Senior GRC

Lokasi:

Jakarta

Departemen:

Cybersecurity

Laporan kepada:

Chief Information Security Officer

(CISO)

Employment

Type

:
Full

-
time

Submit your Resume:

Deskripsi Pekerjaan

Sebagai
Senior GRC Specialist

, Anda akan memimpin inisiatif tata kelola, manajemen risiko, dan kepatuhan keamanan siber di seluruh organisasi. Anda bertanggung jawab memastikan bahwa kebijakan, prosedur, dan kontrol keamanan perusahaan selaras dengan kerangka kerja standar industri, regulasi lokal & global, serta kebutuhan bisnis strategis.

Peran ini menggabungkan pemahaman mendalam tentang regulasi, manajemen risiko, dan keamanan teknis untuk menciptakan postur kepatuhan yang tangguh dan berkelanjutan.

Tanggung jawab utama meliputi:

·      Mengembangkan, memelihara, dan memperbarui kerangka kerja

GRC

perusahaan, termasuk kebijakan keamanan, standar operasional, dan prosedur (SOP).

·      Memimpin program

manajemen risiko keamanan siber

, termasuk identifikasi, penilaian, mitigasi, dan pelaporan risiko TI & data.

·      Memastikan kepatuhan terhadap regulasi dan standar seperti:

o  ISO/IEC 27001

,

NIST CSF

,

PCI DSS

,

SOC 2

o  Peraturan Perlindungan Data Pribadi (PDP)

/

UU PDP Indonesia

o  

GDPR

(untuk sistem yang digunakan dan beroperasi di Eropa)

o  

POJK

,

OJK

, atau regulasi sektor keuangan (jika relevan)

·      Mengelola siklus audit internal & eksternal, termasuk koordinasi dengan auditor pihak ketiga dan regulator.

·      Melakukan
gap

assessment

terhadap kontrol keamanan dan merekomendasikan perbaikan berbasis risiko.

·      Mengembangkan dan memelihara

register risiko

,

register aset

, dan

matriks kepatuhan

·      Berkolaborasi erat dengan tim IT, Keamanan Siber, Hukum, Privasi, dan Bisnis untuk mengintegrasikan prinsip GRC ke dalam proses operasional.

·      Memimpin pelatihan dan kesadaran kepatuhan bagi karyawan terkait kebijakan keamanan dan privasi data.

·      Menyusun laporan risiko dan kepatuhan untuk manajemen eksekutif dan dewan direksi.

·      Memantau perkembangan regulasi dan ancaman kepatuhan baru, serta menyesuaikan strategi GRC secara proaktif.

Kualifikasi
Pendidikan & Sertifikasi

·      Gelar Sarjana (S1) di bidang Hukum, Manajemen, Ilmu Komputer, Keamanan Siber, atau bidang terkait. Gelar Magister (S2) menjadi nilai tambah.

·      

Sertifikasi profesional wajib atau sangat diutamakan

, seperti:

o  

CISA

(
Certified Information Systems Auditor

)

o  

CRISC

(
Certified in Risk and Information Systems Control

)

o  

CISM

(
Certified Information Security Manager

)

o  ISO 27001
Lead Auditor

/
Implementer

o  

CIPT

atau

CIPP

(jika fokus pada privasi/data protection)

Pengalaman

·      Minimal

5–8 tahun

pengalaman di bidang

GRC, audit TI, manajemen risiko, atau kepatuhan keamanan siber

·      Pengalaman langsung dalam:

o  Implementasi dan sertifikasi

ISO 27001

,

SOC 2

, atau kerangka serupa

o  Penyusunan kebijakan keamanan dan program kepatuhan

o  Manajemen risiko berbasis NIST RMF atau ISO 31000

o  Audit eksternal dan respons terhadap temuan audit

·      Pengalaman di sektor yang diatur ketat (keuangan, kesehatan, pemerintahan, atau teknologi) sangat dihargai.

Keterampilan Teknis & Fungsional

·      Pemahaman kuat tentang:

o  

Kerangka kerja keamanan:

NIST CSF

,

ISO 27001

,

COBIT

,

CIS
Controls

o  

Regulasi privasi:

UU PDP (Indonesia)

,

GDPR

,

CCPA

o  Prinsip keamanan siber dasar (meski tidak perlu menjadi
engineer

)

·      Kemampuan menggunakan tools GRC seperti
ServiceNow

GRC

,
RSA

Archer

,
MetricStream

,
OneTrust

, atau
LogicGate.

·      Mahir dalam analisis risiko kualitatif & kuantitatif, serta pelaporan eksekutif.

·      Kemampuan dokumentasi kebijakan dan prosedur yang jelas, ringkas, dan sesuai standar.

Keterampilan Lainnya

·      Komunikasi lisan dan tertulis yang sangat baik, termasuk kemampuan menyampaikan isu teknis ke
stakeholder

non-teknis.

·      Kemampuan negosiasi dan pengaruh lintas fungsi (
cross

-
functional

influence

).

·      Berpikir strategis dengan orientasi pada solusi berbasis risiko (
risk-based approach

).

·      Integritas tinggi, objektivitas, dan komitmen terhadap etika profesional.

·      Pengalaman sebagai auditor menjadi nilai tambah.

·      Latar belakang hukum atau privasi data (DPO
experience

) akan menjadi nilai tambah.

·      Kemampuan berbahasa Inggris aktif menjadi nilai tambah.

·      Pengalaman dalam transformasi digital atau migrasi cloud dari perspektif kepatuhan menjadi point tambahan.

Jika Anda seorang profesional GRC yang berpengalaman, berpikiran analitis, dan berkomitmen membangun budaya kepatuhan yang kuat, kami mengundang Anda untuk bergabung dan menjadi pilar tata kelola keamanan siber kami.