストライン部門におけるリスク管理活動をサポート

セキュリティトレーニングを実施し、組織全体の意識を向上


ITリスクに関して（サイバーセキュリティや個人情報保護など）のファーストライン部門へ助言とサポート。


各種ITポリシーとセキュリティ基準に即して委託先評価を実施

3.ITリスクやサイバー攻撃に関する専門的アドバイスを提供し、会社全体のサイバーリスクに関する対応力を向上




IT（セキュリティ）インシデントの管理および解決までの調整をCSIRT部門と協調して実施
最新の脅威インテリジェンスを保持
会社資産とデータの保護を目的とした物理セキュリティの検証

【将来のキャリア展望】
・情報リスク管理担当 - IRMマネージャ
・他オペレーショナルリスク管理担当
・ITセキュリティの職務

システムリスク管理と情報セキュリティ管理について企画・立案から実行までご対応いただきます。

●システムリスク管理全般の企画・立案・実施として下記の業務
1. 情報システム・情報資産に関するリスクアセスメント
2. システム障害管理および原因・傾向分析、再発防止策の策定支援
3. 外部委託先管理（選定時評価・定期評価など）

●情報セキュリティ管理全般の企画・立案・実施として下記の業務
1. セキュリティ向上施策の実施
2. セキュリティに関するトレーニング
3. セキュリティ機器に関するログ管理・調査

【このポジションの魅力】
●ネットワークエンジニアの経験を保有されている方で、キャリアアップしてセキュリティ領域にチャレンジされたい方歓迎
●金融機関のセキュリティエンジニアとして、経営に直結する大きな取り組みを担って頂きます。

以下いずれかの業務に専従、もしくは兼務を想定しております。
【障害管理業務】
　・発生したシステム障害の個票管理（起票内容レビュー〜クローズまで）
　・関係各所への報告書とりまとめ（対経営、関係省庁等）
　・障害再発防止に向けた分析
　・障害削減に向けた対策の立案と実行管理
【プロジェクト品質管理】
　・システム開発プロジェクトの品質管理（品質管理部門の観点より）
　・工程終了判定の開催と管理、
　・プロジェクト品質レビューの実施
　・各プロジェクトの品質評価と未決事項の指摘・管理
【その他システムリスク管理】
　・定期的なシステムリスクアセスメント（対象社内：FISCベースなど）の実施
　・関係各所へのヒアリングととりまとめ、評価資料の作成と報告

下記職務の中からご経験を踏まえて、担当職務を決定します。他メンバーの繁忙状況等を踏まえて、他の職務への積極的な支援が求められる場合もあります。

●システムリスク管理戦略立案、推進管理
●銀行グループ向けの規程・ガイドラインの策定・改定
●案件審査、セキュリティレビュー
●各種監査や照会対応
●内部統制対応支援
●人材育成、啓発活動
●諸会議運営
●行内・グループ会社からの相談事項について、専門的知見を活かしたアドバイス　など

各案件の担当者と関係を構築しながら、案件毎のリスクの特定や、その評価、改善案の策定・実施・報告等の推進・マネジメントが主な業務になります。

【入社後にお任せしたい業務】
●各種セキュリティ・統制のモニタリング業務
●システムリスクの特定・評価とその改善案の策定（単年、中長期）
●システムリスク管理体制の整備
●委託先の管理・評価の実施
●各種監査対応
●各種報告資料の作成

【将来的にお任せしたい業務】
●案件・リスク管理部門全体のマネジメント・推進
●経営陣への各種報告・提案

下記のいずれかの職務をご担当頂きます
1．サイバーセキュリティに関する戦略企画
2．グループ・グローバル連携の強化推進
3．サイバーセキュリティに関するポリシー・プロセス・手順書等の整備管理
4．国内外セキュリティ機関との連携による、インテリジェンス調査・分析

【業務内容】
当社のITリスク管理・運営による安定性確保と企業価値の向上がミッション。IT・デジタル領域のリスク特定・モニタリング・分析により、リスクの所在、要因と予兆を把握、独立アセスメント結果を経営報告するとともに危機の芽に先手を打ち万一に備える枠組みを整える。

下記職務の中からご経験を踏まえて、担当職務を決定します。他メンバーの繁忙状況等を踏まえて、他の職務への積極的な支援が求められる場合もあります。

●システムリスク管理戦略立案、推進管理
●システムリスク評価
●弊行グループ向けの規程・ガイドラインの策定・改定
●案件審査、セキュリティレビュー
●各種監査や照会対応
●内部統制対応支援
●人材育成、啓発活動
●諸会議運営
●行内・グループ会社からの相談事項について、専門的知見を活かしたアドバイス　など

＜想定されるキャリアパス＞
システム統括部の中でのキャリアに加えて、各業務部門や海外拠点への異動はもちろん、各グループ各社との一体運営の観点で、グループ各社の役職者として当行から数年出向して、戻ってくるというご経験をされた方も多くいらっしゃいます。

＜概要＞
●クラウドネイティブな銀行のITリスクマネジメントを担う人財を募集しています。
●弊社では、世の中の変化に素早く対応できるよう、アジャイル開発を採用し、スピードと品質を両立させるとともに、システム基盤にクラウドを中心に採用しています。
●最新の開発手法や基盤を採用する中で、スピード感を落とさずに銀行としてのITリスクマネジメントの各種施策に実行していくための企画・推進できる方を歓迎します。

＜業務内容＞
クラウドネイティブ、アジャイル開発を支えるITリスクマネジメント領域において、以下の業務を担っていただきます。
●スピーディな開発・デプロイを妨げないITリスクマネジメントの実現（内部不正による情報漏洩リスクの低減に係るルール・体制改善の企画・推進）
●クラウド、アジャイル開発に相応しいシステムリスク評価・管理の実施、およびその改善の検討・企画

●役割
以下のような業務を担当して頂きます
・システムリスク評価・報告、対策検討
・CSIRT運営（サイバーリスク管理、対策）
・当局、社内外監査対応など
・行内のルール等の作成・見直し
・セキュリティ教育の計画、実施

●ポジション
・システムリスク管理担当

●キャリアパス
・マネジメント職、特定のスキルや経験に特化した専門職の選択が可能
・システム開発部門、ATM企画・開発部門、システム企画、システム運用
　部門等へのキャリアアップも可能

●アピールポイント
・セキュリティやサイバーリスクの分野は経験者が少なく未経験者でも
　安心して業務に従事できるように教育制度を準備しています。
・金融機関では、金融機関が所属する外部専門機関あり、初めてのシス
　テム担当者や情報セキュリティ担当者向けに年間に渡って研修やセミ
　ナーが開催されています。
・CISSPやCCSPなど外部研修への参加を奨励し受講料もサポートしていま
　す。
・また、システム部門としても教育・研修に力を入れており、積極的に
　外部研修、資格取得を奨励し、AWS認定の基礎コースはシステム部門在
　籍の方は全員に受講頂きます。
・実際の業務ではOJTを中心に、新技術の発展でサイバー攻撃も巧妙にな
　るため、先輩社員と一緒に検討し考えて業務を進め、その中で知識や
　経験を積んでいただきます。一人で責任を抱えることなくチームとし
　て一緒に成長し経験を積んでいきます。
・システム部門は、先輩社員が多いですが気軽に質問できる雰囲気で若
　手社員ものびのび仕事をしています。""

●求める人材像
　当行は、金融やさまざまな事業会社などで知識・経験を積んだ、少人数ながら極めて多様性に富んだ社員の集団です。みんな、新しい銀行をつくりたいという熱い想いを持って集まりました。
　また、新しい会社なので組織がフラットで、風通しがよく、経営陣や事業部署との距離が非常に近いこと、少人数の組織のため、全社横断的なプロジェクトを頻繁に組成していることも大きな特徴で、経営陣や事業部署と密接に連携して業務を進めていただくことができます。中途入社の方にも中核メンバーとして活躍いただけるフィールドが多数あります。このため、以下のような方にぜひお越しいただきたいと思っています。
共感とチャレンジ精神：私たちの経営理念、ビジョンに共感し、新しい取り組みに挑戦したい方
当事者意識と推進力：少数精鋭の業務運営を志向し、自ら課題解決しながら業務を遂行したい方
協働とコミットメント：多様なバックグラウンドを持った仲間と協調しながら目的を達成したい方

下記のようなシステムリスク管理業務について適性に応じご担当いただきます。
セキュリティ統括室は様々なバックグラウンドを持つ中途入行者が多数を占める、風通しのよい職場です(テレワークは平均週2回程度）。

・ＩＴ資産管理
・規程・ガイドラインの制定（システムリスク、サイバーセキュリティ等の領域）
・システムリスク・アセスメント（セキュリティ対応状況の定期点検）
・セキュリティ審査（システム、クラウドサービスの導入時）
・システム障害管理
・BCPの検討、システムの被災を想定した訓練
・外部委託先管理（システムリスク）
・ＩＴ統制

IT Risk and Control (ITRC) delivers the overall technology governance and control framework to support technology operations. Objectives of the team are to:
・Define the overall System Risk Management Framework, and associated controls.
・Define and implement appropriate governance to ensure compliance to the System Risk Management Framework, and that the control framework / controls are robust.
・Maintain and monitor the Regional and Global Technology Control Environment for adherence to the Governance Framework.
・Facilitate the operation of appropriate controls to allow Technology to operate efficiently and effectively while ensuring requirements of Technology Management, Internal and External Audit, Regulatory Bodies, Compliance and Risk controls are met.
・Monitor and assist with remediation where controls are to be strengthened.
・Advise Technology management and staff on Governance, Risk, and Control best practices.
・Oversee the annual IT-portion of the SOX Audit (Japan has the heaviest involvement)
・Direct responses to the IT-portion of regulatory inquiries and inspections.
・Assist with Internal Audit reviews / audits.

The ITRC Japan team includes staff of various nationalities and we are actively looking at making the team more diverse.

＜Responsibilities＞
・Responsible for the IT Risk & Control operations within the Corporate Division of Our Company, which also includes global oversight of the controls operating globally.
・Support global IT policies & standards buildout and reviews, and monitor compliance of IT operations.
・Assist with writing IT Policies, Procedures, Standards, and Process Documents if required.
・Proactively review existing processes and procedures and make proposals for improvement.
・Support the controls testing, monitoring and assurance reviews of the controls defined within the IT Risk Control Library.
・Liaise with policy and standards owners globally to evaluate control testing results and if required, develop agreed remediation plans and manage the exception/action tracking.
・Seek to continually improve the maturity of control testing and assurance activities.
・Perform IT risk assessment to identify potential risks and develop mitigating controls.
・Coordinate internal and external audit / inspections, and technology related regulatory assessments.
・Monitor technology projects for adherence to governance policies and processes.
・Support other IT Risk and Control initiatives like Disaster Recovery Testing, Vendor Management, Management Reporting in accordance with mutual discussion and agreement with line manager, as necessary.
・Improve overall IT Risk & Control awareness among IT staff
・Assist with collating updates and metrics for the Governance Forums, both Global and Regional

システム部門にて、様々なリスクに対する、発生抑制や発生時対応策の企画立案および推進業務を行っていただきます。

・ハード面・ソフト面や銀行内外の様々なリスク　　
・システム開発の委託等の外部発注にかかるリスク　　
・災害対策　　
・障害発生対策等

グループ・グローバルベースでのシステムリスク管理の改善・向上に向けた戦略企画、フレームワークの構築、ポリシー/プロセス/手順書等の整備、PDCA運営の定着化等
●システムリスク評価（システムに対するリスクアセスメント）
●システム障害分析（発生障害・インシデント等からの傾向分析）
●外部委託管理（多段階委託、クラウド環境下における委託管理）
●情報セキュリティ管理
●コンティンジェンシープラン（事業継続管理）
●開発案件のプロジェクト審査　等

【主な業務内容】
・サイバーセキュリティに関する診断計画策定・実施・評価
・脆弱性情報の収集、評価、インシデント対応(CSIRT活動)
・開発プロジェクトやシステム委託先に対するシステムリスクのアセスメント、管理体制の継続的改善
・セキュリティ製品・サービス導入プロジェクトの評価・ベンダー選定及びプロジェクト管理
・ITリスク管理業務、セキュリティ関連規定策定・見直し
・従業員向けリテラシー教育・啓発

【システム環境】
基幹系システム（汎用機ｚＯＳ／COBOL）/Web系システム（Windows/Unix等）/ネットワーク機器など

●システム開発部門が策定したプロジェクト計画(開発計画・テスト計画・リリース計画等)について、その妥当性・十分性を検証のうえプロジェクトの進行可否を評価する。
●またシステム開発プロジェクトがその目的を達成できるよう、阻害要因となりえるリスクを洗い出し、リスク低減に向けた助言を行う。

・IT部門だけでなく、銀行全体のシステムリスク管理を担い、新規導入システムおよび既存システム（含むITサービス）のリスク評価を実施し、高度なITガバナンス態勢を維持する
・システム障害管理、システム開発工程の品質評価、外部委託管理、庶務等、IT部門の管理全般の役割を担う

※将来的なマネージャー候補としての採用となります。

・海外拠点におけるITガバナンス運営
・海外拠点におけるIT業務運営の改善サポート
・海外拠点に適用するポリシーや手続きの改善
・海外拠点における統合的なリスク管理、モニタリング
・海外拠点のスタッフ向け教育
・上記をサポートするツール導入、展開

●海外ITリスク管理業務の特徴
海外拠点におけるITリスク管理を企画・推進する業務です。欧米アジアと多数展開する海外拠点とのコミュニケーションを通じて、グローバルなIT動向に触れることができます。またニューヨーク、ロンドン、シンガポールなどに駐在者も派遣しています。グローバルで通用するITスキルを磨きたい、英語力を活かしたキャリアを志向したい、海外の多数のスタッフと新しいフィールドに挑戦したい等の強い意欲をお持ちの方をお待ちしております。

●システムリスク管理の改善・向上に向けた戦略企画、フレームワークの構築、ポリシー/プロセス/手順書等の整備、PDCA運営の定着化等
・システムリスク評価（システムに対するリスクアセスメント）
・システム障害分析（発生障害・インシデント等からの傾向分析）
・外部委託管理（多段階委託、クラウド環境下における委託管理）
・情報セキュリティ管理・コンティンジェンシープラン（事業継続管理）

●システム開発におけるプロジェクト審査
・システム開発部門が策定したプロジェクト計画(開発計画・テスト計画・リリース計画等)について、その妥当性・十分性を検証のうえプロジェクトの進行可否を評価
・システム開発プロジェクトがその目的を達成できるよう、阻害要因となりえるリスクを洗い出しのうえ、リスク低減に向けて助言

【職務内容の特徴】
金融サービスの次世代化が急速に進む中、お客さまにこれからも必要とされる信託サービスを、グループの多様なメンバーとともに、ITの専門性を活かして共創していく仕事です。メガバンクグループという大きな舞台で、自分のスキルを試してみたい、実戦経験を通じスキルアップを図りたい、社会のために貢献したい等の強い意欲をお持ちの方をお待ちしております。

【システムリスク管理室の特徴】
信託銀行の各種ビジネスを えるシステム群（信託プロダクト/年金運用・管理/資産承継/証券代行/不動産信託・仲介、勘定・情報系、システム基盤 など）における、システムリスク管理を企画・推進する部門です。

・システムリスク管理関連の業務全般（ＩＴ所管・ＥＵＣ・クラウド）
・システムに対するリスクアセスメント
・EUC管理、クラウド評価、RPAに関わる統制整備

・システムのセキュリティリスク評価
・セキュリティに関する規程類の整備
・製品・サービスの導入検討
・セキュリティ教育・訓練の推進
・サイバーインシデント・脆弱性のハンドリング
・外部セキュリティ関連機関の活動への参画

システムリスク企画・管理業務をご担当いただきます。
【具体的には】
・システムリスクに関する企画、リスク評価及び対応管理

・情報セキュリティに関する方針策定、リスク評価及び対応管理
・システム導入案件におけるセキュリティ要件定義や各種リスクチェック
・CSIRTとしてのサイバーセキュリティ関連業務
・システム開発の品質管理 ・規定等の整備 ・監査対応、当局による検査対応　など

金融当局による監視強化に対応するとともに不正防止に資する監査の仕組みを確立し、独立した組織として、社内金融分野の重要/基幹システムを対象に専門的かつ高度なシステムリスク監査を実施します。

【アピールポイント（職務の魅力）】
社内外で発生したセキュリティインシデントやシステム故障等を含め、システムの安定運行に向けたシステムリスク管理は、今や企業に必要不可欠な活動となっています。システムリスク監査は、そのシステムリスク管理におけるPDCAの重要な一角を担う活動であり、当社のお客様や金融当局からも注目されています。

また、経済産業省のシステム監査基準ではシステム監査の目的を、「情報システムにまつわるリスクに適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係者に対する説明責任を果たすこと」と定義しており、システム監査は、極めて重要な活動として位置付けられています。

さらに当社が長年に渡り、構築・運用に携わってきた大規模ネットワークシステムをはじめとする日本の金融・経済を支える社会基盤システム、幅広い金融機関に向けた共同利用型システム、今後増えていくと想定されるクラウド活用型システムなどの様々なシステムの監査の経験や、ニューノーマルの働き方等から想定される新たなリスクへの対応の検討など、システムリスク監査にかかる知見を高めていくこともできると考えます。

監査は容易な仕事ではありませんが、システムが長年の経験の上で創り上げた統制について触れることができ、スキルの向上や金融ビジネスに対する視野を広げ、自身のキャリアアップにもつながる仕事です。
効果的かつ効率的な監査の企画及び実施に向け、これまでに培われた経験から力を発揮してくださる方、是非ご応募をお待ちしています。

事業計画、IT戦略を支えるためのITガバナンスを志向し、グループ全体を俯瞰した視点から各社のIT評価、コスト管理、モニタリング、ルール策定、態勢整備といったITガバナンスに係る業務全般を行う。

○ITガバナンスに係るアセスメントプログラムの実行と評価、プログラム改善
○グループ内の主要プロジェクト、IT管理態勢全般に対するモニタリング、評価
○国内外のグループ各社からのIT戦略に係る報告の徴求、要員管理及び調整の支援、必要に応じたアドバイス
○ITガバナンスに関する経営報告、グローバルCIO会議の企画と運営
○IT統制に関する各種規程、マニュアル、ガイドライン類の策定
○グループ全体最適に向けた分析/企画/各社支援
○ITリスクおよび危機管理に関するグループ全体の管理態勢構築とモニタリング（各個社との対話）

●資産運用会社におけるIT統制全般、システムリスク(サイバーリスク含)管理業務全般、ITガバナンス業務全般
システムリスク(サイバーリスク含)を適切に把握し、組織の一員としてリスク低減に資する企画立案・整備推進
・システム監査、セキュリティ監査・内部統制監査、内部統制態勢構築・システムリスク管理・情報セキュリティ管理

●資産運用会社におけるITガバナンス全般
・IT領域の予算策定支援、予実管理
・IT領域の調達・契約スキームの最適化

当社のシステムを利用するすべての方に対して「安全」と「安心」を提供するためにリスク管理の観点から以下の対応を行っております。
@システムリスク管理
　・当社システムに対するリスク評価（FISC安全対策基準を用いたチェックリストでの評価、シナリオベースの評価、過去に発生した障害などの対応状況の確認などを踏まえた総合的な評価を実施）
　・外部委託先管理（システム開発を行う委託先の適切性の評価、定期的なモニタリング実施）
　・ASP／EUC管理（業務所管部にて管理するASPやEUCに対するリスク評価、所管部への指導等）
　・システム部門所管規定類の改廃
　・システムリスク管理業務における金融庁との折衝
　・金融庁検査、日銀考査、監査法人による外部監査（J-SOX含む）への対応
　・各種会議体運営事務局

Aシステム障害管理
　・発生したシステム障害の集計
　・原因や再発防止策の策定内容の妥当性評価、対応状況のモニタリング
　・発生したシステム障害の再発防止を図るためのナレッジ共有

＜特徴・魅力＞
当社のスピード感を損なわずにいかに安全と安心を提供するシステムを維持管理させるか、正解がない業務に対して日々試行錯誤しながら業務を進めています。
ただ決められたチェックリストの内容を確認してリスクの有無を確認するのではなく、ビジネスの状況や利用する情報の性質などを踏まえ当社にとって何が最適な対応化という事を常に意識しながら業務を行う事が出来ます。
システム担当者とは技術面での会話、業務所管部署担当者とはビジネス面での会話を行う必要があり、さらに当社の50以上あるシステムのリスクを評価することになりますので、非常に幅広い分野で業務を行う事が出来ますし、全体感を俯瞰した物事のとらえ方が身につきます。

●銀行における重要システム開発プロジェクトの審査を担当頂きます。
●プロジェクト計画の実効性点検・評価、開発の進捗状況、リリース準備状況の点検・評価を行い、品質の高いシステムの維持・向上を推進します。

（部門について）
情報システムの品質維持向上のため、お客様に提供しているシステムの定期的な点検、評価や、新たな開発案件が安全、確実に推進されるように審査業務を行う部署です。より安全で安定的なサービスをお客様に提供していくための高いシステム品質を確保する一端を担う重要な部署となっています。
働き方も、テレワークやフレックスタイム制を取り入れ柔軟な働き方を取り入れています。

以下の業務を通じて、銀行におけるシステムリスク管理態勢の高度化を推進いただきます。
銀行グループ全体のシステムリスク管理の方針や計画策定から推進まで幅広い範囲の経験をすることができます。
●システムリスク点検（情報システムに対するリスクアセスメント）
●システム障害分析（真因分析評価、再発防止策点検）
●コンテンジェンシープランの点検　等

（部門について）
情報システムの品質維持向上のため、お客様に提供しているシステムの定期的な点検、評価や、新たな開発案件が安全、確実に推進されるように審査業務を行う部署です。より安全で安定的なサービスをお客様に提供していくための高いシステム品質を確保する一端を担う重要な部署となっています。
働き方も、テレワークやフレックスタイム制を取り入れ柔軟な働き方を取り入れています。

社内システム部門にてシステムリスク管理業務を担当いただきます。
【具体的には】
・プロジェクト管理
・システム開発管理（要件定義、スケジュール管理、課題管理、ユーザー受入テスト）
・外部委託先管理
・サイバーセキュリティ管理
・情報セキュリティ管理
・IT全般統制
・IT業務処理統制
・障害対応・障害管理
・インシデント管理
・監査・検査対応
・その他システムリスク関連業務全般

当社のITセキュリティの維持と継続的な向上を図るため、ITガバナンス・リスク・コンプライアンス（ITGRC）のスタッフを募集します。
ITGRCスタッフは、ITセキュリティ基準を遵守したITガバナンスを実現するため、第2の防衛ラインの一員として活動します。ITリスクアセスメントやITGRCレビューに参画するほか、ITセキュリティ基準を強化する各種プロジェクトに参画して頂きます。

業務内容
・ ITGRCの一員として、ITセキュリティ基準に準拠したITガバナンス運用を実現するためIT技術および情報セキュリティのベストプラクティスを活用する。
・ 対象技術領域を定期的に評価することで、各種技術要件がITセキュリティ基準に準拠していることを検証する。
・ グローバル本社と連携し、ITリスク評価、IT監査、ITGRCレビューに参画する。
・ ITセキュリティやITコンプライアンスにおけるベストプラクティスに関する知識と経験に基づき、ITセキュリティ基準に準拠するために必要なITセキュリティ計画、ITソリューション、ITセキュリティ体制に対する提案活動を支援する。
・ 進捗状況やリスクの管理、および主要なステークホルダーへの進捗状況および成果を報告するとともに、特定された脆弱性に対する是正措置計画を策定する。
・ IT監査（第3線）、ITコンプライアンス評価（第2線）、ITGRCレビューに基づく報告書を作成し、IT部門責任者に根本原因と是正措置策を提案する。

【参考】システム環境
NW/HW ：　Cisco / HP / Check Point FW / 他
　OS　：　Windows10 / Windows Server / Linux / iPad iPhone / AWS / AS400 他
　ミドルウェア　：　AD / Exchange / MDM / VMware / SQL server / Oracle./ Apache / Tomcat / HULFT / ISAM/ SecureID 他

・最先端の技術を用いた当メガバンクグループのキャッシュレス決済戦略及びクレジットカード戦略に伴うサイバーセキュリティやシステムリスクに関する戦略企画及び実務全般
・戦略実行に伴う当局及び関係機関との連携及び調整

具体的には、以下業務に従事いただく予定です。
1.CSIRTの運営およびインシデント対応
2.サイバーリスク対策・セキュリティ強化策の企画・管理・運用支援
3.システム企画・開発・運用におけるセキュリティ向上のためのアセスメント・助言
4.社内へのセキュリティ啓発活動
5.サイバーセキュリティやシステムリスクに関わる規程・ルール制定・改定
6.PCIDSS準拠対応や社内システムのゼロトラスト対応

●本ポジションの魅力
1.本ポジションにおいては、事業会社のITガバナンス、PM、PMO等幅広くシステム視点から事業戦略に携わることができます。
2.グループ各社の知見・リソースを存分に活用してサイバーセキュリティ戦略及びシステムリスク管理方針の策定・運営に携わることができます。