Job Openings
IT Auditor
About the job IT Auditor
Responsibilities:
- ตรวจสอบระบบความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) ของโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ (IT Infrastructure) ที่ใช้งานในบริษัทกลุ่ม SCG เช่น Data Center, ระบบเฝ้าระวัง, ระบบตรวจจับความผิดปกติ และฐานข้อมูล
- ประเมินความเพียงพอของการควบคุมภายใน เพื่อลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ และรักษาความปลอดภัยของข้อมูล
- จัดทำเอกสาร รายงาน และหลักฐานประกอบผลการตรวจสอบ รวมถึงติดตามประเด็นตรวจสอบจนสามารถปิดข้อสังเกตได้
- สนับสนุนการพัฒนาเครื่องมือด้านการตรวจสอบ (Audit Tools) และการทำ Data Analytics เพื่อเพิ่มประสิทธิภาพและความต่อเนื่องของงานตรวจสอบ
Qualifications:
- จบปริญญาตรี สาขา Computer Engineering, Computer Science, Information Technology หรือสาขาอื่นๆที่เกี่ยวข้อง
- ประสบการณ์ 0–3 ปี ด้าน IT Cybersecurity / IT Audit / Cybersecurity Audit (หรือใกล้เคียง)
- มีทักษะด้าน Data Analytics เพื่อการตรวจสอบ เช่น SQL/Python/Power BI (จะพิจารณาเป็นพิเศษ)
- มีประสบการณ์ด้าน SOC/SIEM/Incident Response/Threat Hunting หรือ DevSecOps (SAST/DAST, CI/CD) (จะพิจารณาเป็นพิเศษ)
- หากมีประสบการณ์ใช้ GRC/Audit tools เช่น TeamMate, ServiceNow GRC, Archer (จะพิจารณาเป็นพิเศษ)
- ใบรับรองที่เกี่ยวข้อง CISA, CISM, CISSP, ISO/IEC 27001 Lead Auditor/Implementer, CCSP, CEH, Security+, ITIL (หากมีอย่างน้อยหนึ่งใบจะพิจารณาเป็นพิเศษ)
- ความสามารถด้านภาษาอังกฤษ (ฟัง/พูด/อ่าน/เขียน) ในระดับทำงานได้
Knowledge:
- มีความรู้ด้านการควบคุมภายใน การบริหารความเสี่ยง และการจัดการความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Management) รวมถึงแนวคิดการตรวจสอบแบบ Risk-Based
- มีความรู้ด้านวิศวกรรมเครือข่าย (Network Engineering) และสถาปัตยกรรม/โครงสร้างพื้นฐาน IT (IT Infrastructure)
- มีความรู้ด้านการควบคุมภายในและการบริหารความปลอดภัยของระบบสารสนเทศ (Information Security / ISMS) ครอบคลุมนโยบาย มาตรฐาน และการประเมินประสิทธิผลของการควบคุม
- มีความรู้ด้านการจัดการฐานข้อมูลเชิงสัมพันธ์ (Relational Database) และทักษะการดึง/วิเคราะห์ข้อมูลเพื่อสนับสนุนงานตรวจสอบ
- มีความรู้ด้านการวิเคราะห์และออกแบบระบบงานคอมพิวเตอร์/แอปพลิเคชัน และแนวทาง Secure Design/Secure SDLC รวมถึงการประเมินความเสี่ยงและช่องโหว่ของระบบสารสนเทศ (Vulnerability Assessment / Security Testing เบื้องต้น)
- มีความรู้ด้านมาตรฐาน/กรอบงานกำกับดูแลและการปฏิบัติตามข้อกำหนด (Compliance & Frameworks) เช่น ISO/IEC 27001/27002, NIST CSF/NIST 800-series, CIS Controls, COBIT และ PDPA/Privacy
- มีความรู้ด้านการบริหารจัดการช่องโหว่ การแพตช์ และการตั้งค่าความมั่นคงปลอดภัยของระบบ (Vulnerability/Patch/Configuration Management) รวมถึงแนวคิด Hardening (Windows/Linux/Database)
- มีความรู้ด้านการเฝ้าระวังและตอบสนองเหตุการณ์ (Security Monitoring & Incident Response) และการสืบค้นเหตุการณ์เบื้องต้น
- มีความรู้ด้านการกำกับดูแลผู้ให้บริการภายนอก/IT Outsource และการประเมินการปฏิบัติงานตาม SLA/สัญญา รวมถึง Third-Party Risk