IT-TPCC Dịch vụ an toàn thông tin-60498274JG12
Mô tả công việc
Các trách nhiệm chính 1
- Đánh giá các lỗ hổng và rủi ro ANBM của VPbank
- Xây dựng chiến lược và lộ trình ANBM của VPbank
- Thiết lập và triển khai các chính sách và hướng dẫn về ANBM
- Chỉ đạo các sáng kiến an ninh bảo mật thông tin
- Thiết kế và xây dựng các hoạt động ANBM và kiến trúc ANBM của tổ chức
- Chỉ đạo các dự án để đảm bảo tuân thủ nguyên tắc “trọng tâm ANBM” được thực thi trong các hệ thống CNTT
- Quản lý và báo cáo các lỗ hổng và rủi ro ANBM về CNTT/an ninh mạng, bao gồm triển khai kiểm thử kiểm soát ANBM CNTT định kỳ (VD, kiểm thử lỗ hổng, phân tích rủi ro và đánh giá bảo mật). Tiến hành xử lý các lỗ hổng trong khung thời gian cam kết.
- Triển khai đánh giá PCI-DSS và hoàn thiện các tiêu chuẩn PIC-DISS cho các dự án và hệ thống hiện hành/ mới
Yêu cầu ứng viên
Trình độ đào tạo
Đại học in Công nghệ thông tin or Hệ thống thông tin
Các năng lực khác
- Strong technical skills in one or more of the following: network, application and operating system security and hardening, vulnerability assessments and penetration testing, TCP/IP suite, firewalls, Security Information & Event Management (SIEM), Data Loss Protection (DLP), Intrusion detection systems, log review, incident management)
- Knowledge in Security compliance, in particular PCI-DSS.
- Knowledge of ISO 27001/2 information security standards
- Knowledge of current IT industry trends.
- Knowledge and understanding of relevant legal and regulatory requirements.
- Knowledge of common information security management frameworks.
Các yêu cầu khác
- Strong interpersonal, relational, and collaboration skills with senior management and department heads to provide Information security services.
- Strong analytical and logical thinking skills
- Ability for multitasking and working accurately at the same time
- Excellent presentation and communication skills
- Strong verbal and written communication skills in English
Phân tích kỹ năng cần có
## Phân tích Kỹ năng cần có cho vị trí Chuyên viên An ninh Thông tin tại VPBank
### 1. Hard Skills (Kỹ năng chuyên môn kỹ thuật)
A. Kỹ năng kỹ thuật bắt buộc:
| Lĩnh vực | Yêu cầu cụ thể | Mức độ quan trọng |
|---|---|---|
| Network Security | Firewall, TCP/IP suite, IDS/IPS, network hardening | ⭐⭐⭐⭐⭐ |
| Application Security | Secure coding, vulnerability assessment, penetration testing | ⭐⭐⭐⭐⭐ |
| Operating System Security | OS hardening (Windows Server, Linux) | ⭐⭐⭐⭐ |
| SIEM | Splunk, QRadar, ArcSight hoặc giải pháp tương đương | ⭐⭐⭐⭐ |
| DLP (Data Loss Prevention) | Triển khai và quản trị giải pháp DLP | ⭐⭐⭐⭐ |
| Log Review & Analysis | Phân tích log hệ thống, phát hiện bất thường | ⭐⭐⭐⭐ |
| Incident Management | Quy trình ứng phó sự cố, forensic | ⭐⭐⭐⭐ |
| Vulnerability Assessment | Nessus, Qualys, OpenVAS | ⭐⭐⭐⭐ |
B. Kiến thức chuẩn compliance & framework:
- PCI-DSS (bắt buộc) - Đây là yêu cầu cốt lõi vì VPBank xử lý thanh toán thẻ
- ISO 27001/2 (bắt buộc) - Tiêu chuẩn quốc tế về ISMS
- ISO 27005 - Quản lý rủi ro an ninh thông tin
- NIST Cybersecurity Framework - Khung an ninh mạng phổ biến
- COBIT - Quản trị CNTT doanh nghiệp
- Kiến thức pháp luật Việt Nam: Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, Luật An ninh mạng 2018
C. Chứng chỉ gợi ý (theo mức ưu tiên):
| Chứng chỉ | Mức độ cần thiết | Ghi chú |
|---|---|---|
| CISSP | Rất cao | "Gold standard" cho vị trí senior IS |
| CISM | Cao | Phù hợp với quản lý IS |
| CEH | Cao | Kiểm thử xâm nhập |
| OSCP | Trung bình-cao | Chứng chỉ thực hành, rất giá trị |
| CompTIA Security+ | Trung bình | Nền tảng nếu chưa có kinh nghiệm |
| PCI-ISA / PCI-QSA | Cộng thêm | Đặc biệt quan trọng với yêu cầu PCI-DSS |
| ISO 27001 LA | Cộng thêm | Lead Auditor nếu triển khai audit |
D. Soft Skills (Kỹ năng mềm):
- Giao tiếp với cấp cao (C-level, Hội đồng quản trị) - Mô tả công việc nhấn mạnh "interpersonal, relational skills with senior management"
- Presentation skills - Thuyết trình chiến lược, báo cáo với ban lãnh đạo
- Analytical & Logical thinking - Phân tích rủi ro, đánh giá lỗ hổng
- Multitasking - Quản lý nhiều dự án, ưu tiên công việc
- Collaboration - Phối hợp đa phòng ban (IT, Business, Legal)
- Tiếng Anh - Đọc hiểu tài liệu kỹ thuật, viết báo cáo, giao tiếp (Bằng TOEIC ≥750 hoặc tương đương)
### 2. Phân tích bối cảnh vị trí
Đây là vị trí cấp cao (senior/lead) trong mảng Information Security tại VPBank:
- Cấp bậc: Từ "IT-TPCC" trong mã tuyển dụng và nội dung công việc (strategic, leadership, policy-making), đây là vị trí Senior/Lead level hoặc có thể là Manager
- Tính chất: Strategic + Technical + Compliance. Không phải vị trí operational thuần túy
- Đặc thù ngành: Ngân hàng là ngành có mức độ tuân thủ cao nhất (PCI-DSS bắt buộc), nên áp lực audit và compliance rất lớn
- VPBank đặc thù: Một trong những ngân hàng TMCP tư nhân lớn, đang chuyển đổi số mạnh mẽ, hệ thống IT phức tạp
So sánh nhanh với thị trường:
| Yếu tố | Mức độ yêu cầu | Thị trường chung |
|---|---|---|
| Kỹ thuật network security | Rất cao | Tương đương |
| PCI-DSS | Bắt buộc | Chỉ ngành ngân hàng/tài chính |
| ISO 27001 | Bắt buộc | Phổ biến ở mức senior |
| Tiếng Anh | Cao | Ngang ngành |
| Giao tiếp cấp cao | Cao | Cao hơn trung bình ngành IT |
Chuẩn bị phỏng vấn
## Hướng dẫn Phỏng vấn vị trí IT Information Security tại VPBank
### 1. Quy trình phỏng vấn dự kiến
VPBank thường áp dụng quy trình 3-4 vòng cho vị trí IT cấp cao:
```
Vòng 1: HR Phone Screening (20-30 phút)
↓ Kiểm tra kinh nghiệm, động lực, mức lương kỳ vọng
Vòng 2: Technical Interview với IT Manager/Director (45-60 phút)
↓ Đánh giá kỹ năng chuyên môn sâu
Vòng 3: Panel Interview với CISO/HOD + HR (60-90 phút)
↓ Đánh giá chiến lược, leadership, culture fit
Vòng 4: Background check + Offer (có thể có vòng này)
```
### 2. Câu hỏi hay gặp theo từng vòng
Vòng 1 - HR Screening:
- "Giới thiệu ngắn về kinh nghiệm làm việc trong lĩnh vực an ninh thông tin của anh/chị?"
- "Tại sao anh/chị quan tâm đến vị trí này tại VPBank?"
- "Anh/chị có kinh nghiệm với PCI-DSS không? Triển khai ở mức nào?"
- "Mức lương kỳ vọng của anh/chị là bao nhiêu?"
- "Anh/chị đã làm việc trong môi trường ngân hàng/tài chính chưa?"
Vòng 2 - Technical Interview:
- Vulnerability Assessment:
- "Anh/chị sẽ tiếp cận việc đánh giá lỗ hổng bảo mật cho một hệ thống core banking mới như thế nào?"
- "Trình bày quy trình penetration testing từ đầu đến cuối?"
- "Sự khác nhau giữa VA và PT là gì? Khi nào dùng cái nào?"
- PCI-DSS:
- "Mô tả các requirement chính của PCI-DSS mà anh/chị đã triển khai?"
- "Anh/chị xử lý như thế nào khi phát hiện violation trong PCI-DSS assessment?"
- "PCI-DSS 4.0 có gì thay đổi so với 3.2.1?"
- SIEM & SOC:
- "Anh/chị thiết kế rules và correlation cho SIEM như thế nào?"
- "Quy trình incident response của anh/chị ra sao?"
- "Làm sao phân biệt false positive và real threat trong log review?"
- Network Security:
- "Thiết kế network security architecture cho một hệ thống ngân hàng?"
- "Phân biệt IDS vs IPS? Ưu nhược điểm?"
- "Cách hardening cho Windows Server và Linux?"
- Compliance & Governance:
- "Triển khai ISO 27001 từ đầu như thế nào?"
- "Làm sao để đảm bảo business unit tuân thủ chính sách ANTT?"
- "Đánh giá rủi ro (risk assessment) theo phương pháp nào?"
Vòng 3 - Panel Interview (CISO + HR):
- Chiến lược:
- "Anh/chị sẽ xây dựng chiến lược ANTT cho VPBank trong 3 năm tới như thế nào?"
- "Làm sao để cân bằng giữa bảo mật và trải nghiệm người dùng (security vs usability)?"
- "Cách anh/chị thuyết phục ban lãnh đạo đầu tư vào an ninh thông tin?"
- Leadership & Collaboration:
- "Mô tả tình huống anh/chị phải làm việc với IT team để implement security requirement mà họ không muốn?"
- "Xung đột giữa security và business objectives - anh/chị xử lý sao?"
- "Khi nào anh/chị quyết định không triển khai một security control?"
- Scenario-based:
- "Nếu phát hiện có data breach đang xảy ra, anh/chị sẽ làm gì trong 30 phút đầu tiên?"
- "VPBank nhận được thông báo từ CERT về lỗ hổng zero-day trên hệ thống core banking - xử lý ra sao?"
### 3. Tips chuẩn bị cụ thể
Chuẩn bị chuyên môn:
- Ôn kỹ PCI-DSS 4.0 - đọc official guide và hiểu tất cả 12 requirements
- Nắm chắc ISO 27001:2022 (phiên bản mới) - đặc biệt Annex A controls
- Thực hành mô tả bằng tiếng Anh các khái niệm kỹ thuật (vì yêu cầu tiếng Anh mạnh)
- Đọc các security incidents của ngành ngân hàng Việt Nam gần đây (nếu có)
- Tìm hiểu VPBank: quy mô, hệ thống IT, dịch vụ số (VPBank NEO)
Chuẩn bị tâm lý:
- Vị trí này đòi hỏi tư duy chiến lược chứ không phải chỉ tay nghề kỹ thuật
- Sẵn sàng trả lời các câu hỏi về business impact của security
- Thể hiện khả năng communication - vì phải làm việc với cấp cao
Dress code:
- Business formal (nam: comple, nữ: áo dài hoặc comple)
- Đặc biệt chú ý nếu interview trực tiếp tại VPBank Tower
Tài liệu mang theo:
- Bằng cấp, chứng chỉ (bản gốc + photo)
- Portfolio/case study về các dự án security đã tham gia (nếu có thể)
- Reference letter từ quản lý cũ (nếu có)
Lộ trình ôn thi
## Ôn thi & Chuẩn bị cho vị trí Information Security tại VPBank
### 1. Lộ trình chuẩn bị 2 tuần (14 ngày)
Giai đoạn 1: Nền tảng (Ngày 1-4)
- [ ] PCI-DSS 4.0 - Học toàn bộ 12 requirements
- Tài liệu: PCI DSS v4.0 Official Documentation (pcisecuritystandards.org)
- Tập trung: Requirement 1-12, đặc biệt Req 3, 6, 8, 10 (thường gặp trong interview)
- Mẹo: Làm summary flashcards cho mỗi requirement
- [ ] ISO 27001:2022 - Hiểu cấu trúc Annex A + Clauses 4-10
- Tài liệu: ISO/IEC 27001:2022 Standard
- Tập trung: Risk assessment process, Statement of Applicability
- [ ] Network Security Fundamentals
- TCP/IP model, OSI layers, common ports/services
- Firewall architectures (stateless, stateful, NGFW)
- VPN, TLS/SSL, IDS/IPS
Giai đoạn 2: Chuyên sâu (Ngày 5-9)
- [ ] Vulnerability Assessment & Penetration Testing
- OWASP Top 10, SANS Top 25
- Methodology: Recon → Scanning → Enumeration → Exploitation → Reporting
- Công cụ: Nmap, Nessus, Burp Suite, Metasploit (nắm nguyên lý)
- [ ] SIEM & Log Analysis
- Các use case phổ biến: Brute force, malware, data exfiltration
- Log sources: Windows Event Log, Linux syslog, Firewall logs, DB logs
- Phân biệt false positive vs true positive
- [ ] Incident Response Framework
- NIST SP 800-61 (Computer Security Incident Handling Guide)
- 4 giai đoạn: Preparation → Detection & Analysis → Containment/Eradication → Post-incident
- [ ] Risk Management
- Phương pháp: NIST RMF, OCTAVE, FAIR
- Risk register, risk treatment plan
Giai đoạn 3: Chiến lược & Ôn tập (Ngày 10-14)
- [ ] Đọc về VPBank
- Website VPBank: mục Investor Relations, về chúng tôi
- Các dịch vụ số: VPBank NEO, VPBank credit card
- Tin tức an ninh mạng ngân hàng gần đây
- [ ] Practice trả lời câu hỏi behavioral
- STAR method (Situation, Task, Action, Result)
- Chuẩn bị 5-7 câu chuyện từ kinh nghiệm thực tế
- [ ] Ôn tiếng Anh chuyên ngành
- Từ vựng security: vulnerability, exploit, patch, mitigation, remediation...
- Thực hành diễn đạt bằng tiếng Anh về các khái niệm đã học
### 2. Tài liệu tham khảo
Sách và tài liệu chính:
| Tài liệu | Nguồn | Ghi chú |
|---|---|---|
| PCI DSS v4.0 | pcisecuritystandards.org | Miễn phí, tải sau đăng ký |
| ISO 27001:2022 | ISO shop | Có bản preview online |
| NIST SP 800-53 | csrc.nist.gov | Controls framework |
| OWASP Testing Guide v4 | owasp.org | Web application testing |
| "The Practice of Network Security Monitoring" | Richard Bejtlich | SIEM & monitoring |
| "Security Engineering" - Ross Anderson | Wiley | Sách gốc về security engineering |
Nguồn học online miễn phí:
- SANS Cyber Aces (free courses)
- Cybrary.it - các khóa PCI-DSS, ISO 27001
- TryHackMe / HackTheBox - thực hành lab (nếu cần củng cố kỹ năng PT)
- YouTube: SANS Institute - các briefing về threat landscape
- PortSwigger Web Academy - web security
Vietnamese-specific resources:
- Trang chủ NCSC (ncsc.gov.vn) - Trung tâm Giám sát an toàn không gian mạng quốc gia
- VNISA (vnisa.org.vn) - Hiệp hội An toàn thông tin Việt Nam
- Khóa học An ninh mạng của FPT, Viettel
### 3. Checklist trước ngày phỏng vấn
- [ ] In bản mềm CV đã update, đặc biệt liệt kê rõ các dự án security
- [ ] Chuẩn bị câu trả lời bằng tiếng Anh cho các câu hỏi technical
- [ ] Mặc comple/vest (dress code formal)
- [ ] Check đường đến địa điểm phỏng vấn (VPBank Tower hoặc online)
- [ ] Chuẩn bị 3-5 câu hỏi cho nhà tuyển dụng (về team, roadmap, KPI...)
- [ ] Nghỉ ngơi đủ, không học quá khuya đêm trước
Tư vấn nghề nghiệp
## Lời khuyên Sự nghiệp cho vị trí Information Security tại VPBank
### 1. Lộ trình thăng tiến điển hình trong mảng IS ngân hàng
```
Junior Security Engineer (0-2 năm)
↓
Security Engineer / Analyst (2-4 năm)
↓
Senior Security Engineer / Team Lead (4-6 năm)
↓
Security Manager / CISO Deputy (6-8 năm)
↓
CISO / Head of Information Security (8+ năm)
```
Vị trí này đang tuyển ở bậc: Senior/Lead hoặc Manager
- Yêu cầu: Strategic thinking + Technical depth + Compliance experience
- Thường yêu cầu 5+ năm kinh nghiệm trong lĩnh vực IS (đặc biệt ngành tài chính)
### 2. Mức lương kỳ vọng theo cấp bậc (thị trường Việt Nam 2024)
| Cấp bậc | Kinh nghiệm | Mức lương (VND/tháng) | Ghi chú |
|---|---|---|---|
| Junior (0-2 năm) | Fresher/Junior | 15-25 triệu | Thường không có JD như này |
| Mid (2-4 năm) | Security Engineer | 25-40 triệu | |
| Senior (4-6 năm) | Senior Engineer | 40-70 triệu | Phù hợp với vị trí này |
| Lead/Manager (6-8 năm) | Team Lead | 70-120 triệu | |
| CISO (8+ năm) | Head of IS | 150-300+ triệu | VPBank có thể cao hơn |
Lưu ý:
- Mức lương "Thỏa thuận" = VPBank sẵn sàng đàm phán theo năng lực
- Ngân hàng thường có thêm: thưởng KPI (2-4 tháng lương), phụ cấp, bảo hiểm cao cấp
- Vị trí này có thể đạt 60-100 triệu VND/tháng tùy kinh nghiệm thực tế
### 3. Kỹ năng cần phát triển thêm (để thăng tiến)
Ngắn hạn (6-12 tháng đầu nếu nhận được):
- [ ] Chứng chỉ CISSP - "bằng cấp vàng" cho IS career
- [ ] Kinh nghiệm thực tế với PCI-DSS - implement, maintain, pass audit
- [ ] Cloud Security (AWS/Azure/GCP security) - VPBank đang chuyển đổi số
- [ ] Scripting/Automation (Python, PowerShell) - để xây dựng tools tự động hóa
- [ ] Public speaking - vì phải thuyết trình với cấp cao
Dài hạn (2-3 năm):
- [ ] Đàm phán và influencing - kỹ năng thuyết phục business unit
- [ ] Budget management - quản lý ngân sách security projects
- [ ] Vendor management - làm việc với vendors như Fortinet, Palo Alto, Splunk
- [ ] Executive communication - báo cáo cho CIO/CFO/CEO
- [ ] Xây dựng team - nếu muốn lên Manager/CISO
### 4. Lời khuyên thực tế từ góc nhìn thị trường
Ưu điểm khi làm việc tại VPBank:
- Lương thưởng cạnh tranh so với thị trường
- Môi trường chuyên nghiệp, quy mô IT lớn
- Cơ hội làm việc với hệ thống phức tạp (core banking, digital banking)
- Đơn vị ngân hàng tư nhân linh hoạt hơn ngân hàng nhà nước
- Học hỏi được nhiều về compliance & regulation
Thách thức cần lường trước:
- Áp lực tuân thủ liên tục (PCI-DSS audit hàng năm)
- Phải cân bằng giữa security requirement và tốc độ release sản phẩm
- Ngân hàng có nhiều legacy systems khó bảo mật
- Đòi hỏi on-call 24/7 khi có sự cố
- Nhiều báo cáo, tài liệu (policy, procedure, report) phải viết bằng tiếng Anh
Thay thế nếu không nhận được:
- Các ngân hàng khác: Techcombank, TPBank, MBBank, ACB (mảng IS đều đang tuyển)
- Công ty fintech: VNPay, MoMo, ZaloPay (môi trường năng động hơn)
- Công ty security: Viettel Cyber Security, BKAV, FPT Smart Cloud
- Vendor security quốc tế: Cisco, Fortinet, Palo Alto (pre-sales, SE)
Mẹo đàm phán lương:
- Nghiên cứu mức lương trên Glassdoor, Glassdoor Vietnam, các group LinkedIn
- Đề cập chứng chỉ đã có (CISSP, CISM, CEH) khi đàm phán
- Nêu bật kinh nghiệm PCI-DSS cụ thể (số lần pass audit, scope)
- Yêu cầu rõ: base salary, KPI bonus %, insurance level, parking/allowance
Câu hỏi thường gặp
JD không ghi rõ kinh nghiệm, nhưng nhìn vào mô tả công việc (xây dựng chiến lược, chỉ đạo dự án, báo cáo cấp cao), đây là vị trí Senior/Lead level. Với 2 năm kinh nghiệm, bạn có thể ứng tuyển nhưng sẽ cạnh tranh khó. Gợi ý: Ứng tuyển và tranh thủ cơ hội, đồng thời apply thêm các vị trí Security Engineer (mid-level) tại VPBank hoặc ngân hàng khác để tích lũy. Nếu có chứng chỉ CISP/CEH và kinh nghiệm thực tế với PCI-DSS, cơ hội sẽ cao hơn.
Có hy vọng nếu bạn đáp ứng được các yêu cầu kỹ thuật cốt lõi. Ngành ngân hàng đánh giá cao: (1) Kỹ năng security kỹ thuật, (2) Kinh nghiệm với compliance frameworks (PCI-DSS, ISO 27001), (3) Khả năng giao tiếp tiếng Anh. Điểm yếu của bạn là không biết đặc thù ngành tài chính (regulation, banking systems). Trước phỏng vấn, hãy tìm hiểu kỹ về PCI-DSS, các regulation ngân hàng Việt Nam (Thông tư 50/2018/TT-NHNN), và chuẩn bị giải thích rõ ràng cách bạn áp dụng kinh nghiệm outsourcing vào môi trường ngân hàng.
JD ghi 'Thỏa thuận', nghĩa là VPBank linh hoạt theo năng lực ứng viên. Theo thị trường 2024, vị trí senior IS tại ngân hàng tư nhân VPBank dao động 60-100 triệu VND/tháng, có thể cao hơn nếu bạn có CISSP + nhiều năm kinh nghiệm. Ngoài lương, ngân hàng thường có: thưởng KPI (2-4 tháng), bảo hiểm cao cấp, phụ cấp. Khi đàm phán, hãy đề cập cụ thể chứng chỉ, số năm kinh nghiệm, và mức lương hiện tại. Không nên nói 'em không biết mức nào' - hãy research trước trên Glassdoor, LinkedIn Salary insights.
Vị trí này không phải role SOC 24/7 trực đêm thường xuyên, nhưng bạn cần sẵn sàng on-call khi có security incident nghiêm trọng. Mô tả công việc có 'kiểm thử kiểm soát ANBM định kỳ' và 'xử lý lỗ hổng trong khung thời gian cam kết' - nghĩa là deadline-driven. Có thể cần OT khi: (1) Gần đợt PCI-DSS audit, (2) Có dự án triển khai hệ thống mới, (3) Xử lý sự cố bảo mật khẩn cấp. Đa số ngày làm việc giờ hành chính, nhưng cần mental preparedness cho pressure situations.
Đây là nỗi lo rất phổ biến. Mẹo thực tế: (1) Chuẩn bị sẵn 5-7 câu chuyện (story) về các dự án security đã làm, viết outline bằng tiếng Anh, tự practice nói lại nhiều lần. (2) Học thuộc vocabulary của 10-15 security topics phổ biến: vulnerability, remediation, patch, threat, exploit, mitigation, firewall rule, false positive, incident, breach, compliance... (3) Khi không nhớ từ, diễn đạt bằng câu đơn giản + ví dụ thay vì cố dùng từ phức tạp. (4) Nghe các podcast security bằng tiếng Anh: SANS Daily, Darknet Diaries để quen với cách diễn đạt chuyên ngành. HR và IT manager đánh giá khả năng communicate > ngữ pháp hoàn hảo.
Các lựa chọn tốt cho career path IS ngành tài chính: (1) Các ngân hàng tư nhân: Techcombank, TPBank, MBBank, ACB - đều có đội IS team mạnh, Techcombank đặc biệt nổi tiếng về chuyển đổi số. (2) Công ty fintech: VNPay, MoMo, ZaloPay - môi trường nhanh, học được nhiều, áp lực compliance nhưng linh hoạt hơn. (3) Vendor/security company: Viettel Cyber Security, BKAV, FPT Smart Cloud - học sâu về kỹ thuật, nhưng ít tiếp xúc compliance ngân hàng. Gợi ý: Bắt đầu từ ngân hàng để lấy compliance experience, sau đó chuyển sang fintech hoặc vendor nếu muốn.
Ưu tiên theo thứ tự: (1) CISSP - 'gold standard', được công nhận toàn cầu, phù hợp nhất cho vị trí strategic/security management. (2) CISM - tập trung vào governance & management, cũng rất phù hợp vì JD nhấn mạnh chiến lược & policy. (3) CEH - kiểm thử xâm nhập, bổ trợ kỹ năng technical. (4) OSCP - chứng chỉ hands-on, rất giá trị nhưng khó hơn. Nếu chưa có chứng chỉ nào, bắt đầu với CompTIA Security+ để lấy nền tảng, sau đó lên CISSP/CISM. Với yêu cầu PCI-DSS, có thể lấy thêm PCI-ISA (Internal Security Assessor).
Dựa trên mô tả công việc, KPI có thể bao gồm: (1) Số lượng vulnerability được identify và remediate trong SLA cam kết, (2) Tỷ lệ tuân thủ PCI-DSS (pass audit không có major finding), (3) Số lượng policy/hướng dẫn ANBM được xây dựng và ban hành, (4) Thời gian xử lý incident trung bình (MTTR), (5) Số dự án IT được review security trước khi go-live, (6) Tiến độ triển khai ISO 27001. Đây là vị trí có KPI rõ ràng vì liên quan đến compliance - audit failure có thể ảnh hưởng trực tiếp đến hoạt động kinh doanh thẻ của VPBank.
Chia sẻ từ cộng đồng
Mình đang ở vị trí tương tự tại một ngân hàng khác, công việc khá bận nhưng mức lương xứng đáng. Đặc biệt là deadline PCI-DSS audit gần thì áp lực lắm, phải OT nhiều.
VPBank đang tuyển mảng IS khá nhiều, họ đang chuyển đổi số mạnh nên ai có cloud security skill (AWS, Azure) sẽ được ưu tiên. Mình apply cách đây 2 tháng, qua vòng technical rồi nhưng trượt vòng panel. Gợi ý: họ hỏi rất sâu về PCI-DSS, ôn kỹ nhé.
Vị trí này lương thỏa thuận nhưng thực ra range 70-90 triệu cho senior. Mình biết đồng nghiệp cũ chuyển sang VPBank được 85 triệu, có 6 năm kinh nghiệm + CISSP. Còn không có chứng chỉ thì khó đàm phán lên mức cao.
Cảnh báo: đây là vị trí strategic nên expectation cao hơn nhiều so với technical thuần túy. Bạn nào thiên về kỹ thuật lắm thì cân nhắc, vì công việc chính là policy, strategy, stakeholder management chứ không ngồi config firewall cả ngày.
Mình làm ở VPBank được 1 năm rồi. Team IS khá nhỏ nhưng làm việc rất chuyên nghiệp. Điểm trừ là báo cáo bằng tiếng Anh nhiều, phải viết policy documents, đôi khi hơi bất tiện nhưng cũng tốt để train skill.
Có ai biết vị trí này làm ở đâu không? JD không ghi rõ địa điểm, mình hỏi HR họ bảo làm tại VPBank Tower (quận 1 HCM) nhưng có thể hybrid. Ai confirm giúp mình với?
Ứng tuyển ngay
Ứng tuyển trên website gốcBạn sẽ được chuyển đến trang tuyển dụng chính thức của VPBank
Chuyên môn / Từ khoá
Mất kết nối mạng
Đang thử kết nối lại
Đã xảy ra lỗi!
Vui lòng chờ trong giây lát