IT Risk & Compliance

MỤC TIÊU VỊ TRÍ: Đảm bảo công ty tuân thủ các tiêu chuẩn quốc tế về bảo vệ dữ liệu cá nhân (Personal Data Protection – PDP). Vận hành và liên tục cải tiến Hệ thống Quản lý Bảo vệ Dữ liệu Cá nhân (PIMS) theo tiêu chuẩn ISO/IEC 27701. Là đầu mối chuyên môn và liên hệ chính thức của công ty về PDP.

A. Tuân thủ và Tư vấn (Compliance & Advisory)

• Tư vấn & đào tạo quy định: Cung cấp tư vấn chuyên môn về nghĩa vụ và các vấn đề bảo vệ dữ liệu cá nhân (data protection) cho các phòng ban (Product, Dev, Sales, HR, Marketing…).

• Giám sát tuân thủ: Giám sát việc tuân thủ các chính sách, quy trình nội bộ, thực hiện audit/đánh giá tuân thủ nội bộ định kỳ theo ISO 27701 và thực hiện các báo cáo liên quan.

• Đánh giá Tác động (DPIA/PIA): Thiết lập phương pháp, thực hiện và giám sát các Đánh giá Tác động Xử lý Dữ liệu (DPIA/PIA) cho sản phẩm, tính năng, dự án mới hoặc khi có thay đổi công nghệ (tích hợp AI, tracking nâng cao…).

• Xử lý yêu cầu của chủ thể dữ liệu: Thiết kế và vận hành quy trình để tiếp nhận, xác thực, phân loại và điều phối xử lý các yêu cầu về quyền của chủ thể dữ liệu (truy cập, chỉnh sửa, xóa, rút lại đồng ý…).

• Xây dựng chính sách: Xây dựng, cập nhật và thống nhất bộ chính sách và quy trình bảo vệ dữ liệu cá nhân (Privacy Policy, Data Handling, Data Retention, BYOD, Remote Work…).

• RoPA: Lập và duy trì Record of Processing Activities (RoPA) cho toàn công ty, ghi nhận mục đích, loại dữ liệu, hệ thống lưu trữ và biện pháp bảo mật.

• Phản ứng sự cố (Data Breach): Xây dựng playbook cho data breach (phát hiện, cô lập, điều tra, khắc phục, thông báo). Điều phối điều tra và phối hợp đánh giá nghĩa vụ thông báo cho cơ quan nhà nước, khách hàng, chủ thể dữ liệu.

• Quản lý Vendor: Tham gia đánh giá Vendor/Sub-processor, kiểm tra checklist privacy & security trước khi hợp tác và rà soát định kỳ.

• Là đầu mối liên hệ chính thức với Cơ quan Chuyên trách Bảo vệ Dữ liệu cá nhân (Bộ Công an) và cơ quan giám sát nước ngoài (Data Protection Authority).

• Lập các báo cáo định kỳ (Quý, năm) cho Ban Lãnh đạo về tình hình tuân thủ, rủi ro chính, sự cố và tiến độ chương trình PIMS/ISO 27701.

D. Đào tạo và Nâng cao Nhận thức

• Thiết kế & triển khai chương trình training bắt buộc cho toàn bộ nhân viên.

• Tổ chức các hoạt động nâng cao nhận thức định kỳ (Privacy Month, newsletter, quiz…).

• Tốt nghiệp ngành CNTT, Cyber Security hoặc ngành luật.

• Kinh nghiệm: Tối thiểu 3–5 năm kinh nghiệm trong lĩnh vực bảo mật thông tin, pháp chế, compliance hoặc quản trị rủi ro tại công ty công nghệ/SaaS.

• Hiểu biết chuyên sâu:

o Nguyên tắc bảo vệ dữ liệu cá nhân.

o Các chuẩn quốc tế quan trọng: GDPR, ISO/IEC 27001, ISO/IEC 27701.

• Chứng chỉ (Ưu tiên): CIPP/E, CIPM, CDPO (ISO 27701), CISM, ISO 27001 LA/LI.

• Khả năng đọc – hiểu hợp đồng, DPA, điều khoản bảo mật bằng tiếng Anh.

• Kỹ năng giao tiếp, thuyết phục và làm việc hiệu quả với các bên (tech và non-tech).

• Tư duy hệ thống, quản lý dự án và quản lý thay đổi (change management).

At SmartOSC, we offer the best to your values:

• Attractive salary package

• Salary review twice a year

• Flexible working hour

• Premium health care

• Working in One of the largest digital transformation agencies – A professional English environment

• Free English, Japanese, and professional training packages

• Firm’s Certified Qualifications Sponsorship for career development

• Annual company trip inside or outside Vietnam

• Other fun activities: happy hour, quarterly team building, football club, yoga club, swimming club, charity activities, etc.

• Free entertainment parties: Birthday party, Anniversary party, Sum-up Party, Year-End Party, etc.