TẬP ĐOÀN CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

ĐIỆN LỰC VIỆT NAM Độc lập - Tự do - Hạnh phúc

Số:
Số: 1828/QĐ-EVN
/QĐ-EVN Hà
HàNội,
Nội,ngày
ngày30 tháng
tháng 12
12 năm
năm 2022
2022

QUYẾT ĐỊNH

Về việc ban hành Quy trình ứng cứu sự cố an toàn thông tin mạng
trong Tập đoàn Điện lực Quốc gia Việt Nam

TỔNG GIÁM ĐỐC TẬP ĐOÀN ĐIỆN LỰC VIỆT NAM

Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018;
Căn cứ Nghị định số 26/2018/NĐ-CP ngày 28/02/2018 của Chính phủ về Điều
lệ tổ chức và hoạt động của Tập đoàn Điện lực Việt Nam;
Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính
phủ Quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin
mạng Quốc gia;
Căn cứ Chỉ thị số 18/CT-TTg ngày 13/10/2022 của Thủ tướng Chính phủ về
đẩy mạnh triển khai các hoạt động ứng cứu sự cố an toàn thông tin mạng Việt Nam;
Căn cứ Thông tư số 20/2017/BTTTT ngày 12/9/2017 của Bộ Thông tin và
Truyền thông Quy định hoạt động điều phối, ứng cứu sự cố an toàn thông tin trên
toàn quốc;
Căn cứ Quyết định số 99/QĐ-EVN ngày 18/01/2021 của Tập đoàn Điện lực
Việt Nam về Quy định đảm bảo an toàn thông tin trong Tập đoàn Điện lực Quốc gia
Việt Nam;
Căn cứ Quyết định số 410/QĐ-EVN ngày 01/4/2021 của Tập đoàn Điện lực
Việt Nam về việc ban hành Quy chế làm việc của Ban chỉ đạo an toàn thông tin trong
Tập đoàn Điện lực Quốc gia Việt Nam;
Theo đề nghị của Trưởng ban Viễn thông và Công nghệ thông tin.

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy trình ứng cứu sự cố an toàn
thông tin mạng trong Tập đoàn Điện lực Quốc gia Việt Nam.
Điều 2. Quyết định này có hiệu lực sau 15 ngày kể từ ngày ký ban hành.
 2

Điều 3. Các Phó Tổng giám đốc, các Ban EVN, các công ty con do EVN
nắm giữ 100% vốn điều lệ (Công ty TNHH MTV cấp II), người đứng đầu các đơn
vị trực thuộc EVN, Công ty con do Công ty TNHH MTV cấp II nắm giữ 100%
vốn điều lệ (Công ty TNHH MTV cấp III), người đại diện phần vốn của EVN và
người đại diện phần vốn của Công ty TNHH MTV cấp II tại các công ty cổ phần,
công ty trách nhiệm hữu hạn chịu trách nhiệm thi hành Quyết định này./.
Nơi nhận: KT. TỔNG GIÁM ĐỐC
- Như Điều 3; PHÓ TỔNG GIÁM ĐỐC
- HĐTV (để b/c);
- TGĐ (để b/c);
- Lưu: VT, VTCNTT.

Võ Quang Lâm
 TẬP ĐOÀN ĐIỆN LỰC VIỆT NAM

QUY TRÌNH ỨNG CỨU SỰ CỐ AN TOÀN THÔNG TIN MẠNG

TRONG TẬP ĐOÀN ĐIỆN LỰC QUỐC GIA VIỆT NAM

Hà Nội, tháng 12/2022

 1

MỤC LỤC

CHƯƠNG I. ĐIỀU KHOẢN CHUNG .............................................................. 3

Điều 1. Phạm vi điều chỉnh ......................................................................................3
Điều 2. Đối tượng áp dụng .......................................................................................3
Điều 3. Giải thích từ ngữ, thuật ngữ, chữ viết tắt ..................................................3
Điều 4. Nguyên tắc ứng cứu sự cố an toàn thông tin mạng .................................6

CHƯƠNG II. VAI TRÒ VÀ TRÁCH NHIỆM CÁC BỘ PHẬN TRONG

QUÁ TRÌNH ỨNG CỨU SỰ CỐ AN TOÀN THÔNG TIN MẠNG ............. 8
Điều 5. Trách nhiệm các bộ phận/đơn vị trong ứng cứu sự cố ATTT ................8
Điều 6. Phân cấp trong tổ chức ứng cứu sự cố an toàn thông tin mạng nghiêm
trọng ..........................................................................................................................10
Điều 7. Đội ứng cứu sự cố an toàn thông tin mạng (Đội CSIRT) .....................11
Điều 8. Mạng lưới ứng cứu sự cố an toàn thông tin mạng của EVN ................13

CHƯƠNG III. QUY TRÌNH ỨNG CỨU SỰ CỐ AN TOÀN THÔNG TIN

MẠNG ................................................................................................................ 16
Điều 9. Xây dựng phương án phòng ngừa, xử lý và ứng cứu sự cố..................16
Điều 10. Quy trình ứng cứu sự cố an toàn thông tin mạng thông thường tại các
đơn vị trong EVN ....................................................................................................18
Điều 11. Quy trình ứng cứu sự cố an toàn thông tin mạng nghiêm trọng mức
EVN ..........................................................................................................................25

CHƯƠNG IV. CƠ CHẾ TRAO ĐỔI THÔNG TIN ...................................... 34

Điều 12. Kênh trao đổi thảo luận và báo cáo nhanh ...........................................34
Điều 13. Kênh tổng hợp báo cáo sự cố .................................................................34
Điều 14. Cơ chế trao đổi thông tin ........................................................................35

CHƯƠNG V. BÁO CÁO SỰ CỐ..................................................................... 35

Điều 15. Báo cáo ban đầu sự cố ............................................................................35
Điều 16. Báo cáo kết thúc ứng cứu sự cố .............................................................35
Điều 17. Báo cáo tổng hợp về hoạt động tiếp nhận và xử lý sự cố ...................36

CHƯƠNG VI. ĐIỀU KHOẢN THI HÀNH ................................................... 36

Điều 18. Điều khoản thi hành ................................................................................36
 2

PHỤ LỤC 01. DANH MỤC CÁC VĂN BẢN CĂN CỨ VÀ TÀI LIỆU VIỆN
DẪN LIÊN QUAN ............................................................................................. 37

PHỤ LỤC 02. CÁC BIỂU MẪU BÁO CÁO SỰ CỐ ..................................... 39

Mẫu 01: Báo cáo ban đầu sự cố .............................................................................39
Mẫu 02: Báo cáo kết thúc ứng cứu sự cố .............................................................41
Mẫu 03. Báo cáo tổng hợp về hoạt động tiếp nhận và xử lý sự cố ...................42

PHỤ LỤC 03. ĐẦU MỐI LIÊN HỆ ỨNG CỨU SỰ CỐ .............................. 43

Mẫu 01: Đầu mối liên hệ ứng cứu sự cố ATTT với các đơn vị bên ngoài.......43
Mẫu 02: Đầu mối liên hệ ứng cứu sự cố ATTT trong EVN ..............................43
Mẫu 03: Danh sách Đội ứng cứu sự cố (CSIRT) ................................................44
 3

TẬP ĐOÀN CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM

ĐIỆN LỰC VIỆT NAM Độc lập - Tự do - Hạnh phúc

QUY TRÌNH ỨNG CỨU SỰ CỐ AN TOÀN THÔNG TIN MẠNG

TRONG TẬP ĐOÀN ĐIỆN LỰC QUỐC GIA VIỆT NAM

CHƯƠNG I. ĐIỀU KHOẢN CHUNG

Điều 1. Phạm vi điều chỉnh

Quy trình này quy định nguyên tắc, trình tự, thủ tục thực hiện các bước ứng
cứu sự cố an toàn thông tin mạng trong Tập đoàn Điện lực Quốc gia Việt Nam;
vai trò, trách nhiệm của các bộ phận/đơn vị và cơ chế trao đổi thông tin, báo cáo
sự cố trong quá trình ứng cứu sự cố an toàn thông tin mạng.

Điều 2. Đối tượng áp dụng

1. Tập đoàn Điện lực Việt Nam (EVN);
2. Công ty con do EVN nắm giữ 100% vốn điều lệ (Công ty TNHH MTV
cấp II);
3. Công ty con do Công ty TNHH MTV cấp II nắm giữ 100% vốn điều lệ
(Công ty TNHH MTV cấp III);
4. Người đại diện phần vốn của EVN, Người đại diện phần vốn của Công
ty TNHH MTV cấp II tại các công ty cổ phần, Công ty trách nhiệm hữu hạn (sau
đây gọi tắt là Người đại diện).

Điều 3. Giải thích từ ngữ, thuật ngữ, chữ viết tắt

1. Các từ viết tắt:
TT Chữ viết tắt Giải nghĩa
1. ATTT An toàn thông tin
2. ANM An ninh mạng
Ban chỉ đạo an toàn thông tin của Tập đoàn Điện lực
3. BCĐ ATTT EVN
Quốc gia Việt Nam
Ban điều hành ứng cứu sự cố an toàn thông tin mạng của
4. BĐH ƯCSC EVN
EVN
Ban chỉ đạo (hoặc Ban điều hành) ứng cứu sự cố an toàn
5. BCĐ ƯCSC ĐV
thông tin mạng của đơn vị
Ban VT&CNTT- Ban Viễn thông và Công nghệ thông tin - Tập đoàn Điện
6.
EVN lực Việt Nam
7. Bộ TT&TT Bộ Thông tin và Truyền thông
 4

TT Chữ viết tắt Giải nghĩa

8. BTL 86 Bộ Tư lệnh Tác chiến không gian mạng - Bộ Quốc phòng
9. Bộ TT&TT Bộ Thông tin và Truyền thông
Cục An ninh mạng và phòng, chống tội phạm sử dụng
10. Cục A05
công nghệ cao - Bộ Công an
11. Cục ATTT Cục An toàn thông tin - Bộ TT&TT
Đội ứng cứu sự cố an toàn thông tin mạng (viết tắt từ tên
tiếng Anh “Cyber Security Incident Response Team”).
12. CSIRT/Đội CSIRT
CSIRT EVN/ĐV: Đội ứng cứu sự cố an toàn thông tin
mạng của EVN/Đơn vị
Cơ quan điều phối quốc gia.
13. CQ ĐPQG Theo Quyết định 05/2017/QĐ-TTg ngày 16/3/2017 của
Thủ tướng Chính phủ, VNCERT là Cơ quan điều phối
quốc gia về ứng cứu sự cố.
Digital Office – Hệ thống thông tin văn phòng số của
14. D-Office EVN, có chức năng chính là quản lý điều hành văn bản
và xử lý công việc
15. ĐVCT ATTT Đơn vị chuyên trách An toàn thông tin
16. ĐVCT ƯCSC Đơn vị chuyên trách ứng cứu sự cố
Đơn vị được giao trách nhiệm trực tiếp quản lý và vận
17. ĐVQLVH
hành hệ thống thông tin.
18. EVN Tập đoàn Điện lực Việt Nam
19. HTTT Hệ thống thông tin
Văn bản hướng dẫn số 4258/BTTTT-CATTT ngày
26/10/2021 của Bộ Thông tin và Truyền thông về việc
20. HD4258
hướng dẫn tổ chức, hoạt động của Đội ứng cứu sự cố an
toàn thông tin mạng
21. MLƯCSC EVN Mạng lưới ứng cứu sự cố an toàn thông tin của EVN
Trung tâm Giám sát an toàn không gian mạng quốc gia
22. NCSC (viết tắt từ tên tiếng Anh “National Cyber Security
Center”)
Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam
(viết tắt từ tên tiếng Anh “Vietnam Computer Emergency
23. VNCERT/CC
Response Team” hay “Vietnam Cyber Security Response
Team/ Coordination Center”.
Trung tâm Intenet Việt Nam - Bộ Thông tin và Truyền
24. VNNIC thông (viết tắt từ tên tiếng Anh “VietNam Internet
Network Information Center”)
Recovery Point Objective - Thời gian mất dữ liệu khi có
25. RPO
sự cố tính từ thời điểm bị sự cố
Recovery Time Objective - Thời gian khôi phục dịch vụ
26. RTO
khi có sự cố
 5

TT Chữ viết tắt Giải nghĩa

27. ƯCSC Ứng cứu sự cố an toàn thông tin mạng
Quyết định số 99/QĐ-EVN ngày 18/01/2021 của Tập
đoàn Điện lực Việt Nam ban hành Quy định về đảm bảo
28. QĐ99
an toàn thông tin trong Tập đoàn Điện lực Quốc gia Việt
Nam.
Quyết định số 20/QĐ-HĐTV ngày 01/3/2021 của Hội
đồng thành viên Tập đoàn Điện lực Việt Nam về việc
29. QĐ20
thành lập Ban Chỉ đạo An toàn thông tin trong Tập đoàn
Điện lực Quốc gia Việt Nam
Quyết định số 410/QĐ-EVN ngày 01/4/2021 của Tập
đoàn Điện lực Việt Nam về việc ban hành Quy chế làm
30. QĐ410
việc của Ban Chỉ đạo An toàn thông tin trong Tập đoàn
Điện lực Quốc gia Việt Nam
Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ
tướng Chính phủ ban hành quy định về hệ thống phương
31. QĐ05
án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng
quốc gia
Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ
32. TT20 Thông tin và Truyền thông quy định về điều phối, ứng
cứu sự cố an toàn thông tin mạng trên toàn quốc

2. An toàn thông tin (ATTT): được quy định tại điểm a, khoản 1, Điều 2 của
QĐ99. An toàn thông tin là sự bảo vệ thông tin, dữ liệu số và các hệ thống thông
tin trên môi trường mạng máy tính tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn,
sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và
tính khả dụng của thông tin.
3. Hệ thống thông tin (HTTT): được quy định tại điểm b, khoản 1, Điều 2
của QĐ99; là các hệ thống hạ tầng công nghệ thông tin, hệ thống công nghệ thông
tin, hệ thống điều khiển công nghiệp, các hệ thống thông tin phục vụ chuyên
ngành.
4. Sự cố an ninh mạng: được quy định tại khoản 13, Điều 2 của Luật An
ninh mạng. Sự cố an ninh mạng là sự việc bất ngờ xảy ra trên không gian mạng
xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của
cơ quan, tổ chức, cá nhân.
5. Sự cố an toàn thông tin mạng: là sự cố an ninh mạng, trong đó thông tin,
HTTT bị tấn công hoặc gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo
mật hoặc tính khả dụng (sau đây gọi tắt là “sự cố” hoặc “sự cố ATTT”).
6. Sự cố an toàn thông tin mạng nghiêm trọng: được quy định tại khoản 1,
Điều 32 của QĐ99. Trong Quy trình này sự cố an toàn thông tin nghiêm trọng
được phân theo 2 mức độ cụ thể như sau:
a) Sự cố nghiêm trọng trong phạm vi EVN chủ động xử lý: HTTT bi ̣sự cố
là HTTT cấ p độ 3 và Đơn vị chủ quản HTTT không đủ khả năng tự kiểm soát, xử
 6

lý được sự cố. Đối với sự cố mức độ này thì tổ chức ứng cứu sự cố theo quy trình
được quy định tại Điều 11 của Quyết định này.
b) Sự cố nghiêm trọng mức phải báo cáo Cơ quan điều phối quốc gia:
HTTT bị sự cố là HTTT cấp độ 4, cấp độ 5 hoặc thuộc Danh mục hệ thống thông
tin quan trọng quốc gia; Chi tiết tiêu chí phân loại được quy định tại Điều 9,
Chương III của QĐ05. Đối với sự cố mức độ này thì tổ chức ứng cứu sự cố theo
quy trình được quy định tại Điều 14, Chương III của QĐ05.
7. Sự cố an toàn thông tin mạng không nghiêm trọng: là các sự cố an toàn
thông tin không đạt các tiêu chí quy định tại Điều 6 Quyết định này; hoặc theo
quy định tại khoản 2, Điều 32 của QĐ99. Sự cố an toàn thông tin mạng không
nghiêm trọng được hiểu là sự cố an toàn thông tin mạng thông thường.
8. Ứng cứu sự cố an toàn thông tin mạng: được quy định tại khoản 2, Điều
2 của TT20, là hoạt động nhằm xử lý, khắc phục sự cố gây mất an toàn thông tin
mạng gồm: theo dõi, thu thập, phân tích, phát hiện, cảnh báo, điều tra, xác minh
sự cố, ngăn chặn sự cố, khôi phục dữ liệu và khôi phục hoạt động bình thường
của HTTT.
9. Đầu mối ứng cứu sự cố là bộ phận hoặc cá nhân được các đơn vị cử để
thay mặt cho đơn vị liên lạc và trao đổi thông tin với Ban chỉ đạo hoặc Ban điều
hành ứng cứu sự cố an toàn thông tin mạng của EVN hoặc các đơn vị khác trong
hoạt động điều phối, ứng cứu sự cố.
10. Tài liệu tham chiếu: Các tài liệu tham chiếu được sử dụng làm cơ sở để
xây dựng Quy trình ứng cứu sự cố an toàn thông tin mạng áp dụng trong Tập đoàn
Điện lực Quốc gia Việt Nam được liệt kê tại Phụ lục 01 kèm theo Quy trình này.

Điều 4. Nguyên tắc ứng cứu sự cố an toàn thông tin mạng

1. Ứng cứu sự cố an toàn thông tin mạng là hoạt động quan trọng nhằm
phát hiện, ngăn chặn, xử lý và khắc phục kịp thời sự cố an toàn thông tin mạng.
1. Tuân thủ các quy định pháp luật, quy chế quản lý nội bộ tại EVN về điều
phối, ứng cứu sự cố an toàn thông tin mạng.
2. Chủ động, kịp thời, nhanh chóng, chính xác, đồng bộ và hiệu quả.
3. Phối hợp chặt chẽ, chính xác, đồng bộ và hiệu quả giữa các đơn vị, tổ
chức trong Tập đoàn và các cơ quan chức năng của Nhà nước.
4. Duy trì kho lưu trữ/ kênh lưu trữ, chia sẻ thông tin chung (đối với các sự
cố an toàn thông tin thông thường, ngoại trừ các sự cố Mật) để Đội CSIRT có thể
tham khảo thông tin, phương án xử lý sự cố khi có sự cố lặp lại hoặc tương tự.
5. Ứng cứu sự cố trước hết phải được thực hiện, xử lý bởi lực lượng tại chỗ
và trách nhiệm chính thuộc về chủ quản HTTT hoặc các đơn vị trực thuộc được
Tập đoàn giao quản lý và vận hành các HTTT.
 7

6. Tuân thủ các điều kiện, nguyên tắc ưu tiên về duy trì hoạt động của HTTT
đã được cấp thẩm quyền phê duyệt trong kế hoạch ứng phó sự cố .
7. Thông tin trao đổi trong MLƯCSC phải được kiểm tra, xác thực đối
tượng trước khi thực hiện các bước tác nghiệp tiếp theo.
8. Bảo đảm bí mật thông tin khi tham gia, thực hiện các hoạt động ứng cứu
sự cố theo yêu cầu của cơ quan điều phối quốc gia hoặc cơ quan, tổ chức, cá nhân
gặp sự cố; thực hiện chia sẽ thông tin theo đúng quy định.
 8

CHƯƠNG II. VAI TRÒ VÀ TRÁCH NHIỆM CÁC BỘ PHẬN

TRONG QUÁ TRÌNH ỨNG CỨU SỰ CỐ AN TOÀN THÔNG TIN MẠNG

Điều 5. Trách nhiệm các bộ phận/đơn vị trong ứng cứu sự cố ATTT

1. Ban chỉ đạo an toàn thông tin Tập đoàn Điện lực Quốc gia Việt Nam
(được gọi là BCĐ ATTT EVN): được thành lập theo QĐ20, có nhiệm vụ chỉ đạo
toàn diện công tác bảo đảm an toàn thông tin trong Tập đoàn Điện lực Quốc gia
Việt Nam.
2. Ban điều hành ứng cứu xử lý sự cố an toàn thông tin Tập đoàn Điện lực
Quốc gia Việt Nam (hay Ban chỉ đạo ứng cứu xử lý sự cố an toàn thông tin Tập
đoàn Điện lực Quốc gia Việt Nam, gọi tắt là BĐH ƯCSC EVN): được quy định
theo Điều 3 QĐ410 và khoản 1, Điều 30, QĐ99. BĐH ƯCSC EVN thực hiện các
nhiệm vụ được quy định trong quyết định thành lập BĐH ƯCSC EVN và có trách
nhiệm chỉ đạo, điều hành các hoạt động ứng cứu khẩn cấp sự cố an toàn thông tin
trong Tập đoàn. Nguyên tắc và chế độ làm việc của Ban điều hành ứng cứu sự cố
được nêu trong Quy chế làm việc của Ban Chỉ đạo an toàn thông tin trong Tập
đoàn Điện lực Quốc gia Việt Nam ban hành kèm theo QĐ410.
3. Ban chỉ đạo ứng cứu xử lý sự cố an toàn thông tin đơn vị (gọi tắt là BCĐ
ƯCSC ĐV hoặc BĐH ƯCSC ĐV): quy định tại khoản 1, Điều 30, QĐ99 có trách
nhiệm chỉ đạo, điều hành các hoạt động ứng cứu khẩn cấp sự cố an toàn thông tin
ở đơn vị; tuân thủ các yêu cầu ứng cứu sự cố từ BĐH ƯCSC EVN.
4. Đơn vị chuyên trách ứng cứu sự cố an toàn thông tin cấp Tập đoàn – Tại
công ty mẹ Tập đoàn Điện lực Việt Nam (được gọi là ĐVCT ƯCSC EVN): quy
định tại khoản 2, Điều 30 QĐ99, EVNICT là đơn vị chuyên trách ứng cứu xử lý
sự cố an toàn thông tin của EVN, có trách nhiệm vừa tổ chức đội ngũ tác nghiệp
ứng cứu xử lý sự cố cho các HTTT của EVN vừa thực hiện phối hợp, hỗ trợ ứng
cứu xử lý sự cố cho các đơn vị trực thuộc EVN.
5. Đơn vị chuyên trách ứng cứu sự cố an toàn thông tin cấp đơn vị (được
gọi tắt là ĐVCT ƯCSC ĐV): được quy định tại khoản 2, Điều 30, QĐ99; các đơn
vị chuyên trách về ứng cứu sự cố có trách nhiệm thành lập Đội ứng cứu sự cố
(CSIRT) và tổ chức hoạt động ứng cứu sự cố đối với từng HTTT của đơn vị, tham
gia hoạt động ứng cứu khẩn cấp bảo đảm an toàn thông tin trong Tập đoàn khi có
yêu cầu và chịu sự chỉ đạo điều hành của BĐH ƯCSC EVN và BCĐ ƯCSC ĐV.
6. Đơn vị chuyên trách về an toàn thông tin (được gọi tắt là ĐVCT ATTT):
được quy định tại khoản 4, Điều 17, QĐ99, là đơn vị tham mưu, đề xuất, xây dựng
kế hoạch, tổ chức thực thi các nội dung về bảo đảm an toàn thông tin; chủ trì phối
hợp với các đơn vị/bộ phận liên quan kịp thời đưa ra các phương án, đề xuất, các
biện pháp xử lý cụ thể, để ứng cứu xử lý khắc phục sự cố.
 9

7. Đơn vị quản lý vận hành hệ thống thông tin (được gọi tắt là ĐVQLVH):
được quy định tại khoản 3, Điều 17, QĐ99, là đơn vị được giao trách nhiệm trực
tiếp quản lý và vận hành HTTT, bao gồm: các Đơn vị vận hành cấp Tập đoàn (là
các đơn vị phụ trách vận hành trực thuộc Tập đoàn) và đơn vị vận hành cấp Tổng
công ty (là các Đơn vị phụ trực thuộc Tổng công ty); có trách nhiệm ứng cứu sự
cố liên quan trực tiếp đến hệ thống mình đang vận hành, chịu sự chỉ đạo xử lý,
ứng cứu sự cố của Ban chỉ đạo xử lý ứng cứu sự cố của Đơn vị và Tập đoàn; phối
hợp với Đội CSIRT, Mạng lưới ứng cứu sự cố của EVN, Cơ quan điều phối quốc
gia.
8. Chủ quản hệ thống thông tin/Đơn vị chủ quản (được gọi tắt là Chủ quản
HTTT): được quy định tại khoản 2, Điều 17, QĐ99, là cấp có thẩm quyền quản lý
và quyết định đầu tư dự án hoặc được giao làm chủ đầu tư xây dựng, thiết lập,
nâng cấp, mở rộng HTTT, có trách nhiệm tham gia, phối hợp với các bên liên
quan trong quá trình ứng cứu xử lý sự cố, khôi phục hệ thống và các hoạt động
khác để bảo đảm hệ thống hoạt động trở lại bình thường. Chủ quản HTTT có thẩm
quyền quyết định mô hình tổ chức, quyết định phân bổ nhân lực, vật lực và kinh
phí hoạt động của Đội ứng cứu sự cố (CSIRT) theo quy định pháp luật có liên
quan.
9. Đội ứng cứu sự cố an toàn thông tin mạng (gọi tắt là Đội CSIRT): là tổ
chức/đơn vị do Chủ quan HTTT thành lập nhằm triển khai các hoạt động, giải
pháp sẵn sàng ứng phó hoặc ứng phó với các đe dọa, rủi ro, các lỗ hổng, điểm yếu
và các sự cố đối với các hệ thống, cơ sở hạ tầng thông tin và không gian mạng
trong phạm vi quản lý. Chức năng nhiệm vụ của Đội CSIRT được quy định tại
Điều 7 tài liệu này.
10. Trung tâm Giám sát an toàn an ninh mạng SOC (được gọi tắt là Trung
tâm SOC): được quy định tại Điều 28, 29 của QĐ99, có nhiệm vụ tổ chức giám
sát và phân tích các sự kiện an toàn thông tin trên các hệ thống thu thập thông tin
cơ sở tại đơn vị, xác định và phân loại mức độ sự cố ở mức cơ bản, kịp thời thông
báo các sự kiện nghi ngờ; theo dõi, giám sát và cập nhật liên tục về tình hình sự
cố cho Đội CSIRT và các bên liên quan trong quá trình ứng cứu sự cố.
11. Mạng lưới ứng cứu sự cố của EVN (gọi tắt là MLƯCSC EVN): được
quy định tại Điều 8 tài liệu này.
12. Cơ quan điều phối về ứng cứu sự cố của EVN: BĐH ƯCSC EVN là Cơ
quan điều phối ứng cứu sự cố của EVN; bên cạnh các nhiệm vụ được quy định
trong Quyết định thành lập thì có các nhiệm vụ sau:
a) Thực hiện chức năng điều phối các hoạt động ứng cứu sự cố trên toàn
Tập đoàn; có quyền huy động, điều phối các thành viên mạng lưới ƯCSC và các
tổ chức, đơn vị liên quan phối hợp ngăn chặn, xử lý, khắc phục sự cố trong EVN;
 10

có quyền quyết định hình thức điều phối các hoạt động ứng cứu sự cố và chịu
trách nhiệm về các lệnh/yêu cầu điều phối;
b) Tổ chức và điều hành hoạt động của mạng lưới; tổng hợp và chia sẻ
thông tin, cảnh báo sự cố trong mạng lưới; là đầu mối EVN hợp tác với các tổ
chức, doanh nghiệp trong và ngoài EVN trong công tác ứng cứu sự cố bảo đảm
an toàn thông tin mạng EVN.
13. Cơ quan thường trực ứng cứu sự cố của EVN (gọi tắt là TTƯCSC EVN):
Ban VT&CNTT-EVN là đầu mối thường trực, giúp việc cho BCĐ ATTT và BĐH
ƯCSC EVN, có nhiệm vụ, quyền hạn được quy định tại Điều 7 QĐ99 và các nhiệm
vụ cụ thể sau:
a) Quyết định lựa chọn phương án ứng cứu và chủ trì, chỉ đạo công tác ứng
cứu khẩn cấp bảo đảm an toàn thông tin mạng EVN;
b) Đầu mối thường trực trong BĐH ƯCSC EVN chỉ đạo ĐVCT ATTT EVN
tiếp nhận, thu thập, xử lý thông tin, báo cáo về sự cố mất an toàn thông tin mạng
EVN và đề xuất phương án ứng cứu;
c) Triệu tập, chỉ đạo Bộ phận tác nghiệp ứng cứu sự cố An toàn thông tin
mạng EVN theo chỉ đạo của BĐH ƯCSC EVN; chỉ đạo, phân công nhiệm vụ cho
các ĐVCT ƯCSC, các thành viên mạng lưới ứng cứu để triển khai phương án ứng
cứu;
d) Làm đầu mối EVN, chỉ đạo ĐVCT ATTT và ĐVCT ƯCSC của EVN phối
hợp với các đơn vị chức năng của quốc gia trong hoạt động ứng cứu, xử lý các sự
cố quốc gia;
đ) Kiểm tra, giám sát, đôn đốc việc chấp hành của các đơn vị liên quan, báo
cáo BCĐ ATTT EVN về công tác ứng cứu khẩn cấp sự cố an toàn thông tin mạng
EVN.

Điều 6. Phân cấp trong tổ chức ứng cứu sự cố an toàn thông tin mạng
nghiêm trọng
1. Khi có sự cố an toàn thông tin mạng nghiêm trọng xảy ra, BĐH ƯCSC
EVN có toàn quyền điều hành/điều phối nhân sự trong MLƯCSC EVN.
2. Hoạt động điều phối ứng cứu sự cố trong EVN:
a) BĐH ƯCSC EVN huy động, điều phối, chỉ đạo các đơn vị phối hợp xây
dựng phương án ứng cứu, ngăn chặn, xử lý, khắc phục sự cố an toàn thông tin
mạng nghiêm trọng.
b) BĐH ƯCSC EVN đưa ra quyết định lựa chọn phương án ứng cứu và làm
đầu mối phối hợp với các đơn vị chức năng của các đơn vị/tổ chức khác trong và
ngoài EVN thực hiện hoạt động ứng cứu sự cố nghiêm trọng.
c) Báo cáo tình hình và xin ý kiến của BCĐ ATTT EVN về các vấn đề phát
sinh vượt thẩm quyền trong quá trình thực hiện nhiệm vụ.
 11

3. Hoạt động ứng cứu xử lý sự cố tại đơn vị:

a) BCĐ ƯCSC ĐV thành lập theo điểm c, khoản 1, Điều 30, QĐ99. Đối với
các công ty phát điện trực thuộc EVN, tổ chức thành lập BCĐ ƯCSC ĐV tại đơn
vị để ứng cứu sự cố cho các HTTT được giao quản lý vận hành.
b) BCĐ ƯCSC ĐV chịu trách nhiệm hoàn toàn về công tác ứng cứu sự cố
và kết quả ƯCSC tại đơn vị, có trách nhiệm thường xuyên cập nhật, bổ sung ngay
khi có sự thay đổi/biến động về nhân sự và phân công nhiệm vụ của các thành
viên liên quan trong BCĐ ƯCSC ĐV.
c) BCĐ ƯCSC ĐV có trách nhiệm báo cáo kịp thời tình hình ứng cứu sự cố
và xin ý kiến chỉ đạo của BĐH ƯCSC EVN về các vấn đề phát sinh vượt thẩm
quyền trong quá trình thực hiện nhiệm vụ.
- Đối với sự cố thông thường: chỉ đạo điều hành công tác điều phối ứng cứu
sự cố trong phạm vi nội bộ đơn vị, chịu trách nhiệm cuối cùng đối với các sự cố.
- Đối với sự cố an toàn thông tin nghiêm trọng: chỉ đạo, huy động, điều
phối các đơn vị trực thuộc, các đội nhóm, cá nhân phối hợp, thực thi, chấp hành
và tuân thủ các yêu cầu điều phối của BĐH ƯCSC EVN trong hoạt động ứng cứu
sự cố.

Điều 7. Đội ứng cứu sự cố an toàn thông tin mạng (Đội CSIRT)
1. Đội CSIRT của Tập đoàn và các đơn vị trong Tập đoàn được tổ chức theo
mô hình bán chuyên trách, gồm các thành viên chuyên trách và kiêm nhiệm. Việc
thành lập Đội CSIRT tuân thủ theo quy định tại QĐ05.
2. Đội CSIRT có trách nhiệm: hoạt động theo sự chỉ đạo của Ban điều
hành/Ban chỉ đạo ứng cứu sự cố; phối hợp với các bên liên quan phân tích, xử lý
sự cố ATTT đối với các sự cố diễn ra trong phạm vi hệ thống thuộc quản lý của
Chủ quản HTTT; báo cáo Ban điều hành/Ban chỉ đạo ứng cứu sự cố các thông tin
và quá trình xử lý.
3. Các đơn vị phải thành lập Đội CSIRT gồm:
- Các Tổng công ty Điện lực.
- Các Tổng công ty Phát điện.
- Tổng công ty Truyền tải điện Quốc gia.
- Công ty Viễn thông Điện lực và Công nghệ thông tin.
- Các Công ty phát điện trực thuộc EVN.
- Các đơn vị khác tổ chức lực lượng ứng cứu sự cố để phối hợp với Đội
CSIRT của Tập đoàn khi có sự cố hoặc theo yêu cầu của BCĐ ATTT EVN.
4. Các thành viên chuyên trách ATTT thuộc Đội CSIRT, bao gồm tối thiểu
các vị trí như sau:
- Đội trưởng/Đội phó/Đội phó thường trực.
- Tiếp nhận, phân loại sự cố ATTT.
 12

- Phân tích/giám sát ATTT.

- Ứng cứu sự cố ATTT.
- Đảm bảo ATTT hệ thống cơ sở hạ tầng.
- Điều tra sự cố.
5. Các thành viên hỗ trợ: Bao gồm cán bộ thuộc các phòng/trung tâm/bộ phận
làm công tác liên quan đến các HTTT, tùy theo đặc thù của từng đơn vị và cấu
trúc của HTTT, bao gồm các vị trí như sau:
- Quản trị cơ sở dữ liệu.
- Quản trị hệ thống cơ sở hạ tầng mạng, máy chủ.
- Quản trị ứng dụng.
- Cung cấp dịch vụ và sửa chữa HTTT.
6. Các đơn vị phải thiết lập và công bố danh sách của Đội CSIRT bao gồm
các thông tin: Họ và tên, vị trí/vai trò, số điện thoại, thư điện tử. Các đơn vị cập
nhật và báo cáo danh sách này về BĐH ƯCSC EVN qua văn bản và cập nhật thông
tin trên hệ thống báo cáo ATTT của hệ thống EVNPortal (hoặc hệ thống thông tin
khác tùy điều kiện do BĐH ƯCSC EVN quyết định) trong vòng 10 ngày kể từ khi
thành lập hoặc có biến động về nhân sự. Danh sách Đội CSIRT của đơn vị được
lập theo Mẫu 03 tại Phụ lục 03.
7. Trách nhiệm của Đội CSIRT:
Ngoài các trách nhiệm quy định tại Điều 33 QĐ99, Đội CSIRT có trách
nhiệm thực hiện các nhiệm vụ cụ thể như sau:
- Thực hiện công tác ứng cứu, khắc phục sự cố thuộc phạm vi hoạt động
được giao.
- Thực hiện điều tra, phân tích các hoạt động ATTT liên quan đến tình
huống, sự cố ATTT nhằm nhanh chóng khôi phục hoạt động, giảm thiệt hại.
- Triển khai các quy trình ứng cứu sự cố ATTT và kế hoạch ứng cứu sự cố
an toàn thông tin mạng tương ứng được phê duyệt.
- Chủ trì hoặc tham gia đề xuất xây dựng và triển khai kế hoạch ứng cứu sự
cố ATTT thuộc phạm vi hoạt động. Mẫu đề cương kế hoạch ứng cứu xử lý sự cố
theo Phụ lục II, QĐ05 (bao gồm các điều chỉnh do Bộ TT&TT ban hành nếu có).
- Tham gia các khóa huấn luyện, diễn tập năng lực và phát triển nhân lực,
đội ứng cứu sự cố.
- Tham gia hoạt động ứng cứu khẩn cấp sự cố ATTT của Tập đoàn khi có
yêu cầu từ BĐH ƯCSC EVN hoặc CQ ĐPQG về ứng cứu sự cố. Khi tham gia xử
lý các sự cố an toàn thông tin thuộc phạm vi CQ ĐPQG xử lý, Đội CSIRT thực
hiện các chức năng nhiệm vụ và triển khai các quy trình ứng cứu sự cố ATTT theo
quy định tại QĐ05, TT20 và kế hoạch ứng cứu sự cố an toàn thông tin mạng tương
ứng đã được phê duyệt.
 13

- Xây dựng kế hoạch hàng năm và duy trì hoạt động liên tục của Đội CSIRT,
định kỳ rà soát nhằm đảm bảo đủ nguồn lực đáp ứng hoạt động của Đội CSIRT.
- Quản lý và tổ chức hoạt động có hiệu quả nhiệm vụ của từng thành viên
và của cả Đội CSIRT theo quy định của pháp luật.
- Chia sẻ thông tin nguy cơ và sự cố, ứng cứu sự cố, kinh nghiệm, kiến thức
nhằm nâng cao năng lực chuyên môn cho các thành viên trong MLƯCSC EVN.
- Tham gia các hoạt động của Mạng lưới ứng cứu sự cố ATTT quốc gia, các
hoạt động phòng, chống chiến tranh thông tin, chiến tranh không gian mạng theo
sự chỉ đạo của BĐH ƯCSC EVN khi có yêu cầu của cơ quan chức năng.
Điều 8. Mạng lưới ứng cứu sự cố an toàn thông tin mạng của EVN
1. MLƯCSC EVN tham gia ứng cứu sự cố, hoạt động dưới sự điều hành/điều
phối của BĐH ƯCSC EVN. MLƯCSC EVN có thể triển khai các nội dung/chương
trình hợp tác với các đơn vị chức năng, phối hợp các chuyên gia ứng cứu sự cố
ATTT của các đơn vị như: Bộ Tư lệnh BTL 86, Cục A05, Cục ATTT, các đối tác
có liên quan đến việc đảm bảo sự hoạt động bình thường của HTTT và hiểu rõ về
hệ thống (đối tác xây dựng ứng dụng, cung cấp thiết bị/đường truyền, cung cấp
giải pháp/dịch vụ ATTT, nhà cung cấp hệ thống ICS...), các nhà cung cấp dịch vụ
viễn thông ISP, các tổ chức/cá nhân/doanh nghiệp trong và ngoài nước có chuyên
môn khác...
Danh sách các thành viên MLƯCSC EVN được lập theo Mẫu 01 và Mẫu 02
của Phụ lục 03, công bố cho tất cả các thành viên trong MLƯCSC EVN biết và
được ĐVCT ƯCSC cập nhật định kỳ mỗi 6 tháng cho các thành viên trong
MLƯCSC EVN.
2. Vai trò của các bên tham gia MLƯCSC EVN:
a) BĐH ƯCSC EVN có toàn quyền điều hành, điều động nhân sự thuộc
MLƯCSC EVN tham gia ứng cứu sự cố khi cần thiết.
b) ĐVCT ATTT của Tập đoàn và các Tổng công ty, các đơn vị trực thuộc
Tập đoàn vận hành HTTT từ cấp độ 3 trở lên có nghĩa vụ, trách nhiệm tham gia
vào MLƯCSC EVN, chịu sự điều phối và huy động của BĐH ƯCSC EVN.
c) Sơ đồ minh họa mạng lưới ứng cứu sự cố trong EVN:
 14

VNPT

Các đơn vị CSDL Trung tâm

Các ISP Viettel
Quốc gia Internet VNNIC

...

Bộ Quốc phòng Bộ TTTT

(Các đơn vị ATTT) BAN CHỈ ĐẠO ATTT EVN (VNCERT - Cơ quan
điều phối Quốc gia)

BAN ĐIỀU HÀNH CQ THƯỜNG

Bộ Công An ƯCSC EVN TRỰC ƯCSC EVN Bộ TTTT
(Các đơn vị ATTT) (NCSC)

Các đơn vị cung cấp dịch

Đội CSIRT các đối
Đối tác hỗ trợ vụ (Datacenter,
tác liên quan
Cloud, )

Hình 1. Phối hợp mạng lưới ứng cứu sự cố trong EVN và với các cơ quan, tổ
chức liên quan

3. Trách nhiệm của các bên tham gia MLƯCSC EVN:

a) Các đơn vị khi tham gia mạng lưới có trách nhiệm tuân thủ quy chế hoạt
động của mạng lưới, tuân thủ các yêu cầu điều phối của BĐH ƯCSC EVN, tham
gia, đóng góp tích cực cho hoạt động của mạng lưới.
b) Cử đầu mối ứng cứu sự cố có đủ năng lực, trình độ chuyên môn và kỹ
năng nghiệp vụ để thực hiện các hoạt động phối hợp ứng cứu sự cố; bảo đảm duy
trì liên lạc thông suốt, liên tục 24/7; công bố thông tin về địa chỉ tiếp nhận sự cố,
cung cấp, cập nhật thông tin về đầu mối ứng cứu sự cố, nhân lực kỹ thuật ATTT,
 15

ứng cứu sự cố thuộc phạm vi quản lý tới BĐH ƯCSC EVN; cập nhật thông tin về
đầu mối ứng cứu sự cố, trong vòng 24 giờ khi có thay đổi.
c) Xây dựng và triển khai phương án ƯCSC, hướng dẫn hoạt động ứng cứu
sự cố, tổ chức và điều hành hoạt động của Đội CSIRT trong phạm vi quản lý.
d) Có quyền đề nghị BĐH ƯCSC EVN hướng dẫn, hỗ trợ xử lý và ứng cứu
sự cố khi cần thiết; được tham gia các hội thảo, hội nghị giao ban, tập huấn bồi
dưỡng, đào tạo, huấn luyện, diễn tập và các hoạt động khác.
 16

CHƯƠNG III. QUY TRÌNH ỨNG CỨU SỰ CỐ AN TOÀN THÔNG TIN

MẠNG

Điều 9. Xây dựng phương án phòng ngừa, xử lý và ứng cứu sự cố

1. Các Đơn vị QLVH hệ thống thông tin, ĐVCT ATTT tổ chức xây dựng, phê
duyệt kế hoạch ứng cứu xử lý sự cố cho các HTTT do đơn vị trực tiếp quản lý
(hoặc được giao quản lý vận hành) theo quy định tại Điều 21, QĐ99. Mẫu đề
cương kế hoạch ứng cứu xử lý sự cố theo Phụ lục II, QĐ05 (bao gồm các điều
chỉnh do Bộ TT&TT ban hành nếu có).
2. ĐVQLVH chủ trì, ĐVCT ATTT và Đội CSIRT đơn vị phối hợp: lập
mới/cập nhật/hiệu chỉnh phương án phòng ngừa, xử lý và ứng cứu sự cố các HTTT
do mình quản lý, trình Chủ quản HTTT xem xét phê duyệt; lập mới/cập nhật/hiệu
chỉnh các mô hình/kiến trúc hệ thống mức logic/vật lý, xây dựng, phân loại mức
độ quan trọng của dữ liệu để áp dụng các phương án ứng cứu sự cố phù hợp.
3. Phương án phòng ngừa, xử lý và ứng cứu sự cố cần xem xét cập nhật, hiệu
chỉnh tối thiểu mỗi năm một lần hoặc khi có thay đổi về kiến trúc hệ thống, thực
hiện nâng cấp mở rộng, thay đổi hoặc cập nhật cấp độ HTTT, khi phát hiện các
nguy cơ mới hoặc khi có yêu cầu của Chủ quản HTTT hoặc theo yêu cầu của BCĐ
ATTT EVN.
4. Phương án phòng ngừa, xử lý và ứng cứu sự cố cho từng HTTT yêu cầu
tối thiểu các nội dung:
a) Các tiêu chí đảm bảo chất lượng dịch vụ:
- Cam kết chất lượng dịch vụ;
- Các tiêu chí cần đảm bảo trong công tác phục hồi (RPO/RTO) đối với từng
hệ thống nhưng không được vượt quá thời gian xử lý cho phép của các loại sự cố.
b) Đầu mối liên hệ của các bên liên quan (Chủ quản HTTT, ĐVCT ATTT,
danh sách Đội CSIRT của EVN, của các đơn vị, danh sách các đầu mối của các
đơn vị trong MLƯCSC EVN được quy định tại Điều 8 của Quy trình này).
c) Các mục tiêu ưu tiên trong khắc phục xử lý sự cố.
d) Đánh giá các nguy cơ, sự cố có liên quan
- Đánh giá hiện trạng và khả năng bảo đảm an toàn thông tin của HTTT và
các đối tượng cần bảo vệ thuộc phạm vi của phương án;
- Đánh giá, dự báo các nguy cơ, sự cố, tấn công mạng có thể xảy ra với các
HTTT và các đối tượng cần bảo vệ;
- Đánh giá, dự báo các hậu quả, thiệt hại, tác động nếu xảy ra sự cố;
- Đánh giá về hiện trạng phương tiện, trang thiết bị, công cụ hỗ trợ, nhân lực,
vật lực phục vụ đối phó, ứng cứu sự cố.
 17

e) Phương án ứng cứu sự cố ATTT đối với các tình huống sự cố cụ thể:
- Bị tấn công vào các HTTT: các tình huống tấn công phổ biến bao gồm
nhưng không giới hạn các tình huống cụ thể sau:
Tình huống bị tấn công Yêu cầu
Tấn công từ chối dịch vụ (DoS/DDoS)
Tấn công giả mạo (Phishing)
Tấn công sử dụng mã độc (Malware/Adware)
Mỗi HTTT có thể có nhiều phương
Tấn công truy cập trái phép, chiếm quyền điều khiển án phòng ngừa, ứng cứu và xử lý sự
(unauthorized access, elevation of priviledge, root access) cố.
Tấn công thay đổi giao diện (Deface) Mỗi phương án phòng ngừa, ứng
cứu và xử lý sự cố có thể áp dụng
Tấn công mã hóa phần mềm, dữ liệu, thiết bị (Ransomware) cho nhiều HTTT có tính chất tương
Tấn công có chủ đích (APT) phá hoại thông tin, dữ liệu, tự.
phần mềm
Tấn công nghe trộm, gián điệp, lấy cắp thông tin, dữ liệu
(Data theft)
Áp dụng đồng thời các phương án
Tấn công tổng hợp sử dụng kết hợp nhiều hình thức
có liên quan.
Áp dụng đồng thời các phương án
Các hình thức tấn công mạng khác
có liên quan.

- Lỗi hệ thống dẫn đến khả năng mất ATTT về mặt thiết bị, ứng dụng, dữ
liệu: phần cứng, ứng dụng, cơ sở dữ liệu, đường truyền, nguồn điện…

Tình huống sự cố do lỗi hệ thống Yêu cầu

Sự cố nguồn điện, hệ thống làm mát, rò rỉ nước …
Sự cố đường kết nối mạng
Sự cố do lỗi phần mềm, phần cứng, ứng dụng của HTTT
Sự cố liên quan đến quá tải hệ thống
Sự cố khác do lỗi của hệ thống, thiết bị, phần mềm, hạ
tầng kỹ thuật
Mỗi HTTT có thể có nhiều phương
án phòng ngừa, ứng cứu và xử lý sự
cố.
Mỗi phương án phòng ngừa, ứng
cứu và xử lý sự cố có thể áp dụng
cho nhiều HTTT có tính chất tương
tự.
Áp dụng đồng thời các phương án có
liên quan.

- Lỗi do người quản trị vận hành: lỗi trong cập nhật, thay đổi cấu hình, lỗi
do dừng dịch vụ vì lý do bắt buộc, lỗi do thao tác quản trị vận hành sai…

Tình huống sự cố do lỗi quản trị, vận hành Yêu cầu

Lỗi trong cập nhật, thay đổi, cấu hình phần cứng Mỗi HTTT có thể có nhiều phương
án phòng ngừa, ứng cứu và xử lý sự
Lỗi trong cập nhật, thay đổi, cấu hình phần mềm
cố.
Lỗi liên quan đến chính sách và thủ tục an toàn thông tin
Lỗi liên quan đến việc dừng dịch vụ vì lý do bắt buộc
 18

Tình huống sự cố do lỗi quản trị, vận hành Yêu cầu

Lỗi khác liên quan đến người quản trị, vận hành hệ thống
Mỗi phương án phòng ngừa, ứng cứu
và xử lý sự cố có thể áp dụng cho
nhiều HTTT có tính chất tương tự.
Áp dụng đồng thời các phương án có
liên quan.

5. Trong từng phương án ứng cứu sự cố ATTT đối với từng tình huống cụ
thể, phải có nội dung yêu cầu về tài nguyên (máy móc, con người…) dự phòng
tương ứng, quy trình thực hiện/phối hợp và các yêu cầu khác quy định tại khoản
3 Điều này. Phương án nên được trình bày dưới dạng lưu đồ để tiện theo dõi, huy
động nhân lực, tài nguyên phù hợp.
Phụ lục 4 của Quy trình này là một số lưu đồ tham khảo phương án ứng cứu
sự cố an toàn thông tin mạng đối với các tình huống sự cố cụ thể.
6. Đối với các trường hợp sự cố an toàn thông tin mạng thuộc phạm vi trong
EVN xử lý thì các đơn vị thực hiện quy trình ứng cứu sự cố được quy định tại
Điều 10, Điều 12 của Quyết định này. Trường hợp sự cố vượt ngoài phạm vi thẩm
quyền xử lý của EVN thì cần phối hợp với CQĐP QG và các cơ quan chức năng
Nhà nước theo các quy trình tại QĐ05 và TT20.

Điều 10. Quy trình ứng cứu sự cố an toàn thông tin mạng thông thường
tại các đơn vị trong EVN
Quy trình ứng cứu sự cố an toàn thông tin mạng thông thường tại các đơn vị
trong EVN như sau:
 19

Hình 2. QT.EVN.UCSC.01 - Quy trình ứng cứu sự cố an toàn thông tin mạng
thông thường tại các đơn vị trong EVN
 Diễn giải quy trình:
Bước thực
Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
hiện

Bước 1 Tiếp nhận, phân tích, ứng cứu ban đầu và thông báo sự cố

1.1. Phát hiện, tiếp nhận thông tin sự cố

Đơn vị chủ trì: Đơn vị, cá - Theo dõi, tiếp nhận các cảnh báo, dấu hiệu sự cố từ các nguồn bên trong Nguồn cung cấp thông tin:
nhân QLVH và bên ngoài. Thông tin tiếp nhận sự cố gồm: - Chủ quản HTTT, các ĐVQLVH,
+ Thông tin về nguồn cung cấp sự cố; giám sát ATTT; Thông tin mạng
+ Mô tả về sự cố; lưới, CSIRT EVN/ĐV;
+ Các thông tin khác có liên quan. - Hệ thống theo dõi nội bộ của đơn
- Ghi nhận thông tin sự cố tại nhật ký theo dõi sự cố an toàn thông tin vị vận hành (như công cụ/hệ thống
giám sát an ninh mạng), kết quả
mạng.
hoạt động dò quét lỗ hổng, mã
độc…;
- Người dùng tại đơn vị;
- Nguồn tin xã hội;
- VNCERT;
- Từ các nguồn tin khác, v.v...
1.2. Phân tích, xác minh sự cố
Chủ trì: Đơn vị, cá nhân - Thực hiện phân tích, xác minh sự cố đã xảy ra; phân loại sự cố đã có kết Doanh nghiệp viễn thông, ISP;
QLVH quả xác minh theo từng tình huống cụ thể. thành viên MLƯCSC; BĐH
Đơn vị phối hợp: ĐVCT Trong quá trình này cần tổ chức ghi nhận, thu thập chứng cứ, xác định ƯCSC EVN, ĐVCT ƯCSC EVN
phối hợp hỗ trợ.
ƯCSC cùng cấp, CSIRT, nguồn gốc sự cố, ghi nhận kết quả xác minh sự cố.
BCĐ ƯCSC.

Bước 2 Triển khai phương án ứng cứu sự cố ban đầu

 21

Bước thực
Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
hiện

2.1. Triển khai các bước ưu tiên ứng cứu ban đầu
Đơn vị chủ trì: Đơn vị, cá - Sau khi đã xác định sự cố xảy ra; đơn vị, cá nhân QLVH căn cứ vào bản
nhân QLVH. chất, dấu hiệu của sự cố tổ chức triển khai các bước ưu tiên ban đầu để
xử lý sự cố theo kế hoạch ứng phó sự cố đã được cấp thẩm quyền phê
Đơn vị phối hợp: ĐVCT duyệt hoặc theo hướng dẫn của ĐVCT ƯCSC hoặc BĐH ƯCSC.
ƯCSC, thành viên - Đối với sự cố trong phạm vi, thẩm quyền và năng lực tự thực hiện, đơn
MLƯCSC có liên quan, vị QLVH có thể tự tổ chức thực hiện xử lý sự cố và báo cáo kết quả tới
BĐH ƯCSC. BĐH ƯCSC và các đơn vị liên quan.
2.2. Triển khai lựa chọn phương án ứng cứu
Đơn vị chủ trì: Đơn vị, cá - Căn cứ theo kế hoạch ứng phó sự cố đã được cấp thẩm quyền phê duyệt
nhân QLVH. hoặc theo hướng dẫn của ĐVCT ƯCSC hoặc BĐH ƯCSC để lựa chọn
phương án ngăn chặn và xử lý sự cố;
Đơn vị phối hợp: ĐVCT Báo cáo, đề xuất Chủ quản HTTT, BCĐ ƯCSC ĐV/EVN xin ý kiến chỉ
ƯCSC, MLƯCSC có liên đạo nếu cần.
quan, BĐH ƯCSC.

2.3. Chỉ đạo xử lý sự cố

Đơn vị chủ trì: - Căn cứ theo báo cáo, đề xuất của Đơn vị, cá nhân QLVH, BĐH ƯCSC Các tổ chức ĐVCT ƯCSC EVN,
phối hợp với chủ quản HTTT (và tham khảo ý kiến BĐH ƯCSC EVN BĐH ƯCSC EVN, CSIRT EVN
BĐH ƯCSC. nếu cần) thực hiện chỉ đạo ĐVCT ƯCSC, triệu tập Đội/bộ phận ƯCSC phối hợp, hỗ trợ với BCĐ ƯCSC
Đơn vị phối hợp: Chủ quản thuộc phạm vi quản lý triển khai công tác ứng cứu, xử lý sự cố; ĐV.
HTTT. - Chỉ đạo, phân công hoạt động phát ngôn, cung cấp thông tin.
- Trong quá trình ứng cứu, tùy thuộc vào diễn biến tình hình thực tế, BĐH
ƯCSC có thể quyết định bổ sung thành phần tham gia Đội/bộ phận
ƯCSC, chỉ đạo điều chỉnh phương án ứng cứu sự cố.
2.4. Báo cáo nhanh sự cố
 22

Bước thực
Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
hiện
Đơn vị chủ trì: Đơn vị, cá - Sau khi đã triển khai các bước ưu tiên ứng cứu ban đầu, ĐVQLVH tổ - ĐVQLVH, ĐVCT ƯCSC nên đề
nhân QLVH. chức thông báo, báo cáo sự cố đến các tổ chức, cá nhân liên quan bên xuất các doanh nghiệp viễn thông,
trong và bên ngoài cơ quan tổ chức theo quy định nội bộ của EVN và đơn Internet (ISP) phối hợp hỗ trợ
Đơn vị phối hợp: ĐVCT vị.
thông tin.
ƯCSC liên quan/chịu trách
nhiệm. - ĐVQLVH, ĐVCT ƯCSC tham
khảo thêm Điều 9, TT20 có quy
định công tác thông báo, báo cáo
sự cố.

2.5. Điều phối công tác ứng cứu sự cố

Đơn vị chủ trì: - Căn cứ vào tính chất sự cố, đề nghị hỗ trợ của Đơn vị, cá nhân QLVH - Hướng dẫn phân loại sự cố an
và ĐVCT ƯCSC, BĐH ƯCSC thực hiện công tác điều phối, giám sát cơ toàn thông tin mạng được mô tả tại
BĐH ƯCSC. chế phối hợp, chia sẻ thông tin theo phạm vi, chức năng, nhiệm vụ của khoản 6 Điều 3, Chương I của Quy
Đơn vị phối hợp: Đơn vị, mình để huy động nguồn lực ứng cứu sự cố. định này.
cá nhân QLVH, ĐVCT - Một số nội dung cụ thể hoạt động điều phối:
ƯCSC, thành viên + Phối hợp với các cơ quan chức năng (như Cục ATTT, BTL86, Cục - Điều phối hoạt động loại bỏ sự
MLƯCSC có liên quan. A05, các đơn vị/tổ chức/cá nhân chuyên gia ATTT bên ngoài (nếu cố và khôi phục: Đội ngũ chuyên
cần)). gia, CSIRT ĐV/EVN được huy
+ Huy động MLƯCSC EVN tham gia ứng cứu sự cố. động để thực hiện loại bỏ mã độc,
+ Thiết lập kênh trao đổi thông tin sự cố. sự cố và khôi phục lại trạng thái
+ Phân công trách nhiệm. hoạt động bình thường của hệ
+ Triển khai các kịch bản ứng cứu khẩn cấp. thống.
- Nếu là sự cố an toàn thông tin nghiêm trọng các đơn vị sẽ tiến hành theo - Điều phối hoạt động điều tra
phương án ứng cứu sự cố nghiêm trọng. chứng cứ số: BĐH ƯCSC,
- Nếu là sự cố thông thường thì tiến hành bước tiếp theo như mô tả dưới ĐVQLVH phối hợp với các
đây. chuyên gia, CSIRT ĐV/EVN thực
hiện điều tra chứng cứ số.
 23

Bước thực
Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
hiện
- Điều phối hoạt động xử lý truyền
thông: BĐH ƯCSC, CSIRT
ĐV/EVN lập phương án xử lý
khủng hoảng truyền thông trong
nội bộ và bên ngoài.

Bước 3 Triển khai phương án ứng cứu sự cố an toàn thông tin mạng thông thường
- Triển khai theo kế hoạch ứng phó sự cố đã được cấp thẩm quyền phê duyệt (nếu có) hoặc theo hướng dẫn của ĐVCT ƯCSC và BCĐ
ƯCSC ĐV/EVN.
- Các bước trong quy trình này được triển khai liên tục, đảm bảo đến khi khôi phục hoạt động của HTTT trở lại bình thường.

3.1. Triển khai ứng cứu, ngăn chặn và xử lý sự cố

Đơn vị chủ trì: Đơn vị, cá i) Thu thập, phân tích, xác định sự cố:
nhân QLVH; Đội/bộ phận - Triển khai thu thập chứng cứ, phân tích, xác định phạm vi, đối tượng bị
ƯCSC, ĐVCT ƯCSC. ảnh hưởng.
Đơn vị phối hợp: Đơn vị - Triển khai phân tích, xác định nguồn gốc tấn công.
chịu trách nhiệm bảo đảm
ATTT cho hệ thống bị sự ii) Ngăn chặn, xử lý sự cố:
cố, ĐVCT ƯCSC, thành - Tổ chức ứng cứu và ngăn chặn, giảm thiểu tác động, thiệt hại đến HTTT.
viên MLƯCSC có liên
quan.

3.2. Xử lý sự cố, gỡ bỏ và khôi phục

Đơn vị chủ trì: Đơn vị, cá i) Xử lý sự cố, gỡ bỏ
nhân QLVH. - Sau khi đã triển khai ngăn chặn sự cố, đơn vị/cá nhân QLVH, ĐVCT
Đơn vị phối hợp: Đội/bộ ƯCSC, Đội/bộ phận ƯCSC triển khai tiêu diệt, gỡ bỏ các mã độc, phần
phận ƯCSC, ĐVCT mềm độc hại khắc phục các điểm yếu ATTT của HTTT.
 24

Bước thực
Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
hiện
ƯCSC, Đơn vị chịu trách ii) Khôi phục hoạt động
nhiệm bảo đảm ATTT cho - Đơn vị, cá nhân QLVH chủ trì phối hợp với các đơn vị liên quan triển
hệ thống bị sự cố, thành khai các hoạt động khôi phục HTTT dữ liệu và kết nối; cấu hình hệ thống
viên MLƯCSC có liên an toàn; bổ sung các thiết bị, phần cứng phần mềm bảo đảm ATTT cho
quan, BĐH ƯCSC. HTTT.
iii) Kiểm tra, đánh giá HTTT
- Đơn vị, cá nhân QLVH và các đơn vị liên quan triển khai kiểm tra, đánh
giá hoạt động của toàn bộ HTTT sau khi khắc phục sự cố.
- Trường hợp hệ thống chưa hoạt động ổn định, cần tiếp tục tổ chức thu
thập, xác minh lại nguyên nhân và tổ chức các bước tương ứng tại bước
ở trên để xử lý dứt điểm, khôi phục hoạt động bình thường của HTTT.

Bước 4 Tổng kết, đánh giá kết quả, công bố

Đơn vị chủ trì: Đơn vị, cá - Đơn vị, cá nhân QLVH bị sự cố phối hợp với ĐVCT ƯCSC và Đội/bộ - ĐVQLVH thực hiện tổng hợp
nhân QLVH. phận ƯCSC triển khai tổng hợp toàn bộ các thông tin, báo cáo, phân tích và báo cáo theo biểu mẫu định kỳ
có liên quan đến sự cố, công tác triển khai phương án ứng cứu sự cố, báo tại QĐ99.
Đơn vị phối hợp: ĐVCT
cáo Chủ quản HTTT, BCĐ ƯCSC ĐV/EVN.
ƯCSC; Đội/bộ phận - Báo cáo kết thúc sự cố theo Mẫu
- Tổ chức phân tích nguyên nhân, rút kinh nghiệm trong hoạt động xử lý
ƯCSC; Chủ quản HTTT; 02 của Phụ lục 02.
sự cố và đề xuất các biện pháp bổ sung nhằm phòng ngừa, ứng cứu đối
BĐH ƯCSC.
với các sự cố tương tự trong tương lai. - Thực hiện báo cáo khác theo
QĐ05 và TT20.
 Điều 11. Quy trình ứng cứu sự cố an toàn thông tin mạng nghiêm trọng
mức EVN
Quy trình ứng cứu khẩn cấp sự cố an toàn thông tin mạng nghiêm trọng mức
EVN như sau:

Hình 3. QT.EVN.UCSC.02 - Quy trình ứng cứu khẩn cấp sự cố an toàn

thông tin mạng nghiêm trọng mức EVN
 Diễn giải quy trình:

Bước thực hiện Trách nhiệm Nội dung và trình tự thực hiện Ghi chú

Bước 1 Phát hiện, tiếp nhận sự cố

Đơn vị chủ trì: Đơn - ĐVQLVH chịu trách nhiệm liên tục theo dõi, phát hiện các tấn công, Nguồn cung cấp thông tin:
vị, cá nhân QLVH. sự cố đối với HTTT mình được giao quản lý, vận hành. - Chủ quản HTTT, các
Đơn vị phối hợp: - Theo dõi, tiếp nhận các cảnh báo, dấu hiệu sự cố từ các nguồn bên ĐVQLVH, giám sát ATTT,
ĐVCT ƯCSC trong và bên ngoài. Thông tin mạng lưới; CSIRT;
EVN/ĐV; Chủ quản Thông tin tiếp nhận sự cố gồm: - Hệ thống theo dõi nội bộ của
HTTT. đơn vị vận hành (như công cụ/hệ
+ Thông tin về nguồn cung cấp sự cố;
thống giám sát an ninh mạng),
+ Mô tả về sự cố;
kết quả hoạt động dò quét lỗ
+ Các thông tin khác có liên quan.
hổng, mã độc…
- Ghi nhận thông tin sự cố tại nhật ký theo dõi sự cố an toàn thông tin - Người dùng tại đơn vị;
mạng. - Nguồn tin xã hội;
- VNCERT;
- Từ các nguồn tin khác, v.v...

Bước 2 Phân tích, Xác minh, đánh giá và Phân loại sự cố

Chủ trì: Đơn vị, cá - Thực hiện phân tích, xác minh sự cố đã xảy ra. - Doanh nghiệp viễn thông, ISP;
nhân QLVH, BĐH Trong quá trình này cần tổ chức ghi nhận, thu thập chứng cứ, xác định thành viên MLƯCSC; CSIRT;
ƯCSC EVN/ĐV. nguồn gốc sự cố, ghi nhận kết quả xác minh sự cố. CQ ĐPQG (VNCERT/CC) phối
Đơn vị phối hợp: Chủ hợp hỗ trợ.
- BĐH ƯCSC EVN/ĐV phối hợp cùng chủ quản HTTT (hoặc ĐVCT
quản HTTT; ĐVCT ƯCSC hoặc ĐVQLVH) xác minh sự cố bao gồm các thông tin sau: - Sự cố an toàn thông tin mạng
ƯCSC EVN/ĐV. Tình trạng sự cố; mức độ sự cố; phạm vi ảnh hưởng của sự cố; đối nghiêm trọng có thể được phân
tượng, địa điểm xảy ra sự cố. loại theo các mức độ cụ thể hơn
- Sau khi xác minh được sự cố, BĐH ƯCSC EVN/ĐV có trách nhiệm theo quy định tại khoản 3, Điều
3, Chương I của Quy trình này.
phân loại sự cố đã có kết quả xác minh theo từng tình huống cụ thể và
triển khai tiếp như sau:
 27

Bước thực hiện Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
- Trường hợp sự cố ATTT được phân loại thông thường thì BĐH ƯCSC - Khi tham gia xử lý các sự cố
EVN/ĐV thông báo cho các bên liên quan để tiếp tục triển khai theo ATTT mà sự cố thuộc phạm vi
phương án ứng cứu sự cố an toàn thông tin mạng thông thường (Phương CQ ĐPQG điều hành xử lý, Đội
án ƯCSC xây dựng sẵn); CSIRT thực hiện các chức năng
- Trường hợp sự cố ATTT nghiêm tro ̣ng mức quốc gia (là sự cố ATTT nhiệm vụ và triển khai các quy
nghiêm tro ̣ng mức phải báo cáo CQ ĐPQG), thì BĐH ƯCSC EVN điều trình ứng cứu sự cố theo quy
phối các đơn vị trong EVN thông báo, phối hợp với CQ ĐPQG định tại QĐ05, TT20 và kế
(VNCERT/CC) và các đơn vị liên quan ƯCSC theo Quy trình ứng cứu hoạch ứng cứu sự cố an toàn
khẩn cấp sự cố an toàn thông tin mạng nghiêm trọng tại Điều 14, thông tin mạng tương ứng đã
Chương III, Quy định QĐ05. được phê duyệt.
- Trường hợp sự cố được phân loại nghiêm trọng nhưng trong phạm vi
EVN có thể chủ động xử lý thì BĐH ƯCSC EVN báo cáo BCĐ ATTT
EVN về sự cố an toàn thông tin nghiêm trọng cùng với các đề xuất:
phương án ứng cứu; các đơn vị tham gia lực lượng ứng cứu; nguồn lực
cần thiết để ứng cứu sự cố; dự kiến triệu tập bộ phận tác nghiệp ứng
cứu khẩn cấp và thực hiện các bước tiếp theo.
Báo cáo BCĐ ATTT EVN/TTƯCSC, quyết định lựa chọn phương án và triệu tập các thành viên của Bộ phận ƯCSC khẩn
Bước 3 cấp
Đơn vị chủ trì: BĐH - BĐH ƯCSC EVN/ĐV báo cáo BCĐ ATTT EVN xem xét quyết định BĐH ƯCSC EVN/ĐV căn cứ
ƯCSC EVN lựa chọn phương án ứng cứu khẩn cấp và triệu tập bộ phận tác nghiệp tình hình thực tế, báo cáo CQ
ứng cứu khẩn cấp để ứng cứu, xử lý sự cố. Tùy theo tình hình thực tế, ĐPQG (VNCERT) nếu cần để hỗ
BĐH ƯCSC EVN huy động bộ phận tác nghiệp ứng cứu khẩn cấp từ trợ xem xét quyết định lựa chọn
các đơn vị để phù hợp với phương án ứng cứu được lựa chọn và đặc phương án ứng cứu khẩn cấp và
thù của sự cố. triệu tập các cơ quan/tổ chức liên
- Các nhiệm vụ triển khai các biện pháp ứng cứu khẩn cấp bảo đảm an quan hỗ trợ, phối hợp.
toàn thông tin mạng cần được phân công thực hiện gồm:
+ Chỉ đạo điều hành hoạt động ứng cứu và giám sát cơ chế phối
hợp, chia sẻ thông tin.
+ Thu thập, tổng hợp thông tin và chia sẻ, báo cáo.
 28

Bước thực hiện Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
+ Phân tích thông tin.
+ Ngăn chặn, xử lý sự cố.
+ Khắc phục, gỡ bỏ, khôi phục dữ liệu và hoạt động bình thường.
+ Xử lý hậu quả.
+ Công bố và xử lý khủng hoảng thông tin.
Triển khai phương án ứng cứu sự cố ban đầu
Bước 4 BĐH ƯCSC EVN/ĐV nhanh chóng phối hợp với Chủ quản HTTT tiến hành ngay các biện pháp ứng cứu ban đầu, bao gồm các nội
dung sau:
4.1. Xác định phạm vi, đối tượng, mục tiêu cần ứng cứu
Đơn vị chủ trì: BĐH - Xác định phạm vi, đối tượng, mục tiêu cần ứng cứu.
ƯCSC EVN/ĐV; Chủ - Các sự cố liên quan đã xảy ra;
quan HTTT; Đơn vị, - Đối tượng đang bị ảnh hưởng;
cá nhân QLVH. - Phạm vi bị ảnh hưởng;
- Các mục tiêu ưu tiên trong khắc phục sự cố (khôi phục hoạt động, bảo
Đơn vị phối hợp:
đảm bí mật dữ liệu; bảo đảm tính toàn vẹn dữ liệu);
ĐVCT ƯCSC, thành
- Diễn biến tình hình và phương thức thủ đoạn tấn công;
viên MLƯCSC có liên
- Dự đoán các diễn biến tiếp theo có thể xảy ra.
quan.
4.2. Điều phối các hoạt động ứng cứu ban đầu
Đơn vị chủ trì: - BĐH ƯCSC EVN/ĐV thực hiện điều phối và chia sẻ thông tin, tài liệu - Phối hợp với các cơ quan
BCĐ ATTT EVN; liên quan đến tình huống ứng cứu cho các thành viên tham gia theo chức năng như: Cục ATTT,
BĐH ƯCSC chức năng, nhiệm vụ được giao. BTL86, Cục A05, các đơn vị/tổ
EVN/ĐV. chức/cá nhân chuyên gia ATTT
Đơn vị phối hợp: Chủ bên ngoài (nếu cần).
quản HTTT. - Huy động MLƯCSC EVN tham
gia ứng cứu sự cố.
4.3. Cảnh báo sự cố trên mạng lưới ứng cứu
 29

Bước thực hiện Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
Đơn vị chủ trì: BĐH - BĐH ƯCSC EVN/ĐV thực hiện cảnh báo cho các thành viên
ƯCSC EVN/ĐV. MLƯCSC EVN/ĐV và các đối tượng có liên quan hoặc có khả năng xảy
Đơn vị phối hợp: ra các sự cố tương tự.
ĐVCT về ƯCSC liên
quan/chịu trách nhiệm,
CSIRT EVN/ĐV.
4.4. Tiến hành các biện pháp khôi phục tạm thời
Đơn vị chủ trì: - Căn cứ vào mục tiêu được ưu tiên trong khắc phục sự cố, Chủ quản Trong trường hợp sự cố yêu cầu
HTTT phối hợp với BĐH ƯCSC EVN/ĐV, các nhà cung cấp dịch vụ và mức ứng khẩn cấp để bảo đảm
Chủ quản HTTT, BĐH
các cơ quan chức năng khác tiến hành khôi phục một số hoạt động, dữ an toàn thông tin mạng quốc gia
ƯCSC EVN/ĐV.
liệu hoặc kết nối cần thiết nhất để giảm thiểu thiệt hại đối với HTTT, thì báo cáo, đề nghị CQ ĐPQG
Đơn vị phối hợp: Đơn ảnh hưởng uy tín của cơ quan chủ quản, quản lý hệ thống. (VNCERT) tham gia phối hợp.
vị, cá nhân QLVH, - Chủ quản HTTT phải phối hợp chặt chẽ, cung cấp đầy đủ thông tin
ĐVCT ƯCSC. để BĐH ƯCSC EVN/ĐV thực hiện giám sát, theo dõi quá trình phục hồi
và các tấn công, ảnh hưởng trong thời gian chưa khắc phục triệt để sự
cố.
4.5. Xử lý hậu quả ban đầu
Đơn vị chủ trì: - Chủ quản HTTT nhanh chóng tiến hành các biện pháp khắc phục khẩn
Chủ quản HTTT, BĐH cấp các hậu quả, thiệt hại do tấn công mạng gây ra theo yêu cầu của
ƯCSC EVN/ĐV. BĐH ƯCSC EVN/ĐV.
Đơn vị phối hợp: Đơn
vị, cá nhân QLVH,
ĐVCT ƯCSC.
4.6. Ngăn chặn, xử lý các hành vi đã được phát hiện
 30

Bước thực hiện Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
Đơn vị chủ trì: - BĐH ƯCSC EVN/ĐV thực hiện điều phối các cơ quan chức năng triển Phối hợp với các cơ quan chức
BĐH ƯCSC khai hỗ trợ phát hiện và xử lý các nguồn phát tán tấn công, ngăn chặn năng như: Cục ATTT, BTL86,
EVN/ĐV; Chủ quản các tấn công từ bên ngoài vào HTTT bị sự cố. Cục A05, các đơn vị/tổ chức/cá
HTTT. - BĐH ƯCSC EVN/ĐV cung cấp hoặc chỉ đạo cung cấp các thông tin, nhân chuyên gia ATTT bên
chứng cứ liên quan đến các hành vi vi phạm pháp luật có yếu tố cấu ngoài (nếu cần).
Đơn vị phối hợp:
ĐVCT ƯCSC liên thành tội phạm (nếu có) để các cơ quan chức năng thuộc Bộ Công an
quan/chịu trách tiến hành điều tra, xác minh và ngăn chặn tội phạm.
nhiệm, CSIRT
EVN/ĐV.
Bước 5 Triển khai phương án ứng cứu sự cố nghiêm trọng, khẩn cấp
- Các thành phần tham gia bộ phận ứng cứu triển khai ngay các công đoạn ứng cứu với nguồn lực và quy trình nghiệp vụ của mình,
đồng thời tuân thủ tư thế phối hợp và chia sẽ thông tin.
- Các công đoạn này được triển khai liên tục, lặp lại tùy thuộc vào diễn biến của sự cố.
5.1. Chỉ đạo xử lý sự cố, Điều phối công tác ứng cứu
Đơn vị chủ trì: BCĐ - Căn cứ theo phương án ứng cứu được lựa chọn, BCĐ ATTT
ATTT EVN, Cơ quan EVN/TTƯCSC EVN chỉ đạo chủ quản HTTT, BĐH ƯCSC EVN/ĐV, bộ
thường trực, BĐH phận tác nghiệp ƯCSC triển khai công tác ứng cứu, xử lý sự cố.
ƯCSC EVN/ĐV. Trong quá trình ứng cứu, tùy thuộc vào diễn biến tình hình thực tế,
Đơn vị phối hợp: BCĐ ATTT EVN/TTƯCSC EVN có thể quyết định bổ sung thành phần
tham gia tác nghiệp ứng cứu khẩn cấp.
- Căn cứ theo phương án ứng cứu được lựa chọn, BCĐ ATTT EVN hoặc
BĐH ƯCSC EVN thực hiện công tác điều phối ứng cứu theo chức năng
nhiệm vụ của mình và giám sát cơ chế phối hợp, chia sẻ thông tin.
5.2. Phát ngôn và công bố thông tin
 31

Bước thực hiện Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
Đơn vị chủ trì: - TTƯCSC EVN chịu trách nhiệm chỉ định người phát ngôn, cung cấp
TTƯCSC EVN, BĐH thông tin; quyết định địa điểm, nội dung, thời điểm phát ngôn, cung cấp
ƯCSC EVN/ĐV. thông tin cho các cơ quan thông tin đại chúng, các cá nhân và tổ chức
có liên quan đến sự cố.
5.3. Thu thập thông tin
Đơn vị chủ trì: BĐH - Căn cứ theo yêu cầu cung cấp thông tin cho các đơn vị thuộc thành
ƯCSC EVN/ĐV, Chủ phần tác nghiệp ứng cứu khẩn cấp, cơ quan điều phối cùng chủ quản
quản HTTT. HTTT phối hợp tiến hành thu thập, tổng hợp và chia sẻ, cung cấp thông
tin.
5.4. Phân tích, giám sát tình hình liên quan sự cố
Đơn vị chủ trì: BĐH - BĐH ƯCSC EVN/ĐV chủ trì, phối hợp với chủ quản HTTT, ĐVCT
ƯCSC EVN/ĐV, Chủ ƯCSC thực hiện giám sát liên tục diễn biến sự cố và thông báo, cập
quản HTTT, ĐVCT nhật đến các đơn vị trong bộ phận tác nghiệp ứng cứu khẩn cấp.
ƯCSC; Đội/bộ phận - Các đơn vị thuộc bộ phận tác nghiệp ứng cứu khẩn cấp dựa trên các
ƯCSC. thông tin thu thập được, sử dụng các nguồn lực, phương tiện và các quy
trình nghiệp vụ của mình để tiến hành phân tích sự cố.
Kết quả phân tích sự cố được báo cáo TTƯCSC EVN, BĐH ƯCSC
EVN/ĐV và chia sẻ trong bộ phận tác nghiệp ứng cứu khẩn cấp để phục
vụ ứng cứu, khắc phục sự cố
5.5. Khắc phục sự cố, gỡ bỏ mã độc; Ngăn chặn, xử lý hậu quả do sự cố
Đơn vị chủ trì: Chủ - Thực hiện khắc phục sự cố, gỡ bỏ mã độc:
quản HTTT, Đơn vị, + Sao lưu hệ thống trước và sau khi xử lý sự cố;
cá nhân QLVH. + Tiêu diệt các mã độc, phần mềm độc hại;
Đơn vị phối hợp: + Khôi phục hệ thống, dữ liệu và kết nối;
+ Cấu hình hệ thống an toàn;
BĐH ƯCSC
+ Kiểm tra thử toàn bộ hệ thống sau khi khắc phục sự cố;
EVN/ĐV, Đội/bộ
+ Khắc phục các điểm yếu ATTT;
 32

Bước thực hiện Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
phận ƯCSSC, Đơn vị + Bổ sung các thiết bị, phần cứng, phần mềm bảo đảm ATTT cho
chịu trách nhiệm bảo hệ thống;
đảm ATTT cho hệ + Triển khai theo dõi, giám sát, ngăn chặn khả năng lặp lại sự cố
thống bị sự cố, ĐVCT hoặc xảy ra các sự cố tương tự.
ƯCSC, thành viên - Chủ quản HTTT có trách nhiệm xử lý các hậu quả do sự cố HTTT
MLƯCSC. của mình gây ra ảnh hưởng đến người dân, cơ quan, tổ chức khác.
- Các đơn vị thuộc thành phần tham gia tác nghiệp ứng cứu khẩn cấp,
dựa trên các kết quả phân tích, điều tra, sử dụng các nguồn lực, phương
tiện và nghiệp vụ của mình để tiến hành ngăn chặn các hành vi gây ra
sự cố và hỗ trợ xử lý hậu quả.
5.6. Điều tra chi tiết nguyên nhân và truy tìm nguồn gốc
Đơn vị chủ trì: ĐVCT - Các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp sau khi phân tích
ƯCSC; Đội/bộ phận sự cố, tham khảo các kết quả phân tích sự cố của các đơn vị khác, sử
ƯCSC; BĐH ƯCSC dụng các nguồn tin và quy trình nghiệp vụ của mình, chủ động điều
EVN/ĐV, Chủ quản tra chi tiết nguyên nhân và truy tìm nguồn gốc, gửi BĐH ƯCSC EVN,
HTTT TTƯCSC EVN để tổng hợp, xác minh, báo cáo BCĐ ATTT EVN,
TTƯCSC EVN, BĐH ƯCSC EVN các thông tin liên quan, cụ thể bao
gồm:
+ Đối tượng bị tấn công;
+ Phương thức thủ đoạn tấn công (quy trình, kỹ thuật, mẫu mã đọc,
phần mềm độc hại);
+ Thời gian tấn công;
+ Các thiệt hại đã xảy ra;
+ Đối tượng tấn công;
+ Dự đoán khả năng xảy ra các tấn công tương tự và thiệt hại
Bước 6 Đánh giá kết quả triển khai phương án ứng cứu khẩn cấp bảo đảm ATTT, báo cáo tổng kết
 33

Bước thực hiện Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
Đơn vị chủ trì: BCĐ - TTƯCSC EVN tổng hợp toàn bộ các báo cáo phân tích có liên quan
ATTT EVN, BĐH đến triển khai phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin
ƯCSC EVN/ĐV. mạng để báo cáo với BCĐ ATTT EVN và BCĐ Quốc gia theo quy định.
Đơn vị phối hợp: - Tổ chức họp phân tích nguyên nhân, rút kinh nghiệm trong hoạt động
ĐVCT ƯCSC; Đội/bộ xử lý sự cố và đề xuất các biện pháp bổ sung nhằm phòng ngừa, ứng
phận ƯCSC; Chủ cứu đối với các sự cố tương tự trong tương lai.
quản HTTT
Bước 7 Kết thúc
Đơn vị chủ trì: BCĐ - BĐH ƯCSC EVN/ĐV căn cứ kết quả đánh giá của BCĐ ATTT EVN, Thực hiện báo cáo BCĐ Quốc
ATTT EVN, BĐH BĐH ƯCSC EVN sẽ thực hiện hoàn tất các nhiệm vụ sau, kết thúc gia, các cơ quan chức năng nhà
ƯCSC EVN/ĐV. hoạt động ứng cứu sự cố khẩn cấp: nước theo QĐ20 và TT20.
Đơn vị phối hợp: + Lưu hồ sơ, tài liệu lưu trữ;
ĐVCT ƯCSC; Đội/bộ + Xây dựng, đúc rút các bài học, kinh nghiệm;
phận ƯCSC; Chủ + Đề xuất các kiến nghị về kỹ thuật, chính sách để hạn chế thiệt hại
quản HTTT khi xảy ra các tấn công tương tự;
+ Báo cáo cơ quan cấp trên, tổ chức họp báo hoặc gửi thông tin cho
truyền thông nếu cần thiết.
 CHƯƠNG IV. CƠ CHẾ TRAO ĐỔI THÔNG TIN

Điều 12. Kênh trao đổi thảo luận và báo cáo nhanh
1. Kênh trao đổi thảo luận và báo cáo nhanh để trao đổi, thảo luận, cảnh báo,
cập nhật các nội dung liên quan đến tình hình ATTT trong và ngoài nước, công
tác đảm bảo ATTT trong Tập đoàn.
2. Hình thức sử dụng: Thảo luận bằng ứng dụng Chat được bảo mật.
3. Nội quy tham gia:
- Chỉ trao đổi các nội dung liên quan đến ATTT.
- Các đơn vị nhận được yêu cầu xử lý có trách nhiệm xác nhận thông tin tình
trạng đã nhận được yêu cầu, tổ chức xử lý và trả lời cho đơn vị gửi yêu cầu trong
thời gian không quá 01 (một) ngày làm việc. Thời gian này có thể rút ngắn lại
trong một số trường hợp sự cố cần xử lý gấp theo yêu cầu của đơn vị gửi yêu cầu
và BĐH ƯCSC EVN. Trường hợp Cơ quan thường trực ứng cứu sự cố của EVN
(Ban VT&CNTT-EVN) gửi yêu cầu, các đơn vị có trách nhiệm gửi Báo cáo kết
quả thực hiện thông qua hệ thống EVNPortal trong thời gian không quá 07 (bảy)
ngày làm việc kể từ thời điểm gửi yêu cầu.
- Khuyến khích tất cả các thành viên trong nhóm tham gia thảo luận và phát
biểu ý kiến tham gia.

Điều 13. Kênh tổng hợp báo cáo sự cố

1. Ứng dụng sử dụng: D-Office, EVNPortal và/hoặc email.
- Chuyên mục: Báo cáo sự cố ATTT trên hệ thống EVNPortal thuộc lĩnh vực
VTCNTT/ATTT và trên D-Office (tổ chức chuyên mục có thể thay đổi tùy theo
nhu cầu thực tế quản lý).
- Nhận thông báo qua email: antoanthongtin@evn.com.vn.
2. Hình thức: Báo cáo sự cố ATTT.
3. Nội dung báo cáo: Cảnh báo, thông báo, xử lý sự cố an toàn thông tin của
các đơn vị trong Tập đoàn.
4. Trách nhiệm:
- Người gửi: Các đơn vị có trách nhiệm cử đầu mối thực hiện báo cáo EVN
kịp thời tình hình sự cố, các cảnh báo, thông báo, xử lý sự cố sau khi ghi nhận sự
cố.
- Người nhận: Tập đoàn sẽ gửi thông báo xác nhận báo cáo qua hệ thống
EVNPortal và tự động gửi Email thông báo qua group email:
antoanthongtin@evn.com.vn và email đầu mối đơn vị gửi báo cáo.
 35

Điều 14. Cơ chế trao đổi thông tin

1. Hình thức trao đổi thông tin về điều phối ứng cứu sự cố được thực hiện
bằng một hoặc nhiều hình thức như: Công văn bản giấy (đối với các văn bản Mật)
hoặc D-Office, thư điện tử, điện thoại, nhắn tin đa phương tiện đảm bảo tuân thủ
theo các quy định pháp luật liên quan khi trao đổi thông tin mật.
2. Thông tin trong quá trình phối hợp, chia sẻ và ứng cứu sự cố giữa các đơn
vị trong EVN, với các tổ chức/cơ quan bên ngoài phải đảm bảo tính bí mật đối
với các thông tin nhạy cảm riêng của EVN và đơn vị.
3. Thông tin đối với sự cố an toàn thông tin nghiêm trọng xảy ra tại các đơn
vị là thông tin mật, các đơn vị cần tuân thủ đảm bảo tính bí mật theo quy định.

CHƯƠNG V. BÁO CÁO SỰ CỐ

Điều 15. Báo cáo ban đầu sự cố
1. Đối với sự cố an toàn thông tin mạng thông thường:
a) Chậm nhất 24 (hai mươi tư) giờ kể từ khi phát hiện sự cố, đơn vị, cá nhân
vận hành HTTT có trách nhiệm thông báo đồng thời cho Chủ quản HTTT và
ĐVCT (nếu có) và đơn vị hỗ trợ có trách nhiệm ứng cứu sự cố (nếu có).
b) Hình thức báo cáo: Văn bản điện tử (có ký tên và đóng dấu hoặc chữ ký
số của người có thẩm quyền) theo Mẫu 01 tại Phụ lục 02 của Quy trình này.
2. Đối với sự cố an toàn thông tin mạng nghiêm trọng:
a) Đơn vị, cá nhân vận hành HTTT có trách nhiệm thông báo đồng thời cho
Chủ quản HTTT, Đội CSIRT, ĐVCT, BCĐ ƯCSC ĐV. Sau khi nhận được báo
cáo, BCĐ ƯCSC ĐV xin ý kiến chỉ đạo của BĐH ƯCSC EVN ngay lập tức kể từ
khi phát hiện hoặc nghi ngờ là sự cố nghiêm trọng và được duy trì trong suốt quá
trình ứng cứu sự cố.
- Chậm nhất 02 (hai) giờ kể từ khi phát hiện sự cố trong trường hợp sự cố hệ
̣ cố là HTTT cấ p độ 3 trở lên và có khả năng xảy ra trên diện
thố ng thông tin bi sự
rộng hoặc gây ra các ảnh hưởng dây chuyề n, làm tổ n ha ̣i cho các HTTT cấ p độ 4
hoặc cấ p độ 5 khác.
- Chậm nhất 04 (bốn) giờ đối với các sự cố nghiêm trọng khác.
b) Hình thức thông báo, báo cáo ưu tiên bằng gọi số điện thoại hotline, tin
nhắn đa phương tiện, sau đó thông báo, báo cáo lại bằng văn bản giấy hoặc văn
bản điện tử qua các kênh hệ thống EVNPortal hoặc D-Office. Văn bản giấy hoặc
văn bản điện tử theo Mẫu 01 tại Phụ lục 02 của Quy trình này.

Điều 16. Báo cáo kết thúc ứng cứu sự cố

1. Đơn vị thực hiện báo cáo:
a) Đơn vị vận hành HTTT gửi báo cáo cho Chủ quản HTTT, ĐVCT ƯCSC
(nếu có) và đơn vị hỗ trợ có trách nhiệm ứng cứu sự cố (nếu có).
 36

b) Chủ quản HTTT gửi báo cáo cho EVN, ĐVCT và các đơn vị có trách
nhiệm liên quan (nếu có) trong trường hợp sự cố an toàn thông tin mạng nghiêm
trọng.
2. Hình thức báo cáo: Bằng văn bản giấy hoặc văn bản điện tử (có ký tên và
đóng dấu hoặc chữ ký số của người có thẩm quyền) theo Mẫu 02 tại Phụ lục 02
của Quy trình này.
3. Thời gian thực hiện báo cáo: Chậm nhất 05 (năm) ngày kể từ thời điểm
hoàn thành ứng cứu sự cố đối với sự cố an toàn thông tin mạng không nghiêm
trọng và 10 (mười) ngày đối với nghiêm trọng.

Điều 17. Báo cáo tổng hợp về hoạt động tiếp nhận và xử lý sự cố
1. Đơn vị thực hiện báo cáo: Chủ quản HTTT gửi báo cáo cho EVN (BĐH
ƯCSC EVN, TTƯCSC EVN) và ĐVCT ƯCSC.
2. Hình thức báo cáo: Bằng văn bản giấy hoặc văn bản điện tử (có ký tên và
đóng dấu hoặc chữ ký số của người có thẩm quyền) theo Mẫu 03 tại Phụ lục 02
của Quy trình này.
3. Thời gian thực hiện báo cáo: Tổng hợp, xây dựng báo cáo định kỳ 06 tháng
(trước ngày 10 tháng 6), 01 năm (trước ngày 05 tháng 12); báo cáo đột xuất khi
có yêu cầu của BCĐ/BĐH ƯCSC EVN, TTƯCSC EVN.

CHƯƠNG VI. ĐIỀU KHOẢN THI HÀNH

Điều 18. Điều khoản thi hành

1. Các đơn vị áp dụng trực tiếp Quy trình này và được ban hành Hướng dẫn
thực hiện những nội dung đặc thù của đơn vị chưa được quy định trong quy trình
này. Hướng dẫn của đơn vị không được trái quy định pháp luật, quy chế quản lý
nội bộ của Tập đoàn và Quy trình này.
2. Quy trình này là cơ sở để Người đại diện của EVN, công ty TNHH MTV
cấp II tổ chức xây dựng, biểu quyết, ban hành quy định có nội dung liên quan đến
Quy trình này tại đơn vị mình làm đại diện.
3. Trong quá trình thực hiện nếu có vướng mắc, khó khăn, các đơn vị báo
cáo kịp thời về EVN (qua đầu mối thường trực, giúp việc cho BCĐ ATTT EVN và
BĐH ƯCSC EVN là Ban VT&CNTT-EVN) để xem xét giải quyết, sửa đổi bổ
sung cho phù hợp.
 37

PHỤ LỤC 01. DANH MỤC CÁC VĂN BẢN CĂN CỨ VÀ TÀI LIỆU VIỆN
DẪN LIÊN QUAN

1. Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19/11/2015;

2. Luật An ninh mạng số 24/2018/QH14 ngày 12/06/2018;
3. Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm
an toàn hệ thống thông tin theo cấp độ;
4. Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính
phủ quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin
mạng quốc gia;
5. Thông tư số 20/2017/BTTTT ngày 12/9/2017 của Bộ Thông tin và
Truyền thông quy định hoạt động điều phối, ứng cứu sự cố an toàn thông tin trên
toàn quốc;
6. Quyết định số 632/QĐ-TTg ngày 10/5/2017 của Thủ tướng Chính phủ
ban hành Danh mục lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin
mạng và hệ thống thông tin quan trọng quốc gia;
7. Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và
Truyền thông về việc quy định hoạt động giám sát an toàn hệ thống thông tin;
8. Quyết định số 1907/QĐ-TTg ngày 23/11/2020 của Thủ tướng Chính phủ
Phê duyệt Đề án “Tuyên truyền, nâng cao nhận thức và phổ biến kiến thức về an
toàn thông tin giai đoạn 2021 - 2025”;
9. Quyết định số 99/QĐ-EVN ngày 18/01/2021 của Tập đoàn Điện lực Việt
Nam về Quy định đảm bảo an toàn thông tin trong Tập đoàn Điện lực Quốc gia
Việt Nam;
10. Quyết định số 20/QĐ-HĐTV ngày 11/3/2021 của Hội đồng thành viên
Tập đoàn Điện lực Việt Nam về việc thành lập Ban chỉ đạo an toàn thông tin trong
Tập đoàn Điện lực Quốc gia Việt Nam;
11. Quyết định số 410/QĐ-EVN ngày 01/4/2021 của Tập đoàn Điện lực
Việt Nam về việc ban hành Quy chế làm việc của Ban chỉ đạo an toàn thông tin
trong Tập đoàn Điện lực Quốc gia Việt Nam.
12. Văn bản hướng dẫn số 4258/BTTTT-CATTT ngày 26/10/2021 của Bộ
Thông tin và Truyền thông về việc Hướng dẫn tổ chức, hoạt động của Đội Ứng
cứu sự cố an toàn thông tin mạng;
13. Công văn số 215/CATTT-VNCERTCC ngày 18/02/2022 của Cục An
toàn thông tin – Bộ Thông tin và Truyền thông, về việc xin ý kiến góp ý Dự thảo
Chỉ thị của Thủ tướng Chính phủ về đẩy mạnh triển khai các hoạt động ứng cứu
sự cố, bảo đảm an toàn thông tin mạng Việt nam;
14. Công văn số 705/CATTT-VNCERTCC ngày 19/05/2022 của Cục An
toàn thông tin – Bộ Thông tin và Truyền thông, về việc thành lập đội ứng cứu sự
 38

cố của ngành (Cert ngành) thuộc thành viên Mạng lưới ứng cứu sự cố đảm bảo an
toàn thông tin mạng quốc gia;
15. Công văn số 1972/BTTTT-CATTT ngày 27/5/2022 của Bộ Thông tin
và Truyền thông về việc góp ý dự thảo Chỉ thị của Thủ tướng Chính phủ đẩy mạnh
triển khai các hoạt động ứng cứu sự cố bảo đảm an toàn thông tin mạng Việt Nam;
16. Công văn số 3933/EVN-VTCNTT ngày 19/7/2022 của EVN về việc
thành lập đội ứng cứu sự cố của ngành thuộc thành viên Mạng lưới ứng cứu sự cố
đảm bảo an toàn thông tin mạng quốc gia;
17. Quyết định số 964/QĐ-TTg ngày 10/8/2022 của Thủ tướng Chính phủ
Phê duyệt Chiến lược An toàn, An ninh mạng quốc gia, chủ động ứng phó với các
thách thức từ không gian mạng đến năm 2025, tầm nhìn 2030;
18. Chỉ thị số 18/CT-TTg ngày 13/10/2022 của Thủ tướng Chính phủ chỉ
thị về đẩy mạnh triển khai các hoạt động ứng cứu sự cố an toàn thông tin mạng
Việt Nam;
19. Thông tư 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông tin và
Truyền thông về việc quy định chi tiết và hướng dẫn một số điều của Nghị định
số 85/2016/NĐ-CP ngày 01/07/2016 của Chính phủ về bảo đảm an toàn hệ thống
thông tin theo cấp độ.
 39

PHỤ LỤC 02. CÁC BIỂU MẪU BÁO CÁO SỰ CỐ

Mẫu 01: Báo cáo ban đầu sự cố

THÔNG TIN VỀ TỔ CHỨC/CÁ NHÂN BÁO CÁO SỰ CỐ

 Tên tổ chức/cá nhân báo cáo sự cố (*) ..............................................................................
 Địa chỉ: (*) ........................................................................................................................
 Điện thoại (*) ................................................... Email (*) .................................................
NGƯỜI LIÊN HỆ
 Họ và tên (*) ..................................................... Chức vụ: ................................................
 Điện thoại (*) ................................................... Email (*) .................................................
THÔNG TIN CHI TIẾT VỀ HỆ THỐNG BỊ SỰ CỐ
Tên đơn vị vận hành hệ Điền tên đơn vị vận hành hoặc được thuê vận hành hệ thống
thống thông tin (*): thông tin
Cơ quan chủ quản: Điền tên cơ quan chủ quản
Tên hệ thống bị sự cố Điền tên hệ thống bị sự cố và tên miền, địa chỉ IP liên quan
Phân loại cấp độ của hệ Cấp Cấp Cấp Cấp Cấp
thống thông tin, (nếu có) độ 1 độ 2 độ 3 độ 4 độ 5
Phân loại sự cố Thông thường
Nghiêm trọng

Mô tả sơ bộ về sự cố (*)
Đề nghị cung cấp một bản tóm tắt ngắn gọn về sự cố, bao gồm đánh giá sơ bộ cuộc tấn công
đã xảy ra chưa và bất kỳ các nguy cơ dẫn đến khả năng phá hoại hoặc gián đoạn dịch vụ.
Cũng vui lòng xác định mức độ nhạy cảm của thông tin liên quan hoặc những đối tượng bị
ảnh hưởng bởi sự cố. Tối thiểu bao gồm các thông tin:
- Tình trạng...............................................................................................................................
- Mức độ ....................................................................................................................................
- Phạm vi ảnh hưởng .................................................................................................................
- Đối tượng ................................................................................................................................
- Địa điểm xảy ra sự cố .............................................................................................................
...................................................................................................................................................
...................................................................................................................................................

Ngày phát hiện sự cố (*)

/ / Thời gian phát hiện (*): …..giờ…. phút
(dd/mm/yy)

HIỆN TRẠNG SỰ CỐ (*)

Đã được xử lý Chưa được xử lý
 40

CÁCH THỨC PHÁT HIỆN * (Đánh dấu những cách thức được sử dụng để phát hiện sự cố)
 Qua hệ thống phát hiện xâm nhập
 Kiểm tra dữ liệu lưu lại (Log File)
 Nhận được thông báo từ: ...........................................................................................
 Khác, đó là .................................................................................................................
ĐÃ GỬI THÔNG BÁO SỰ CỐ CHO *
 BĐH ƯCSC EVN
 BCĐ ƯCSC ĐV
 ĐVCT
 Thành viên mạng lưới chịu trách nhiệm ứng cứu sự cố cho tổ chức, cá nhân
 Các đơn vị liên quan:
THÔNG TIN BỔ SUNG VỀ HỆ THỐNG XẢY RA SỰ CỐ
 Hệ điều hành ........................................................ Version ............................................
 Các dịch vụ có trên hệ thống (Đánh dấu những dịch vụ được sử dụng trên hệ thống)
 Các biện pháp an toàn thông tin đã triển khai (Đánh dấu những biện pháp đã triển khai)
 Antivirus
 Firewall
 Hệ thống phát hiện xâm nhập
 Khác: ...........................................................................................................................
 Thông tin gửi kèm
 Nhật ký hệ thống
 Mẫu virus / mã độc
 Khác:……………………………….
 Các thông tin cung cấp trong thông báo sự cố này đều phải được giữ bí mật:
 Có
 Không
KIẾN NGHỊ, ĐỀ XUẤT HỖ TRỢ
Mô tả về đề xuất, kiến nghị
Đề nghị cung cấp tóm lược về các kiến nghị và đề xuất hỗ trợ ứng cứu (nếu có) ...................
...................................................................................................................................................
...................................................................................................................................................

THỜI GIAN THỰC HIỆN BÁO CÁO SỰ CỐ *: …/… /……/…/…

(ngày/tháng/năm/giờ/phút)
CÁ NHÂN/NGƯỜI ĐẠI DIỆN THEO PHÁP LUẬT
(Ký tên, đóng dấu)
Chú thích: Phần (*) là những thông tin bắt buộc. Các phần còn lại có thể loại bỏ nếu không
có thông tin.
 41

Mẫu 02: Báo cáo kết thúc ứng cứu sự cố

THÔNG TIN VỀ TỔ CHỨC/CÁ NHÂN BÁO CÁO

 Tên tổ chức/cá nhân báo cáo sự cố (*) ..............................................................................
 Địa chỉ: (*) ........................................................................................................................
 Điện thoại (*) ................................................... Email (*) .................................................
KÝ HIỆU BÁO CÁO BAN ĐẦU SỰ CỐ: Số ký hiệu …………Ngày báo cáo: / / 202…
THÔNG TIN CHI TIẾT VỀ HỆ THỐNG BỊ SỰ CỐ
Tên đơn vị vận hành hệ Điền tên đơn vị vận hành hoặc được thuê vận hành hệ thống
thống thông tin (*): thông tin
Cơ quan chủ quản: Điền tên cơ quan chủ quản
Tên hệ thống bị sự cố Điền tên hệ thống bị sự cố
Phân loại cấp độ của hệ Cấp Cấp Cấp Cấp Cấp
thống thông tin, (nếu có) độ 1 độ 2 độ 3 độ 4 độ 5

Tên/Mô tả về sự cố
- Tình trạng ...............................................................................................................................
- Mức độ ....................................................................................................................................
- Phạm vi ảnh hưởng ................................................................................................................
- Đối tượng................................................................................................................................
- Địa điểm xảy ra sự cố.............................................................................................................

Ngày phát hiện sự cố (*)

/ / Thời gian phát hiện (*): …..giờ…. phút
(dd/mm/yy)

Kết quả xử lý sự cố

Cung cấp, tóm tắt tổng quát về những gì đã xảy ra và cách thức giải quyết, đề xuất giải pháp
ứng cứu ứng sự cố nhằm xử lý nhanh sự cố, giảm nhẹ rủi ro và thiệt hại đối với sự cố tương tự
trong tương lai...

Các tài liệu đính kèm

Liệt kê các tài liệu liên quan (báo cáo diễn biến sự cố; phương án xử lý, log file…)

CÁ NHÂN/ NGƯỜI ĐẠI DIỆN THEO PHÁP LUẬT

(Ký tên, đóng dấu)
 42

Mẫu 03. Báo cáo tổng hợp về hoạt động tiếp nhận và xử lý sự cố

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập - Tự do - Hạnh phúc

Kính gửi: Tập đoàn Điện lực Việt Nam

BÁO CÁO TỔNG HỢP [06 THÁNG/ 01 NĂM] VỀ HOẠT ĐỘNG TIẾP NHẬN
VÀ XỬ LÝ SỰ CỐ

Từ tháng …../202 ... đến tháng ..../202...

Tên cơ quan/tổ chức: ..............................................................................
Địa chỉ: ....................................................................................................
Mã thành viên mạng lưới: .......................................................................
1. Số lượng sự cố và cách thức xử lý
Số sự cố có sự Số sự cố có hỗ
Số sự cố đề
Số Số sự cố hỗ trợ xử lý trợ xử lý từ tổ Thiệt hại
Loại sự cố/tấn công mạng nghị VNCERT
lượng tự xử lý từ các tổ chức chức nước ước tính
hỗ trợ lý
khác ngoài
Từ chối dịch vụ
Tấn công giả mạo
Tấn công sử dụng mã độc
Truy cập trái phép, chiếm
quyền điều khiển
Thay đổi giao diện
Mã hóa phần mềm, dữ liệu,
thiết bị
Phá hoại thông tin, dữ liệu,
phần mềm
Nghe trộm, gián điệp, lấy cắp
thông tin, dữ liệu
Tấn công tổng hợp sử dụng
kết hợp nhiều hình thức
Các hình thức tấn công khác
Tổng số
2. Danh sách các tổ chức hỗ trợ xử lý sự cố
.....................................................................................................................
3. Danh sách các tổ chức nước ngoài hỗ trợ xử lý sự cố
.....................................................................................................................
4. Đề xuất kiến nghị: ..................................................................................
.....................................................................................................................

….., ngày …. tháng …. năm ……

NGƯỜI ĐẠI DIỆN THEO PHÁP LUẬT
(Đóng dấu hoặc sử dụng chữ ký số)
 43

PHỤ LỤC 03. ĐẦU MỐI LIÊN HỆ ỨNG CỨU SỰ CỐ

Mẫu 01: Đầu mối liên hệ ứng cứu sự cố ATTT với các đơn vị bên ngoài

Danh sách cập nhật ngày:

Vị trí Điện thoại Thư
Người liên
STT Cơ quan chức điện
hệ Di động Cố định
danh tử

Bộ Tư lệnh 86 - Bộ Quốc phòng

Bộ Tư lệnh
Viện 10

Cục A05 - Bộ Công an

Phòng 1
Phòng 8

Cục An toàn thông tin

Lãnh đạo cục
Các Phòng
NCSC
VNCERT/CC
Các đơn vị hỗ trợ
Viettel

Mẫu 02: Đầu mối liên hệ ứng cứu sự cố ATTT trong EVN

Danh sách cập nhật ngày:………………..

Vị trí Điện thoại
chức
Thư
Người liên danh
STT Đơn vị điện
hệ trong Di động Cố định
tử
mạng lưới
ƯCSC
EVN
Các Tổng công ty
EVNNPT
EVNNPC
EVNCPC
EVNSPC
 44

EVNHANOI
EVNHCMC
EVNGENCO1
EVNGENCO2
EVNGENCO3
Các đơn vị trực thuộc EVN

Mẫu 03: Danh sách Đội ứng cứu sự cố (CSIRT)

Tên đơn vị: Tổng công ty/Công ty:……………………..

Danh sách CSIRT tại Đơn vị cập nhật ngày:……………

Chức vụ Điện thoại Thư

Chức vụ Nhiệm vụ
STT Họ và tên
công tác
trong
trong CSIRT
Di Cố điện
CSIRT động định tử