CVC/CVCC Đánh giá An toàn thông tin (Pentest/Red team) - MSB - KCN - 3I112

1. Quản lý lỗ hổng an ninh của toàn bộ hệ thống IT (Vulnerability/Patch Management)
- Tham gia xây dựng, cập nhật chương trình quản lý lỗ hổng an ninh thông tin toàn bộ hệ thống IT và các tiêu chuẩn liên quan (PCI DSS, ...).
- Phát triển và tối ưu chương trình quản lý lỗ hổng.
- Chủ động nghiên cứu, cập nhật thông tin về các lỗ hổng mới từ các nguồn tin về an ninh mạng và cập nhật phương án khắc phục sớm cho các hệ thống IT .
- Tham gia xây dựng phương án, kế hoạch triển khai khắc phục các lỗ hổng đã xác định.
- Thống nhất kế hoạch thực hiện với các bên liên quan.
2. Tổ chức triển khai đảm bảo an toàn thông tin trong SDLC
- Tổ chức triển khai công việc theo kế hoạch được duyệt.
- Triển khai DevSecOps phục vụ quá trình chuyển đổi số tại MSB.
- Tiếp nhận và xử lý yêu cầu đánh giá an toàn thông tin ứng dụng trước khi golive.
- Có trách nhiệm trong việc đảm bảo SLA mà P.ATTT cam kết cung cấp tới các bên.
- Phối hợp với hãng, nhà thầu giải quyết các vấn đề phát sinh liên quan tới kĩ thuật/thiết kế trong quá trình triển khai, có trách nhiệm giám sát và đôn đúc thành viên trong tổ dự án nhằm đảm bảo việc triển khai theo đúng thiết kế ban đầu cũng như tiến độ đã được
đưa ra.
3. Tổ chức kiểm thử xâm nhập Redteam
- Tham gia triển khai các dự án kiểm thử xâm nhập theo chủ đề.
- Nghiên cứu, cập nhật và chia sẻ các phương thức tấn công mới và hiệu quả.
- Nghiên cứu và mô phỏng các APT nhắm vào các tổ chức tài chính.
4. Vận hành an ninh thông tin chung
- Tham gia nhận diện, đánh giá rủi ro an ninh thông tin chung và hỗ trợ lên kế hoạch cũng như phương án khắc phục.
- Tham gia đánh giá kiểm soát tuân thủ quy trình quy định an ninh thông tin
- Phối hợp giám sát kiểm soát an ninh theo yêu cầu về phản ứng sự cố / sự kiên an ninh thông tin
5. Tư vấn, tham mưu cho Giám đốc an ninh thông tin
- Nghiên cứu, tư vấn cho Giám đốc Phòng ATTT/Team Leader về các công cụ, giải pháp
công nghệ mới

1. Trình độ:

• Tốt nghiệp Đại học trở lên chuyên ngành: An toàn thông tin; Công nghệ thông tin; Điện tử Viễn thông;
• Yêu cầu về chứng chỉ: Offensive Security, EC-Council, GIAC, CompTIA (OSCP, CEH, GWAPT, GXPN, GPEN, CPTC...)
• Ngoại ngữ: Cấp độ 3 (Toeic 450-650 hoặc tương đương) - Có khả năng hiểu & giao tiếp tiếng Anh Khá

2. Kinh nghiệm:

• Kinh nghiệm chuyên môn tối thiểu: 3 năm trong lĩnh vực Đánh giá An ninh thông tin (ưu tiên trong lĩnh vực tài chính - ngân hàng và các hãng/tổ chức cung cấp các dịch vụ/giải pháp bảo mật lớn trên thế giới)
• Ưu tiên các ứng viên có kinh nghiệm tìm kiếm lỗ hổng bảo mật zeroday, có CVE/giải thưởng CTF là lợi thế.

3. Kiến thức:
- Kiến thức chung:

• Có hiểu biết an ninh thông tin của một tổ chức trong lĩnh vực tài chính-ngân hàng
• Có hiểu biết về các tiêu chuẩn bảo mật được áp dụng cho các tổ chức tài chính-ngân hàng

- Kiến thức chuyên môn:

• Hiểu biết chuyên sâu về các phương thức tấn công mạng và các biện pháp phòng chống
• Hiểu biết chuyên sâu về lỗ hổng phần mềm và các biện pháp phòng chống

4. Kỹ năng/Khả năng

- Năng lực hành vi/Thái độ:

• Triển khai xuất sắc
• Tuân thủ quy định
• Khả năng chủ động trong công việc

- Năng lực chung:

• Khả năng giao tiếp và truyền thông
• Khả năng sáng tạo và liên tục cải thiện
• Khả năng làm việc theo nhóm/tổ chức

- Năng lực quản lý/lãnh đạo:

• Khả năng đánh giá và ra quyết định
• Khả năng phát triển con người
• Khả năng lãnh đạo và tạo động lực

- Năng lực chuyên môn:

• Quản trị rủi ro

5. Các yêu cầu khác

• Khả năng chịu áp lực cao trong công việc