Techcombank
Senior Expert, Technology and Digital Risk Management (40000874)
TP. Ha Noi
Risk Management Division
Experienced (Non-Manager)
Mô tả công việc
## Job Purpose
'1. Develop and maintain technology risk management framework, policies, procedures, guidelines
'- Develop principles and methodologies for technology risk management, establishing technology risk limit, key risk indicators ... according to international practices, legal regulations, and internal governance requirements
- Standardize risk management activities including identifying, assessing, responding and monitoring technology and information security risks following industry best practice and international standards (NIST, ISO, COBIT ...)
- Develop technology & information security threat/ vulnerability/ scenario/ control catalogs
- Consult relevant units to develop BCP/DRP in bankwide level.
2. Develop technology risk management capabilities and improve bankwide technology & information security risk awareness and culture
3. Develop strategies, roadmap and action plans for TDRM
## Key Accountabilities (1)
Establish and maintain the technology risk management framework
- Develop technology risk management framework, methodologies, regulations, policies, standards, procedures, guidelines.
- Enhance risk taxonomies, governance policies and operating models collaborating with ORM based on investigation findings to enhance robustness of existing risk mechanism
- Establish and allocate technology risk limits, key risk indicators (KORI) according to international practices, legal regulations, and internal governance requirements
- Periodic review & update technology risk strategies/ roadmap/ action plans, technology risk management framework
## Key Accountabilities (2)
Assess technology risks, consult to develop mitigation solutions and monitor
- Review and approve technology risks in technology strategy, technology platforms, technology and business processes under the authority as prescribed
- Consult to develop solutions and methods to effectively mitigate and manage technology risk based on technology risk management framework, ensuring comprehensive risk management implementation
- Technical control assurance based on internal policies, government law and regulations, international security standards
- Independent investigate cybersecurity/ technology risk events or digital platform risks; analyzing root causes, proposing solutions/actions to mitigate and manage risks
## Key Accountabilities (3)
Develop technology risk management capabilities, improve bankwide technology risk awareness and culture
- Research on emering technologies appying in banking operations to provide subject matter advices in managing emerging risks
- Build & implement technology risk management capabilities (i.e. competencies standard, training, upskilling, coaching and communication) to enhance bank’s capability in managing technology risks in bankwide level
- Support other units to conduct training and communication to improve bank-wide technology risks awareness and culture
## Success Profile - Qualification and Experiences
Experience
- At least 10 years of relevant work experience in IT field, including at least 4 years of IT risk management (1st or 2nd line of defence) experience
- Have experience in developing IT risk governance & management framework, risk management policies, procedures and guidelines.
- Have experience in IT infrastructure operation/ IT Architecture/ Cybersecurity operation/ DevSecOps/ Cloud Computing
- Have experience in IT Audit, IT compliance & assurance
- Have experience in developing IT risk management capabilities to enhance bank’s capability in managing technology risks
Expertise
- Extensive knowlegde IT & cybersecurity risk management framework (COBIT, ITIL, ISO, NIST ...), internal information security laws & regulations (Circular 09/2020-NHNN, Circular 50/2024-NHNN, Cybersecurity Law, Personal Data Protection Law ...), and international information security standards (SWIFT CSP, PCI DSS, CIS ...)
- Deep knowledge in at least 2 of the following areas: IT infrastructure operation/ IT Architecture/ Cybersecurity operation/ DevSecOps/ Cloud computing
- Good knowledge of emerging technologies such as GenAI, Blockchain, Quantium technology, etc.
Qualifications
'- Having a university degree or higher on Information Technology, Information System, Computer Science, Electronics & Telecommunications, Information Security or equivalent...
- English: TOEIC 650 or equivalent
- Professional certifications in IT Risk, IT Security: CISA/CISSP/CRISC/CISM/COBIT/ITIL ...
Phân tích kỹ năng cần có
## Phân Tích Kỹ Năng Cần Có
### 1. Hard Skills (Kỹ năng chuyên môn)
#### a) Kỹ năng IT Risk Management Framework
- **Framework chuẩn quốc tế:** COBIT, ITIL, ISO 27001/27002, NIST Cybersecurity Framework, NIST SP 800-53
- **Chuẩn bảo mật ngành tài chính:** SWIFT CSP, PCI DSS, CIS Controls
- **Framework quản lý rủi ro:** Theo dõi KRI (Key Risk Indicators), thiết lập giới hạn rủi ro công nghệ
#### b) Kiến thức pháp luật & quy định Việt Nam
| Quy định | Nội dung chính |
|----------|----------------|
| Thông tư 09/2020/TT-NHNN | An toàn thông tin cho hoạt động ngân hàng |
| Thông tư 50/2024/TT-NHNN | Quản lý rủi ro công nghệ thông tin ngân hàng |
| Luật An ninh mạng 2018 | Bảo vệ hệ thống thông tin quan trọng |
| Luật Bảo vệ Dữ liệu Cá nhân | Bảo vệ dữ liệu khách hàng |
#### c) Kiến thức kỹ thuật (cần ít nhất 2 trong số các areas)
- **IT Infrastructure Operation:** Hạ tầng mạng, server, storage, backup, disaster recovery
- **IT Architecture:** Kiến trúc doanh nghiệp, kiến trúc ứng dụng, SOA, microservices
- **Cybersecurity Operation:** SOC, SIEM, threat intelligence, incident response, penetration testing
- **DevSecOps:** CI/CD pipeline, security automation, container security (Docker/K8s)
- **Cloud Computing:** AWS/Azure/GCP, cloud security, multi-cloud architecture
#### d) Emerging Technologies
- **Generative AI:** AI tạo sinh trong banking, AI risk management, prompt injection
- **Blockchain:** Smart contract, crypto custody, KYC on-chain
- **Quantum Computing:** Post-quantum cryptography preparation, quantum risk assessment
---
### 2. Chứng Chỉ Chuyên Môn Gợi Ý
#### Bắt buộc nên có (theo mô tả JD):
| Chứng chỉ | Mức độ ưu tiên | Lĩnh vực |
|-----------|----------------|----------|
| CISA | ★★★★★ | IT Audit & Risk |
| CISSP | ★★★★★ | Cybersecurity |
| CRISC | ★★★★☆ | IT Risk Management |
| CISM | ★★★★☆ | Information Security Management |
| COBIT | ★★★★☆ | IT Governance |
| ITIL 4 | ★★★☆☆ | IT Service Management |
#### Nên có bổ sung:
- **ISO 27001 Lead Auditor/Implementer** - Triển khai hệ thống ISMS
- **AWS/Azure Security Specialty** - Cloud security
- **CSSP/CEH** - Cybersecurity operations
- **TOGAF** - Enterprise architecture
#### Chứng chỉ tiếng Anh:
- **TOEIC:** 650+ (yêu cầu tối thiểu)
- Nên có: **IELTS 5.5+** hoặc **BEC Vantage** để tăng tính cạnh tranh
---
### 3. So Sánh Cấp Độ Kinh Nghiệm
| Cấp bậc | Kinh nghiệm IT | Kinh nghiệm IT Risk | Vai trò chính |
|---------|----------------|---------------------|---------------|
| Junior Expert | 3-5 năm | 1-2 năm | Thực hiện đánh giá, hỗ trợ framework |
| Expert (JD này) | 10+ năm | 4+ năm | Phát triển framework, tư vấn chiến lược |
| Senior Expert | 15+ năm | 8+ năm | Định hướng chiến lược, quản lý team |
| Head/Director | 18+ năm | 10+ năm | Giám sát toàn diện, báo cáo cấp cao |
---
### 4. Soft Skills Cần Thiết
- **Kỹ năng giao tiếp:** Trình bày rủi ro phức tạp cho ban lãnh đạo (C-suite)
- **Kỹ năng tư vấn:** Consult các đơn vị IT và kinh doanh về giảm thiểu rủi ro
- **Kỹ năng đàm phán:** Thuyết phục stakeholders chấp nhận khuyến nghị
- **Kỹ năng lãnh đạo:** Xây dựng năng lực, đào tạo, coaching cho team
- **Kỹ năng nghiên cứu:** Cập nhật công nghệ mới, emerging risks
- **Tư duy chiến lược:** Alignment giữa công nghệ và mục tiêu kinh doanh ngân hàng
Chuẩn bị phỏng vấn
## Hướng Dẫn Phỏng Vấn Techcombank - Senior TDRM
### 1. Quy Trình Phỏng Vấn Dự Kiến
Techcombank thường có **3-4 vòng phỏng vấn** cho vị trí Senior:
| Vòng | Nội dung | Thời lượng | Người phỏng vấn |
|------|----------|------------|------------------|
| Vòng 1 | Sàng lọc HR (phone/online) | 30-45 phút | Recruiter |
| Vòng 2 | Kiểm tra kỹ thuật | 60-90 phút | IT Risk Manager/Team Lead |
| Vòng 3 | Panel interview | 60-90 phút | Head of TDRM + Risk Director |
| Vòng 4 (nếu có) | Final với C-level | 45-60 phút | CIO/CEO/CRO |
---
### 2. Câu Hỏi Theo Từng Vòng
#### Vòng 1 - HR Screening:
1. "Giới thiệu ngắn gọn về kinh nghiệm của bạn trong IT risk management"
2. "Tại sao bạn quan tâm đến vị trí này tại Techcombank?"
3. "Bạn đã có kinh nghiệm với framework nào? (COBIT, NIST, ISO...)"
4. "Mức lương kỳ vọng của bạn là bao nhiêu?"
5. "Bạn có thể cho biết bạn đang có những chứng chỉ gì?"
#### Vòng 2 - Technical Interview:
1. "Trình bày cách bạn xây dựng Technology Risk Management Framework từ đầu"
2. "Sự khác biệt giữa 1st line và 2nd line of defense trong quản lý rủi ro IT?"
3. "Bạn đánh giá rủi ro của GenAI/Cloud/Blockchain như thế nào?"
4. "Làm thế nào để thiết lập Key Risk Indicator (KRI) cho an ninh mạng?"
5. "Giải thích về Thông tư 50/2024/TT-NHNN và impacts lên ngân hàng"
6. "Khi phát hiện incident security, quy trình xử lý của bạn ra sao?"
7. "Describe a scenario where you identified a critical IT risk before it became a problem"
8. "Bạn có kinh nghiệm với BCP/DRP không? Phối hợp với đơn vị nào?"
#### Vòng 3 - Panel Interview:
1. "Bạn sẽ xây dựng roadmap phát triển TDRM capability như thế nào?"
2. "Làm sao để improve bankwide technology risk awareness?"
3. "Cách tiếp cận của bạn với emerging technologies risk (AI, Quantum)?"
4. "Trình bày về SWIFT CSP và PCI DSS compliance mà bạn đã tham gia"
5. "Bạn sẽ phối hợp với ORM (Operational Risk Management) như thế nào?"
6. "Khi có xung đột giữa security và business agility, bạn xử lý sao?"
7. "Câu hỏi tình huống: Đang làm việc với vendor cloud, phát hiện vulnerability nghiêm trọng - bạn làm gì?"
#### Vòng 4 - C-level (nếu có):
1. "Tầm nhìn của bạn về Technology Risk Management trong 3-5 năm tới?"
2. "Bạn sẽ contribute như thế nào vào Techcombank's digital transformation?"
3. "Làm thế nào để TDRM support business growth mà không cản trở innovation?"
4. "Câu hỏi về leadership: Bạn sẽ xây dựng team như thế nào?"
---
### 3. Tips Chuẩn Bị Chi Tiết
#### ✅ Cần chuẩn bị kỹ:
- **Thông tư 50/2024/TT-NHNN:** Đọc kỹ, hiểu rõ 5 giai đoạn quản lý RTCTT
- **Techcombank's public information:** Digital banking strategy, recent news, tech partnerships
- **SOC, SIEM, zero-trust architecture:** Khái niệm và implementation thực tế
- **Cloud security:** AWS/Azure shared responsibility model
- **Incident response playbook:** Mô hình NIST CSF
#### ✅ Nên có portfolio:
- Document framework policies đã phát triển (đã remove confidential info)
- Case study về risk assessment điển hình
- Presentation về security awareness program đã implement
- Metrics/before-after về risk reduction
#### ✅ Chuẩn bị questions để hỏi ngược:
- "Techcombank đang ở giai đoạn nào của TDRM maturity?"
- "Team TDRM hiện tại có bao nhiêu người?"
- "Priorities của vị trí này trong 6 tháng đầu?"
- "Cơ hội học tập & development trajectory?"
---
### 4. Dress Code & Gợi Ý Khác
| Yếu tố | Khuyến nghị |
|--------|------------|
| Dress code | Business casual đến formal (suit không bắt buộc) |
| Ngôn ngữ | Tiếng Việt cho HR, có thể mix English cho technical |
| Thái độ | Confident nhưng không kiêu ngạo, collaborative mindset |
| Chuẩn bị | Research Techcombank, hiểu culture "Can Do - Will Do" |
| Follow-up | Gửi thank-you email sau mỗi vòng |
---
### 5. Common Traps & Cách Tránh
⚠️ **Trap 1:** Nói quá lý thuyết mà thiếu practical experience
→ **Giải pháp:** Kể story cụ thể, dùng STAR method
⚠️ **Trap 2:** Không biết về Thông tư 50/2024
→ **Giải pháp:** BẮT BUỘC đọc trước khi phỏng vấn
⚠️ **Trap 3:** Overpromise về capability
→ **Giải pháp:** Thành thật về skill gaps, nhấn mạnh willingness to learn
⚠️ **Trap 4:** Tập trung quá vào technical mà quên business impact
→ **Giải pháp:** Luôn link risk management với business objectives
Lộ trình ôn thi
## Lộ Trình Ôn Tập & Chuẩn Bị (2 Tuần)
### Tuần 1: Củng Cố Nền Tảng Kiến Thức
#### Ngày 1-2: Vietnamese Banking Regulations
**Tài liệu bắt buộc đọc:**
| Tài liệu | Thời gian | Ghi chú |
|----------|-----------|---------|
| Thông tư 50/2024/TT-NHNN | 3-4 giờ | Quan trọng nhất, đọc kỹ toàn bộ |
| Thông tư 09/2020/TT-NHNN | 2-3 giờ | An toàn thông tin ngân hàng |
| Luật An ninh mạng 2018 | 2 giờ | Overview các điều khoản liên quan |
| Luật BV DLCN 2023 | 1-2 giờ | Nghị định hướng dẫn (nếu có) |
**Checkpoint:** Có thể giải thích bằng tiếng Việt và tiếng Anh về các điều khoản chính
#### Ngày 3-4: IT Risk Management Frameworks
**Học và ôn tập:**
- **COBIT 2019:** Governance & Management Objectives, EDM, APO, DSS domains
- **NIST CSF 2.0:** Identify, Protect, Detect, Respond, Recover - CORE FUNCTIONS MỚI: Govern
- **ISO 27001/27002:** ISMS, Annex A controls
- **ITIL 4:** Service value system, 4 dimensions, practices
**Hands-on:** Vẽ sơ đồ mapping giữa các frameworks
#### Ngày 5-6: Technical Knowledge Refresh
**Chủ đề cần ôn:**
- Cloud Security (AWS Well-Architected Framework, shared responsibility)
- Zero Trust Architecture principles
- DevSecOps pipeline security
- Container & Kubernetes security basics
- SIEM, SOC operations overview
#### Ngày 7: Tổng kết + Self-assessment
- Làm quiz online về các frameworks
- Review lại các điểm yếu
---
### Tuần 2: Deep Dive + Mock Interview
#### Ngày 8-9: Emerging Technologies Risk
**GenAI Risk:**
- Prompt injection, data leakage, hallucinations
- AI Act (EU) overview
- Governance framework for AI in banking
**Quantum Computing:**
- Post-quantum cryptography timeline
- NIST PQC standards selection
**Blockchain:**
- Smart contract vulnerabilities
- Crypto custody regulations
#### Ngày 10-11: Industry Standards
- **SWIFT Customer Security Program (CSP):** 8 mandatory controls, 11 attestation objectives
- **PCI DSS 4.0:** 12 requirements, what's new
- **CIS Controls v8:** 18 critical security controls
#### Ngày 12: Mock Interview + Case Study Prep
- Practice trả lời các câu hỏi trong phần Interview Prep
- Chuẩn bị 2-3 case studies điển hình:
- Case 1: Building TDRM framework from scratch
- Case 2: Handling major security incident
- Case 3: Managing risk in cloud migration
#### Ngày 13: Research Techcombank
- Đọc annual report, press releases
- Tìm hiểu tech stack, digital banking products
- Hiểu culture và values của Techcombank
#### Ngày 14: Final Review
- Review lại tất cả key points
- Check logistics (địa điểm, thời gian)
- Chuẩn bị outfit + documents
---
### Tài Liệu Tham Khảo
#### Sách gợi ý:
| Sách | Chủ đề |
|------|--------|
| "Managing Cyber Risk in Financial Institutions" - Tony Wilson | Cyber risk in banking |
| "IT Governance" - Peter Weill & Jeanne Ross | COBIT alignment |
| "The DevOps Handbook" - Gene Kim et al. | DevSecOps |
| "Security Engineering" - Ross Anderson | Deep technical security |
#### Online Resources:
- NHNN website: Thông tư 50/2024 và các văn bản liên quan
- ISACA: CISA, CISM, CRISC study materials
- (ISC)²: CISSP common body of knowledge
- NIST website: CSF, SP 800 series
- Techcombank IR: Annual reports, ESG reports
#### Vietnamese Industry News:
- Vietnam Banking Magazine
- ICTnews, CafeF (tech & finance sections)
- Vietnam Computer Emergency Response Center (VNCERT)
---
### Pre-interview Checklist
- [ ] Thông tư 50/2024 đọc thuộc (ít nhất 3 lần)
- [ ] COBIT, NIST, ISO 27001 overview
- [ ] 5 case studies để kể (dùng STAR method)
- [ ] LinkedIn profile updated
- [ ] Reference letters ready (nếu có)
- [ ] Chứng chỉ copies sẵn sàng
- [ ] Research Techcombank xong
- [ ] Questions để hỏi recruiter
- [ ] Outfit prepared
- [ ] Transportation/logistics confirmed
Tư vấn nghề nghiệp
## Lời Khuyên Sự Nghiệp - Senior TDRM
### 1. Lộ Trình Thăng Tiến Từ Vị Trí Này
#### Short-term (1-2 năm):
```
Senior Expert, TDRM
↓
Principal Expert / Team Lead, TDRM
↓
VP/Director, Technology Risk Management
```
#### Long-term (3-7 năm):
```
VP/Director, TDRM
↓
SVP/Head, Risk Technology & Digital Risk
↓
CRO/CDO/CISO-level positions
↓
Consultant / Advisor / Board positions
```
---
### 2. Mức Lương Kỳ Vọng Theo Cấp Bậc
**Lưu ý:** Techcombank thường trả cao hơn mặt bằng ngân hàng Việt Nam, đặc biệt cho tech roles
| Cấp bậc | Kinh nghiệm | Mức lương tháng (VND) | Notes |
|---------|-------------|----------------------|-------|
| Expert | 10+ năm IT, 4+ năm IT Risk | 40-70 triệu | JD này |
| Senior Expert | 12+ năm IT, 6+ năm IT Risk | 60-90 triệu | Bonus 1-3 tháng |
| Principal/Team Lead | 15+ năm IT, 8+ năm IT Risk | 80-120 triệu | Total comp cao hơn |
| VP/Director | 18+ năm IT, 10+ năm IT Risk | 120-200+ triệu | Equity/bonus lớn |
**Factors ảnh hưởng lương:**
- Certifications (CISA/CISSP = +10-15%)
- Industry expertise (banking > insurance > telco)
- Cloud/DevSecOps specialist
- Previous Techcombank/expat
---
### 3. Kỹ Năng Cần Phát Triển Thêm
#### Để thăng tiến lên Director/VP:
| Kỹ năng | Tầm quan trọng | Cách phát triển |
|---------|---------------|-----------------|
| Executive communication | ★★★★★ | Board presentations, board papers |
| Strategic planning | ★★★★★ | OKRs, roadmap development |
| Stakeholder management | ★★★★☆ | Cross-functional projects |
| Budget management | ★★★★☆ | Manage team budget, vendor contracts |
| Vendor management | ★★★☆☆ | SLA negotiations, TPRM |
#### Technical skills nên deep dive:
- **GenAI Security:** Prompt injection, LLM risk assessment, AI governance
- **Cloud Security Architecture:** Multi-cloud, cloud-native security tools
- **Zero Trust Implementation:** Network micro-segmentation, identity-centric security
- **Quantitative Risk Assessment:** FAIR methodology, risk quantification
---
### 4. Công Việc Liên Quan Tham Khảo
Nếu muốn explore các options khác:
| Vị trí | Sự khác biệt | Salary range |
|--------|--------------|-------------|
| IT Audit Manager | 3rd line of defense, external audit focus | 40-60M |
| Cybersecurity Manager | SOC operations, incident response | 45-70M |
| IT Compliance Manager | Regulatory compliance, policy governance | 35-55M |
| Digital Risk Manager | Digital banking specific risks | 50-80M |
| Data Privacy Officer | PDPL compliance, data governance | 45-65M |
---
### 5. Đánh Giá Cơ Hội Nghề Nghiệp
#### ✅ Ưu điểm của vị trí này:
- Techcombank là ngân hàng top-tier về digital transformation
- Cơ hội work with cutting-edge technology (GenAI, Cloud, Blockchain)
- Môi trường fast-paced, nhiều challenge
- Lương thưởng cạnh tranh so với thị trường
- Đóng góp thực sự vào bank's risk posture
#### ⚠️ Thách thức cần lưu ý:
- Techcombank's high expectations có thể gây áp lực
- Technology risk landscape thay đổi liên tục, cần keep updated
- Stakeholder management phức tạp (IT, business, regulators)
- Work-life balance có thể bị ảnh hưởng trong giai đoạn critical incidents
#### 📊 Career ROI Assessment:
- **Investment:** 10+ năm kinh nghiệm, chứng chỉ quốc tế
- **Return:** High compensation, valuable experience, career advancement
- **Verdict:** ⭐⭐⭐⭐⭐ Worth pursuing nếu bạn thực sự đam mê technology risk
---
### 6. Tips Quan Trọng Khi Đàm Phán
1. **Research market rate:** Tham khảo Glassdoor, Glassdoor, VietnamSalary
2. **Highlight unique value:** GenAI risk expertise, emerging tech knowledge
3. **Negotiate total comp:** Không chỉ base, include bonus, allowances
4. **Consider growth path:** Sẵn sàng đàm phạn về role progression
5. **Get everything in writing:** Offer letter chi tiết, không verbal agreement
Câu hỏi thường gặp
Em mới 2 năm kinh nghiệm IT, có chứng chỉ Security+, có nên ứng tuyển vị trí Senior Expert này không?
Không nên. JD yêu cầu rõ ràng: ít nhất 10 năm kinh nghiệm IT và 4 năm IT risk management. Với 2 năm kinh nghiệm, bạn nên target vị trí Junior/Associate như Chuyên viên An ninh thông tin hoặc IT Risk Analyst. Hãy build up kinh nghiệm thêm 3-5 năm nữa, lấy thêm CISA/CISSP, sau đó hãy quay lại với vị trí này. Đừng nản lòng - đây là vị trí cấp cao và yêu cầu tương xứng.
Với 12 năm kinh nghiệm IT (6 năm security operations + 3 năm IT risk), có CISA và CISSP, em phù hợp vị trí này không?
Khá phù hợp. Bạn đáp ứng kinh nghiệm (10+ năm IT, 4+ năm IT Risk) và có 2 chứng chỉ quốc tế uy tín. Điểm mạnh của bạn là background security operations - đây là real-world experience quý giá. Tuy nhiên, hãy chuẩn bị kỹ về Thông tư 50/2024/TT-NHNN và COBIT governance framework vì đây là phần framework development mà JD nhấn mạnh. Điểm cần cải thiện: emerging technologies risk (GenAI, Quantum) và vendor/third-party risk management.
Mức lương cho vị trí này thường là bao nhiêu và có thương lượng được không?
Techcombank không công khai salary range (thể hiện 'Thỏa thuận'). Theo thị trường, vị trí Senior Expert TDRM tại Techcombank dao động 50-80 triệu/tháng tùy kinh nghiệm và certifications. Ngoài base, có thể thương lượng thêm: performance bonus (1-3 tháng), parking/transportation allowance, health insurance premium, training budget. Tips: Khi HR hỏi kỳ vọng lương, hãy đưa ra range dựa trên market research, không để bị lowball. Nên hỏi rõ về 13th month salary, bonus structure, và equity (nếu có).
Techcombank có考核 KPI như thế nào cho vị trí này? KPIs thường gặp là gì?
KPIs cho Senior TDRM thường bao gồm: (1) Risk Metrics - Số lượng risk incidents, reduction in critical vulnerabilities, % timely closure của risk remediation; (2) Framework Coverage - Hoàn thành development/update của policies và procedures; (3) Training & Awareness - Số lượng training sessions delivered, improvement in security awareness scores; (4) Stakeholder Satisfaction - Đánh giá từ các đơn vị IT và business; (5) Regulatory Compliance - Không có findings nghiêm trọng từ audit/NHNN. Techcombank là ngân hàng có KPI system khá rigorous, nên chuẩn bị mental cho performance-driven environment.
Làm thế nào để chuẩn bị cho vòng phỏng vấn kỹ thuật khi không có background security operations?
Nếu bạn có IT audit hoặc IT governance background nhưng thiếu hands-on security ops, hãy tập trung vào điểm mạnh: (1) Framework expertise - Thể hiện sâu kiến thức về COBIT, NIST, ISO 27001; (2) Risk assessment methodology - Cách bạn identify, assess, treat risks; (3) Compliance knowledge - Hiểu rõ Thông tư 50/2024, Circular 09/2020; (4) Strategic thinking - Trình bày được cách xây dựng TDRM capability tổng thể. Đồng thời, study thêm về: basic cybersecurity concepts (CIA triad, attack vectors), cloud security fundamentals, incident response basics. Không cần expert-level nhưng phải conversational.
Work-life balance tại Techcombank như thế nào? Giờ làm việc có cứng nhắc không?
Techcombank có reputation là fast-paced và performance-oriented. Giờ làm việc chính thức thường 8:30-17:30, nhưng thực tế có thể linh hoạt. Với vị trí TDRM Senior Expert: (1) Bình thường: Có thể balanced nếu manage tốt workload; (2) Giai đoạn audit/NHNN inspection: Cần cam kết overtime; (3) Incident response: Có thể cần on-call 24/7 khi có major security incidents. Techcombank có hybrid working policy, nhưng với TDRM role yêu cầu presence nhiều hơn. Đây là ngân hàng top-tier về digital, nên chuẩn bị cho môi trường demanding nhưng rewarding.
Sau 3-5 năm ở vị trí này, con đường thăng tiến tiếp theo là gì?
Có nhiều hướng đi: (1) Technical track: Senior Expert → Principal Expert → Chief Security Officer/CISO; (2) Management track: Senior Expert → Team Lead → VP/Director TDRM → CRO; (3) Specialized track: Focus vào GenAI risk, become AI Risk Specialist/Chief AI Officer; (4) Advisory track: Trở thành industry advisor, board member, consultant. Techcombank có internal mobility tốt, nên sau 2-3 năm bạn có thể explore lateral moves sang các vị trí khác trong Risk Management Division hoặc sang Digital Banking/Business units.
Thông tư 50/2024/TT-NHNN có gì mới so với các quy định trước đó?
Thông tư 50/2024 ra đời thay thế/bổ sung Thông tư 09/2020 với nhiều điểm mới: (1) Mở rộng phạm vi - Bao gồm rủi ro công nghệ thông tin (RTCTT) theo chuẩn quốc tế Basel/ISO; (2) Quản lý rủi ro xuyên suốt vòng đời - Từ thiết kế, triển khai đến vận hành; (3) Yêu cầu cụ thể về emerging technologies - AI, cloud, third-party; (4) Công khai minh bạch - Báo cáo định kỳ và đột xuất; (5) Phân định rõ 1st và 2nd line of defense. Đây là knowledge BẮT BUỘC cho bất kỳ ai apply vị trí IT Risk tại ngân hàng Việt Nam.