Chuyên Viên Cao Cấp An Ninh Thông Tin- Đảm Bảo An Ninh (Information Security - Assurance)

- Chịu trách nhiệm xây dựng chính sách, quy trình an ninh, đánh giá an ninh hệ thống nhằm đảm bảo duy trì hoạt động kinh doanh liên tục của công ty.

- Quản lý và xây dựng hoạt động kiểm soát truy cập nhằm kiểm soát truy cập vào các hệ thống dữ liệu đặc biệt là hệ thống và dữ liệu quan trọng

- Thực hiện đánh giá và tư vấn An Ninh Thông Tin nhằm đảm bảo thiết kế bảo mật của hệ thống, ứng dụng

- Quản lý lỗ hổng và kiểm thử xâm nhập nhằm mục đích nhận diện và loại bỏ các lỗ hổng hệ thống, ứng dụng

- Nghiên cứu Giải pháp và Thiết kế An Ninh Thông Tin nhằm đảm xây dựng hệ thống ANTT theo tiêu chuẩn

1. Quản trị chung:

- Xây dựng và bảo vệ kế hoạch năm với phòng

- Tham gia Xây dựng và cập nhật liên tục chiến lược Đảm Bảo An Ninh Thông Tin

- Xây dựng và bảo vệ KPI cá nhân hàng năm

- Tham gia xây dựng và bảo vệ KPI cho nhóm Đảm Bảo An Ninh Thông Tin

- Hỗ Trợ Trưởng Phòng lên ngân sách hoạt động hàng năm

- Đề xuất và tham gia đào tạo

- Không ngừng tìm kiếm và khẩn trương thực hiện các cơ hội cải tiến chất lượng dịch vụ khách hàng

- Triển khai các giải pháp nâng cao tính “khách hàng là trọng tâm” và cải thiện trải nghiệm của khách hàng.

2. Đảm Bảo An Ninh Thông Tin - Security Assurance

Đảm Bảo An Ninh Thông Tin - Security Assurance:

- Kiểm soát truy cập - Access Control

- Xây dựng khung kiểm soát truy cập và nhận dạng

- Quản lý chương trình quản trị định danh

- Quảy lý và kiểm soát quyền truy cập của người dung

- Xây dựng ma trận phân quyền

Đánh giá và tư vấn An Ninh Thông Tin - Security assessment & Consultant

- Tham gia các dự án, phát triển, triển khai công nghệ để đảm bảo An ninh thông tin cho các hệ thống sẽ được xây dựng, bao gồm các công đoạn: phân tích, xây dựng yêu cầu An ninh thông tin, thiết kế An ninh thông tin, threat modeling, rà soát mã nguồn, kiểm thử và xây dựng các biện pháp kiểm soát đảm bảo An ninh thông tin.

Quản lý lỗ hổng và kiểm thử xâm nhập - Vulnerabilities management & pen test

- Thực hiện chiến lược đảm bảo An ninh thông tin:

- Tham gia thực hiện chiến lược An ninh thông tin thông qua việc cung cấp các số liệu đầu vào về xu hướng tấn công, các dạng thức khai thác và rủi ro phát sinh trong từng giai đoạn.

- Tham gia thực hiện kế hoạch triển khai đảm bảo An ninh thông tin hàng năm, đáp ứng nhu cầu kinh doanh và vận hành của SSI thông qua việc thực hiện các chương trình kiểm thử An ninh thông tin cho hoạt động công nghệ của SSI.

- Xây dựng phương pháp kiểm tra thâm nhập, kịch bản quét bảo mật thông tin và kiểm tra bảo mật theo tiêu chuẩn quốc tế như OSSTMM, Sans và OWASP.

- Phát triển các kỹ thuật mới, các kịch bản và chương trình khai thác để tự động kiểm tra thâm nhập

Thực hiện hoạt động tấn công kiểm thử:

- Trực tiếp thực hiện rà soát phát hiện các điểm yếu, đánh giá khả năng khai thác điểm yếu và tiến hành kiểm tra thâm nhập / khai thác định kỳ hoặc theo yêu cầu cho tất cả các hệ thống / ứng dụng; thử nghiệm thâm nhập cho hệ thống / ứng dụng sau khi phát hiện trực tiếp hoặc bất cứ khi nào trải qua một thay đổi lớn. Các phương pháp kiểm thử phải đảm bảo tính thực tế bao gồm cả kĩ thuật (công nghệ) và phi kĩ thuật (con người, quy trình, tài sản vật lý).

- Thực hiện quét lỗ hổng thường xuyên, kiểm tra bảo mật thông tin để tìm ra lỗ hổng trong hệ thống và cung cấp giải pháp khắc phục / khắc phục

- Thực hiện phát triển và quản lý chương trình quản lý lỗ hổng, cơ sở dữ liệu tình báo mối đe dọa. Thu thập, theo dõi các số liệu và phân tích xu hướng về phòng thủ không gian mạng, mối đe dọa, các cuộc tấn công được phát hiện, các lỗ hổng và các biện pháp xử lý/ngăn chặn.

- Chủ động nghiên cứu / tìm ra lỗ hổng mới, kỹ thuật khai thác và các mối đe dọa trên mạng; xác định xu hướng trong bảo mật mạng liên quan đến chiến thuật, kỹ thuật và quy trình, nhắm mục tiêu để phát triển và triển khai phần mềm độc hại.

- Trực tiếp tham gia vào kế hoạch thực nghiệm phản ứng với sự cố An ninh thông tin với tư cách là đơn vị tấn công

Giải pháp và Thiết kế An Ninh Thông Tin - Security solution & Design

- Nghiên cứu, xây dựng các giải pháp An ninh thông tin cần thiết để ngăn chặn các cuộc tấn công, sự cố An ninh thông tin, đảm bảo an ninh, an toàn cho toàn bộ hệ thống thông tin.

- Xây dựng các yêu cầu, biện pháp nhằm kiểm soát truy cập và bảo vệ dữ liệu

- Xây dựng, duy trì, tối ưu chính sách/tập luật/cấu hình An ninh thông tin cho các giải pháp đảm bảo An ninh thông tin như: Các giải pháp An ninh thông tin về quản lý định danh truy cập (PAM, IAM…); Các giải pháp An ninh thông tin về mạng lưới (Firewall, NAC, APT, NetIPS, DDOS…); Các giải pháp An ninh thông tin về thiết bị đầu cuối (AD GPO, HIPS/HFW, Appcontrol, Web/mail filtering, DB security…); Các giải pháp An ninh thông tin về dữ liệu (DLP, FAM…)

3. Rủi Ro Công Nghệ và Kểm Soát Tuân Thủ - Technology Risk and Compliant

Chính sách - Policy

- Tham gia xây dụng chính sách, tiêu chuẩn,hướng dẫn an ninh thông tin

Quản trị rủi ro - Risk Management​

- Tham gia xây dụng chính sách, tiêu chuẩn,hướng dẫn an ninh thông tin

- Tham gia xây dựng các chính sách cần thiết nhằm đảm bảo quản trị rủi ro hiệu quả.

- Chịu trách nhiệm phát hiện rủi ro có thể gây ảnh hưởng đến việc thực hiện mục tiêu & tính liên tục của hoạt động kinh doanh. Thực hiện các hành động phù hợp & kịp thời để giảm thiểu rủi ro

- Thông báo các rủi ro ngăn việc đạt được các mục tiêu công việc và thực hiện các hành động phù hợp để hạn chế các rủi ro này

Tuân Thủ - Compliant

- Thực hiện và duy trì tuân thủ các chính sách của SSI, thông tư, quy định của Ủy ban Chứng Khoán, Bộ Tài Chính

- Thiết lập và giám sát việc thực hiện quy trình, quy định, tiêu chuẩn, hướng dẫn, chính sách An ninh thông tin của SSI theo quy định của chính phủ và các tổ chức quốc tế

- Phối hợp với các đơn vị Đánh giá Tuân thủ, Quán lý rủi ro để đánh giá mức độ tuân thủ của hệ thống công nghệ theo các chính sách, quy định, tiêu chuẩn, quy trình, danh sách kiểm tra.

- Có kinh nghiệm làm An ninh thông tin từ 3 năm trở lên

- Có tối thiểu 1 năm kinh nghiệm ở vị trí tương đương

- Có kinh nghiệm về nền tảng công nghệ & các yêu cầu an ninh công nghệ liên quan.

- Có kinh nghiệm về các giải pháp và công nghệ ANTT

- Có kinh nghiệm về đánh giá điểm yếu và khắc phục điểm yếu

- Hiểu biết về OWASP

- Hiểu biết về các phương thức tấn công mạng và các phòng

- Kỹ năng phân tích đánh giá và giải quyết vấn đề