Vietcombank
[2026_CSANTT]_Chuyên viên Chính sách an ninh thông tin (Chính sách, tuân thủ)
Hà Nội
Phòng Chính sách an ninh thông tin - Khác
1 chỉ tiêu
Mô tả công việc
I. Mô tả công việc:
1. Phối hợp xây dựng và hoàn thiện cơ chế, chính sách, quy định nội bộ về ATTT trong phạm vi được phân công:
- Phối hợp xây dựng, rà soát và đề xuất sửa đổi, bổ sung hoặc thay thế các cơ chế, chính sách, quy định nội bộ về ATTT của VCB nhằm đáp ứng yêu cầu thực tiễn hoạt động và phù hợp với quy định của pháp luật hiện hành.
- Xây dựng kế hoạch đánh giá, kiểm thử ATTT các hệ thống hạ tầng, ứng dụng CNTT; phân tích các nguy cơ rủi ro về CNTT để đề xuất và kiểm tra, giám sát việc thực hiện các biện pháp đảm bảo ATTT cho hệ thống CNTT của VCB.
- Xây dựng quy trình phản ứng với các sự cố ATTT. Triển khai phản ứng với các sự cố an ninh theo phân công.
2. Giám sát việc tuân thủ các chính sách ATTT trong phạm vi được phân công:
- Giám sát, đảm bảo việc tuân thủ các chính sách về ATTT, quản lý rủi ro CNTT tại VCB.
- Phối hợp với các phòng ban chức năng đảm bảo yêu cầu bảo mật, ATTT đã phê duyệt được thực thi.
- Đề xuất và hỗ trợ, giám sát thực hiện khắc phục các sự cố ATTT.
3. Tham gia các lớp đào tạo, tập huấn nghiệp vụ theo kế hoạch của Phòng và VCB.
4. Thực hiện các nhiệm vụ khác do Lãnh đạo phòng giao.
II. Yêu cầu tuyển dụng:
Trình độ:
- Trình độ chuyên môn: Trình độ từ Đại học trở lên chuyên ngành công nghệ thông tin, an toàn thông tin, toán học, toán tin, toán ứng dụng, điện tử viễn thông hoặc các chuyên ngành có liên quan.
- Loại hình đào tạo: Đào tạo hệ chính quy tập trung dài hạn tại các trường Đại học trong nước (ĐH Bách Khoa HN, Học viện Kỹ thuật mật mã, Học viện Kỹ thuật Quân sự, Học viên Bưu chính viễn thông, ĐH Quốc gia HN, Đại học FPT) và các trường Đại học nước ngoài (không bao gồm đào tạo liên thông, văn bằng 2, tại chức, hoặc vừa học vừa làm, đào tạo từ xa).
- Trình độ ngoại ngữ: Tiếng Anh trình độ B1 (Khung tham chiếu chung châu Âu) hoặc tương đương trở lên.
Độ tuổi: Không quá 35 tuổi tại thời điểm đăng ký tuyển dụng.
Kiến thức:
- Hiểu biết về an toàn, an ninh thông tin trên các hệ thống CNTT.
- Hiểu biết về xu thế công nghệ mới, tiên tiến liên quan đến lĩnh vực CNTT, dữ liệu
- Hiểu biết về lỗ hổng bảo mật, các kiểm soát an ninh thông tin, các phương pháp đảm bảo an ninh thông tin
Kinh nghiệm: Tối thiểu 02 năm kinh nghiệm trong lĩnh vực ATTT
Kỹ năng:
- Làm việc độc lập và làm việc theo nhóm
- Giao tiếp, truyền đạt
- Lập kế hoạch và thực hiện công việc
Khả năng:
- Tư duy logic
- Tư duy chiến lược
- Đánh giá, tổng hợp, phân tích
Phẩm chất cá nhân:
- Cẩn trọng
- Tận tâm, chuyên cần
- Chủ động, sáng tạo, thích ứng
- Chịu áp lực công việc cao
Đối với ứng viên nội bộ: Đánh giá xếp loại cán bộ 02 năm gần nhất loại A, B
Ưu tiên:
- Trình độ thạc sĩ trở lên chuyên ngành công nghệ thông tin, an toàn thông tin, toán học, toán tin, toán ứng dụng, điện tử viễn thông hoặc các chuyên ngành có liên quan.
- Có chứng chỉ về an toàn, an ninh thông tin về các hệ thống CNTT theo chuẩn Quốc tế
- Có kinh nghiệm làm việc với các dự án, hệ thống An ninh bảo mật.
- Có kinh nghiệm làm việc trong lĩnh vực tài chính, ngân hàng
THỜI GIAN NHẬN HỒ SƠ: Nhận hồ sơ đến hết ngày 31/03/2026
LƯU Ý: Ứng viên chỉ được nộp hồ sơ 01 vị trí chuyên viên tại Phòng Chính sách an ninh thông tin
Phân tích kỹ năng cần có
## Phân tích Kỹ năng cần có cho vị trí Chuyên viên Chính sách ATTT - Vietcombank
### 🔧 HARD SKILLS (Kỹ năng chuyên môn)
**Bắt buộc:**
| Kỹ năng | Yêu cầu cụ thể | Mức độ |
|---------|----------------|--------|
| An toàn thông tin | Hiểu biết về ATTT trên hệ thống CNTT, lỗ hổng bảo mật, kiểm soát an ninh | Trung bình-cao |
| Chính sách & Tuân thủ | Xây dựng, rà soát, đề xuất sửa đổi quy định nội bộ | Trung bình |
| Quản lý rủi ro CNTT | Phân tích nguy cơ, đề xuất biện pháp đảm bảo ATTT | Trung bình |
| Quy trình phản ứng sự cố | Xây dựng và triển khai quy trình xử lý sự cố ATTT | Trung bình |
| Đánh giá hệ thống | Lập kế hoạch kiểm thử ATTT cho hạ tầng, ứng dụng CNTT | Trung bình |
| Tiếng Anh | B1 (IELTS 4.0-5.0, TOEIC 450-600) hoặc tương đương | Bắt buộc |
**Ưu tiên (làm nổi bật hồ sơ):**
| Chứng chỉ | Giá trị | Ghi chú |
|------------|---------|---------|
| CISSP | ★★★★★ | Chuẩn quốc tế cao nhất, rất được ưa chuộng |
| CISM | ★★★★☆ | Tập trung quản lý ATTT |
| ISO 27001 Lead Implementer/Auditor | ★★★★☆ | Phù hợp với công việc chính sách |
| CEH | ★★★☆☆ | Kiểm thử xâm nhập cơ bản |
| CompTIA Security+ | ★★★☆☆ | Nền tảng ATTT |
| OSCP | ★★★☆☆ | Chuyên sâu kiểm thử xâm nhập |
**Kiến thức công nghệ cần nắm:**
- Firewall, IDS/IPS, SIEM
- Mã hóa (Encryption), Chữ ký số
- PKI, Certificate Management
- Network Security (VPN, VLAN, ACL)
- Cloud Security (AWS/Azure/GCP)
- OWASP Top 10, Web Application Security
- Pháp luật về ATTT Việt Nam (Luật ATTT mạng 2015, Nghị định 13/2023)
---
### 🧠 SOFT SKILLS (Kỹ năng mềm)
**Quan trọng nhất (theo JD):**
1. **Giao tiếp, truyền đạt** - Vì phải phối hợp nhiều phòng ban, truyền đạt chính sách
2. **Tư duy chiến lược** - Xây dựng chính sách cần tầm nhìn dài hạn
3. **Phân tích, đánh giá** - Rà soát, kiểm tra tuân thủ
4. **Lập kế hoạch** - Xây dựng kế hoạch đánh giá ATTT
5. **Chịu áp lực cao** - ATTT luôn là ưu tiên, deadline thường gấp
---
### 📚 SO SÁNH: Vị trí Chính sách ATTT vs. Kỹ thuật ATTT
| Tiêu chí | Chính sách ATTT (this role) | Kỹ thuật ATTT |
|----------|------------------------------|---------------|
| Trọng tâm | Xây dựng quy trình, chính sách, giám sát tuân thủ | Triển khai công nghệ, kiểm thử xâm nhập |
| Công việc hàng ngày | Soạn thảo văn bản, họp, đào tạo, audit | Cấu hình firewall, pentest, vận hành SOC |
| Đối tượng tương tác | Lãnh đạo, các phòng ban, regulator | Team kỹ thuật, vendor |
| Kỹ năng cốt lõi | Viết văn bản, thuyết trình, am hiểu luật | Lập trình, mạng, hệ thống |
| Phù hợp nếu bạn... | Thích làm việc với con người, có tư duy quản trị | Thích kỹ thuật sâu, hands-on |
---
### 💡 Điểm đặc biệt cần lưu ý
1. **Vietcombank** yêu cầu tốt nghiệp hệ chính quy tập trung - KHÔNG chấp nhận liên thông, văn bằng 2, tại chức, vừa học vừa làm, đào tạo từ xa
2. **Danh sách trường ưu tiên** rõ ràng: Bách Khoa HN, Học viện Kỹ thuật mật mã, Học viện Kỹ thuật Quân sự, Học viện Bưu chính Viễn thông, ĐH Quốc gia HN, ĐH FPT
3. **Ưu tiên kinh nghiệm ngân hàng/tài chính** - Đây là lợi thế lớn nếu bạn đã làm trong ngành
4. **Chỉ nộp 01 vị trí** tại Phòng Chính sách ATTT - cân nhắc kỹ trước khi ứng tuyển
Chuẩn bị phỏng vấn
## Hướng dẫn Phỏng vấn vị trí Chuyên viên Chính sách ATTT - Vietcombank
### 📋 QUY TRÌNH TUYỂN DỤNG DỰ KIẾN
**Thông thường tại Vietcombank, quy trình gồm:**
```
Hồ sơ → Sàng lọc hồ sơ → Kiểm tra kiến thức (viết) → Phỏng vấn chuyên sâu (2-3 vòng) → Xác minh → Hoàn tất
```
| Vòng | Nội dung | Thời gian dự kiến |
|------|----------|-------------------|
| 1 | Sàng lọc hồ sơ, xác minh bằng cấp | 1-2 tuần sau hạn nộp |
| 2 | Thi viết (kiến thức chuyên môn + tiếng Anh) | 1-2 ngày |
| 3 | Phỏng vấn chuyên môn (Phòng ATTT) | 1 tuần |
| 4 | Phỏng vấn với Lãnh đạo/HR | 1 tuần |
| 5 | Xác minh lý lịch, bằng cấp, công ty cũ | 2-4 tuần |
---
### 📝 NỘI DUNG THI VIẾT (Nếu có)
**Phần 1: Kiến thức ATTT (60-70%)**
- Khái niệm CIA triad (Confidentiality, Integrity, Availability)
- ISO 27001: Các điều khoản chính, cấu trúc
- Luật ATTT mạng Việt Nam 2015, Nghị định 13/2023
- Quản lý rủi ro ATTT: Nhận diện, đánh giá, xử lý
- Incident Response: Các giai đoạn và hoạt động chính
- Kiến thức về: Firewall, VPN, Encryption, Authentication
- Một số câu hỏi tình huống về vi phạm ATTT
**Phần 2: Tiếng Anh (30-40%)**
- Đọc hiểu tài liệu ATTT tiếng Anh
- Dịch đoạn văn Anh-Việt hoặc ngược lại
- Từ vựng chuyên ngành ATTT
---
### 🎤 CÂU HỎI PHỎNG VẤN THEO TỪNG VÒNG
**Vòng 1: Phỏng vấn Phòng ATTT**
```
1. Bạn hiểu thế nào về "chính sách ATTT"? Cho ví dụ một chính sách ATTT mà bạn biết?
2. ISO 27001 có cấu trúc như thế nào? Annex A có những điều khiển gì?
3. Quy trình phản ứng sự cố ATTT gồm những bước nào?
4. Bạn đã từng xây dựng/triển khai chính sách ATTT nào chưa?
5. Sự khác biệt giữa Audit và Assessment trong ATTT?
6. Làm sao để đảm bảo các phòng ban tuân thủ chính sách ATTT?
7. Một cuộc tấn công DDoS xảy ra, bạn sẽ phản ứng như thế nào?
8. Bạn biết gì về các quy định ATTT của NHNN?
```
**Vòng 2: Phỏng vấn Lãnh đạo/HR**
```
1. Giới thiệu bản thân, tại sao bạn muốn làm ở Vietcombank?
2. Bạn hiểu gì về văn hóa, chiến lược của Vietcombank?
3. Mức lương kỳ vọng của bạn là bao nhiêu? (Lương thỏa thuận)
4. Bạn có thể làm việc dưới áp lực cao không? Ví dụ cụ thể?
5. Kế hoạch phát triển sự nghiệp 3-5 năm tới của bạn?
6. Tại sao bạn rời công ty hiện tại / Tại sao bạn muốn chuyển việc?
7. Bạn có câu hỏi gì cho chúng tôi không? (LUÔN hỏi!)
```
**Vòng 3: Đánh giá năng lực (có thể có)**
```
1. Tình huống: Phát hiện một phòng ban không tuân thủ chính sách mật khẩu. Bạn xử lý thế nào?
2. Tình huống: Cần triển khai chính sách mới nhưng các phòng ban phản đối. Bạn làm gì?
3. Thuyết trình một chủ đề ATTT trong 10 phút
4. Đánh giá tình huống vi phạm ATTT và đề xuất hành động
```
---
### 👔 DRESS CODE & LƯU Ý THỰC TẾ
**Trang phục:**
- Nam: Vest, cà vạt, giày da (màu tối)
- Nữ: Vest/n装备 áo sơ mi thanh lịch, giày gót thấp
- Màu sắc trung tính (đen, xám, navy)
- Gọn gàng, lịch sự, không quá nổi bật
**Những điều CẦN làm:**
- ✅ Nghiên cứu kỹ về Vietcombank: lịch sử, quy mô, sản phẩm, chiến lược
- ✅ Nắm vững ISO 27001, NIST, các quy định ATTT của NHNN
- ✅ Chuẩn bị câu chuyện về thành tích/ достижения trong công việc
- ✅ Tìm hiểu xu hướng ATTT mới: Zero Trust, AI in Security, Cloud Security
- ✅ Đọc các văn bản pháp luật liên quan: Luật ATTT mạng, Thông tư 32/2019 NHNN
- ✅ Mang theo bản photo các chứng chỉ, bằng cấp (có công chứng)
**Những điều KHÔNG NÊN:**
- ❌ Đến muộn
- ❌ Nói xấu công ty cũ
- ❌ Không chuẩn bị câu hỏi cho nhà tuyển dụng
- ❌ Tỏ ra quá tự tin về kỹ năng (khi thực ra chưa vững)
- ❌ Nói "không biết" mà không có kế hoạch học hỏi
---
### 🎯 MẸO ĐẶC BIỆT
1. **Kết nối với ngành ngân hàng:** Nêu rõ bạn hiểu специфики ATTT trong ngân hàng (giao dịch điện tử, bảo mật thẻ, PCI DSS...)
2. **Đề cập đến các dự án cụ thể:** "Tôi đã tham gia xây dựng chính sách BYOD cho công ty XYZ..."
3. **Thể hiện tư duy tuân thủ:** Vietcombank là ngân hàng lớn, rất coi trọng tuân thủ pháp luật
4. **Nhấn mạnh kỹ năng giao tiếp:** Vì công việc này đòi hỏi phối hợp nhiều phòng ban
5. **Chuẩn bị portfolio:** Nếu có, mang theo các tài liệu chính sách bạn đã tham gia xây dựng (đã được đơn giản hóa, không có thông tin mật)
Lộ trình ôn thi
## Lộ trình Ôn tập & Chuẩn bị 2-4 tuần trước phỏng vấn
### 📅 LỘ TRÌNH GỢI Ý (14 ngày)
```
TUẦN 1: Nền tảng lý thuyết
├── Ngày 1-2: Ôn tập CIA triad, các khái niệm cơ bản ATTT
├── Ngày 3-4: Nghiên cứu sâu ISO 27001 (đặc biệt Annex A)
├── Ngày 5-6: Tìm hiểu pháp luật ATTT Việt Nam
└── Ngày 7: Ôn tập, tổng hợp kiến thức
TUẦN 2: Chuyên sâu + Thực hành
├── Ngày 8-9: Quản lý rủi ro CNTT, incident response
├── Ngày 10-11: ATTT trong ngân hàng (NHNN, PCI DSS cơ bản)
├── Ngày 12-13: Luyện tập trả lời câu hỏi phỏng vấn
└── Ngày 14: Tổng duyệt, chuẩn bị tinh thần
```
---
### 📚 TÀI LIỆU THAM KHẢO BẮT BUỘC
**1. Tiêu chuẩn Quốc tế**
| Tài liệu | Độ ưu tiên | Ghi chú |
|----------|------------|---------|
| ISO 27001:2022 | ★★★★★ | Cốt lõi của công việc chính sách ATTT |
| ISO 27002:2022 | ★★★★★ | Chi tiết các điều khiển ATTT |
| NIST Cybersecurity Framework | ★★★★☆ | Tham khảo, rất phổ biến quốc tế |
| NIST SP 800-53 | ★★★☆☆ | Danh mục điều khiển chi tiết |
**2. Pháp luật Việt Nam**
| Văn bản | Độ ưu tiên | Nội dung chính |
|---------|------------|----------------|
| Luật ATTT mạng 2015 | ★★★★★ | Luật nền tảng về ATTT |
| Nghị định 13/2023/NĐ-CP | ★★★★★ | Hướng dẫn chi tiết bảo vệ DL cá nhân |
| Thông tư 32/2019/TT-NHNN | ★★★★☆ | An toàn thanh toán điện tử |
| Thông tư 18/2023/TT-NHNN | ★★★★☆ | Quản lý rủi ro công nghệ thông tin |
| Luật An ninh mạng 2018 | ★★★☆☆ | An ninh không gian mạng |
**3. Sách & Tài liệu chuyên ngành**
```
📖 "The Practice of Network Security Monitoring" - Richard Bejtlich
📖 "Security Engineering" - Ross Anderson (free online)
📖 "Information Security Policies Made Easy" - Charles Cresson Wood
📖 "ISO 27001 in a Nutshell" - Christopher Wright
```
**4. Nguồn học trực tuyến**
```
🌐 Cybrary.it - Khóa học miễn phí về ISO 27001, NIST
🌐 NIST CSF official website - Tài liệu chính thống
🌐 ISO 27001 Portal - Hướng dẫn triển khai
🌐 Sans.org - Reading Room (miễn phí)
🌐 Bộ GD&ĐT - Các đề thi mẫu toeic, B1
```
---
### 🧩 KIẾN THỨC CẦN NẮM VỮNG (Checklist)
**□ ISO 27001**
- [ ] Cấu trúc 10 điều khoản (Clauses 4-10)
- [ ] Annex A - 93 điều khiển (nhóm theo 4 theme)
- [ ] Các bước triển khai ISMS
- [ ] Khác biệt giữa Lead Implementer và Lead Auditor
**□ Quản lý Rủi ro ATTT**
- [ ] Quy trình nhận diện rủi ro
- [ ] Phương pháp đánh giá (định tính vs định lượng)
- [ ] Ma trận đánh giá rủi ro (Risk Matrix)
- [ ] Cách xử lý rủi ro (tránh, giảm, chuyển, chấp nhận)
**□ Incident Response**
- [ ] Mô hình PD/DS (Preparation, Detection, Containment, Eradication, Recovery, Lessons Learned)
- [ ] CSIRT là gì, tổ chức như thế nào
- [ ] Báo cáo sự cố ATTT: timeline, stakeholders
**□ Pháp luật ATTT Việt Nam**
- [ ] Luật ATTT mạng: các điều chính (5, 6, 7, 8, 16, 17, 26...)
- [ ] Nghĩa vụ của tổ chức, doanh nghiệp
- [ ] Xử phạt vi phạm hành chính
- [ ] Quy định của NHNN về ATTT
**□ Kiến thức kỹ thuật cơ bản**
- [ ] Mô hình OSI, các tầng và giao thức
- [ ] Firewall, IDS/IPS, WAF, SIEM
- [ ] Cryptography: symmetric, asymmetric, hashing
- [ ] Authentication: MFA, SSO, Kerberos
- [ ] Network security: VPN, TLS, SSL
---
### 📝 ÔN TẬP TỪ VỰNG TIẾNG ANH ATTT
```
Các thuật ngữ cần biết:
- Confidentiality / Integrity / Availability
- Risk Assessment / Risk Treatment
- Vulnerability / Threat / Exploit
- Incident / Breach / Data Leak
- Policy / Standard / Procedure / Guideline
- Control / Countermeasure / Safeguard
- Access Control / Authentication / Authorization
- Encryption / Decryption / Key Management
- Firewall / Proxy / DMZ
- Penetration Testing / Vulnerability Assessment
- Business Continuity / Disaster Recovery
- Governance / Compliance / Audit
```
---
### 💪 CHƯƠNG TRÌNH HỌC TẬP INTENSIVE (Nếu còn 1 tuần)**
**Ngày 1-2: ISO 27001**
- Đọc toàn bộ ISO 27001:2022
- Highlight các điều khoản liên quan đến chính sách
- Ghi chú: "Điều này áp dụng trong ngân hàng như thế nào?"
**Ngày 3-4: Pháp luật**
- Đọc tóm tắt Luật ATTT mạng
- Tập trung: Nghĩa vụ của tổ chức cung cấp dịch vụ mạng
- Tìm hiểu: Vietcombank thuộc đối tượng điều chỉnh nào?
**Ngày 5: Incident Response**
- Học mô hình PD/DS
- Tìm case study về sự cố ATTT ngân hàng Việt Nam
**Ngày 6: Ôn từ vựng + Ngân hàng**
- Luyện đọc tài liệu ATTT tiếng Anh
- Tìm hiểu PCI DSS cơ bản (chuẩn thẻ thanh toán)
**Ngày 7: Mock Interview**
- Tự đặt câu hỏi và trả lời trước gương
- Record lại và tự đánh giá
Tư vấn nghề nghiệp
## Lời khuyên Sự nghiệp cho Chuyên viên ATTT - Vietcombank
### 🚀 LỘ TRÌNH THĂNG TIẾN
```
Chuyên viên (2-5 năm)
↓
Chuyên viên chính (3-5 năm)
↓
Phó trưởng phòng / Trưởng phòng (3-7 năm)
↓
Phó giám đốc / Giám đốc (5-10 năm)
↓
Cấp cao hơn (10+ năm)
```
**Chi tiết từng bước:**
| Cấp bậc | Thời gian TB | Kỹ năng cần phát triển | Vị trí tiếp theo |
|---------|-------------|------------------------|------------------|
| **CV Chính sách ATTT (Entry)** | 0-2 năm | Nắm vững ISO 27001, luật ATTT, kỹ năng viết văn bản | CV Chính, CV Senior |
| **CV Senior** | 2-5 năm | Quản lý dự án, đào tạo, tư vấn cho các phòng ban | Phó TP/Trưởng nhóm |
| **Phó Trưởng phòng** | 3-7 năm | Quản lý team, lập kế hoạch, báo cáo lãnh đạo | Trưởng phòng |
| **Trưởng phòng ATTT** | 5-10 năm | Chiến lược ATTT, quản lý ngân sách, quan hệ regulator | Phó GĐ/CISO |
| **CISO/Giám đốc ATTT** | 10+ năm | Điều hành chiến lược, quản trị rủi ro cấp cao | Ban Giám đốc |
---
### 💰 MỨC LƯƠNG KỲ VỌNG THEO CẤP BẬC
**Tại Vietcombank & Ngân hàng lớn VN (2024-2025)**
| Cấp bậc | Mức lương tháng (VNĐ) | Ghi chú |
|---------|----------------------|---------|
| Chuyên viên (0-2 năm kinh nghiệm) | 15-25 triệu | Thỏa thuận, tùy năng lực |
| Chuyên viên (2-5 năm) | 25-40 triệu | Có chứng chỉ quốc tế +20-30% |
| Chuyên viên chính/Senior | 40-60 triệu | |
| Phó Trưởng phòng | 60-90 triệu | |
| Trưởng phòng | 80-120 triệu | |
| Phó Giám đốc/CISO | 120-200 triệu | |
**Lưu ý:**
- Mức lương trên là tham khảo, có thể cao hơn nếu ứng viên giỏi
- Vietcombank thường có lương tháng 13-14, thưởng hiệu suất
- Các phụ cấp: Điện thoại, xăng xe, ăn trưa, bảo hiểm cao cấp
---
### 📈 KỸ NĂNG CẦN PHÁT TRIỂN THÊM
**Ngắn hạn (1-2 năm đầu):**
```
✓ Nâng cao chứng chỉ: CISSP, CISM, ISO 27001 Lead Implementer
✓ Kỹ năng viết văn bản, trình bày báo cáo
✓ Hiểu sâu các quy định ATTT của NHNN
✓ Kỹ năng đào tạo, truyền đạt cho nhân viên phi kỹ thuật
✓ Tìm hiểu về PCI DSS, SWIFT CSP (nếu chưa biết)
```
**Trung hạn (3-5 năm):**
```
✓ Quản lý dự án ATTT
✓ Quản lý nhóm, mentoring
✓ Chiến lược ATTT, lập kế hoạch dài hạn
✓ Quan hệ với regulator (Cục ATTT, Bộ TT&TT)
✓ Hiểu biết về GRC (Governance, Risk, Compliance)
✓ Có thể học thêm MBA hoặc chứng chỉ CISA
```
**Dài hạn (5-10 năm):**
```
✓ Tầm nhìn chiến lược ATTT cấp tổ chức
✓ Quản lý rủi ro doanh nghiệp (ERM)
✓ Quản trị an ninh mạng quốc gia
✓ Nếu muốn chuyển sang vendor: Pre-sales, Security Consultant
✓ Hoặc khởi nghiệp: Security startup, consultancy riêng
```
---
### 🔄 HƯỚNG CHUYỂN TIẾP (Nếu muốn thay đổi)**
**Từ Chính sách ATTT → Các vị trí liên quan:**
```
1. GRC Specialist (Governance, Risk, Compliance)
- Mở rộng: Quản lý rủi ro tổng thể, không chỉ CNTT
2. DPO (Data Protection Officer)
- Theo Nghị định 13/2023 về bảo vệ dữ liệu cá nhân
- Rất hot trong 2-3 năm tới
3. Privacy/Compliance Officer
- Mở rộng: Không chỉ ATTT mà cả tuân thủ pháp luật nói chung
4. Security Consultant (vendor)
- Tư vấn triển khai ISO 27001, kiểm thử ATTT
- Thu nhập cao hơn nhưng bảo mật công việc thấp hơn
5. Risk Manager (chung)
- Chuyển sang quản lý rủi ro trong ngân hàng
- Cần thêm FRM, CRM
6. Internal Auditor (CNTT)
- Kiểm toán hệ thống thông tin
- CISA certification
```
---
### ⚠️ LƯU Ý QUAN TRỌNG VỀ VIETCOMBANK
**Ưu điểm:**
- Lương cạnh tranh, thưởng hậu hĩnh
- Thương hiệu uy tín, dễ xin việc tiếp nếu cần
- Đào tạo nội bộ tốt, cơ hội học hỏi từ dự án lớn
- Cơ hội thăng tiến theo thâm niên
**Thách thức:**
- Văn hóa ngân hàng nhà nước: Nhiều quy trình, báo cáo
- Thủ tục hành chính có thể chậm
- Cạnh tranh nội bộ cao
- Áp lực tuân thủ từ nhiều cơ quan (NHNN, Bộ TT&TT, KPMG audit...)
**Lời khuyên:**
- Nếu bạn mới vào nghề: Đây là nơi tốt để "học nghề", xây dựng nền tảng vững
- Nếu bạn đã senior: Cân nhắc kỹ về mức lương thực vs kỳ vọng, vì mức tăng lương hàng năm có thể không như kỳ vọng
- Luôn cập nhật chứng chỉ quốc tế để duy trì giá trị thị trường
Câu hỏi thường gặp
Em mới tốt nghiệp ngành ATTT, chưa có kinh nghiệm, có nộp được vị trí này không?
Về lý thuyết, JD yêu cầu TỐI THIỂU 02 năm kinh nghiệm trong lĩnh vực ATTT. Tuy nhiên, nếu bạn có:
1. **Chứng chỉ quốc tế** (CISSP, ISO 27001) - điểm cộng lớn
2. **Đồ án/luận văn** liên quan đến chính sách ATTT hoặc tuân thủ
3. **Kinh nghiệm thực tập** tại phòng ATTT ngân hàng/TCTD
4. **Dự án cá nhân**: đã viết chính sách ATTT, đánh giá rủi ro cho tổ chức nhỏ
→ Thì vẫn có cơ hội được xét duyệt, nhưng cạnh tranh sẽ rất khốc liệt với các ứng viên có kinh nghiệm. Gợi ý: Ứng tuyển vị trí intern hoặc fresher trước, sau đó chuyển lên.
Em tốt nghiệp ĐH Bách Khoa ngành Khoa học Máy tính, có phù hợp không?
Bách Khoa nằm trong danh sách ưu tiên của Vietcombank ✓
Tuy nhiên, bạn cần đáp ứng đủ điều kiện:
1. **Chuyên ngành đúng**: Khoa học Máy tính thuộc nhóm "công nghệ thông tin, an toàn thông tin... hoặc các chuyên ngành có liên quan" - KHẢ NĂNG CAO là đạt yêu cầu
2. **Hệ đào tạo**: Phải là hệ chính quy tập trung dài hạn (không phải liên thông, văn bằng 2, vừa học vừa làm)
3. **Ưu tiên**: Nếu bạn có chứng chỉ ATTT quốc tế hoặc đồ án liên quan ATTT, hồ sơ sẽ mạnh hơn nhiều
→ Đủ điều kiện ứng tuyển, nhưng cần tự trang bị kiến thức ATTT chuyên sâu để vượt qua vòng phỏng vấn.
Mức lương thực nhận của vị trí này là bao nhiêu? Có thương lượng được không?
Vietcombank ghi "Thỏa thuận" nên hoàn toàn có thể thương lượng. Mức lương tham khảo:
- **Fresher (0-2 năm kinh nghiệm, có chứng chỉ)**: 15-22 triệu
- **2-3 năm kinh nghiệm**: 22-30 triệu
- **3-5 năm kinh nghiệm**: 30-45 triệu
- **5+ năm kinh nghiệm + chứng chỉ quốc tế**: 45-70 triệu+
**Cách thương lượng hiệu quả:**
1. Nghiên cứu mức lương thị trường (Glassdoor, Vietnamworks, Talent)
2. Đề cập chứng chỉ đang có (CISSP, CISM, ISO 27001) như điểm cộng
3. Nêu rõ thành tích cụ thể ở công ty cũ
4. Nếu có offer từ công ty khác, có thể dùng làm "vũ khí" thương lượng
**Lưu ý**: Vietcombank thường cứng về lương với nhân viên mới, nhưng các phụ cấp và thưởng cuối năm sẽ bù đắp phần nào.
Công việc hàng ngày của vị trí này như thế nào? Có phải ngồi máy tính cả ngày không?
Không phải ngồi máy tính cả ngày đâu! Vì đây là vị trí **CHÍNH SÁCH** ATTT, công việc đa dạng hơn:
**Hoạt động chính:**
- ✍️ **Viết văn bản** (30-40%): Soạn thảo chính sách, quy trình, hướng dẫn
- 🤝 **Họp & phối hợp** (25-35%): Làm việc với các phòng ban để đảm bảo tuân thủ
- 📊 **Giám sát & đánh giá** (15-20%): Theo dõi việc thực hiện chính sách
- 📚 **Đào tạo** (10-15%): Tổ chức tập huấn ATTT cho nhân viên
- 🔍 **Xử lý sự cố** (theo tình huống): Khi có incident, tham gia phản ứng
**Thời gian làm việc:** Thường 8h-17h30, có thể OT khi có dự án lớn hoặc sự cố. Áp lực tăng cao vào cuối quý hoặc khi có audit.
Em đang làm kỹ thuật ATTT (pentest, SOC...), muốn chuyển sang vị trí chính sách có được không?
Hoàn toàn CÓ KHẢ NĂNG, và đây thực ra là một bước chuyển mình tốt! Lý do:
**Ưu điểm của bạn:**
- Hiểu sâu về kỹ thuật ATTT → Viết chính sách sẽ thực tế, khả thi hơn
- Biết lỗ hổng, cách tấn công → Chính sách sẽ đúng trọng điểm
- Đã trải qua incident → Hiểu quy trình phản ứng sự cố
**Điều cần bổ sung:**
- Kỹ năng viết văn bản (chính sách, quy trình)
- Hiểu biết về luật ATTT Việt Nam
- Kỹ năng giao tiếp, thuyết trình
- Tư duy quản trị, governance
**Cách chuyển đổi:**
1. Bắt đầu tham gia viết policy ở công ty hiện tại
2. Xin làm thêm phần compliance, GRC
3. Xin reference từ manager về kỹ năng viết
4. Ứng tuyển với tư cách "có kinh nghiệm kỹ thuật + định hướng chính sách"
→ Đây là lộ trình rất phổ biến và được đánh giá cao trong ngành ATTT.
Vietcombank so với các ngân hàng khác như thế nào? Có nên ưu tiên không?
So sánh Vietcombank vs các ngân hàng top đầu khác:
| Tiêu chí | Vietcombank | VPBank | Techcombank | MBBank |
|----------|-------------|--------|-------------|--------|
| Lương | ★★★★☆ | ★★★★★ | ★★★★★ | ★★★★☆ |
| Thương hiệu | ★★★★★ | ★★★★☆ | ★★★★☆ | ★★★★☆ |
| Thăng tiến | ★★★☆☆ | ★★★★☆ | ★★★★☆ | ★★★★☆ |
| Đào tạo | ★★★★☆ | ★★★★☆ | ★★★★★ | ★★★★☆ |
| Áp lực | ★★★★☆ | ★★★★★ | ★★★★☆ | ★★★★☆ |
| Công việc ổn định | ★★★★★ | ★★★☆☆ | ★★★☆☆ | ★★★★☆ |
**Nên ưu tiên nếu:**
- Bạn mới vào nghề, cần "đào tạo bài bản" và có thương hiệu CV tốt
- Bạn thích môi trường ổn định, không thích thay đổi quá nhanh
- Bạn muốn có thời gian học chứng chỉ quốc tế
**Cân nhắc khác:**
- Techcombank, VPBank: Lương cao hơn, nhưng áp lực và cạnh tranh cũng lớn hơn
- VietinBank, BIDV: Tương tự Vietcombank, văn hóa "nhà nước" nặng hơn
→ Vietcombank là lựa chọn AN TOÀN nhưng không phải lựa chọn "GIÀU NHANH".
Phòng Chính sách ATTT trong ngân hàng làm những gì? Có phải chỉ ngồi viết quy trình không?
Đúng là công việc chính là xây dựng chính sách, nhưng không chỉ "viết quy trình" đơn thuần. Phòng Chính sách ATTT tại Vietcombank đảm nhận:
**1. Xây dựng khung chính sách ATTT**
- Chính sách ATTT tổng thể
- Chính sách quản lý mật khẩu, truy cập
- Chính sách sử dụng thiết bị, internet
- Chính sách bảo mật dữ liệu
**2. Giám sát tuân thủ**
- Kiểm tra định kỳ các phòng ban
- Đánh giá tuân thủ ISO 27001
- Báo cáo lãnh đạo về tình trạng ATTT
**3. Quản lý rủi ro ATTT**
- Đánh giá rủi ro hệ thống mới
- Phê duyệt kết nối, thay đổi
**4. Phản ứng sự cố**
- Xây dựng quy trình
- Tham gia điều tra khi có sự cố
**5. Đào tạo & tuyên truyền**
- Tổ chức huấn luyện ATTT
- Phát triển văn hóa ATTT
→ Công việc đa dạng, phù hợp nếu bạn thích làm việc với con người và có tư duy quản trị.
Em cần chuẩn bị những chứng chỉ gì để tăng cơ hội trúng tuyển?
Theo thứ tự ưu tiên, bạn nên có:
**BẮT BUỘC (nếu muốn nổi bật):**
1. **ISO 27001 Foundation hoặc Lead Implementer** - Phù hợp nhất với công việc chính sách
2. **CISM (Certified Information Security Manager)** - Chuẩn quốc tế về quản lý ATTT
**ƯU TIÊN CAO:**
3. **CISSP** - Chuẩn cao nhất, thể hiện kiến thức toàn diện
4. **CISA** - Nếu muốn hướng sang kiểm toán ATTT
**HỮU ÍCH:**
5. **CEH** - Kiến thức kỹ thuật cơ bản
6. **CompTIA Security+** - Nền tảng ATTT
7. **ITIL Foundation** - Quản lý dịch vụ CNTT (hữu ích cho quy trình)
**Chi phí tham khảo (2024):**
- ISO 27001 Foundation: 3-5 triệu VNĐ
- CISM: 5-7 triệu VNĐ (exam fee)
- CISSP: 10-12 triệu VNĐ (exam fee)
**Gợi ý lộ trình:**
- Năm 1: ISO 27001 Foundation + CEH
- Năm 2-3: CISM
- Năm 4-5: CISSP (nếu đủ điều kiện 5 năm kinh nghiệm)