Chuyên Gia Quản Trị Rủi Ro Công Nghệ Thông Tin

Mục tiêu công việc

Thiết lập và vận hành khung quản trị rủi ro CNTT nhằm nhận diện, đánh giá và giảm thiểu các rủi ro liên quan đến hệ thống, hạ tầng, an ninh mạng và dữ liệu. Đảm bảo các hoạt động công nghệ của tổ chức tuân thủ các quy định pháp luật và các tiêu chuẩn quốc tế.

Nhiệm vụ chính

1. Xây dựng Khung quản trị và Chính sách:

• Xây dựng, cập nhật các chính sách, quy trình và hướng dẫn về Quản trị rủi ro CNTT (IT Risk Management Framework);

• Xây dựng các tiêu chuẩn rủi ro bắt buộc cho quy trình phát triển phần mềm;

• Tham mưu cho Ban lãnh đạo về việc thiết lập định hướng khẩu vị rủi ro trong mảng công nghệ.

2. Nhận diện và Đánh giá rủi ro CNTT:

• Thực hiện đánh giá rủi ro cho các dự án CNTT mới, các hệ thống lõi (Core system) và các thay đổi về hạ tầng;

• Phối hợp với bộ phận An ninh thông tin để đánh giá các lỗ hổng bảo mật và các mối đe dọa tiềm tàng cũng như triển khai các yêu cầu theo ISO27001;

• Thực hiện đánh giá rủi ro bên thứ ba (Third-party Risk) đối với các nhà cung cấp dịch vụ công nghệ, phần mềm;

• Phối hợp Khối CNTT xây dựng kế hoạch dự phòng (DC-DR, DRP) nhằm đảm bảo hoạt động kinh doanh liên tục.

3. Triển khai bộ công cụ QTRR hoạt động trong IT:

• IT RCSA: Chủ trì việc tự đánh giá rủi ro và kiểm soát tại Khối Công nghệ thông tin;

• IT KRI: Thiết lập và theo dõi các chỉ số rủi ro chính trong lĩnh vực CNTT;

• IT LDC: Thu thập và phân tích dữ liệu về các sự cố CNTT, mất an toàn thông tin để tìm ra nguyên nhân và phối hợp triển khai giải pháp phòng ngừa.

4. Giám sát Tuân thủ và Khắc phục:

• Giám sát việc thực hiện các kế hoạch khắc phục sau các sự cố CNTT;

• Đảm bảo hệ thống tuân thủ các tiêu chuẩn như ISO 27001, NIST, COBIT hoặc các quy định của Ngân hàng Nhà nước/Cơ quan quản lý;

• Giám sát tuân thủ các quy định, quy trình CNTT;

• Đảm bảo quy trình QA/QC được thực hiện nghiêm ngặt, đánh giá rủi ro dựa trên tỷ lệ lỗi (Defect Rate) trước khi sản phẩm Go-live;

• Giám sát và yêu cầu thực hiện Stress Test và Load Test để đảm bảo hệ thống hoạt động an toàn, ổn định;

5. Đào tạo và Tư vấn:

• Tổ chức các chương trình đào tạo nâng cao nhận thức về rủi ro CNTT và an toàn thông tin cho nhân viên toàn Công ty;

• Tư vấn về các chốt kiểm soát cần thiết trong quy trình phát triển phần mềm.

Yêu cầu công việc

• Học vấn: Tốt nghiệp Đại học trở lên chuyên ngành Công nghệ thông tin, An ninh thông tin, hoặc tương đương

• Kinh nghiệm: Tối thiểu 3 - 5 năm kinh nghiệm trong lĩnh vực IT Risk, IT Audit hoặc An toàn thông tin.

• Ưu tiên ứng viên có kinh nghiệm làm việc tại các tổ chức tài chính, ngân hàng hoặc các công ty công nghệ lớn.

• Ứng viên có một trong các chứng chỉ chuyên môn sau là một lợi thế: CRISC (Certified in Risk and Information Systems Control); CISA (Certified Information Systems Auditor); CISM (Certified Information Security Manager) hoặc CISSP.

• Kỹ năng:

o Hiểu biết sâu về các khung quản trị: COBIT, ITIL, ISO 27001;

o Kỹ năng phân tích logic và đánh giá hệ thống tốt;

o Khả năng giao tiếp và thuyết phục.

Lương & Phụ cấp

• Lương tháng 13 với thưởng hiệu suất hàng năm, thưởng dự án, thưởng doanh số (tùy theo vị trí)

• Phụ cấp ăn trưa: 730,000 VND/tháng

• Thưởng các dịp đặc biệt: 3,500,000 - 5,000,000 VND/năm

• Phép năm: Lên đến 20 ngày/năm (tùy theo cấp bậc)

• Y tế: Bảo hiểm xã hội, bảo hiểm cao cấp

• Được cấp laptop, màn hình và các thiết bị/tài khoản/công cụ cần thiết khác cho công việc

Phát triển sự nghiệp

• Đánh giá tăng lương và thăng tiến hàng năm

• Lộ trình sự nghiệp đa dạng: Cơ hội quản lý hoặc chuyên gia và luân chuyển chức năng

• Nguồn học e-learning miễn phí trên các nền tảng Udemy, Coursera, O'relly, workshop nội bộ, tài trợ chứng nhận và Cố vấn độc quyền (C-level)

• Được công nhận và khen thưởng ở cấp độ đội nhóm và tổ chức

• Cơ hội phát triển sự nghiệp rộng mở trong Hệ sinh thái Techcombank & Masterise Group

• Chương trình vay ưu đãi với lãi suất cạnh tranh và chính sách ân hạn gốc phù hợp với từng Sản phẩm vay.

Môi trường làm việc

• Không gian làm việc mở và hợp tác thúc đẩy cả sự tập trung cá nhân và các hoạt động làm việc nhóm

• Môi trường, văn hóa làm việc sáng tạo, hiệu suất cao

• Khu vực thư giãn: chơi game, bóng bàn, yoga, phòng tập thể dục, phòng tắm.

• Teambuilding hàng quý/hàng năm và các sự kiện nội bộ hấp dẫn.