messenger

Chat Mess

zalo

Chat Zalo

phone

Phone

Gọi ngay: 097.5151.777
messenger

Facebook

messenger

TikTok

Hỗ trợ tư vấn: 097.5151.777
LPBank

CV/CVC/CVCC Tuân Thủ An Ninh Thông Tin (GRC)

Hà Nội Hội sở
Chuyên viên Thỏa thuận 20 chỉ tiêu

Mô tả công việc

- Tốt nghiệp Đại học chính quy trở lên chuyên ngành: An ninh thông tin, Công nghệ thông tin hoặc chuyên ngành khác nhưng có kiến thức, kinh nghiệm về lĩnh vực rủi ro, kiểm toán công nghệ thông tin.Có hiểu biết về quy trình, hệ thống thông tin hoặc hiểu biết cơ bản về an toàn thông tin và có đam mê định hướng về lĩnh vực quản trị, rủi ro và tuân thủ An toàn thông tin. - Có kỹ năng giao tiếp, thuyết trình, đàm phán, giải quyết vấn đề tốt. - Có hiểu biết về ISO 27001; PCIDSS; ITIL; COBIT; Nghị định 13; Thông tư 09…hoặc hiểu biết về các giải pháp bảo mật là một lợi thế. - Ưu tiên ứng viên có các chứng chỉ Auditor liên quan tới CNTT hoặc các chứng chỉ về bảo mật thông tin HƯỚNG DẪN NỘP HỒ SƠ - Đặt tên file Đơn đăng ký ứng tuyển như sau: Đia điểm - Vị trí - Họ và tên - Yêu cầu: Hồ sơ hợp lệ là hồ sơ theo mẫu của Ngân hàng, định dạng file excel và đặt tên file theo đúng hướng dẫn trên. - LPBank có quyền từ chối tuyển dụng đối với các ứng viên nộp hồ sơ không theo quy định của LPBank hoặc ứng viên khai thông tin không chính xác. LƯU Ý: - Căn cứ số lượng, chất lượng ứng viên ứng tuyển, yêu cầu công việc,… Ngân hàng sẽ thông báo đến các ứng viên đủ điều kiện theo quy định để tham gia các vòng tuyển dụng (ứng viên không nhận được thông tin mời tuyển dụng từ Ngân hàng được hiểu là chưa phù hợp/chưa đáp ứng yêu cầu tuyển dụng). - Việc tuyển dụng tại Ngân hàng Bưu điện Liên Việt là hoàn toàn công bằng, minh bạch, khách quan, không qua bất cứ cá nhân trung gian và không thu bất cứ khoản chi phí tuyển dụng nào. - Các ứng viên đạt vòng sơ tuyển (sơ loại, thi nghiệp vụ....) sẽ được Ngân hàng liên hệ mời tham dự vòng tiếp theo thông qua điện thoại/Email/tin nhắn SMS...Kết quả tuyển dụng sẽ được thông báo đến từng ứng viên tham gia dự tuyển bằng Email sau khi kết thúc chương trình tuyển dụng từ 7 - 10 ngày. - Trường hợp Ông/Bà phải mất bất cứ chi phí nào trong quá trình tuyển dụng, xin vui lòng phản ánh trực tiếp tới địa chỉ email: thongbaotuyendung@lpbank.com.vn - Trường hợp Ông/Bà phải mất chi phí tiêu cực trong quá trình tuyển dụng mà không thông báo cho Ngân hàng và/hoặc Ngân hàng phát hiện ra, Ngân hàng sẽ từ chối tuyển dụng (đối với trường hợp đã trúng tuyển nhưng chưa tiếp nhận) hoặc buộc thôi việc (đối với các trường hợp đã tiếp nhận), kể cả với trường hợp bên nhận chi phí đang là CBNV của Ngân hàng. Quyền lợi 1. Chế độ đãi ngộ hấp dẫn, xứng tầm - Lương hàng tháng và các chế độ phụ cấp cạnh tranh trên thị trường - Thưởng cuối năm hấp dẫn theo đánh giá hiệu quả công việc - Thưởng sinh nhật, Lễ/Tết,Chế độ thăm hỏi ốm đau... - Chăm sóc sức khoẻ toàn diện: Khám sức khoẻ hàng năm, gói bảo hiểm độc quyền dảnh riêng cho LPBanker - Các hoạt động teambuilding, nhiều chương trình văn hóa - thể thao gắn kết nội bộ 2. Môi trường làm việc hiện đại, tiên phong đổi mới sáng tạo - Không gian làm việc trẻ trung, hiện đại, đề cao sự sáng tạo - Làm việc với tinh thần tự chủ, linh hoạt và tiên phong 3. Đào tạo - Các chương trình đào tạo, phát triển năng lực chuyên môn đa dạng cho cán bộ nhân viên và các cấp quản lý - Cơ hội học hỏi và giao lưu với các đồng nghiệp xuất sắc và các chuyên gia đầu ngành 4. Các chế độ khác như chế độ nghỉ phép, đồng phục,...

Yêu cầu ứng viên

- Tốt nghiệp Đại học chính quy trở lên chuyên ngành: An ninh thông tin, Công nghệ thông tin hoặc chuyên ngành khác nhưng có kiến thức, kinh nghiệm về lĩnh vực rủi ro, kiểm toán công nghệ thông tin.Có hiểu biết về quy trình, hệ thống thông tin hoặc hiểu biết cơ bản về an toàn thông tin và có đam mê định hướng về lĩnh vực quản trị, rủi ro và tuân thủ An toàn thông tin. - Có kỹ năng giao tiếp, thuyết trình, đàm phán, giải quyết vấn đề tốt. - Có hiểu biết về ISO 27001; PCIDSS; ITIL; COBIT; Nghị định 13; Thông tư 09…hoặc hiểu biết về các giải pháp bảo mật là một lợi thế. - Ưu tiên ứng viên có các chứng chỉ Auditor liên quan tới CNTT hoặc các chứng chỉ về bảo mật thông tin HƯỚNG DẪN NỘP HỒ SƠ - Đặt tên file Đơn đăng ký ứng tuyển như sau: Đia điểm - Vị trí - Họ và tên - Yêu cầu: Hồ sơ hợp lệ là hồ sơ theo mẫu của Ngân hàng, định dạng file excel và đặt tên file theo đúng hướng dẫn trên. - LPBank có quyền từ chối tuyển dụng đối với các ứng viên nộp hồ sơ không theo quy định của LPBank hoặc ứng viên khai thông tin không chính xác. LƯU Ý: - Căn cứ số lượng, chất lượng ứng viên ứng tuyển, yêu cầu công việc,… Ngân hàng sẽ thông báo đến các ứng viên đủ điều kiện theo quy định để tham gia các vòng tuyển dụng (ứng viên không nhận được thông tin mời tuyển dụng từ Ngân hàng được hiểu là chưa phù hợp/chưa đáp ứng yêu cầu tuyển dụng). - Việc tuyển dụng tại Ngân hàng Bưu điện Liên Việt là hoàn toàn công bằng, minh bạch, khách quan, không qua bất cứ cá nhân trung gian và không thu bất cứ khoản chi phí tuyển dụng nào. - Các ứng viên đạt vòng sơ tuyển (sơ loại, thi nghiệp vụ....) sẽ được Ngân hàng liên hệ mời tham dự vòng tiếp theo thông qua điện thoại/Email/tin nhắn SMS...Kết quả tuyển dụng sẽ được thông báo đến từng ứng viên tham gia dự tuyển bằng Email sau khi kết thúc chương trình tuyển dụng từ 7 - 10 ngày. - Trường hợp Ông/Bà phải mất bất cứ chi phí nào trong quá trình tuyển dụng, xin vui lòng phản ánh trực tiếp tới địa chỉ email: thongbaotuyendung@lpbank.com.vn - Trường hợp Ông/Bà phải mất chi phí tiêu cực trong quá trình tuyển dụng mà không thông báo cho Ngân hàng và/hoặc Ngân hàng phát hiện ra, Ngân hàng sẽ từ chối tuyển dụng (đối với trường hợp đã trúng tuyển nhưng chưa tiếp nhận) hoặc buộc thôi việc (đối với các trường hợp đã tiếp nhận), kể cả với trường hợp bên nhận chi phí đang là CBNV của Ngân hàng.

Phân tích kỹ năng cần có

## Phân tích Kỹ năng cần có cho Vị trí GRC - LPBank ### 1. Hard Skills (Kỹ năng chuyên môn bắt buộc) | Lĩnh vực | Mức độ yêu cầu | Ghi chú | |----------|----------------|----------| | An ninh thông tin | Cơ bản - Trung bình | Hiểu biết về quy trình, hệ thống thông tin | | Quản trị rủi ro CNTT | Trung bình | Áp dụng trong môi trường ngân hàng | | Tuân thủ pháp luật | Trung bình - Cao | Nghị định 13, Thông tư 09 | | Kiểm toán CNTT | Ưu tiên | Nếu có kinh nghiệm | ### 2. Framework & Chuẩn mực cần biết **Bắt buộc nắm vững:** - **ISO 27001**: Tiêu chuẩn quốc tế về Hệ thống quản lý an ninh thông tin (ISMS) - **Thông tư 09/2020/TT-NHNN**: Quy định về bảo mật trong thanh toán điện tử - **Nghị định 13/2023/NĐ-CP**: Bảo vệ dữ liệu cá nhân **Nên biết (lợi thế):** - **PCIDSS**: Tiêu chuẩn bảo mật dữ liệu thẻ thanh toán - **ITIL**: Khung quản lý dịch vụ CNTT - **COBIT**: Khung quản trị và kiểm soát CNTT doanh nghiệp ### 3. Chứng chỉ nên có (theo mức ưu tiên) | Chứng chỉ | Mức độ ưu tiên | Mô tả | |------------|----------------|--------| | CISA (Certified Information Systems Auditor) | Rất cao | Chứng chỉ kiểm toán CNTT quốc tế | | CISSP (Certified Information Systems Security Professional) | Cao | Chứng chỉ an ninh thông tin | | ISO 27001 Lead Auditor | Cao | Đánh giá nội bộ hệ thống ISMS | | CISM (Certified Information Security Manager) | Trung bình-Cao | Quản lý an ninh thông tin | | CEH (Certified Ethical Hacker) | Trung bình | Kiểm thử xâm nhập (bổ sung) | | GSNA (GIAC Systems and Network Auditor) | Trung bình | Kiểm toán hệ thống mạng | ### 4. Soft Skills quan trọng - **Giao tiếp**: Diễn đạt vấn đề kỹ thuật cho người không chuyên IT hiểu được - **Thuyết trình**: Trình bày báo cáo tuân thủ trước ban lãnh đạo - **Đàm phán**: Thương lượng timeline khắc phục rủi ro với các đơn vị - **Giải quyết vấn đề**: Xử lý các sự cố tuân thủ, incident response - **Tư duy phân tích**: Đánh giá rủi ro, đề xuất biện pháp kiểm soát ### 5. So sánh yêu cầu theo cấp bậc | Tiêu chí | CV (Chuyên viên) | CVC (Chuyên viên chính) | CVCC (Chuyên viên cao cấp) | |----------|------------------|-------------------------|---------------------------| | Kinh nghiệm | 0-2 năm (có thể fresher) | 3-5 năm | 5-7+ năm | | Kiến thức framework | Hiểu cơ bản | Áp dụng được | Chuyên sâu, hướng dẫn được | | Chứng chỉ | Ưu tiên | Khuyến khích có | Nên có (CISA/CISSP) | | Báo cáo | Hỗ trợ lập báo cáo | Tự lập báo cáo | Tổng hợp, trình bày cấp cao | | Đánh giá rủi ro | Theo template | Chủ động đánh giá | Xây dựng khung đánh giá | ### 6. Kiến thức nền tảng ngành ngân hàng cần biết - Quy trình nghiệp vụ ngân hàng: thanh toán, tín dụng, tài khoản - Rủi ro hoạt động trong lĩnh vực CNTT ngân hàng - Các quy định của NHNN về an ninh thông tin ngân hàng - Kiến trúc hệ thống core banking, channel (ATM, POS, Internet Banking)

Chuẩn bị phỏng vấn

## Hướng dẫn Phỏng vấn Vị trí GRC - LPBank ### Quy trình tuyển dụng dự kiến **Vòng 1: Sơ tuyển hồ sơ** - Kiểm tra hồ sơ theo mẫu của LPBank (file Excel) - Đặt tên file: "Hà Nội - CV Tuân Thủ An Ninh Thông Tin (GRC) - Họ và tên" - Thời gian xét duyệt: sau 7-10 ngày làm việc **Vòng 2: Thi nghiệp vụ / Kiểm tra năng lực** - Thi viết chuyên môn về An ninh thông tin, GRC - Có thể bao gồm: trắc nghiệm + tình huống thực tế - Thời gian: thường 60-90 phút **Vòng 3: Phỏng vấn chuyên môn** - Phỏng vấn với Trưởng phòng/Trưởng bộ phận GRC - Hỏi về kinh nghiệm, kiến thức framework, tình huống xử lý **Vòng 4: Phỏng vấn HR/ Ban lãnh đạo** - Đánh giá phong cách làm việc, văn hóa phù hợp - Thảo luận về mức lương, kỳ vọng ### Câu hỏi thường gặp theo từng vòng **Vòng 2 - Thi nghiệp vụ:** 1. Giải thích các nguyên tắc CIA trong an ninh thông tin (Confidentiality, Integrity, Availability) 2. Quy trình đánh giá rủi ro an ninh thông tin như thế nào? 3. Sự khác nhau giữa ISO 27001 và PCIDSS? 4. Trình bày nội dung chính của Thông tư 09/2020/TT-NHNN 5. Xử lý khi phát hiện lỗ hổng bảo mật nghiêm trọng trong hệ thống? **Vòng 3 - Phỏng vấn chuyên môn:** 1. Bạn hiểu gì về GRC trong lĩnh vực ngân hàng? Mô tả các thành phần chính. 2. Làm thế nào để đánh giá mức độ tuân thủ của một đơn vị với ISO 27001? 3. Kể về một tình huống bạn phát hiện và xử lý vi phạm an ninh thông tin. 4. Bạn sẽ làm gì khi một đơn vị kinh doanh từ chối khắc phục rủi ro được chỉ ra? 5. Trình bày về Nghị định 13/2023 về bảo vệ dữ liệu cá nhân - điểm gì khác so với trước đây? 6. Bạn có kinh nghiệm gì với COBIT/ITIL? Áp dụng như thế nào trong thực tế? 7. Mô tả quy trình kiểm toán CNTT từ lên kế hoạch đến báo cáo. 8. Làm sao để cân bằng giữa yêu cầu bảo mật và tính tiện lợi cho người dùng? **Vòng 4 - HR/ Ban lãnh đạo:** 1. Tại sao bạn muốn làm việc tại LPBank? 2. Bạn hiểu gì về văn hóa doanh nghiệp của LPBank? 3. Mức lương kỳ vọng của bạn là bao nhiêu? 4. Bạn nhìn thấy con đường phát triển sự nghiệp của mình như thế nào tại đây? 5. Điểm mạnh và điểm yếu của bạn trong công việc GRC là gì? 6. Bạn sẽ làm gì nếu được giao một dự án tuân thủ có deadline rất gấp? ### Tips chuẩn bị hiệu quả **Nghiên cứu trước:** - Tìm hiểu về LPBank: quy mô, sản phẩm, chiến lược công nghệ - Đọc các báo cáo thường niên, thông tin từ website ngân hàng - Cập nhật các quy định NHNN mới nhất về an ninh thông tin **Chuẩn bị Portfolio/Case study:** - Mang theo ví dụ về các dự án GRC đã tham gia - Chuẩn bị sẵn mô hình đánh giá rủi ro đã áp dụng - Có thể demo báo cáo tuân thủ đã thực hiện (đã được ẩn thông tin nhạy cảm) **Kỹ năng mềm cần thể hiện:** - Tự tin nhưng không kiêu ngạo - Sử dụng ngôn ngữ chuyên ngành chính xác - Có tư duy hệ thống, logic rõ ràng - Thể hiện khả năng làm việc độc lập và teamwork ### Dress Code - **Nam**: Vest hoặc áo sơ mi dài tay + quần âu (màu tối) - **Nữ**: Vest/nhận complete hoặc áo sơ mi + chân váy/quần âu - Tránh màu sắc quá nổi bật, trang sức cồng kềnh - Gọn gàng, chuyên nghiệp phù hợp môi trường ngân hàng ### Checklist ngày phỏng vấn - [ ] CMND/CCCD bản gốc - [ ] Bằng tốt nghiệp + bảng điểm (bản photo công chứng) - [ ] Chứng chỉ (nếu có) - [ ] CV đã update - [ ] Điện thoại đầy pin, sạc dự phòng - [ ] Đến sớm 15-20 phút - [ ] Tắt tiếng điện thoại - [ ] Chuẩn bị sẵn 2-3 câu hỏi cho người phỏng vấn

Lộ trình ôn thi

## Lộ trình Ôn tập & Chuẩn bị 1-2 tuần ### Tuần 1: Xây dựng nền tảng kiến thức **Ngày 1-2: Tổng quan GRC trong ngân hàng** - Đọc: "IT Governance Framework" - tài liệu tổng hợp về GRC - Ghi chú: Định nghĩa GRC, mối quan hệ Governance - Risk - Compliance - Video: Các khóa học GRC cơ bản trên Coursera/LinkedIn Learning **Ngày 3-4: ISO 27001 (Trọng tâm)** - Đọc: ISO/IEC 27001:2022 Annex A Controls (14 nhóm) - Học thuộc: Các điều khoản chính (Clause 4-10) - Thực hành: Làm bài test đánh giá tuân thủ ISO 27001 - Tham khảo: Tài liệu ISO 27001 tiếng Việt trên website Tổ chức ISO **Ngày 5-6: Quy định NHNN** - Thông tư 09/2020/TT-NHNN: Yêu cầu bảo mật thanh toán điện tử - Nghị định 13/2023/NĐ-CP: Bảo vệ dữ liệu cá nhân - Thông tư 16/2020/TT-NHNN: An toàn thông tin cho ngân hàng - Ghi chú: So sánh điểm mới so với quy định cũ **Ngày 7: PCIDSS & ITIL cơ bản** - PCIDSS: 12 yêu cầu chính, các mức tuân thủ - ITIL: 5 giai đoạn vòng đời dịch vụ (Service Strategy → Service Design → Service Transition → Service Operation → Continual Service Improvement) ### Tuần 2: Ôn chuyên sâu & Luyện tập **Ngày 8-9: COBIT & Kiểm toán CNTT** - COBIT 2019: 40 objectives, các framework quản trị - Quy trình kiểm toán CNTT: Lập kế hoạch → Thực hiện → Báo cáo - Thực hành: Xây dựng checklist kiểm toán cho 1 lĩnh vực cụ thể **Ngày 10-11: Tình huống thực tế & Q&A** - Giải quyết các case study về incident response - Ôn lại các tình huống: phát hiện lỗ hổng, vi phạm chính sách, đánh giá rủi ro - Luyện trả lời STAR (Situation - Task - Action - Result) cho các câu hỏi hành vi **Ngày 12: Kiểm tra cuối & Điều chỉnh** - Làm bài test thử trên các nền tảng: ISACA, SANS, Cybrary - Rà soát lại các điểm yếu kiến thức - Chuẩn bị câu hỏi để hỏi người phỏng vấn **Ngày 13-14: Chuẩn bị hồ sơ & Tinh thần** - Hoàn thiện hồ sơ theo mẫu LPBank - Chuẩn bị trang phục phỏng vấn - Nghỉ ngơi, giữ tinh thần thoải mái ### Tài liệu tham khảo bắt buộc | STT | Tài liệu | Nguồn | Ưu tiên | |-----|----------|-------|----------| | 1 | Thông tư 09/2020/TT-NHNN | Website NHNN | Rất cao | | 2 | Nghị định 13/2023/NĐ-CP | Cổng thông tin Chính phủ | Rất cao | | 3 | ISO 27001:2022 Overview | iso.org | Cao | | 4 | PCIDSS v4.0 Requirements | pcisecuritystandards.org | Cao | | 5 | COBIT 2019 Framework | isaca.org | Trung bình-Cao | | 6 | ITIL 4 Foundation | Axelos | Trung bình | ### Nguồn học bổ sung - **ISACA Vietnam Chapter**: Hội thảo, tài liệu chuyên ngành - **Vietnam Computer Emergency Response Center (VNCERT)**: Cảnh báo an ninh, hướng dẫn - **SANS Vietnam**: Tài liệu whitepaper về an ninh thông tin - **YouTube Channel**: SANS, Cybrary (phụ đề tiếng Việt có sẵn) - **Podcast**: "An toàn thông tin" trên các nền tảng Việt Nam ### Mẹo ôn tập hiệu quả 1. **Học active recall**: Đọc xong 1 chủ đề → tự viết lại bằng ngôn ngữ của mình 2. **Spaced repetition**: Ôn lại mỗi 2-3 ngày thay vì học liên tục 1 lần 3. **Group study**: Thảo luận với bạn bè cùng ngành để hiểu sâu hơn 4. **Lab practice**: Nếu có điều kiện, thực hành trên môi trường lab về security tools 5. **Simulate interview**: Tự phỏng vấn với gương hoặc nhờ bạn đóng vai

Tư vấn nghề nghiệp

## Lời khuyên Sự nghiệp cho vị trí GRC - Ngành Ngân hàng ### Lộ trình thăng tiến điển hình ``` Fresher/Newbie (0-2 năm) ↓ CV Chuyên viên (2-3 năm) ↓ CVC Chuyên viên chính (3-5 năm) ↓ CVCC Chuyên viên cao cấp / Trưởng nhóm (5-7 năm) ↓ Trưởng phòng GRC / IT Risk Manager (7-10 năm) ↓ Giám đốc An ninh thông tin (CISO) / Giám đốc Rủi ro CNTT (10+ năm) ↓ Chief Risk Officer (CRO) - cấp cao nhất ``` ### Mức lương kỳ vọng theo cấp bận (tham khảo thị trường Hà Nội 2024) | Cấp bậc | Mức lương tháng (VND) | Ghi chú | |---------|----------------------|----------| | Fresher/Newbie | 10 - 15 triệu | Thường không yêu cầu kinh nghiệm | | CV (Chuyên viên) | 15 - 25 triệu | 1-3 năm kinh nghiệm | | CVC (Chuyên viên chính) | 22 - 35 triệu | 3-5 năm kinh nghiệm | | CVCC (Chuyên viên cao cấp) | 30 - 50 triệu | 5-7 năm kinh nghiệm | | Trưởng phòng | 45 - 80 triệu | 7-10 năm kinh nghiệm | | Giám đốc (CISO/Director) | 80 - 150+ triệu | 10+ năm kinh nghiệm | **Lưu ý:** - Lương tại LPBank có thể thấp hơn 10-15% so với các ngân hàng tư nhân lớn (VPBank, Techcombank, MB) - Bù lại, LPBank có chế độ đãi ngộ ổn định, ít áp lực KPI doanh số - Thưởng cuối năm thường từ 1-3 tháng lương tùy hiệu quả - "Thỏa thuận" trong JD nghĩa là đàm phán được, hãy chuẩn bị sẵn mức kỳ vọng ### Kỹ năng cần phát triển thêm theo giai đoạn **Giai đoạn 1-3 năm đầu:** - Thành thạo các framework: ISO 27001, PCIDSS, COBIT - Học và thi chứng chỉ CISA (mục tiêu trong năm thứ 2-3) - Rèn kỹ năng viết báo cáo, tài liệu chuẩn mực - Học cách đọc và phân tích logs, alert từ các công cụ SIEM **Giai đoạn 3-5 năm:** - Quản lý dự án đánh giá tuân thủ - Phát triển kỹ năng đàm phán, thuyết trình với lãnh đạo - Đào tạo, hướng dẫn đồng nghiệp junior - Mở rộng kiến thức sang lĩnh vực Data Privacy (Luật bảo vệ dữ liệu cá nhân) **Giai đoạn 5-7 năm:** - Xây dựng chiến lược an ninh thông tin cho toàn ngân hàng - Quản lý đội ngũ, phát triển năng lực team - Tham gia hội đồng quản trị rủi ro, trình bày với Ban lãnh đạo - Xây dựng thương hiệu cá nhân trong ngành (thuyết trình hội thảo, viết bài) ### Xu hướng ngành cần theo dõi 1. **Zero Trust Architecture**: Mô hình bảo mật mới thay thế perimeter-based security 2. **Cloud Security**: Khi ngân hàng chuyển đổi lên cloud (LPBank đang trong quá trình này) 3. **AI/ML in Security**: Ứng dụng AI trong phát hiện mối đe dọa, SOC 4. **Privacy Engineering**: Xây dựng hệ thống đảm bảo quyền riêng tư ngay từ thiết kế 5. **RegTech**: Công nghệ hỗ trợ tuân thủ (automation compliance) 6. **Digital Banking Security**: Bảo mật cho mobile banking, open banking ### Chuyển đổi ngành có phù hợp không? **Phù hợp nếu bạn đến từ:** - IT/Audit firm (Big 4: PwC, Deloitte, KPMG, EY) - Công ty bảo mật (Bkav, Viettel Cyber Security) - Vị trí IT support/development trong ngân hàng khác - Chuyên ngành An toàn thông tin/IT đang học hoặc mới tốt nghiệp **Lưu ý quan trọng:** - GRC yêu cầu kỹ năng mềm cao hơn pure technical - Bạn cần hiểu cả nghiệp vụ ngân hàng lẫn công nghệ - Tư duy "business enablement" thay vì chỉ nói "không" ### Lời khuyên cho người mới bắt đầu 1. **Bắt đầu từ Big 4**: Nếu có cơ hội, hãy vào Big 4 làm IT Audit 2-3 năm → chuyển sang ngân hàng với mức lương cao hơn nhiều 2. **Chứng chỉ là bắt buộc**: CISA/CISSP không chỉ là "có thì tốt" mà là tiêu chuẩn để thăng tiến 3. **Network, network, network**: Tham gia sự kiện ISACA Vietnam, VNISA, DEF CON Vietnam 4. **Đọc nhiều**: Theo dõi các nguồn: Krebs on Security, Dark Reading, SecurityWeek, BleepingComputer 5. **Practice safe security**: Áp dụng những gì bạn tư vấn vào cuộc sống cá nhân (password manager, 2FA, VPN...)

Câu hỏi thường gặp

Em mới tốt nghiệp ngành IT, chưa có kinh nghiệm GRC, có nộp được vị trí này không?

Hoàn toàn có thể nộp! Tin tuyển dụng ghi rõ 'Kinh nghiệm: N/A' và đề cập đến ứng viên tốt nghiệp đại học chính quy. Điểm quan trọng là bạn cần thể hiện: (1) Hiểu biết cơ bản về an toàn thông tin, (2) Đam mê theo đuổi lĩnh vực GRC, (3) Kỹ năng giao tiếp tốt. Hãy chuẩn bị bằng chứng về kiến thức đã tự học (khóa học online, chứng chỉ nhỏ) và thể hiện tinh thần ham học hỏi trong buổi phỏng vấn.

Mức lương cho vị trí này là bao nhiêu? "Thỏa thuận" có nghĩa là đàm phán được không?

"Thỏa thuận" trong JD ngân hàng thường có nghĩa là ngân hàng có ngân sách linh hoạt và sẵn sàng đàm phán dựa trên năng lực ứng viên. Với vị trí GRC tại Hà Nội, mức lương tham khảo: fresher 10-15 triệu, có kinh nghiệm 1-3 năm: 15-25 triệu, 3-5 năm: 22-35 triệu. Khi được hỏi về kỳ vọng, hãy đưa ra một khoảng hợp lý dựa trên thị trường, đồng thời nhấn mạnh bạn quan tâm đến cơ hội phát triển tại LPBank.

Em có chứng chỉ ISO 27001 nhưng chưa có CISA, liệu có thiệt thòi không?

Không thiệt thòi đâu! ISO 27001 Lead Auditor là chứng chỉ rất phù hợp với vị trí này. Tuy nhiên, để tăng cơ hội và sẵn sàng cho con đường thăng tiến, bạn nên lên kế hoạch thi CISA trong 1-2 năm tới. Trong CV và phỏng vấn, hãy: (1) Nêu rõ nội dung đào tạo ISO 27001 đã trải qua, (2) Mô tả các đợt đánh giá nội bộ đã tham gia, (3) Thể hiện bạn hiểu cách áp dụng framework này trong môi trường ngân hàng.

Công việc hàng ngày của vị trí GRC tại ngân hàng gồm những gì?

Công việc hàng ngày đa dạng và phụ thuộc vào giai đoạn: (1) Kiểm tra tuân thủ: Rà soát chính sách, quy trình có đáp ứng quy định không, (2) Đánh giá rủi ro: Xác định, đánh giá và đề xuất biện pháp kiểm soát rủi ro CNTT, (3) Hỗ trợ audit: Chuẩn bị tài liệu, phối hợp với kiểm toán nội bộ/NHNN, (4) Xử lý incident: Điều tra các sự cố liên quan đến an ninh thông tin, (5) Báo cáo: Tổng hợp tình hình tuân thủ trình lãnh đạo hàng tháng/quý, (6) Đào tạo: Tổ chức training về an ninh thông tin cho nhân viên.

Làm thế nào để chuẩn bị cho vòng thi nghiệp vụ vì JD không nêu rõ format?

Dựa trên kinh nghiệm tuyển dụng ngân hàng, vòng thi thường gồm: (1) Trắc nghiệm kiến thức (60-70 câu, 60-90 phút): ISO 27001, Thông tư 09, Nghị định 13, khái niệm GRC cơ bản, (2) Tình huống thực tế: Xử lý một tình huống vi phạm an ninh/thiếu tuân thủ, đề xuất biện pháp, (3) Có thể có phần tiếng Anh chuyên ngành. Mẹo: ôn theo cấu trúc đề thi CISA để làm quen với cách hỏi.

Môi trường làm việc tại LPBank như thế nào? Có khác gì so với các ngân hàng tư nhân khác?

LPBank (trước đây là LienVietPostBank) có một số đặc điểm riêng: (1) Có lợi thế từ mạng lưới bưu điện rộng khắp, tập trung phát triển tài chính số, (2) Văn hóa doanh nghiệp ổn định, ít áp lực KPI doanh số như VPBank hay Techcombank, (3) Mức lương có thể thấp hơn 10-15% nhưng bù đắp bằng chế độ đãi ngộ tốt, teambuilding, bảo hiểm, (4) Đang trong giai đoạn chuyển đổi số mạnh mẽ, cơ hội học hỏi công nghệ mới. Phù hợp nếu bạn muốn cân bằng công việc - cuộc sống.

Em đang làm developer, muốn chuyển sang GRC có được không? Cần chuẩn bị gì?

Hoàn toàn được! Backend developer có lợi thế vì hiểu hệ thống từ bên trong. Để chuyển đổi thành công: (1) Học thêm về an ninh ứng dụng (OWASP Top 10, Secure SDLC), đây là điểm mạnh riêng bạn có, (2) Tự học các framework GRC (ISO 27001, COBIT) qua khóa online, (3) Thi chứng chỉ CompTIA Security+ hoặc GSEC để có credential, (4) Trong CV, nhấn mạnh các dự án liên quan đến bảo mật (authentication, authorization, data encryption), (5) Phỏng vấn: Thể hiện bạn hiểu "câu chuyện từ hai phía" - cả developer và người kiểm soát.

Tương lai của nghề GRC trong ngành ngân hàng Việt Nam như thế nào?

Triển vọng rất sáng! Vì: (1) Quy định ngày càng chặt chẽ: NHNN liên tục ban hành thông tư mới về an ninh thông tin, dữ liệu cá nhân, thanh toán điện tử, (2) Chuyển đổi số mạnh mẽ: Ngân hàng số phát triển kéo theo nhu cầu GRC tăng cao, (3) Thiếu nhân lực: Nguồn cung GRC chất lượng cao còn rất ít, cơ hội việc làm dồi dào, (4) Lương tăng 15-20%/năm cho ứng viên có kinh nghiệm. Xu hướng tương lai: Automation compliance (RegTech), Cloud security, AI/ML security.
Ứng tuyển ngay Luyện đề thi ngân hàng

Từ khóa

An ninh thông tin Tuân thủ / Compliance Quản lý rủi ro
Xem tất cả tin tuyển dụng