VietBank
Chuyên viên Chính sách An ninh thông tin
Hồ Chí Minh
IT
Thỏa thuận
Mô tả công việc
Mô tả công việc
- Xây dựng, rà soát, đề xuất hệ thống chính sách, quy định, quy trình hướng dẫn đảm bảo ATTT theo các quy định của Ngân hàng Nhà nước, tiêu chuẩn quốc tế và phù hợp với nội bộ Vietbank.
- Hỗ trợ, đóng góp ý kiến xây dựng, cải tiến các chính sách, quy định liên quan đến công tác an toàn thông tin cho các phòng ban nghiệp vụ.
- Tham gia xây dựng, triển khai và truyền thông các chương trình nâng cao nhận thức ATTT cho nội bộ Vietbank. - Tiếp nhận, giải đáp các thắc mắc liên quan đến công tác an toàn bảo mật thông tin trong toàn hệ thống. - Xây dựng nội dung kiểm tra an toàn thông tin tại các Đơn vị nghiệp vụ và Trung tâm kinh doanh.
- Thực hiện rà soát, kiểm tra tuân thủ về an toàn thông tin tại Hội sở và Trung tâm kinh doanh. - Tham gia việc triển khai, phối hợp với các phòng ban đánh giá và duy trì các chứng nhận về ATTT như: PCI-DSS, ISO 27000, Swift CSP...
- Thực hiện công tác thu thập số liệu từ các phòng ban nghiệp vụ, tổng hơp báo cáo cho các cơ quan Nhà nước theo định kỳ và đột xuất
- Thực hiện các công việc khác theo phân công của các cấp Quản lý.
- Đi công tác các tỉnh, thành khi có yêu cầu
Yêu cầu
- Tốt nghiệp đại học chuyên ngành CNTT.
- Có kiến thức về hệ thống, mạng, an toàn thông tin, bảo mật ứng dụng.
- Ít nhất 02 năm kinh nghiệm trong lĩnh vực ATTT
- Có khả năng tốt và kinh nghiệm trong việc xây dựng, đề xuất, cải tiến chính sách, quy trình, quy định về ATTT.
- Có hiểu biết về lĩnh vực kiểm toán CNTT hoặc An toàn thông tin
- Có hiểu biết các quy định về CNTT và ATTT của cơ quan nhà nước, tổ chức tài chính.
- Có hiểu biết về các tiêu chuẩn quản lý An ninh thông tin, PCI DSS, ITIL, ISO27001..
- Có khả năng đọc hiểu tài liệu chuyên ngành Tiếng Anh.
- Có khả năng giao tiếp tốt, làm việc nhóm, cẩn thận
- Ưu tiên ứng viên có chứng chỉ Lead Auditor ISO 27001, CISA...
Quyền lợi
- Đào tạo, chế độ phép năm, lễ, tết, bảo hiểm chăm sóc sức khỏe, nghỉ mát, đồng phục,…
- Cơ hội thăng tiến, phát triển nghề nghiệp tại Vietbank
- Lương tháng 13, thưởng lễ tết theo tình hình thực tế của Ngân hàng
- Thưởng hiệu quả kinh doanh, các khoản thưởng theo kết quả hoạt động của đơn vị và kết quả công việc của cá nhân.
Yêu cầu ứng viên
- Tốt nghiệp đại học chuyên ngành CNTT.
- Có kiến thức về hệ thống, mạng, an toàn thông tin, bảo mật ứng dụng.
- Ít nhất 02 năm kinh nghiệm trong lĩnh vực ATTT
- Có khả năng tốt và kinh nghiệm trong việc xây dựng, đề xuất, cải tiến chính sách, quy trình, quy định về ATTT.
- Có hiểu biết về lĩnh vực kiểm toán CNTT hoặc An toàn thông tin
- Có hiểu biết các quy định về CNTT và ATTT của cơ quan nhà nước, tổ chức tài chính.
- Có hiểu biết về các tiêu chuẩn quản lý An ninh thông tin, PCI DSS, ITIL, ISO27001..
- Có khả năng đọc hiểu tài liệu chuyên ngành Tiếng Anh.
- Có khả năng giao tiếp tốt, làm việc nhóm, cẩn thận
- Ưu tiên ứng viên có chứng chỉ Lead Auditor ISO 27001, CISA...
Phân tích kỹ năng cần có
## Phân tích Kỹ năng cần có
### 🔐 Hard Skills (Kỹ năng chuyên môn)
**1. Kiến thức An toàn thông tin (ATTT) cốt lõi**
- An toàn hệ thống mạng: firewall, IDS/IPS, VPN, network segmentation
- Bảo mật ứng dụng: OWASP Top 10, secure coding, penetration testing basics
- Quản lý rủi ro ATTT: đánh giá, giám sát, xử lý sự cố
- Kiểm toán CNTT/ATTT: methodology, control assessment
**2. Tiêu chuẩn & Chứng chỉ quốc tế**
| Tiêu chuẩn | Mức độ cần biết | Ghi chú |
|------------|-----------------|----------|
| ISO 27001 | Bắt buộc | Nền tảng quản lý ATTT |
| PCI DSS | Bắt buộc | Bắt buộc với ngân hàng |
| SWIFT CSP | Ưu tiên | Chuẩn SWIFT cho ngân hàng |
| ITIL | Nên biết | Quản lý dịch vụ CNTT |
| CISA | Ưu tiên | Kiểm toán CNTT |
| CEH/OSCP | Là lợi thế | Kiểm thử xâm nhập |
**3. Quy định pháp lý Việt Nam**
- Thông tư 13/2017/TT-NHNN về ATTT cho ngân hàng
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
- Các quy định về thanh toán điện tử, fintech
**4. Kỹ năng soạn thảo chính sách**
- Viết văn bản quy phạm nội bộ
- Mapping chính sách với tiêu chuẩn quốc tế
- Đánh giá gap analysis
**5. Ngoại ngữ**
- Đọc hiểu tiếng Anh chuyên ngành (bắt buộc)
- TOEIC ≥ 500-600 là mốc tham chiếu phổ biến
---
### 💬 Soft Skills (Kỹ năng mềm)
| Kỹ năng | Mức độ quan trọng | Cách rèn luyện |
|---------|-------------------|----------------|
| Giao tiếp | ★★★★★ | Thuyết trình, viết báo cáo, đào tạo nội bộ |
| Làm việc nhóm | ★★★★☆ | Phối hợp đa phòng ban, dự án cross-functional |
| Phân tích & logic | ★★★★☆ | Case study, đánh giá rủi ro thực tế |
| Giải quyết vấn đề | ★★★☆☆ | Xử lý sự cố, incident response |
| Quản lý thời gian | ★★★☆☆ | Deadline báo cáo, audit schedule |
---
### 📜 Chứng chỉ gợi ý (theo mức ưu tiên)
**Bắt buộc nên có:**
- ISO 27001 Foundation / Lead Implementer
- CompTIA Security+
**Ưu tiên cao:**
- **ISO 27001 Lead Auditor** (theo JD) - Chứng chỉ ưu tiên hàng đầu
- **CISA** - Certified Information Systems Auditor
**Là lợi thế:**
- CISSP (Senior level)
- CISM
- CEH
- PCI DSS Qualified Security Assessor (QSA)
**Chi phí tham khảo:**
- ISO 27001 Lead Auditor: ~$2,000-3,000 (quốc tế), có thể thấp hơn với đơn vị đào tạo Việt Nam
- CISA: $575 (exam fee) + phí duy trì hàng năm
Chuẩn bị phỏng vấn
## Hướng dẫn Phỏng vấn
### 📋 Quy trình các vòng phỏng vấn
Thông thường tại Vietbank, vòng phỏng vấn cho vị trí chuyên viên ATTT gồm:
```
Vòng 1: HR - Sàng lọc hồ sơ & phỏng vấn ban đầu (30-45 phút)
↓
Vòng 2: Trưởng phòng IT / CISO - Chuyên môn (45-60 phút)
↓
Vòng 3: Ban lãnh đạo/Phó TGĐ - Đánh giá cấp cao (30-45 phút)
```
---
### 🎯 Câu hỏi hay gặp theo từng vòng
#### Vòng 1: HR (Sàng lọc)
- Tự giới thiệu bản thân trong 2-3 phút
- Tại sao bạn quan tâm đến vị trí Chính sách ATTT?
- Bạn biết gì về Vietbank?
- Mức lương kỳ vọng của bạn là bao nhiêu?
- Bạn có thể đi công tác tỉnh khi cần không?
#### Vòng 2: Trưởng phòng IT/CISO (Chuyên môn)
- Bạn hiểu các tiêu chuẩn ISO 27001, PCI DSS như thế nào?
- Trình bày quy trình xây dựng một chính sách ATTT từ đầu?
- Làm thế nào để đảm bảo nhân viên tuân thủ chính sách ATTT?
- Bạn đã từng tham gia đánh giá tuân thủ nào chưa? Kết quả ra sao?
- Mô tả một tình huống vi phạm ATTT bạn từng xử lý?
- Gap analysis giữa Thông tư 13/2017 và ISO 27001 là gì?
- Incident response process của bạn như thế nào?
#### Vòng 3: Ban lãnh đạo
- Bạn sẽ đề xuất gì để cải thiện ATTT của Vietbank?
- Làm sao cân bằng giữa bảo mật và tiện lợi người dùng?
- Bạn thấy xu hướng ATTT ngân hàng 2024-2025 thế nào?
- Kế hoạch phát triển sự nghiệp 3-5 năm tới của bạn?
---
### 💡 Tips chuẩn bị
**1. Nghiên cứu trước khi phỏng vấn:**
- Tìm hiểu về Vietbank: quy mô, sản phẩm, hệ thống CNTT
- Đọc các thông tư NHNN về ATTT gần đây
- Theo dõi tin tức ATTT ngân hàng Việt Nam
**2. Chuẩn bị Portfolio:**
- Mẫu chính sách/quy trình ATTT đã từng xây dựng (đã được phê duyệt)
- Kết quả audit/assessment
- Bài thuyết trình nhận thức ATTT đã triển khai
**3. Trả lời theo STAR:**
- Situation → Task → Action → Result
- Luôn có số liệu cụ thể để minh họa
**4. Chuẩn bị câu hỏi cho nhà tuyển dụng:**
- Đội ngũ ATTT hiện tại có bao nhiêu người?
- Hệ thống nào đã được chứng nhận PCI DSS/ISO 27001?
- Các dự án ATTT ưu tiên trong năm tới?
---
### 👔 Dress Code
- **Nam:** Vest hoặc áo sơ mi dài tay + quần âu + giày da
- **Nữ:** Áo sơ mi/blazer + quần âu/chân váy công sở
- Tránh màu sắc quá nổi bật, nước hoa mạnh
- Điện thoại tắt âm/để chế độ im lặng
Lộ trình ôn thi
## Ôn thi & Chuẩn bị
### 📚 Kiến thức nền tảng cần nắm vững
#### A. Luật & Quy định Việt Nam
1. **Thông tư 13/2017/TT-NHNN** - An toàn thông tin trong hoạt động ngân hàng
- 14 nhóm kiểm soát chính
- Yêu cầu về quản lý rủi ro, incident management
2. **Nghị định 13/2023/NĐ-CP** - Bảo vệ dữ liệu cá nhân
- Quyền của chủ thể dữ liệu
- Nghĩa vụ của tổ chức xử lý dữ liệu
3. **Thông tư 16/2020/TT-NHNN** - Hoạt động thẻ ngân hàng
- Yêu cầu bảo mật thanh toán thẻ
#### B. Tiêu chuẩn Quốc tế
**ISO 27001:2022**
- Annex A: 93 controls (phiên bản mới)
- PDCA cycle trong ISMS
- Risk assessment methodology
**PCI DSS v4.0**
- 12 requirements chính
- Compensating controls
- Tokenization & encryption
**SWIFT CSP**
- Customer Security Program
- 8 mandatory controls
#### C. Kiến thức kỹ thuật
- Network security (TCP/IP, VLAN, firewall rules)
- Cryptography basics (AES, RSA, Hash)
- Identity & Access Management
- Security monitoring & SIEM concepts
---
### 📖 Tài liệu tham khảo
**Sách:**
- "Information Security Policies Made Easy" - Charles Cresson Wood
- "ISO 27001:2022 - A Pocket Guide" - Steve G. Bartlett
- "PCI DSS: A Practical Guide to Implementation" - PCI Security Standards Council
**Nguồn trực tuyến:**
- isaca.org (tài liệu CISA, CISM)
- pcisecuritystandards.org (PCI DSS)
- iso27001security.com
- Bộ Thông tin và Truyền thông: mic.gov.vn
- NHNN: sbv.gov.vn
**Khoá học online:**
- Cybrary.it (Free & Paid)
- SANS Cyber Aces
- Udemy: "ISO 27001 Foundation"
---
### 📅 Lộ trình chuẩn bị 1-2 tuần
**Tuần 1: Nền tảng**
| Ngày | Nội dung | Thời gian |
|------|----------|----------|
| 1-2 | Ôn Thông tư 13/2017 + ISO 27001 Overview | 4h/ngày |
| 3-4 | Học PCI DSS requirements | 4h/ngày |
| 5 | Ôn SWIFT CSP + Thông tư 16 | 3h/ngày |
| 6-7 | Làm bài tập thực hành, quiz online | 3h/ngày |
**Tuần 2: Chuyên sâu + Mock interview**
| Ngày | Nội dung | Thời gian |
|------|----------|----------|
| 8-9 | Học kỹ technical security + policy writing | 4h/ngày |
| 10-11 | Chuẩn bị portfolio + case studies | 4h/ngày |
| 12 | Mock interview với bạn bè/mentor | 3h |
| 13-14 | Tổng hợp, điều chỉnh, nghỉ ngơi | 2h/ngày |
**Mẹo ôn tập hiệu quả:**
- Ghi chú bằng mindmap thay vì đọc thuần
- Thực hành viết chính sách mẫu
- Join group LinkedIn về ATTT Việt Nam để cập nhật xu hướng
Tư vấn nghề nghiệp
## Lời khuyên Sự nghiệp
### 🚀 Lộ trình thăng tiến trong ngành ATTT Ngân hàng
```
Chuyên viên ATTT (2-3 năm kinh nghiệm)
↓
Senior Chuyên viên ATTT / Team Lead (3-5 năm)
↓
Trưởng phòng ATTT / CISO (5-8 năm)
↓
Giám đốc An ninh thông tin / VP Information Security (8+ năm)
```
---
### 💰 Mức lương kỳ vọng theo cấp bậc (tham khảo thị trường 2024)
| Cấp bậc | Kinh nghiệm | Mức lương tháng (VND) |
|---------|-------------|------------------------|
| Fresher/Junior | 0-1 năm | 10-18 triệu |
| Chuyên viên | 2-3 năm | 18-30 triệu |
| Senior | 3-5 năm | 30-50 triệu |
| Trưởng phòng | 5-8 năm | 50-80 triệu |
| CISO | 8+ năm | 80-150+ triệu |
**Lưu ý:**
- Vietbank là ngân hàng TMCP vừa, mức lương có thể thấp hơn các ngân hàng lớn (VietinBank, Vietcombank, BIDV) khoảng 10-20%
- Lương tháng 13 + thưởng hiệu quả có thể tăng thu nhập thêm 20-30%/năm
- Negotiable salary: đàm phán dựa trên kinh nghiệm + chứng chỉ
---
### 🎯 Kỹ năng cần phát triển thêm
**Ngắn hạn (1-2 năm đầu):**
- Lấy chứng chỉ ISO 27001 Lead Auditor hoặc CISA
- Học thêm về cloud security (AWS/Azure security)
- Rèn kỹ năng thuyết trình, đào tạo nội bộ
- Tích lũy kinh nghiệm audit/assessment thực tế
**Trung hạn (3-5 năm):**
- Mở rộng sang GRC (Governance, Risk, Compliance)
- Học thêm về Data Privacy (GDPR, PDPA)
- Phát triển kỹ năng lãnh đạo, quản lý nhóm
- Xây dựng personal brand trong ngành
**Dài hạn (5+ năm):**
- CISSP hoặc CISM để lên vị trí quản lý
- Hiểu biết về Business Continuity, Crisis Management
- Kinh nghiệm quản lý budget, vendor
- Networking trong ngành (ISACA Chapter, VNISA)
---
### 💎 Lời khuyên từ người đi trước
1. **Bắt đầu từ policy work:** Vị trí này phù hợp cho người muốn đi theo hướng GRC thay vì pure technical
2. **Xây dựng portfolio:** Các chính sách, quy trình bạn từng xây dựng là "bằng chứng" giá trị nhất khi phỏng vấn
3. **Đừng chỉ học lý thuyết:** Tình nguyện tham gia các dự án audit, assessment để có kinh nghiệm thực tế
4. ** Quan hệ là quan trọng:** Tham gia các sự kiện ATTT tại Việt Nam: Vietnam Security Summit, ISACA conferences
5. **Chứng chỉ là điểm cộng lớn:** CISA + ISO 27001 Lead Auditor = combo mạnh cho vị trí này
Câu hỏi thường gặp
Vị trí Chuyên viên Chính sách ATTT khác gì so với Chuyên viên SOC hay Security Engineer?
Vị trí này thiên về mảng GRC (Governance, Risk & Compliance) - tập trung vào xây dựng chính sách, đảm bảo tuân thủ, đánh giá audit. Trong khi SOC tập trung giám sát, phát hiện và ứng phó sự cố; Security Engineer thiên về kỹ thuật triển khai giải pháp bảo mật. Nếu bạn thích viết lách, làm việc với con người và có tầm nhìn tổng thể thì đây là vị trí phù hợp.
Mức lương thực tế cho vị trí này tại Vietbank là bao nhiêu?
JD ghi 'thỏa thuận' nên mức lương phụ thuộc đàm phán. Tham khảo thị trường 2024, vị trí tương đương tại các ngân hàng TMCP vừa dao động 20-35 triệu/tháng cho 2-3 năm kinh nghiệm. Vietbank có thể ở mức tương đương hoặc nhỉnh hơn một chút nếu bạn có chứng chỉ CISA/ISO 27001. Đừng ngại đàm phán, nhấn mạnh giá trị chứng chỉ và kinh nghiệm thực tế.
Cần chuẩn bị gì để pass vòng phỏng vấn chuyên môn?
Chuẩn bị kỹ: (1) Hiểu rõ ISO 27001 và PCI DSS - đây là 2 tiêu chuẩn bắt buộc; (2) Ôn lại Thông tư 13/2017 của NHNN; (3) Chuẩn bị 2-3 case study về tình huống ATTT đã xử lý; (4) Có thể mang theo mẫu chính sách/quy trình đã từng xây dựng (nếu có NDA thì che thông tin nhạy cảm). Nhà tuyển dụng sẽ hỏi rất sâu về practical experience.
Tôi chưa có chứng chỉ CISA/ISO 27001, có nên ứng tuyển không?
Hoàn toàn có thể! JD ghi 'ưu tiên' chứ không phải 'bắt buộc'. Bạn có thể ứng tuyển và đàm phán: 'Tôi đang có kế hoạch lấy chứng chỉ X trong 6 tháng tới' để thể hiện cam kết. Tuy nhiên, nếu đã có kinh nghiệm 2+ năm, hãy cố gắng lấy ít nhất 1 chứng chỉ (ưu tiên ISO 27001 Foundation trước) để tăng sức cạnh tranh.
Công việc có phải đi công tác tỉnh thường xuyên không?
JD có ghi 'đi công tác các tỉnh khi có yêu cầu' - tần suất không cố định, có thể 1-2 chuyến/tháng hoặc ít hơn, thường để kiểm tra ATTT tại các chi nhánh/ATM. Bạn nên hỏi rõ ở vòng phỏng vấn về tần suất cụ thể và chính sách hỗ trợ đi lại (vé máy bay, ăn ở, công tác phí).
Hướng phát triển nào tốt hơn: tiếp tục ở Vietbank hay chuyển sang ngân hàng lớn hơn?
Ưu điểm của Vietbank (ngân hàng vừa): ít bộ máy hơn, cơ hội thăng tiến nhanh hơn, học được nhiều mảng. Ưu điểm ngân hàng lớn (VPBank, Techcombank, VietinBank): lương cao hơn, team chuyên nghiệp hơn, brand name mạnh. Gợi ý: Ở Vietbank 2-3 năm để lên senior/trưởng nhóm, sau đó nhảy sang ngân hàng lớn hơn với mức lương hấp dẫn hơn.
Công việc hàng ngày của vị trí này như thế nào?
Thực tế công việc gồm: (1) Soạn thảo/review chính sách, quy trình ATTT; (2) Kiểm tra tuân thủ tại các chi nhánh; (3) Thu thập dữ liệu, tổng hợp báo cáo cho NHNN; (4) Trả lời câu hỏi từ các phòng ban về ATTT; (5) Hỗ trợ audit/chứng nhận PCI DSS, ISO 27001; (6) Tham gia đào tạo nhận thức ATTT cho nhân viên. Công việc khá đa dạng, ít repetitive.