IT Information Security Officer

globaljobservices.vn
Thỏa thuận
Hà Nội, Hoàn Kiếm, Hà Nội, Việt Nam
Toàn thời gian
Đăng tuyển ngày 23/08/2021

Mô tả công việc

a. Mảng hoạt động Đảm bảo ANTT

- Tham gia các dự án, phát triển, triển khai công nghệ để đảm bảo an ninh thông tin cho các hệ thống sẽ được xây dựng, bao gồm các công đoạn: phân tích, xây dựng yêu cầu ANTT, thiết kế ANTT, threat modeling, rà soát mã nguồn, kiểm thử và xây dựng các biện pháp kiểm soát đảm bảo ANTT.

- Nghiên cứu, xây dựng các giải pháp ANTT cần thiết để ngăn chặn các cuộc tấn công, sự cố ANTT, đảm bảo an ninh, an toàn cho toàn bộ hệ thống thông tin của ngân hàng.

- Phối hợp với bộ phận giám sát an ninh thông tin tham gia xử lý các sự cố an ninh thông tin.

- Thiết lập và giám sát việc thực hiện quy trình, quy định, tiêu chuẩn, hướng dẫn, chính sách an ninh thông tin của TCB theo quy định của chính phủ và các tổ chức quốc tế

- Thực hiện và duy trì tuân thủ các tiêu chuẩn quốc tế PCI-DSS, ISO, SWIFT CSP.

- Thực hiện và duy trì tuân thủ các chính sách của TCB, thông tư, quy định của Ngân hàng Nhà Nước.

- Thường xuyên thực hiện kiểm tra tính tuân thủ, toàn vẹn

của cấu hình chính sách bảo mật trong hệ thống nội bộ TCB phát hiện các hành vi vi phạm hoặc tấn công nội bộ.

- Phối hợp với các đơn vị Đánh giá Tuân thủ, Quán lý rủi ro để đánh giá mức độ tuân thủ của hệ thống công nghệ theo các chính sách, quy định, tiêu chuẩn, quy trình, danh sách kiểm tra.

b. Mảng hoạt động Kiểm thử ANTT

* Thực hiện chiến lược đảm bảo an ninh thông tin:

- Tham gia thực hiện chiến lược an ninh thông tin thông qua việc cung cấp các số liệu đầu vào về xu hướng tấn công, các dạng thức khai thác và rủi ro phát sinh trong từng giai đoạn.

- Tham gia thực hiện kế hoạch triển khai đảm bảo an ninh thông tin hàng năm, đáp ứng nhu cầu kinh doanh và vận hành của ngân hàng thông qua việc thực hiện các chương trình kiểm thử ANTT cho hoạt động công nghệ của ngân hàng.

- Xây dựng phương pháp kiểm tra thâm nhập, kịch bản quét bảo mật thông tin và kiểm tra bảo mật theo tiêu chuẩn quốc tế như OSSTMM, Sans và OWASP.

- Phát triển các kỹ thuật mới, các kịch bản và chương trình khai thác để tự động kiểm tra thâm nhập

* Thực hiện hoạt động tấn công kiểm thử:

- Trực tiếp thực hiện rà soát phát hiện các điểm yếu, đánh giá khả năng khai thác điểm yếu và tiến hành kiểm tra thâm nhập / khai thác định kỳ hoặc theo yêu cầu của lãnh đạo Khối cho tất cả các hệ thống / ứng dụng; thử nghiệm thâm nhập cho hệ thống / ứng dụng sau khi phát hiện trực tiếp hoặc bất cứ khi nào trải qua một thay đổi lớn. Các phương pháp kiểm thử phải đảm bảo tính thực tế bao gồm cả kĩ thuật (công nghệ) và phi kĩ thuật (con người, quy trình, tài sản vật lý). Từ đó cung cấp lại cho CISO cũng như các bộ phận an ninh thông tin khác để có các chương trình xử lý các vấn đề của điểm yếu hệ thống có thể bị khai thác được.

- Thực hiện quét lỗ hổng thường xuyên, kiểm tra bảo mật thông tin để tìm ra lỗ hổng trong hệ thống và cung cấp giải pháp khắc phục / khắc phục; hỗ trợ duy trì tuân thủ các tiêu chuẩn an ninh thế giới như PCI-DSS, ISO27001, SCP (swift).

- Thực hiện phát triển và quản lý chương trình quản lý lỗ hổng, cơ sở dữ liệu tình báo mối đe dọa. Thu thập, theo dõi các số liệu và phân tích xu hướng về phòng thủ không gian mạng, mối đe dọa, các cuộc tấn công được phát hiện, các lỗ hổng và các biện pháp xử lý/ngăn chặn.

- Chủ động nghiên cứu / tìm ra lỗ hổng mới, kỹ thuật khai thác và các mối đe dọa trên mạng; xác định xu hướng trong bảo mật mạng liên quan đến chiến thuật, kỹ thuật và quy trình, nhắm mục tiêu để phát triển và triển khai phần mềm độc hại.

- Trực tiếp tham gia vào kế hoạch thực nghiệm phản ứng với sự cố an ninh thông tin với tư cách là đơn vị tấn công và trong trường hợp sự cố an ninh thông tin thực tế là đội phản ứng. Phối hợp và cung cấp kỹ năng kỹ thuật phòng thủ không gian mạng chuyên gia để giải quyết các sự cố tấn công mạng

c. Mảng hoạt động Quản trị ANTT

* Xây dựng/điều chỉnh và thực thi MTPQ của các hệ thống.

* Xây dựng các yêu cầu, biện pháp nhằm kiểm soát truy cập và bảo vệ dữ liệu của ngân hàng.

* Xây dựng, duy trì, tối ưu chính sách/tập luật/cấu hình ANTT cho các giải pháp đảm bảo ANTT như: Các giải pháp ANTT về quản lý định danh truy cập (PAM, IAM…); Các giải pháp ANTT về mạng lưới (Firewall, NAC, APT, NetIPS, DDOS…); Các giải pháp ANTT về thiết bị đầu cuối (AD GPO, HIPS/HFW, Appcontrol, Web/mail filtering, DB security…); Các giải pháp ANTT về dữ liệu (DLP, FAM…).

* Thẩm định, đánh giá, rà soát:

- Công tác thực thi phân quyền đảm bảo tuân thủ theo ma trận phân quyền.

- Công tác cấp phát, thu hồi tài khoản đặc quyền và chứng thư số trên các hệ thống công nghệ.

- Các yêu cầu ngoại lệ liên quan đến định danh, quyền truy cập trên các hệ thống công nghệ

- Các yêu cầu thay đổi trên các giải pháp đảm bảo ANTT.

* Quản trị rủi ro và tuân thủ

- Nhận biết rủi ro của bộ phận trong quá trình hoạt động, đảm bảo tuân thủ đúng các quy trình, quy định của ngân hàng. Phối hợp với các đơn vị liên quan xử lý rủi ro.

- Thực hiện các hoạt động xử lý rủi ro theo các báo cáo của các bộ phân kiểm toán bên trong/bên ngoài Ngân hàng.

Yêu cầu

- Tốt nghiệp chuyên ngành CNTT, Toán tin hoặc Điện tử viễn thông

- Có kinh nghiệm thực hiện đánh giá kiểm thử ANTT trong các tổ chức tài chính/dịch vụ/ viễn thông từ 3-5 năm. Kinh nghiêm bao gồm các khía cạnh:

  • Nghiên cứu, thiết kế, triển khai và đánh giá An ninh thông tin cho các hệ thống, ứng dụng
  • Triển khai PCI-DSS, ISO, Swift CSP… Tham gia triển khai xây dựng, kiểm soát tuân thủ tiêu chuẩn ANTT đối với hệ thống CNTT

- Có kinh nghiệm thực hiện đánh giá kiểm thử ANTT trong các tổ chức tài chính/dịch vụ/ viễn thông. Kinh nghiêm bao gồm các khía cạnh:

  • Kinh nghiệm trong hoạt động nghiên cứu lỗ hổng bảo mật, phát triển các kĩ thuật/công cụ tấn công, thực hiện tấn công kiểm thử các hệ thống công nghệ bằng các biện pháp kĩ thuật và phi kĩ thuật (02 năm trở lên)

- Có kinh nghiệm triển khai, quản trị, vận hành chuyên sâu về mặt chính sách, tập luật, cấu hình ANTT tối thiểu một trong các mảng sau tại các tổ chức tài chính/dịch vụ/ viễn thông (3-4 năm):

  • Các giải pháp ANTT về quản lý định danh truy cập (PAM, IAM…);
  • Các giải pháp ANTT về mạng lưới (Firewall, NAC, APT, NetIPS, DDOS…);
  • Các giải pháp ANTT về thiết bị đầu cuối (AD GPO, HIPS/HFW, Appcontrol, Web/mail filtering, DB security…);
  • Các giải pháp ANTT về dữ liệu (DLP, FAM…)."

- Kinh nghiệm đánh giá an ninh thông tin theo phương pháp Agile

- Tiếng anh: Theo quy định hiện hành của Ngân hàng (Toeic dưới 550)

- Các chứng chỉ về an ninh thông tin như OSCP, chứng chỉ triển khai đánh giá PCI DSS, ISO

- Có các chứng chỉ của các hãng cung cấp các giải pháp đảm bảo ANTT như Microsoft/Cisco/PaloAlto/Checkpoint/Cyberark/Sailpoint…

- Có chứng chỉ về an ninh thông tin như - SANS SEC660, SEC760, SANS SEC642, SANS SEC575, OSCE, OSCP

Quyền lợi

"Nếu bạn có năng lực, tự tin và sẵn sàng làm việc hết mình, hãy GIA NHẬP CÙNG CHÚNG TÔI. Chúng tôi tạo điều kiện để bạn có thể hiện thực hóa ước mơ của mình với một môi trường làm việc thân thiện, lý tưởng, Top 9 nơi làm việc tốt nhất Việt Nam (2018). Tại Techcombank, chúng tôi có những chế độ tưởng thưởng xứng đáng theo hiệu quả công việc. Bạn cũng sẽ có cơ hôi phát triển nghề nghiệp nhanh chóng và được đào tạo chuyên sâu bởi những nhà lãnh đạo đẳng cấp trong khu vực và trên quốc tế”

TỔ CHỨC HÀNG ĐẦU

- Ngân hàng TMCP số 1 tại Việt Nam về lợi nhuận năm 2018, 2019

- Đội ngũ lãnh đạo giỏi dẫn dắt ngân hàng tăng trưởng liên tục gần 20 quý

- Top 2 Ngân hàng có môi trường làm việc tốt nhất Việt Nam 3 năm liên tiếp (2016-2018)

CÔNG VIỆC TỐT

- Văn phòng đẳng cấp theo mô hình Agile tiên tiến

- Môi trường gắn kết với nhiều hoạt động sôi nổi: Sinh nhật ngân hàng, Team building, ASO, CLB thể thao, bữa trưa vui vẻ, year end party...

- Văn hóa công bằng, tôn trọng, tin tưởng giao phó

PHÁT TRIỂN VÀ THĂNG TIẾN

- Đào tạo chuyên sâu từ chuyên gia trong và ngoài nước

- Lộ trình nghề nghiệp, cơ hội thăng tiến rõ ràng, linh hoạt

PHÚC LỢI CẠNH TRANH

- Thu nhập cạnh tranh; mức tăng lương hàng năm vượt trội với Benchmark thị trường

- Lương tháng 13; thưởng hiệu quả công việc, Phụ cấp, chương trình vay ưu đãi với CBNV

Tạo thông báo việc làm

Chúng tôi sẽ gửi email cho bạn khi có việc làm mới tương tự