messenger

Chat Mess

zalo

Chat Zalo

phone

Phone

Gọi ngay: 097.5151.777
messenger

Facebook

messenger

TikTok

Hỗ trợ tư vấn: 097.5151.777
OCB

IT - Mid/Senior Technology Governance & Compliance

Hồ Chí Minh Công nghệ thông tin
Nhân viên/Chuyên viên Thỏa thuận Hạn: 2026-11-02

Mô tả công việc

a. Trình độ & kinh nghiệm -          Tốt nghiệp đại học trở lên chuyên ngành CNTT, An toàn thông tin, Hệ thống thông tin hoặc tương đương. -          Tối thiểu 3–5 năm kinh nghiệm trong lĩnh vực: Tuân thủ CNTT / An toàn thông tin / Quản trị rủi ro CNTT -          Có kinh nghiệm xây dựng chính sách, quy trình theo các chuẩn: ISO 27001, PCI DSS, hoặc tương đương -          Có kinh nghiệm làm việc với: Thanh tra NHNN và Kiểm toán Big4 hoặc kiểm toán nội bộ b. Kiến thức & kỹ năng: Kiến thức: -          Am hiểu các framework/tiêu chuẩn: ISO/IEC 27001/ PCI DSS/ COBIT, NIST (là lợi thế) -          Hiểu biết về quy định pháp luật Việt Nam liên quan đến CNTT, an toàn thông tin, ngân hàng. Kỹ năng: ·            Xây dựng các báo cáo tuân thủ, tài liệu chính sách, quy trình ·            Phân tích, đánh giá rủi ro ·            Giao tiếp và làm việc với nhiều bên liên quan ·            Viết báo cáo, trình bày rõ ràng Chứng chỉ (ưu tiên): -          CISA, CISM, CISSP hoặc tương đương -          Lead Implementer/Lead Auditor ISO 27001

Yêu cầu ứng viên

a. Trình độ & kinh nghiệm -          Tốt nghiệp đại học trở lên chuyên ngành CNTT, An toàn thông tin, Hệ thống thông tin hoặc tương đương. -          Tối thiểu 3–5 năm kinh nghiệm trong lĩnh vực: Tuân thủ CNTT / An toàn thông tin / Quản trị rủi ro CNTT -          Có kinh nghiệm xây dựng chính sách, quy trình theo các chuẩn: ISO 27001, PCI DSS, hoặc tương đương -          Có kinh nghiệm làm việc với: Thanh tra NHNN và Kiểm toán Big4 hoặc kiểm toán nội bộ b. Kiến thức & kỹ năng: Kiến thức: -          Am hiểu các framework/tiêu chuẩn: ISO/IEC 27001/ PCI DSS/ COBIT, NIST (là lợi thế) -          Hiểu biết về quy định pháp luật Việt Nam liên quan đến CNTT, an toàn thông tin, ngân hàng. Kỹ năng: ·            Xây dựng các báo cáo tuân thủ, tài liệu chính sách, quy trình ·            Phân tích, đánh giá rủi ro ·            Giao tiếp và làm việc với nhiều bên liên quan ·            Viết báo cáo, trình bày rõ ràng Chứng chỉ (ưu tiên): -          CISA, CISM, CISSP hoặc tương đương -          Lead Implementer/Lead Auditor ISO 27001

Phân tích kỹ năng cần có

## Phân tích Kỹ năng cho vị trí IT Governance & Compliance tại OCB ### 🔧 Hard Skills bắt buộc | Kỹ năng | Mức độ yêu cầu | Ghi chú | |---------|----------------|---------| | ISO 27001 | Cao | Phải có kinh nghiệm thực tế xây dựng/chứng minh tuân thủ | | PCI DSS | Cao | Tiêu chuẩn bắt buộc trong ngành ngân hàng | | COBIT | Trung bình | Framework quản trị CNTT phổ biến trong ngân hàng | | NIST | Trung bình | Lợi thế, không bắt buộc | | Phân tích rủi ro | Cao | Kỹ năng cốt lõi của vị trí này | | Viết chính sách/quy trình | Cao | Sản phẩm chính của công việc | ### 📋 Kiến thức pháp lý cần nắm - Thông tư 50/2018/TT-NHNN về an toàn bảo mật hệ thống thông tin ngân hàng - Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân - Các quy định về thanh tra, giám sát CNTT của NHNN - Luật An ninh mạng 2018 ### 📜 Chứng chỉ khuyến nghị theo thứ tự ưu tiên 1. **CISA** (Certified Information Systems Auditor) - Ưu tiên cao nhất - Phù hợp nhất với mô tả công việc - Thi tại ISACA Vietnam, 4 môn, điểm liệt mỗi môn >= 450/800 - Phí thi: ~$575 USD, phí duy trì hàng năm: $45 USD 2. **CISM** (Certified Information Security Manager) - Phù hợp nếu muốn hướng về quản lý an toàn thông tin - Yêu cầu 5 năm kinh nghiệm IT Security có liên quan 3. **ISO 27001 Lead Implementer / Lead Auditor** - Chứng chỉ ngắn hạn (3-5 ngày) - Nhiều tổ chức đào tạo uy tín tại VN: BSI, SGS, Bureau Veritas 4. **CISSP** - Cần 5 năm kinh nghiệm, mức độ senior hơn ### 💡 Soft Skills then chốt - **Giao tiếp với nhiều bên liên quan**: Đây là vị trí đòi hỏi làm việc với cả technical team, ban lãnh đạo, thanh tra NHNN và auditor - **Kỹ năng thuyết trình/báo cáo**: Viết báo cáo tuân thủ rõ ràng, trực quan cho cấp lãnh đạo - **Đàm phán/thuyết phục**: Khi đề xuất chính sách mới hoặc giải thích findings ### 📊 Bảng so sánh: Ứng viên Mid vs Senior | Tiêu chí | Mid (3-5 năm) | Senior (5+ năm) | |----------|---------------|-----------------| | Kinh nghiệm ISO 27001 | Tham gia triển khai | Dẫn dắt toàn bộ hệ thống | | Làm việc với auditor | Hỗ trợ | Chủ trì tiếp xúc, đàm phán | | Xây dựng policy | Soạn thảo theo template | Thiết kế từ đầu, đề xuất chiến lược | | Mức lương tham khảo | 20-35 triệu/tháng | 35-60 triệu/tháng |

Chuẩn bị phỏng vấn

## Hướng dẫn Phỏng vấn vị trí IT Governance & Compliance tại OCB ### 🏦 Về OCB - Ngân hàng TMCP Phương Đông, thành lập 1993 - Quy mô: Top 10 ngân hàng TMCP tại VN - Trụ sở chính tại TP.HCM, mạng lưới rộng khắp ### 📝 Quy trình phỏng vấn dự kiến **Vòng 1: HR/Screening (30-45 phút)** - Kiểm tra kinh nghiệm, động lực ứng tuyển - Đánh giá mức lương kỳ vọng - Giới thiệu văn hóa OCB **Vòng 2: Technical Interview (45-60 phút)** - Head of IT Compliance hoặc CIO - Kiểm tra kiến thức chuyên môn sâu - Tình huống thực tế (case study) **Vòng 3: Manager/C-level (45 phút)** - Thường là Deputy CEO hoặc CTO - Đánh giá tư duy chiến lược, phù hợp văn hóa - Có thể hỏi về vision phát triển sự nghiệp ### 🎯 Câu hỏi thường gặp theo từng vòng **Vòng 1 - HR:** - "Tại sao bạn quan tâm đến vị trí Governance & Compliance?" - "Bạn có thể mô tả dự án tuân thủ lớn nhất mà bạn đã tham gia?" - "Mức lương kỳ vọng của bạn là bao nhiêu?" - "Bạn biết gì về OCB và chiến lược chuyển đổi số của ngân hàng?" **Vòng 2 - Technical:** - "Hãy mô tả quy trình đánh giá tuân thủ ISO 27001 từ đầu đến cuối" - "PCI DSS có những requirement nào quan trọng nhất với hệ thống ngân hàng?" - "Bạn xử lý thế nào khi phát hiện một control không effective?" - "Khi thanh tra NHNN yêu cầu bổ sung tài liệu trong thời gian ngắn, bạn làm gì?" - "Hãy phân tích rủi ro của một hệ thống Core Banking mới triển khai" **Vòng 3 - Management:** - "Bạn sẽ đề xuất gì để cải thiện tình trạng tuân thủ CNTT của OCB?" - "Làm thế nào để thuyết phục business unit tuân thủ chính sách IT?" - "Bạn hình dung phát triển sự nghiệp của mình tại OCB như thế nào?" - "Có khi nào bạn phải báo cáo tin xấu cho lãnh đạo không? Bạn xử lý ra sao?" ### 💼 Tips chuẩn bị 1. **Nghiên cứu kỹ OCB:** - Website, annual report, các thông tin về chiến lược digital transformation - Các sản phẩm mới: OCB OMNI, ứng dụng ngân hàng số 2. **Chuẩn bị evidence/thành tích cụ thể:** - Mẫu policy/quy trình đã xây dựng (nếu có thể chia sẻ) - Kết quả audit, findings đã xử lý - Số lượng chính sách/control đã triển khai 3. **Ôn tập technical:** - 12 domains của ISO 27001:2013 hoặc 2022 - 12 requirements của PCI DSS - Các circular/thông tư của NHNN về CNTT 4. **Chuẩn bị case study:** - Sẵn sàng trình bày 1-2 tình huống thực tế đã xử lý - Dùng STAR method (Situation, Task, Action, Result) ### 👔 Dress Code - Business formal cho các vòng chính thức - Nam: vest, cravat không bắt buộc nhưng nên có blazer - Nữ: trang phục công sở chỉnh tề ### 📍 Địa điểm - OCB Tower, 41 Lê Duẩn, Quận 1, TP.HCM - Mang theo CMND/CCCD và bản photo CV

Lộ trình ôn thi

## Lộ trình Ôn tập & Chuẩn bị cho vị trí IT Governance & Compliance ### 📚 Kiến thức nền tảng (Tuần 1-2) **1. ISO/IEC 27001:2022** - Đọc toàn bộ Annex A controls (93 controls) - Hiểu PDCA cycle và cấu trúc ISMS - Tài liệu tham khảo: ISO 27001:2022 Standard, NIST SP 800-53 (so sánh) - Thực hành: Mapping controls với yêu cầu NHNN **2. PCI DSS v4.0** - 12 Requirements chính - 3 mức compliance (tùy quy mô merchant) - Tập trung: Requirement 1 (Firewall), 3 (Protect stored data), 4 (Encrypt transmission), 8 (Identity), 10 (Log monitoring), 11 (Testing) **3. COBIT 2019** - 40 governance and management objectives - EDM (Evaluate, Direct, Monitor) framework - APO (Align, Plan, Organize), BAI (Build, Acquire, Implement) **4. Quy định Việt Nam** - Thông tư 50/2018/TT-NHNN - An toàn bảo mật thông tin - QCVN 01:2020/BCT - An toàn thông tin cho hệ thống thông tin quan trọng - Nghị định 13/2023/NĐ-CP - Bảo vệ dữ liệu cá nhân ### 📖 Tài liệu tham khảo | Loại | Tài liệu | Link/Ghi chú | |------|----------|--------------| | Sách | "ISO 27001:2022 - A Pocket Guide" | Quản lý thực hành | | Sách | "PCI DSS v4.0 - A Complete Guide" | Chi tiết từng requirement | | Sách | "CISA Review Manual" | Chuẩn bị thi CISA | | Website | isaca.org | CISA, CISM resources | | Website | pcisecuritystandards.org | PCI DSS official | | Website | iso.org | ISO 27001 standard | | Website | nist.gov | NIST framework | | Local | NHNN website | Các thông tư, quy định mới | ### 📝 Lộ trình ôn tập 2 tuần **Ngày 1-3: Nền tảng ISO 27001** - Đọc và hiểu cấu trúc ISMS - Ghi chú 14 domain và 93 controls - Làm mind map các controls **Ngày 4-6: PCI DSS chuyên sâu** - 12 requirements chi tiết - Tập trung controls liên quan ngân hàng - Hiểu ROC (Report on Compliance) **Ngày 7-9: COBIT & Risk Management** - Framework quản trị CNTT - Risk assessment methodology - Case study: đánh giá rủi ro hệ thống core banking **Ngày 10-12: Quy định VN & Thực hành** - Ôn tập các thông tư NHNN - So sánh với international standards - Luyện viết policy summary **Ngày 13-14: Mock interview & Tổng hợp** - Tự phỏng vấn với gương - Chuẩn bị 3-5 câu chuyện thành tích (STAR) - Ôn lại các câu hỏi technical thường gặp ### 🎯 Checklist trước ngày phỏng vấn - [ ] Hiểu rõ ISO 27001:2022 và mapping với NHNN requirements - [ ] Có thể giải thích PCI DSS requirements bằng tiếng Việt - [ ] Chuẩn bị 2-3 case study thực tế - [ ] Hiểu COBIT framework và cách áp dụng - [ ] Nắm các quy định mới nhất của NHNN - [ ] Có kiến thức về新兴 technologies (Cloud, AI) trong ngân hàng

Tư vấn nghề nghiệp

## Lời khuyên Sự nghiệp cho vị trí IT Governance & Compliance ### 🚀 Lộ trình Thăng tiến ``` Junior IT Compliance (0-2 năm) ↓ Mid-level IT GRC Specialist (2-5 năm) ← Bạn đang ở đây ↓ Senior/Lead IT Compliance (5-8 năm) ↓ IT Compliance Manager (8-10 năm) ↓ Chief Information Security Officer (CISO) / VP Risk ``` ### 💰 Mức lương tham khảo tại thị trường VN (2024-2025) | Cấp bậc | Mức lương/tháng | Ghi chú | |---------|-----------------|---------| | Junior (0-2 năm) | 12-20 triệu | Entry-level, học việc | | Mid (3-5 năm) | 20-35 triệu | Vị trí đang tuyển dụng | | Senior (5-8 năm) | 35-55 triệu | Lead team nhỏ | | Manager (8-10 năm) | 55-80 triệu | Quản lý team 5-10 người | | CISO (10+ năm) | 80-150 triệu | Cấp VP/Board | **Lưu ý:** Mức lương chưa bao gồm thưởng KPI, benefits. Big4/International banks thường cao hơn 20-30% so với ngân hàng nội địa. ### 🎯 Kỹ năng cần phát triển thêm **Ngắn hạn (6-12 tháng):** - Lấy chứng chỉ CISA hoặc ISO 27001 Lead Implementer - Học thêm về Cloud Security (AWS/Azure security) - Nâng cao kỹ năng viết báo cáo bằng tiếng Anh **Trung hạn (1-3 năm):** - Chuyên sâu về Data Privacy (GDPR, PDPA) - Hiểu biết về AI/ML security - Xây dựng network trong ngành (ISACA Vietnam, ISC2 Chapter) **Dài hạn (3-5 năm):** - Phát triển leadership skills - Hiểu business strategy và link với IT risk - Cân nhắc MBA hoặc Master in Information Security ### 🏦 Cơ hội trong ngành ngân hàng **Các ngân hàng đang tuyển vị trí tương tự:** - VPBank, Techcombank, MB Bank - Digital banks - VietinBank, BIDV, Agribank - State-owned banks - Standard Chartered, HSBC, Citi - International banks **Xu hướng ngành:** - Tăng cường regulation về Operational Resilience - Digital Banking Regulations của NHNN - Cybersecurity Act sắp có hiệu lực đầy đủ ### 📈 So sánh: Ngân hàng vs Big4 vs Fintech | Yếu tố | Ngân hàng (OCB) | Big4 Consulting | Fintech | |--------|-----------------|-----------------|---------| | Lương | Trung bình | Cao | Cao | | Ổn định | Cao | Trung bình | Thấp | | Learning curve | Chậm | Nhanh | Nhanh | | Work-life balance | Tốt | Khó khăn | Tùy công ty | | Career path | Rõ ràng | Consultant → Manager | Linh hoạt | | Phúc lợi | Tốt | Tốt | Tùy công ty | ### 💡 Lời khuyên từ kinh nghiệm 1. **Bắt đầu từ ngân hàng nội địa** - OCB là lựa chọn tốt để tích lũy kinh nghiệm thực tế với regulatory environment VN 2. **Tích lũy kinh nghiệm audit** - Kinh nghiệm làm việc với Big4 auditors là điểm cộng lớn, cân nhắc chuyển sang Big4 1-2 năm sau 3. **Build personal brand** - Tham gia các hội thảo, viết bài, chia sẻ kiến thức để tăng visibility 4. **Chứng chỉ là bắt buộc** - Ở cấp Senior trở lên, không có CISA/CISM sẽ khó cạnh tranh 5. **Đừng chỉ focus vào technical** - Kỹ năng mềm (giao tiếp, thuyết trình, influence) sẽ quyết định tốc độ thăng tiến của bạn

Câu hỏi thường gặp

Em mới tốt nghiệp CNTT, chưa có kinh nghiệm compliance. Có nên ứng tuyển vị trí này không?

Vị trí yêu cầu tối thiểu 3-5 năm kinh nghiệm, nên bạn chưa phù hợp ở thời điểm này. Tuy nhiên, bạn có thể: (1) Tìm các vị trí IT Security fresher tại ngân hàng hoặc công ty audit; (2) Lấy chứng chỉ CISA để tăng giá trị; (3) Ứng tuyển Big4 với vị trí IT Risk/Compliance associate - đây là con đường vào ngành nhanh nhất. Sau 2-3 năm, bạn sẽ đủ điều kiện ứng tuyển vị trí này.

Em đang làm backend developer, muốn chuyển sang IT Compliance. Có khả thi không?

Hoàn toàn khả thi và đây là xu hướng phổ biến. Developer có lợi thế hiểu sâu về hệ thống. Để chuyển ngành thành công: (1) Học thêm về ISO 27001, PCI DSS; (2) Lấy chứng chỉ CISA hoặc ISO 27001 Foundation; (3) Tận dụng kinh nghiệm dev để chứng minh hiểu biết về technical controls; (4) Ứng tuyển vị trí hybrid (dev + security) hoặc GRC tool administrator trước; (5) Chuẩn bị câu chuyện chuyển ngành thuyết phục trong phỏng vấn.

Mức lương cho vị trí này ở OCB thường là bao nhiêu? Có thương lượng được không?

Với yêu cầu 3-5 năm kinh nghiệm, mức lương tham khảo là 20-35 triệu/tháng tùy profile. OCB có budget linh hoạt cho đúng người đúng việc. Tips thương lượng: (1) Nghiên cứu mức lương thị trường qua các job post tương tự; (2) Đưa ra kỳ vọng cụ thể dựa trên current salary + 20-30%; (3) Nếu có chứng chỉ CISA/CISM, đây là điểm cộng lớn để đàm phán; (4) Cân nhắc tổng compensation (bonus, benefits) chứ không chỉ lương cứng. Tin 'thỏa thuận' có nghĩa là họ sẵn sàng trả cao cho ứng viên xuất sắc.

Làm việc với Thanh tra NHNN và Big4 auditors khác nhau như thế nào?

Hai loại auditor có cách tiếp cận khác nhau: **Thanh tra NHNN** tập trung vào tuân thủ quy định pháp lý VN (Thông tư 50, QCVN...), yêu cầu tài liệu bằng tiếng Việt, thời gian thường dài, cần báo cáo định kỳ. **Big4 auditors** (Deloitte, PwC, EY, KPMG) tập trung vào control effectiveness theo international standards (SOX, ISO 27001), yêu cầu tài liệu bằng tiếng Anh nhiều, thời gian ngắn hơn nhưng intensity cao. Kỹ năng cần cho cả hai: chuẩn bị evidence tốt, giao tiếp rõ ràng, xử lý findings nhanh.

CISA và CISM chứng chỉ nào phù hợp hơn cho vị trí này?

Với vị trí IT Governance & Compliance, **CISA được khuyến nghị hơn** vì: tập trung vào Systems Audit & Assurance - đúng scope của công việc (đánh giá control effectiveness, audit compliance). CISM hướng đến Information Security Manager - phù hợp nếu bạn muốn chuyển sang security management. Tuy nhiên, nếu bạn có điều kiện, lấy cả hai là tốt nhất. Thứ tự ưu tiên: (1) CISA - thi trước vì nội dung phù hợp nhất; (2) ISO 27001 Lead Implementer - ngắn hạn, áp dụng ngay; (3) CISM - khi đã có 3-5 năm kinh nghiệm security.

KPI của vị trí IT Compliance tại ngân hàng thường là gì?

KPIs phổ biến cho vị trí này: (1) Số lượng policies/quy trình mới hoặc cập nhật; (2) Tỷ lệ tuân thủ các control định kỳ (target thường >90%); (3) Số lượng findings từ audit đã resolved đúng hạn; (4) Thời gian chuẩn bị báo cáo tuân thủ; (5) Số lượng training sessions đã conduct cho staff; (6) Số lượng risk assessments hoàn thành. KPI cũng phụ thuộc vào giai đoạn: năm đầu có thể tập trung xây dựng framework, các năm sau tập trung vào maintaining và improving compliance posture.

Công việc hàng ngày của IT Governance & Compliance Officer trông như thế nào?

Một ngày typical có thể bao gồm: (1) Sáng: Check email, status các findings đang xử lý, meeting với IT team về new system changes; (2) Trưa: Review và approve policy documents, làm việc với auditor về evidence requests; (3) Chiều: Tham dự họp với business units về compliance requirements, prepare management reports, cập nhật risk register. Công việc không có routine cố định, đặc biệt trong mùa audit (thường Q1 và Q3) sẽ rất bận. Bù lại, công việc khá ổn định giờ hành chính, ít phải on-call như security operations.

Tương lai của ngành IT Governance & Compliance trong ngân hàng VN như thế nào?

Triển vọng rất sáng: (1) **Regulatory pressure tăng**: NHNN liên tục ban hành thêm quy định về CNTT, cyber security, operational resilience; (2) **Digital transformation**: Banks đầu tư mạnh vào technology → cần GRC framework vững; (3) **Regional trend**: Các ngân hàng VN đang áp dụng international standards ( Basel, NIST, ISO) → nhu cầu nhân lực tăng; (4) **Data Privacy**: PDPA có hiệu lực → cần data governance experts. Ước tính nhu cầu nhân lực IT GRC trong ngân hàng tăng 15-20%/năm. Nếu bạn vào ngành bây giờ, đây là thời điểm tốt để xây dựng career foundation.
Ứng tuyển ngay Luyện đề thi ngân hàng

Từ khóa

ocb Tuân thủ / Compliance An ninh thông tin Quản lý rủi ro
Xem tất cả tin tuyển dụng