AISe C05

14-Feb-23
CHƯƠNG 5
LẬP KẾ HOẠCH PHẢN ỨNG SỰ CỐ VÀ
HOẠT ĐỘNG LIÊN TỤC
1
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
Tình huống
Charlie lật cổ áo khoác lên để che tai. Các vòi cứu hỏa đang làm lạnh những chiếc xe dọc theo con phố nơi
anh đứng nhìn tòa nhà văn phòng của mình bốc cháy. Nhà kho và nơi nhận hàng đã bị hư hại nghiêm trọng.
Anh cố gắng che giấu sự thất thần của mình bằng cách quay sang nói chuyện với Fred Chin. Charlie nói: “Hãy
nhìn vào khía cạnh tươi sáng. Ít nhất chúng ta có thể nhận được các máy chủ mới…” Fred Chin lắc đầu
“Charlie, chắc anh đang mơ. Chúng ta không có đủ bảo hiểm để thay thế đầy đủ mọi thứ chúng ta đã mất"
Charlie choáng váng. Các văn phòng đã biến mất, tất cả các hệ thống máy tính, máy chủ và máy tính để bàn
đã tan thành tro, và anh sẽ phải cố gắng xây dựng từ đầu. Ít nhất thì anh hy vọng đã có những bản sao lưu
tốt. Anh suy nghĩ miên man, cố nhớ lại lần cuối cùng kiểm tra vị trí dự phòng
Anh tự hỏi tất cả các sơ đồ thiết kế mạng ở đâu. Anh tìm thông tin để gọi cho nhà cung cấp và nhớ ra bản
sao danh sách này để trong máy tính tại nơi làm việc nhưng nó đã bị thiêu hủy.
Anh đang tìm cách liên lạc với CIO và các thành viên đội ứng cứu.
Bỗng nhiên, hồi chuông báo thức reo to và thật may mắn, Charlie nhận ra đây chỉ là cơn ác mộng.
2
1
14-Feb-23
Mục tiêu chương
• Hiểu nhu cầu vì sao cần lập kế hoạch dự phòng
• Hiểu các thành phần chính của lập kế hoạch ứng phó sự cố, phục hồi
sau thảm họa, và đảm bảo hoạt động liên tục
• Xác định các thành phần của quản lý khủng hoảng
• Hiểu cách thức một tổ chức chuẩn bị và thực thi việc thử nghiệm (test)
kế hoạch dự phòng
3
Nội dung
1. Giới thiệu ứng phó sự cố và lập kế hoạch dự phòng
2. Những vấn đề cơ bản về lập kế hoạch dự phòng
3. Tuyên bố chính sách lập kế hoạch dự phòng
4. Phân tích ảnh hưởng kinh doanh
5. Ứng phó sự cố
6. Phục hồi sau thảm họa
7. Đảm bảo hoạt động kinh doanh liên tục
8. Quản lý khủng hoảng
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng
10. Thử nghiệm kế hoạch dự phòng
4
2
14-Feb-23
Thuật ngữ
Business Kế hoạch Đảm Hồ sơ/ văn bản của việc lập kế hoạch đảm bảo hoạt động liên tục. Kế
continuity bảo hoạt động hoạch này thể hiện những nỗ lực dự định của tổ chức để tiếp tục các
plan (BC) liên tục chức năng quan trọng trong tình huống việc hoạt động tại địa điểm
chính (primary site) không khả thi
Business Lập kế hoạch Các hành động do quản lý cấp cao thực hiện để phát triển và thực hiện
continuity đảm bảo hoạt chính sách, kế hoạch và các nhóm (teams) đảm bảo hoạt động lên tục
planning động liên tục
(BCP)
Business Phân tích tác Một cuộc điều tra và đánh giá các sự kiện bất lợi khác nhau có thể ảnh
impact động kinh hưởng đến tổ chức. Nó được tiến hành như một giai đoạn sơ bộ của
analysis (BIA) doanh quá trình lập kế hoạch dự phòng, bao gồm việc xác định mức độ quan
trọng của hệ thống hoặc tập hợp các thông tin đối với các quy trình cốt
lõi của tổ chức và các ưu tiên phục hồi.
5
Thuật ngữ
Contingency Lập Kế hoạch Các hành động do quản lý cấp cao thực hiện để chỉ rõ các nỗ lực và
Planning (CP) dự phòng hành động của tổ chức nếu một sự kiện bất lợi trở thành sự cố hoặc
thảm họa. Việc lập kế hoạch này bao gồm các nỗ lực ứng phó sự cố,
khắc phục thảm họa và duy trì hoạt động kinh doanh, cũng như lập các
phân tích tác động kinh doanh.
Continuity Các chiến lược
Strategies đảm bảo hoạt
động liên tục
Crisis Quản lý khủng Tập hợp các nỗ lực lập kế hoạch và chuẩn bị của tổ chức để đối phó với
Management hoảng thương tích, chấn thương tinh thần tiềm ẩn với con người, hoặc mất
mạng do thảm họa
Disaster recovery Kế hoạch Phục Hồ sơ/ văn bản của việc lập kế hoạch khắc phục hậu quả thiên tai; một
plan (DR) hồi sau thảm kế hoạch trình bày những nỗ lực dự kiến của tổ chức trong trường hợp
họa có thảm họa
Disaster recovery Lập kế hoạch Các hành động được thực hiện bởi quản lý cấp cao để xác định những
planning (DRP) phục hồi sau nỗ lực của tổ chức trong việc chuẩn bị và phục hồi sau thảm họa.
thảm họa
6
3
14-Feb-23
Thuật ngữ
Incident Ứng phó sự
response (IR) cố
Incident Lập kế hoạch
Các hành động được thực hiện bởi quản lý cấp cao để phát triển
response ứng phó sự cố
và thực hiện chính sách, kế hoạch IR và nhóm ứng phó sự cố an
planning (IRP)
toàn máy tính
Incident Chính sách

Response Policy ứng phó sự cố
7
Thuật ngữ
Information Quản trị an toàn Việc áp dụng các nguyên tắc quản trị công ty vào chức năng an toàn
Security thông tin thông tin.
Governance
Maximum tolerable Thời gian ngưng Tổng lượng thời gian mà chủ sở hữu hệ thống/ hoặc viên chức được ủy
downtime (MTD) trệ tối đa có thể quyền sẵn sàng chấp nhận việc gián đoạn hoặc ngưng trệ một sứ mệnh /
chấp nhận được quy trình kinh doanh, bao gồm tất cả các cân nhắc về tác động.
Operational plans Kế hoạch hoạt
động Là Hồ sơ hoặc văn bản của việc lập kế hoạch hoạt động. Kế hoạch này mô
tả các nỗ lực hoạt động dự kiến hàng ngày của tổ chức trong vài tháng
tới.
Operational Lập kế hoạch Các hành động mà ban lãnh đạo thực hiện nhằm xác định các mục tiêu
planning hoạt động ngắn hạn của tổ chức để đạt được các mục tiêu chiến thuật cụ thể, sau đó
là các ước tính và lịch trình phân bổ các nguồn lực cần thiết để đạt được
các mục tiêu này
8
4
14-Feb-23
Thuật ngữ
Recovery point Mốc phục hồi Thời điểm trước khi hệ thống bị gián đoạn hoặc ngừng hoạt động
objective (RPO) dữ liệu mà dữ liệu của sứ mệnh / quy trình kinh doanh có thể được khôi
phục sau khi ngừng hoạt động (được cung cấp bản sao lưu dữ liệu
gần đây nhất).
Recovery time Mốc thời gian Khoảng thời gian tối đa mà tài nguyên hệ thống có thể không có
objective (RTO) phục hồi sẵn trước khi có tác động không thể chấp nhận được đối với các
tài nguyên hệ thống khác hỗ trợ nhiệm vụ / quy trình kinh doanh
và MTD
Work recovery Thời gian Số lượng nỗ lực (được biểu thị bằng thời gian đã trôi qua) cần
time (WRT) phục hồi hoạt thiết để làm cho chức năng kinh doanh hoạt động sau khi yếu tố
động công nghệ được khôi phục (như được xác định với RTO). Các
nhiệm vụ bao gồm kiểm tra và xác nhận hệ thống.
9
Thuật ngữ
Hot site Địa điểm sử Địa điểm dự phòng có Cơ sở hạ tầng bao gồm tất cả dịch vụ máy
dụng ngay lập tính, mạng kết nối truyền thông và vị trí làm việc vật lý
tức
Warm site Địa điểm sử Địa điểm dự phòng có Cơ sở hạ tầng bao gồm nhiều dịch vụ
dụng ngay giống Hot site nhưng không bao gồm các phần mềm ứng dụng và
các máy trạm làm việc (workstation)
Cold site Địa điểm chờ Chỉ cung cấp các dịch vụ và cơ sở vật chất thô sơ, không có phần
cứng máy tính hoặc thiết bị ngoại vi nào được cung cấp. Có sẵn
các đường truyền thông
10
10
5
14-Feb-23
Nội dung
11
11

• Các biến cố, sự cố bất ngờ đều ảnh hưởng tới hoạt động kinh doanh
• Khả năng của một tổ chức đối phó với tổn thất do sự kiện bất lợi gây ra phụ thuộc
vào sự đúng đắn của việc lập kế hoạch và thực hiện kế hoạch dự phòng. Nếu không,
sự kiện bất lợi có thể gây ra thiệt hại nghiêm trọng cho tài nguyên và tài sản thông
tin của tổ chức và thậm chí không thể khôi phục hồi được  Lập Kế hoạch ứng phó
sự cố và lập kế hoạch dự phòng cần toàn diện, hữu hiệu
• Việc lập kế hoạch ứng phó sự cố và lập kế hoạch dự phòng cần được thực hiện tại
tất cả các DN
12
12
6
14-Feb-23
Nội dung
13
13
2.1. Các thành phần của lập kế hoạch dự phòng
2.2. Tiếp cận lập kế hoạch dự phòng của NIST
2.3. Quy trình CP tổng thể tích hợp các quy trình của BIA, IRP và DRP
2.4. Nhân sự liên quan trong lập kế hoạch dự phòng
14
14
7
14-Feb-23

• Quy trình lập Kế hoạch toàn diện ứng phó các sự cố bất lợi được gọi là lập kế hoạch
dự phòng (Contingent Planning-CP)
• Mục tiêu chính của CP là khôi phục các phương thức hoạt động bình thường với chi
phí và thời gian gián đoạn hoạt động kinh doanh tối thiểu nhất.
• Lập kế hoạch dự phòng gồm 4 thành phần
• Phân tích ảnh hưởng kinh doanh (Business Impact Analysis – BIA)
• Lập Kế hoạch phản ứng sự cố (Incident Response Plan - IRP)
• Lập Kế hoạch phục hồi sau thảm họa (Disaster Recovery Plan - DRP)
• Lập kế hoạch đảm bảo hoạt động liên tục (Business Continuity Plan - BCP)
15
15

• Tùy thuộc vào quy mô và triết lý kinh doanh của tổ chức, các nhà quản lý IT, an toàn
thông tin có thể:
• Tạo và phát triển bốn thành phần của CP như một kế hoạch thống nhất
• Hoặc, tạo bốn phần riêng biệt trong sự kết nối với một tập hợp các quy trình lồng
vào nhau để đảm bảo hoạt động kinh doanh liên tục.
16
16
8
14-Feb-23
17
17
Knowledge Check Activity 1

Each of these is a major component of contingency planning EXCEPT _____.
a. incident response plan

b. business continuity plan
c. business loss analysis
d. disaster recovery plan
18
9
14-Feb-23
2.2. Tiếp cận lập kế hoạch dự phòng của NIST
7 bước để lập CP
1. Phát triển chính sách CP
2. Thực hiện BIA
3. Xác định kiểm soát ngăn ngừa
4. Tạo chiến lược dự phòng (hệ thống/cơ sở hạ tầng)
5. Phát triển kế hoạch dự phòng
6. Đảm bảo kế hoạch: Thực hiện kiểm tra, huấn luyện và thực hành
7. Đảm bảo duy trì kế hoạch: Cập nhật thường xuyên
19
19
• Dựa trên 7 bước đề xuất của NIST, Quy trình CP tổng thể tích hợp các quy
trình của BIA, IRP và DRP được mở rộng thành 12 bước
20
20
10
14-Feb-23
1. Hình thành CPMT (Đội quản lý

lập kế hoạch dự phòng)
2. Xây dựng tuyên bố chính sách lập
kế hoạch dự phòng
3. Tiến hành phân tích tác động
kinh doanh (BIA): xác định và ưu
tiên các chức năng của tổ chức
cũng như IS và các thành phần
quan trọng để hỗ trợ quy trình
kinh doanh của tổ chức
21
21
4. Hình thành các nhóm lập kế hoạch ở

cấp dưới: Theo từng nhóm có nhiệm vụ
lập các kế hoạch (IRP, DRP và BCP)
5. Phát triển chính sách lập kế hoạch ở cấp
dưới
6. Tích hợp phân tích ảnh hưởng kinh
doanh (BIA). Mỗi nhóm lập kế hoạch cấp
dưới sẽ xem xét một cách độc lập và kết
hợp các khía cạnh của BIA có tầm quan
trọng đối với các nỗ lực lập kế hoạch của
họ.
22
22
11
14-Feb-23
7. Xác định các kiểm soát ngăn ngừa.

8. Tổ chức các đội phản ứng cấp dưới: Xác định
các kỹ năng và nhân sự cần thiết cho mỗi
nhóm phản ứng cấp dưới (IR/DR/BC) và xác
định nhân sự cần thiết. Họ sẽ thực hiện trực
tiếp một kế hoạch cụ thể nếu được kích hoạt.
9. Tạo chiến lược dự phòng: dựa vào đóng góp
của các trưởng nhóm cấp dưới, CPMT sẽ
đánh giá và đầu tư vào các chiến lược IR, DR
và BC: các kế hoạch sao lưu và phục hồi dữ
liệu, lưu trữ dữ liệu off-site và các chiến lược
sử dụng các địa điểm (site) thay thế
23
23
10. Xây dựng kế hoạch CP ở cấp dưới: Đối với mỗi

khu vực trực thuộc, phát triển một kế hoạch để
xử lý các hành động và hoạt động tương ứng
cần thiết để (a) ứng phó với sự cố, (b) phục hồi
sau thảm họa và (c) thiết lập hoạt động tại một
vị trí thay thế sau một sự kiện gián đoạn
11. Đảm bảo kế hoạch kiểm tra, huấn luyện và tập
luyện: Đảm bảo mỗi kế hoạch cấp dưới được
kiểm tra và các nhân viên tương ứng được huấn
luyện để xử lý bất kỳ trường hợp nào leo thang
thành sự cố hoặc thảm họa
12. Đảm bảo duy trì kế hoạch: Quản lý kế hoạch,
đảm bảo xem xét, đánh giá và cập nhật định kỳ
24
24
12
14-Feb-23
2.4. Nhân sự liên quan đến lập kế hoạch dự phòng
• Đội quản lý lập kế hoạch dự phòng - CPMT (Contingency Planning

Management Team)
• Là một nhóm gồm quản lý cấp cao và các thành viên đội dự án để thực hiện và
dẫn dắt tất cả các hoạt động liên quan lập kế hoạch dự phòng:
• Quản lý cấp điều hành (coordinating executive)
• Đại diện các bộ phận kinh doanh chính có liên quan
• Quản lý ở mỗi nhóm có ảnh hưởng tới ATTT (nhóm quản lý chung, quản lý IT, quản lý
ATTT)
25
25
2.4. Nhân sự liên quan đến lập kế hoạch dự phòng

• Các vị trí chủ chốt của CPMT
• Hỗ trợ CPMT (CTMT champion): COO hoặc CEO/President. Kết nối với tầm nhìn chiến lược của tổ chức
và hỗ trợ các nguồn lực khác
• Quản lý dự án (Project Manager): Là CISO/Quản lý cấp trung. Đảm bảo sử dụng nguồn lực của dự án,
hoàn thành dự án
• Thành viên Đội dự án (Team members):
▪ Đại diện quản lý của 3 nhóm (quản lý KD chung, quản lý IT và quản lý ATTT)
o Đại diện quản lý KD chung: Cung cấp thông tin về hoạt động kinh doanh
o Đại diện quản lý IT: Cung cấp thông tin về rủi ro hệ thống -> sử dụng cho BIA, kế hoạch IR,
DR, BC
o Đại diện quản lý ATTT: (1) cung cấp thông tin nguy cơ, điểm yếu, tấn công và yêu cầu khôi
phục hệ thống. (2) Giám sát việc lập kế hoạch ATTT.
▪ Đại diện pháp lý: Đảm bảo tính pháp lý của việc lập và thực hiện kế hoạch CP
▪ Đại diện truyền thông: Đảm bảo truyền thông trong quản lý khủng hoảng
▪ Đại diện đội lập kế hoạch cấp dưới
26
26
13
14-Feb-23
Nội dung
27
27
3. Tuyên bố Chính sách CP

• Trước khi CPMT có thể phát triển đầy đủ các tài liệu lập kế hoạch, họ cần phải
nhận được các hướng dẫn từ các nhà quản lý điều hành thông qua chính sách CP
• Chính sách CP định nghĩa phạm vi của hoạt động CP và thiết lập yêu cầu liên quan
đến thời gian biểu của việc ứng phó với sự cố, phục hồi sau thảm họa, và thiết lập
lại hoạt động liên tục.
• Ngoài ra, chính sách CP cũng quy định trách nhiệm đối với sự phát triển và hoạt
động của CPMT nói chung
28
28
14
14-Feb-23
3. Tuyên bố Chính sách CP

• Nội dung chính sách lập kế hoạch dự phòng
• Giới thiệu quan điểm của quản lý cấp cao về tầm quan trọng của CP
• Mô tả Phạm vi và mục đích của hoạt động CP
• Lời kêu gọi của CPMT về việc thực hiện định kỳ đánh giá rủi ro và BIA
• Mô tả các thành phần chính của CP
• Lời kêu gọi và hướng dẫn lựa chọn các phương án phục hồi và chiến lược kinh doanh liên
tục
• Yêu cầu để kiểm tra các kế hoạch (IR/DR/BC) theo quy định (thực hiện định kỳ)
• Xác định các quy định và tiêu chuẩn chính ảnh hưởng đến việc lập CP
• Xác định các cá nhân chủ chốt chịu trách nhiệm chính các hoạt động
• Xác định tầm quan trọng và đưa lời kêu gọi hỗ trợ từ các thành viên khác trong tổ chức
• Thông báo các hoạt động hành chính, quản lý bổ sung
29
29
Nội dung
30
30
15
14-Feb-23

• BIA là việc điều tra và đánh giá các sự kiện bất lợi khác nhau có thể ảnh hưởng đến
tổ chức, là giai đoạn tiền đề của CP. Nó xác định chức năng kinh doanh và hệ thống
thông tin nào là quan trọng nhất đối với sự thành công của tổ chức, từ đó xác định
trình tự ưu tiên để khôi phục các chức năng này.
• BIA giả định các biện pháp kiểm soát đã bị bỏ qua/không thành công/không hiệu
quả; giả định cuộc tấn công đã thành công. Bằng cách giả định điều tồi tệ nhất đã
xảy ra và sau đó đánh giá điều đó sẽ ảnh hưởng như thế nào đến tổ chức, các nhà
lập kế hoạch có được cái nhìn sâu sắc về cách ứng phó với sự kiện bất lợi, giảm thiểu
thiệt hại, phục hồi sau các tác động và trở lại hoạt động bình thường
∙
31
31

• Khi thực hiện BIA, cần cân nhắc các vấn đề sau
• Phạm vi (scope)
• Kế hoạch (plan)
• Cân bằng (balance)
• Mục tiêu (objective)
• Theo dõi (follow up
32
32
16
14-Feb-23

• Theo NIST SP 800-34, Rev. 1, CPMT tiến hành BIA trong ba giai đoạn:
• Xác định nhiệm vụ/quy trình kinh doanh và mức độ quan trọng của việc phục hồi
• Xác định các yêu cầu về nguồn lực/ tài nguyên
• Xác định các ưu tiên phục hồi cho nguồn lực/tài nguyên hệ thống
33
33

Xác định nhiệm vụ/quy trình kinh doanh và mức độ quan trọng của
việc phục hồi
• Nhiệm vụ chính đầu tiên của BIA là phân tích và ưu tiên các quy trình kinh doanh
trong tổ chức, dựa trên mối quan hệ của chúng với sứ mệnh của tổ chức.
• Mỗi bộ phận, đơn vị hoặc bộ phận kinh doanh phải được đánh giá độc lập để xác
định tầm quan trọng của các chức năng của nó đối với toàn bộ tổ chức.
• Một bảng phân tích trọng số có thể hữu ích trong việc đánh giá các chức năng kinh
doanh.
• Bảng câu hỏi BIA rất hữu ích trong việc xác định và thu thập thông tin về các chức
năng kinh doanh để phân tích.
34
34
17
14-Feb-23

việc phục hồi
35
35

việc phục hồi
36
36
18
14-Feb-23

việc phục hồi
• Khi xem xét mức độ quan trọng của việc phục hồi, các đo lường phục hồi thường
dựa trên mức độ phục hồi tài sản trong một khung thời gian xác định, thông qua các
tiêu chí:
• Mốc thời gian phục hồi (Recovery time objective - RTO)
• Mốc phục hồi dữ liệu (Recovery point objective - RPO)
• Thời gian ngưng trệ tối đa có thể chấp nhận được (Maximum tolerable downtime - MTD)
• Thời gian phục hồi hoạt động (Work recovery time - WRT)
37
37

việc phục hồi
RTO và RPO
38
38
19
14-Feb-23

việc phục hồi
RTO, RPO, MTD, và WRT
39
39

việc phục hồi
Xác định điểm tối ưu cho phục hồi hệ thống

Cân bằng giữa chi phí tổn thất của hệ thống ngưng
hoạt động và chi phí của nguồn lực cho việc phục hồi
40
40
20
14-Feb-23

Xác định yêu cầu nguồn lực phục hồi
• Sau khi tổ chức đã tạo danh sách ưu tiên cho nhiệm vụ/quy trình kinh doanh của
mình, tổ chức cần xác định nguồn lực nào sẽ được yêu cầu để khôi phục các quy
trình đó và tài sản liên quan đến chúng.
• Đối với mỗi quy trình (và tài sản thông tin) được xác định trong giai đoạn trước đó
của BIA, tổ chức cần xác định và mô tả các nguồn lực liên quan cần thiết để cung cấp
hoặc hỗ trợ quy trình đó.
• Một phương pháp đơn giản hóa có thể được sử dụng để thực hiện công việc trên là
đưa nó vào một bảng tài nguyên/thành phần.
41
41
Example Resource/Component Table (1 of 2)

Mission/Business Process Required Resource Additional Resource Description and Estimated Costs
Components Details
Provide customer support Trouble ticket and Application server w/ Each help-desk technician requires
(help-desk) resolution application LINUX OS, Apache access to the organization's
server, and SQL database trouble ticket and resolution
software application, hosted on a
dedicated server. See current cost
recovery statement for valuation.
Provide customer support Help-desk network 25 Cat5e network drops, The help-desk applications are
(help desk) segment gigabit network hub networked and require a network
segment to access. See current
cost recovery statement for
valuation.
42
42
21
14-Feb-23
Example Resource/Component Table (2 of 2)
Mission/Business Process Required Resource Additional Resource Description and Estimated Costs
Components Details
Provide customer support Help-desk access 1 laptop/PC per The help-desk applications require
(help desk) terminals technician, with Web- a Web interface on a laptop/PC to
browsing software access. See current cost recovery
statement for valuation.
Provide customer billing Customized accounts Application server with Accounts Receivable requires
receivable application Linux OS, Apache server, access to its customized AR
and SQL database software and customer database
to process customer billing. See
current cost recovery statement
for valuation.
43
43

Ưu tiên phục hồi nguồn lực hệ thống
• Giai đoạn cuối cùng của BIA là ưu tiên các tài nguyên liên quan đến nhiệm vụ/quy trình
kinh doanh, giúp hiểu rõ hơn về những gì phải được khôi phục trước, ngay cả trong các
quy trình quan trọng nhất.
• Với thông tin có được từ các bước trước đó, tổ chức có thể tạo các bảng phân tích có
trọng số về các tài nguyên cần thiết để hỗ trợ các quy trình cụ thể.
• Ngoài các bảng có trọng số, có thể sử dụng một thang đánh giá và phân loại đơn giản,
VD: Primary/Secondary/Tertiary, hoặc Critial/Veryimportant/Important/Routine, để cung
cấp phương pháp đánh giá nguồn lực hỗ trợ nhanh hơn.
44
44
22
14-Feb-23
Nội dung
45
45
• 5.1. Các khái niệm và giới thiệu ứng phó sự cố
• 5.2. Chính sách ứng phó sự cố
• 5.3. Lập kế hoạch ứng phó sự cố
• 5.4. Phát hiện sự cố
• 5.5. Hành động ứng phó sự cố
• 5.6. Khôi phục sau sự cố
46
46
23
14-Feb-23
5.1. Các khái niệm và giới thiệu ứng phó sự cố

• Các khái niệm
• Sự cố (Incident) là sự kiện bất lợi (adverse event) có biểu hiện gây thiệt hại cho
tài sản thông tin nhưng chưa đe dọa những hoạt động như dự định ban đầu của
tổ chức.
• Sự cố an toàn thông tin được nhận diện nếu sác sự kiện bất lợi có các đặc điểm
sau:
• Nhắm tới các tài sản thông tin.
• Có cơ hội thành công thực sự
• Đe dọa đến tính bảo mật, tính toàn vẹn hoặc tính sẵn có của các tài nguyên và
tài sản thông tin.
47
47

• Ứng phó sự cố (Incident response-IR) là một tập hợp các hoạt động gồm lập
kế hoạch và chuẩn bị các nỗ lực để phát hiện, phản ứng với và khôi phục từ các
sự cố
• Lập kế hoạch ứng phó sự cố (Incident response planning-IRP) là hành động
được thực hiện bởi quản lý cấp cao để phát triển và thực hiện chính sách phản
ứng sự cố, kế hoạch và phát triển đội phản ứng sư cố an toàn máy tính.
48
48
24
14-Feb-23

• Kế hoạch ứng phó sự cố (Incident response plan-IR Plan) là hồ sơ kết quả của
hoạt động lập kế hoạch phản ứng sự cố. Kế hoạch này phải trình bày được các nỗ
lực dự định của tổ chức khi sự cố xảy ra
• Đội ứng phó sự cố an toàn máy tính (Computer security Incident response
team-CSIRT) là một nhóm ứng phó sự cố gồm kỹ thuật IT, quản lý IT và chuyên
gia an toàn thông tin, được thành lập để phát hiện, phản ứng với và khôi phục sự
cố. Vài thành viên chủ chốt của đội lập kế hoạch sự cố (IRPT) có thể là thành viên
của CSIRT
49
49

• Giới thiệu
Đội quản lý lập kế hoạch

dự phòng (CPMT)
Thành
lập
Chính sách phản ứng sự cố

Đội lập kế hoạch ứng
Xây
phó sự cố (IRPT) dựng
Lập kế hoạch ứng phó sự cố
Thành
lập
Đội ứng phó sự cố an

toàn máy tính (CSIRT)
50
50
25
14-Feb-23

• Giới thiệu
Viện Tiêu Chuẩn Và Công Nghệ Quốc Gia (Mỹ) - NIST phát
triển Khuôn Mẫu An Ninh Mạng – CSF (NIST CyberSecurity
Framwork), tập trung trong việc bảo vệ cơ sở hạ tầng an
ninh mạng, hỗ trợ cho phương pháp luận phản ứng sự cố
51
51

• Giới thiệu
Chu kỳ ứng phó sự cố theo NIST
52
52
26
14-Feb-23

• Giới thiệu
Khuôn mẫu an ninh mạng (CSF)
53
53
5.2. Chính sách ứng phó sự cố

• Chính sách ứng phó sự cố (IR policy) là bản hướng dẫn việc phát triển và thực hiện
kế hoạch ứng phó sự cố; và hướng dẫn hình thành, thực hiện hoạt động của đội
phản ứng sự cố
• Chính sách cần xây dựng để tất cả các thành viên trong tổ chức, các bên liên quan
đều hiểu được rõ ràng; Đảm bảo được sự hỗ trợ của quản lý cấp cao và của 3 nhóm
có lợi ích liên quan
54
54
27
14-Feb-23
5.2. Chính sách ứng phó sự cố

• Theo hướng dẫn của NIST, nội dung chính sách IR gồm:
• Tuyên bố cam kết quản lý
• Mục đích (purpose) và mục tiêu (objectives) của chính sách
• Phạm vi (áp dụng cho ai, áp dụng những gì và trong những trường hợp nào)
• Định nghĩa các sự cố an toàn thông tin và các điều khoản liên quan
• Cơ cấu tổ chức và định nghĩa về vai trò, trách nhiệm và mức độ quyền hạn
• Xếp hạng mức độ ưu tiên hoặc mức độ nghiêm trọng của sự cố
• Đo lường thành quả
• Biểu mẫu báo cáo và liên hệ
55
55
5.3. Lập kế hoạch ứng phó sự cố

• Lập kế hoạch ứng phó sự cố là việc phát triển một loạt các phản ứng được xác định trước để
hướng dẫn cho CSIRT và nhân viên an toàn thông tin.
• Ứng phó sự cố (IR) là các biện pháp phản ứng, không phải là một biện pháp phòng ngừa,
mặc dù hầu hết các kế hoạch IR bao gồm các khuyến nghị phòng ngừa
• Các hành động ứng phó sự cố thường bao gồm:
• Phát hiện
• Hành động ứng phó
• Khôi phục
• Cần lập 3 bộ thủ tục xử lý sự cố gồm: trước sự cố, trong sự cố, và sau sự cố
• Các quy trình này cần được lập hồ sơ rõ ràng và nó là 1 phần trong kế hoạch ứng phó sự cố
56
56
28
14-Feb-23
5.3. Lập kế hoạch ứng phó sự cố

• Theo NIST (SP 800-61, Rev2), một kế hoạch ứng phó sự cố bao gồm:
• Sứ mệnh (mission)
• Chiến lược và mục tiêu
• Phê duyệt của quản lý cấp cao
• Cách tiếp cận của tổ chức đối với ứng phó sự cố
• Cách truyền thông của đội ứng phó sự cố
• Các chỉ số đo lường năng lực và hiệu quả ứng phó sự cố
• Lộ trình hoàn thiện năng lực ứng phó sự cố
• Cách để chương trình phản ứng sự cố phù hợp với tổ chức trong tổng thể
57
57
5.4. Phát hiện sự cố

• Phát hiện sự cố (incident detective) là việc xác định và phân loại sự kiện bất lợi xem
nó có cấu thành sự cố hay không?
• Việc phát hiện sự cố là thách thức khó khăn nhưng quan trọng vì khi xác định và
phân loại đúng cách sự cố thực tế, các thành viên của nhóm phản ứng sự cố mới có
thể thực hiện hiệu quả các quy trình tương ứng từ kế hoạch ứng phó sự cố (IR plan)
• Các cơ chế có thể phát hiện sự cố bao gồm phát hiện xâm nhập và hệ thống ngăn
chặn (dựa trên máy chủ và mạng), phần mềm phát hiện vi rút, quản trị viên hệ thống
và thậm chí cả người dùng cuối
58
58
29
14-Feb-23

• Các chỉ báo sự kiện bất lợi có khả năng trở thành sự cố (possible Indicators)
• Xuất hiện các tập tin không quen thộc
• Xuất hiện hoặc thực hiện các chương trình hoặc quy trình không biết
• Sử dụng các nguồn lực /tài nguyên hệ thống một cách bất thường
• Hệ thống bị treo bất thường.
59
59

• Các chỉ báo sự kiện bất lợi có khả năng cao xảy ra (probable indicators)
• Hoạt động vào những thời điểm không mong muốn. Xem xét số lượng truy cập,
đặc biệt vào những lúc ngoài giờ làm việc thông thường.
• Sự hiện diện của các tài khoản mới. Đặc biệt lưu ý các tài khoản mới đã hủy đăng
nhập mà có các đặc quyền đặc biệt
• Các cuộc tấn công được báo cáo: cần xem xét cẩn thận mức độ cuộc tấn công
(nghi ngờ hay đang diễn ra)
• Thông báo từ IDPS (intrusion detection and prevention systems - hệ thống ngăn
chặn và phát hiện xâm nhập)
60
60
30
14-Feb-23

• Các chỉ báo xác định (Definition Indicators) sự kiện bất lợi trở thành sự cố (các hoạt
động báo hiệu rõ ràng một sự cố đang diễn ra hoặc đã xảy ra)
• Sử dụng các tài khoản không hoạt động (Dormant acoounts) - là các tài khoản của
những người đã nghỉ nhưng chưa xóa và không có quyền truy cập từ xa; hoặc là các TK
giả để kiểm tra hệ thống
• Thay đổi được ghi nhận trong nhật ký hệ thống. Nếu có các thay đổi quyền truy cập hoặc
sử dụng các hệ thống và dữ liệu được ghi nhận trong nhật ký hệ thống
• Sự hiện diện của các công cụ hacker. Người quản trị mạng sử dụng các điểm yếu tiềm ẩn
của hệ thống và các công cụ đánh giá mạng để xác định điểm yếu bảo mật, kiểm tra sự
xâm nhập vào hệ thống. Tuy nhiên, việc sử dụng các công cụ này bị cấm tuyệt đối, chỉ trừ
khi được sự cho phép của CISO và được giám sát chặt chẽ.
• Thông báo của đối tác hoặc đồng nghiệp
• Thông báo của hacker.
61
61

• Một số tình huống khác là dấu hiệu liên quan sự cố:
• Mất tính khả dụng. Thông tin hoặc hệ thống thông tin không sẵn sàng cho việc
sử dụng
• Mất tính toàn vẹn: Thông tin/dữ liệu bị sai, không sử dụng được
• Mất tính bảo mật. Thông tin bí mật, quan trọng hoặc được bảo vệ bị công bố bất
hợp pháp, bị rò rỉ.
• Vi phạm chính sách của công ty về sử dụng và bảo mật
• Vi phạm pháp luật về sử dụng hệ thống thông tin, công bố và sử dụng thông tin
62
62
31
14-Feb-23

Which of these is not a definite indicator that an event is an incident?
a. Use of dormant accounts
b. Unusual system crashes
c. Changes to logs
d. Presence of hacker tools
63
5.5. Hành động ứng phó sự cố

• Ứng phó sự cố được thực hiện đồng loạt bởi CSIRT và các nhân sự liên quan khác
ngay lập tức sau khi xác định và phân loại sự cố.
• Ứng phó sự cố gồm các hành động được nêu trong kế hoạch IR, hướng dẫn tổ chức
nỗ lực ngăn chặn sự cố, giảm thiểu tác động của sự cố và cung cấp thông tin để khắc
phục. Các bước trong phản ứng sự cố :
• Thông báo của nhân sự chủ chốt
• Lập tài liệu sự cố
• Các tiếp cận lựa chọn phản ứng sự cố
• Sự leo thang của sự cố
64
64
32
14-Feb-23

• Thông báo của nhân sự chủ chốt:
• Khi nhận được thông báo xác định sự cố từ các BP liên quan (VD người sử dụng, quản trị viên hệ
thống, phòng thông tin khách hàng v.v,), đội ứng phó sự cố cần thông báo với những người chủ
chốt. DN cần duy trì hồ sơ cảnh báo (alert roster) chứa các thông tin cần liên lạc của những người
tiếp nhận thông báo về sự cố
• Thông điệp cảnh báo (alert message) sẽ được gửi để cảnh báo. Thông điệp cảnh báo gồm: mô tả
sự cố hoặc thảm họa bằng thông tin gọn, đủ, rõ ràng để hiểu được phần quy trình nào (IR hay DR)
được thực hiện.
• Các nhân viên chủ chốt khác cũng phải được thông báo về sự cố chỉ sau khi sự cố đã được xác
nhận, nhưng trước khi phương tiện truyền thông hoặc các nguồn bên ngoài khác biết về nó.
65
65

• Thông báo của nhân sự chủ chốt:
• Có 2 cách kích hoạt hồ sơ cảnh báo: theo trình tự (consequently) và phân cấp
(hierachiclly). Tuy nhiên, hiện đã có hệ thống tự động cảnh báo hỗ trợ các phương pháp
này
• Theo trình tự: Là sự kết nối cảnh báo của từng người với nhau theo thứ tự trong hồ
sơ cảnh báo. Ưu điểm: thông tin cảnh báo chính xác và theo đúng trình tự được thiết
kế trước trong hồ sơ cảnh báo. Nhược: chậm, mất nhiều thời gian hơn.
• Phân cấp: Người nhận cảnh báo ban đầu sẽ kết nối cảnh báo với một nhóm người
được xác định trong hồ sơ cảnh báo và những người này lại tiếp tục cảnh báo với
những người khác trong hồ sơ cảnh báo. Ưu: nhanh. Nhược: thông tin có thể bị sai
hoặc có thể phá vỡ trình tự ưu tiên nhận cảnh báo.
66
66
33
14-Feb-23

• Lập tài liệu sự cố: Ngay sau khi một sự cố hoặc thảm họa đã được công bố, nhân
viên chủ chốt phải được thông báo và cần bắt đầu lập hồ sơ về sự cố kiện đang diễn
ra để:
• Làm tài liệu chứng minh việc đã làm
• Công bố, truyền thông về sự cố
• Phân tích, huấn luyện sau này
67
67

• Các tiếp cận lựa chọn ứng phó sự cố
• Các chiến lược lựa chọn ứng phó sự cố tập trung vào việc:
• Dừng sự cố
• Khôi phục quyền kiểm soát của các hệ thống bị ảnh hưởng
• Các chiến lược lựa chọn ứng phó điển hình:
• Vô hiệu hóa tài khoản người dùng bị xâm phạm
• Cấu hình lại tường lửa để chặn truy cập
• Tạm thời vô hiệu hóa quy trình hoặc dịch vụ bị xâm nhập
• Gỡ bỏ các đường kết nối với ứng dụng hoặc máy chủ
• Ngắt kết nối mạng hoặc phân đoạn mạng bị ảnh hưởng
• Dừng tất cả các máy tính và thiết bị mạng.
68
68
34
14-Feb-23

• Trường hợp sự cố bị leo thang (incident escalation)
• Sự cố trở thành thảm họa: Một sự cố có thể gia tăng về phạm vi hoặc mức độ nghiêm
trọng đến mức kế hoạch ứng phó sự cố không thể ngăn chặn sự cố một cách thỏa đáng.
Vd, cuộc tấn công từ chối dịch vụ ảnh hưởng tới 1 hệ thống trong 1 thời gian ngắn được
goi là sự cố. Khi nó leo thang ảnh hưởng toàn tổ chức trong thời gian dài sẽ được coi là
thảm họa.
• Mỗi tổ chức sẽ phải xác định, trong quá trình phân tích tác động kinh doanh, thời điểm
mà sự cố trở thành thảm họa.
• Tổ chức phải lập hồ sơ khi có sự tham gia của những người ứng phó từ bên ngoài.
69
69
5.6. Khôi phục sau sự cố

• Đánh giá thiệt hại từ sự cố.
• Thông báo cho các nhân lực phù hợp
• CSIRT phải đánh giá toàn bộ mức độ thiệt hại để xác định cần phải làm gì để khôi phục
hệ thống.
• Đánh giá thiệt hại: xác định phạm vi vi phạm tính bảo mật, tính toàn vẹn và tính sẵn sàng
của thông tin và tài sản thông tin.
• Đào tạo nhân sự về cách thu thập và bảo quản bằng chứng trong trường hợp vụ việc là
một phần của tội phạm hoặc dẫn đến một vụ kiện dân sự.
70
70
35
14-Feb-23

• Quy trình khôi phục sự cố
• Xác định xử lý các điểm yếu tiềm ẩn dẫn tới sự cố
• Giải quyết các thiếu hụt hoặc kiểm soát không hiệu quả liên quan tới sự cố: Cài đặt, thay
thế hoặc nâng cấp chúng.
• Đánh giá năng lực giám sát (nếu có) và gia tăng hay cài đặt mới hệ thống giám sát
• Khôi phục dữ liệu từ các bản sao lưu (nếu cần).
• Khôi phục các dịch vụ và quy trình đang sử dụng.
• Giám sát liên tục hệ thống.
• Khôi phục niềm tin đối với 3 nhóm liên quan (quản lý IT, InforSec; Quản lý chung)
71
71
5.6. Khôi phục sau sự cố

• Triết lý trong xử lý sự cố và thảm họa
• Sự cố và thảm họa bắt nguồn từ: (1) một cuộc tấn công có chủ ý vào tài sản
thông tin của một cá nhân hoặc một nhóm; (2) tấn công từ một nguồn không
chủ ý (như cung cấp dịch vụ; sai sót của con người; thảm họa tự nhiên)
• Tùy nguồn gốc, một tổ chức có thể lựa chọn triết lý xử lý sự cố hoặc thảm họa:
• Bảo vệ và quên (Protect and forgot) còn được gọi là "vá lỗi (patch) và tiếp tục
(proceed)“. Là triết lý tập trung vào sự bảo vệ tài sản thông tin và ngăn ngừa
sự cố tái diễn, hơn là tập trung truy tìm kẻ tấn công và truy tố
• Bắt giữ và truy tố (apprehend and prosecute), còn được gọi là “theo đuổi và
trừng phạt”. Triết lý tập trung vào truy tìm kẻ tấn công và truy tố truy tìm kẻ
tấn công và truy tố; bảo vệ tài sản thông tin và ngăn ngừa sự cố tái diễn
72
72
36
14-Feb-23
Nội dung
73
73

• Khái niệm thảm họa
• Thảm họa có thể là tự nhiên hoặc do con người gây ra
• Một sự cố có thể được phân loại là một thảm họa khi :
• Tổ chức không có khả năng giảm thiểu tác động của sự cố đó khi nó đang xảy ra
• Mức độ thiệt hại nghiêm trọng đến mức không thể khôi phục nhanh chóng.
• Sự khác biệt giữa một sự cố và một thảm họa có thể rất nhỏ; nhóm lập kế hoạch dự
phòng phải phân biệt được cả hai, điều này có thể không thực hiện được cho đến khi
một cuộc tấn công xảy ra.
• Thông thường, một sự kiện ban đầu được phân loại là một sự cố sau đó có thể được xác
định là một thảm họa. Khi điều này xảy ra, tổ chức phải thay đổi phản ứng và đảm bảo
bảo toàn giá trị các tài sản có giá trị nhất của mình trong dài hạn  Lập kế hoạch phục
hồi sau thảm họa (Disaster Recovery Planning DRP)
74
74
37
14-Feb-23

• Khái niệm lập kế hoạch phục hồi sau thảm họa
• Lập kế hoạch phục hồi sau thảm họa (DRP) là quy trình chuẩn bị để xử lý một
thảm họa và phục hồi (recovery) sau thảm họa đó, được thực hiện bởi ban quản
lý cấp cao
• Kế hoạch phục hồi sau thảm họa (DR Plan) là hồ sơ được tạo ra từ việc lập kế
hoạch phục hồi sau thảm họa (DRP); nó trình bày các nỗ lực dự định của tổ chức
khi thảm họa xẩy ra, cụ thể:
• Khôi phục tài sản thông tin có thể cứu vẫn được sau thảm họa
• Mua hoặc yêu cầu thay thế các tài sản thông tin từ các nguồn phù hợp
• Thiết lập lại các chức năng của tài sản thông tin tại địa điểm chính của tổ chức (địa điểm
thường sử dụng hoặc địa điểm mới)
75
75

• Nhân sự liên quan khắc phục thảm họa
Đội quản lý lập kế hoạch
dự phòng (CPMT)
Thành
lập
Đội lập kế hoạch phục hồi sau

thảm họa (Disaster recovery
planning team- DRPT
Thành
lập
Các Đội ứng phó phục hồi sau

thảm họa (Disaster recovery
response teams – DRRTs)
76
76
38
14-Feb-23

• Các đội ứng phó phục hồi sau thảm họa (Disaster recovery response teams –
DRRTs) bao gồm:
• Đội quản lý phục hồi sau thảm họa (DR management team)
• Đội truyền thông (Communacation team)
• Đội phục hồi máy tính (phần cứng) (Computer recovery (hardware) team)
• Đội phục hồi hệ thống (OS) (Systems recovery team)
• Đội phục hồi mạng (Network recovery team)
• Đội phục hồi lưu trữ (Storage recovery team)
• Đội phục hồi ứng dụng (Applications recovery team)
77
77

• Các đội ứng phó phục hồi sau thảm họa (Disaster recovery response teams –
DRRTs) bao gồm:
• Đội Quản lý dữ liệu (Data management team)
• Đội liên lạc với nhà cung cấp (Vendor contact team)
• Đội đánh giá thiệt hại và cứu hộ (Damage assessment and salvage team)
• Đội kết nối kinh doanh (Business interface team)
• Đội hậu cần (Logistics team)
• Đội khác khi cần thiết
78
78
39
14-Feb-23

• Quy trình phục hồi sau thảm họa
• Phương pháp lập kế hoạch dự phòng của NIST có thể được điều chỉnh cho quy
trình phục hồi sau thảm họa:
• Tổ chức đội phục hồi sau thảm họa
• Phát triển tuyên bố chính sách lập kế hoạch phục hồi sau thảm họa
• Xem xét lại BIA.
• Xác định các kiểm soát ngăn ngừa.
• Tạo chiến lược phục hồi sau thảm họa
• Phát triển bản kế hoạch phục hồi sau thảm họa (DR Plan)
• Đảm bảo kiểm tra kế hoạch phục hồi sau thảm họa, đào tạo và thực hành.
• Đảm bảo duy trì kế hoạch phục hồi sau thảm họa
79
79

• Chính sách phục hồi sau thảm họa
• Chính sách phục hồi sau thảm họa được xây dựng (1) từ chính Đội Phục Hồi Sau
Thảm Họa (2) hoặc Đội Quản Lý Kế Hoạch Dự Phòng (CPMT) phát triển rồi sau đó
chuyển xuống cho Đội Khắc Phục Hồi Sau Họa.
• Chính sách phục hồi sau thảm họa (DR policy) là hồ sơ hướng dẫn việc xây dựng
và thực thi kế hoạch phục hồi sau thảm họa cũng như hướng dẫn hình thành và
hoạt động của đội phục hồi sau thảm họa.
80
80
40
14-Feb-23

• Chính sách phục hồi sau thảm họa
• Chính sách phục hồi sau thảm họa bao gồm các yếu tố chính sau:
• Mục đích. Tuyên bố rõ ràng về tầm nhìn thực hiện phục hồi sau thảm họa
• Phạm vi
• Vai trò và trách nhiệm
• Yêu cầu nguồn tài nguyên
• Yêu cầu đào tạo, huấn luyện
• Lịch trình kiểm tra và thực hành
• Lập lịch cập nhật và duy trì kế hoạch
• Các cân nhắc đặc biệt
81
81

• Phân loại thảm họa
• Phân loại theo nguồn gốc gây thảm họa
• Thảm họa thiên nhiên/tự nhiên: bão lụt, lửa
• Thảm họa do con người gây ra, vd xâm nhập của hacker; phần mềm độc hại..
• Phân loại theo tỷ lệ xảy ra thảm họa
• Thảm họa khởi phát nhanh (Rapid-onset disasters). Thảm họa xảy ra đột ngột, ít được cảnh báo, có
thể gây chết người và phá hủy các phương tiện sản xuất
• Thảm họa khởi phát chậm (Slow-onset disasters). Thảm họa xảy ra theo thời gian và làm suy giảm
dần dần khả năng của một tổ chức để chống lại các tác động của thảm họa. Vd nguyên nhân thiên
nhiên như hạn hán, đói kém dần ảnh hưởng chết đói; dại dịch Covid 19 xẩy ra trong năm 2020 bởi
vì quá trình dịch và hậu quả được truyền thông toàn cầu theo dõi
• Việc phân loại thảm họa được thực hiện bởi quản lý IT cấp cao hoặc quản lý an toàn
thông tin làm việc gần với CSMT hoặc lãnh đạo của đội lập kế hoạch khắc phục thảm họa
82
82
41
14-Feb-23

• Lập Kế hoạch phục hồi sau thảm họa
• Lập kế hoạch phục hồi sau thảm họa xuất phát từ việc phân loại thảm họa, phấn
tích tác động của thảm họa và nguồn lực con người của tổ chức.
• Kế hoạch phục hồi sau thảm họa (DR plan) có cấu trúc giống kế hoạch khôi phục
sau sự cố (IR plan)
• Hướng dẫn chi tiết trong trường hợp có thảm họa, được sắp xếp theo loại / bản chất của
thảm họa, chỉ định các quy trình khôi phục trong và sau mỗi loại thảm họa.
• Thông tin chi tiết về vai trò và trách nhiệm của những người tham gia, xác định những nhân
sự và cơ quan phải được thông báo.
• Được kiểm tra bằng các cơ chế kiểm tra giống như kế hoạch IR.
83
83

• Lập Kế hoạch phục hồi sau thảm họa
• Các nội dung chính trong DR plan:
• Phân công rõ ràng vai trò và trách nhiệm
• Thực hiện danh sách cảnh báo và thông báo cho nhân sự chủ chốt
• Thiết lập rõ ràng các ưu tiên: Tùy loại thảm họa. Các ưu tiên: (1) Con người: Sức khỏe, tính
mạng; (2) Dữ liệu, hệ thống; (3) Tài sản khác
• Quy trình lập hồ sơ tài liệu về thảm họa. Dựa vào tài liệu của sự cố (tài liệu sự cố cần ghi chép
từ khi nó khởi phát) để xác định khi nào và tại sao xẩy ra thảm họa
• Các bước hành động để giảm thiểu tác động của thảm họa với tổ chức
• Các triển khai các lựa chọn thay thế cho các thành phần hệ thống khác nhau; Đảm bảo các
thành phần chính của hệ thống sẵn sàng
84
84
42
14-Feb-23

• Ứng phó với thảm họa
• Thảm họa thực tế có thể vượt quá dự kiến so với kế hoạch  Đội CPMT nên xác
định mức độ linh hoạt trong kế hoạch phục hồi sau thảm họa, đưa ra nhiều lựa
chọn cho phép.
• Nếu cơ sở hạ tầng vật lý còn nguyên vẹn  Phục hồi hệ thống và dữ liệu để có thể hoạt động
ở mức tối đa có thể.
• Nếu cơ sở hạ tầng vật lý bị phá hủy  Cần kế hoạch dự phòng khác cho đến khi cơ sở hạ
tầng mới được láp đặt.
• Nếu thảm họa đe dọa họa động kinh doanh  Chuyển quy trình thực hiện kế hoạch đảm bảo
hoạt động kinh doanh liên tục
85
85

When generating a disaster scenario for planning or rehearsal, start with
the most important asset: _____.
a. networks
b. threats
c. data
d. people
86
43
14-Feb-23
Nội dung
87
87

• Khi các thảm họa làm tổ chức không thể tiếp tục hoạt động tại địa điểm chính cho
đến khi hoàn thành đầy đủ tất cả các nỗ lực DR  chuyển sang thực hiện kế hoạch
đảm bảo hoạt động kinh doanh liên tục.
• Lập kế hoạch hoạt động kinh doanh liên tục (BCP) giúp đảm bảo các chức năng kinh
doanh quan trọng có thể tiếp tục trong trường hợp thảm họa. Kế hoạch này (BC
plan) thường được quản lý bởi CEO hoặc COO của tổ chức.
88
88
44
14-Feb-23

• Lập kế hoạch BC (BCP) được kích hoạt và thực hiện đồng thời với lập kế hoạch DR
(DRP) khi thảm họa kéo dài cần thiết:
• BCP thiết lập lại các chức năng quan trọng tại một địa điểm thay thế
• DRP tập trung vào việc thiết lập cơ sở hạ tầng kỹ thuật và hoạt động kinh doanh tại địa điểm
chính.
• Nhiều doanh nghiệp kết hợp BC plan và DR plan trong một chức năng gọi là Lập kế
hoạch tái tục hoạt động kinh doanh (business resumption planning - BRP). BRP là
những hoạt động được thực hiện bởi những nhà quản lý cấp cao để phát triển và
thực hiện một chính sách, kế hoạch kết hợp DR và BC; và xây dựng những đội khôi
phục DR và BC
89
89
• Quy trình lập kế hoạch đảm bảo hoạt động kinh doanh liên tục
• Thành lập đội BC.
• Xây dựng tuyên bố chính sách quy hoạch BC.
• Đánh giá, xem lại BIA.
• Xác định các biện pháp kiểm soát phòng ngừa.
• Tạo chiến lược tái lập địa điểm làm việc
• Xây dựng kế hoạch BC.
• Kiểm tra kế hoạch BC, huấn luyện và thực hành
• Đảm bảo duy trì kế hoạch BC.
90
90
45
14-Feb-23
• Chính sách lập kế hoạch hoạt động kinh doanh liên tục
• Mục đích.
• Phạm vi
• Vai trò và trách nhiệm
• Yêu cầu nguồn tài nguyên
• Yêu cầu đào tạo, huấn luyện
• Lịch trình kiểm tra và thực hành
• Lập lịch cập nhật và duy trì kế hoạch
• Các cân nhắc đặc biệt
91
91
• Chiến lược lựa chọn vị trí dự phòng cho hoạt động kinh doanh liên tục
• Lựa chọn chiến lược khả thi cho hoạt động kinh doanh liên tục chủ yếu dựa vào
chi phí
• Ba tùy chọn sử dụng độc quyền
• Hot site
• Warm site
• Cold site
• Ba tùy chọn dùng chung
• Chia sẻ thời gian
• Chia sẻ dịch vụ
• Thỏa thuận chung
92
92
46
14-Feb-23
• Chia sẻ thời gian (timeshare)
• Cho phép tổ chức duy trì tùy chọn phục hồi sau thảm họa và tính liên tục trong kinh doanh
bằng cách chia sẻ thời gian sử dụng hot site/warm site/cold site với một hoặc nhiều đối tác,
qua đó giúp giảm chi phí sử dụng.
• Các bất lợi:
• Các tổ chức tham gia vào việc chia sẻ thời gian có thể có nhu cầu cần trang thiết bị cùng thời điểm.
• Nhu cầu cung cấp thiết bị và dữ liệu của cơ sở với tất cả các tổ chức liên quan, các cuộc đàm phán
để sắp xếp chia sẻ thời gian và các thỏa thuận bổ sung nếu một hoặc nhiều bên quyết định hủy bỏ
thỏa thuận hoặc cho thuê lại các tùy chọn của nó.
• Chia sẻ thời gian giống như đồng ý thuê một căn hộ với một nhóm bạn, các tổ chức tham gia cần
duy trì các điều khoản hòa nhã vì họ sẽ có quyền truy cập thực tế vào dữ liệu của nhau
93
93
• Thuê dịch vụ (Service bureau)
• Trong trường hợp xảy ra thảm họa, có các văn phòng dịch vụ đồng ý cung cấp các phương
tiện vật chất, cung cấp dịch vụ lưu trữ dữ liệu thuê ngoài có thu phí.
• Các hợp đồng có thể được tạo một cách cẩn thận với các văn phòng dịch vụ để chỉ định chính
xác những gì tổ chức cần mà không cần phải đặt trước các phương tiện chuyên dụng.
• Thỏa thuận dịch vụ thường đảm bảo không gian khi cần thiết, ngay cả khi văn phòng dịch vụ
phải có thêm không gian trong trường hợp có thảm họa lan rộng.
• Tùy chọn này giống như điều khoản cho thuê xe trong hợp đồng bảo hiểm xe hơi của bạn.
Điểm bất lợi là văn phòng là một loại dịch vụ và phải được thương lượng lại theo định kỳ.
Ngoài ra, sử dụng một văn phòng dịch vụ có thể khá tốn kém chi phí của tổ chức
94
94
47
14-Feb-23
• Các thỏa thuận chung (Muatual agreement)
• Các thỏa thuận chung quy định rằng các tổ chức tham gia mà không bị ảnh hưởng bởi thảm
họa có nghĩa vụ cung cấp các phương tiện, nguồn lực và dịch vụ cần thiết cho đến khi tổ chức
tiếp nhận có thể phục hồi sau thảm họa.
• Kiểu sắp xếp này giống như chuyển đến ở với người thân hoặc bạn bè: không mất nhiều thời
gian để bạn có thể nhận được sự chào đón của bạn bè. Vấn đề với cách tiếp cận này là nhiều
tổ chức chùn bước trước ý tưởng phải tài trợ các dịch vụ và tài nguyên trùng lặp cho các bên
khác, ngay cả trong ngắn hạn.
• Sự sắp xếp là lý tưởng nếu các thỏa thuận chung được tiến hành giữa các bộ phận của cùng
một công ty mẹ, giữa các tổ chức cấp dưới và cấp trên, hoặc giữa các đối tác kinh doanh lâu
dài có thể là một giải pháp hiệu quả về chi phí
95
95
• Các lựa chọn đặc biệt khác
• Vị trí lưu động (a rolling mobile site). Sử dụng những vị trí lưu động gắn trên các xe kéo re-
mooc.
• Thuê ngoài các nơi có chứa các thiết bị cũ để có thể sử dụng tạm trong tình huống khẩn cấp
• Thuê các cơ sở tiền chế cho văn phòng di động.
• Điện toán trên đám mây. Sử dụng làm nơi truy cập dữ liệu để có thể làm việc tạm thời
96
96
48
14-Feb-23
Nội dung
97
97

• Các hành động được thực hiện trong và sau thảm họa khi có nguy cơ liên quan tới
tính mạng con người (bị thương hoặc thiệt mạng) hoặc hình ảnh của tổ chức thì
được gọi là quản lý khủng hoảng. Quản lý khủng hoảng khác hẳn với quản lý thảm
họa vì nó tập trung đầu tiên và quan trọng nhất vào con người hơn là các tài sản
khác.
• Cần xây dựng chính sách và kế hoạch quản lý khủng hoảng. Phương pháp luận lập
kế hoạch và chính sách quản lý khủng hoảng cùng dựa trên mô hình tương tự chính
sách, và kế hoạch khắc phục thảm họa
98
98
49
14-Feb-23

• Nhân sự:
• Đội lập kế hoạch quản lý khủng hoảng (Crisis Management Planning Team)-
CMPT, nên bao gồm những người từ tất cả các vùng chức năng của tổ chức để
tạo điều kiện giao tiếp và hợp tác
• Đội ứng phó quản lý khủng hoảng (Crisis Management Response Team)- CMRT,
do CMPT thành lập
• Các đội ứng phó phục hồi sau thảm họa (Disaster Recovery Response Reams –
DRRTs) làm việc chặt chẽ với Đội ứng phó quản lý khủng hoảng (Crisis management
response team)- CMRT để đảm bảo truyền thông đầy đủ và kịp thời trong thảm họa.
99
99

• Đội quản lý khủng hoảng (CMPT & CMRT) chịu trách nhiệm quản lý sự kiện từ góc
độ của tổ chức và bao gồm các hoạt động chính sau:
• Hỗ trợ nhân sự và những người thân của họ trong thời kỳ khủng hoảng
• Thông báo cho công chúng về sự kiện và các hành động được thực hiện để đảm
bảo sự phục hồi của nhân sự và tổ chức
• Truyền thông với các khách hàng lớn, nhà cung cấp, đối tác, cơ quan quản lý, tổ
chức trong ngành, giới truyền thông và các bên quan tâm khác
100
100
50
14-Feb-23

• Đội lập kế hoạch quản lý khủng hoảng (CMPT) nên thiết lập sớm một cơ sở hoạt
động hoặc trung tâm chỉ huy gần nơi xảy ra thảm họa và tập trung 3 vấn đề :
• Xác minh và kiểm tra tình trạng nhân sự liên quan của doanh nghiệp. Đảm bảo
tất cả mọi người, kể cả người vắng mặt do nghỉ phép, đang đi công tác đều biết
trách nhiệm của mình
• Khởi động danh sách cảnh báo (alert roster). Sử dụng để liên lạc và truyền đạt
công việc, nhiệm vụ
• Hợp tác với các dịch vụ khẩn cấp: cứu hỏa, cảnh sát, cứu hộ, cấp cứu v.v.. Khi cần
ứng cứu người bị thương, thiệt mạng …
101
101
Nội dung
102
102
51
14-Feb-23
Incident Response and Disaster Recovery
103
103
Disaster Recovery and Business Continuity Planning
104
104
52
14-Feb-23
Contingency Planning Implementation Timeline
105
105
Nội dung
106
106
53
14-Feb-23
• Rất ít kế hoạch có thể thực hiện được như đã dự định  Cần kiểm tra để xác
định các lỗ hổng, lỗi và các quy trình không hiệu quả.
• Các kế hoạch dự phòng cần được kiểm tra thử nghiệm và cập nhật định kỳ để
cải tiến kế hoạch dự phòng
107
107

• Có bốn chiến lược thử nghiệm có thể được sử dụng để thử nghiệm các kế hoạch dự
phòng:
• Kiểm tra hồ sơ/tài liệu. Kế hoạch dự phòng được kiểm tra bởi tất cả các thành
viên có vai trò và nhiệm vụ liên quan trong quản lý sự cố, thảm họa
• Kiểm tra theo cấu trúc (structured walk through). Kiểm tra (thảo luận) theo từng
bước thực hiện của mỗi sự kiện được lập kế hoạch dự phòng.
• Mô phỏng. Thực hành theo từng vai trò như thể sự cố, thảm họa xẩy ra
• Gián đoạn hoàn toàn (full –interruption testing). Diễn tập trong điều kiện ngắt tất
cả mọi dịch vụ như thể sự cố, thảm họa thực sự. Việc kiểm tra này xảy ra sau giờ
làm việc
108
108
54
14-Feb-23
Summary
∙ Lập kế hoạch cho các sự kiện bất ngờ thường là trách nhiệm của cả 3 nhóm quản
lý (quản lý chung, quản lý IT và quản lý InforSec)
∙ Để một kế hoạch được tất cả các thành viên của tổ chức coi là hợp lệ, kế hoạch
đó phải được chấp nhận và hỗ trợ tích cực bởi nhóm quản lý chung
∙ Một số tổ chức được pháp luật hoặc cơ quan có thẩm quyền khác yêu cầu phải
luôn có các thủ tục lập kế hoạch dự phòng, nhưng tất cả các tổ chức kinh doanh
nên chuẩn bị cho những tình huống bất ngờ.
∙ Lập kế hoạch dự phòng (CP) là quy trình mà nhóm quản lý IT, nhóm quản lý
InforSec định vị tổ chức của họ để chuẩn bị, phát hiện, phản ứng và phục hồi sau
các sự kiện đe dọa đến an toàn của nguồn lực và tài sản thông tin
109
109
Summary
∙ CP bao gồm bốn thành phần chính: (1) BIA phân tích tác động kinh doanh: là quy
trình thu thập dữ liệu và lập tài liệu; (2) kế hoạch ứng phó sự cố (IR), (3) kế hoạch
phục hồi sau thảm họa (DR), và (4) kế hoạch kinh doanh liên tục (BC).
∙ Các tổ chức có thể tạo và phát triển ba yếu tố lập kế hoạch của quy trình CP (kế
hoạch IR, DR và BC) dưới dạng một kế hoạch thống nhất hoặc có thể tạo ba yếu
tố riêng biệt kết hợp với một tập hợp các quy trình lồng vào nhau để đảm bảo
tính liên tục.
110
110
55
14-Feb-23
Summary
∙ Để đảm bảo tính liên tục trong quá trình tạo các thành phần CP, quy trình
CP bảy bước được sử dụng (quy trình của NIST) :
1. Xây dựng tuyên bố về chính sách lập kế hoạch dự phòng.
2. Tiến hành BIA.
3. Xác định các biện pháp kiểm soát phòng ngừa.
4. Tạo chiến lược dự phòng.
5. Xây dựng kế hoạch dự phòng.
6. Đảm bảo kế hoạch kiểm tra, huấn luyện, diễn tập.
7. Đảm bảo duy trì kế hoạch.
111
111
Summary
∙ Bốn nhóm cá nhân tham gia lập kế hoạch dự phòng và các hoạt động dự
phòng: đội CP, đội đội IR, đội DR và đội BC. Đội IR đảm bảo CSIRT được
thành lập.
∙ Kế hoạch IR là một tập hợp chi tiết các quy trình và thủ tục lập kế hoạch,
phát hiện và giải quyết các tác động của một sự kiện không mong muốn đối
với tài nguyên và tài sản thông tin.
∙ Đối với mọi tình huống được xác định, đội CP tạo ba bộ quy trình: trước,
trong và sau sự cố để phát hiện, ngăn chặn và giải quyết sự cố.
∙ Phân loại sự cố là quy trình mà đội IR kiểm tra một sự kiện bất lợi và xác
định xem nó có phải là một sự cố thực sự hay không.
∙ Ba loại chỉ báo sự cố được sử dụng: có thể, khả năng cao xảy ra và xác định.
112
112
56
14-Feb-23
Summary
• Một sự cố thực sự đang diễn ra có bất kỳ điều nào sau: mất tính khả dụng
của thông tin, mất tính toàn vẹn của thông tin, mất tính bảo mật của
thông tin, vi phạm chính sách hoặc vi phạm pháp luật.
• Lập kế hoạch DR bao gồm việc chuẩn bị để xử lý và khắc phục thảm họa,
cho dù là do thiên tai hay do con người gây ra.
• Lập kế hoạch kinh doanh liên tục (BCP) đảm bảo rằng các chức năng kinh
doanh quan trọng vẫn tiếp tục nếu xảy ra sự cố hoặc thảm họa nghiêm
trọng. Các kế hoạch của BC có thể bao gồm các lựa chọn cho các địa điểm
sử dụng lập tức (hot site), địa điểm sử dụng ngay (warm site) và địa điểm
chờ (cold site); chia sẻ thời gian, thuê dịch vụ và các thỏa thuận chung.
113
113
Summary
• Do các kế hoạch phục hồi sau thảm họa (DR) và kinh doanh liên tục (BC) có
liên quan chặt chẽ với nhau nên hầu hết các tổ chức chuẩn bị cả hai kế
hoạch này cùng một lúc và có thể kết hợp chúng thành một tài liệu lập kế
hoạch duy nhất được gọi là kế hoạch tái tục kinh doanh (business
resumption)- BR plan
• Kế hoạch DR nên bao gồm quản lý khủng hoảng, các bước hành động được
thực hiện trong và sau thảm họa. Trong một số trường hợp, việc bảo vệ tính
mạng con người và hình ảnh của tổ chức là những ưu tiên cao
• Tất cả các kế hoạch phải được kiểm tra để xác định các lỗ hổng, lỗi và các
quy trình không hiệu quả. Một số chiến lược thử nghiệm có thể được sử
dụng để thử nghiệm các kế hoạch dự phòng: kiểm tra tại bàn; kiểm tra theo
cấu trúc; mô phỏng và gián đoạn hoàn toàn.
114
114
57
14-Feb-23
115
115
58

AISe C05

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

AISe C05

Uploaded by

Copyright:

Available Formats

14-Feb-23

Mục tiêu chương

• Hiểu nhu cầu vì sao cần lập kế hoạch dự phòng

• Xác định các thành phần của quản lý khủng hoảng

Incident Chính sách

1. Giới thiệu ứng phó sự cố và lập kế hoạch dự phòng

2. Những vấn đề cơ bản về lập kế hoạch dự phòng

2.1. Các thành phần của lập kế hoạch dự phòng

2.2. Tiếp cận lập kế hoạch dự phòng của NIST

2.4. Nhân sự liên quan trong lập kế hoạch dự phòng

2.1. Các thành phần của lập kế hoạch dự phòng

2.1. Các thành phần của lập kế hoạch dự phòng

2.1. Các thành phần của lập kế hoạch dự phòng

Knowledge Check Activity 1

a. incident response plan

Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn

2.2. Tiếp cận lập kế hoạch dự phòng của NIST

1. Hình thành CPMT (Đội quản lý

4. Hình thành các nhóm lập kế hoạch ở

7. Xác định các kiểm soát ngăn ngừa.

10. Xây dựng kế hoạch CP ở cấp dưới: Đối với mỗi

2.4. Nhân sự liên quan đến lập kế hoạch dự phòng

• Đội quản lý lập kế hoạch dự phòng - CPMT (Contingency Planning

2.4. Nhân sự liên quan đến lập kế hoạch dự phòng

3. Tuyên bố Chính sách CP

3. Tuyên bố Chính sách CP

4. Phân tích ảnh hưởng kinh doanh

4. Phân tích ảnh hưởng kinh doanh

4. Phân tích ảnh hưởng kinh doanh

4. Phân tích ảnh hưởng kinh doanh

4. Phân tích ảnh hưởng kinh doanh

4. Phân tích ảnh hưởng kinh doanh

4. Phân tích ảnh hưởng kinh doanh

4. Phân tích ảnh hưởng kinh doanh

4. Phân tích ảnh hưởng kinh doanh

4. Phân tích ảnh hưởng kinh doanh

Xác định điểm tối ưu cho phục hồi hệ thống

4. Phân tích ảnh hưởng kinh doanh

4. Phân tích ảnh hưởng kinh doanh

Example Resource/Component Table (1 of 2)

4. Phân tích ảnh hưởng kinh doanh

Example Resource/Component Table (2 of 2)

4. Phân tích ảnh hưởng kinh doanh

5.1. Các khái niệm và giới thiệu ứng phó sự cố

5.1. Các khái niệm và giới thiệu ứng phó sự cố

5.1. Các khái niệm và giới thiệu ứng phó sự cố

5.1. Các khái niệm và giới thiệu ứng phó sự cố

Đội quản lý lập kế hoạch

Chính sách phản ứng sự cố

Đội ứng phó sự cố an

5.1. Các khái niệm và giới thiệu ứng phó sự cố

5.1. Các khái niệm và giới thiệu ứng phó sự cố

5.1. Các khái niệm và giới thiệu ứng phó sự cố

5.2. Chính sách ứng phó sự cố

5.2. Chính sách ứng phó sự cố

5.3. Lập kế hoạch ứng phó sự cố

5.3. Lập kế hoạch ứng phó sự cố

5.4. Phát hiện sự cố

5.4. Phát hiện sự cố

5.4. Phát hiện sự cố

5.4. Phát hiện sự cố

5.4. Phát hiện sự cố

Knowledge Check Activity 2