Trưởng Phòng Giám sát An ninh Hệ thống CNTT (SOC Manager)

1. Lãnh đạo & Quản lý Phòng Giám sát an ninh hệ thống CNTT

• Xây dựng, tổ chức và điều hành toàn bộ hoạt động của Phòng Giám sát An ninh Hệ thống CNTT (SOC), bao gồm Tier 1 / Tier 2 / Tier 3 Analyst và đội Vận hành Bảo mật.
• Lập kế hoạch nguồn lực, phân công công việc, đánh giá hiệu suất và phát triển năng lực cho từng thành viên trong phòng.
• Xây dựng và duy trì lịch trực 24/7 (on-call), đảm bảo không có khoảng trống trong công tác giám sát ATTT.
• Phối hợp chặt chẽ với các phòng ban liên quan (Vận hành CNTT, Phát triển Ứng dụng, Kiểm soát Rủi ro, Pháp chế, Kiểm toán Nội bộ) trong xử lý sự cố và tuân thủ quy định.
• Báo cáo định kỳ (tuần/tháng/quý) tình hình ATTT, các chỉ số SOC (KPI/SLA), xu hướng mối đe dọa lên Ban Lãnh đạo Trung tâm và lãnh đạo Ngân hàng.

2. Giám sát & Phát hiện Mối đe dọa

• Chủ trì xây dựng và phê duyệt bộ Use Cases, Correlation Rules, SIEM Playbooks trên hệ thống SIEM/SOAR để phát hiện các cuộc tấn công APT, ransomware, insider threat và các mối đe dọa mới nổi.
• Chịu trách nhiệm đảm bảo hệ thống giám sát bao quát đầy đủ log từ toàn bộ hạ tầng: máy chủ Windows/Linux, thiết bị mạng, WAF, IPS, EDR, Cloud AWS (CloudTrail, GuardDuty, Security Hub, VPC Flow Logs).
• Triển khai và duy trì chương trình Threat Hunting chủ động, định kỳ rà soát hạ tầng tìm kiếm các dấu hiệu xâm phạm (IoC/TTP) dựa trên MITRE ATT&CK Framework.
• Tích hợp và vận hành Threat Intelligence Platform, cập nhật thường xuyên các IoC, TTP từ các nguồn tin tình báo mối đe dọa trong và ngoài nước.
• Định kỳ review, tối ưu hóa các alert rules để giảm thiểu false positive, nâng cao chất lượng cảnh báo.

3. Ứng phó & Xử lý Sự cố (IR)

• Chỉ đạo và điều phối toàn bộ quy trình ứng phó sự cố ATTT (Incident Response) từ phát hiện, phân tích, cô lập, khắc phục đến bài học kinh nghiệm (Lessons Learned).
• Trực tiếp tham gia xử lý các sự cố nghiêm trọng (P1/P2), phân tích Forensics, điều tra nguyên nhân gốc rễ (Root Cause Analysis – RCA).
• Xây dựng và cập nhật định kỳ bộ Playbook ứng phó sự cố cho từng loại tấn công; tổ chức diễn tập Tabletop Exercise ít nhất 2 lần/năm.
• Phối hợp với cơ quan quản lý nhà nước (NHNN, NCSC, VNCERT) trong báo cáo và xử lý các sự cố ATTT theo quy định pháp luật.

4. Vận hành Hệ thống Bảo mật

• Quản lý, giám sát vận hành toàn bộ các hệ thống bảo mật On-premises và Cloud AWS, bao gồm:
  • Tường lửa ứng dụng (WAF) – On-premises & Cloud AWS WAF
  • Hệ thống ngăn chặn xâm nhập (IPS/IDS)
  • Endpoint Security: Antivirus, EDR, APT/ATD
  • Chống thất thoát dữ liệu (DLP)
  • SIEM / SOAR / Log Management
  • Cloud Security: AWS GuardDuty, Security Hub, CloudTrail, IAM Security
• Phê duyệt các thay đổi rule, policy trọng yếu trên hệ thống bảo mật; đảm bảo cân bằng giữa bảo mật và không ảnh hưởng hoạt động kinh doanh.
• Đảm bảo các hệ thống bảo mật được cập nhật signature, patch đúng lịch và hoạt động ổn định 24/7.

5. Nghiên cứu & Phát triển Năng lực

• Nghiên cứu, đề xuất và triển khai các giải pháp công nghệ bảo mật mới, nâng cấp năng lực phát hiện và ứng phó sự cố.
• Xây dựng chương trình đào tạo nâng cao kỹ năng cho đội ngũ SOC Analyst; tổ chức các buổi chia sẻ kỹ thuật, Capture the Flag (CTF) nội bộ.
• Cập nhật thường xuyên xu hướng mối đe dọa, kỹ thuật tấn công mới để điều chỉnh chiến lược phòng thủ kịp thời.
  

1. Trình độ học vấn:

• Tốt nghiệp Đại học trở lên các chuyên ngành: An toàn Thông tin, Công nghệ Thông tin, Mật mã học, Điện tử Viễn thông hoặc các ngành liên quan.
• Ưu tiên ứng viên tốt nghiệp: Học viện Mật mã, Đại học Bách Khoa Hà Nội, Học viện Kỹ thuật Mật mã, Đại học Công nghệ (ĐHQG Hà Nội).

2. Kinh nghiệm làm việc:

• Tối thiểu 05 năm kinh nghiệm trong lĩnh vực An toàn Thông tin / Bảo mật Hệ thống.
• Tối thiểu 02 năm kinh nghiệm ở vị trí quản lý / lãnh đạo nhóm trong SOC hoặc bộ phận bảo mật tương đương.
• Có kinh nghiệm thực tế điều phối ứng phó các sự cố ATTT nghiêm trọng (ransomware, APT, data breach) tại môi trường ngân hàng hoặc tổ chức tài chính là lợi thế lớn.
• Có kinh nghiệm triển khai/vận hành bảo mật trên Cloud AWS (IAM, GuardDuty, Security Hub, CloudTrail, WAF).

3. Kiến thức chuyên môn:

• Am hiểu sâu về các kỹ thuật tấn công mạng hiện đại, MITRE ATT&CK Framework, Cyber Kill Chain.
• Kinh nghiệm quản trị và tối ưu hóa hệ thống SIEM (IBM QRadar, Splunk, Microsoft Sentinel hoặc tương đương), SOAR.
• Nắm vững kiến trúc mạng doanh nghiệp, hệ thống máy chủ (Windows/Linux), cơ sở dữ liệu, Middleware và luồng dữ liệu ngân hàng.
• Hiểu biết về các tiêu chuẩn và quy định: ISO 27001, NIST CSF, PCI DSS, SWIFT-CSP, Thông tư 09/2020/TT-NHNN.
• Kiến thức về Cloud Security Architecture (AWS Well-Architected Security Pillar).

4. Kỹ năng cần có: 

• Kỹ năng lãnh đạo, xây dựng và phát triển đội nhóm; tạo động lực và dẫn dắt nhân sự kỹ thuật.
• Kỹ năng phân tích, tư duy phản biện và ra quyết định nhanh trong tình huống có áp lực cao.
• Kỹ năng quản lý dự án, lập kế hoạch và theo dõi tiến độ triển khai các sáng kiến bảo mật.
• Kỹ năng giao tiếp, trình bày và viết báo cáo chuyên nghiệp cho cả đối tượng kỹ thuật và lãnh đạo.
• Tiếng Anh chuyên ngành tốt (đọc hiểu tài liệu kỹ thuật, báo cáo threat intelligence quốc tế).
• Khả năng chịu áp lực và sẵn sàng ứng phó sự cố ngoài giờ hành chính khi cần thiết