Chuyên viên Đánh giá an ninh thông tin (Pentest Engineer)

Quản lý Lỗ hổng (Vulnerability Management): Vận hành công tác dò tìm lỗ hổng (VA) hàng ngày. Phân tích report, phân loại mức độ rủi ro, cập nhật lỗ hổng trên hệ thống nội bộ và lên phương án đốc thúc các team liên quan xử lý triệt để.
Gia cố Hệ thống (Hardening): Rà soát cấu hình an ninh, thực hiện đánh giá Hardening cho hàng loạt hệ thống máy chủ (Windows Server, Linux), cơ sở dữ liệu (SQL), thiết bị mạng, lưu trữ và các giải pháp quản lý đặc quyền (PAM).
Đánh giá rủi ro cấp cao: Đề xuất, thử nghiệm các giải pháp công nghệ bảo mật mới và tư vấn phương án giảm thiểu rủi ro cho Ban Giám đốc.
Ban hành Tiêu chuẩn: Chủ động nghiên cứu, chuẩn hóa và định kỳ nâng cấp các Quy định/Quy trình đánh giá bảo mật, áp dụng các tiêu chuẩn quốc tế (OWASP, NIST) vào thực tiễn ngân hàng.
Hỗ trợ Tuân thủ: Cung cấp các bằng chứng kỹ thuật (Technical evidences), log rà quét lỗ hổng để hỗ trợ tổ chức duy trì chứng chỉ PCI DSS và SWIFT- CSP.
Đào tạo & Nhận thức (Security Awareness): Thiết kế tài liệu, lên kịch bản và trực tiếp điều phối các chiến dịch đào tạo, giả lập tấn công (Phishing mô phỏng) nhằm nâng cao nhận thức an ninh cho người dùng nội bộ.
Cùng tham gia Thiết kế Kiến trúc (Security Architecture): Phối hợp chặt chẽ với các trung tâm Phát triển, Kiến trúc và Vận hành để xây dựng, thẩm định kiến trúc bảo mật cho các dự án CNTT mới, đảm bảo an toàn xuyên suốt vòng đời phát triển phần mềm (SDLC/DevSecOps).
Kiểm thử Xâm nhập (Penetration Testing): Trực tiếp thực hiện kiểm thử xâm nhập (Blackbox/Graybox) định kỳ và theo các đợt phát hành dự án cho đa nền tảng: Web App, Mobile App (iOS/Android), API, và Winform.

Trình độ & Kinh nghiệm:
Đại học/Sau Đại học chuyên ngành ATTT, CNTT, Mật mã học hoặc các khối ngành liên quan.
Tối thiểu 1 năm kinh nghiệm kiểm thử xâm nhập ứng dụng Web, API, hệ thống máy chủ và thiết bị mạng.
Tối thiểu 1 năm kinh nghiệm kiểm thử xâm nhập chuyên sâu ứng dụng Mobile (iOS/Android).
(Nâng cao nếu có) Có kiến thức/kinh nghiệm thực tế về thiết kế kiến trúc hệ thống CNTT đảm bảo an toàn bảo mật.
Kiến thức chuyên môn
Có nền tảng tốt về tư duy lập trình (hiểu mã nguồn PHP, Python, Java, JavaScript...) để có thể review và tư vấn luồng logic an toàn cho Developer.
(Nâng cao nếu có) Am hiểu bộ tiêu chuẩn PCI DSS, SWIFT- CSP và OWASP.
Thành thạo ít nhất 1 ngôn ngữ lập trình/scripting (Python, Bash, C/C++) để hỗ trợ công tác tự động hóa rà quét.
Hiểu rõ cơ chế hoạt động của hệ thống mạng, bảo mật, máy chủ (Windows/Linux) và cơ sở dữ liệu.
Am hiểu sâu về các kỹ thuật tấn công mạng (Hacking), OWASP Top 10 và phương pháp rà quét điểm yếu.
(Nâng cao nếu có) Nắm vững kiến trúc mạng, hệ thống máy chủ, Middleware và luồng dữ liệu hệ thống Ngân hàng.
Kỹ năng:
Tỉ mỉ, kỷ luật cao, không bỏ sót các rủi ro tiềm ẩn (Low/Medium) khi phân tích hàng nghìn dòng cảnh báo.
Kỹ năng giao tiếp, đàm phán và trình bày văn bản chuẩn mực để làm việc liên phòng ban.
Sử dụng điêu luyện các công cụ thu thập thông tin, rà quét và khai thác (Nmap, Burp Suite, Nessus, Metasploit...).
Kỹ năng quản trị rủi ro, phân tích và tổng hợp thông tin.
Điểm cộng Ưu tiên (Nice- to- have)
Có thành tích phát hiện và được cấp mã CVE mức trung bình trở lên.
Sở hữu các chứng chỉ chuyên môn thực chiến: CEH, LPT, GPEN, OSCP hoặc các chứng chỉ tương đương.

Chế độ bảo hiểm, Du Lịch, Phụ cấp, Đồng phục, Chế độ thưởng, Chăm sóc sức khỏe, Đào tạo, Công tác phí, Nghỉ phép năm

Cập nhật gần nhất lúc: 2026-03-21 06:30:03