VietABank
Chuyên viên cao cấp An ninh Thông tin - Làm việc tại TP. Hồ Chí Minh
Hồ Chí Minh
Cấp chuyên viên
Thỏa thuận
2 chỉ tiêu
Mô tả công việc
- Trình độ đại học trở lên ngành An toàn thông tin hoặc liên quan.
- Tối thiểu 2 năm kinh nghiệm trong mảng an toàn thông tin.
- Có kinh nghiệm làm việc tại ngân hàng/công ty dịch vụ tài chính là một lợi thế.
- Kiến thức cơ bản về các framework security (NIST, ISO,..).
- Kiến thức cơ bản về đánh giá ANTT (pentest).
Quyền lợi
- Phỏng vấn 1 lần duy nhất, thông báo kết quả nhanh chóng đến các ứng viên sau khi phỏng vấn.
- Gói chế độ phúc lợi hấp dẫn và độc đáo cho CBNV như: Bảo hiểm sức khỏe VietABank Care, nghỉ hưởng nguyên lương ngày sinh nhật,...
- Cơ hội thăng tiến vượt bậc với Chương trình Cán bộ Nguồn “VietABank NextGen”.
- Môi trường làm việc vui hết sẩy có VietABank's Got Talent, Shark tank VietABank, Duyên dáng VietABank.
- Được cấp máy tính làm việc, điện thoại.
- Hỗ trợ ăn trưa.
Yêu cầu ứng viên
- Trình độ đại học trở lên ngành An toàn thông tin hoặc liên quan.
- Tối thiểu 2 năm kinh nghiệm trong mảng an toàn thông tin.
- Có kinh nghiệm làm việc tại ngân hàng/công ty dịch vụ tài chính là một lợi thế.
- Kiến thức cơ bản về các framework security (NIST, ISO,..).
- Kiến thức cơ bản về đánh giá ANTT (pentest).
Phân tích kỹ năng cần có
## Phân tích Kỹ năng cần có cho vị trí Chuyên viên cao cấp An ninh Thông tin - VietABank
### 🔧 Hard Skills (Kỹ năng chuyên môn bắt buộc)
| Kỹ năng | Mức độ yêu cầu | Ghi chú |
|---------|----------------|---------|
| An toàn thông tin tổng quát | Bắt buộc | Nền tảng ngành IT Security |
| Framework Security (NIST, ISO 27001) | Cơ bản | Cần hiểu và áp dụng được |
| Penetration Testing (Pentest) | Cơ bản | Đánh giá lỗ hổng bảo mật |
| Network Security | Ưu tiên | Firewall, IDS/IPS |
| SIEM/SOAR | Ưu tiên | Giám sát sự cố ANTT |
| ISO 27001, PCI-DSS | Là lợi thế | Tiêu chuẩn bảo mật ngân hàng |
### 🎯 Soft Skills (Kỹ năng mềm quan trọng)
- **Khả năng phân tích & xử lý sự cố**: Nhanh nhạy trong tình huống khẩn cấp
- **Giao tiếp**: Trình bày báo cáo cho ban lãnh đạo, phối hợp cross-department
- **Tư duy cảnh báo (Alert mindset)**: Nhạy bén phát hiện mối đe dọa bất thường
- **Kỷ luật & bảo mật**: Tuân thủ quy trình, giữ bí mật thông tin
### 📜 Chứng chỉ gợi ý (Khuyến khích sở hữu)
1. **CEH** (Certified Ethical Hacker) - Nền tảng kiểm thử xâm nhập
2. **CISSP** (Certified Information Systems Security Professional) - Senior level
3. **CISM** (Certified Information Security Manager) - Quản lý ANTT
4. **CompTIA Security+** - Cơ bản, dễ lấy
5. **ISO 27001 Lead Auditor** - Áp dụng framework
6. **CEH, OSCP** - Nếu tập trung mảng pentest
> 💡 **Lưu ý:** Vị trí này ghi "kiến thức cơ bản" nhưng có chứng chỉ sẽ là điểm cộng rất lớn khiến ứng viên nổi bật giữa các ứng viên khác.
### 📊 Bảng so sánh yêu cầu vs Lý tưởng
| Tiêu chí | Yêu cầu tin tuyển dụng | Hồ sơ lý tưởng |
|----------|------------------------|----------------|
| Bằng cấp | ĐH An toàn thông tin / CNTT | ĐH UIT, BK, PTIT, HCMUS |
| Kinh nghiệm | 2+ năm | 3-5 năm (lý tưởng) |
| Framework | Cơ bản NIST, ISO | Thành thạo ISO 27001, NIST CSF |
| Pentest | Cơ bản | Có kinh nghiệm thực tế / CTF |
| Ngành tài chính | Lợi thế | Có kinh nghiệm Banking/Fintech |
| Chứng chỉ | Không bắt buộc | Có CEH hoặc CISSP |
### 🎓 Đào tạo bổ sung gợi ý
- Khóa học **OSCP (Offensive Security)** nếu muốn chuyên sâu pentest
- Khóa **SANS SEC401** (Security Essentials)
- Tham gia **CTF (Capture The Flag)** để thực hành
- Học **MITRE ATT&CK Framework** - đang được nhiều ngân hàng áp dụng
Chuẩn bị phỏng vấn
## Hướng dẫn Phỏng vấn vị trí Chuyên viên cao cấp An ninh Thông tin
### 📋 Quy trình phỏng vấn
Tin tuyển dụng ghi rõ: **Phỏng vấn 1 lần duy nhất** → Thông báo kết quả nhanh chóng
→ Đây là điểm cộng lớn! Không cần trải qua nhiều vòng như các ngân hàng lớn khác.
**Cấu trúc phỏng vấn dự kiến (1 vòng, khoảng 45-60 phút):**
| Phần | Nội dung | Thời lượng |
|------|----------|------------|
| 1. Giới thiệu | Ứng viên tự giới thiệu bản thân | 5-10 phút |
| 2. Kỹ thuật | Hỏi chuyên sâu về ANTT | 20-25 phút |
| 3. Tình huống | Xử lý sự cố thực tế | 10-15 phút |
| 4. Hỏi đáp | Ứng viên hỏi ngược | 5-10 phút |
---
### ❓ Câu hỏi hay gặp theo từng phần
#### Phần 1: Giới thiệu bản thân
- "Em hãy giới thiệu ngắn gọn về bản thân và kinh nghiệm làm việc trong mảng ANTT?"
- "Điều gì thu hút em đến với VietABank?"
- "Em đã làm những dự án ANTT nào đáng tự hào?"
#### Phần 2: Kiến thức chuyên môn
- "Em hiểu gì về NIST Framework? Các bước triển khai NIST CSF trong ngân hàng?"
- "Sự khác nhau giữa ISO 27001 và ISO 27002 là gì?"
- "Quy trình thực hiện một cuộc penetration test từ đầu đến cuối như thế nào?"
- "Em biết gì về OWASP Top 10? Cho ví dụ cụ thể"
- "Khi phát hiện có attacker xâm nhập vào hệ thống core banking, em sẽ xử lý thế nào?"
- "Trình bày về phân loại dữ liệu và quản lý quyền truy cập (Access Control Models)?"
- "SOC là gì? Hoạt động như thế nào?"
- "SIEM hoạt động ra sao và em có kinh nghiệm với công cụ nào?"
#### Phần 3: Tình huống thực tế (Case Study)
- "Một nhân viên báo máy tính chạy chậm bất thường, bạn nghi ngờ bị malware. Bạn sẽ làm gì?"
- "Phát hiện có insider threat (nhân viên nội bộ) truy cập trái phép data khách hàng. Xử lý ra sao?"
- "Ngân hàng bị tấn công DDoS, hệ thống ngưng trệ. Ứng phó thế nào?"
- "Mô tả cách thiết lập chính sách mật khẩu cho ngân hàng theo best practice?"
#### Phần 4: Ứng viên hỏi ngược
- "Team ANTT của VietABank hiện có bao nhiêu người?"
- "Quy trình báo cáo sự cố ANTT của ngân hàng như thế nào?"
- "Có chính sách đào tạo chứng chỉ cho nhân viên không?"
- "Cơ hội thăng tiến trong 2-3 năm tới như thế nào?"
---
### 👔 Dress Code
- **Nam**: Vest hoặc sơ mi cùng quần âu, cà vạt (nếu có)
- **Nữ**: Vest hoặc áo sơ mi thanh lịch, quần âu hoặc chân váy công sở
- **Màu sắc**: Tông màu tối hoặc trung tính (xanh navy, đen, xám)
- **Giày**: Giày da lịch sự, không sandal hay giày thể thao
- **Ghi chú**: VietABank là ngân hàng TMCP, dress code vẫn theo phong cách ngân hàng truyền thống
---
### 💡 Tips chuẩn bị đặc biệt cho vị trí ANTT
1. **Mang theo portfolio/case study**: Nếu từng phát hiện CVE, viết báo cáo pentest, tham gia bug bounty - hãy mang theo (đã được sanitize)
2. **Cập nhật xu hướng ATTT mới nhất**: Các vụ tấn công ngân hàng gần đây tại Việt Nam
3. **Nắm vững luật ANTT**: Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
4. **Thiết bị**: Mang laptop nếu được yêu cầu demo, nhưng thường chỉ cần điện thoại và CV
5. **Nghiên cứu trước**: Tìm hiểu VietABank đang triển khai hệ thống core banking nào, quy mô ATM/chi nhánh
Lộ trình ôn thi
## Ôn thi & Chuẩn bị cho vị trí An ninh Thông tin ngân hàng
### 📚 Kiến thức nền tảng cần nắm vững
#### 1. Framework Security (Trọng tâm phỏng vấn)
**NIST Cybersecurity Framework (CSF)**
- 5 hàm trọng tâm: Identify → Protect → Detect → Respond → Recover
- Cách mapping với ISO 27001
- Tài liệu: NIST SP 800-53, NIST Cybersecurity Framework v1.1 (miễn phí)
**ISO 27001 / ISO 27002**
- Các điều khoản Annex A (14 miền)
- Quy trình CERTIFICATION (PDCA)
- Áp dụng trong môi trường ngân hàng
- Tài liệu: ISO 27001:2022 version mới nhất
**PCI-DSS**
- 12 yêu cầu, đặc biệt liên quan đến thanh toán thẻ
- VietABank là ngân hàng → phải tuân thủ
#### 2. Penetration Testing (Pentest)
| Chủ đề | Nội dung cần biết |
|--------|-------------------|
| Reconnaissance | OSINT, quét cổng (nmap), fingerprinting |
| Vulnerability Assessment | Quét lỗ hổng bằng Nessus, OpenVAS |
| Exploitation | Metasploit, SQL injection, XSS |
| Post-exploitation | Privilege escalation, lateral movement |
| Reporting | Viết báo cáo kỹ thuật & management |
| Types | Black box, Gray box, White box |
**Công cụ thực hành**: TryHackMe, HackTheBox (tài khoản free)
#### 3. Kiến thức nghiệp vụ ngân hàng cần biết
- **Core Banking System**: T不知道 đang dùng hệ thống gì (FLEX, Baan, Temenos...)
- **ATM/POS Security**: Giao thức ISO 8583, 2FA, mã hóa thẻ
- **Digital Banking**: OTP, mã hóa giao dịch online
- **Regulatory**: Thông tư 35/2016/TT-NHNN về ANTT cho ngân hàng
- **Nghị định 13/2023**: Bảo vệ dữ liệu cá nhân (DPDP)
#### 4. Security Operations
- **SIEM**: Splunk, QRadar, Elastic Stack (nắm khái niệm và cách viết query cơ bản)
- **SOC**: Quy trình phát hiện, phân tích, leo thang, ứng phó
- **Threat Intelligence**: IOC, MITRE ATT&CK
- **Incident Response**: NIST SP 800-61r2 - lifecycle
---
### 📖 Tài liệu tham khảo (Free resources)
| Tài liệu | Link/Nguồn |
|----------|-------------|
| NIST CSF | csrc.nist.gov/publications |
| ISO 27001 Overview | iso.org (preview miễn phí) |
| OWASP Top 10 | owasp.org/Top10 |
| NIST SP 800-61 (Incident Handling) | csrc.nist.gov |
| SANS Reading Room - Banking Security | sans.org/reading-room |
| VietBank Annual Report | Website VietABank (tìm hiểu quy mô) |
| Thông tư 35/2016/TT-NHNN | mobme.vn/luat |
---
### 📅 Lộ trình chuẩn bị 1-2 tuần
#### Tuần 1: Lấy gốc và ôn chuyên sâu
| Ngày | Nội dung |
|------|----------|
| Ngày 1-2 | Đọc NIST CSF + luyện giải thích 5 hàm trọng tâm bằng tiếng Việt |
| Ngày 3-4 | Ôn ISO 27001:2022 - 93 controls, mapping với NIST |
| Ngày 5 | Học OWASP Top 10 + làm lab trên PortSwigger Web Academy (free) |
| Ngày 6 | Ôn Incident Response process + viết mẫu playbook |
| Ngày 7 | Thực hành TryHackMe - room "Pre Security" hoặc "Blue Team" |
#### Tuần 2: Luyện tập và mock interview
| Ngày | Nội dung |
|------|----------|
| Ngày 8-9 | Ôn kiến thức ngân hàng (thẻ, core banking, luật NHNN) |
| Ngày 10 | Làm mindmap "Tình huống xử lý sự cố ANTT" |
| Ngày 11 | Tự hỏi đáp + record lại để tự review |
| Ngày 12 | Chuẩn bị case study từ kinh nghiệm bản thân |
| Ngày 13 | Nghiên cứu VietABank: quy mô, sản phẩm, công nghệ đang dùng |
| Ngày 14 | Nghỉ ngơi, tự tin, chuẩn bị CV + portfolio |
---
### 🎓 Nên học gì thêm để nâng cấp hồ sơ?
**Trước khi apply (nếu còn thời gian):**
- Hoàn thành 1-2 room TryHackMe (free): "Blue Team Tools", "Windows Fundamentals"
- Đọc 3-5 bài viết về bảo mật ngân hàng tại Việt Nam
- Tự viết blog hoặc note về NIST/ISO (sẽ là điểm cộng)
**Sau khi nhận offer (chuẩn bị onboarding):**
- Học thêm về **SOC (Security Operations Center)** operations
- Tìm hiểu **零信任 (Zero Trust Architecture)** - xu hướng mới
- Chuẩn bị chứng chỉ **CEH** hoặc **CompTIA Security+**
Tư vấn nghề nghiệp
## Lời khuyên Sự nghiệp cho vị trí An ninh Thông tin
### 🚀 Lộ trình thăng tiến trong mảng ANTT
```
Junior IT/Security (0-2 năm)
↓
Chuyên viên ANTT (2-5 năm) ← [BẠN ĐANG Ở ĐÂY]
↓
Senior ANTT / Team Lead (5-8 năm)
↓
Manager ANTT / CISO (8-12 năm)
↓
Chief Information Security Officer (CISO) (12+ năm)
```
**Tại VietABank cụ thể:**
- Tin tuyển dụng nhắc đến chương trình **"VietABank NextGen"** - chương trình cán bộ nguồn
- Đây là cơ hội để được đề bạt nhanh hơn so với lộ trình thông thường
- Trung bình 2-3 năm có thể lên Senior hoặc Team Lead nếu thể hiện tốt
---
### 💰 Mức lương kỳ vọng theo cấp bậc (tham khảo thị trường HCM 2024-2025)
| Cấp bậc | Kinh nghiệm | Mức lương tháng (VND) |
|---------|------------|------------------------|
| Fresher IT Security | 0-1 năm | 8-15 triệu |
| Junior Security | 1-2 năm | 12-20 triệu |
| **Chuyên viên ANTT (bạn đang apply)** | **2-4 năm** | **18-35 triệu** |
| Senior Security | 4-7 năm | 30-55 triệu |
| Security Manager | 6-10 năm | 50-80 triệu |
| CISO | 10+ năm | 100-200+ triệu |
> ⚠️ **Lưu ý:** VietABank là ngân hàng TMCP cỡ vừa, mức lương có thể thấp hơn 10-20% so với ngân hàng lớn (Vietcombank, VietinBank) nhưng bù lại bằng cơ hội thăng tiến và môi trường ít áp lực hơn.
---
### 🔑 Kỹ năng cần phát triển thêm để thăng tiến
**Ngắn hạn (1-2 năm đầu):**
- Thành thạo ít nhất 1 SIEM tool (Splunk hoặc QRadar)
- Lấy chứng chỉ CEH hoặc CompTIA Security+
- Hiểu sâu nghiệp vụ core banking của VietABank
- Xây dựng relationships với các phòng ban (IT, BA, Risk)
**Trung hạn (2-4 năm):**
- Lấy chứng chỉ CISSP hoặc CISM
- Chuyên sâu 1 lĩnh vực: Cloud Security (AWS/Azure) hoặc AppSec hoặc SOC
- Tham gia đánh giá ISO 27001 hoặc PCI-DSS compliance
- Mentor junior members
**Dài hạn (5+ năm):**
- Bằng cấp cao hơn: MBA hoặc chứng chỉ CISM
- Kỹ năng lãnh đạo và quản lý đội nhóm
- Hiểu business strategy để align với security roadmap
- Có thể hướng đến vị trí CISO hoặc Security Architect
---
### 🌟 Ưu điểm & Nhược điểm của VietABank
| Ưu điểm | Nhược điểm |
|---------|------------|
| ✅ Phỏng vấn nhanh, 1 vòng | ⚠️ Quy mô nhỏ hơn ngân hàng quốc doanh |
| ✅ Chương trình cán bộ nguồn rõ ràng | ⚠️ Lương có thể thấp hơn ngân hàng lớn |
| ✅ Phúc lợi tốt (bảo hiểm, nghỉ sinh nhật) | ⚠️ Cơ hội học hỏi từ đồng nghiệp ít hơn |
| ✅ Văn hóa gắn kết (team building, sinh nhật) | ⚠️ Hệ thống CNTT có thể chưa hiện đại bằng |
| ✅ Môi trường làm việc thân thiện | ⚠️ ít cơ hội chuyển sang Big Tech |
| ✅ Lợi thế: học ANTT ngân hàng "từ đầu" | |
---
### 💡 Lời khuyên từ người đi trước
> *"Vào ngân hàng cỡ trung bình như VietABank hay SeABank là lựa chọn khôn ngoan nếu bạn muốn học ANTT ngân hàng từ A-Z. Bạn sẽ phải đảm nhiệm nhiều vai trò hơn, chạm vào nhiều hệ thống hơn. Sau 2-3 năm, bạn sẽ có cái nhìn toàn diện về ANTT ngân hàng - đó là nền tảng tốt để nhảy sang ngân hàng lớn hơn với mức lương x2."*
**Chiến lược 3 năm đề xuất:**
1. **Năm 1**: Học hỏi toàn bộ hệ thống, lấy chứng chỉ CEH, build network trong ngân hàng
2. **Năm 2**: Lên Senior, phụ trách 1-2 lĩnh vực chuyên sâu, lấy CISSP
3. **Năm 3**: Lên Team Lead hoặc chuyển sang ngân hàng lớn với mức lương 50-70 triệu
Câu hỏi thường gặp
Em mới tốt nghiệp ngành CNTT, chưa có kinh nghiệm ANTT chính thức, có thể ứng tuyển vị trí này không?
Khó. Tin tuyển dụng yêu cầu TỐI THIỂU 2 năm kinh nghiệm trong mảng ANTT. Tuy nhiên, bạn có thể:
1) Tìm các vị trí intern hoặc junior ở VietABank hoặc ngân hàng khác trước
2) Học chứng chỉ Security+ hoặc CEH để tăng giá trị hồ sơ
3) Tham gia các dự án pentest freelance hoặc Bug Bounty để tích kinh nghiệm thực tế
4) Ứng tuyển các ngân hàng TMCP cỡ nhỏ hơn hoặc công ty Fintech
Nếu bạn thực sự giỏi và có portfolio ấn tượng (CTF, CVE discovery), vẫn có cơ hội được đánh giá cao.
Mức lương thực tế của vị trí này là bao nhiêu? Tin tuyển dụng ghi 'thỏa thuận' có đáng tin không?
'Thỏa thuận' là cách viết phổ biến của ngân hàng TMCP. Với 2-4 năm kinh nghiệm ANTT, mức lương thực tế dao động khoảng 18-35 triệu/tháng tại TP.HCM. VietABank có thể đưa ra mức 20-28 triệu cho ứng viên phù hợp. Mẹo: NÊN đề cập mức lương mong đợi trong email ứng tuyển hoặc để người phỏng vấn hỏi trước. Đừng bao giờ nói mức quá thấp (dưới 18 triệu) vì sẽ bị đánh giá thấp năng lực, cũng đừng nói quá cao (trên 40 triệu) nếu chưa có 4+ năm kinh nghiệm thực sự.
KPI của vị trí Chuyên viên ANTT tại ngân hàng thường là gì?
KPI ANTT thường gồm:
- Số vụ vi phạm ANTT phát hiện và xử lý (SLA: thường 24h-72h)
- Thời gian phát hiện và khắc phục sự cố (MTTD, MTTR)
- Số cuộc tấn công phishing được ngăn chặn
- Tỷ lệ tuân thủ chính sách ANTT của nhân viên
- Số bài kiểm thử bảo mật (pentest) hoàn thành
- Số sự cố/leo thang phản hồi đúng SLA
- Hoàn thành audit/assessment đúng deadline
- Đào tạo ANTT cho nhân viên (số khóa, số người tham gia)
Môi trường ngân hàng thường có KPI gắt hơn công ty IT vì rủi ro pháp lý cao.
Chuyên viên ANTT tại ngân hàng thường làm việc mấy giờ? Có phải trực đêm không?
Giờ làm việc chuẩn: 8h00-17h00 thứ 2-6. Tuy nhiên:
- Khi có sự cố bảo mật nghiêm trọng: có thể phải OT hoặc trực khẩn cấp
- Các đợt audit (ISO 27001, PCI-DSS): bận rộn hơn bình thường 1-2 tuần
- Trực đêm/thứ 7: thường chỉ áp dụng cho vị trí SOC Analyst, không phải Chuyên viên ANTT thông thường
- Một số ngân hàng có on-call rotation (trực 24/7) nhưng phân chia theo team
So với công ty IT startup, giờ làm ngân hàng ổn định hơn nhiều.
Làm ở ngân hàng TMCP cỡ trung như VietABank có lợi hơn hay bất lợi hơn so với ngân hàng quốc doanh hay công ty Fintech?
Mỗi môi trường có ưu nhược điểm khác nhau:
✅ VietABank/TMCP cỡ trung:
- Học ANTT tổng thể, chạm nhiều hệ thống
- Quy trình ít phức tạp, linh hoạt hơn
- Cơ hội thăng tiến nhanh hơn
- Phù hợp để xây dựng nền tảng "Tổng thể ANTT ngân hàng"
✅ Ngân hàng quốc doanh (Vietcombank, VietinBank):
- Quy trình chuẩn hóa cao, bài bản
- Lương và thương hiệu tốt hơn
- Phù hợp sau khi đã có 3-5 năm kinh nghiệm
✅ Fintech:
- Môi trường năng động, học công nghệ mới
- Lương có thể cao hơn ngân hàng TMCP
- Phù hợp người thích thử thách và thay đổi
→ Lời khuyên: Bắt đầu ở VietABank 2-3 năm để hiểu ANTT ngân hàng toàn diện, sau đó nhảy sang ngân hàng lớn hoặc Fintech với mức lương x2.
Em đang làm ở công ty outsourcing IT, muốn chuyển sang ANTT ngân hàng có khó không?
Không khó nếu bạn chuẩn bị đúng cách. Chiến lược:
1) Học chứng chỉ Security: CompTIA Security+ hoặc CEH (2-3 tháng tự học)
2) Xây dựng portfolio: Tham gia TryHackMe, HackTheBox, viết blog về bảo mật
3) Kinh nghiệm chuyển đổi: Bạn đã làm IT → đã hiểu hạ tầng, network, server → đây là nền tảng tốt cho ANTT
4) Tập trung vào điểm chung: Kiến thức về network, OS, cloud có thể chuyển đổi trực tiếp
5) Ứng tuyển thông minh: Tìm các vị trí "Security Engineer" hoặc "Junior Security" trước, sau đó chuyển lên Senior
6) Đừng kỳ vọng lương ngang bằng với dev, nhưng sau 1-2 năm chuyên ANTT sẽ bắt kịp
Thực tế: nhiều người từ sysadmin/network admin chuyển sang ANTT rất thành công.