Security Architect Expert

Tóm tắt vai trò

Bạn sẽ là người thiết kế và dẫn dắt kiến trúc bảo mật tổng thể cho các hệ thống và sáng kiến chuyển đổi, đảm bảo các giải pháp không chỉ đáp ứng nhu cầu kinh doanh mà còn an toàn, tuân thủ và bền vững theo thời gian.

Bạn đóng vai trò cầu nối giữa Business – IT – Security, đưa security trở thành một phần cốt lõi ngay từ giai đoạn thiết kế (security by design).

Trách nhiệm chính

1 - Xây dựng & định hình kiến trúc bảo mật

• Thiết kế Security Architecture (current – target – roadmap) cho từng hệ thống/dự án
• Định nghĩa các yêu cầu bảo mật (functional & non-functional):
• 👉 Authentication, Authorization, Data Protection, Resilience, Compliance
• Đảm bảo kiến trúc tuân thủ các tiêu chuẩn: ISO 27001, NIST, OWASP…

2 - Tư vấn & tích hợp bảo mật vào vòng đời phát triển

• Làm việc chặt chẽ với Dev, DevOps, Solution Architect để tích hợp security vào SDLC (DevSecOps)
• Hướng dẫn thực hiện:
• Secure coding practices
• CI/CD security (SAST, DAST, dependency scanning)
• API & microservices security
• Đảm bảo các giải pháp được thiết kế theo nguyên tắc Zero Trust & Least Privilege

3 - Đánh giá rủi ro & quản lý tuân thủ

• Thực hiện Threat Modeling & Risk Assessment
• Đánh giá lỗ hổng và đề xuất giải pháp giảm thiểu
• Đảm bảo tuân thủ quy định nội bộ và pháp lý (đặc biệt trong lĩnh vực tài chính/ngân hàng)

4 - Bảo mật hệ thống & hạ tầng

• Thiết kế bảo mật cho:
• Cloud (AWS/Azure/GCP)
• On-premise & hybrid architecture
• Xây dựng giải pháp:
• Identity & Access Management (IAM)
• Data encryption & key management
• Network security & API gateway
• Định nghĩa chiến lược incident response & resilience

5 - Quản trị kiến trúc & tiêu chuẩn

• Xác định và quản lý các security architecture decisions
• Xây dựng framework, guideline, best practices về bảo mật
• Tham gia đánh giá giải pháp của vendor/third-party

6 - Phối hợp & dẫn dắt

• Làm việc với:
• IT leadership, Security team
• Product Owner, Engineering teams
• Enterprise / Solution / Data Architects
• Đào tạo & nâng cao nhận thức bảo mật trong tổ chức

Yêu cầu công việc

1 - Kinh nghiệm

• 10+ năm trong lĩnh vực CNTT / phát triển phần mềm / kiến trúc hệ thống
• 5+ năm kinh nghiệm chuyên sâu về Security Architecture / Cyber Security
• Kinh nghiệm triển khai bảo mật cho hệ thống doanh nghiệp quy mô lớn
• Ưu tiên:
• Ngành tài chính – ngân hàng
• Dự án digital transformation / cloud migration

2 - Chuyên môn & kỹ năng kỹ thuật

Kiến thức bảo mật

• Nắm vững:
• OWASP Top 10 / Secure Coding
• IAM, PAM
• Encryption, PKI, Key Management
• Network security (WAF, firewall, Zero Trust)
• Hiểu sâu các framework:
• ISO 27001 / NIST / CIS Benchmark

Kiến trúc & công nghệ

• Thành thạo:
• Cloud Security (AWS/Azure/GCP)
• Microservices, API Security
• DevSecOps & CI/CD pipeline
• Có khả năng:
• Xây dựng POC/POT
• Làm việc với Java/SpringBoot, container (Docker/K8s), Kafka là lợi thế

3 - Kỹ năng cốt lõi

• Tư duy risk-based & system thinking
• Khả năng phân tích và giải quyết vấn đề phức tạp
• Giao tiếp & ảnh hưởng stakeholder tốt (business & technical)
• Khả năng đưa security vào thực tiễn, không chỉ trên lý thuyết

4 - Chứng chỉ (ưu tiên)

• CISSP / CISM / CISA
• CCSP (Cloud Security)
• TOGAF (lợi thế)
• Security+ hoặc các chứng chỉ tương đương

5 - Ngôn ngữ

• Tiếng Anh tốt, có khả năng đọc hiểu:
• Tài liệu kỹ thuật
• tiêu chuẩn bảo mật quốc tế
• advisory & threat intelligence