Học phần

An toàn thông tin kế toán

(Accounting Information Security – AISe)

Chương 3: Kế hoạch an toàn thông tin

TS. Phan Thị Bảo Quyên

Updated to 10 March 2021 1

Mục tiêu chương

Sau khi kết thúc chương, SV có thể:
• Xác định vai trò của ban quản lý trong việc phát triển, duy
trì và tuân thủ các chính sách, tiêu chuẩn, thực tiễn, thủ tục
và những hướng dẫn về an toàn thông tin
• Định nghĩa bảng kế hoạch chi tiết về an toàn thông tin, xác
định các thành phần chính, và giải thích cách nó hỗ trợ cho
chương trình an toàn thông tin
• Thảo luận về cách một tổ chức thể chế hóa các chính sách,
tiêu chuẩn và thực tiễn triển khai an toàn của tổ chức đó
• Mô tả các chương trình giáo dục, huấn luyện và nhận thức
về an toàn
• Giải thích khái niệm kế hoạch dự phòng, và cách thức lập
kế hoạch ứng phó sự cố, lập kế hoạch phục hồi sau thảm
họa và kế hoạch đảm bảo hoạt động liên tục

Nội dung

1. Lập kế hoạch và quản trị an toàn thông tin

2. Chính sách, tiêu chuẩn và thực tiễn triển khai an
toàn thông tin
3. Bảng kế hoạch chi tiết về an toàn thông tin
4. Chương trình giáo dục, huấn luyện và nhận thức
về an toàn
5. Các chiến lược đảm bảo hoạt động liên tục (bỏ)

1
3
 Thuật ngữ
Business continuity (BC) Đảm bảo hoạt động liên tục
Business continuity planning (BCP) Lập kế đảm bảo hoạt động liên tục
Business impact analysis (BIA) Phân tích tác động kinh doanh
CISO Giám đốc an toàn thông tin
Contingency Planning (CP) Kế hoạch dự phòng
Continuity Strategies Các chiến lược đảm bảo hoạt động liên
tục
Crisis Management Quản lý khủng hoảng
Disaster recovery (DR) Phục hồi sau thảm họa
Disaster recovery planning (DRP) Lập kế hoạch phục hồi sau thảm họa
Electronic security perimeter Vành đai an toàn điện tử
Enterprise information security Chính sách an toàn thông tin doanh
policies (EISP) nghiệp
Incident response (IR) Ứng phó sự cố

Thuật ngữ
Incident response planning (IRP) Lập kế hoạch ứng phó sự cố
Incident Response Policy Chính sách ứng phó sự cố
Information Security Governance Quản trị an toàn thông tin
Issue-specific security policies Chính sách an toàn đặc thù
(ISSP)
Maximum tolerable downtime Thời gian chết tối đa có thể chấp nhận
(MTD) được
Operational plans Kế hoạch hoạt động
Strategic planning Lập kế hoạch chiến lược
Physical security perimeter Vành đai an toàn vật lý
Recovery point objective (RPO) Mốc phục hồi dữ liệu
Recovery time objective (RTO) Mốc thời gian phục hồi
SETA Chương trình giáo dục, huấn luyện và nâng
cao nhận thức về an toàn
Strategic plans Kế hoạch chiến lược

Thuật ngữ

Tactical objectives Mục tiêu chiến thuật

Tactical plans Kế hoạch chiến thuật
The Information Security Bảng kế hoạch chi tiết về an toàn thông tin
Blueprint
Work recovery time Thời gian phục hồi công việc
(WRT)

2
6
 Nội dung

1. Lập kế hoạch và quản trị an toàn thông tin

2. Chính sách, tiêu chuẩn và thực tiễn triển khai an
toàn thông tin
3. Bảng kế hoạch chi tiết về an toàn thông tin
4. Chương trình giáo dục, huấn luyện và nhận thức
về an toàn
5. Các chiến lược đảm bảo hoạt động liên tục

1. Lập kế hoạch và quản trị an toàn thông tin

1.1 Các cấp độ kế hoạch

1.2 Lập kế hoạch và giám đốc an toàn thông tin
(CISO)
1.3 Quản trị an toàn thông tin

1. Lập kế hoạch và quản trị an toàn thông tin

Giới thiệu
Từ chiến lược tổng quát (general strategy), đơn vị
tiến hành lập kế hoạch chiến lược (strategic
planning): đề ra phương hướng dài hạn mà đơn vị và
từng bộ phận cần thực hiện, tập trung nguồn lực
hướng đến các mục tiêu (goals)

plan: sp hoàn chỉnh rồi

planning: quá trình để có được sp hoàn chỉnh.

3
9
 1.1 Các cấp độ kế hoạch
 Nhóm điều hành (CEO, COO, CFO, CIO, …) triển khai kế hoạch
chiến lược (strategic plans) cho mỗi cấp của mỗi bộ phận
chức năng thành các mục tiêu chiến thuật (tactical
objectives) có các thuộc tính:
phải đo lường được
 Có mục tiêu cụ thể
 Có thể đạt được
 Có giới hạn thời hạn
 Có thể đo lường được
Tạo ra các kế hoạch chiến thuật (tactical plans)
 Các kế hoạch chiến thuật tiếp tục được sử dụng để phát triển
thành các kế hoạch hoạt động (operational plans) theo phương
thức quy định trách nhiệm cho từng cá nhân phụ trách

10

1.1 Các cấp độ kế hoạch

 Kế hoạch chiến thuật (tactical planning) tập trung vào các
chủ trương ngắn hạn sẽ hoàn thành trong vòng 1 hoặc 2
năm; bao gồm kế hoạch dự án và tài liệu lập kế hoạch mua
sắm nguồn lực; cần được lập ngân sách, phân bổ nguồn lực
và nhân sự khi tiến hành. Quá trình lập kế hoạch chiến thuật
chia nhỏ mỗi mục tiêu chiến lược thành các mục tiêu liên
tục (incremental objectives). Mỗi mục tiêu này phải cụ thể,
có thời hạn trong vòng một năm kể từ ngày bắt đầu kế
hoạch. Giám đốc an toàn thông tin (CISO) và các nhà quản
lý an toàn sử dụng kế hoạch chiến thuật để tổ chức, sắp xếp
thứ tự ưu tiên và thu thập các nguồn lực cần thiết hỗ trợ
cho việc lập kế hoạch chiến lược (strategic plans)

11

1.1 Các cấp độ kế hoạch

Bắt nguồn từ kế hoạch chiến thuật, kế hoạch hoạt động
(operational planning) được tạo ra cho các nhà quản lý
và nhân viên sử dụng để đơn vị thực hiện nhiệm vụ tác
nghiệp hàng ngày. Một kế hoạch hoạt động bao gồm các
nhiệm vụ cần thiết cho tất cả các bộ phận liên quan cũng
như các yêu cầu liên lạc và báo cáo, các cuộc họp hàng
tuần, báo cáo tiến độ và các nhiệm vụ liên quan khác.
Thông tin liên lạc và phản hồi thường xuyên từ các nhóm
tới các nhà quản lý dự án, trưởng nhóm, các cấp quản lý
khác, … sẽ giúp quá trình lập kế hoạch quản lý dễ dàng
hơn và thành công hơn

4
12
 1.2 Lập kế hoạch và giám đốc an toàn thông tin
(CISO)
 Ưu tiên đầu tiên của CISO và nhóm quản lý an toàn thông tin là
việc tạo ra một kế hoạch chiến lược (strategic plan) để hoàn
thành các mục tiêu an toàn thông tin của tổ chức.
 Các kế hoạch chiến lược được hình thành ở các cấp cao nhất của
tổ chức được sử dụng để tạo ra một chiến lược tổng thể của
công ty (overall corporate strategy). Khi các cấp thấp hơn tham
gia, các kế hoạch từ các cấp cao hơn được phát triển thành kế
hoạch chi tiết hơn, cụ thể hơn. Kế hoạch chiến lược theo chức
năng (chẳng hạn như chiến lược tài chính, CNTT và hoạt động)
được chuyển thành kế hoạch chiến thuật (tactical planning) cho
các nhà quản lý giám sát và cuối cùng cung cấp định hướng cho
các kế hoạch hoạt động (operational plans) do các nhân viên cấp
tác nghiệp thực hiện

13

1.2 Lập kế hoạch và giám đốc an toàn thông tin

(CISO)
 Phương pháp tiếp cận nhiều lớp này bao gồm hai nội dung
chính: chiến lược tổng quát (general strategy) và lập kế
hoạch chiến lược (strategic planning). Chiến lược tổng quát
được chuyển thành chiến lược cụ thể; lập kế hoạch chiến
lược được chuyển thành kế hoạch chiến thuật và kế hoạch
hoạt động (tactical and operational planning) cấp thấp hơn
 Cần phân biệt vai trò của bộ phận CNTT với bộ phận an
toàn thông tin
Vai trò của bộ phận CNTT là cung câ thông tin và tài nguyên thông
tin một cách hữu hiệu và hiệu quả, vai trò của bộ phận an toàn thông
tin là bảo vệ tất cả các tài sản thông tin (information assets)

14

1.3 Quản trị an toàn thông tin (Information

Security Governance)
 Quản trị bao gồm toàn bộ chức năng kiểm soát hoặc
quản lý các quá trình được sử dụng bởi một nhóm người
để hoàn thành một số mục tiêu, thể hiện chức năng kiểm
soát chiến lược của ban lãnh đạo cấp cao, được thiết kế
để đảm bảo đưa ra các quyết định chiến lược thận trọng
và có hiểu biết vì lợi ích tốt nhất của tổ chức
 Các yếu tố hỗ trợ quản trị doanh nghiệp: các văn bản
hướng dẫn - điều lệ công ty; các quy trình lập kế hoạch,
điều hành và bổ nhiệm nhân sự; các thủ tục, quy trình, ủy
ban và thực hành kiểm soát

5
15
 1.3 Quản trị an toàn thông tin (Information
Security Governance)
 Quản trị an toàn thông tin áp dụng nguyên tắc: ban lãnh đạo
của nhóm an toàn thông tin giám sát và quản lý tất cả các cơ
cấu tổ chức và quy trình nhằm đảm bảo cho chức năng an
toàn thông tin
 Theo Viện Quản trị Công nghệ Thông tin (ITGI), quản trị an
toàn thông tin bao gồm tất cả các trách nhiệm giải trình và
các phương pháp do hội đồng quản trị và ban quản lý điều
hành đảm nhận để cung cấp:
 Định hướng chiến lược
 Thiết lập các mục tiêu
 Đo lường sự tiến bộ đối với các mục tiêu đó
 Xác minh rằng các thực hành quản lý rủi ro là phù hợp
 Xác nhận rằng tài sản của tổ chức được sử dụng đúng cách VD: máy tính của DN phục vụ cho hđ của DN, chứ ko phải để NV vô chơi game, lướt fb
--> DN có thể cài các cái tool để kiểm soát, hoặc dùng cookie để ghi nhớ các trang web đăng
nhập, hoặc quản trị viên cài đặt hệ thống khi NV đăng nhập vào fb.. thì bị vô hiệu.
16

1.3 Quản trị an toàn thông tin (Information

Security Governance)
những trách nhiệm ai là người chịu trách nhiệm

17

1.3 Quản trị an toàn thông tin (Information

Security Governance)
 Mục tiêu
 Liên kết chiến lược của an toàn thông tin với chiến lược
kinh doanh để hỗ trợ các mục tiêu của tổ chức VD: mục tiêu về KD. ko bảo mật được các thiết kế mới của DN --> Ảnh hưởng đến số lượng bán ra
 Quản lý rủi ro bằng cách thực hiện các biện pháp thích hợp
để quản lý và giảm thiểu các mối đe dọa đối với nguồn
thông tin
 Quản lý tài nguyên bằng cách sử dụng kiến thức và cơ sở
hạ tầng an toàn thông tin một cách hữu hiệu và hiệu quả Vd: hệ thống wifi của DN, bộ phận CNTT ko nắm rõ các thông số kỹ thuật trên wifi, thì DN tốn thêm nhiều tiền cho wifi.
 Đo lường thành quả bằng cách đo lường, giám sát và báo
cáo các chỉ số quản trị an toàn thông tin để đảm bảo đạt
được các mục tiêu của tổ chức phải đo lường kết quả thông qua những thông số cụ thể
 Cung cấp giá trị bằng cách tối ưu hóa các khoản đầu tư an
toàn thông tin để hỗ trợ các mục tiêu của tổ chức --> tính hiệu quả
6
18
 Nội dung

1. Lập kế hoạch và quản trị an toàn thông tin

2. Chính sách, tiêu chuẩn và thực tiễn triển khai
an toàn thông tin
3. Bảng kế hoạch chi tiết về an toàn thông tin
4. Chương trình giáo dục, huấn luyện và nhận thức
về an toàn
5. Các chiến lược đảm bảo hoạt động liên tục

19

Giới thiệu:
- Ban quản lý cần xây dựng các chính sách làm cơ sở cho tất cả các kế hoạch, thiết kế và triển
2. Chính sách, tiêu chuẩn và thực tiễn khai ATTT. Các chính sách cần:
+ Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ.
triển khai an toàn thông tin (VD: chính sách tạo tài khoản cho user, chọn cái pass phù hợp)
+ Không mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin này sẽ được
2.1 Chính sách làm nền tảng cho việc lập kế đặt trong các tiêu chuẩn, thủ tục và thực hành trong tài liệu hướng dẫn sử dụng và hệ thống của
hoạch người dùng).
+ Không được mâu thuẫn với luật pháp.
2.2 Quản lý chính sách (VD: các chính sách của DN ko được mẫu thuẫn với luật bản quyền của VN)
+ Được quản lý thích hợp thông qua truyền thông và chấp nhận bằng văn bản.
- Các chính sách an toàn là biện pháp kiểm soát ít tốn kém nhất để thực thi ATTT, việc tạo ra
và phổ biến chính sách đòi hỏi thời gian và nổ lực của đội ngũ quản lý. Khi lựa chọn phương
án thuê tư vấn bên ngoài để giúp xây dựng chính sách, chi phí của chính sách an toàn vẫn thấp
nhất so với chi phí các kiểm soát kỹ thuật khác.
(VD: DN không có chính sách về cài mật khẩu, thì nhân viên sẽ đặt những poor password -->
hacker dễ đoán, dễ chiếm quyền truy cập.
Còn nếu DN xây dựng thì NV sẽ làm theo, ít tốn kém cho việc kiểm soát ATTT hơn
Nếu DN ko có phòng CNTT, không có chuyên gia thì DN có thể thuê ngoài để xây dựng
chính sách).
20

2.1 Chính sách làm nền tảng cho việc lập

kế hoạch
 Các chính sách hoạt động giống như luật trong một
tổ chức vì:
Quy định hành vi được chấp nhận và không được
 VD: chính sách yêu cầu mật khẩu phải có 8 ký tự, nhưng NV chỉ cài
chấp nhận 6 ký tự ---> đây là hành vi không được chấp nhận
 Quy định các hình phạt đối với việc không tuân thủ
chính sách và quy trình kháng nghị, bao gồm các tiêu VD: Chính sách yêu cầu 3 tháng phải đổi mật khẩu 1 lần, nếu quá 3
chuẩn là những tuyên bố chi tiết hơn về những gì tháng nhân viên chưa đổi thì sẽ nhận được mail nhắc nhở, sau vẫn
chưa đổi thì sẽ bị trừ lương tháng đó.
phải làm để tuân thủ chính sách, có các yêu cầu tuân
thủ giống như các chính sách
VD: Chính sách là mật khẩu phải mạnh.
- Tiêu chuẩn có thể là 1 phần của văn hóa tổ chức, hoặc ban hành
Tiêu chuẩn (cụ thể hơn chính sách): mật khẩu phải 8 ký tự, bao
dạng không chính thức (de facto standards)
gồm chữ cái thường, in hoa, ký tự đặc biệt...
- Tiêu chuẩn có thể được công bố, xem xét kỹ lưỡng, phê chuẩn và
VD: Văn hóa của DN (không cần đưa ra dưới dạng văn bản, ban hành, phê chuẩn): không được sd
7
USB.
21
 2.1 Chính sách làm nền tảng cho việc lập
kế hoạch

 Các hướng Hướng dẫn: chỉ cho người dùng thực hiện
dẫn, thủ tục và VD: Đặt mk mạnh như thế nào, để dễ nhớ, dễ đăng nhập.
thực tiễn triển
khai giải thích Thủ tục: những hành động cụ thể (trình bày theo step by step)
một cách hiệu B1:...
quả cách thức B2:...
tuân thủ chính B3:...
sách. VD: làm sao để thay đổi password định kỳ ??
B1: login vào mail
B2: chọn đổi mật khẩu
B3: gõ mật khẩu mới
B4: confirm (xác nhận)

22

2.1 Chính sách làm nền tảng cho việc lập

kế hoạch
 Ý nghĩa của thuật ngữ chính sách an toàn phụ thuộc vào
ngữ cảnh. Nói chung, chính sách an toàn là một tập hợp
các quy tắc bảo vệ tài sản của tổ chức, cung cấp các quy
tắc để bảo vệ tài sản thông tin của tổ chức
 Nhà quản lý phải xác định ba loại chính sách an toàn,
theo Special Publication (SP) 800-14 của Viện Tiêu chuẩn
và Công nghệ Quốc gia (NIST):
 Chính sách an toàn thông tin doanh nghiệp (Enterprise
information security policies – EISP)
 Chính sách an toàn đặc thù (Issue-specific security policies
– ISSP)
 Chính sách an toàn dành riêng cho hệ thống (Systems-
specific security policies – SysSP)

23

2.1 Chính sách làm nền tảng cho việc lập
kế hoạch
 Chính sách phải đáp ứng các tiêu chí sau:
 Truyền đạt - Dissemination (distribution)
 Dễ sử dụng - Review (reading)
 Dễ hiểu - Comprehension (understanding)
 Tuân thủ - Compliance (agreement)
 Thực thi thống nhất - Uniform enforcement (fairness in
application)
- Truyền đạt - Dissemination (distribution): Chính sách đã được công bố cần có tính sẵn sàng
cho nhân viên tìm hiểu, xem xét, các kênh truyền thông phổ biến bao gồm in ra bản cứng và
truyền thông bản điện tử.
(VD: Chính sách strong password, mà DN chỉ thể hiện bằng văn bản và chỉ lưu ở bộ phận
CNTT, nó đồng nghĩa với chỉ 1 số người trong bộ phận biết --> chính sách này thiếu truyền
đạt. Vì vậy, chính sách này phải được truyền đạt đến nhân viên, thông qua email).
- Dễ sử dụng - Review (reading): Tài liệu phổ biến chính sách ở dạng dễ sử dụng, bao gồm các
phiên bản dành cho nhân viên khiếm thị, không thể đọc tiếng anh. Các kỹ thuật phổ biến là
trình bày chính sách bằng tiếng anh và các ngôn ngữ khác.
- Dễ hiểu - Comprehension (understanding): Nhân viên có thể hiểu rõ các yêu cầu và nội dung
của chính sách. Các kỹ thuật phổ biến bao gồm các bài kiểm tra TN nhanh và các dạng thức
đánh giá khác.
(VD: thuật ngữ trong chính sách phải được sử dụng một cách dễ hiểu)

- Tuân thủ - Compliance (agreement): Nhân viên đồng ý tuân thủ chính sách thông qua hành
động hoặc khẳng định cam kết.
8
- Thực thi thống nhất - Uniform enforcement (fairness in application): Chính sách được thực
thi một cách thống nhất, bất kể tình trạng hoặc nhiệm vụ của nhân viên.
24
 2.1.1 Chính sách an toàn thông tin doanh
nghiệp (EISP)
 EISP được điều chỉnh khi có sự thay đổi trong định
hướng chiến lược của tổ chức
 EISP xác định mục đích, phạm vi, các ràng buộc và khả
năng áp dụng của chương trình an ninh
 EISP phân công trách nhiệm đối với các lĩnh vực an toàn
khác nhau, bao gồm quản trị hệ thống, duy trì các chính
sách an toàn thông tin, thực hành và trách nhiệm của
người dùng
 EISP giải quyết vấn đề tuân thủ pháp luật

25

2.1.1 Chính sách an toàn thông tin doanh

nghiệp (EISP)
 Theo NIST, EISP thường giải quyết vấn đề tuân thủ trong
hai khía cạnh:
 Đảm bảo rằng một tổ chức đáp ứng các yêu cầu để thiết
lập một chương trình và phân công trách nhiệm cho các
thành phần khác nhau của tổ chức
 Sử dụng các hình phạt cụ thể và hành động kỷ luật
 Khi EISP đã được phát triển, CISO bắt đầu thành lập
nhóm an toàn và thực hiện các thay đổi cần thiết đối với
chương trình an toàn thông tin

26

2.1.1 Chính sách an toàn thông tin doanh

nghiệp (EISP)
 Thành phần của EISP bao gồm:
 Tổng quan triết lý của tổ chức về an toàn
 Thông tin về cơ cấu tổ chức và những người thực hiện vai
trò an toàn thông tin
 Các trách nhiệm rõ ràng, đầy đủ về an toàn và được chia sẻ
bởi tất cả các thành viên của tổ chức (nhân viên, nhà thầu,
nhà tư vấn, đối tác và khách hàng)
 Các trách nhiệm rõ ràng, đầy đủ về an toàn cần dành riêng
cho từng vai trò trong tổ chức

9
27
 2.1.2 Chính sách an toàn đặc thù (ISSP)
 ISSP đề cập đến quan điểm của tổ chức về các lĩnh vực
công nghệ, được cập nhật thường xuyên về các nội
dung:
 E-mail / Sử dụng Internet và World Wide Web
 Cấu hình máy tính tối thiểu để chống lại sâu và vi rút
 Các lệnh cấm đối với việc hack / kiểm tra các biện pháp
kiểm soát an toàn của tổ chức
 Sử dụng các thiết bị máy tính của tổ chức tại nhà
 Sử dụng thiết bị cá nhân kết nối hệ thống mạng công ty
 Sử dụng các công nghệ viễn thông, chẳng hạn như fax và
điện thoại; Sử dụng thiết bị photocopy
 Sử dụng các thiết bị lưu trữ di động như thẻ nhớ USB, máy
chơi game, máy nghe nhạc và bất kỳ thiết bị nào khác có
khả năng lưu trữ các tệp kỹ thuật số
 Sử dụng các dịch vụ lưu trữ dựa trên đám mây không do
tổ chức tự lưu trữ hoặc được ký kết theo hợp đồng
(Google Drive, Dropbox, Microsoft Live, …)

28

2.1.2 Chính sách an toàn đặc thù (ISSP)

 Các thành phần của ISSP:

 Tuyên bố về chính sách
 Quyền truy cập và sử dụng thiết bị
 Cấm sử dụng thiết bị sai mục đích
 Quản lý hệ thống
 Vi phạm chính sách
 Rà soát và sửa đổi chính sách
 Giới hạn của trách nhiệm pháp lý

29

2.1.3 Chính sách an toàn dành riêng cho

hệ thống (SysSP)
 SysSP thường hoạt động như các tiêu chuẩn hoặc thủ
tục được sử dụng khi cấu hình hoặc bảo trì hệ thống.
Ví dụ, một SysSP có thể mô tả cấu hình và hoạt động
của tường lửa mạng. Tài liệu này có thể bao gồm một
tuyên bố về ý định của người quản lý; hướng dẫn cho
các kỹ sư mạng về việc lựa chọn, cấu hình và vận hành
tường lửa; và danh sách kiểm soát truy cập xác định
các cấp độ truy cập cho từng người dùng được ủy
quyền
 SysSPs bao gồm 2 nhóm: nhóm hướng dẫn về quản lý,
và nhóm quản lý về kỹ thuật
10
30
 - Quản trị viên chính sách: Không nhất thiết phải thành thạo công nghệ liên quan, có trách
nhiệm thông báo cho tất cả các thành viên chịu tác động của tổ chức khi chính sách được sửa
lỗi, là đầu mối liên hệ chính sách khi nhân viên cần biết thêm thông tin hoặc đề xuất sửa đổi
2.2 Quản lý chính sách chính sách.

 Chính sách cần được truyền đạt, đọc hiểu, xác nhận đồng ý,
áp dụng và quản lý một cách thống nhất
 Để duy trì tính khả thi, các chính sách an toàn cần có:
 Quản trị viên chính sách
 Lịch trình đánh giá
 Xem xét, đánh giá lại quy trình và thủ tục
 Ngày ban hành và ngày sửa đổi chính sách
 Quản lý chính sách tự động (đọc thêm)
- Lịch trình đánh giá: Một lịch trình đánh giá được tổ chức hợp lý cần được xác định, công
bố, và nên được xem xét lại tối thiểu hàng năm để đảm bảo chính sách không được duy trì, cập
nhật theo hiện hành có thể trở thành trách nhiệm pháp lý do các quy tắc lỗi thời được thực thi
và các yêu cầu mới bị bỏ qua.
- Xem xét, đánh giá lại quy trình và thủ tục: Để tạo điều kiện thuận lợi cho việc rà soát chính
sách, cần tạo cơ chế qua đó mọi người có thể thoải mái đưa ra các đề xuất sửa đổi (qua email,
thư văn phòng hoặc ẩn danh). Nếu chính sách này gây tranh cãi, việc gửi các khuyến nghị ẩn
danh có thể là cách tốt nhất để khuyến khích ý kiến của nhân viên. Khi chính sách đã được đưa
ra để xem xét, tất cả các ý kiến cần được kiểm tra và việc thực hiện các cải tiến cần được cấp
quản lý phê duyệt.

- Ngày ban hành và ngày sửa đổi chính sách: Chính sách vần có ngày công bố và ngày của
bản cập nhật tiếp theo. Nếu không phải là chính sách áp dụng vĩnh viễn, cần có điều khoản
ngừng hoạt động cho biết ngày hết hạn của chính sách đó.

- Quản lý chính sách tự động (đọc thêm).

31

Nội dung

1. Lập kế hoạch và quản trị an toàn thông tin

2. Chính sách, tiêu chuẩn và thực tiễn triển khai an
toàn thông tin
3. Bảng kế hoạch chi tiết về an toàn thông tin
4. Chương trình giáo dục, huấn luyện và nhận thức
về an toàn
5. Các chiến lược đảm bảo hoạt động liên tục(bỏ)

32

3. Bảng kế hoạch chi tiết về an toàn thông tin

3.1 Thiết kế kiến trúc an toàn

3.2 Cấp độ kiểm soát
3.3 Phòng thủ sâu
3.4 Vành đai an toàn

11
33
 3. Bảng kế hoạch chi tiết về an toàn thông tin
Giới thiệu
 Sau khi đã phát triển tiêu chuẩn và thực tiễn triển khai an toàn
thông tin, tổ chức bắt đầu phát triển bảng kế hoạch chi tiết về
an toàn thông tin.
 Nhóm an toàn thông tin tiến hành kiểm kê các tài sản thông
tin của tổ chức  đánh giá và sắp xếp mức độ ưu tiên các
nguy cơ đối với các tài sản đó (đánh giá rủi ro thông qua các
phân tích định lượng hoặc định tính, nghiên cứu tính khả thi
và phân tích chi phí - lợi ích để xác định mức độ bảo vệ hiện
tại của từng tài sản) để ra quyết định có thực hiện biện pháp
kiểm soát hay không

34

3. Bảng kế hoạch chi tiết về an toàn thông tin

Giới thiệu
 Nhóm an toàn phát triển một bảng kế hoạch chi tiết với thiết
kế được sử dụng để triển khai chương trình an toàn và được
trang bị ý tưởng chung về các điểm yếu tiềm ẩn
(vulnerabilities) trong hệ thống công nghệ thông tin của tổ
chức
 Bảng kế hoạch chi tiết về an toàn thông tin là cơ sở cho việc
thiết kế, lựa chọn và thực hiện chính sách, quản lý chính sách,
quản lý rủi ro, chương trình huấn luyện, kiểm soát công nghệ
và duy trì chương trình an toàn; được xây dựng dựa trên các
chính sách an toàn thông tin của tổ chức; là bản triển khai chi
tiết từ khuôn mẫu an toàn thông tin, chỉ định các nhiệm vụ và
thứ tự hoàn thành

35

3. Bảng kế hoạch chi tiết về an toàn thông tin

Giới thiệu
 Khi chọn cách thức để phát triển một bảng kế hoạch chi tiết
an toàn thông tin, tổ chức nên điều chỉnh hoặc áp dụng một
mô hình an toàn thông tin được công nhận rộng rãi bởi một
tổ chức hoặc cơ quan an toàn đã thành lập. Các mô hình của
các khuôn mẫu chuẩn mực này có thể giúp phác thảo các
bước thiết kế và thực hiện an toàn thông tin trong tổ chức.
Nhóm an toàn lưu ý cần sửa đổi hoặc điều chỉnh mô hình cho
phù hợp với đặc thù của tổ chức trước khi áp dụng
 Danh sách các mô hình an toàn: The ISO 27000 Series, mô
hình an toàn NIST SP 800-14, NIST và khuôn mẫu quản trị rủi
ro
12
36
 3. Bảng kế hoạch chi tiết về an toàn thông tin
Giới thiệu
 Mô hình an toàn NIST SP 800-14
 Các nguyên tắc thực hành được chấp nhận về an toàn hệ thống
công nghệ thông tin (SP 800-14) hỗ trợ đơn vị phát triển bảng
kế hoạch chi tiết về an toàn thông tin, thông qua cung cấp các
nguyên tắc thực hành về an toàn:
o An toàn hỗ trợ sứ mệnh của tổ chức
o An toàn là một yếu tố không thể thiếu của quản lý hữu hiệu
o An toàn cần hiệu quả về mặt chi phí
o Chủ sở hữu hệ thống có trách nhiệm bảo mật thông tin của các bên
liên quan
o Trách nhiệm bảo mật và trách nhiệm giải trình phải được thực hiện
rõ ràng
o An toàn yêu cầu một phương pháp toàn diện và tích hợp
o An toàn nên được đánh giá lại định kỳ
o An toàn bị hạn chế bởi các yếu tố xã hội

37

3. Bảng kế hoạch chi tiết về an toàn thông tin

Giới thiệu
 NIST và khuôn mẫu quản trị rủi ro
 Khuôn mẫu quản lý rủi ro (RMF) trình bày cách tiếp cận
của NIST để quản lý rủi ro trong đơn vị:
o Xây dựng khả năng an toàn thông tin vào các hệ thống
thông tin liên thông qua việc áp dụng các biện pháp kiểm
soát an ninh kỹ thuật, hoạt động và quản lý hiện đại
o Duy trì nhận thức về trạng thái an toàn của hệ thống
thông tin thường xuyên thông qua các quy trình giám sát
nâng cao
o Cung cấp thông tin cần thiết để giúp nhà quản lý cấp cao
đưa ra quyết định về việc chấp nhận rủi ro đối với hoạt
động và tài sản của đơn vị, cá nhân và các đơn vị khác
phát sinh từ việc sử dụng hệ thống thông tin

38

3.1 Thiết kế kiến trúc an toàn (Design of Security)

đào tạo, huấn luyện

chính sách và luật

Sử dụng công nghệ

13
39
3.1 Thiết kế kiến trúc an toàn (Design of Security)
 Lĩnh vực bảo mật, được thể hiện trong Hình 4-8, là nền
tảng của khuôn mẫu an toàn, minh họa cách thức thông
tin bị tấn công từ nhiều nguồn khác nhau. Phạm vi bên
trái của Hình 4-8 minh họa các cách người dùng truy cập
thông tin. Ví dụ, mọi người đọc bản cứng của tài liệu và
truy cập thông tin thông qua hệ thống. Thông tin, là tài
sản quan trọng nhất trong mô hình này, nằm ở trung
tâm của khối cầu. Thông tin luôn có nguy cơ bị tấn công
bất cứ khi nào con người hoặc hệ thống máy tính có thể
truy cập được. Mạng và Internet là những mối đe dọa
gián tiếp, ví dụ như thực tế là một người cố gắng truy
cập thông tin từ Internet phải đi qua các mạng cục bộ.

40

3.1 Thiết kế kiến trúc an toàn (Design of Security)

 Hình 4-8 minh họa giữa mỗi lớp của lĩnh vực bảo mật sử dụng
phải tồn tại một lớp bảo vệ. Ví dụ: “chính sách và luật pháp”,
“giáo dục và huấn luyện” là những biện pháp bảo vệ được đặt
giữa con người và thông tin. Việc kiểm soát cũng được thực
hiện giữa các hệ thống và thông tin, giữa mạng và hệ thống
máy tính, và giữa Internet và mạng nội bộ. Điều này củng cố
khái niệm phòng thủ sâu. Có thể sử dụng nhiều cách kiểm
soát để bảo vệ thông tin. Do mọi người có thể truy cập trực
tiếp vào từng vòng cũng như vào thông tin ở vị trí cốt lõi của
mô hình, nên khối bảo vệ cần tập trung cố gắng kiểm soát
truy cập bằng cách dựa vào con người so với dựa vào công
nghệ. Các thành viên của tổ chức phải trở thành một lực lượng
bảo vệ được đào tạo, thực hiện và duy trì hiệu quả, nếu không
họ cũng sẽ gây ra mối đe dọa đối với thông tin.

41

3.1 Thiết kế kiến trúc an toàn (Design of Security)

 An toàn thông tin được thiết kế và thực hiện theo ba lớp:
chính sách (P), con người (P: giáo dục, huấn luyện và các
chương trình nâng cao nhận thức) và công nghệ (T). Các
lớp này thường được gọi là PPT. Mỗi lớp chứa các biện
pháp kiểm soát và biện pháp bảo vệ để bảo vệ thông tin
và tài sản hệ thống thông tin mà tổ chức xem trọng. Tuy
nhiên, trước khi có thể thực hiện bất kỳ biện pháp kiểm
soát kỹ thuật hoặc các biện pháp bảo vệ nào khác, các
chính sách xác định triết lý quản lý đằng sau quy trình an
toàn cần được áp dụng.

14
42
 3.2 Cấp độ kiểm soát
 Các biện pháp bảo vệ an toàn thông tin cung cấp ba
cấp độ kiểm soát: quản lý, vận hành, và kỹ thuật:
 Các biện pháp kiểm soát quản lý
 Các biện pháp kiểm soát hoạt động
- Các biện pháp kiểm soát quản lý: Các biện pháp bảo vệ ATTT tập trung vào việc lập kế
hoạch hành chính, tổ chức, lãnh đạo và kiểm soát; được thiết kế bởi các nhà hoạch định chiến
lược và được thực hiện bởi tổ chức quản lý an toàn của đơn vị. Các biện pháp bảo vệ này bao
gồm: quản trị và quản lý rủi ro.

 Các biện pháp kiểm soát kỹ thuật - Các biện pháp kiểm soát hoạt động: Các biện pháp bảo vện ATTT tập trung vào việc lập
kế hoạch cấp thấp hơn, nhằm giải quyết chức năng an toàn của đơn vị. Các biện pháp bảo vệ
này bao gồm: lập kế hoạch phục hồi sau thảm họa và ứng phó sự cố.

- Các biện pháp kiểm soát kỹ thuật: Các biện pháp bảo vện ATTT tập trung vào việc áp
dụng các công nghệ, hệ thống và quy trình hiện đại để bảo vệ TS thông tin. Các biện pháp bảo
vệ này bao gồm: tường lửa, mạng riêng ảo và IDPSs.

43

3.3 Phòng thủ sâu

 Nguyên lý cơ bản của kiến trúc an toàn là việc triển khai an
toàn theo lớp. Để đạt được khả năng phòng thủ sâu, một tổ
chức phải thiết lập nhiều lớp kiểm soát an ninh và các biện
pháp bảo vệ, có thể được tổ chức thành chính sách, đào tạo,
giáo dục và công nghệ, khi kết hợp nhiều lớp bảo vệ, chính
sách có thể hỗ trợ ngăn chặn các cuộc tấn công. Ví dụ, lớp
đào tạo và giáo dục có thể giúp bảo vệ chống lại các cuộc tấn
công được kích hoạt bởi sự thiếu hiểu biết của nhân viên và kỹ
thuật xã hội. Công nghệ cũng được thực hiện theo từng lớp,
với thiết bị phát hiện hoạt động song song với công nghệ
phản ứng đằng sau cơ chế kiểm soát truy cập. Dự phòng có
thể được triển khai tại một số điểm trong toàn bộ kiến trúc an
toàn, chẳng hạn như trong tường lửa, máy chủ proxy và kiểm
soát truy cập

44

3.4 Vành đai an toàn

 Vành đai an toàn là biên giới an ninh bảo vệ tất cả các hệ thống
bên trong khỏi các mối đe dọa từ bên ngoài, như trong Hình 4-
10.
 Vai trò bảo vệ của vành đai gặp khó khăn trong các trường hợp
sau:
 Các cuộc tấn công nội bộ từ các mối đe dọa của nhân viên / các
mối đe dọa vật lý tại chỗ
 Sự xuất hiện của các thiết bị điện toán di động, có chức năng
dựa trên đám mây
 Cần tăng cường tập trung vào việc cải thiện an toàn cấp hệ thống
đối với các tài sản được nối mạng. Một tổ chức cần kết hợp vành
đai an toàn điện tử (electronic security perimeter) với vành đai an
toàn vật lý (physical security perimeter). Vành đai an toàn là một
yếu tố thiết yếu của khung bảo mật tổng thể, các chi tiết triển
khai của nó là cốt lõi của bảng kế hoạch chi tiết an toàn thông tin
hoàn chỉnh. Các thành phần chính của vành đai an toàn là tường
lửa, DMZ (demilitarized zones), máy chủ proxy và IDPSs
15
45
 3.4 Vành đai an toàn
 Với sự phát triển vượt bậc về mức độ phổ biến của điện
toán đám mây và lưu trữ dữ liệu, cũng như việc tiếp tục
sử dụng các thiết bị điện toán di động, ranh giới “bên
trong” hay “bên ngoài” đối với mạng của các tổ chức gần
như bị xóa nhòa
 Vành đai an toàn là toàn bộ sự hiện diện mạng của một
tổ chức, ở bất nơi nào có dữ liệu của đơn vị, việc sử dụng
phòng thủ sâu là một cách tiếp cận hợp lệ để bảo vệ đơn
vị trong môi trường công nghệ mới

46

Nội dung

1. Lập kế hoạch và quản trị an toàn thông tin

2. Chính sách, tiêu chuẩn và thực tiễn triển khai an
toàn thông tin
3. Bảng kế hoạch chi tiết về an toàn thông tin
4. Chương trình giáo dục, huấn luyện và nhận
thức về an toàn
5. Các chiến lược đảm bảo hoạt động liên tục

47

4. Chương trình giáo dục, huấn luyện

và nhận thức về an toàn (SETA)
4.1 Giáo dục an toàn
4.2 Huấn luyện an toàn
4.3 Nhận thức về an toàn

16
48
 4 SETA
Giới thiệu
• Khi tổ chức đã xác định các chính sách hướng dẫn chương
trình an toàn và chọn mô hình an toàn tổng thể bằng cách
tạo / điều chỉnh bảng kế hoạch chi tiết tương ứng  triển
khai chương trình giáo dục, huấn luyện và nâng cao nhận
thức về an toàn (security education, training, and
awareness - SETA). SETA do CISO phụ trách và là một biện
pháp kiểm soát được thiết kế để giảm các sự cố do nhân
viên vô tình vi phạm an ninh. Lỗi của nhân viên là một
trong những mối đe dọa hàng đầu đối với tài sản thông tin,
do đó, phát triển chương trình SETA để chống lại mối đe
dọa này là cần thiết. SETA được thiết kế để bổ sung cho các
chương trình giáo dục và huấn luyện chung mà nhiều tổ
chức sử dụng để huấn luyện nhân viên về an toàn thông tin

49

4 SETA
Giới thiệu
 Chương trình SETA bao gồm ba yếu tố: giáo dục an toàn, huấn
luyện an toàn và nâng cao nhận thức về an toàn. Một tổ chức
có thể không có khả năng hoặc sẵn sàng đảm nhận cả ba yếu
tố này và nó có thể dung dịch vụ thuê ngoài (outsource) như
các cơ sở giáo dục địa phương. Mục đích của SETA là tăng
cường an toàn bằng cách thực hiện những điều sau:
 Nâng cao nhận thức về sự cần thiết phải bảo vệ tài nguyên hệ VD: Nâng cao nhận thức của NV nếu nv đặt poor password sẽ xảy ra những điều gì
thống
 Phát triển kỹ năng và kiến thức để người dùng máy tính có thể
VD: chỉ cho nv các skill, tip nhỏ khi đổi password (đổi pass theo tháng hoặc theo quý, đang tháng
thực hiện công việc của họ một cách an toàn hơn
nào thì sử dụng tháng đó làm password)
 Xây dựng kiến thức chuyên sâu khi cần thiết để thiết kế, triển
khai hoặc vận hành các chương trình an toàn cho các tổ chức và
hệ thống VD: tạo những buổi training cho NV

50

4 SETA
Giới thiệu nhận thức

cái gì
mức độ cung cấp thông tin VD: Lập Chương trình SETA cho chính sách strong password
mục tiêu
Nhận thức:
What: nhận thức về strong password, poor password là gì?
phương tiện giảng dạy
bản tin

17
51
 4.1 Giáo dục an toàn
 Mọi người trong tổ chức cần được huấn luyện và nâng cao nhận thức
về an toàn thông tin, nhưng không phải ai cũng cần có bằng cấp
hoặc chứng chỉ chính thức về an toàn thông tin
 Khi ban giám đốc đồng ý rằng áp dụng giáo dục chính thức là phù
hợp, nhân viên có thể tìm hiểu các khóa học về giáo dục thường
xuyên từ các cơ sở giáo dục đại học tại địa phương. Các trường đại
học trên thế giới đã có các khóa học chính thức về an toàn thông tin
(Bộ môn Hệ thống thông tin kế toán-Khoa Kế toán-UEH tiên phong
giảng dạy ở Việt Nam).
 Đối với những người quan tâm đến việc nghiên cứu các chương trình
an toàn thông tin chính thức, có các tài nguyên hạn như chương
trình National Centers of Academic Excellence (xem
www.iad.gov/NIETP/index.cfm). Chương trình này xác định các
trường đại học cung cấp các môn học về an toàn thông tin và quan
điểm tích hợp về an toàn thông tin trong tổ chức. Các tài nguyên địa
phương khác cũng có thể cung cấp thông tin về giáo dục an toàn,
chẳng hạn như Trung tâm Giáo dục An ninh Thông tin của Bang
Kennesaw (http://infosec.kennesaw.edu)

52

4.2 Huấn luyện an toàn

 Huấn luyện an toàn cung cấp cho nhân viên thông tin chi tiết và
hướng dẫn thực hành để chuẩn bị cho họ thực hiện nhiệm vụ
một cách an toàn. Quản lý an toàn thông tin có thể phát triển
huấn luyện nội bộ hoặc thuê dịch vụ huấn luyện
 Các lựa chọn thay thế cho các chương trình huấn luyện chính
thức là các hội nghị và chương trình huấn luyện trong ngành
được cung cấp thông qua các cơ quan chuyên môn như SANS
(www.sans.org), ISC2 (www.isc2.org) và ISSA (www.issa.org). Nhiều
chương trình trong số này phù hợp với các chuyên gia an toàn
thông tin hơn so với người dung bình thường vì khá thiên về khía
cạnh kỹ thuật
 Một số tài nguyên để thực hiện các chương trình SETA cung cấp
hỗ trợ dưới dạng các chủ đề và cấu trúc mẫu cho các lớp bảo
mật. Đối với các tổ chức, Trung tâm Tài nguyên An ninh Máy tính
tại NIST cung cấp miễn phí một số tài liệu hữu ích trong lĩnh vực
này (http://csrc.nist.gov)

53

4.3 Nhận thức về an toàn

 Chương trình nâng cao nhận thức về an toàn là một

trong những chương trình ít được thực hiện thường
xuyên nhất nhưng mang lại nhiều lợi ích nhất trong một
tổ chức, được thiết kế để giữ an toàn thông tin được đặt
lên hàng đầu trong tâm trí người dùng. Nếu chương
trình này không được triển khai tích cực, nhân viên có
thể bắt đầu bỏ qua các vấn đề an toàn và nguy cơ có thể
phát sinh với an toàn thông tin của tổ chức

18
54
 4.3 Nhận thức về an toàn
 Các chương trình nâng cao nhận thức không cần phải phức
tạp hoặc tốn kém chi phí (bản tin, áp phích tuyên truyền an
toàn thông tin, video, bảng thông báo, tờ rơi, khẩu hiệu an
ninh in trên miếng lót chuột, cốc cà phê, áo phông, bút
hoặc bất kỳ đồ vật nào thường xuyên được sử dụng trong
ngày làm việc để nhắc nhở nhân viên về an toàn)
 Bản tin an toàn là phương pháp tiết kiệm chi phí nhất để
phổ biến thông tin cho nhân viên, được phân phối qua bản
cứng, e-mail hoặc mạng nội bộ. Các chủ đề bao gồm: các
mối đe dọa mới đối với tài sản thông tin của tổ chức, lịch
trình cho các lớp bảo mật sắp tới và việc bổ sung nhân viên
an toàn mới. Mục đích là giữ ý tưởng về an toàn thông tin
trong tâm trí người dùng và kích thích người dùng quan
tâm đến an toàn

55

Nội dung

1. Lập kế hoạch và quản trị an toàn thông tin

2. Chính sách, tiêu chuẩn và thực tiễn triển khai an
toàn thông tin
3. Bảng kế hoạch chi tiết về an toàn thông tin
4. Chương trình giáo dục, huấn luyện và nhận thức
về an toàn
5. Các chiến lược đảm bảo hoạt động liên tục

56

5. Các chiến lược đảm bảo hoạt động liên tục

5.1 Chính sách kế hoạch dự phòng (Chính sách CP)
5.2 Phân tích tác động kinh doanh (BIA)
5.3 Lập kế hoạch ứng phó sự cố (Kế hoạch IR)
5.4 Lập kế hoạch phục hồi sau thảm họa
5.5 Kế hoạch đảm bảo hoạt động liên tục trong
kinh doanh (Business Continuity Planning – Kế
hoạch BC)
5.6 Quản lý khủng hoảng (Crisis Management)
5.7 Kế hoạch dự phòng hợp nhất (The Consolidated
Contingency Plan)
5.8 Liên quan đến thực thi pháp luật (Law
Enforcement Involvement)
19
57
 5 Các chiến lược đảm bảo hoạt động liên tục
(Continuity Strategies)
Giới thiệu
 Các nhà quản lý an toàn thông tin được yêu cầu đưa ra kế
hoạch chiến lược để đảm bảo tính khả dụng liên tục của hệ
thống thông tin. Tuy nhiên, khả năng xảy ra một số cuộc
tấn công
 Từ bên trong/bên ngoài
 Cố ý/tình cờ
 Do con người/không phải do con người
 Gây phiền nhiễu/thảm họa
 Tổ chức cần có kế hoạch để dự đoán, phản ứng và phục hồi
từ các sự kiện đe dọa đến sự an toàn của thông tin và tài
sản thông tin trong tổ chức. Kế hoạch này cũng giúp khôi
phục tổ chức về chế độ hoạt động kinh doanh bình thường
sau một sự cố

58

5 Các chiến lược đảm bảo hoạt động liên tục

Kế hoạch dự phòng (Contingency Planning – CP)
 Nhà quản lý có vai trò quan trọng trong việc lập CP. Các kế
hoạch ứng phó sự cố, phục hồi sau thảm họa và tính liên tục
của hoạt động kinh doanh là các thành phần của CP, được mô
tả trong Hình 4-12

59

5 Các chiến lược đảm bảo hoạt động liên tục

Kế hoạch dự phòng (Contingency Planning – CP)
 CP bao gồm lập kế hoạch ứng phó sự cố (incident response
planning - IRP), lập kế hoạch phục hồi sau thảm họa (disaster
recovery planning - DRP) và lập kế hoạch đảm bảo hoạt động
liên tục trong kinh doanh (business continuity planning - BCP) để
chuẩn bị cho các sự kiện bất lợi có thể trở thành sự cố hoặc
thảm họa:
 IRP tập trung vào ứng phó ngay lập tức, nhưng nếu cuộc tấn công
leo thang hoặc thảm khốc (ví dụ, hỏa hoạn, lũ lụt, động đất hoặc
mất điện toàn bộ), quy trình sẽ chuyển sang DRP và BCP
 DRP tập trung vào việc khôi phục các hệ thống trở về tình trạng
ban đầu sau khi thiên tai xảy ra, và do đó có liên quan chặt chẽ với
BCP
 BCP xảy ra đồng thời với DRP khi thiệt hại lớn hoặc đang diễn ra, tổ
chức không chỉ khôi phục thông tin và nguồn thông tin đơn giản
mà cần đòi hỏi nỗ lực nhiều hơn. BCP thiết lập các chức năng kinh
doanh quan trọng tại một địa điểm (site) thay thế
20
60
 5 Các chiến lược đảm bảo hoạt động liên tục
Kế hoạch dự phòng (Contingency Planning – CP)
 Tiến trình lập kế hoạch dự phòng:

61

5 Các chiến lược đảm bảo hoạt động liên tục

Kế hoạch dự phòng (Contingency Planning – CP)
 Tiến trình lập kế hoạch dự phòng:
 Phát triển tuyên bố chính sách CP: Một chính sách chính thức cung cấp thẩm
quyền và hướng dẫn cần thiết để phát triển một kế hoạch dự phòng hiệu quả
 Tiến hành thực hiện phân tích tác động kinh doanh (business impact analysis-
BIA): BIA giúp xác định và ưu tiên các hệ thống thông tin và các thành phần
quan trọng để hỗ trợ sứ mệnh / quy trình kinh doanh của tổ chức. Mẫu để
phát triển BIA được cung cấp để hỗ trợ người dùng
 Xác định các biện pháp kiểm soát phòng ngừa: Các biện pháp được thực hiện
để giảm ảnh hưởng của sự gián đoạn hệ thống, có thể tăng tính khả dụng
của hệ thống và giảm chi phí vòng đời dự phòng
 Tạo chiến lược dự phòng: Các chiến lược khôi phục kỹ lưỡng đảm bảo rằng
hệ thống có thể được phục hồi nhanh chóng và hiệu quả sau sự cố
 Xây dựng CP: CP cần có hướng dẫn chi tiết và các thủ tục để phục hồi các cơ
sở đơn vị bị sự cố
 Đảm bảo kế hoạch kiểm tra, huấn luyện và luyện tập: Kiểm tra xác nhận khả
năng phục hồi, huấn luyện nhân sự chuẩn bị cho kế hoạch phục hồi để kích
hoạt kế hoạch và thực hiện kế hoạch, xác định các lỗ hổng trong kế hoạch;
kết hợp các hoạt động nâng cao hiệu quả kế hoạch và sự chuẩn bị cho tổng
thể
 Đảm bảo duy trì kế hoạch: Kế hoạch phải là một tài liệu cần được cập nhật
thường xuyên theo các cải tiến hệ thống và thay đổi của đơn vị

62

5 Các chiến lược đảm bảo hoạt động liên tục

Kế hoạch dự phòng (Contingency Planning – CP)
 Tổ chức cần tập hợp một nhóm quản lý kế hoạch dự phòng
(CPMT) chịu trách nhiệm đạt được cam kết và hỗ trợ từ
quản lý cấp cao, viết tài liệu kế hoạch dự phòng, thực hiện
BIA và quản lý các nhóm cấp dưới
 CPMT bao gồm các thành viên sau:
 Nhà quản lý cấp cao: hỗ trợ, thúc đẩy và xác nhận các phát
hiện của dự án (CIO/CEO)
 Người quản lý dự án: Người quản lý cấp trung hoặc thậm chí
là CISO phải lãnh đạo dự án và đảm bảo sử dụng một quy
trình lập kế hoạch hợp lý, phát triển một kế hoạch dự án hoàn
chỉnh, hữu ích và các nguồn lực được quản lý cẩn thận để đạt
được các mục tiêu của dự án
 Các thành viên trong nhóm: là người quản lý hoặc đại diện từ
các bộ phận khác nhau: kinh doanh, công nghệ thông tin và
an toàn thông tin
21
63
 5 Các chiến lược đảm bảo hoạt động liên tục
Kế hoạch dự phòng (Contingency Planning – CP)
 Khi CPMT (và các nhóm cấp dưới khác) đã được hình thành,
quy trình CP tổng thể nên tích hợp các nỗ lực của BIA, IRP và
DRP, bao gồm 12 bước (điều chỉnh từ NIST) sau đây:
 Hình thành CPMT
 Xây dựng tuyên bố chính sách lập kế hoạch dự phòng
 Tiến hành phân tích tác động kinh doanh (BIA) giúp xác định
và ưu tiên các chức năng của tổ chức cũng như hệ thống
thông tin và các thành phần quan trọng để hỗ trợ quy trình
kinh doanh của tổ chức
 Hình thành các nhóm lập kế hoạch cấp dưới: Đối với mỗi khu
vực trực thuộc, tổ chức một nhóm có nhiệm vụ phát triển các
kế hoạch (IRP, DRP và BCP)
 Xây dựng chính sách kế hoạch cấp dưới: tiến hành phát triển
các chính sách lập kế hoạch (IRP, DRP và BCP)

64

5 Các chiến lược đảm bảo hoạt động liên tục

Kế hoạch dự phòng (Contingency Planning – CP)
 Khi CPMT (và các nhóm cấp dưới khác) đã được hình thành,
quy trình CP tổng thể nên tích hợp các nỗ lực của BIA, IRP
và DRP, bao gồm 12 bước (điều chỉnh từ NIST) sau đây:
 Tích hợp phân tích tác động kinh doanh: Mỗi nhóm lập kế
hoạch trực thuộc sẽ xem xét một cách độc lập và kết hợp các
khía cạnh của BIA có tầm quan trọng đối với các nỗ lực lập kế
hoạch của họ
 Xác định các biện pháp kiểm soát phòng ngừa: Đánh giá các
biện pháp đối phó và biện pháp bảo vệ nhằm giảm thiểu rủi
ro và tác động của các sự kiện đối với dữ liệu tổ chức, hoạt
động và nhân sự

65

5 Các chiến lược đảm bảo hoạt động liên tục

Kế hoạch dự phòng (Contingency Planning – CP)
 Khi CPMT (và các nhóm cấp dưới khác) đã được hình thành,
quy trình CP tổng thể nên tích hợp các nỗ lực của BIA, IRP và
DRP, bao gồm 12 bước (điều chỉnh từ NIST) sau đây:
 Tổ chức các đội phản ứng: Chỉ định các kỹ năng cần thiết cho
mỗi nhóm phản ứng cấp dưới (IR/DR/BC) và xác định nhân sự
cần thiết. Đảm bảo danh sách nhân sự không trùng lắp giữa các
nhóm và tất cả các kỹ năng cần thiết đều được trang bị. Đây là
những người sẽ được gọi trực tiếp nếu một kế hoạch cụ thể
được kích hoạt để ứng phó với một sự cố hoặc thảm họa thực tế
 Tạo chiến lược dự phòng: Với ý kiến đóng góp của các trưởng
nhóm cấp dưới, CPMT sẽ đánh giá và đầu tư vào các chiến lược
hỗ trợ các nỗ lực của IR, DR và BC nếu một sự kiện ảnh hưởng
đến hoạt động kinh doanh. Chúng bao gồm các kế hoạch sao
lưu và phục hồi dữ liệu, lưu trữ dữ liệu off-site và các chiến lược
sử dụng site thay thế
22
66
 5 Các chiến lược đảm bảo hoạt động liên tục
Kế hoạch dự phòng (Contingency Planning – CP)
 Khi CPMT (và các nhóm cấp dưới khác) đã được hình thành,
quy trình CP tổng thể nên tích hợp các nỗ lực của BIA, IRP
và DRP, bao gồm 12 bước (điều chỉnh từ NIST) sau đây:
 Xây dựng kế hoạch cấp dưới: Đối với mỗi khu vực trực thuộc,
phát triển một kế hoạch để xử lý các hành động và hoạt động
tương ứng cần thiết để (a) ứng phó với sự cố, (b) phục hồi sau
thảm họa và (c) thiết lập hoạt động tại một vị trí thay thế sau
một sự kiện gián đoạn
 Đảm bảo kế hoạch kiểm tra, huấn luyện và bài tập: Đảm bảo
mỗi kế hoạch cấp dưới được kiểm tra và các nhân viên tương
ứng được huấn luyện để xử lý bất kỳ trường hợp nào leo
thang thành sự cố hoặc thảm họa
 Đảm bảo duy trì kế hoạch: Quản lý kế hoạch, đảm bảo xem
xét, đánh giá và cập nhật định kỳ

67

5 Các chiến lược đảm bảo hoạt động liên tục

Kế hoạch dự phòng (Contingency Planning – CP)

68

5 Các chiến lược đảm bảo hoạt động liên tục

Kế hoạch dự phòng (Contingency Planning – CP)

23
69
5.1 Chính sách kế hoạch dự phòng (Chính sách CP)
 Chính sách CP bao gồm các phần sau:
 Giới thiệu về quan điểm triết lý của nhà quản trị cấp cao, giải
thích tầm quan trọng của việc lập kế hoạch dự phòng đối với
các hoạt động chiến lược, dài hạn của tổ chức
 Trình bày phạm vi và mục đích của các hoạt động CP (yêu cầu
bao gồm tất cả các chức năng và hoạt động kinh doanh quan
trọng)
 Yêu cầu CPMT đánh giá rủi ro định kỳ và phân tích tác động
kinh doanh để xác định và ưu tiên các chức năng kinh doanh
quan trọng
 Đặc tả về các thành phần chính của CP sẽ được CPMT thiết kế
 Kêu gọi và hướng dẫn lựa chọn các phương án khôi phục và
chiến lược bền vững
 Yêu cầu kiểm tra các kế hoạch khác nhau thường xuyên

70

5.1 Chính sách kế hoạch dự phòng (Chính sách CP)

 Chính sách CP bao gồm các phần sau:
 Xác định các quy định và tiêu chuẩn chính ảnh hưởng đến
việc lập kế hoạch CP và trình bày tổng quan về mức độ phù
hợp của chúng
 Xác định những người chủ chốt chịu trách nhiệm về hoạt
động CP, chẳng hạn như thành lập COO với tư cách đứng đầu
CPMT, phó COO làm trưởng nhóm CPMT/giám đốc dự án,
CISO với tư cách trưởng nhóm IR, quản lý hoạt động kinh
doanh với tư cách trưởng nhóm DR, giám đốc tiếp thị và dịch
vụ với tư cách trưởng nhóm BC và cố vấn pháp lý với tư cách
là trưởng nhóm quản lý thảm họa
 Xác định tầm quan trọng của từng thành viên trong quy trình
CP tổng thể
 Thông tin quản trị bổ sung, bao gồm ngày có quyền tác giả
ban đầu của tài liệu, các bản sửa đổi và lịch trình xem xét, bảo
trì định kỳ

71

5 Các chiến lược đảm bảo hoạt động liên tục

Kế hoạch dự phòng (Contingency Planning – CP)

24
72
 5.2 Phân tích tác động kinh doanh (BIA)
 Sau khi xây dựng chính sách CP, giai đoạn tiếp theo trong việc phát
triển quy trình lập kế hoạch dự phòng là phân tích tác động kinh
doanh (BIA). BIA là hoạt động chuẩn bị chung cho cả CP và quản lý
rủi ro, giúp xác định chức năng kinh doanh và hệ thống thông tin
nào là quan trọng nhất đối với sự thành công của tổ chức
 BIA giả định các biện pháp kiểm soát đã bị bỏ qua/không thành
công/không hiệu quả; giả định cuộc tấn công đã thành công. Bằng
cách giả định điều tồi tệ nhất đã xảy ra và sau đó đánh giá điều đó
sẽ ảnh hưởng như thế nào đến tổ chức, các nhà lập kế hoạch có
được cái nhìn sâu sắc về cách ứng phó với sự kiện bất lợi, giảm thiểu
thiệt hại, phục hồi sau các tác động và trở lại hoạt động bình thường
 Theo NIST SP 800-34, Rev. 1, CPMT tiến hành BIA trong ba giai đoạn:
 Xác định sứ mệnh / quy trình kinh doanh và mức độ quan trọng của
việc phục hồi
 Xác định các yêu cầu về nguồn lực
 Xác định các ưu tiên phục hồi cho tài nguyên hệ thống

73

5.2.1 Xác định sứ mệnh/quy trình kinh doanh và

mức độ quan trọng của việc phục hồi
 Nhiệm vụ chính đầu tiên của BIA là phân tích và ưu tiên các
quá trình kinh doanh trong tổ chức, dựa trên mối quan hệ
của chúng với sứ mệnh của tổ chức. Mỗi bộ phận, đơn vị
hoặc bộ phận kinh doanh phải được đánh giá độc lập để xác
định mức độ quan trọng của các chức năng của nó đối với
toàn bộ tổ chức. Ví dụ: các hoạt động khôi phục có thể sẽ
tập trung vào Phòng CNTT và hoạt động mạng trước khi
chuyển sang các hoạt động tuyển dụng của Phòng Nhân sự.
Tương tự như vậy, khôi phục dây chuyền lắp ráp của một
công ty sản xuất cấp bách hơn khôi phục hệ thống theo dõi
bảo trì của nó. Chức năng nhân sự và bảo trì dây chuyền lắp
ráp là quan trọng, nhưng trừ khi các hoạt động tạo ra doanh
thu chính của tổ chức có thể được khôi phục nhanh chóng,
các chức năng khác có thứ tự ưu tiên thấp hơn

74

5.2.1 Xác định sứ mệnh/quy trình kinh doanh và

mức độ quan trọng của việc phục hồi
 Tiến hành thu thập thông tin quan trọng về từng đơn vị
kinh doanh trước khi ưu tiên các đơn vị kinh doanh, tập
trung vào việc lựa chọn các chức năng kinh doanh phải
được duy trì để tiếp tục hoạt động kinh doanh. Cần lưu ý
mặc dù một số nhà quản lý hoặc giám đốc điều hành có
thể cảm thấy rằng chức năng của họ là quan trọng nhất
đối với tổ chức, nhưng chức năng đó có thể ít quan
trọng hơn trong trường hợp có sự cố hoặc thảm họa lớn.
Ban lãnh đạo cấp cao cần phân xử những xung đột
không thể tránh khỏi về mức độ ưu tiên bởi vì họ có
quan điểm để đưa ra những quyết định đánh đổi như vậy
25
75
 5.2.1 Xác định sứ mệnh/quy trình kinh doanh và
mức độ quan trọng của việc phục hồi
 Khi các tổ chức xem xét mức độ quan trọng của việc
phục hồi, các biện pháp khôi phục chính thường được
mô tả về mức độ phục hồi tài sản trong một khung thời
gian xác định, thông qua các tiêu chí:
 Thời gian chết tối đa có thể chấp nhận được (Maximum
tolerable downtime - MTD)
 Mốc thời gian phục hồi (Recovery time objective - RTO)
 Mốc phục hồi dữ liệu (Recovery point objective - RPO)
 Thời gian phục hồi công việc (Work recovery time -
WRT)

76

5.2.1 Xác định sứ mệnh/quy trình kinh doanh và

mức độ quan trọng của việc phục hồi
 Các nhà lập kế hoạch nên xác định điểm tối ưu cho việc khôi
phục hệ thống thông tin để đáp ứng nhu cầu khôi phục do
BIA yêu cầu đồng thời cân bằng giữa chi phí tổn thất do hệ
thống không hoạt động với chi phí tài nguyên cần thiết để
khôi phục hệ thống. Công việc này phải được thực hiện trong
bối cảnh các quy trình kinh doanh quan trọng được xác định
bởi BIA và được mô tả qua Hình 4-15
 Tính khả dụng của hệ thống bị gián đoạn càng lâu, nó sẽ càng
có nhiều tác động đến tổ chức và hoạt động của nó với chi phí
tăng theo. Khi các kế hoạch yêu cầu RTO ngắn hơn, các giải
pháp bắt buộc thường tốn kém hơn để thiết kế và sử dụng. Ví
dụ, nếu một hệ thống phải được khôi phục ngay lập tức, nó sẽ
có RTO bằng 0. Những loại giải pháp này sẽ yêu cầu các site
xử lý thay thế hoàn toàn dự phòng và do đó sẽ có chi phí cao
hơn nhiều. Mặt khác, RTO dài hơn sẽ cho phép hệ thống khôi
phục ít tốn kém hơn

77

5.2.1 Xác định sứ mệnh/quy trình kinh doanh và

mức độ quan trọng của việc phục hồi

26
78
 5.2.2 Xác định các yêu cầu về nguồn lực
 Tổ chức cần xác định nguồn lực nào cần thiết để khôi
phục các quy trình và tài sản có liên quan sau khi đã tạo
ra danh sách ưu tiên cho các sứ mệnh và quy trình kinh
doanh của mình. Việc hỗ trợ dữ liệu khách hàng, dữ liệu
sản xuất và thông tin tổ chức đòi hỏi phải xử lý, lưu trữ
và truyền tải thông tin với số lượng lớn (thông qua
mạng). Một số quy trình sản xuất kinh doanh đòi hỏi các
thành phần phức tạp hoặc tốn kém để vận hành. Tổ chức
cần xác định và mô tả các nguồn lực liên quan cần thiết
để cung cấp hoặc hỗ trợ cho mỗi quá trình và tài sản
thông tin được xác định trong giai đoạn BIA

79

5.2.3 Xác định các ưu tiên phục hồi cho tài

nguyên hệ thống
 Khi tiến hành BIA, để đánh giá các ưu tiên và giá trị cho sứ
mệnh/quy trình kinh doanh, CPMT cần hiểu rõ các tài sản
thông tin được sử dụng bởi các quá trình đó. Sự hiện diện
của các tài sản thông tin có giá trị cao có thể ảnh hưởng
đến việc định giá một quy trình kinh doanh cụ thể. Thông
thường, nhiệm vụ này sẽ được thực hiện như một phần của
chức năng đánh giá rủi ro trong quy trình quản lý rủi ro. Tổ
chức nên xác định, phân loại và ưu tiên các tài sản thông tin
của mình, đặt nhãn phân loại trên mỗi kho lưu trữ thông tin
để hiểu rõ hơn giá trị của nó và ưu tiên bảo vệ nó. Nếu tổ
chức chưa thực hiện nhiệm vụ này, quá trình BIA là thời
điểm thích hợp để thực hiện

80

5 Các chiến lược đảm bảo hoạt động liên tục

Kế hoạch dự phòng (Contingency Planning – CP)

27
81
 5.3 Lập kế hoạch ứng phó sự cố (Kế hoạch IR)
 Lập kế hoạch ứng phó sự cố (Incident response planning) bao gồm
việc xác định, phân loại sự cố và ứng phó với nó. Kế hoạch IR được
tạo thành từ các hoạt động mà các hoạt động này phải được thực
hiện khi một sự cố đã được xác định. Nếu một hành động đe dọa
thông tin xảy ra và được hoàn thành, nó được phân loại là một sự
cố.
 Kế hoạch IR tập trung vào việc phát hiện và khắc phục ảnh hưởng
của sự cố đối với tài sản thông tin. IR mang tính phản ứng/đối phó
hơn là chủ động phòng ngừa, ngoại trừ việc lập kế hoạch phải thực
hiện để chuẩn bị cho các nhóm ứng phó sự cố an ninh máy tính
(Computer Security Incident Response Teams - CSIRTs) để phản ứng
với một sự cố. Trong khi nhóm lập kế hoạch IR phát triển các kế
hoạch để ứng phó với một sự cố, CSIRT sẽ thực hiện các kế hoạch
đó, phản ứng với các sự cố trong thế giới thực hàng ngày
 IR bao gồm bốn giai đoạn sau: Lập kế hoạch  Phát hiện  Phản
ứng  Phục hồi

82

5.3.1 Chính sách ứng phó sự cố (Incident

Response Policy)
 Bước quan trọng đầu tiên của nhóm IR là phát triển chính sách IR
bao gồm:
 Tuyên bố cam kết quản lý
 Mục đích và mục tiêu của chính sách
 Phạm vi của chính sách (chính sách áp dụng cho ai, áp dụng những
gì và trong những trường hợp nào)
 Định nghĩa các sự cố an toàn thông tin và các điều khoản liên quan
 Cơ cấu tổ chức và định nghĩa về vai trò, trách nhiệm và mức độ
quyền hạn, bao gồm thẩm quyền của nhóm ứng phó sự cố để tịch
thu hoặc ngắt kết nối thiết bị và giám sát hoạt động đáng ngờ, cũng
như các yêu cầu về báo cáo một số loại sự cố, các yêu cầu và hướng
dẫn về giao tiếp bên ngoài và chia sẻ thông tin (những gì có thể
được chia sẻ, với ai, khi nào, và qua những kênh nào), và các điểm
chuyển giao và leo thang trong quá trình quản lý sự cố
 Xếp hạng mức độ ưu tiên hoặc mức độ nghiêm trọng của sự cố
 Đo lường thành quả
 Biểu mẫu báo cáo và liên hệ

83

5.3.2 Lập kế hoạch cho sự cố có thể xảy ra

(Incident Planning)
 Lập kế hoạch cho một sự cố đòi hỏi sự hiểu biết chi tiết
về các kịch bản được phát triển cho BIA, từ đó nhóm lập
kế hoạch IR phát triển một loạt các câu trả lời được xác
định trước để hướng dẫn CSIRT của tổ chức và nhân viên
an toàn thông tin. Những phản hồi này cho phép tổ chức
phản ứng nhanh chóng và hiệu quả với sự cố được phát
hiện

28
84
 5.3.3 Bản kế hoạch ứng phó sự cố (Incident
Response Plan)
 Hình thức và nội dung: Kế hoạch IR cần hỗ trợ truy cập thông tin
được yêu cầu một cách nhanh chóng và dễ dàng. Biện pháp đơn
giản nhất là tạo một thư mục các sự cố. Để ứng phó với một sự
cố, người ứng cứu chỉ cần mở bìa, lật đến phần thích hợp và làm
theo các quy trình được vạch ra rõ ràng cho một vai trò được
giao. Điều này có nghĩa là các nhà lập kế hoạch phải phát triển
các thủ tục chi tiết cần thiết để hướng dẫn ứng phó với mỗi sự cố
(bao gồm các hành động cần thực hiện trước/trong/sau khi xảy
ra sự cố)
 Lưu trữ: Thông tin trong kế hoạch IR là thông tin nhạy cảm và cần
được bảo vệ. Nếu những kẻ tấn công tìm hiểu cách một công ty
phản ứng với một sự cố cụ thể, họ có thể cải thiện cơ hội thành
công
 Những người có trách nhiệm ứng phó sự cố cần được cung cấp
các tài liệu để ứng phó khi có sự cố xảy ra

85

5.3.3 Bản kế hoạch ứng phó sự cố

 Thử nghiệm: Một kế hoạch chưa được kiểm tra không phải là một
kế hoạch hữu ích. Ngay cả khi một tổ chức có một kế hoạch IR
hiệu quả trên giấy tờ, các thủ tục này có thể không hiệu quả trừ
khi đã được thực hành hoặc thử nghiệm. Một kế hoạch có thể
được kiểm tra theo nhiều cách khác nhau bằng cách sử dụng một
hoặc nhiều chiến lược kiểm tra. Bốn chiến lược thử nghiệm phổ
biến:
 Rà soát danh sách: Các bản sao của kế hoạch IR được phân phát
cho từng người có vai trò trong một sự cố thực tế
 Structured walk-through: Mỗi người liên quan thực hành các
bước mà họ sẽ thực hiện trong một sự kiện thực tế
 Mô phỏng: Mỗi người liên quan làm việc riêng lẻ (không thảo
luận nhóm), mô phỏng việc thực hiện từng nhiệm vụ cần thiết
để phản ứng và phục hồi sau một sự cố mô phỏng
 Gián đoạn hoàn toàn: Các thành viên trong nhóm tuân theo mọi
quy trình, bao gồm cả việc gián đoạn dịch vụ, khôi phục dữ liệu
từ các bản sao lưu và thông báo cho những người thích hợp,
như được trình bày trong các phần tiếp theo.

86

5.3.4 Phát hiện sự cố (Incident Detection)

 Các cơ chế có thể phát hiện sự cố bao gồm phát hiện
xâm nhập và hệ thống ngăn chặn (dựa trên máy chủ và
mạng), phần mềm phát hiện vi rút, quản trị viên hệ thống
và thậm chí cả người dùng cuối
 Bốn loại sự kiện sau đây là các dấu hiệu dự báo sự cố
(incident indicators) có thể xảy ra:
 Hoạt động vào những thời điểm không mong muốn
 Sự hiện diện của các tài khoản mới
 Các cuộc tấn công được báo cáo
 Thông báo từ IDPS (intrusion detection and prevention
systems - hệ thống ngăn chặn và phát hiện xâm nhập)

29
87
 5.3.4 Phát hiện sự cố (Incident Detection)
 Năm loại sự kiện sau đây là những dấu hiệu xác định về
sự cố (các hoạt động báo hiệu rõ ràng một sự cố đang
diễn ra hoặc đã xảy ra):
 Sử dụng tài khoản không hoạt động
 Thay đổi nhật ký hệ thống
 Sự hiện diện của các công cụ hacker
 Thông báo của đối tác hoặc đồng nghiệp
 Thông báo của hacker
 Một số tình huống khác là dấu hiệu xác định về sự cố:
 Mất tính khả dụng
 Mất tính toàn vẹn
 Mất tính bảo mật
 Vi phạm chính sách/pháp luật

88

5.3.5 Phản ứng sự cố (Incident Reaction)

 Phản ứng sự cố bao gồm các hành động được nêu trong kế
hoạch IR hướng dẫn tổ chức nỗ lực ngăn chặn sự cố, giảm
thiểu tác động của sự cố và cung cấp thông tin để khắc
phục
 Thông báo của nhân sự chủ chốt: Duy trì một danh sách
cảnh báo cho trường hợp khẩn cấp, có hai loại danh sách
cảnh báo: tuần tự (sequential) và phân cấp (hierarchical).
Bảng phân cấp hoạt động nhanh hơn, với nhiều người được
gọi cùng lúc hơn, nhưng thông điệp có thể bị bóp méo khi
nó được truyền từ người này sang người khác. Bảng phân
công tuần tự chính xác hơn vì người liên hệ cung cấp cho
mỗi người cùng một thông báo cảnh báo, nhưng mất nhiều
thời gian hơn
 Lập tài liệu sự cố: Ngay sau khi một sự cố hoặc thảm họa đã
được công bố, nhân viên chủ chốt phải được thông báo và
cần bắt đầu lập hồ sơ về sự kiện đang diễn ra

89

5.3.6 Phục hồi sự cố (Incident Recovery)

 Khi sự cố đã được kiểm soát và lấy lại quyền kiểm soát hệ
thống, giai đoạn tiếp theo của kế hoạch IR là khắc phục sự
cố. Giai đoạn này của kế hoạch phải được thực hiện ngay
lập tức. Cũng như giai đoạn phản ứng sự cố, nhiệm vụ đầu
tiên của giai đoạn phục hồi sự cố là xác định nguồn nhân
lực cần thiết và khởi động. Gần như đồng thời, tổ chức phải
đánh giá toàn bộ mức độ thiệt hại để xác định cách khôi
phục hệ thống về trạng thái hoạt động đầy đủ. Tiếp theo,
quá trình điều tra máy tính xác định sự cố xảy ra như thế
nào và điều gì đã xảy ra. Những dữ kiện này xuất hiện từ
việc phục hồi dữ liệu được ghi lại trước và trong khi sự cố
xảy ra. Tiếp theo, tổ chức sửa chữa các lỗ hổng, giải quyết
bất kỳ thiếu sót nào trong các biện pháp bảo vệ và khôi
phục dữ liệu cũng như dịch vụ của hệ thống
30
90
 5.3.6 Phục hồi sự cố (Incident Recovery)
 Ưu tiên nỗ lực: quan điểm chung cho rằng các cuộc tấn công mạng,
giống như các loại xung đột, ảnh hưởng đến tất cả mọi người có liên
quan. Sự thất bại từ hoạt động có thể gây căng thẳng tại nơi làm
việc
 Đánh giá thiệt hại: Việc đánh giá thiệt hại do sự cố có thể diễn ra
trong giây lát/vài ngày/vài tuần, tùy thuộc vào mức độ thiệt hại. Một
số nguồn thông tin có thể được sử dụng để xác định loại, phạm vi và
mức độ thiệt hại, bao gồm nhật ký hệ thống, nhật ký phát hiện xâm
nhập, nhật ký cấu hình và tài liệu, tài liệu từ giai đoạn ứng phó sự cố
và kết quả đánh giá chi tiết hệ thống và lưu trữ dữ liệu. Sử dụng các
nhật ký và tài liệu này làm cơ sở để so sánh, nhóm IR có thể đánh
giá trạng thái hiện tại của thông tin và hệ thống. Một phần liên quan
của đánh giá thiệt hại sự cố là lĩnh vực điều tra máy tính (computer
forensics). Bằng chứng máy tính phải được thu thập, ghi chép và duy
trì cẩn thận để có thể sử dụng được trong các thủ tục chính thức /
không chính thức sau này

91

5.3.6 Phục hồi sự cố (Incident Recovery)

 Phục hồi: Khi mức độ thiệt hại đã được xác định, quá trình
phục hồi có thể bắt đầu một cách nghiêm túc. Việc khôi
phục hoàn toàn sau sự cố yêu cầu các hành động sau:
 Xác định và giải quyết các điểm yếu tiềm ẩn cho phép sự cố
xảy ra và lan rộng
 Giải quyết các biện pháp bảo vệ không thể ngăn chặn hoặc
hạn chế sự cố, hoặc các biện pháp bảo vệ không có trong hệ
thống ngay từ đầu y
 Đánh giá khả năng giám sát Khôi phục dữ liệu từ các bản sao
lưu
 Khôi phục các dịch vụ và quy trình đang sử dụng
 Giám sát liên tục hệ thống, nếu sự cố đã xảy ra một lần, nó có
thể dễ dàng xảy ra lần nữa Khôi phục niềm tin cho các cộng
đồng quan tâm của tổ chức

92

5.3.6 Phục hồi sự cố (Incident Recovery)

 Tiến hành đánh giá lại sau thực hiện (after-action review –
AAR): Tất cả các thành viên trong nhóm IR xem xét các ghi
chú, các hành động của họ trong sự cố và xác định các khu
vực mà kế hoạch IR đã hoạt động không hiệu quả hoặc cần
được cải thiện. Cách tiếp cận này cho phép các thành viên
trong nhóm cập nhật kế hoạch IR trong khi những thay đổi
cần thiết vẫn còn mới và lưu rõ trong tâm trí họ. AAR cần
được tài liệu hóa thành văn bản phục vụ huấn luyện cho
nhân viên trong tương lai. AAR xem như tài liệu nghiệm thu
cho biết các hành động của nhóm IR đã hoàn thành

31
93
 5.4 Lập kế hoạch phục hồi sau thảm họa
 Một sự kiện có thể được phân loại là một thảm họa khi một tổ
chức không thể giảm thiểu tác động của sự cố đó trong khi nó
đang xảy ra và mức độ thiệt hại nghiêm trọng đến mức tổ chức
không thể phục hồi nhanh chóng. Thông thường, một sự kiện
ban đầu được phân loại là một sự cố sau đó có thể được xác định
là một thảm họa. Khi điều này xảy ra, tổ chức phải thay đổi phản
ứng và đảm bảo bảo toàn giá trị các tài sản có giá trị nhất của
mình trong dài hạn  Lập kế hoạch phục hồi sau thảm họa
(Disaster Recovery Planning - Kế hoạch DR)
 Kế hoạch DR là quá trình chuẩn bị cho một tổ chức xử lý thảm
họa và phục hồi sau thảm họa (thảm họa do tự nhiên / con
người). Điểm nhấn chính của kế hoạch DR là thiết lập lại hoạt
động tại vị trí site (địa điểm tổ chức thực hiện hoạt động kinh
doanh của mình) chính. Mục tiêu của kế hoạch là làm cho mọi
thứ trở nên toàn vẹn hoặc như trước khi thảm họa xảy ra

94

5.4.1 Kế hoạch phục hồi sau thảm họa (The DR Plan)

 Có cấu trúc tương tự như kế hoạch IR, kế hoạch DR cung cấp
hướng dẫn chi tiết trong trường hợp có thảm họa, được sắp
xếp theo loại / bản chất của thảm họa, chỉ định các quy trình
khôi phục trong và sau mỗi loại thảm họa.
 Kế hoạch DR cung cấp thông tin chi tiết về vai trò và trách
nhiệm của những người tham gia vào nỗ lực DR, xác định
những nhân sự và cơ quan phải được thông báo. Tương tự
như nhóm IR, nhóm DR bao gồm một nhóm lập kế hoạch và
một nhóm phản ứng với các quy tắc:
 Các ưu tiên phải được thiết lập rõ ràng
 Vai trò và trách nhiệm của từng thành viên nhóm ứng phó DR
phải được phân định rõ ràng

95

5.4.1 Kế hoạch phục hồi sau thảm họa (The DR Plan)

 Nhóm DR bao gồm một nhóm lập kế hoạch và một nhóm
phản ứng với các quy tắc:
 Cần có người được phân công khởi tạo danh sách cảnh báo
và thông báo cho các nhân viên chủ chốt, các cơ quan cứu
hỏa/cảnh sát/y tế /bảo hiểm/Hội Chữ thập đỏ, …
 Cần có người được phân công tài liệu hóa thảm họa: giống
như nhóm phản ứng IR, cần tiến hành ghi lại những gì đã xảy
ra để làm cơ sở cho việc xác định lý do và cách thức thảm họa
xảy ra cho các thủ tục pháp lý (nếu có) sau này
 Cố gắng giảm thiểu tác động của thảm họa đối với hoạt động
của tổ chức (sơ tán tài sản vật chất, đảm bảo tất cả các hệ
thống được tắt an toàn để tránh mất thêm dữ liệu, …)

32
96
 5.4.2 Hoạt động phục hồi (Recovery Operations)
 Các phản ứng đối với mỗi thảm họa có thể khác nhau
nên mỗi tổ chức cần xem xét các tình huống được phát
triển khi bắt đầu lập kế hoạch dự phòng và xác định cách
ứng phó.
 Nếu các cơ sở vật chất được giải thoát sau thảm họa, đội
ứng phó phục hồi sau thảm họa nên bắt đầu khôi phục
hệ thống và dữ liệu để thiết lập lại khả năng hoạt động
đầy đủ. Nếu cơ sở vật chất của tổ chức không còn tồn
tại, các hành động thay thế phải được thực hiện cho đến
khi có được cơ sở vật chất mới. Khi một thảm họa đe dọa
khả năng tồn tại của tổ chức tại site chính, quá trình
phục hồi sau thảm họa cần chuyển sang quá trình lập kế
hoạch đảm bảo hoạt động liên tục trong kinh doanh

97

5.5 Kế hoạch đảm bảo hoạt động liên tục trong kinh
doanh (Business Continuity Planning – Kế hoạch BC)
 Kế hoạch BC chuẩn bị cho tổ chức để thiết lập lại / di dời
các hoạt động kinh doanh quan trọng bị ảnh hưởng trong
thời gian xảy ra thảm họa đến hoạt động tại site chính. Nếu
một thảm họa đã khiến vị trí hiện tại không thể sử dụng
được, thì phải có kế hoạch cho phép doanh nghiệp tiếp tục
hoạt động. Không phải mọi doanh nghiệp đều cần một kế
hoạch/phương tiện như vậy. Các công ty nhỏ hoặc các tổ
chức vững chắc về mặt tài chính có thể có khả năng ngừng
hoạt động cho đến khi cơ sở vật chất có thể được khôi
phục. Các tổ chức sản xuất và bán lẻ có thể không có tùy
chọn này vì họ phụ thuộc vào thương mại theo thời gian
thực và có thể không thể chuyển địa điểm hoạt động

98

5.5.1 Phát triển các chương trình đảm bảo hoạt

động liên tục (Developing Continuity Programs)
 Sau khi có kế hoạch ứng phó sự cố và khắc phục hậu quả
sau thảm họa, tổ chức cần xem xét việc tìm kiếm các
phương tiện tạm thời để hỗ trợ khả năng tiếp tục tồn tại
của mình trong thảm họa. Kế hoạch BC có phần đơn giản
hơn để phát triển so với kế hoạch IR hoặc kế hoạch DR vì
nó chủ yếu bao gồm việc lựa chọn chiến lược bền vững
và tích hợp các chức năng lưu trữ và khôi phục dữ liệu
bên ngoài site (off-site) vào chiến lược này. Một số thành
phần của kế hoạch BC, chẳng hạn như dịch vụ sao lưu
thuê ngoài có thể giúp tổ chức hoạt động bình thường.
Các thành phần khác cần được xem xét và thương lượng
kỹ lưỡng
33
99
 5.5.1 Phát triển các chương trình đảm bảo hoạt
động liên tục (Developing Continuity Programs)
 Phần đầu tiên của việc lập kế hoạch BC được thực hiện khi kế
hoạch DR / BC tích hợp chung được phát triển. Việc xác định
các chức năng kinh doanh quan trọng và các nguồn lực cần
thiết để hỗ trợ chúng là nền tảng của kế hoạch BC. Khi thảm
họa xảy ra, các chức năng này là chức năng đầu tiên được
thiết lập lại tại site thay thế. Nhóm lập kế hoạch dự phòng cần
chỉ định một nhóm người để đánh giá và so sánh các giải
pháp thay thế khác nhau và đề xuất chiến lược nào nên được
lựa chọn và thực hiện. Chiến lược được lựa chọn thường liên
quan đến một số hình thức cơ sở site bên ngoài, cần được
kiểm tra cấu hình, an toàn định kỳ. Việc lựa chọn cần được
xem xét lại định kỳ để xác định xem đã xuất hiện một giải
pháp thay thế ưu việt hơn / tổ chức cần một giải pháp khác
tốt hơn

100

5.5.2 Chiến lược dự phòng dữ liệu và site (Site and

Data Contingency Strategies)
 Khi lập kế hoạch BC, sau khi đánh giá tính khả thi (yếu tố
quyết định khi lựa chọn chiến lược thường là chi phí), các tổ
chức có ba chiến lược để lựa chọn:
 Hot sites
 Warm sites
 Cold sites
 Các tổ chức cũng có ba chức năng được chia sẻ để lựa
chọn:
 Chia sẻ thời gian
 Chia sẻ dịch vụ
 Các thỏa thuận chung

101

5.5.2.1 Hot sites

 Hot sites là một cơ sở máy tính được cấu hình đầy đủ với tất cả
các dịch vụ, liên kết thông tin liên lạc và hoạt động ở góc độ vật
lý, bao gồm cả hệ thống sưởi và điều hòa không khí. Các hot sites
sao chép tài nguyên máy tính, thiết bị ngoại vi, hệ thống điện
thoại, ứng dụng và máy trạm, là đỉnh cao của lập kế hoạch dự
phòng, là một cơ sở trùng khớp và chỉ cần sao lưu dữ liệu mới
nhất kết hợp với nhân sự để trở thành một cơ sở hoạt động hoàn
chỉnh của bản gốc. Một hot site có thể hoạt động trong vài phút
và trong một số trường hợp, nó có thể được xây dựng để cung
cấp một quy trình liền mạch cho người dùng hệ thống bằng cách
chọn tải xử lý từ một trang bị lỗi (seamless fail-over) Do đó, hot
sites là giải pháp thay thế đắt tiền nhất hiện nay. Những bất lợi
của hot sites bao gồm yêu cầu cung cấp bảo trì cho tất cả các hệ
thống và thiết bị tại hot sites, cũng như bảo mật vật lý và thông
tin. Nếu tổ chức cần khả năng phục hồi 24/7 gần như thời gian
thực, thì một hot site là lựa chọn tốt nhất
34
102
 5.5.2.2 Warm sites
 Warm sites cung cấp nhiều dịch vụ và tùy chọn tương tự
như hot sites. Tuy nhiên, nó thường không bao gồm các
ứng dụng thực tế mà tổ chức cần, hoặc các ứng dụng có
thể chưa được cài đặt và cấu hình. Một warm site thường
bao gồm thiết bị máy tính và thiết bị ngoại vi với máy
chủ, nhưng không phải máy trạm khách (client
workstations). Warm sites có nhiều ưu điểm của hot sites,
nhưng với chi phí thấp hơn. Nhược điểm là một warm
site cần nhiều giờ/nhiều ngày để trở nên đầy đủ chức
năng phục vụ hoạt động cho tổ chức

103

5.5.2.3 Cold sites

 Cold sites chỉ cung cấp các dịch vụ và cơ sở vật chất thô
sơ, không có phần cứng máy tính hoặc thiết bị ngoại vi
nào được cung cấp. Tất cả các dịch vụ truyền thông phải
được cài đặt. Về cơ bản, một cold site là một căn phòng
trống có hệ thống sưởi, máy lạnh và điện. Mọi thứ khác
là tùy chọn. Mặc dù những nhược điểm rõ ràng có thể
ngăn cản sự lựa chọn của nó, nhưng một cold site vẫn
tốt hơn là không có gì để dự phòng. Ưu điểm chính của
các cold sites là chi phí. Tuy nhiên, một số tổ chức cảm
thấy việc thuê một không gian mới trong thời gian ngắn
sẽ dễ dàng hơn so với việc trả phí bảo trì cho một cold
site

104

5.5.2.4 Chia sẻ thời gian

 Chiến lược chia sẻ thời gian cho phép tổ chức duy trì tùy chọn
phục hồi sau thảm họa và tính liên tục trong kinh doanh bằng
cách chia sẻ chi phí của hot site/warm site/cold site với một
hoặc nhiều đối tác. Bất lợi chính là khả năng nhiều tổ chức
tham gia vào việc chia sẻ thời gian có thể có nhu cầu cần
trang thiết bị cùng thời điểm. Những bất lợi khác bao gồm
nhu cầu cung cấp thiết bị và dữ liệu của cơ sở với tất cả các tổ
chức liên quan, các cuộc đàm phán để sắp xếp chia sẻ thời
gian và các thỏa thuận bổ sung nếu một hoặc nhiều bên
quyết định hủy bỏ thỏa thuận hoặc cho thuê lại các tùy chọn
của nó. Chia sẻ thời gian giống như đồng ý thuê một căn hộ
với một nhóm bạn, các tổ chức tham gia cần duy trì các điều
khoản hòa nhã vì họ sẽ có quyền truy cập thực tế vào dữ liệu
của nhau
35
105
 5.5.2.5 Chia sẻ dịch vụ
 Trong trường hợp xảy ra thảm họa, có các văn phòng dịch
vụ đồng ý cung cấp các phương tiện vật chất, cung cấp dịch
vụ lưu trữ dữ liệu thuê ngoài có thu phí. Các hợp đồng có
thể được tạo một cách cẩn thận với các văn phòng dịch vụ
để chỉ định chính xác những gì tổ chức cần mà không cần
phải đặt trước các phương tiện chuyên dụng. Thỏa thuận
dịch vụ thường đảm bảo không gian khi cần thiết, ngay cả
khi văn phòng dịch vụ phải có thêm không gian trong
trường hợp có thảm họa lan rộng. Tùy chọn này giống như
điều khoản cho thuê xe trong hợp đồng bảo hiểm xe hơi
của bạn. Điểm bất lợi là văn phòng là một loại dịch vụ và
phải được thương lượng lại theo định kỳ. Ngoài ra, sử dụng
một văn phòng dịch vụ có thể khá tốn kém chi phí của tổ
chức

106

5.5.2.6 Các thỏa thuận chung

 Các thỏa thuận chung quy định rằng các tổ chức tham gia
mà không bị ảnh hưởng bởi thảm họa có nghĩa vụ cung cấp
các phương tiện, nguồn lực và dịch vụ cần thiết cho đến khi
tổ chức tiếp nhận có thể phục hồi sau thảm họa. Kiểu sắp
xếp này giống như chuyển đến ở với người thân hoặc bạn
bè: không mất nhiều thời gian để bạn có thể nhận được sự
chào đón của bạn bè. Vấn đề với cách tiếp cận này là nhiều
tổ chức chùn bước trước ý tưởng phải tài trợ các dịch vụ và
tài nguyên trùng lặp cho các bên khác, ngay cả trong ngắn
hạn. Sự sắp xếp là lý tưởng nếu các thỏa thuận chung được
tiến hành giữa các bộ phận của cùng một công ty mẹ, giữa
các tổ chức cấp dưới và cấp trên, hoặc giữa các đối tác kinh
doanh lâu dài có thể là một giải pháp hiệu quả về chi phí

107

5.5.2.7 Các giải pháp khác

 Một trong những tùy chọn mới nhất có sẵn như một giải
pháp thay thế chuyên biệt được gọi là phục hồi sau thảm
họa dưới dạng dịch vụ (Disaster Recovery as a Service -
DRaaS). DRaaS liên quan đến việc sử dụng các dịch vụ điện
toán đám mây như một phần của thỏa thuận dịch vụ với
bên thứ ba. Với DRaaS, tổ chức chỉ cần truy cập dữ liệu của
mình (được sao lưu thường xuyên ở bên thứ ba thuê ngoài)
để phục hồi hoạt động, trong khi nhân viên có thể bắt đầu
làm việc từ bất cứ đâu, gần như không có nhu cầu về văn
phòng trang bị vật lý tạm thời, đắt tiền cho tổ chức. Giải
pháp thay thế này cần được xem xét khi đánh giá các lựa
chọn chiến lược
 Off-site Disaster Data Storage: đọc thêm
36
108
 5.6 Quản lý khủng hoảng (Crisis Management)
 Thảm họa có quy mô lớn hơn và ít được quan tâm quản lý hơn sự
cố, nhưng quy trình lập kế hoạch cho cả hai đều giống nhau và
trong nhiều trường hợp được tiến hành đồng thời. Điểm phân
biệt một sự cố với một thảm họa là hành động của các đội ứng
phó. Một đội ứng phó sự cố thường chạy đến các trạm trực hoặc
đến văn phòng từ nhà. Hành động đầu tiên là đạt được kế hoạch
IR. Một nhóm ứng phó khắc phục thảm họa có thể không có đủ
điều kiện để mở tập tài liệu xem xét những gì phải làm cho nên
họ cần phải biết rõ vai trò của họ mà không cần bất kỳ tài liệu hỗ
trợ nào. Các hành động được thực hiện trong và sau thảm họa
được gọi là quản lý khủng hoảng. Quản lý khủng hoảng khác hẳn
với ứng phó sự cố, vì nó tập trung đầu tiên và quan trọng nhất
vào những người có liên quan. Nhóm khắc phục thảm họa làm
việc chặt chẽ với nhóm quản lý khủng hoảng

109

5.6 Quản lý khủng hoảng (Crisis Management)

 Nhóm ứng phó quản lý khủng hoảng chịu trách nhiệm
quản lý sự kiện từ góc độ của tổ chức và bao gồm các hoạt
động chính sau:
 Hỗ trợ nhân sự và những người thân của họ trong thời kỳ
khủng hoảng
 Xác định tác động của sự kiện đối với hoạt động kinh doanh
bình thường và nếu cần, đưa ra tuyên bố về thảm họa
 Thông báo cho công chúng về sự kiện và các hành động được
thực hiện để đảm bảo sự phục hồi của nhân sự và tổ chức
 Liên lạc với các khách hàng lớn, nhà cung cấp, đối tác, cơ
quan quản lý, tổ chức trong ngành, giới truyền thông và các
bên quan tâm khác

110

5.6 Quản lý khủng hoảng (Crisis Management)

 Nhóm ứng phó quản lý khủng hoảng nên thiết lập một cơ
sở hoạt động hoặc trung tâm chỉ huy để hỗ trợ thông tin
liên lạc cho đến khi thảm họa kết thúc. Nhóm ứng phó với
quản lý khủng hoảng bao gồm những người từ tất cả các
khu vực chức năng của tổ chức để tạo điều kiện giao tiếp và
hợp tác. Một số lĩnh vực chính của quản lý khủng hoảng
bao gồm:
 Xác minh số lượng người đứng đầu
 Kiểm tra danh sách cảnh báo
 Kiểm tra thẻ thông tin khẩn cấp
 Quản lý khủng hoảng cần cân bằng nhu cầu của nhân viên
với nhu cầu của tổ chức trong việc cung cấp nhân sự hỗ trợ
tại nhà khi có thảm họa
37
111
 5.7 Kế hoạch dự phòng hợp nhất (The Consolidated
Contingency Plan)
 Sử dụng các chiến lược được mô tả trước đó và được minh
họa trong Hình 4-14, một tổ chức có thể xây dựng một tài
liệu duy nhất kết hợp tất cả các khía cạnh của chính sách và
kế hoạch dự phòng, kết hợp các kế hoạch IR, DR và BC.
Trong các tổ chức lớn, một tài liệu như vậy có thể rất lớn;
bởi vì nó sẽ khó sử dụng ở dạng vật lý, nó thường được tạo
và lưu trữ dưới dạng điện tử ở một vị trí an toàn và bảo mật
bên ngoài (off-site). Tài liệu phải cần trực tuyến và dễ dàng
truy cập thông qua Internet bởi các nhân viên thích hợp khi
cần thiết. Tài liệu có thể được lưu trữ trong một tệp được
mã hóa và trong một kho lưu trữ được bảo vệ bằng mật
khẩu

112

5 Các chiến lược đảm bảo hoạt động liên tục

Kế hoạch dự phòng (Contingency Planning – CP)

113

5.8 Liên quan đến thực thi pháp luật (Law

Enforcement Involvement)
 Một cuộc tấn công/vi phạm chính sách hoặc sự cố có thể cấu
thành tình huống vi phạm pháp luật. Ban đầu, sự cố có thể
được xem là một tai nạn, nhưng hóa ra lại là một nỗ lực gián
điệp/phá hoại/trộm cắp tài sản thông tin của tổ chức. Do đó,
tổ chức cần có bộ phận pháp lý. Lưu ý sự tham gia của các cơ
quan hành pháp có những thuận lợi và khó khăn. Nếu một tổ
chức phát hiện ra một hành vi phạm tội, thì về mặt pháp lý, tổ
chức đó có nghĩa vụ liên quan đến thực thi pháp luật, nếu
không làm như vậy có thể khiến tổ chức và các nhân viên của
tổ chức bị truy tố như một đồng phạm cho tội ác hoặc gây trở
ngại cho cuộc điều tra. Người quản lý an toàn cần hỏi các
quan chức thực thi pháp luật các trường hợp nào tổ chức của
họ cần pháp luật can dự và giải quyết
38
114
 Nội dung

1. Lập kế hoạch và quản trị an toàn thông tin

2. Chính sách, tiêu chuẩn và thực tiễn triển khai an
toàn thông tin
3. Bảng kế hoạch chi tiết về an toàn thông tin
4. Chương trình giáo dục, huấn luyện và nhận thức
về an toàn
5. Các chiến lược đảm bảo hoạt động liên tục

115

Bài tập
Câu hỏi ôn tập (review questions)
 9, 11, 12, 13, 14, 15, 18, 19
Bài tập (exercises)
 2, 5

116

39