messenger

Chat Mess

zalo

Chat Zalo

phone

Phone

Gọi ngay: 097.5151.777
messenger

Facebook

messenger

TikTok

Hỗ trợ tư vấn: 097.5151.777
Vietcombank

[2026_CSANTT]_Chuyên viên Chính sách an ninh thông tin (An ninh ứng dụng)

Hà Nội Phòng Chính sách an ninh thông tin - Khác

Mô tả công việc

I. Mô tả công việc: 1.  Xây dựng quy trình phát triển phần mềm an toàn và giám sát việc tuân thủ vòng đời phát triển phần mềm an toàn - Tham gia thiết kế, review kiến trúc bảo mật ứng dụng, đảm bảo tuân thủ nguyên tắc an toàn từ khâu thiết kế - Xây dựng và duy trì các checklist, guideline cho Dev/DevOps về secure coding, cấu hình an toàn, quản lý secrets. - Kiểm tra, đánh giá bảo mật các sản phẩm trong quá trình hoạt động và cung cấp khuyến nghị. 2. Đánh giá, rà soát lỗ hổng bảo mật trong mã nguồn và ứng dụng trước khi go-live; - Quản lý quy trình xử lý lỗ hổng, định kỳ dò quét, kiểm thử, tổng hợp báo cáo lỗ hổng, phối hợp với Dev để vá lỗi. - Theo dõi tiến độ khắc phục, xác nhận biện pháp khắc phục hiệu quả. 3. Đề xuất và triển khai các chính sách quản lý mã nguồn, bảo mật, hạn chế rủi ro trong các dự án phát triển ứng dụng thuê ngoài. - Soạn thảo, cập nhật các hướng dẫn, quy trình an ninh ứng dụng. Khung phát triển phần mềm an toàn. - Giám sát viêc tuân thủ các chuẩn mực quốc tế về an ninh ứng dụng 4.  Tham gia các lớp đào tạo, tập huấn nghiệp vụ theo kế hoạch của Phòng và VCB. 5.  Thực hiện các nhiệm vụ khác do Lãnh đạo phòng giao. II. Yêu cầu tuyển dụng: Trình độ: - Trình độ chuyên môn: Trình độ từ Đại học trở lên chuyên ngành công nghệ thông tin, an toàn thông tin, toán học, toán tin, toán ứng dụng, điện tử viễn thông hoặc các chuyên ngành có liên quan. - Loại hình đào tạo: Đào tạo hệ chính quy tập trung dài hạn tại các trường Đại học trong nước (ĐH Bách Khoa HN, Học viện Kỹ thuật mật mã, Học viện Kỹ thuật Quân sự, Học viên Bưu chính viễn thông, ĐH Quốc gia HN, Đại học FPT) và các trường Đại học nước ngoài (không bao gồm đào tạo liên thông, văn bằng 2, tại chức, hoặc vừa học vừa làm, đào tạo từ xa). - Trình độ ngoại ngữ: Tiếng Anh trình độ B1 (Khung tham chiếu chung châu Âu) hoặc tương đương trở lên. Độ tuổi: Không quá 35 tuổi tại thời điểm đăng ký tuyển dụng. Kiến thức: - Hiểu biết về an toàn, an ninh thông tin trên các hệ thống CNTT. - Hiểu biết về xu thế công nghệ mới, tiên tiến liên quan đến lĩnh vực CNTT, dữ liệu - Hiểu biết về lỗ hổng bảo mật, các kiểm soát an ninh thông tin, các phương pháp đảm bảo an ninh thông tin Kinh nghiệm: Tối thiểu 02 năm kinh nghiệm trong lĩnh vực ATTT Kỹ năng: - Làm việc độc lập và làm việc theo nhóm - Giao tiếp, truyền đạt - Lập kế hoạch và thực hiện công việc Khả năng: - Tư duy logic - Tư duy chiến lược - Đánh giá, tổng hợp, phân tích Phẩm chất cá nhân: - Cẩn trọng - Tận tâm, chuyên cần - Chủ động, sáng tạo, thích ứng - Chịu áp lực công việc cao Đối với ứng viên nội bộ: Đánh giá xếp loại cán bộ 02 năm gần nhất loại A, B Ưu tiên: - Trình độ thạc sĩ trở lên chuyên ngành công nghệ thông tin, an toàn thông tin, toán học, toán tin, toán ứng dụng, điện tử viễn thông hoặc các chuyên ngành có liên quan. - Có chứng chỉ về an toàn, an ninh thông tin về các hệ thống CNTT theo chuẩn Quốc tế - Có kinh nghiệm làm việc với các dự án, hệ thống An ninh bảo mật. - Có kinh nghiệm làm việc trong lĩnh vực tài chính, ngân hàng THỜI GIAN NHẬN HỒ SƠ: Nhận hồ sơ đến hết ngày 31/03/2026 LƯU Ý: Ứng viên chỉ được nộp hồ sơ 01 vị trí chuyên viên tại Phòng Chính sách an ninh thông tin

Phân tích kỹ năng cần có

## Phân tích Kỹ năng yêu cầu ### 🔑 Hard Skills (Kỹ năng chuyên môn) | Nhóm kỹ năng | Yêu cầu cụ thể | Mức độ quan trọng | |---|---|---| | **An ninh ứng dụng** | Secure SDLC, SAST/DAST, lỗ hổng bảo mật (OWASP Top 10, CVE) | ⭐⭐⭐⭐⭐ | | **Phát triển phần mềm** | Hiểu kiến trúc bảo mật, secure coding, DevSecOps | ⭐⭐⭐⭐⭐ | | **Quản lý mã nguồn** | Source code governance, secret management | ⭐⭐⭐⭐ | | **Đánh giá lỗ hổng** | Dò quét, kiểm thử, báo cáo lỗ hổng bảo mật | ⭐⭐⭐⭐⭐ | | **Chuẩn mực quốc tế** | Hiểu các framework như NIST, ISO 27001, PCI-DSS | ⭐⭐⭐⭐ | | **Ngoại ngữ** | Tiếng Anh B1 trở lên | ⭐⭐⭐ | ### 🧩 Soft Skills (Kỹ năng mềm) - **Giao tiếp & truyền đạt**: Vì phải phối hợp với Dev/DevOps để vá lỗi, truyền đạt các khuyến nghị bảo mật tới nhiều bên liên quan - **Tư duy logic & chiến lược**: Phân tích lỗ hổng, đề xuất chính sách tổng thể - **Lập kế hoạch**: Quản lý tiến độ khắc phục lỗ hổng, báo cáo định kỳ - **Chịu áp lực cao**: Đặc biệt khi xử lý sự cố bảo mật nghiêm trọng ### 📜 Chứng chỉ nên có (Ưu tiên cao) | Chứng chỉ | Nhà cung cấp | Phù hợp | |---|---|---| | **CISSP** | (ISC)² | An ninh tổng thể, chính sách | | **CSSLP** | (ISC)² | An ninh ứng dụng ⭐ Rất phù hợp | | **CEH** | EC-Council | Kiểm thử xâm nhập | | **OSCP** | Offensive Security | Kiểm thử xâm nhập nâng cao | | **CISM** | ISACA | Quản lý an ninh thông tin | | **eWPT** | eLearnSecurity | Kiểm thử bảo mật web | > 💡 **Gợi ý**: Với vị trí "An ninh ứng dụng", chứng chỉ **CSSLP** hoặc **eWPT/OSCP** sẽ là lợi thế cạnh tranh rất lớn. CEH cũng được nhiều ngân hàng đánh giá cao. ### 🎓 So sánh: Ứng viên Fresher vs Experienced | Tiêu chí | Fresher/ít kinh nghiệm | Experienced (2+ năm) | |---|---|---| | Ưu tiên | Chứng chỉ an ninh, project cá nhân/CTF | Kinh nghiệm thực tế SDLC bảo mật | | Trọng tâm đánh giá | Kiến thức nền vững, tư duy an ninh | Khả năng xây dựng quy trình, review bảo mật | | Kỳ vọng | Hiểu OWASP Top 10, viết secure code guideline | Đã từng triển khai chính sách, tooling bảo mật | | Mức lương tham khảo | 15-25 triệu/tháng | 25-45 triệu/tháng | --- **Ngành học phù hợp (ưu tiên theo thứ tự)**: 1. An toàn thông tin (CNTT, ATTT) 2. Công nghệ thông tin (CNTT) 3. Toán tin, Toán ứng dụng 4. Điện tử viễn thông 5. Toán học (có kiến thức lập trình) **Trường học được ưu tiên**: Bách Khoa HN, Học viện Kỹ thuật mật mã, Học viện Kỹ thuật Quân sự, Học viện Bưu chính viễn thông, ĐH Quốc gia HN, ĐH FPT.

Chuẩn bị phỏng vấn

## Hướng dẫn Phỏng vấn ### 📋 Quy trình các vòng phỏng vấn Vietcombank Vietcombank thường có **3-4 vòng** tuyển dụng: ``` Vòng 1: Sàng lọc hồ sơ ↓ (1-2 tuần) Vòng 2: Thi/Bài test chuyên môn + Tiếng Anh ↓ (1-2 tuần) Vòng 3: Phỏng vấn chuyên môn (Phòng ban) ↓ (1-2 tuần) Vòng 4: Phỏng vấn vòng cuối (Lãnh đạo/HR) ↓ (1-4 tuần) Kết quả & Onboard ``` ### 🎯 Nội dung từng vòng chi tiết #### **Vòng 1 – Sàng lọc hồ sơ** - Kiểm tra: Trường đại học trong danh sách ưu tiên, kinh nghiệm 2+ năm ATTT, chứng chỉ (nếu có) - Lưu ý: Chỉ được nộp 01 vị trí duy nhất tại Phòng Chính sách ATTT - 💡 **Tips**: Nêu rõ kinh nghiệm secure SDLC, dự án bảo mật đã tham gia trong CV #### **Vòng 2 – Thi/Bài test chuyên môn + Tiếng Anh** - **Phần chuyên môn**: Trắc nghiệm + Tự luận về an ninh ứng dụng - **Tiếng Anh**: B1 tương đương, thường là TOEIC 450+ hoặc bài test nội bộ - 💡 **Tips**: Ôn tập kỹ OWASP Top 10, Secure SDLC, mô hình bảo mật (CIA triad) #### **Vòng 3 – Phỏng vấn chuyên môn** - Gặp trực tiếp lãnh đạo Phòng Chính sách ATTT - Hỏi sâu về kinh nghiệm thực tế, tình huống xử lý lỗ hổng - Có thể hỏi về hiểu biết về hệ thống ngân hàng, compliance #### **Vòng 4 – Phỏng vấn vòng cuối** - HR + Lãnh đạo cấp cao hơn - Hỏi về định hướng phát triển, phẩm chất cá nhân, văn hóa VCB ### ❓ Câu hỏi hay gặp theo từng vòng **Vòng phỏng vấn chuyên môn:** | # | Câu hỏi | Gợi ý trả lời | |---|---|---| | 1 | Bạn hiểu như thế nào về Secure SDLC? | Mô hình tích hợp bảo mật vào tất cả các giai đoạn: Planning → Design → Development → Testing → Deployment → Maintenance. Nhấn mạnh Shift-Left security (đưa bảo mật lên sớm). | | 2 | OWASP Top 10 là gì? Kể tên và giải thích 3 lỗ hổng nguy hiểm nhất? | 2021: A01-Broken Access Control, A02-Cryptographic Failures, A03-Injection, A04-Insecure Design... Giải thích chi tiết 3 cái bạn tự tin nhất | | 3 | Quy trình xử lý lỗ hổng bảo mật của bạn như thế nào? | Phát hiện (SAST/DAST/thủ công) → Phân loại mức độ nghiêm trọng (CVSS) → Thông báo Dev → Theo dõi khắc phục → Xác nhận vá → Đóng ticket | | 4 | Sự khác biệt giữa SAST và DAST? | SAST (Static): phân tích mã nguồn khi chưa chạy, đầu vào là source code. DAST (Dynamic): kiểm thử lúc chạy, đầu vào là ứng dụng đang hoạt động | | 5 | Bạn có kinh nghiệm gì với DevSecOps? | Tích hợp công cụ bảo mật vào CI/CD pipeline: SAST (SonarQube), DAST (ZAP), dependency check (OWASP Dependency-Check), container scanning | | 6 | Khi phát hiện lỗ hổng nghiêm trọng trên hệ thống đang chạy, bạn xử lý thế nào? | Báo cáo khẩn → Đánh giá rủi ro → Phối hợp Dev/SAO để vá tạm (workaround) → Kiểm thử → Triển khai chính thức → Báo cáo post-incident | | 7 | Các nguyên tắc thiết kế bảo mật ứng dụng? | Defense in depth, Least privilege, Zero trust, Fail securely, Input validation, Output encoding | | 8 | Bạn hiểu gì về PCI-DSS, SWIFT CSP? | Các chuẩn bảo mật bắt buộc trong ngân hàng. PCI-DSS cho thanh toán thẻ, SWIFT CSP cho hệ thống SWIFT | **Vòng HR/Culture fit:** | # | Câu hỏi | Gợi ý | |---|---|---| | 1 | Tại sao bạn muốn làm ở Vietcombank? | Vietcombank là ngân hàng hàng đầu, hệ thống CNTT quy mô lớn, cơ hội phát triển an ninh ứng dụng | | 2 | Bạn xử lý thế nào khi Dev không muốn sửa code vì áp lực deadline? | Đây là câu hỏi tình huống rất hay gặp. Trả lời: Phân loại mức độ rủi ro → Đề xuất giải pháp thay thế (workaround) → Báo cáo lên cấp trên nếu cần → Nhấn mạnh giá trị kinh doanh của bảo mật | | 3 | Định hướng 3-5 năm tới của bạn? | Mong muốn trở thành chuyên gia an ninh ứng dụng, quản lý team hoặc chuyên sâu về secure SDLC | | 4 | Sở thích, hoạt động ngoài giờ liên quan đến ATTT? | Tham gia CTF, bug bounty, đọc blog bảo mật (OWASP, PortSwigger, SANS), meetup security | ### 👔 Dress Code & Tips chuẩn bị - **Trang phục**: Âu trình dài (nam) / Vest hoặc áo sơ mi thanh lịch (nữ) — đây là ngân hàng nhà nước, ưu tiên phong cách chuyên nghiệp, nghiêm túc - **Thái độ**: Tự tin nhưng khiêm nhường, thể hiện đam mê an ninh thông tin - **Chuẩn bị thêm**: Mang theo laptop/điện thoại có thể demo project cá nhân, chứng chỉ bản gốc - **Nghiên cứu trước**: Tìm hiểu về các dự án chuyển đổi số, chiến lược ATTT của Vietcombank - **Câu hỏi dành cho nhà tuyển dụng**: Hỏi về team size, công nghệ đang sử dụng, quy mô hệ thống

Lộ trình ôn thi

## Ôn thi & Chuẩn bị ### 📚 Kiến thức nền tảng cần nắm vững #### **1. An ninh Ứng dụng (Core)** **OWASP Top 10 (2021)** — BẮT BUỘC phải thuộc: ``` A01 - Broken Access Control (Truy cập không kiểm soát) A02 - Cryptographic Failures (Lỗi mã hóa) A03 - Injection (Injection) A04 - Insecure Design (Thiết kế không an toàn) A05 - Security Misconfiguration (Cấu hình bảo mật sai) A06 - Vulnerable Components (Thành phần dễ bị tấn công) A07 - Auth Failures (Lỗi xác thực) A08 - Data Integrity Failures (Lỗi toàn vẹn dữ liệu) A09 - Logging Failures (Lỗi ghi log) A10 - SSRF (Server-Side Request Forgery) ``` **Secure SDLC**: - Các giai đoạn: Planning → Requirements → Design → Development → Testing → Deployment → Maintenance - Tích hợp bảo mật ở mỗi giai đoạn (Threat Modeling, Code Review, Penetration Testing) - Shift-Left Security: đưa bảo mật lên sớm trong vòng đời phát triển **Secure Coding Practices**: - Input validation ( whitelist/blacklist) - Output encoding - Authentication & Session management - Error handling & Logging - Cryptographic storage - Parameterized queries (chống SQL Injection) **DevSecOps Tools**: - SAST: SonarQube, Checkmarx, Fortify, Semgrep - DAST: OWASP ZAP, Burp Suite, Acunetix - SCA: OWASP Dependency-Check, Snyk, WhiteSource - Container Security: Trivy, Clair - Secret Management: HashiCorp Vault, AWS Secrets Manager #### **2. Kiến thức Ngân hàng/Tài chính** | Chủ đề | Nội dung cần biết | |---|---| | **PCI-DSS** | Tiêu chuẩn bảo mật dữ liệu thẻ thanh toán, 12 yêu cầu chính | | **SWIFT CSP** | Chương trình an ninh khách hàng SWIFT cho ngân hàng | | **Thông tư 50/2018/TT-NHNN** | Quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng điện tử | | **ISO 27001/27002** | Khung quản lý an ninh thông tin, 114 biện pháp kiểm soát | | **NIST CSF** | Khung cyber security của NIST Mỹ | | **GDPR** | Quy định bảo vệ dữ liệu cá nhân (liên quan khi làm app) | #### **3. Kiến thức bổ sung** - **OWASP Mobile Top 10**: Nếu ngân hàng có app mobile - **API Security**: OWASP API Security Top 10 - **Cloud Security**: AWS/GCP security fundamentals (nhiều ngân hàng đang chuyển lên cloud) - **CVSS (Common Vulnerability Scoring System)**: Cách tính điểm lỗ hổng - **CVE, CWE**: Hệ thống định danh lỗ hổng và điểm yếu phần mềm ### 📖 Tài liệu tham khảo **Sách & Tài liệu:** | Tài liệu | Link/Nguồn | Mức độ | |---|---|---| | OWASP Top 10 | owasp.org/Top10 | ⭐⭐⭐⭐⭐ Bắt buộc | | OWASP Developer Guide | owasp.org/www-project-developer-guide | ⭐⭐⭐⭐ | | NIST SP 800-53 | csrc.nist.gov/publications | ⭐⭐⭐ | | PCI-DSS v4.0 | pcisecuritystandards.org | ⭐⭐⭐ | | Secure Coding Standards (CERT) | wiki.sei.cmu.edu/confluence/display/secdev | ⭐⭐⭐ | **Website/Tool online:** - PortSwigger Web Security Academy (portswigger.net/web-security) — Miễn phí, rất chất lượng - OWASP WebGoat — Lab thực hành - PentesterLab — Học qua lab thực tế - HackerOne/Bugcrowd — Tham khảo bug bounty reports - SANS Cyber Aces (cyberaces.org) **YouTube Channels:** - David Bombal (network + security) - NetworkChuck - John Hammond (CTF, malware analysis) - Cybrary (khoá miễn phí) ### 🗺️ Lộ trình chuẩn bị 2 tuần ``` TUẦN 1 (Ngày 1-7) ├── Ngày 1-2: Ôn OWASP Top 10 chi tiết (mỗi lỗi: mô tả, ví dụ, cách phòng chống) │ └── Thực hành: Làm lab trên PortSwigger/WebGoat ├── Ngày 3-4: Học Secure SDLC, DevSecOps, các công cụ (SAST/DAST/SCA) │ └── Thực hành: Tìm hiểu 1 công cụ cụ thể (VD: ZAP cơ bản) ├── Ngày 5-6: Ôn kiến thức ngân hàng: PCI-DSS, Thông tư 50/2018 │ └── Đọc chiến lược chuyển đổi số Vietcombank └── Ngày 7: Ôn từ vựng tiếng Anh chuyên ngành ATTT TUẦN 2 (Ngày 8-14) ├── Ngày 8-9: Luyện phỏng vấn: trả lời các câu hỏi tình huống │ └── Chuẩn bị câu chuyện từ kinh nghiệm cá nhân ├── Ngày 10-11: Làm đề thi mẫu (nếu có), ôn lại toàn bộ kiến thức ├── Ngày 12-13: Mock interview với bạn bè hoặc tự record lại └── Ngày 14: Nghỉ ngơi, chuẩn bị tinh thần, sắp xếp hồ sơ ``` ### 🔧 Chuẩn bị hồ sơ **CV cần highlight:** - ✅ Kinh nghiệm với Secure SDLC, secure code review - ✅ Các dự án/tooling bảo mật đã tham gia - ✅ Chứng chỉ ATTT (nếu có) - ✅ Kinh nghiệm xử lý lỗ hổng, incident response - ✅ Kiến thức về ngân hàng/tài chính (nếu có) **Lưu ý quan trọng:** - Chỉ nộp DUY NHẤT 1 vị trí tại Phòng Chính sách ATTT - Đảm bảo tốt nghiệp đúng trường trong danh sách ưu tiên - Hệ đào tạo: chính quy tập trung (không liên thông, văn bằng 2, tại chức) - Ứng viên nội bộ: xếp loại A hoặc B trong 2 năm gần nhất

Tư vấn nghề nghiệp

## Lời khuyên Sự nghiệp ### 🚀 Lộ trình thăng tiến trong An ninh Ứng dụng tại Ngân hàng ``` Chuyên viên (2-3 năm kinh nghiệm) ↓ 2-3 năm Chuyên viên cao cấp / Team Lead ↓ 3-4 năm Phó phòng / Trưởng phòng ATTT ↓ 4-5 năm Giám đốc Trung tâm An ninh thông tin / CISO ↓ Phó TGĐ phụ trách CNTT / Cấp cao ĐHQG ``` **Lưu ý**: Tốc độ thăng tiến phụ thuộc vào hiệu suất, chứng chỉ, và cơ hội trong tổ chức. Tại Vietcombank, thời gian giữ mỗi cấp thường từ 2-4 năm. ### 💰 Mức lương kỳ vọng theo cấp bậc (tham khảo) | Cấp bậc | Kinh nghiệm | Mức lương tháng (tham khảo) | |---|---|---| | Junior (Fresher - 1 năm) | 0-1 năm | 15-22 triệu | | Chuyên viên (vị trí này) | 2-5 năm | 22-40 triệu | | Chuyên viên cao cấp | 5-8 năm | 35-55 triệu | | Trưởng phòng/Phó phòng | 8-12 năm | 50-80 triệu | | Giám đốc/Giám đốc trung tâm | 12+ năm | 80-150 triệu+ | > ⚠️ **Lưu ý**: Đây là mức lương tham khảo tại Vietcombank, bao gồm lương cơ bản. Thu nhập thực nhận còn bao gồm thưởng KPI, phụ cấp, và các chế độ đãi ngộ khác. Mức lương có thể cao hơn với chứng chỉ quốc tế (CISSP, CISM, CSSLP). ### 🎯 Kỹ năng cần phát triển thêm **Ngắn hạn (1-2 năm đầu):** - Thành thạo ít nhất 1 ngôn ngữ lập trình để đọc code (Python, Java, JavaScript) - Nắm vững một công cụ SAST (Fortify/Checkmarx/SonarQube) - Nắm vững Burp Suite hoặc OWASP ZAP - Có chứng chỉ CEH hoặc CSSLP **Trung hạn (3-5 năm):** - Kiến thức sâu về Cloud Security (AWS/GCP/Azure) - Kiến thức về container orchestration (Kubernetes, Docker) - Kinh nghiệm xây dựng DevSecOps pipeline từ đầu - Chứng chỉ CISSP hoặc CISM - Kinh nghiệm compliance: PCI-DSS, SWIFT CSP, ISO 27001 **Dài hạn (5+ năm):** - Quản lý team và dự án - Kiến thức về chiến lược ATTT cấp tổ chức - Khả năng đại diện trong các cuộc kiểm toán, audit bảo mật - Mối quan hệ với các cơ quan quản lý (NHNN, Bộ TT&TT) - Chứng chỉ CISM, CRISC, hoặc CISA ### 🌟 Cơ hội & Thách thức của vị trí này **Cơ hội:** - ✅ Vietcombank là ngân hàng lớn nhất Việt Nam, hệ thống CNTT quy mô enterprise - ✅ Tiếp xúc với công nghệ hiện đại: cloud, microservices, digital banking - ✅ Môi trường chuyên nghiệp, quy trình bài bản - ✅ Cơ hội chuyển đổi sang các vị trí khác trong ngành ATTT - ✅ Thương hiệu VCB giá trị trong CV **Thách thức:** - ⚠️ Áp lực cao: Bảo mật ảnh hưởng trực tiếp đến hoạt động ngân hàng - ⚠️ Phối hợp nhiều bên: Dev, DevOps, SAO, quản lý — đòi hỏi kỹ năng giao tiếp tốt - ⚠️ Cập nhật liên tục: Threat landscape ngân hàng thay đổi nhanh - ⚠️ Deadline chồng chất: Vừa phải tuân thủ quy trình vừa phải đáp ứng deadline dự án ### 📌 Lời khuyên từ người đi trước 1. **Học cách "nói ngôn ngữ của Dev"**: Dev không phải kẻ thù, họ là đồng minh. Cách tiếp cận "đây là giải pháp" hiệu quả hơn "đây là lỗi" 2. **Build portfolio bảo mật**: Tham gia bug bounty, CTF, viết blog về bảo mật — tạo uy tín cá nhân 3. **Chứng chỉ là đầu tư xứng đáng**: CISSP/CSSLP/CEH giúp tăng lương 10-20% và mở cơ hội thăng tiến 4. **Tìm mentor trong ngành**: Kết nối với cộng đồng ATTT Việt Nam (VNCert, các group security Việt Nam) 5. **Cân bằng giữa compliance và thực tế**: Ngân hàng đòi hỏi tuân thủ nhiều quy định, nhưng hãy luôn hỏi "tại sao" để hiểu bản chất 6. **Không ngừng học**: Ưu tiên các nguồn: PortSwigger Academy, SANS Reading Room, Black Hat/DEF CON talks

Câu hỏi thường gặp

Em mới tốt nghiệp ngành CNTT, chưa có kinh nghiệm, có nộp được vị trí này không?

Theo yêu cầu, cần tối thiểu 2 năm kinh nghiệm trong lĩnh vực ATTT. Tuy nhiên, nếu bạn có chứng chỉ quốc tế (CEH, CompTIA Security+), đã tham gia CTF, có project bảo mật cá nhân hoặc đã thực tập ở phòng ATTT, bạn vẫn có thể thử nộp. Trường hợp này cần thể hiện rõ kinh nghiệm tương đương trong CV. Thực tế, các ngân hàng lớn như VCB rất ít khi tuyển fresher cho vị trí chuyên viên chính sách ATTT, nên bạn nên ứng tuyển vị trí fresher/thực tập nếu có. Gợi ý: apply vào vị trí "Chuyên viên" sau 1-2 năm kinh nghiệm ở công ty IT/security.

Mức lương thực nhận của vị trí này là bao nhiêu?

tin ghi "Thỏa thuận", nhưng tham khảo thị trường, mức lương cho chuyên viên ATTT tại Vietcombank vào khoảng 22-35 triệu/tháng (lương cơ bản), chưa tính thưởng KPI, phụ cấp, và các chế độ đãi ngộ khác. Nếu bạn có chứng chỉ quốc tế hoặc kinh nghiệm chuyên sâu, mức thỏa thuận có thể cao hơn. VCB có hệ thống lương thưởng khá tốt, thu nhập năm có thể đạt 15-18 tháng lương tùy hiệu suất. Nên trao đổi rõ mức lương mong muốn ở vòng cuối cùng.

Công việc hàng ngày của vị trí này là gì? Giờ làm có cố định không?

Công việc chủ yếu bao gồm: review kiến trúc bảo mật ứng dụng, kiểm tra code bảo mật (secure code review), quản lý lỗ hổng bảo mật (đánh giá, phân loại, theo dõi khắc phục), viết quy trình/checklist bảo mật cho Dev, và phối hợp với các bộ phận liên quan. Thời gian làm việc cố định 8h-17h, thứ 2-thứ 6. Tuy nhiên, khi có sự cố bảo mật khẩn cấp, bạn cần sẵn sàng xử lý ngoài giờ. Áp lực công việc tăng cao vào giai đoạn release sản phẩm mới.

KPI của vị trí này đánh giá như thế nào?

KPI cho vị trí ATTT ngân hàng thường bao gồm: Số lượng sản phẩm/sự án được review bảo mật trước khi go-live, tỷ lệ lỗ hổng được vá đúng hạn (SLA thường 7-30 ngày tùy mức độ nghiêm trọng), số lượng quy trình/chính sách mới được xây dựng hoặc cập nhật, số lượng đợt dò quét bảo mật định kỳ hoàn thành, báo cáo lỗ hổng/nhận diện rủi ro được tổng hợp đúng tiến độ, và số giờ đào tạo nội bộ về ATTT. KPI có thể được điều chỉnh theo năm, thường review 2 lần/năm.

Tôi đang làm backend developer 3 năm, muốn chuyển sang ngành ATTT, có phù hợp không?

Rất phù hợp! Kinh nghiệm lập trình là lợi thế lớn cho vị trí an ninh ứng dụng. Bạn đã có nền tảng hiểu code, kiến trúc hệ thống — đây là điều kiến thức nền mà nhiều chuyên gia ATTT thiếu. Để chuyển đổi thành công, bạn nên: (1) Bổ sung kiến thức về lỗ hổng bảo mật (OWASP Top 10), (2) Học cách sử dụng công cụ SAST/DAST, (3) Thi lấy chứng chỉ CEH hoặc CSSLP, (4) Trong CV, hãy nhấn mạnh kinh nghiệm code review bảo mật (nếu có) hoặc các project cá nhân về bảo mật, (5) Tự tin khoe điểm mạnh: bạn hiểu Dev hơn người thuần ATTT.

Ưu tiên có kinh nghiệm ngân hàng, liệu tôi có cơ hội không nếu chưa từng làm trong ngành tài chính?

Hoàn toàn có cơ hội! Yêu cầu ghi "ưu tiên" chứ không phải "bắt buộc". Nếu bạn có kinh nghiệm 2+ năm ATTT ở các công ty IT, fintech, hoặc outsourcing, đó vẫn là profile mạnh. Điều quan trọng hơn là: (1) Kinh nghiệm thực tế với secure SDLC, (2) Chứng chỉ ATTT, (3) Hiểu biết về compliance ngân hàng (tự học trước: PCI-DSS, Thông tư 50/2018). Trong phỏng vấn, nếu được hỏi, hãy thể hiện bạn đã nghiên cứu về ngành ngân hàng và có định hướng gắn bó lâu dài.

Làm ở VCB có được đào tạo nâng cao không, có hỗ trợ lấy chứng chỉ không?

Vietcombank có chính sách đào tạo nội bộ và hỗ trợ chi phí học tập cho nhân viên. Các chương trình đào tạo ATTT nội bộ bao gồm: đào tạo nghiệp vụ định kỳ, tập huấn an ninh cho nhân viên toàn hệ thống, và các khóa học chuyên đề. Về hỗ trợ chứng chỉ quốc tế, chính sách có thể thay đổi theo từng thời kỳ, bạn nên hỏi rõ ở vòng HR. Ngoài ra, VCB thường tổ chức các hội thảo, seminar về ATTT với chuyên gia trong nước và quốc tế.

Triển vọng thăng tiến của vị trí này như thế nào?

Vị trí "Chuyên viên Chính sách ATTT" tại VCB có lộ trình thăng tiến khá rõ ràng: Chuyên viên (2-5 năm) → Chuyên viên cao cấp (5-8 năm) → Trưởng nhóm/Phó phòng (8-12 năm) → Trưởng phòng/Giám đốc Trung tâm ATTT. Tốc độ thăng tiến phụ thuộc vào: hiệu suất KPI, chứng chỉ quốc tế (CISSP/CISM là điểm cộng lớn), kinh nghiệm thực tế với các dự án lớn, và quan trọng nhất là cơ hội mở ra (vị trí trống). Ngành ATTT đang rất "nóng", nhân sự có kinh nghiệm luôn thiếu, nên cơ hội tốt hơn nhiều ngành khác.