Mô tả Công việc
Trưởng Phó phòng an toàn thông tin đóng vai trò quan trọng trong việc xây dựng, triển khai và quản lý toàn diện công tác An toàn thông tin (ATTT); Xây dựng, quản lý và phát triển đội ngũ ATTT của công ty chứng khoán Asean và đảm bảo hệ thống, dữ liệu và giao dịch của công ty đáp ứng các tiêu chuẩn bảo mật và tuân thủ pháp luật. Với những nhiệm vụ chính sau:
1. Hoạch định chiến lược & quản lý
Xây dựng chiến lược ATTT phù hợp với mô hình công ty chứng khoán.
Thiết lập chính sách, quy trình, tiêu chuẩn bảo mật theo quy định của UBCKNN, Luật ATTT mạng, ISO 27001, NIST CSF.
Xây dựng và quản lý ngân sách ATTT.
Lập kế hoạch nhân sự và phát triển đội ngũ ATTT (tuyển dụng, đào tạo, phân công công vi).
2.
Quản lý vận hành bảo mật
Giám sát hoạt động của các hệ thống bảo mật Firewall, Anti-virus.
Quản lý phân quyền truy cập theo nguyên tắc least privilege.
Theo dõi, phân tích, xử lý cảnh báo bảo mật.
Đảm bảo an ninh mạng cho hệ thống giao dịch, website, ứng dụng di động.
3. Quản lý rủi ro & tuân thủ
Thực hiện đánh giá rủi ro CNTT định kỳ.
Đảm bảo tuân thủ các yêu cầu pháp lý và tiêu chuẩn bảo mật của ngành chứng khoán.
Chuẩn bị hồ sơ và phối hợp khi có
kiểm toán nội bộ/ngoài.
4. Ứng phó & điều tra sự cố: Xây dựng và duy trì Kế hoạch ứng phó sự cố ATTT, tổ chức diễn tập ứng phó sự cố hàng năm. Chỉ đạo xử lý sự cố bảo mật, điều tra nguyên nhân, khắc phục và phòng ngừa tái diễn.
5. Đào tạo & nâng cao nhận thức: Tổ chức các chương trình đào tạo ATTT cho toàn bộ nhân viên; Phát triển văn hóa bảo mật trong tổ chức.
6. Các công việc khác theo yêu cầu của BTGĐ
Yêu Cầu Công Việc
1.Trình độ học vấn (Educational background): Đại học CNTT, An toàn thông tin, Khoa học máy tính hoặc tương đương. Ưu tiên nhân sự có các chứng chỉ chuyên môn về an toàn thông tin như CISSP, CISM, ISO 27001 LA, CEH hoặc tương đương.
Ứng viên cần đáp ứng các yêu cầu về kiến thức chuyên môn sau:
Am hiểu về quản trị an toàn thông tin dựa trên các chuẩn mực quốc tế như ISO/IEC 27001, NIST
Cybersecurity Framework, CIS Controls.
Có khả năng xây dựng và triển khai chính sách, quy trình, tiêu chuẩn bảo mật phù hợp với môi trường doanh nghiệp tài chính/chứng khoán.
An ninh mạng và hệ thống: Nắm vững nguyên tắc bảo mật mạng (network security) và các công nghệ liên quan: firewall, IDS/IPS, WAF, VPN, network segmentation, NAC; Hiểu biết về Zero Trust Architecture và các biện pháp kiểm soát truy cập.
Bảo mật ứng dụng và dữ liệu: Kinh nghiệm đánh giá và khắc phục lỗ hổng ứng dụng web (OWASP Top 10); Kiến thức về bảo mật API (OpenAPI, OAuth2.0, JWT); Hiểu biết về threat intelligence và SOC operations; Nắm bắt xu hướng tấn công mạng và biện pháp phòng chống mới.
Quản lý rủi ro và tuân thủ: Hiểu rõ quy định pháp lý Việt Nam liên quan đến ATTT trong ngành chứng khoán (yêu cầu của UBCKNN, Luật An toàn thông tin mạng, Luật An ninh mạng); Có khả năng lập và vận hành kế hoạch quản lý rủi ro an ninh mạng, bao gồm đánh giá rủi ro, quản lý điểm yếu và lỗ hổng.
2. Kinh nghiệm (Experience):
Tối thiểu 5 năm trong lĩnh vực ATTT, trong đó ít nhất 2 năm ở vai trò quản lý/lead.
Có kinh nghiệm triển khai các dự án bảo mật (SIEM, DLP, IAM, SOC...)
Ưu tiên đã làm việc trong ngân hàng, chứng khoán hoặc tài chính.
3. Kỹ năng/Khả năng (Skills/ Abilities):
Kiến thức sâu về bảo mật mạng, ứng dụng, dữ liệu.
Thành thạo đánh giá rủi ro, quản lý lỗ hổng, ứng phó sự cố.
Hiểu rõ các tiêu chuẩn và khung quản trị bảo mật (ISO 27001, NIST, CIS Controls).
Lập kế hoạch, phân bổ ngân sách,
quản lý nhân sự.
Kỹ năng lãnh đạo, giao tiếp, thuyết trình.