Professional Documents
Culture Documents
Quy Trinh Ung Pho Su Co An Ninh Thong Tin
Quy Trinh Ung Pho Su Co An Ninh Thong Tin
13.1 Báo cáo các điểm yếu và sự kiện an ninh thông tin
Mục tiêu: Nhằm đảm bảo các điểm yếu và sự kiện an ninh thông tin liên quan đến hệ thống thông tin
được truyền đạt trong một phương thức kịp thời để hành động sửa lỗi được thực hiện.
Phải áp dụng việc báo cáo sự kiện một cách chính thức và các thủ tục leo thang. Tất cả các nhân
viên, nhà thầu và những người dùng bên thứ ba phải được nhận thức về các thủ tục để báo cáo các
loại sự kiện và điểm yếu khác nhau có thể có ảnh hưởng đến an ninh tài sản của tổ chức. Phải yêu
cầu họ báo cáo bất kỳ những sự kiện an ninh thông tin và các điểm yếu càng sớm càng tốt đối với
các điểm tiếp xúc được định rõ.
13.1.1 Báo cáo các sự kiện an ninh thông tin
Biện pháp kiểm soát
Phải báo cáo các sự kiện an ninh thông tin thông qua các kênh quản lý càng nhanh càng tốt.
Hướng dẫn thực hiện
Phải thiết lập một thủ tục báo cáo sự kiện an ninh thông tin chính thức, cùng với một thủ tục leo
thang và đối phó sự cố, thiết lập ra các hành động được thực hiện trong việc nhận báo cáo về một sự
kiện an ninh thông tin. Phải thiết lập một điểm liên hệ để báo cáo các sự kiện an ninh thông tin. Phải
đảm bảo rằng điểm liên hệ được biết toàn tổ chức, luôn sẵn có và có thể cung cấp sự đối phó đúng
thời gian và toàn diện. Tất cả người lao động, nhà thầu và người sử dụng bên thứ ba phải được nhận
thức về trách nhiệm của họ để báo cáo bất kỳ sự kiện an ninh thông tin càng nhanh càng tốt. Họ cũng
phải nhận thức được thủ tục đối với việc báo cáo các sự kiện an ninh thông tin và điểm liên hệ. Các
thủ tục của việc báo cáo phải bao gồm:
a) Các quá trình phản hồi phù hợp để đảm bảo rằng những báo cáo sự kiện an ninh thông tin đó
được thông báo kết quả sau khi vấn đề được xử lý và kết thúc;
b) Mẫu báo cáo sự kiện an ninh thông tin để hỗ trợ các hoạt động báo cáo, và giúp nhân viên báo
cáo nhớ tất cả những hành động cần thiết trong trường hợp có một sự an ninh thông tin.
c) Các hành vi sửa lỗi có thể được thực hiện trong trường hợp có một sự kiện an ninh, ví dụ:
1) Ghi nhận tất cả các chi tiết quan trọng (như dạng không phù hợp hay vi phạm, xảy ra sai chức
năng, các bản tin trên màn hình, hành vi lạ) ngay lập tức;
2) Không tự ý thực hiện bất kỳ hành động nào, nhưng báo cáo ngay lập tức đến điểm liên hệ;
d) Tham chiếu đến một quá trình kỷ luật chính thức được thiết lập liên quan đến người lao động,
nhà thầu hay người sử dụng của bên thứ ba, mà vi phạm cam kết bảo mật.
Trong môi trường rủi ro cao, một báo động cưỡng ép 4 có thể được sử dụng nhờ đó một người có
thể cho biết các vấn đề. Quy trình để đối phó các báo động cưỡng ép phải phản ánh tình hình rủi ro
cao như các báo động đang chỉ ra.
4
Một báo động cưỡng ép là một phương pháp dùng cho việc chỉ ra một cách bí mật rằng một hành
động đang được thực hiện “cưỡng ép”
Thông tin khác
Các ví dụ các sự kiện và sự cố an ninh thông tin là:
a) Mất dịch vụ, thiết bị hay các tiện ích,
b) Hệ thống chạy sai hay quá tải,
c) Các lỗi do con người,
d) Không phù hợp với các chính sách và hướng dẫn,
e) Vi phạm các thoả thuận an ninh vật lý,
Các trách nhiệm và thủ tục phải sẵn có để xử lý các sự kiện an ninh và các điểm yếu một cách hiệu
quả một khi chúng được báo cáo. Một quá trình cải tiến liên tục phải được áp dụng để đối phó với,
giám sát, đánh giá, và quản lý toàn diện sự cố an ninh thông tin.
Khi yêu cầu bằng chứng, phải thu thập để đảm bảo làm đúng theo các yêu cầu pháp luật.
13.2.1 Các thủ tục và trách nhiệm
Biện pháp kiểm soát
Phải thiết lập các thủ tục và trách nhiệm quản lý để đảm bảo đối phó nhanh, hiệu quả và có thứ tự
các sự cố an ninh thông tin.
a) Phải thiết lập các thủ tục để xử lý các loại sự cố an ninh thông tin khác nhau, bao gồm:
b) Định rõ tất cả các tài sản liên quan đến các quá trình chính yếu quan trọng (xem 7.1.1);
c) Hiểu ảnh hưởng mà các sự gián đoạn gây ra bởi các sự cố an ninh thông tin có thể có trên hoạt
động chính (điều quan trọng để tìm các giải pháp xử lý các sự cố gây ít ảnh hưởng hơn, cũng như các
sự cố nghiêm trọng có thể đe doạ khả năng tồn tại của tổ chức), và việc thiết lập các mục tiêu nghiệp
vụ của các tiện ích xử lý thông tin;
d) Việc xem xét mua bảo hiểm phù hợp có thể dưới dạng một phần của toàn bộ quá trình đảm bảo
tính liên tục hoạt động chính yếu, cũng như là một phần của quản lý rủi ro trong hoạt động.
e) Xác định và xem xét việc triển khai các kiểm soát bổ sung dự phòng và giảm nhẹ;
f) Xác định nguồn lực tài chính, tổ chức, kỹ thuật, và nguồn lực môi trường để đáp ứng các yêu
cầu an ninh thông tin đã xác định;
g) Đảm bảo an toàn cho nhân viên và bảo vệ thông tin, các tiện ích xử lý và tài sản thuộc tổ chức;
h) Xây dựng và viết tài liệu kế hoạch đảm bảo tính liên tục hoạt động chính yếu xác định các yêu
cầu an ninh thông tin cùng với chiến lược kinh doanh liên tục được thông qua (xem 14.1.3);
i) Sắp xếp việc kiểm tra và cập nhật thường xuyên các kế hoạch và quá trình (xem 14.1.5);
j) Đảm bảo rằng việc quản lý tính liên tục hoạt động chính yếu
được kết hợp chặt chẽ trong các quá trình và cấu trúc của tổ chức; trách nhiệm đối với quá
trình quản lý tính liên tục hoạt động chính yếu phải được chỉ định tại mức phù hợp trong tổ
chức (xem 6.1.1).
14.1.2 Đánh giá rủi ro và tính liên tục hoạt động chính yếu
Biện pháp kiểm soát
Phải xác định các sự kiện có thể gây nên sự gián đoạn đến các quá trình hoạt động chính, cùng với
xác suất và tác động của những gián đoạn đó, hậu quả của nó đối với an ninh thông tin.
Hướng dẫn thực hiện
Các khía cạnh an ninh thông tin của việc đảm bảo tính liên tục của hoạt động chính yếu phải dựa trên
việc định rõ các sự kiện (hay chuỗi sự kiện) có thể gây nên sự gián đoạn của các quá trình kinh
doanh của tổ chức, như lỗi thiết bị, các lỗi do con người, lấy cắp, hoả hoạn, các thảm hoạ thiên nhiên
và các hành động khủng bố. Điều này phải được kèm theo một đánh giá rủi ro để xác định khả năng
và ảnh hưởng của những gián đoạn đó, về mặt thời gian, quy mô thiệt hại và thời gian phục hồi.
Đánh giá rủi ro việc đảm bảo tính liên tục hoạt động chính yếu có thể thực hiện với sự tham gia đầy
đủ những người chiếm hữu các quá trình và nguồn lực của các hoạt động chính. Đánh giá này phải
xem xét tất cả các quá trình và không bị giới hạn ở các tiện ích xử lý thông tin, nhưng phải bao gồm
các kết quả cụ thể về an ninh thông tin. Điều quan trọng là liên kết các khía cạnh rủi ro khác nhau
lại, để có được một bức tranh toàn cảnh về các yêu cầu tính liên tục trong kinh doanh của tổ chức.
Việc đánh giá phải xác định, định lượng và ưu tiên hoá các rủi ro dựa vào các chỉ tiêu và mục đích
liên quan đến tổ chức, bao gồm các nguồn lực quan trọng, tác động của sự gián đoạn, các lần ngưng
có thể chấp nhận, và các ưu tiên phục hồi.
Tuỳ thuộc vào kết quả của việc đánh giá rủi ro, một chiến lược đảm bảo tính liên tục các hoạt động
chính yếu được phát triển để định phương pháp tiếp cận toàn diện việc đảm bảo tính liên lục hoạt
động chính yếu. Một khi chiến lược này được tạo ra, phải được lãnh đạo xác nhận, và một kế hoạch
được lập và xác nhận để thực thi chiến lược này.
14.1.3 Việc phát triển và triển khai kế hoạch đảm bảo tính liên tục bao gồm cả an ninh thông
tin
Biện pháp kiểm soát
Phải phát triển và triển khai các kế hoạch để duy trì hay phục hồi các hoạt động và đảm bảo tính sẵn
sàng của thông tin tại mức yêu cầu và trong khoảng thời gian được yêu cầu theo sau làm gián đoạn
tới, hoặc thất bại của, các quá trình kinh doanh then chốt.
Hướng dẫn thực hiện
Phải xem xét những vấn đề sau trong quá trình lập kế hoạch để đảm bảo tính liên tục các hoạt động
chính của tổ chức.
a) Xác định và thoả thuận về tất cả trách nhiệm và các thủ tục đảm bảo tính liên tục các hoạt động
chính của tổ chức;
b) Xác định về các mất mát thông tin và dịch vụ có thể chấp nhận;
c) Triển khai các thủ tục để cho phép phục hồi và khôi phục các hoạt động kinh doanh và tính sẵn
sàng của thông tin trong khoảng thời gian được yêu cầu; Đặc biệt chú ý cần phải được trao cho việc
đánh giá phụ thuộc kinh doanh trong và ngoài các hợp tại chỗ;
d) Các quy trình hoạt động để làm theo cho đến khi hoàn tất việc khôi phục và phục hồi.
e) Các tài liệu của những thủ tục và quá trình đã thoả thuận;
f) Việc đào tạo thích hợp cho nhân viên về các thủ tục và quá trình đã thông qua, bao gồm quản lý
khủng hoảng;
g) Kiểm tra và cập nhật kế hoạch.
Quá trình lập kế hoạch nên tập trung vào các mục tiêu kinh doanh cần thiết, như khôi phục các dịch
vụ liên lạc quan trọng đối với khách hàng trong một lượng thời gian có thể chấp nhận. Các dịch vụ
và nguồn lực làm điều này dễ dàng phải được xác định, bao gồm phân bổ nguồn lực, các nguồn lực
không xử lý thông tin, cũng như thoả thuận dự phòng cho các tiện ích xử lý thông tin. Những thoả
thuận dự phòng có thể bao gồm các thoả thuận với bên thứ ba dưới dạng của các thoả thuận đối ứng,
hay các dịch vụ đăng ký thương mại.
Kế hoạch kinh doanh liên tục phải định rõ các lỗ hổng của tổ chức và vì vậy có thể chứa những
thông tin nhạy cảm cần được bảo vệ thích đáng. Các bản sao của kế hoạch đảm bảo tính liên tục của
hoạt động chính phải được chứa trong một nơi xa, tại một khoảng cách đủ xa để tránh bất kỳ tổn hại
do thảm hoạ tại trụ sở chính. Lãnh đạo phải đảm bảo các bản sao của các kế hoạch đảm bảo tính liên
tục của hoạt động chính được cập nhật và bảo vệ cùng mức an ninh được áp dụng ở trụ sở chính. Các
tài liệu cần thiết khác để thực thi kế hoạch liên tục cũng cần được lưu giữ tại địa điểm xa.
Nếu các vị trí tạm thời khác được sử dụng, mức độ của các kiểm soát an ninh được thực thi tại những
vụ trí này phải tương đương với trụ sở chính.
Thông tin khác
Phải chú ý rằng kế hoạch và các hoạt động quản lý khủng hoảng (xem 14.1.3 f)) có thể khác quản lý
đảm bảo tính liên tục của hoạt động chính; ví dụ một cuộc khủng hoảng có thể xảy ra được xem xét
bởi các thủ tục quản lý bình thường.
14.1.4 Khuôn khổ kế hoạch đảm bảo tính liên tục họat động chính yếu
Biện pháp kiểm soát
Một khuôn khổ của các kế hoạch đảm bảo tính liên tục của họat động chính yếu phải được duy trì để
đảm bảo tất cả các kế hoạch là nhất quán, để giải quyết các yêu cầu an ninh thông tin một cách nhất
quán, và để xác định các ưu tiên cho việc kiểm tra và duy trì.
Hướng dẫn thực hiện
Mỗi kế hoạch kinh doanh liên tục phải mô tả phương pháp cho việc đảm bảo liên tục, ví dụ tiếp cận
để đảm bảo thông tin hay tính sẵn sàng và bảo mật hệ thống thông tin. Mỗi kế hoạch cũng phải cụ
thể kế hoạch leo thang và các điều kiện để kích hoạt nó, cũng như trách nhiệm của các cá nhân thực
hiện mỗi phần của kế hoạch. Khi các yêu cầu mới được xác định, bất kỳ thủ tục khẩn cấp tồn tại như
kế hoạch di tản hay các thoả thuận dự phòng, phải được sửa đổi thích hợp. Các thủ tục phải được bao
gồm trong các trong chương trình quản lý thay đổi của tổ chức để đảm bảo rằng các quá trình đảm
bảo tính liên tục của hoạt động chính luôn luôn được xử lý một cách thích hợp.
Mỗi kế hoạch có một người sở hữu cụ thể. Các thủ tục khẩn cấp, kế hoạch dự phòng hướng dẫn, và
kế hoạch khôi phục phải thuộc trách nhiệm của người sở hữu các nguồn lực hay quá trình có liên
quan tương ứng. Các thoả thuận khôi phục với các dịch vụ kỹ thuật khác, như là các tiện ích xử lý
thông tin và truyền thông, phải luôn luôn là trách nhiệm của các nhà cung cấp dịch vụ.
Một khuôn khổ hoạch định business continuity phải chỉ rõ các yêu cầu an ninh thông tin đã xác định
và xem xét những điều sau:
a) Những điều kiện để khởi động các kế hoạch cần có mô tả quá trình để làm theo (như làm thế
nào để đánh giá tình hình, ai là người liên quan) trước khi mỗi kế hoạch được thực hiện;
b) Các thủ tục khẩn cấp, mô tả các thành động được thực hiện sau một sự cố gây nguy hiểm cho
các hoạt động kinh doanh;
c) Các thủ tục dự phòng có mô tả các hành động cần thực hiện để di chuyển các hoạt động kinh
doanh thiết yếu hay các dịch vụ hỗ trợ đến các vị trí tạm thời thay thế, và để đưa các quá trình kinh
doanh trở lại hoạt động trong khung thời gian được yêu cầu;
d) Các thủ tục điều hành tạm thời thực hiện theo trong khi chờ đợi phục hồi và khôi phục hoàn tất;
e) Các thủ tục khôi phục mô tả các hành động cần thực hiện để các hoạt động kinh doanh trở lại
bình thường;
f) Một lịch trình duy trì xác định làm thế nào và khi nào kế hoạch sẽ được kiểm tra, và quá trình
để duy trì kế hoạch.
g) Các hoạt động nhận thức, giáo dục và đào tạo được thiết kế để tạo sự hiểu biết về các quá trình
business continuity và đảm bảo rằng các quá trình liên tục đạt hiệu quả;
h) Trách nhiệm của mỗi cá nhân, mô tả ai có trách nhiệm gì trong việc thực hiện những phần của
kế hoạch. Phải đề cử người khác khi yêu cầu thay thế;
i) Các tài sản quan trọng và các nguồn lực cần thiết để có thể thực hiện các thủ tục khẩn cấp, dự
phòng và khôi phục.
14.1.5 Kiểm tra, duy trì và đánh giá lại kế hoạch đảm bảo tính liên tục của hoạt động chính
Biện pháp kiểm soát
Các kế hoạch đảm bảo tính liên tục của hoạt động chính phải được kiểm tra và cập nhật một cách
thường xuyên để đảm bảo rằng chúng hợp thời và hiệu quả.
Hướng dẫn thực hiện
Các cuộc kiểm tra kế hoạch đảm bảo tính liên tục các hoạt động chính phải đảm bảo rằng tất cả
những thành viên của đội phục hồi và các nhân viên liên quan khác nhận thức về kế hoạch và trách
nhiệm của họ đối với tính liên tục của họat động chính yếu và an ninh thông tin và biết được vai trò
của họ khi kế hoạch được đưa ra.
Lịch trình kiểm tra đối với kế họach đảm bảo tính liên tục của các họat động chính yếu phải chỉ ra
mỗi thành phần của kế họach được kiểm tra như thế nào và khi nào. Mỗi thành phần của kế họach
phải được kiểm tra một cách thường xuyên. Phải sử dụng các kỹ thuật đa dạng để mang lại sự đảm
bảo rằng kết họach sẽ họat động trong thực tế. Những đều này phải bao gồm:
a) Kiểm tra thử nghiệm các kịch bản khác nhau (thảo luận các thoả thuận phục hồi hoạt động
chính sử dụng ví dụ về các gián đoạn);
b) Những mô phỏng (đặc biệt trong huấn luyện nhân viên trong vai trò quản lý trước sự cố/ khủng
hoảng);
c) Kiểm tra kỹ thuật phục hồi (đảm bảo rằng hệ thống thông tin có thể được phục hồi hiệu quả);
d) Kiểm tra phục hồi tại một trụ sở khác (chạy các quá trình kinh doanh song song với những hoạt
động phục hồi ở trụ sở chính);
e) Kiểm tra các nhà cung cấp các tiện ích và dịch vụ (đảm bảo các dịch vụ được cung cấp từ bên
ngoài và các sản phẩn sẽ đáp ứng được cam kết trong hợp đồng);
f) Hoàn tất các buổi diễn tập (kiểm tra rằng hệ thống, nhân viên, thiết bị, các tiện ích, và các quá
trình có thể đương đầu với những gián đoạn hoạt động).
Những kỹ thuật này có thể được sử dụng bởi bất kỳ tổ chức nào. Chúng phải được áp dụng theo
một cách liên quan đến kế hoạch khôi phục cụ thể. Các kết quả kiểm tra phải được tài liệu hoá và các
hành động được thực hiện để cải tiến các kế hoạch, khi cần thiết.
Phải phân chia trách nhiệm về việc xem xét định kỳ của mỗi kế hoạch kinh doanh liên tục. Nhận
biết các thay đổi trong các thoả thuận kinh doanh chưa phản ánh trong các kế hoạch đảm bảo tính
liên tục các hoạt động chính yếu phải kèm theo bản cập nhật kế hoạch phù hợp. Các quá trình kiểm
soát thay đổi chính thức này phải đảm bảo rằng các kế hoạch đã cập nhật được triển khai và gia cố
bằng những xem xét thường xuyên kế hoạch đầy đủ.
Ví dụ phải xem xét cập nhật các kế hoạch đảm bảo tính liên tục các hoạt động chính yếu khi có các
thay đổi như là việc thay đổi thiết bị mới, nâng cấp hệ thống và các thay đổi trong:
a) Nhân viên;
b) Các địa chỉ hay số điện thoại;
c) Chiến lược kinh doanh;
d) Vị trí, các tiện ích, và các nguồn lực;
e) Pháp lý;
f) Các nhà thầu, nhà cung cấp, và các khách hàng chính;
g) Các quá trình, hoặc mới hoặc huỷ bỏ;
h) Rủi ro (hoạt động và tài chính).