QUY TRÌNH ỨNG PHÓ SỰ CỐ VỀ AN NINH THÔNG TIN

13 Quản lý sự cố an ninh thông tin

13.1 Báo cáo các điểm yếu và sự kiện an ninh thông tin
Mục tiêu: Nhằm đảm bảo các điểm yếu và sự kiện an ninh thông tin liên quan đến hệ thống thông tin
được truyền đạt trong một phương thức kịp thời để hành động sửa lỗi được thực hiện.
Phải áp dụng việc báo cáo sự kiện một cách chính thức và các thủ tục leo thang. Tất cả các nhân
viên, nhà thầu và những người dùng bên thứ ba phải được nhận thức về các thủ tục để báo cáo các
loại sự kiện và điểm yếu khác nhau có thể có ảnh hưởng đến an ninh tài sản của tổ chức. Phải yêu
cầu họ báo cáo bất kỳ những sự kiện an ninh thông tin và các điểm yếu càng sớm càng tốt đối với
các điểm tiếp xúc được định rõ.
13.1.1 Báo cáo các sự kiện an ninh thông tin
Biện pháp kiểm soát
Phải báo cáo các sự kiện an ninh thông tin thông qua các kênh quản lý càng nhanh càng tốt.
Hướng dẫn thực hiện
Phải thiết lập một thủ tục báo cáo sự kiện an ninh thông tin chính thức, cùng với một thủ tục leo
thang và đối phó sự cố, thiết lập ra các hành động được thực hiện trong việc nhận báo cáo về một sự
kiện an ninh thông tin. Phải thiết lập một điểm liên hệ để báo cáo các sự kiện an ninh thông tin. Phải
đảm bảo rằng điểm liên hệ được biết toàn tổ chức, luôn sẵn có và có thể cung cấp sự đối phó đúng
thời gian và toàn diện. Tất cả người lao động, nhà thầu và người sử dụng bên thứ ba phải được nhận
thức về trách nhiệm của họ để báo cáo bất kỳ sự kiện an ninh thông tin càng nhanh càng tốt. Họ cũng
phải nhận thức được thủ tục đối với việc báo cáo các sự kiện an ninh thông tin và điểm liên hệ. Các
thủ tục của việc báo cáo phải bao gồm:
a) Các quá trình phản hồi phù hợp để đảm bảo rằng những báo cáo sự kiện an ninh thông tin đó
được thông báo kết quả sau khi vấn đề được xử lý và kết thúc;
b) Mẫu báo cáo sự kiện an ninh thông tin để hỗ trợ các hoạt động báo cáo, và giúp nhân viên báo
cáo nhớ tất cả những hành động cần thiết trong trường hợp có một sự an ninh thông tin.
c) Các hành vi sửa lỗi có thể được thực hiện trong trường hợp có một sự kiện an ninh, ví dụ:
1) Ghi nhận tất cả các chi tiết quan trọng (như dạng không phù hợp hay vi phạm, xảy ra sai chức
năng, các bản tin trên màn hình, hành vi lạ) ngay lập tức;
2) Không tự ý thực hiện bất kỳ hành động nào, nhưng báo cáo ngay lập tức đến điểm liên hệ;
d) Tham chiếu đến một quá trình kỷ luật chính thức được thiết lập liên quan đến người lao động,
nhà thầu hay người sử dụng của bên thứ ba, mà vi phạm cam kết bảo mật.
Trong môi trường rủi ro cao, một báo động cưỡng ép 4 có thể được sử dụng nhờ đó một người có
thể cho biết các vấn đề. Quy trình để đối phó các báo động cưỡng ép phải phản ánh tình hình rủi ro
cao như các báo động đang chỉ ra.
 4
Một báo động cưỡng ép là một phương pháp dùng cho việc chỉ ra một cách bí mật rằng một hành
động đang được thực hiện “cưỡng ép”
Thông tin khác
Các ví dụ các sự kiện và sự cố an ninh thông tin là:
a) Mất dịch vụ, thiết bị hay các tiện ích,
b) Hệ thống chạy sai hay quá tải,
c) Các lỗi do con người,
d) Không phù hợp với các chính sách và hướng dẫn,
e) Vi phạm các thoả thuận an ninh vật lý,

f) Các thay đổi hệ thống không kiểm soát,

g) Phần mềm hay phần cứng hoạt động sai,
h) Truy cập trái phép.
Với các khía cạnh bảo mật xứng đáng, các sự cố an ninh thông tin có thể được sử dụng trong việc
huấn luyện nhận thức cho người sử dụng (xem 8.2.2) như các ví dụ có thể xảy ra, làm thế nào đối
phó những sự cố đó, và làm sao để không xảy ra trong tương lai. Để có thể xử lý các sự cố và sự kiện
an ninh thông tin một cách đúng đắn, có thể cần thiết thu thập chứng cứ càng sớm càng tốt sau khi
xảy ra (xem 13.2.3).
Sai chức năng hoặc hoạt động bất thường của hệ thống có thể là một dấu chỉ của cuộc tấn công an
ninh hay vi phạm an ninh thực tế và vì vậy phải luôn luôn được báo cáo giống như sự kiện an ninh
thông tin.
Thông tin khác về việc báo cáo các sự kiện an ninh thông tin và quản lý sự cố an ninh thông tin có
thể được tìm thấy trong ISO/IEC TR 18044.
13.1.2 Báo cáo các điểm yếu an ninh
Biện pháp kiểm soát
Phải yêu cầu tất cả người lao động, nhà thầu và người sử dụng bên thứ ba của hệ thống thông tin và
các dịch vụ để ghi chú và báo cáo bất kỳ điểm yếu an ninh quan sát được hay nghi ngờ trong các hệ
thống hay dịch vụ.
Hướng dẫn thực hiện
Tất cả người lao động, nhà thầu và người sử dụng bên thứ ba phải báo cáo những vấn đề này với
quản lý của họ hoặc trực tiếp với nhà cung cấp dịch vụ càng nhanh càng tốt để ngăn chặn các sự kiện
an ninh thông tin. Cơ chế báo cáo phải dễ dàng, dễ tiếp nhận, và có sẵn. Họ phải được thông báo
rằng họ không được, trong bất kỳ hoàn cảnh nào, cố gắng chứng minh một điểm yếu bị nghi ngờ.

Thông tin khác

Người lao động, nhà thầu và người sử dụng bên thứ ba phải yêu cầu không cố gắng chứng minh các
điểm yếu an ninh bị nghi ngờ. Việc kiểm tra những điểm yếu an ninh có thể được hiểu như là một sự
lạm dụng tiềm tàng hệ thống và có thể cũng gây hư hại đến hệ thống thông tin hay dịch vụ và dẫn
đến trách nhiệm pháp lý đối với cá nhân thực hiện việc kiểm tra này.
13.2 Quản lý sự số an ninh thông tin và các cải tiến
Mục tiêu: Nhằm đảm bảo một phương pháp nhất quán và hiệu quả được áp dụng cho quản lý sự cố
an ninh thông tin.

Các trách nhiệm và thủ tục phải sẵn có để xử lý các sự kiện an ninh và các điểm yếu một cách hiệu
quả một khi chúng được báo cáo. Một quá trình cải tiến liên tục phải được áp dụng để đối phó với,
giám sát, đánh giá, và quản lý toàn diện sự cố an ninh thông tin.

Khi yêu cầu bằng chứng, phải thu thập để đảm bảo làm đúng theo các yêu cầu pháp luật.
13.2.1 Các thủ tục và trách nhiệm
Biện pháp kiểm soát
Phải thiết lập các thủ tục và trách nhiệm quản lý để đảm bảo đối phó nhanh, hiệu quả và có thứ tự
các sự cố an ninh thông tin.

Hướng dẫn thực hiện

Các báo cáo sự kiện và các điểm yếu an ninh thông tin bổ sung (xem thêm 13.1), theo dõi hệ thống,
cảnh báo, và các lỗ hổng (10.10.2) phải được sử dụng để kiểm tra các sự cố an ninh thông tin. Phải
xem xét các hướng dẫn sau đối với các thủ tục quản lý sự cố an ninh thông tin:

a) Phải thiết lập các thủ tục để xử lý các loại sự cố an ninh thông tin khác nhau, bao gồm:

1) Các lỗi hệ thống thông tin và mất dịch vụ;

2) Mã độc (xem 10.4.1);
3) Từ chối dịch vụ;
4) Các lỗi là kết quả từ dữ liệu kinh doanh không chính xác hoặc còn thiếu;
5) Vi phạm tính bảo mật và tính toàn vẹn;
6) Lạm dụng hệ thống thông tin.
b) Bổ sung các kế hoạch đối phó với những bất ngờ thông thường (xem 14.1.3), các thủ tục cũng
phải bao gồm (xem thêm 13.2.2):
1) Phân tích và nhận biết nguyên nhân của sự cố;
2) Chính sách ngăn chặn;
3) Lập kế hoạch và thực hiện hành động sửa lỗi để ngăn chặn tái diễn, nếu cần;
 4) Thông tin đến các bên bị ảnh hưởng bởi hay liên quan đến việc phục hồi từ sự cố;
5) Báo cáo các hành động cho người có thẩm quyền thích hợp;
c) Biên bản kiểm tra và bằng chứng tương tự phải được thu thập (xem 13.2.3) và bảo mật, khi có
thể, để:
1) Phân tích các vấn đề nội bộ;
2) Sử dụng như bằng chứng pháp lý trong mối liên hệ đến một vi phạm tiềm ẩn hợp đồng hay
các yêu cầu chế định hoặc trong trường hợp tố tụng dân sự hoặc hình sự, chẳng hạn như là lạm dụng
máy tính hay pháp luật bảo vệ dữ liệu;
3) Thương lượng về vấn đề bồi thường từ các nhà cung cấp phần mềm và dịch vụ.
d) Hành động khôi phục từ các vi phạm an ninh và sửa lỗi hệ thống phải cẩn thận và được kiểm
soát một cách chính thức; các thủ tục phải đảm bảo rằng:
1) Chỉ những nhân viên được cho phép và xác định rõ ràng mới được phép truy cập đến các hệ
thống và dữ liệu hoạt động (xem thêm 6.2 cho truy cập từ bên ngoài);
2) Tất cả hành động khẩn cấp được văn bản hoá chi tiết;
3) Hành động khẩn cấp được báo cáo cho lãnh đạo và được xem xét một cách có thứ tự;
4) Tính toàn vẹn của các hệ thống hoạt động chính yếu và các kiểm soát phải được xác nhận với
sự trì hoãn thấp nhất.
Các mục tiêu của quản lý sự cố an ninh thông tin phải được lãnh đạo tán thành, và nó phải đảm bảo
trách nhiệm của những người với quản lý an ninh thông tin hiểu được các ưu tiên của tổ chức và
cách xử lý các sự cố an ninh thông tin.

Thông tin khác

Sự cố an ninh thông tin có thể vượt qua ranh giới của tổ chức và quốc gia. Để đối phó với những sự
cố như vậy có một nhu cầu ngày càng tăng về phối hợp đối phó và chia sẻ thông tin về những sự cố
với các tổ chức bên ngoài khi thoả đáng.
13.2.2 Học hỏi từ các sự cố an ninh thông tin
Biện pháp kiểm soát
Phải có cơ chế sẵn có để kích hoạt các loại, khối lượng và chi phí của các sự cố bảo mật được định
lượng và giám sát.
Hướng dẫn thực hiện
Thông tin thu được từ việc đánh giá các sự cố an ninh thông tin phải được sử dụng để nhận ra việc
lặp lại hay các sự cố ảnh hưởng lớn.
Thông tin khác
Việc đánh giá các sự cố an ninh thông tin có thể chỉ ra nhu cầu cho việc tăng cường và thêm các
kiểm soát để giới hạn tần xuất, hư hại, và chi phí các sự việc xảy ra trong tương lai, hoặc được tính
đến trong quá trình xem xét chính sách an ninh (xem 5.1.2).
13.2.3 Thu thập bằng chứng
Biện pháp kiểm soát
Khi hành động tiếp theo chống lại một người hay tổ chức sau một sự cố an ninh thông tin liên quan
đến hành động pháp lý (cả dân sự và hình sự), phải thu thập bằng chứng, lưu giữ, và trình bày để phù
hợp với các nguyên tắc đối với bằng chứng nằm trong quyền hạn pháp lý liên quan.
Hướng dẫn thực hiện
Các thủ tục nội bộ phải được triển khai và thực hiện theo khi thu thập và trình bày bằng chứng theo
các mục đích của hành động xử lý kỷ luật trong tổ chức.
Cách chung, các nguyên tắc đối với bằng chứng bao gồm:
a) Tính có thể chấp nhận của bằng chứng: Dù có hoặc không có bằng chứng có thể được xử
dụng trong toà án;
b) Trọng lượng của bằng chứng: Chất lượng và sự toàn vẹn của bằng chứng.
Để đạt được tính có thể chấp nhận của bằng chứng, tổ chức phải đảm bảo rằng hệ thống thông tin
của họ phù hợp với bất kỳ tiêu chuẩn nào đã được phát hành hay nguyên tắc thực hành đối với sản
phẩm của bằng chứng có thể chấp nhận.
Trọng lượng của bằng chứng được cung cấp phải phù hợp với bất kỳ các yêu cầu có thể áp dụng nào.
Để đạt được trọng lượng của bằng chứng, chất lượng và sự toàn vẹn của các kiểm soát được dùng để
bảo vệ một cách đúng đắn và nhất quán bằng chứng (như bằng chứng kiểm soát quá trình); Trong
suốt thời gian đó chứng cứ được phục hồi, được lưu trữ và xử lý phải được chứng minh bằng một
dấu vết chứng cứ thuyết phục cao. Nói chung, một dấu vết thuyết phục cao có thể được thiết lập dưới
những điều kiện sau:
a) Đối với các tài liệu giấy: Bản gốc được giữ một cách bảo mật với một hồ sơ về các cá nhân tìm
thấy tài liệu, nơi tìm thấy tài liệu, thời điểm tìm thấy tài liệu và người làm chứng việc phát hiện; bất
kỳ cuộc điều tra nào phải đảm bảo rằng các bản gốc không bị xáo trộn;
b) Thông tin trên thiết bị lưu trữ máy tính: các ảnh ánh xạ hay các bản sao (phụ thuộc vào các yêu
cầu có thể áp dụng) của bất kỳ thiết bị có thể di chuyển, thông tin trên ổ cứng hay trong bộ nhớ phải
được đảm bảo sẵn sàng; bản ghi của tất cả các hành động trong quá trình sao chép phải được giữ và
quy trình phải được chứng kiến; phương tiện lưu trữ gốc và bản ghi (nếu đều này không thực hiện, ít
nhất một ảnh ánh xạ hay bản sao) phải được giữ một cách an tòan và không được đụng đến.
Bất kỳ công việc pháp lý nào chỉ được thực hiện trên bản sao của các tài liệu bằng chứng. Phải bảo
vệ tính tòan vẹn của tất cả các tài liệu bằng chứng. Việc sao chép các tài liệu bằng chứng phải được
giám sát bởi nhân viên đáng tin cậy và thông tin về khi nào và nơi nào quá trình sao chép được thực
hiện, những người thực hịên các họat động sao chép, những công cụ và chương trình đã được sử
dụng phải ghi chép lại.
Thông tin khác
Khi một sự kiện an ninh thông tin được phát hịên lần đầu tiên, nó có thể không được rõ ràng là có
hay không sự kiện sẽ dẫn đến hành động kiện tụng. Vì vậy, mối nguy hiểm tồn tại là bằng chứng cần
thiết bị phá hủy một cách cố ý hay vô tình trước khi sự cố trở nên nghiêm trọng. Khuyến nghị liên
lạc sớm đến một luật sư hay cảnh sát trong bất kỳ hành động liên quan pháp luật không được tính
trước và hỏi ý kiến về các bằng chứng cần thiết.
Bằng chứng có thể vượt quá ranh giới của tổ chức và/hoặc quyền thực thi pháp lý. Trong những
trường hợp này, phải đảm bảo rằng tổ chức được quyền thu thập các thông tin cần thiết làm bằng
chứng. Các yêu cầu của những luật khác nhau cũng phải được xem xét để tối đa hóa cơ hội thừa
nhận từ các quyền thực thi pháp lý liên quan.

14 Quản lý tính liên tục của hoạt động chính yếu

14.1 Các khía cạnh an ninh thông tin của việc quản lý tính liên tục các hoạt động chính yếu
Mục tiêu: Nhằm ngăn chặn các gián đọan các họat động chính yếu và để bảo vệ các quá trình hoạt
động cần thiết quan trọng khỏi những ảnh hưởng từ các lỗi lớn của hệ thống thông tin hay tai họa và
để đảm bảo sự liên tục đúng thời điểm của chúng.
Phải thực hịên một quá trình quản lý tính liên tục của các hoạt động chính yếu để giảm thiểu ảnh
hưởng đối với tổ chức và phục hồi từ việc mất các tài sản thông tin (có thể là kết quả của, ví dụ,
thảm họa thiên nhiên, tai nạn, lỗi thiết bị, và các hành động cố ý) đến một mức có thể chấp nhận
thông qua một một sự kết hợp của các kiểm sóat ngăn chặn và phục hồi. Quá trình này phải xác định
các quá trình kinh doanh quan trọng và và tích hợp các yêu cầu quản lý an ninh thông tin về tính
liên tục trong kinh doanh với những yêu cầu tính liên tục khác liên quan đến các khía cạnh như điều
hành, bố trí nhân sự, vật liệu, phương tiện vận chuyển và các tiện ích.
Hậu quả của các thảm hoạ, lỗi an ninh, tổn thất về dịch vụ, và tính sẵn sàng của dịch vụ phải là đề tài
của một bản phân tích ảnh hưởng kinh doanh. Các kế hoạch liên tục trong kinh doanh phải được phát
triển và triển khai để đảm bảo khôi phục đúng thời điểm các hoạt động thiết yếu. An ninh thông tin
phải là một phần tích hợp của toàn bộ quá trình liên tục của việc kinh doanh, các quá trình quản lý
khác trong tổ chức.
Quản lý kinh doanh liên tục phải bao gồm các kiểm soát để xác định và giảm thiểu rủi ro, hạn chế
hậu quả của sự cố gây thiệt hại, và đảm bảo rằng thông tin được yêu cầu đối với các quá trình kinh
doanh có sẵn.
14.1.1 Bao gồm an ninh thông tin trong quá trình quản lý tính liên tục họat động chính yếu
Biện pháp kiểm soát
Một quá trình được quản lý phải được phát triển và duy trì đối với việc đảm bảo tính liên tục hoạt
động chính yếu trong suốt tổ chức để định rõ các yêu cầu an ninh thông tin cần thiết để đảm bảo tính
liên tục hoạt động chính yếu của tổ chức.
Hướng dẫn thực hiện
Quá trình phải tập hợp các thành phần chính sau của việc quản lý tính liên tục các hoạt động chính
yếu:
 a) Hiểu những rủi ro tổ chức đang đối mặt về khả năng và thời gian ảnh hưởng, bao gồm một sự
nhận dạng và ưu tiên của các quá trình chính yếu quan trọng (xem 14.1.2);

b) Định rõ tất cả các tài sản liên quan đến các quá trình chính yếu quan trọng (xem 7.1.1);
c) Hiểu ảnh hưởng mà các sự gián đoạn gây ra bởi các sự cố an ninh thông tin có thể có trên hoạt
động chính (điều quan trọng để tìm các giải pháp xử lý các sự cố gây ít ảnh hưởng hơn, cũng như các
sự cố nghiêm trọng có thể đe doạ khả năng tồn tại của tổ chức), và việc thiết lập các mục tiêu nghiệp
vụ của các tiện ích xử lý thông tin;

d) Việc xem xét mua bảo hiểm phù hợp có thể dưới dạng một phần của toàn bộ quá trình đảm bảo
tính liên tục hoạt động chính yếu, cũng như là một phần của quản lý rủi ro trong hoạt động.
e) Xác định và xem xét việc triển khai các kiểm soát bổ sung dự phòng và giảm nhẹ;

f) Xác định nguồn lực tài chính, tổ chức, kỹ thuật, và nguồn lực môi trường để đáp ứng các yêu
cầu an ninh thông tin đã xác định;
g) Đảm bảo an toàn cho nhân viên và bảo vệ thông tin, các tiện ích xử lý và tài sản thuộc tổ chức;
h) Xây dựng và viết tài liệu kế hoạch đảm bảo tính liên tục hoạt động chính yếu xác định các yêu
cầu an ninh thông tin cùng với chiến lược kinh doanh liên tục được thông qua (xem 14.1.3);
i) Sắp xếp việc kiểm tra và cập nhật thường xuyên các kế hoạch và quá trình (xem 14.1.5);
j) Đảm bảo rằng việc quản lý tính liên tục hoạt động chính yếu
được kết hợp chặt chẽ trong các quá trình và cấu trúc của tổ chức; trách nhiệm đối với quá
trình quản lý tính liên tục hoạt động chính yếu phải được chỉ định tại mức phù hợp trong tổ
chức (xem 6.1.1).
14.1.2 Đánh giá rủi ro và tính liên tục hoạt động chính yếu
Biện pháp kiểm soát
Phải xác định các sự kiện có thể gây nên sự gián đoạn đến các quá trình hoạt động chính, cùng với
xác suất và tác động của những gián đoạn đó, hậu quả của nó đối với an ninh thông tin.
Hướng dẫn thực hiện
Các khía cạnh an ninh thông tin của việc đảm bảo tính liên tục của hoạt động chính yếu phải dựa trên
việc định rõ các sự kiện (hay chuỗi sự kiện) có thể gây nên sự gián đoạn của các quá trình kinh
doanh của tổ chức, như lỗi thiết bị, các lỗi do con người, lấy cắp, hoả hoạn, các thảm hoạ thiên nhiên
và các hành động khủng bố. Điều này phải được kèm theo một đánh giá rủi ro để xác định khả năng
và ảnh hưởng của những gián đoạn đó, về mặt thời gian, quy mô thiệt hại và thời gian phục hồi.
Đánh giá rủi ro việc đảm bảo tính liên tục hoạt động chính yếu có thể thực hiện với sự tham gia đầy
đủ những người chiếm hữu các quá trình và nguồn lực của các hoạt động chính. Đánh giá này phải
xem xét tất cả các quá trình và không bị giới hạn ở các tiện ích xử lý thông tin, nhưng phải bao gồm
các kết quả cụ thể về an ninh thông tin. Điều quan trọng là liên kết các khía cạnh rủi ro khác nhau
lại, để có được một bức tranh toàn cảnh về các yêu cầu tính liên tục trong kinh doanh của tổ chức.
Việc đánh giá phải xác định, định lượng và ưu tiên hoá các rủi ro dựa vào các chỉ tiêu và mục đích
liên quan đến tổ chức, bao gồm các nguồn lực quan trọng, tác động của sự gián đoạn, các lần ngưng
có thể chấp nhận, và các ưu tiên phục hồi.
Tuỳ thuộc vào kết quả của việc đánh giá rủi ro, một chiến lược đảm bảo tính liên tục các hoạt động
chính yếu được phát triển để định phương pháp tiếp cận toàn diện việc đảm bảo tính liên lục hoạt
động chính yếu. Một khi chiến lược này được tạo ra, phải được lãnh đạo xác nhận, và một kế hoạch
được lập và xác nhận để thực thi chiến lược này.
14.1.3 Việc phát triển và triển khai kế hoạch đảm bảo tính liên tục bao gồm cả an ninh thông
tin
Biện pháp kiểm soát
Phải phát triển và triển khai các kế hoạch để duy trì hay phục hồi các hoạt động và đảm bảo tính sẵn
sàng của thông tin tại mức yêu cầu và trong khoảng thời gian được yêu cầu theo sau làm gián đoạn
tới, hoặc thất bại của, các quá trình kinh doanh then chốt.
Hướng dẫn thực hiện
Phải xem xét những vấn đề sau trong quá trình lập kế hoạch để đảm bảo tính liên tục các hoạt động
chính của tổ chức.
a) Xác định và thoả thuận về tất cả trách nhiệm và các thủ tục đảm bảo tính liên tục các hoạt động
chính của tổ chức;
b) Xác định về các mất mát thông tin và dịch vụ có thể chấp nhận;
c) Triển khai các thủ tục để cho phép phục hồi và khôi phục các hoạt động kinh doanh và tính sẵn
sàng của thông tin trong khoảng thời gian được yêu cầu; Đặc biệt chú ý cần phải được trao cho việc
đánh giá phụ thuộc kinh doanh trong và ngoài các hợp tại chỗ;

d) Các quy trình hoạt động để làm theo cho đến khi hoàn tất việc khôi phục và phục hồi.
e) Các tài liệu của những thủ tục và quá trình đã thoả thuận;
f) Việc đào tạo thích hợp cho nhân viên về các thủ tục và quá trình đã thông qua, bao gồm quản lý
khủng hoảng;
g) Kiểm tra và cập nhật kế hoạch.
Quá trình lập kế hoạch nên tập trung vào các mục tiêu kinh doanh cần thiết, như khôi phục các dịch
vụ liên lạc quan trọng đối với khách hàng trong một lượng thời gian có thể chấp nhận. Các dịch vụ
và nguồn lực làm điều này dễ dàng phải được xác định, bao gồm phân bổ nguồn lực, các nguồn lực
không xử lý thông tin, cũng như thoả thuận dự phòng cho các tiện ích xử lý thông tin. Những thoả
thuận dự phòng có thể bao gồm các thoả thuận với bên thứ ba dưới dạng của các thoả thuận đối ứng,
hay các dịch vụ đăng ký thương mại.
Kế hoạch kinh doanh liên tục phải định rõ các lỗ hổng của tổ chức và vì vậy có thể chứa những
thông tin nhạy cảm cần được bảo vệ thích đáng. Các bản sao của kế hoạch đảm bảo tính liên tục của
hoạt động chính phải được chứa trong một nơi xa, tại một khoảng cách đủ xa để tránh bất kỳ tổn hại
do thảm hoạ tại trụ sở chính. Lãnh đạo phải đảm bảo các bản sao của các kế hoạch đảm bảo tính liên
tục của hoạt động chính được cập nhật và bảo vệ cùng mức an ninh được áp dụng ở trụ sở chính. Các
tài liệu cần thiết khác để thực thi kế hoạch liên tục cũng cần được lưu giữ tại địa điểm xa.
Nếu các vị trí tạm thời khác được sử dụng, mức độ của các kiểm soát an ninh được thực thi tại những
vụ trí này phải tương đương với trụ sở chính.
Thông tin khác
Phải chú ý rằng kế hoạch và các hoạt động quản lý khủng hoảng (xem 14.1.3 f)) có thể khác quản lý
đảm bảo tính liên tục của hoạt động chính; ví dụ một cuộc khủng hoảng có thể xảy ra được xem xét
bởi các thủ tục quản lý bình thường.
14.1.4 Khuôn khổ kế hoạch đảm bảo tính liên tục họat động chính yếu
Biện pháp kiểm soát
Một khuôn khổ của các kế hoạch đảm bảo tính liên tục của họat động chính yếu phải được duy trì để
đảm bảo tất cả các kế hoạch là nhất quán, để giải quyết các yêu cầu an ninh thông tin một cách nhất
quán, và để xác định các ưu tiên cho việc kiểm tra và duy trì.
Hướng dẫn thực hiện
Mỗi kế hoạch kinh doanh liên tục phải mô tả phương pháp cho việc đảm bảo liên tục, ví dụ tiếp cận
để đảm bảo thông tin hay tính sẵn sàng và bảo mật hệ thống thông tin. Mỗi kế hoạch cũng phải cụ
thể kế hoạch leo thang và các điều kiện để kích hoạt nó, cũng như trách nhiệm của các cá nhân thực
hiện mỗi phần của kế hoạch. Khi các yêu cầu mới được xác định, bất kỳ thủ tục khẩn cấp tồn tại như
kế hoạch di tản hay các thoả thuận dự phòng, phải được sửa đổi thích hợp. Các thủ tục phải được bao
gồm trong các trong chương trình quản lý thay đổi của tổ chức để đảm bảo rằng các quá trình đảm
bảo tính liên tục của hoạt động chính luôn luôn được xử lý một cách thích hợp.

Mỗi kế hoạch có một người sở hữu cụ thể. Các thủ tục khẩn cấp, kế hoạch dự phòng hướng dẫn, và
kế hoạch khôi phục phải thuộc trách nhiệm của người sở hữu các nguồn lực hay quá trình có liên
quan tương ứng. Các thoả thuận khôi phục với các dịch vụ kỹ thuật khác, như là các tiện ích xử lý
thông tin và truyền thông, phải luôn luôn là trách nhiệm của các nhà cung cấp dịch vụ.

Một khuôn khổ hoạch định business continuity phải chỉ rõ các yêu cầu an ninh thông tin đã xác định
và xem xét những điều sau:
a) Những điều kiện để khởi động các kế hoạch cần có mô tả quá trình để làm theo (như làm thế
nào để đánh giá tình hình, ai là người liên quan) trước khi mỗi kế hoạch được thực hiện;
b) Các thủ tục khẩn cấp, mô tả các thành động được thực hiện sau một sự cố gây nguy hiểm cho
các hoạt động kinh doanh;
c) Các thủ tục dự phòng có mô tả các hành động cần thực hiện để di chuyển các hoạt động kinh
doanh thiết yếu hay các dịch vụ hỗ trợ đến các vị trí tạm thời thay thế, và để đưa các quá trình kinh
doanh trở lại hoạt động trong khung thời gian được yêu cầu;
d) Các thủ tục điều hành tạm thời thực hiện theo trong khi chờ đợi phục hồi và khôi phục hoàn tất;
e) Các thủ tục khôi phục mô tả các hành động cần thực hiện để các hoạt động kinh doanh trở lại
bình thường;
f) Một lịch trình duy trì xác định làm thế nào và khi nào kế hoạch sẽ được kiểm tra, và quá trình
để duy trì kế hoạch.
 g) Các hoạt động nhận thức, giáo dục và đào tạo được thiết kế để tạo sự hiểu biết về các quá trình
business continuity và đảm bảo rằng các quá trình liên tục đạt hiệu quả;

h) Trách nhiệm của mỗi cá nhân, mô tả ai có trách nhiệm gì trong việc thực hiện những phần của
kế hoạch. Phải đề cử người khác khi yêu cầu thay thế;
i) Các tài sản quan trọng và các nguồn lực cần thiết để có thể thực hiện các thủ tục khẩn cấp, dự
phòng và khôi phục.
14.1.5 Kiểm tra, duy trì và đánh giá lại kế hoạch đảm bảo tính liên tục của hoạt động chính
Biện pháp kiểm soát
Các kế hoạch đảm bảo tính liên tục của hoạt động chính phải được kiểm tra và cập nhật một cách
thường xuyên để đảm bảo rằng chúng hợp thời và hiệu quả.
Hướng dẫn thực hiện
Các cuộc kiểm tra kế hoạch đảm bảo tính liên tục các hoạt động chính phải đảm bảo rằng tất cả
những thành viên của đội phục hồi và các nhân viên liên quan khác nhận thức về kế hoạch và trách
nhiệm của họ đối với tính liên tục của họat động chính yếu và an ninh thông tin và biết được vai trò
của họ khi kế hoạch được đưa ra.
Lịch trình kiểm tra đối với kế họach đảm bảo tính liên tục của các họat động chính yếu phải chỉ ra
mỗi thành phần của kế họach được kiểm tra như thế nào và khi nào. Mỗi thành phần của kế họach
phải được kiểm tra một cách thường xuyên. Phải sử dụng các kỹ thuật đa dạng để mang lại sự đảm
bảo rằng kết họach sẽ họat động trong thực tế. Những đều này phải bao gồm:
a) Kiểm tra thử nghiệm các kịch bản khác nhau (thảo luận các thoả thuận phục hồi hoạt động
chính sử dụng ví dụ về các gián đoạn);
b) Những mô phỏng (đặc biệt trong huấn luyện nhân viên trong vai trò quản lý trước sự cố/ khủng
hoảng);
c) Kiểm tra kỹ thuật phục hồi (đảm bảo rằng hệ thống thông tin có thể được phục hồi hiệu quả);
d) Kiểm tra phục hồi tại một trụ sở khác (chạy các quá trình kinh doanh song song với những hoạt
động phục hồi ở trụ sở chính);
e) Kiểm tra các nhà cung cấp các tiện ích và dịch vụ (đảm bảo các dịch vụ được cung cấp từ bên
ngoài và các sản phẩn sẽ đáp ứng được cam kết trong hợp đồng);
f) Hoàn tất các buổi diễn tập (kiểm tra rằng hệ thống, nhân viên, thiết bị, các tiện ích, và các quá
trình có thể đương đầu với những gián đoạn hoạt động).
Những kỹ thuật này có thể được sử dụng bởi bất kỳ tổ chức nào. Chúng phải được áp dụng theo
một cách liên quan đến kế hoạch khôi phục cụ thể. Các kết quả kiểm tra phải được tài liệu hoá và các
hành động được thực hiện để cải tiến các kế hoạch, khi cần thiết.
Phải phân chia trách nhiệm về việc xem xét định kỳ của mỗi kế hoạch kinh doanh liên tục. Nhận
biết các thay đổi trong các thoả thuận kinh doanh chưa phản ánh trong các kế hoạch đảm bảo tính
liên tục các hoạt động chính yếu phải kèm theo bản cập nhật kế hoạch phù hợp. Các quá trình kiểm
soát thay đổi chính thức này phải đảm bảo rằng các kế hoạch đã cập nhật được triển khai và gia cố
bằng những xem xét thường xuyên kế hoạch đầy đủ.
Ví dụ phải xem xét cập nhật các kế hoạch đảm bảo tính liên tục các hoạt động chính yếu khi có các
thay đổi như là việc thay đổi thiết bị mới, nâng cấp hệ thống và các thay đổi trong:
a) Nhân viên;
b) Các địa chỉ hay số điện thoại;
c) Chiến lược kinh doanh;
d) Vị trí, các tiện ích, và các nguồn lực;
e) Pháp lý;
f) Các nhà thầu, nhà cung cấp, và các khách hàng chính;
g) Các quá trình, hoặc mới hoặc huỷ bỏ;
h) Rủi ro (hoạt động và tài chính).