messenger

Chat Mess

zalo

Chat Zalo

phone

Phone

Gọi ngay: 097.5151.777
messenger

Facebook

messenger

TikTok

Hỗ trợ tư vấn: 097.5151.777
Vietcombank

[2026_CSANTT]_Chuyên viên Chính sách an ninh thông tin (An ninh ứng dụng)

Hà Nội Phòng Chính sách an ninh thông tin - Khác

Mô tả công việc

I. Mô tả công việc: 1.  Xây dựng quy trình phát triển phần mềm an toàn và giám sát việc tuân thủ vòng đời phát triển phần mềm an toàn - Tham gia thiết kế, review kiến trúc bảo mật ứng dụng, đảm bảo tuân thủ nguyên tắc an toàn từ khâu thiết kế - Xây dựng và duy trì các checklist, guideline cho Dev/DevOps về secure coding, cấu hình an toàn, quản lý secrets. - Kiểm tra, đánh giá bảo mật các sản phẩm trong quá trình hoạt động và cung cấp khuyến nghị. 2. Đánh giá, rà soát lỗ hổng bảo mật trong mã nguồn và ứng dụng trước khi go-live; - Quản lý quy trình xử lý lỗ hổng, định kỳ dò quét, kiểm thử, tổng hợp báo cáo lỗ hổng, phối hợp với Dev để vá lỗi. - Theo dõi tiến độ khắc phục, xác nhận biện pháp khắc phục hiệu quả. 3. Đề xuất và triển khai các chính sách quản lý mã nguồn, bảo mật, hạn chế rủi ro trong các dự án phát triển ứng dụng thuê ngoài. - Soạn thảo, cập nhật các hướng dẫn, quy trình an ninh ứng dụng. Khung phát triển phần mềm an toàn. - Giám sát viêc tuân thủ các chuẩn mực quốc tế về an ninh ứng dụng 4.  Tham gia các lớp đào tạo, tập huấn nghiệp vụ theo kế hoạch của Phòng và VCB. 5.  Thực hiện các nhiệm vụ khác do Lãnh đạo phòng giao. II. Yêu cầu tuyển dụng: Trình độ: - Trình độ chuyên môn: Trình độ từ Đại học trở lên chuyên ngành công nghệ thông tin, an toàn thông tin, toán học, toán tin, toán ứng dụng, điện tử viễn thông hoặc các chuyên ngành có liên quan. - Loại hình đào tạo: Đào tạo hệ chính quy tập trung dài hạn tại các trường Đại học trong nước (ĐH Bách Khoa HN, Học viện Kỹ thuật mật mã, Học viện Kỹ thuật Quân sự, Học viên Bưu chính viễn thông, ĐH Quốc gia HN, Đại học FPT) và các trường Đại học nước ngoài (không bao gồm đào tạo liên thông, văn bằng 2, tại chức, hoặc vừa học vừa làm, đào tạo từ xa). - Trình độ ngoại ngữ: Tiếng Anh trình độ B1 (Khung tham chiếu chung châu Âu) hoặc tương đương trở lên. Độ tuổi: Không quá 35 tuổi tại thời điểm đăng ký tuyển dụng. Kiến thức: - Hiểu biết về an toàn, an ninh thông tin trên các hệ thống CNTT. - Hiểu biết về xu thế công nghệ mới, tiên tiến liên quan đến lĩnh vực CNTT, dữ liệu - Hiểu biết về lỗ hổng bảo mật, các kiểm soát an ninh thông tin, các phương pháp đảm bảo an ninh thông tin Kinh nghiệm: Tối thiểu 02 năm kinh nghiệm trong lĩnh vực ATTT Kỹ năng: - Làm việc độc lập và làm việc theo nhóm - Giao tiếp, truyền đạt - Lập kế hoạch và thực hiện công việc Khả năng: - Tư duy logic - Tư duy chiến lược - Đánh giá, tổng hợp, phân tích Phẩm chất cá nhân: - Cẩn trọng - Tận tâm, chuyên cần - Chủ động, sáng tạo, thích ứng - Chịu áp lực công việc cao Đối với ứng viên nội bộ: Đánh giá xếp loại cán bộ 02 năm gần nhất loại A, B Ưu tiên: - Trình độ thạc sĩ trở lên chuyên ngành công nghệ thông tin, an toàn thông tin, toán học, toán tin, toán ứng dụng, điện tử viễn thông hoặc các chuyên ngành có liên quan. - Có chứng chỉ về an toàn, an ninh thông tin về các hệ thống CNTT theo chuẩn Quốc tế - Có kinh nghiệm làm việc với các dự án, hệ thống An ninh bảo mật. - Có kinh nghiệm làm việc trong lĩnh vực tài chính, ngân hàng THỜI GIAN NHẬN HỒ SƠ: Nhận hồ sơ đến hết ngày 31/03/2026 LƯU Ý: Ứng viên chỉ được nộp hồ sơ 01 vị trí chuyên viên tại Phòng Chính sách an ninh thông tin

Phân tích kỹ năng cần có

## Phân tích Kỹ năng Yêu cầu ### 1. Hard Skills (Kỹ năng chuyên môn) **Bắt buộc:** - Kiến thức về An toàn/An ninh thông tin (Information Security) - Hiểu biết về Software Development Life Cycle (SDLC) - Vòng đời phát triển phần mụng - Kiến thức về lỗ hổng bảo mật (OWASP Top 10, CVE,...) - Secure coding practices - Thực hành mã hóa an toàn - Security testing & vulnerability assessment - Quản lý cấu hình an toàn, quản lý secrets - Tiếng Anh B1 trở lên **Ưu tiên (sẽ là điểm cộng lớn):** - Chứng chỉ quốc tế về an ninh thông tin - Kinh nghiệm với dự án/hệ thống An ninh bảo mật - Kinh nghiệm trong lĩnh vực tài chính - ngân hàng - Kiến thức về các chuẩn mực quốc tế (ISO 27001, PCI-DSS, SOC2...) ### 2. Bảng So sánh Chứng chỉ Khuyến nghị | Chứng chỉ | Cấp độ | Độ phổ biến | Phù hợp cho vị trí này | Ghi chú | |---|---|---|---|---| | **CEH** (Certified Ethical Hacker) | Sơ cấp | Rất phổ biến | ⭐⭐⭐ | Nền tảng hacker mũ trắng | | **CompTIA Security+** | Sơ cấp | Phổ biến | ⭐⭐ | Cơ bản về an ninh | | **CISSP** | Chuyên gia | Cao | ⭐⭐⭐⭐ | Nhưng yêu cầu 5 năm kinh nghiệm | | **CISM** | Chuyên gia | Cao | ⭐⭐⭐ | Quản lý an ninh thông tin | | **OSCP** | Kỹ thuật | Cao | ⭐⭐⭐ | Kiểm thử xâm nhập chuyên sâu | | **AWS Security Specialty** | Chuyên sâu | Đang tăng | ⭐⭐⭐ | Nếu làm về cloud security | | **eJPT / eCPT** | Sơ cấp | Đang phổ biến | ⭐⭐ | Khởi đầu tốt, chi phí thấp | | **GIAC (SANS)** | Chuyên gia | Rất cao | ⭐⭐⭐⭐⭐ | Giá trị cao nhất, chi phí lớn | **Gợi ý cho ứng viên:** Nếu chưa có chứng chỉ, ưu tiên **CEH** hoặc **CompTIA Security+** trước (chi phí hợp lý, chuẩn bị trong 2-3 tháng). Nếu đã có kinh nghiệm 2+ năm, cân nhắc **CISM** hoặc chứng chỉ chuyên sâu hơn. ### 3. Soft Skills (Kỹ năng mềm) - **Giao tiếp & truyền đạt** — Vì phải phối hợp với Dev/DevOps để vá lỗi và truyền đạt chính sách bảo mật - **Tư duy logic & phân tích** — Rà soát lỗ hổng, đánh giá rủi ro - **Tư duy chiến lược** — Xây dựng quy trình, chính sách an ninh dài hạn - **Quản lý áp lực** — Xử lý lỗ hổng nghiêm trọng, deadline dự án - **Chủ động & sáng tạo** — Cập nhật xu hướng công nghệ mới ### 4. Background Đại học Được Ưu Tiên Vietcombank **liệt kê rõ** các trường ưu tiên: - **Trong nước:** ĐH Bách Khoa HN, Học viện Kỹ thuật mật mã, Học viện Kỹ thuật Quân sự, Học viện Bưu chính viễn thông, ĐH Quốc gia HN, ĐH FPT - **Nước ngoài:** Tất cả các trường quốc tế được công nhận ⚠️ **Lưu ý quan trọng:** Không chấp nhận liên thông, văn bằng 2, tại chức, vừa học vừa làm, đào tạo từ xa. Đây là yêu cầu cứng. ### 5. Đặc thù Vị trí Đây là vị trí **Application Security (AppSec)** chuyên về an ninh ứng dụng, không phải SOC hay phân tích malware. Cần khả năng: - Đọc hiểu code (ít nhất 1 ngôn ngữ lập trình) - Review kiến trúc bảo mật ứng dụng - Làm việc với Dev team (không cần code giỏi như dev, nhưng phải hiểu dev) - Viết tài liệu chính sách, checklist, guideline

Chuẩn bị phỏng vấn

## Hướng dẫn Phỏng vấn Vietcombank - Chuyên viên An ninh Ứng dụng ### Quy trình Phỏng vấn Dự kiến Vietcombank thường có **3 vòng** cho vị trí chuyên viên: **Vòng 1: Sàng lọc Hồ sơ & Kiểm tra Năng lực** - Kiểm tra kiến thức chuyên môn (viết) - Đề thi thường gồm: lý thuyết an ninh thông tin + bài tập tình huống - Thời gian: 60-90 phút **Vòng 2: Phỏng vấn Chuyên môn** - Phỏng vấn 1-1 hoặc 1-2 với lãnh đạo phòng - Hỏi sâu về kinh nghiệm thực tế - Có thể có phần thực hành (đọc code, tìm lỗ hổng) **Vòng 3: Phỏng vấn cấp cao / HR** - Đánh giá phẩm chất cá nhân, khả năng phù hợp văn hóa - Hỏi về mức lương kỳ vọng, định hướng phát triển ### Câu hỏi Thường gặp theo từng Vòng **Vòng 1 - Kiểm tra viết:** 1. Liệt kê các lỗ hổng OWASP Top 10 và giải thích ngắn gọn từng loại 2. Khác biệt giữa SAST, DAST, IAST là gì? 3. Trình bày quy trình SDLC an toàn (Secure SDLC) 4. Xử lý như thế nào khi phát hiện lỗ hổng nghiêm trọng trên production? 5. Giải thích các khái niệm: CIA triad, defense in depth, least privilege **Vòng 2 - Phỏng vấn chuyên môn:** 1. Bạn đã từng phát hiện và xử lý lỗ hổng bảo mật như thế nào? Kể một tình huống cụ thể? 2. Làm sao để đánh giá mức độ nghiêm trọng (severity) của một lỗ hổng? 3. Bạn hiểu gì về kiến trúc bảo mật ứng dụng? Đã từng review kiến trúc chưa? 4. Quy trình xử lý vulnerability của bạn như thế nào (từ phát hiện → báo cáo → vá → xác nhận)? 5. Làm sao để Dev tuân thủ secure coding mà không làm chậm tiến độ dự án? 6. Bạn biết gì về các chuẩn bảo mật (ISO 27001, PCI-DSS, NIST...)? 7. Khi dev nói "đây không phải lỗ hổng", bạn xử lý thế nào? 8. Làm sao quản lý secrets trong ứng dụng? Các best practice? **Vòng 3 - HR/Cấp cao:** 1. Tại sao bạn muốn làm ở Vietcombank? 2. Bạn hiểu gì về ngành ngân hàng và thách thức an ninh của nó? 3. Mức lương kỳ vọng của bạn là bao nhiêu? 4. Bạn định hướng phát triển nghề nghiệp 3-5 năm tới như thế nào? 5. Bạn có thể làm việc dưới áp lực deadline không? Kể ví dụ? 6. Điểm mạnh và điểm yếu của bạn trong công việc? ### Tips Chuẩn bị **Kiến thức cần ôn kỹ:** - ✅ OWASP Top 10 (2021 hoặc mới nhất) — BẮT BUỘC - ✅ Secure SDLC / SDL (Security Development Lifecycle) - ✅ Secure coding practices (Input validation, Authentication, Authorization, Encryption...) - ✅ Kiến thức cơ bản về mã hóa (symmetric, asymmetric, hashing, SSL/TLS) - ✅ Kiến thức về web security (XSS, SQL Injection, CSRF, SSRF, IDOR...) - ✅ Kiến thức về Container security, Cloud security (AWS/GCP) - xu hướng mới - ✅ CVE/CVSS — cách đánh giá mức độ lỗ hổng - ✅ Các chuẩn: ISO 27001, PCI-DSS, OWASP SAMM **Chuẩn bị Portfolio/Dự án thực tế:** - Một bài báo cáo đánh giá bảo mật mẫu - Checklist secure code review đã từng sử dụng - Kinh nghiệm xử lý incident cụ thể (nếu có) **Dress code:** Formal / Business attire. Nam: comple, nữ: vest hoặc blouse quần âu. **Những điều KHÔNG NÊN làm:** - ❌ Nói "tôi sẽ quarantine server ngay" khi chưa rõ tình huống - ❌ Phủ nhận hoàn toàn quan điểm của Dev - ❌ Nói "em chưa có kinh nghiệm nhưng sẽ học" — nên nói "em có kinh nghiệm X, sẽ áp dụng vào..." - ❌ Không đọc kỹ JD rồi hỏi lại những thứ đã ghi rõ

Lộ trình ôn thi

## Ôn thi & Chuẩn bị cho vị trí AppSec tại Vietcombank ### Lộ trình Chuẩn bị 2 tuần **Tuần 1: Ôn tập Kiến thức Nền tảng** | Ngày | Nội dung | Tài liệu | |---|---|---| | Ngày 1-2 | OWASP Top 10 (2021) — hiểu rõ từng lỗ hổng, ví dụ thực tế, cách phòng chống | owasp.org, PortSwigger Web Academy | | Ngày 3 | Secure SDLC — các giai đoạn, hoạt động bảo mật mỗi giai đoạn | Microsoft SDL, OWASP SAMM | | Ngày 4 | SAST/DAST/IAST — công cụ, ưu nhược điểm, khi nào dùng | Tài liệu SonarQube, Burp Suite | | Ngày 5-6 | Secure Coding Best Practices — input validation, auth, session, crypto, logging | CERT Secure Coding Standards | | Ngày 7 | Kiến thức cơ bản về CVE/CVSS, threat modeling (STRIDE) | NVD, Microsoft Threat Modeling Tool | **Tuần 2: Ôn chuyên sâu + Luyện tập** | Ngày | Nội dung | Tài liệu | |---|---|---| | Ngày 8-9 | Kiến trúc bảo mật ứng dụng — authentication (OAuth2, SAML, JWT), microservices security | API Security Best Practices | | Ngày 10 | Container & Cloud security (Docker, Kubernetes, AWS security) | AWS Security Specialty docs | | Ngày 11 | Viết bài tập thực hành: phân tích một đoạn code có lỗ hổng | GitHub - vulnerable apps (WebGoat, Juice Shop) | | Ngày 12-13 | Ôn các chuẩn quốc tế: ISO 27001, PCI-DSS, NIST | Tài liệu chính thức | | Ngày 14 | Mock interview + ôn lại toàn bộ, chuẩn bị câu chuyện kinh nghiệm | ### Tài liệu Tham khảo Bắt buộc **Miễn phí:** - 📚 [OWASP Top 10](https://owasp.org/Top10/) — Bắt buộc đọc toàn bộ - 📚 [OWASP Cheat Sheet Series](https://cheatsheetseries.owasp.org/) — Tổng hợp best practice - 📚 [PortSwigger Web Academy](https://portswigger.net/web-security) — Bài tập thực hành miễn phí - 📚 [Microsoft Security Development Lifecycle (SDL)](https://www.microsoft.com/en-us/securityengineering/sdl/) — Nền tảng Secure SDLC - 📚 [OWASP SAMM](https://owasp.org/www-project-samm/) — Mô hình đánh giá an ninh ứng dụng - 📚 [Google Security Blog](https://security.googleblog.com/) — Xu hướng mới - 📚 [Khan Academy - Cryptography](https://www.khanacademy.org/computing/computer-science/cryptography) — Nền tảng mã hóa **Trả phí (nếu có thời gian):** - 📚 "The Web Application Hacker's Handbook" — Sách kinh điển về pentest web - 📚 "Secure Coding in C and C++" (Robert Seacord) — Nếu làm việc với C/C++ - 📚 "Application Security in the Cloud" — Nếu có dự án cloud ### Kiến thức Ngành Ngân hàng Cần Biết Vietcombank là ngân hàng thương mại nhà nước lớn, ứng viên nên biết: - **PCI-DSS**: Tiêu chuẩn bắt buộc cho ngân hàng về bảo mật dữ liệu thẻ thanh toán - **NHNN (Ngân hàng Nhà nước)**: Các thông tư về an toàn thông tin ngân hàng - **OTP, 2FA, mã hóa giao dịch**: Hiểu cách ngân hàng bảo mật giao dịch - **Quy định về dữ liệu khách hàng**: Luật An ninh mạng, Nghị định 13/2023 về bảo vệ dữ liệu cá nhân - **SOC (Security Operations Center)**: Hiểu cách ngân hàng giám sát an ninh 24/7 ### Tài khoản Lab Thực hành Miễn phí - 🔗 [DVWA (Damn Vulnerable Web Application)](https://dvwa.co.uk/) — Lab local - 🔗 [PortSwigger Lab Free](https://portswigger.net/web-security/dashboard) — Bài tập thực hành - 🔗 [OWASP WebGoat](https://owasp.org/www-project-webgoat/) — Học an ninh web - 🔗 [TryHackMe](https://tryhackme.com/) — Nền tảng thực hành (có phần free)

Tư vấn nghề nghiệp

## Lời khuyên Sự nghiệp cho vị trí AppSec tại Vietcombank ### Lộ trình Thăng tiến Trong Ngân hàng ``` Chuyên viên (2-5 năm kinh nghiệm) ↓ Chuyên viên chính / Senior AppSec (5-7 năm) ↓ Trưởng phòng An ninh Ứng dụng (7-10 năm) ↓ Giám đốc/Phó giám đốc Trung tâm An ninh Thông tin ↓ CISO (Chief Information Security Officer) ``` ### Kỹ năng Cần Phát triển Thêm theo Cấp bậc **Mới vào (0-2 năm):** - Chuyên sâu kỹ thuật: code review, vulnerability assessment - Học thêm ngôn ngữ lập trình phổ biến (Python, Java, JavaScript) - Lấy chứng chỉ CEH hoặc Security+ - Hiểu DevOps pipeline, CI/CD security **Sau 3-5 năm:** - Kiến trúc bảo mật tổng thể (Enterprise Security Architecture) - Quản lý dự án bảo mật, quản lý rủi ro - Mở rộng sang: Cloud Security, Zero Trust Architecture - Chứng chỉ nâng cao: CISM, CISSP, OSCP **Sau 5-7 năm:** - Kỹ năng lãnh đạo, quản lý team - Chiến lược an ninh, tư vấn cho ban lãnh đạo - Hiểu business ngân hàng để đưa ra chính sách phù hợp - Đọc báo cáo threat intelligence, risk assessment ### Mức Lương Kỳ vọng (tham khảo, Hà Nội) | Cấp bậc | Kinh nghiệm | Mức lương tháng (VND) | Ghi chú | |---|---|---|---| | Junior (Fresher - 1 năm) | 0-1 năm | 10-18 triệu | Thực tế vị trí này đòi hỏi 2+ năm | | Chuyên viên (Entry) | 2-3 năm | 15-25 triệu | Mức khởi điểm cho vị trí này | | Chuyên viên (Mid) | 3-5 năm | 22-35 triệu | Có chứng chỉ quốc tế | | Senior | 5-7 năm | 30-50 triệu | Quản lý team nhỏ | | Trưởng phòng | 7-10 năm | 45-70 triệu | + thưởng hiệu suất | | CISO | 10+ năm | 80-150 triệu+ | Phụ thuộc ngân hàng | **Lưu ý:** Vietcombank là ngân hàng nhà nước, lương có thể thấp hơn các ngân hàng tư nhân/công ty công nghệ ở mức junior-mid, nhưng bù lại bằng: - Thưởng Tết lớn (thường 2-4 tháng lương) - Phúc lợi đầy đủ (bảo hiểm cao cấp, du lịch, thưởng hiệu suất) - Ổn định, uy tín, cơ hội thăng tiến trong hệ thống nhà nước - Đào tạo nội bộ chuyên nghiệp ### So sánh: Ngân hàng vs Công ty Tech | Tiêu chí | Vietcombank (Ngân hàng nhà nước) | Công ty công nghệ/Fintech | |---|---|---| | Lương khởi điểm | Trung bình | Cao hơn 20-40% | | Ổn định | Rất cao | Trung bình | | Áp lực deadline | Trung bình | Cao | | Công nghệ mới | Cập nhật chậm hơn | Nhanh hơn | | Phúc lợi | Tốt | Tùy công ty | | Thăng tiến | Chậm nhưng chắc | Nhanh hơn | | Học hỏi công nghệ | Hạn chế hơn | Nhiều cơ hội | ### Lời khuyên Chiến lược 1. **Nếu bạn mới vào nghề (2-3 năm):** Vietcombank là bước đệm tốt để xây nền tảng vững về an ninh ngân hàng. Sau 2-3 năm, bạn có thể chuyển sang công ty fintech hoặc ngân hàng tư nhân với mức lương cao hơn đáng kể. 2. **Nếu bạn đã có kinh nghiệm:** Đây là cơ hội để chuyển vào hệ thống ngân hàng nhà nước, tích lũy kinh nghiệm quản lý chính sách, và có lộ trình thăng tiến rõ ràng. 3. **Chứng chỉ là bắt buộc nếu muốn thăng tiến:** Trong ngành AppSec, chứng chỉ = credibility. Hãy lên kế hoạch lấy chứng chỉ trong 1-2 năm đầu. 4. **Kết hợp kỹ thuật + nghiệp vụ ngân hàng:** Ai hiểu cả hai sẽ có lợi thế cạnh tranh lớn nhất trong ngành này. 5. **Xây dựng thương hiệu cá nhân:** Tham gia cộng đồng an ninh (WhiteHat VN, Vietnam ICT Security), viết blog, tham gia CTF để mở rộng network.

Câu hỏi thường gặp

Em mới tốt nghiệp chuyên ngành CNTT, chưa có kinh nghiệm an ninh thông tin, có nộp được vị trí này không?

Không nộp được, vì JD yêu cầu TỐI THIỂU 02 năm kinh nghiệm trong lĩnh vực ATTT. Đây là yêu cầu bắt buộc. Em nên tích lũy kinh nghiệm ở vị trí fresher IT security hoặc intern tại các công ty bảo mật, công ty IT trước. Trong thời gian chờ, em có thể tự học và lấy chứng chỉ CEH để tăng giá trị hồ sơ.

Mức lương cho vị trí này là bao nhiêu? Vietcombank trả cao không so với thị trường?

Lương không công khai, chỉ ghi 'Thỏa thuận'. Ước tính cho ứng viên 2-5 năm kinh nghiệm: khoảng 18-35 triệu/tháng, cộng thêm thưởng Tết 2-4 tháng. So với công ty công nghệ, lương có thể thấp hơn 20-30% ở mức junior-mid, nhưng bù lại bằng phúc lợi tốt, ổn định lâu dài, và thương hiệu Vietcombank rất có giá trị trong CV.

Trường ĐH của em không nằm trong danh sách ưu tiên, có nên nộp không?

Nên nộp vì danh sách đó chỉ mang tính ưu tiên, không phải yêu cầu bắt buộc. Nếu em có chứng chỉ quốc tế + kinh nghiệm tốt + portfolio ấn tượng, vẫn có cơ hội. Tuy nhiên, hãy chuẩn bị giải thích rõ background đào tạo của mình khi phỏng vấn. ĐH Bách Khoa, BKACAD, và các trường top thường được ưu tiên hơn vì chương trình đào tạo chuyên sâu về security.

Em có kinh nghiệm 3 năm làm backend dev, muốn chuyển sang AppSec, vị trí này phù hợp không?

Rất phù hợp! Kinh nghiệm dev là lợi thế lớn vì bạn hiểu code, hiểu Dev workflow, dễ dàng giao tiếp với Dev team. Đây là hồ sơ lý tưởng cho AppSec. Lưu ý: hãy chuẩn bị tốt về kiến thức bảo mật (OWASP, secure coding) và thể hiện được cách bạn dùng kinh nghiệm dev để cải thiện bảo mật. Đây là profile mà Vietcombank sẽ đánh giá cao.

Vietcombank có đào tạo nội bộ không? Cơ hội học hỏi như thế nào?

Có, Vietcombank có chương trình đào tạo nội bộ khá chuyên nghiệp. JD cũng nêu rõ: 'Tham gia các lớp đào tạo, tập huấn nghiệp vụ theo kế hoạch của Phòng và VCB'. Ngoài ra, ngân hàng nhà nước thường tài trợ chứng chỉ quốc tế cho nhân viên. Bạn sẽ có cơ hội học về hệ thống ngân hàng, quy trình nghiệp vụ, và các chuẩn bảo mật ngành tài chính.

Công việc cụ thể hàng ngày của vị trí này là gì?

Thực tế sẽ bao gồm: (1) Review code/bảo mật kiến trúc ứng dụng mới; (2) Scan và đánh giá lỗ hổng bảo mật; (3) Viết báo cáo, đề xuất phương án vá cho Dev team; (4) Cập nhật và kiểm tra tuân thủ checklist bảo mật; (5) Phối hợp với các bộ phận để triển khai chính sách; (6) Báo cáo định kỳ về tình trạng bảo mật ứng dụng. Khối lượng công việc khá đều, có thể tăng đột xuất khi có incident bảo mật.

Có phải chỉ làm việc với code không hay phải làm cả hacking?

Vị trí này thiên về 'AppSec' - làm việc với quy trình, chính sách, review, và phối hợp với dev. KHÔNG phải là hacker/penetration tester chuyên sâu. Tuy nhiên, bạn vẫn cần hiểu cách các cuộc tấn công hoạt động (XSS, SQLi...) để có thể review và đánh giá. Nếu bạn thích kỹ thuật sâu hơn về hacking, có thể cân nhắc vị trí SOC hoặc Red Team.

Sau 3-5 năm ở Vietcombank, em có thể chuyển sang vị trí nào khác?

Rất nhiều hướng đi: (1) Senior AppSec tại ngân hàng khác hoặc fintech với lương cao hơn; (2) Security Architect - thiết kế kiến trúc bảo mật tổng thể; (3) Cloud Security Engineer - xu hướng rất hot; (4) Security Manager/Director - quản lý team; (5) Security Consultant - tư vấn cho các công ty khác. Kinh nghiệm từ ngân hàng nhà nước rất có giá trị vì tính phức tạp của hệ thống và quy định nghiêm ngặt.