A. Đánh giá và kiểm soát tuân thủ

• Đánh giá định kỳ mức độ tuân thủ của hệ thống theo các chuẩn:

- GDPR, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân

- ISO/IEC 27001:2022, NIST Cybersecurity Framework (CSF)

- Tuỳ theo công ty: SOC 2, PCI DSS, CIS Controls)

• Xây dựng bộ tiêu chí tự đánh giá (checklist, audit template) cho từng framework.

• Theo dõi việc khắc phục (remediation) các điểm không tuân thủ.

 

B. Xây dựng và duy trì chính sách

• Soạn và cập nhật các chính sách bảo mật, quản lý dữ liệu, xử lý vi phạm.

• Hướng dẫn các bộ phận (Dev, Ops, HR, Marketing) áp dụng chính sách vào thực tế.

• Tham gia vào quy trình Security by Design trong phát triển sản phẩm.

 

C. Quản lý rủi ro và sự cố

• Xác định và đánh giá rủi ro bảo mật và quyền riêng tư.

• Hỗ trợ đội ngũ kỹ thuật trong ứng phó sự cố dữ liệu (incident response).

• Phối hợp với bộ phận pháp lý khi có yêu cầu từ cơ quan quản lý.

 

D. Đào tạo và nhận thức

• Tổ chức training nội bộ về bảo mật, quyền riêng tư, và xử lý dữ liệu.

• Tư vấn cho đội sản phẩm và kỹ thuật về privacy impact assessment (PIA/DPIA).

1. Kỹ năng & Kiến thức chuyên môn 

• Hiểu sâu về: 

- Quy định GDPR, Nghị định 13/2023/NĐ-CP, ISO 27001, NIST CSF. 

- Kiến thức nền về risk management, incident response, data lifecycle. 

• Có khả năng: 

- Thực hiện internal audit / compliance assessment. 

- Viết policy / SOP / report / checklist rõ ràng, có tính hệ thống. 

 

2. Kỹ năng mềm 

• Tư duy logic, cẩn trọng, phân tích tốt. 

• Kỹ năng giao tiếp và đào tạo nội bộ. 

• Có tinh thần “guardian mindset” – bảo vệ người dùng và hệ thống.