Professional Documents
Culture Documents
1828 - QD EVN VTCNTT - QĐ ban hành Quy trình ứng cứu sự cố ATTT EVN
1828 - QD EVN VTCNTT - QĐ ban hành Quy trình ứng cứu sự cố ATTT EVN
Số:
Số: 1828/QĐ-EVN
/QĐ-EVN Hà
HàNội,
Nội,ngày
ngày30 tháng
tháng 12
12 năm
năm 2022
2022
QUYẾT ĐỊNH
Về việc ban hành Quy trình ứng cứu sự cố an toàn thông tin mạng
trong Tập đoàn Điện lực Quốc gia Việt Nam
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018;
Căn cứ Nghị định số 26/2018/NĐ-CP ngày 28/02/2018 của Chính phủ về Điều
lệ tổ chức và hoạt động của Tập đoàn Điện lực Việt Nam;
Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính
phủ Quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin
mạng Quốc gia;
Căn cứ Chỉ thị số 18/CT-TTg ngày 13/10/2022 của Thủ tướng Chính phủ về
đẩy mạnh triển khai các hoạt động ứng cứu sự cố an toàn thông tin mạng Việt Nam;
Căn cứ Thông tư số 20/2017/BTTTT ngày 12/9/2017 của Bộ Thông tin và
Truyền thông Quy định hoạt động điều phối, ứng cứu sự cố an toàn thông tin trên
toàn quốc;
Căn cứ Quyết định số 99/QĐ-EVN ngày 18/01/2021 của Tập đoàn Điện lực
Việt Nam về Quy định đảm bảo an toàn thông tin trong Tập đoàn Điện lực Quốc gia
Việt Nam;
Căn cứ Quyết định số 410/QĐ-EVN ngày 01/4/2021 của Tập đoàn Điện lực
Việt Nam về việc ban hành Quy chế làm việc của Ban chỉ đạo an toàn thông tin trong
Tập đoàn Điện lực Quốc gia Việt Nam;
Theo đề nghị của Trưởng ban Viễn thông và Công nghệ thông tin.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy trình ứng cứu sự cố an toàn
thông tin mạng trong Tập đoàn Điện lực Quốc gia Việt Nam.
Điều 2. Quyết định này có hiệu lực sau 15 ngày kể từ ngày ký ban hành.
2
Điều 3. Các Phó Tổng giám đốc, các Ban EVN, các công ty con do EVN
nắm giữ 100% vốn điều lệ (Công ty TNHH MTV cấp II), người đứng đầu các đơn
vị trực thuộc EVN, Công ty con do Công ty TNHH MTV cấp II nắm giữ 100%
vốn điều lệ (Công ty TNHH MTV cấp III), người đại diện phần vốn của EVN và
người đại diện phần vốn của Công ty TNHH MTV cấp II tại các công ty cổ phần,
công ty trách nhiệm hữu hạn chịu trách nhiệm thi hành Quyết định này./.
Nơi nhận: KT. TỔNG GIÁM ĐỐC
- Như Điều 3; PHÓ TỔNG GIÁM ĐỐC
- HĐTV (để b/c);
- TGĐ (để b/c);
- Lưu: VT, VTCNTT.
Võ Quang Lâm
TẬP ĐOÀN ĐIỆN LỰC VIỆT NAM
MỤC LỤC
PHỤ LỤC 01. DANH MỤC CÁC VĂN BẢN CĂN CỨ VÀ TÀI LIỆU VIỆN
DẪN LIÊN QUAN ............................................................................................. 37
2. An toàn thông tin (ATTT): được quy định tại điểm a, khoản 1, Điều 2 của
QĐ99. An toàn thông tin là sự bảo vệ thông tin, dữ liệu số và các hệ thống thông
tin trên môi trường mạng máy tính tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn,
sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và
tính khả dụng của thông tin.
3. Hệ thống thông tin (HTTT): được quy định tại điểm b, khoản 1, Điều 2
của QĐ99; là các hệ thống hạ tầng công nghệ thông tin, hệ thống công nghệ thông
tin, hệ thống điều khiển công nghiệp, các hệ thống thông tin phục vụ chuyên
ngành.
4. Sự cố an ninh mạng: được quy định tại khoản 13, Điều 2 của Luật An
ninh mạng. Sự cố an ninh mạng là sự việc bất ngờ xảy ra trên không gian mạng
xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của
cơ quan, tổ chức, cá nhân.
5. Sự cố an toàn thông tin mạng: là sự cố an ninh mạng, trong đó thông tin,
HTTT bị tấn công hoặc gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo
mật hoặc tính khả dụng (sau đây gọi tắt là “sự cố” hoặc “sự cố ATTT”).
6. Sự cố an toàn thông tin mạng nghiêm trọng: được quy định tại khoản 1,
Điều 32 của QĐ99. Trong Quy trình này sự cố an toàn thông tin nghiêm trọng
được phân theo 2 mức độ cụ thể như sau:
a) Sự cố nghiêm trọng trong phạm vi EVN chủ động xử lý: HTTT bi ̣sự cố
là HTTT cấ p độ 3 và Đơn vị chủ quản HTTT không đủ khả năng tự kiểm soát, xử
6
lý được sự cố. Đối với sự cố mức độ này thì tổ chức ứng cứu sự cố theo quy trình
được quy định tại Điều 11 của Quyết định này.
b) Sự cố nghiêm trọng mức phải báo cáo Cơ quan điều phối quốc gia:
HTTT bị sự cố là HTTT cấp độ 4, cấp độ 5 hoặc thuộc Danh mục hệ thống thông
tin quan trọng quốc gia; Chi tiết tiêu chí phân loại được quy định tại Điều 9,
Chương III của QĐ05. Đối với sự cố mức độ này thì tổ chức ứng cứu sự cố theo
quy trình được quy định tại Điều 14, Chương III của QĐ05.
7. Sự cố an toàn thông tin mạng không nghiêm trọng: là các sự cố an toàn
thông tin không đạt các tiêu chí quy định tại Điều 6 Quyết định này; hoặc theo
quy định tại khoản 2, Điều 32 của QĐ99. Sự cố an toàn thông tin mạng không
nghiêm trọng được hiểu là sự cố an toàn thông tin mạng thông thường.
8. Ứng cứu sự cố an toàn thông tin mạng: được quy định tại khoản 2, Điều
2 của TT20, là hoạt động nhằm xử lý, khắc phục sự cố gây mất an toàn thông tin
mạng gồm: theo dõi, thu thập, phân tích, phát hiện, cảnh báo, điều tra, xác minh
sự cố, ngăn chặn sự cố, khôi phục dữ liệu và khôi phục hoạt động bình thường
của HTTT.
9. Đầu mối ứng cứu sự cố là bộ phận hoặc cá nhân được các đơn vị cử để
thay mặt cho đơn vị liên lạc và trao đổi thông tin với Ban chỉ đạo hoặc Ban điều
hành ứng cứu sự cố an toàn thông tin mạng của EVN hoặc các đơn vị khác trong
hoạt động điều phối, ứng cứu sự cố.
10. Tài liệu tham chiếu: Các tài liệu tham chiếu được sử dụng làm cơ sở để
xây dựng Quy trình ứng cứu sự cố an toàn thông tin mạng áp dụng trong Tập đoàn
Điện lực Quốc gia Việt Nam được liệt kê tại Phụ lục 01 kèm theo Quy trình này.
6. Tuân thủ các điều kiện, nguyên tắc ưu tiên về duy trì hoạt động của HTTT
đã được cấp thẩm quyền phê duyệt trong kế hoạch ứng phó sự cố .
7. Thông tin trao đổi trong MLƯCSC phải được kiểm tra, xác thực đối
tượng trước khi thực hiện các bước tác nghiệp tiếp theo.
8. Bảo đảm bí mật thông tin khi tham gia, thực hiện các hoạt động ứng cứu
sự cố theo yêu cầu của cơ quan điều phối quốc gia hoặc cơ quan, tổ chức, cá nhân
gặp sự cố; thực hiện chia sẽ thông tin theo đúng quy định.
8
7. Đơn vị quản lý vận hành hệ thống thông tin (được gọi tắt là ĐVQLVH):
được quy định tại khoản 3, Điều 17, QĐ99, là đơn vị được giao trách nhiệm trực
tiếp quản lý và vận hành HTTT, bao gồm: các Đơn vị vận hành cấp Tập đoàn (là
các đơn vị phụ trách vận hành trực thuộc Tập đoàn) và đơn vị vận hành cấp Tổng
công ty (là các Đơn vị phụ trực thuộc Tổng công ty); có trách nhiệm ứng cứu sự
cố liên quan trực tiếp đến hệ thống mình đang vận hành, chịu sự chỉ đạo xử lý,
ứng cứu sự cố của Ban chỉ đạo xử lý ứng cứu sự cố của Đơn vị và Tập đoàn; phối
hợp với Đội CSIRT, Mạng lưới ứng cứu sự cố của EVN, Cơ quan điều phối quốc
gia.
8. Chủ quản hệ thống thông tin/Đơn vị chủ quản (được gọi tắt là Chủ quản
HTTT): được quy định tại khoản 2, Điều 17, QĐ99, là cấp có thẩm quyền quản lý
và quyết định đầu tư dự án hoặc được giao làm chủ đầu tư xây dựng, thiết lập,
nâng cấp, mở rộng HTTT, có trách nhiệm tham gia, phối hợp với các bên liên
quan trong quá trình ứng cứu xử lý sự cố, khôi phục hệ thống và các hoạt động
khác để bảo đảm hệ thống hoạt động trở lại bình thường. Chủ quản HTTT có thẩm
quyền quyết định mô hình tổ chức, quyết định phân bổ nhân lực, vật lực và kinh
phí hoạt động của Đội ứng cứu sự cố (CSIRT) theo quy định pháp luật có liên
quan.
9. Đội ứng cứu sự cố an toàn thông tin mạng (gọi tắt là Đội CSIRT): là tổ
chức/đơn vị do Chủ quan HTTT thành lập nhằm triển khai các hoạt động, giải
pháp sẵn sàng ứng phó hoặc ứng phó với các đe dọa, rủi ro, các lỗ hổng, điểm yếu
và các sự cố đối với các hệ thống, cơ sở hạ tầng thông tin và không gian mạng
trong phạm vi quản lý. Chức năng nhiệm vụ của Đội CSIRT được quy định tại
Điều 7 tài liệu này.
10. Trung tâm Giám sát an toàn an ninh mạng SOC (được gọi tắt là Trung
tâm SOC): được quy định tại Điều 28, 29 của QĐ99, có nhiệm vụ tổ chức giám
sát và phân tích các sự kiện an toàn thông tin trên các hệ thống thu thập thông tin
cơ sở tại đơn vị, xác định và phân loại mức độ sự cố ở mức cơ bản, kịp thời thông
báo các sự kiện nghi ngờ; theo dõi, giám sát và cập nhật liên tục về tình hình sự
cố cho Đội CSIRT và các bên liên quan trong quá trình ứng cứu sự cố.
11. Mạng lưới ứng cứu sự cố của EVN (gọi tắt là MLƯCSC EVN): được
quy định tại Điều 8 tài liệu này.
12. Cơ quan điều phối về ứng cứu sự cố của EVN: BĐH ƯCSC EVN là Cơ
quan điều phối ứng cứu sự cố của EVN; bên cạnh các nhiệm vụ được quy định
trong Quyết định thành lập thì có các nhiệm vụ sau:
a) Thực hiện chức năng điều phối các hoạt động ứng cứu sự cố trên toàn
Tập đoàn; có quyền huy động, điều phối các thành viên mạng lưới ƯCSC và các
tổ chức, đơn vị liên quan phối hợp ngăn chặn, xử lý, khắc phục sự cố trong EVN;
10
có quyền quyết định hình thức điều phối các hoạt động ứng cứu sự cố và chịu
trách nhiệm về các lệnh/yêu cầu điều phối;
b) Tổ chức và điều hành hoạt động của mạng lưới; tổng hợp và chia sẻ
thông tin, cảnh báo sự cố trong mạng lưới; là đầu mối EVN hợp tác với các tổ
chức, doanh nghiệp trong và ngoài EVN trong công tác ứng cứu sự cố bảo đảm
an toàn thông tin mạng EVN.
13. Cơ quan thường trực ứng cứu sự cố của EVN (gọi tắt là TTƯCSC EVN):
Ban VT&CNTT-EVN là đầu mối thường trực, giúp việc cho BCĐ ATTT và BĐH
ƯCSC EVN, có nhiệm vụ, quyền hạn được quy định tại Điều 7 QĐ99 và các nhiệm
vụ cụ thể sau:
a) Quyết định lựa chọn phương án ứng cứu và chủ trì, chỉ đạo công tác ứng
cứu khẩn cấp bảo đảm an toàn thông tin mạng EVN;
b) Đầu mối thường trực trong BĐH ƯCSC EVN chỉ đạo ĐVCT ATTT EVN
tiếp nhận, thu thập, xử lý thông tin, báo cáo về sự cố mất an toàn thông tin mạng
EVN và đề xuất phương án ứng cứu;
c) Triệu tập, chỉ đạo Bộ phận tác nghiệp ứng cứu sự cố An toàn thông tin
mạng EVN theo chỉ đạo của BĐH ƯCSC EVN; chỉ đạo, phân công nhiệm vụ cho
các ĐVCT ƯCSC, các thành viên mạng lưới ứng cứu để triển khai phương án ứng
cứu;
d) Làm đầu mối EVN, chỉ đạo ĐVCT ATTT và ĐVCT ƯCSC của EVN phối
hợp với các đơn vị chức năng của quốc gia trong hoạt động ứng cứu, xử lý các sự
cố quốc gia;
đ) Kiểm tra, giám sát, đôn đốc việc chấp hành của các đơn vị liên quan, báo
cáo BCĐ ATTT EVN về công tác ứng cứu khẩn cấp sự cố an toàn thông tin mạng
EVN.
Điều 6. Phân cấp trong tổ chức ứng cứu sự cố an toàn thông tin mạng
nghiêm trọng
1. Khi có sự cố an toàn thông tin mạng nghiêm trọng xảy ra, BĐH ƯCSC
EVN có toàn quyền điều hành/điều phối nhân sự trong MLƯCSC EVN.
2. Hoạt động điều phối ứng cứu sự cố trong EVN:
a) BĐH ƯCSC EVN huy động, điều phối, chỉ đạo các đơn vị phối hợp xây
dựng phương án ứng cứu, ngăn chặn, xử lý, khắc phục sự cố an toàn thông tin
mạng nghiêm trọng.
b) BĐH ƯCSC EVN đưa ra quyết định lựa chọn phương án ứng cứu và làm
đầu mối phối hợp với các đơn vị chức năng của các đơn vị/tổ chức khác trong và
ngoài EVN thực hiện hoạt động ứng cứu sự cố nghiêm trọng.
c) Báo cáo tình hình và xin ý kiến của BCĐ ATTT EVN về các vấn đề phát
sinh vượt thẩm quyền trong quá trình thực hiện nhiệm vụ.
11
Điều 7. Đội ứng cứu sự cố an toàn thông tin mạng (Đội CSIRT)
1. Đội CSIRT của Tập đoàn và các đơn vị trong Tập đoàn được tổ chức theo
mô hình bán chuyên trách, gồm các thành viên chuyên trách và kiêm nhiệm. Việc
thành lập Đội CSIRT tuân thủ theo quy định tại QĐ05.
2. Đội CSIRT có trách nhiệm: hoạt động theo sự chỉ đạo của Ban điều
hành/Ban chỉ đạo ứng cứu sự cố; phối hợp với các bên liên quan phân tích, xử lý
sự cố ATTT đối với các sự cố diễn ra trong phạm vi hệ thống thuộc quản lý của
Chủ quản HTTT; báo cáo Ban điều hành/Ban chỉ đạo ứng cứu sự cố các thông tin
và quá trình xử lý.
3. Các đơn vị phải thành lập Đội CSIRT gồm:
- Các Tổng công ty Điện lực.
- Các Tổng công ty Phát điện.
- Tổng công ty Truyền tải điện Quốc gia.
- Công ty Viễn thông Điện lực và Công nghệ thông tin.
- Các Công ty phát điện trực thuộc EVN.
- Các đơn vị khác tổ chức lực lượng ứng cứu sự cố để phối hợp với Đội
CSIRT của Tập đoàn khi có sự cố hoặc theo yêu cầu của BCĐ ATTT EVN.
4. Các thành viên chuyên trách ATTT thuộc Đội CSIRT, bao gồm tối thiểu
các vị trí như sau:
- Đội trưởng/Đội phó/Đội phó thường trực.
- Tiếp nhận, phân loại sự cố ATTT.
12
- Xây dựng kế hoạch hàng năm và duy trì hoạt động liên tục của Đội CSIRT,
định kỳ rà soát nhằm đảm bảo đủ nguồn lực đáp ứng hoạt động của Đội CSIRT.
- Quản lý và tổ chức hoạt động có hiệu quả nhiệm vụ của từng thành viên
và của cả Đội CSIRT theo quy định của pháp luật.
- Chia sẻ thông tin nguy cơ và sự cố, ứng cứu sự cố, kinh nghiệm, kiến thức
nhằm nâng cao năng lực chuyên môn cho các thành viên trong MLƯCSC EVN.
- Tham gia các hoạt động của Mạng lưới ứng cứu sự cố ATTT quốc gia, các
hoạt động phòng, chống chiến tranh thông tin, chiến tranh không gian mạng theo
sự chỉ đạo của BĐH ƯCSC EVN khi có yêu cầu của cơ quan chức năng.
Điều 8. Mạng lưới ứng cứu sự cố an toàn thông tin mạng của EVN
1. MLƯCSC EVN tham gia ứng cứu sự cố, hoạt động dưới sự điều hành/điều
phối của BĐH ƯCSC EVN. MLƯCSC EVN có thể triển khai các nội dung/chương
trình hợp tác với các đơn vị chức năng, phối hợp các chuyên gia ứng cứu sự cố
ATTT của các đơn vị như: Bộ Tư lệnh BTL 86, Cục A05, Cục ATTT, các đối tác
có liên quan đến việc đảm bảo sự hoạt động bình thường của HTTT và hiểu rõ về
hệ thống (đối tác xây dựng ứng dụng, cung cấp thiết bị/đường truyền, cung cấp
giải pháp/dịch vụ ATTT, nhà cung cấp hệ thống ICS...), các nhà cung cấp dịch vụ
viễn thông ISP, các tổ chức/cá nhân/doanh nghiệp trong và ngoài nước có chuyên
môn khác...
Danh sách các thành viên MLƯCSC EVN được lập theo Mẫu 01 và Mẫu 02
của Phụ lục 03, công bố cho tất cả các thành viên trong MLƯCSC EVN biết và
được ĐVCT ƯCSC cập nhật định kỳ mỗi 6 tháng cho các thành viên trong
MLƯCSC EVN.
2. Vai trò của các bên tham gia MLƯCSC EVN:
a) BĐH ƯCSC EVN có toàn quyền điều hành, điều động nhân sự thuộc
MLƯCSC EVN tham gia ứng cứu sự cố khi cần thiết.
b) ĐVCT ATTT của Tập đoàn và các Tổng công ty, các đơn vị trực thuộc
Tập đoàn vận hành HTTT từ cấp độ 3 trở lên có nghĩa vụ, trách nhiệm tham gia
vào MLƯCSC EVN, chịu sự điều phối và huy động của BĐH ƯCSC EVN.
c) Sơ đồ minh họa mạng lưới ứng cứu sự cố trong EVN:
14
VNPT
...
Hình 1. Phối hợp mạng lưới ứng cứu sự cố trong EVN và với các cơ quan, tổ
chức liên quan
ứng cứu sự cố thuộc phạm vi quản lý tới BĐH ƯCSC EVN; cập nhật thông tin về
đầu mối ứng cứu sự cố, trong vòng 24 giờ khi có thay đổi.
c) Xây dựng và triển khai phương án ƯCSC, hướng dẫn hoạt động ứng cứu
sự cố, tổ chức và điều hành hoạt động của Đội CSIRT trong phạm vi quản lý.
d) Có quyền đề nghị BĐH ƯCSC EVN hướng dẫn, hỗ trợ xử lý và ứng cứu
sự cố khi cần thiết; được tham gia các hội thảo, hội nghị giao ban, tập huấn bồi
dưỡng, đào tạo, huấn luyện, diễn tập và các hoạt động khác.
16
e) Phương án ứng cứu sự cố ATTT đối với các tình huống sự cố cụ thể:
- Bị tấn công vào các HTTT: các tình huống tấn công phổ biến bao gồm
nhưng không giới hạn các tình huống cụ thể sau:
Tình huống bị tấn công Yêu cầu
Tấn công từ chối dịch vụ (DoS/DDoS)
Tấn công giả mạo (Phishing)
Tấn công sử dụng mã độc (Malware/Adware)
Mỗi HTTT có thể có nhiều phương
Tấn công truy cập trái phép, chiếm quyền điều khiển án phòng ngừa, ứng cứu và xử lý sự
(unauthorized access, elevation of priviledge, root access) cố.
Tấn công thay đổi giao diện (Deface) Mỗi phương án phòng ngừa, ứng
cứu và xử lý sự cố có thể áp dụng
Tấn công mã hóa phần mềm, dữ liệu, thiết bị (Ransomware) cho nhiều HTTT có tính chất tương
Tấn công có chủ đích (APT) phá hoại thông tin, dữ liệu, tự.
phần mềm
Tấn công nghe trộm, gián điệp, lấy cắp thông tin, dữ liệu
(Data theft)
Áp dụng đồng thời các phương án
Tấn công tổng hợp sử dụng kết hợp nhiều hình thức
có liên quan.
Áp dụng đồng thời các phương án
Các hình thức tấn công mạng khác
có liên quan.
- Lỗi hệ thống dẫn đến khả năng mất ATTT về mặt thiết bị, ứng dụng, dữ
liệu: phần cứng, ứng dụng, cơ sở dữ liệu, đường truyền, nguồn điện…
- Lỗi do người quản trị vận hành: lỗi trong cập nhật, thay đổi cấu hình, lỗi
do dừng dịch vụ vì lý do bắt buộc, lỗi do thao tác quản trị vận hành sai…
5. Trong từng phương án ứng cứu sự cố ATTT đối với từng tình huống cụ
thể, phải có nội dung yêu cầu về tài nguyên (máy móc, con người…) dự phòng
tương ứng, quy trình thực hiện/phối hợp và các yêu cầu khác quy định tại khoản
3 Điều này. Phương án nên được trình bày dưới dạng lưu đồ để tiện theo dõi, huy
động nhân lực, tài nguyên phù hợp.
Phụ lục 4 của Quy trình này là một số lưu đồ tham khảo phương án ứng cứu
sự cố an toàn thông tin mạng đối với các tình huống sự cố cụ thể.
6. Đối với các trường hợp sự cố an toàn thông tin mạng thuộc phạm vi trong
EVN xử lý thì các đơn vị thực hiện quy trình ứng cứu sự cố được quy định tại
Điều 10, Điều 12 của Quyết định này. Trường hợp sự cố vượt ngoài phạm vi thẩm
quyền xử lý của EVN thì cần phối hợp với CQĐP QG và các cơ quan chức năng
Nhà nước theo các quy trình tại QĐ05 và TT20.
Điều 10. Quy trình ứng cứu sự cố an toàn thông tin mạng thông thường
tại các đơn vị trong EVN
Quy trình ứng cứu sự cố an toàn thông tin mạng thông thường tại các đơn vị
trong EVN như sau:
19
Hình 2. QT.EVN.UCSC.01 - Quy trình ứng cứu sự cố an toàn thông tin mạng
thông thường tại các đơn vị trong EVN
Diễn giải quy trình:
Bước thực
Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
hiện
Bước 1 Tiếp nhận, phân tích, ứng cứu ban đầu và thông báo sự cố
Bước thực
Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
hiện
2.1. Triển khai các bước ưu tiên ứng cứu ban đầu
Đơn vị chủ trì: Đơn vị, cá - Sau khi đã xác định sự cố xảy ra; đơn vị, cá nhân QLVH căn cứ vào bản
nhân QLVH. chất, dấu hiệu của sự cố tổ chức triển khai các bước ưu tiên ban đầu để
xử lý sự cố theo kế hoạch ứng phó sự cố đã được cấp thẩm quyền phê
Đơn vị phối hợp: ĐVCT duyệt hoặc theo hướng dẫn của ĐVCT ƯCSC hoặc BĐH ƯCSC.
ƯCSC, thành viên - Đối với sự cố trong phạm vi, thẩm quyền và năng lực tự thực hiện, đơn
MLƯCSC có liên quan, vị QLVH có thể tự tổ chức thực hiện xử lý sự cố và báo cáo kết quả tới
BĐH ƯCSC. BĐH ƯCSC và các đơn vị liên quan.
2.2. Triển khai lựa chọn phương án ứng cứu
Đơn vị chủ trì: Đơn vị, cá - Căn cứ theo kế hoạch ứng phó sự cố đã được cấp thẩm quyền phê duyệt
nhân QLVH. hoặc theo hướng dẫn của ĐVCT ƯCSC hoặc BĐH ƯCSC để lựa chọn
phương án ngăn chặn và xử lý sự cố;
Đơn vị phối hợp: ĐVCT Báo cáo, đề xuất Chủ quản HTTT, BCĐ ƯCSC ĐV/EVN xin ý kiến chỉ
ƯCSC, MLƯCSC có liên đạo nếu cần.
quan, BĐH ƯCSC.
Bước thực
Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
hiện
Đơn vị chủ trì: Đơn vị, cá - Sau khi đã triển khai các bước ưu tiên ứng cứu ban đầu, ĐVQLVH tổ - ĐVQLVH, ĐVCT ƯCSC nên đề
nhân QLVH. chức thông báo, báo cáo sự cố đến các tổ chức, cá nhân liên quan bên xuất các doanh nghiệp viễn thông,
trong và bên ngoài cơ quan tổ chức theo quy định nội bộ của EVN và đơn Internet (ISP) phối hợp hỗ trợ
Đơn vị phối hợp: ĐVCT vị.
thông tin.
ƯCSC liên quan/chịu trách
nhiệm. - ĐVQLVH, ĐVCT ƯCSC tham
khảo thêm Điều 9, TT20 có quy
định công tác thông báo, báo cáo
sự cố.
Bước thực
Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
hiện
- Điều phối hoạt động xử lý truyền
thông: BĐH ƯCSC, CSIRT
ĐV/EVN lập phương án xử lý
khủng hoảng truyền thông trong
nội bộ và bên ngoài.
Bước 3 Triển khai phương án ứng cứu sự cố an toàn thông tin mạng thông thường
- Triển khai theo kế hoạch ứng phó sự cố đã được cấp thẩm quyền phê duyệt (nếu có) hoặc theo hướng dẫn của ĐVCT ƯCSC và BCĐ
ƯCSC ĐV/EVN.
- Các bước trong quy trình này được triển khai liên tục, đảm bảo đến khi khôi phục hoạt động của HTTT trở lại bình thường.
Bước thực
Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
hiện
ƯCSC, Đơn vị chịu trách ii) Khôi phục hoạt động
nhiệm bảo đảm ATTT cho - Đơn vị, cá nhân QLVH chủ trì phối hợp với các đơn vị liên quan triển
hệ thống bị sự cố, thành khai các hoạt động khôi phục HTTT dữ liệu và kết nối; cấu hình hệ thống
viên MLƯCSC có liên an toàn; bổ sung các thiết bị, phần cứng phần mềm bảo đảm ATTT cho
quan, BĐH ƯCSC. HTTT.
iii) Kiểm tra, đánh giá HTTT
- Đơn vị, cá nhân QLVH và các đơn vị liên quan triển khai kiểm tra, đánh
giá hoạt động của toàn bộ HTTT sau khi khắc phục sự cố.
- Trường hợp hệ thống chưa hoạt động ổn định, cần tiếp tục tổ chức thu
thập, xác minh lại nguyên nhân và tổ chức các bước tương ứng tại bước
ở trên để xử lý dứt điểm, khôi phục hoạt động bình thường của HTTT.
Bước thực hiện Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
Bước thực hiện Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
- Trường hợp sự cố ATTT được phân loại thông thường thì BĐH ƯCSC - Khi tham gia xử lý các sự cố
EVN/ĐV thông báo cho các bên liên quan để tiếp tục triển khai theo ATTT mà sự cố thuộc phạm vi
phương án ứng cứu sự cố an toàn thông tin mạng thông thường (Phương CQ ĐPQG điều hành xử lý, Đội
án ƯCSC xây dựng sẵn); CSIRT thực hiện các chức năng
- Trường hợp sự cố ATTT nghiêm tro ̣ng mức quốc gia (là sự cố ATTT nhiệm vụ và triển khai các quy
nghiêm tro ̣ng mức phải báo cáo CQ ĐPQG), thì BĐH ƯCSC EVN điều trình ứng cứu sự cố theo quy
phối các đơn vị trong EVN thông báo, phối hợp với CQ ĐPQG định tại QĐ05, TT20 và kế
(VNCERT/CC) và các đơn vị liên quan ƯCSC theo Quy trình ứng cứu hoạch ứng cứu sự cố an toàn
khẩn cấp sự cố an toàn thông tin mạng nghiêm trọng tại Điều 14, thông tin mạng tương ứng đã
Chương III, Quy định QĐ05. được phê duyệt.
- Trường hợp sự cố được phân loại nghiêm trọng nhưng trong phạm vi
EVN có thể chủ động xử lý thì BĐH ƯCSC EVN báo cáo BCĐ ATTT
EVN về sự cố an toàn thông tin nghiêm trọng cùng với các đề xuất:
phương án ứng cứu; các đơn vị tham gia lực lượng ứng cứu; nguồn lực
cần thiết để ứng cứu sự cố; dự kiến triệu tập bộ phận tác nghiệp ứng
cứu khẩn cấp và thực hiện các bước tiếp theo.
Báo cáo BCĐ ATTT EVN/TTƯCSC, quyết định lựa chọn phương án và triệu tập các thành viên của Bộ phận ƯCSC khẩn
Bước 3 cấp
Đơn vị chủ trì: BĐH - BĐH ƯCSC EVN/ĐV báo cáo BCĐ ATTT EVN xem xét quyết định BĐH ƯCSC EVN/ĐV căn cứ
ƯCSC EVN lựa chọn phương án ứng cứu khẩn cấp và triệu tập bộ phận tác nghiệp tình hình thực tế, báo cáo CQ
ứng cứu khẩn cấp để ứng cứu, xử lý sự cố. Tùy theo tình hình thực tế, ĐPQG (VNCERT) nếu cần để hỗ
BĐH ƯCSC EVN huy động bộ phận tác nghiệp ứng cứu khẩn cấp từ trợ xem xét quyết định lựa chọn
các đơn vị để phù hợp với phương án ứng cứu được lựa chọn và đặc phương án ứng cứu khẩn cấp và
thù của sự cố. triệu tập các cơ quan/tổ chức liên
- Các nhiệm vụ triển khai các biện pháp ứng cứu khẩn cấp bảo đảm an quan hỗ trợ, phối hợp.
toàn thông tin mạng cần được phân công thực hiện gồm:
+ Chỉ đạo điều hành hoạt động ứng cứu và giám sát cơ chế phối
hợp, chia sẻ thông tin.
+ Thu thập, tổng hợp thông tin và chia sẻ, báo cáo.
28
Bước thực hiện Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
+ Phân tích thông tin.
+ Ngăn chặn, xử lý sự cố.
+ Khắc phục, gỡ bỏ, khôi phục dữ liệu và hoạt động bình thường.
+ Xử lý hậu quả.
+ Công bố và xử lý khủng hoảng thông tin.
Triển khai phương án ứng cứu sự cố ban đầu
Bước 4 BĐH ƯCSC EVN/ĐV nhanh chóng phối hợp với Chủ quản HTTT tiến hành ngay các biện pháp ứng cứu ban đầu, bao gồm các nội
dung sau:
4.1. Xác định phạm vi, đối tượng, mục tiêu cần ứng cứu
Đơn vị chủ trì: BĐH - Xác định phạm vi, đối tượng, mục tiêu cần ứng cứu.
ƯCSC EVN/ĐV; Chủ - Các sự cố liên quan đã xảy ra;
quan HTTT; Đơn vị, - Đối tượng đang bị ảnh hưởng;
cá nhân QLVH. - Phạm vi bị ảnh hưởng;
- Các mục tiêu ưu tiên trong khắc phục sự cố (khôi phục hoạt động, bảo
Đơn vị phối hợp:
đảm bí mật dữ liệu; bảo đảm tính toàn vẹn dữ liệu);
ĐVCT ƯCSC, thành
- Diễn biến tình hình và phương thức thủ đoạn tấn công;
viên MLƯCSC có liên
- Dự đoán các diễn biến tiếp theo có thể xảy ra.
quan.
4.2. Điều phối các hoạt động ứng cứu ban đầu
Đơn vị chủ trì: - BĐH ƯCSC EVN/ĐV thực hiện điều phối và chia sẻ thông tin, tài liệu - Phối hợp với các cơ quan
BCĐ ATTT EVN; liên quan đến tình huống ứng cứu cho các thành viên tham gia theo chức năng như: Cục ATTT,
BĐH ƯCSC chức năng, nhiệm vụ được giao. BTL86, Cục A05, các đơn vị/tổ
EVN/ĐV. chức/cá nhân chuyên gia ATTT
Đơn vị phối hợp: Chủ bên ngoài (nếu cần).
quản HTTT. - Huy động MLƯCSC EVN tham
gia ứng cứu sự cố.
4.3. Cảnh báo sự cố trên mạng lưới ứng cứu
29
Bước thực hiện Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
Đơn vị chủ trì: BĐH - BĐH ƯCSC EVN/ĐV thực hiện cảnh báo cho các thành viên
ƯCSC EVN/ĐV. MLƯCSC EVN/ĐV và các đối tượng có liên quan hoặc có khả năng xảy
Đơn vị phối hợp: ra các sự cố tương tự.
ĐVCT về ƯCSC liên
quan/chịu trách nhiệm,
CSIRT EVN/ĐV.
4.4. Tiến hành các biện pháp khôi phục tạm thời
Đơn vị chủ trì: - Căn cứ vào mục tiêu được ưu tiên trong khắc phục sự cố, Chủ quản Trong trường hợp sự cố yêu cầu
HTTT phối hợp với BĐH ƯCSC EVN/ĐV, các nhà cung cấp dịch vụ và mức ứng khẩn cấp để bảo đảm
Chủ quản HTTT, BĐH
các cơ quan chức năng khác tiến hành khôi phục một số hoạt động, dữ an toàn thông tin mạng quốc gia
ƯCSC EVN/ĐV.
liệu hoặc kết nối cần thiết nhất để giảm thiểu thiệt hại đối với HTTT, thì báo cáo, đề nghị CQ ĐPQG
Đơn vị phối hợp: Đơn ảnh hưởng uy tín của cơ quan chủ quản, quản lý hệ thống. (VNCERT) tham gia phối hợp.
vị, cá nhân QLVH, - Chủ quản HTTT phải phối hợp chặt chẽ, cung cấp đầy đủ thông tin
ĐVCT ƯCSC. để BĐH ƯCSC EVN/ĐV thực hiện giám sát, theo dõi quá trình phục hồi
và các tấn công, ảnh hưởng trong thời gian chưa khắc phục triệt để sự
cố.
4.5. Xử lý hậu quả ban đầu
Đơn vị chủ trì: - Chủ quản HTTT nhanh chóng tiến hành các biện pháp khắc phục khẩn
Chủ quản HTTT, BĐH cấp các hậu quả, thiệt hại do tấn công mạng gây ra theo yêu cầu của
ƯCSC EVN/ĐV. BĐH ƯCSC EVN/ĐV.
Đơn vị phối hợp: Đơn
vị, cá nhân QLVH,
ĐVCT ƯCSC.
4.6. Ngăn chặn, xử lý các hành vi đã được phát hiện
30
Bước thực hiện Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
Đơn vị chủ trì: - BĐH ƯCSC EVN/ĐV thực hiện điều phối các cơ quan chức năng triển Phối hợp với các cơ quan chức
BĐH ƯCSC khai hỗ trợ phát hiện và xử lý các nguồn phát tán tấn công, ngăn chặn năng như: Cục ATTT, BTL86,
EVN/ĐV; Chủ quản các tấn công từ bên ngoài vào HTTT bị sự cố. Cục A05, các đơn vị/tổ chức/cá
HTTT. - BĐH ƯCSC EVN/ĐV cung cấp hoặc chỉ đạo cung cấp các thông tin, nhân chuyên gia ATTT bên
chứng cứ liên quan đến các hành vi vi phạm pháp luật có yếu tố cấu ngoài (nếu cần).
Đơn vị phối hợp:
ĐVCT ƯCSC liên thành tội phạm (nếu có) để các cơ quan chức năng thuộc Bộ Công an
quan/chịu trách tiến hành điều tra, xác minh và ngăn chặn tội phạm.
nhiệm, CSIRT
EVN/ĐV.
Bước 5 Triển khai phương án ứng cứu sự cố nghiêm trọng, khẩn cấp
- Các thành phần tham gia bộ phận ứng cứu triển khai ngay các công đoạn ứng cứu với nguồn lực và quy trình nghiệp vụ của mình,
đồng thời tuân thủ tư thế phối hợp và chia sẽ thông tin.
- Các công đoạn này được triển khai liên tục, lặp lại tùy thuộc vào diễn biến của sự cố.
5.1. Chỉ đạo xử lý sự cố, Điều phối công tác ứng cứu
Đơn vị chủ trì: BCĐ - Căn cứ theo phương án ứng cứu được lựa chọn, BCĐ ATTT
ATTT EVN, Cơ quan EVN/TTƯCSC EVN chỉ đạo chủ quản HTTT, BĐH ƯCSC EVN/ĐV, bộ
thường trực, BĐH phận tác nghiệp ƯCSC triển khai công tác ứng cứu, xử lý sự cố.
ƯCSC EVN/ĐV. Trong quá trình ứng cứu, tùy thuộc vào diễn biến tình hình thực tế,
Đơn vị phối hợp: BCĐ ATTT EVN/TTƯCSC EVN có thể quyết định bổ sung thành phần
tham gia tác nghiệp ứng cứu khẩn cấp.
- Căn cứ theo phương án ứng cứu được lựa chọn, BCĐ ATTT EVN hoặc
BĐH ƯCSC EVN thực hiện công tác điều phối ứng cứu theo chức năng
nhiệm vụ của mình và giám sát cơ chế phối hợp, chia sẻ thông tin.
5.2. Phát ngôn và công bố thông tin
31
Bước thực hiện Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
Đơn vị chủ trì: - TTƯCSC EVN chịu trách nhiệm chỉ định người phát ngôn, cung cấp
TTƯCSC EVN, BĐH thông tin; quyết định địa điểm, nội dung, thời điểm phát ngôn, cung cấp
ƯCSC EVN/ĐV. thông tin cho các cơ quan thông tin đại chúng, các cá nhân và tổ chức
có liên quan đến sự cố.
5.3. Thu thập thông tin
Đơn vị chủ trì: BĐH - Căn cứ theo yêu cầu cung cấp thông tin cho các đơn vị thuộc thành
ƯCSC EVN/ĐV, Chủ phần tác nghiệp ứng cứu khẩn cấp, cơ quan điều phối cùng chủ quản
quản HTTT. HTTT phối hợp tiến hành thu thập, tổng hợp và chia sẻ, cung cấp thông
tin.
5.4. Phân tích, giám sát tình hình liên quan sự cố
Đơn vị chủ trì: BĐH - BĐH ƯCSC EVN/ĐV chủ trì, phối hợp với chủ quản HTTT, ĐVCT
ƯCSC EVN/ĐV, Chủ ƯCSC thực hiện giám sát liên tục diễn biến sự cố và thông báo, cập
quản HTTT, ĐVCT nhật đến các đơn vị trong bộ phận tác nghiệp ứng cứu khẩn cấp.
ƯCSC; Đội/bộ phận - Các đơn vị thuộc bộ phận tác nghiệp ứng cứu khẩn cấp dựa trên các
ƯCSC. thông tin thu thập được, sử dụng các nguồn lực, phương tiện và các quy
trình nghiệp vụ của mình để tiến hành phân tích sự cố.
Kết quả phân tích sự cố được báo cáo TTƯCSC EVN, BĐH ƯCSC
EVN/ĐV và chia sẻ trong bộ phận tác nghiệp ứng cứu khẩn cấp để phục
vụ ứng cứu, khắc phục sự cố
5.5. Khắc phục sự cố, gỡ bỏ mã độc; Ngăn chặn, xử lý hậu quả do sự cố
Đơn vị chủ trì: Chủ - Thực hiện khắc phục sự cố, gỡ bỏ mã độc:
quản HTTT, Đơn vị, + Sao lưu hệ thống trước và sau khi xử lý sự cố;
cá nhân QLVH. + Tiêu diệt các mã độc, phần mềm độc hại;
Đơn vị phối hợp: + Khôi phục hệ thống, dữ liệu và kết nối;
+ Cấu hình hệ thống an toàn;
BĐH ƯCSC
+ Kiểm tra thử toàn bộ hệ thống sau khi khắc phục sự cố;
EVN/ĐV, Đội/bộ
+ Khắc phục các điểm yếu ATTT;
32
Bước thực hiện Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
phận ƯCSSC, Đơn vị + Bổ sung các thiết bị, phần cứng, phần mềm bảo đảm ATTT cho
chịu trách nhiệm bảo hệ thống;
đảm ATTT cho hệ + Triển khai theo dõi, giám sát, ngăn chặn khả năng lặp lại sự cố
thống bị sự cố, ĐVCT hoặc xảy ra các sự cố tương tự.
ƯCSC, thành viên - Chủ quản HTTT có trách nhiệm xử lý các hậu quả do sự cố HTTT
MLƯCSC. của mình gây ra ảnh hưởng đến người dân, cơ quan, tổ chức khác.
- Các đơn vị thuộc thành phần tham gia tác nghiệp ứng cứu khẩn cấp,
dựa trên các kết quả phân tích, điều tra, sử dụng các nguồn lực, phương
tiện và nghiệp vụ của mình để tiến hành ngăn chặn các hành vi gây ra
sự cố và hỗ trợ xử lý hậu quả.
5.6. Điều tra chi tiết nguyên nhân và truy tìm nguồn gốc
Đơn vị chủ trì: ĐVCT - Các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp sau khi phân tích
ƯCSC; Đội/bộ phận sự cố, tham khảo các kết quả phân tích sự cố của các đơn vị khác, sử
ƯCSC; BĐH ƯCSC dụng các nguồn tin và quy trình nghiệp vụ của mình, chủ động điều
EVN/ĐV, Chủ quản tra chi tiết nguyên nhân và truy tìm nguồn gốc, gửi BĐH ƯCSC EVN,
HTTT TTƯCSC EVN để tổng hợp, xác minh, báo cáo BCĐ ATTT EVN,
TTƯCSC EVN, BĐH ƯCSC EVN các thông tin liên quan, cụ thể bao
gồm:
+ Đối tượng bị tấn công;
+ Phương thức thủ đoạn tấn công (quy trình, kỹ thuật, mẫu mã đọc,
phần mềm độc hại);
+ Thời gian tấn công;
+ Các thiệt hại đã xảy ra;
+ Đối tượng tấn công;
+ Dự đoán khả năng xảy ra các tấn công tương tự và thiệt hại
Bước 6 Đánh giá kết quả triển khai phương án ứng cứu khẩn cấp bảo đảm ATTT, báo cáo tổng kết
33
Bước thực hiện Trách nhiệm Nội dung và trình tự thực hiện Ghi chú
Đơn vị chủ trì: BCĐ - TTƯCSC EVN tổng hợp toàn bộ các báo cáo phân tích có liên quan
ATTT EVN, BĐH đến triển khai phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin
ƯCSC EVN/ĐV. mạng để báo cáo với BCĐ ATTT EVN và BCĐ Quốc gia theo quy định.
Đơn vị phối hợp: - Tổ chức họp phân tích nguyên nhân, rút kinh nghiệm trong hoạt động
ĐVCT ƯCSC; Đội/bộ xử lý sự cố và đề xuất các biện pháp bổ sung nhằm phòng ngừa, ứng
phận ƯCSC; Chủ cứu đối với các sự cố tương tự trong tương lai.
quản HTTT
Bước 7 Kết thúc
Đơn vị chủ trì: BCĐ - BĐH ƯCSC EVN/ĐV căn cứ kết quả đánh giá của BCĐ ATTT EVN, Thực hiện báo cáo BCĐ Quốc
ATTT EVN, BĐH BĐH ƯCSC EVN sẽ thực hiện hoàn tất các nhiệm vụ sau, kết thúc gia, các cơ quan chức năng nhà
ƯCSC EVN/ĐV. hoạt động ứng cứu sự cố khẩn cấp: nước theo QĐ20 và TT20.
Đơn vị phối hợp: + Lưu hồ sơ, tài liệu lưu trữ;
ĐVCT ƯCSC; Đội/bộ + Xây dựng, đúc rút các bài học, kinh nghiệm;
phận ƯCSC; Chủ + Đề xuất các kiến nghị về kỹ thuật, chính sách để hạn chế thiệt hại
quản HTTT khi xảy ra các tấn công tương tự;
+ Báo cáo cơ quan cấp trên, tổ chức họp báo hoặc gửi thông tin cho
truyền thông nếu cần thiết.
CHƯƠNG IV. CƠ CHẾ TRAO ĐỔI THÔNG TIN
Điều 12. Kênh trao đổi thảo luận và báo cáo nhanh
1. Kênh trao đổi thảo luận và báo cáo nhanh để trao đổi, thảo luận, cảnh báo,
cập nhật các nội dung liên quan đến tình hình ATTT trong và ngoài nước, công
tác đảm bảo ATTT trong Tập đoàn.
2. Hình thức sử dụng: Thảo luận bằng ứng dụng Chat được bảo mật.
3. Nội quy tham gia:
- Chỉ trao đổi các nội dung liên quan đến ATTT.
- Các đơn vị nhận được yêu cầu xử lý có trách nhiệm xác nhận thông tin tình
trạng đã nhận được yêu cầu, tổ chức xử lý và trả lời cho đơn vị gửi yêu cầu trong
thời gian không quá 01 (một) ngày làm việc. Thời gian này có thể rút ngắn lại
trong một số trường hợp sự cố cần xử lý gấp theo yêu cầu của đơn vị gửi yêu cầu
và BĐH ƯCSC EVN. Trường hợp Cơ quan thường trực ứng cứu sự cố của EVN
(Ban VT&CNTT-EVN) gửi yêu cầu, các đơn vị có trách nhiệm gửi Báo cáo kết
quả thực hiện thông qua hệ thống EVNPortal trong thời gian không quá 07 (bảy)
ngày làm việc kể từ thời điểm gửi yêu cầu.
- Khuyến khích tất cả các thành viên trong nhóm tham gia thảo luận và phát
biểu ý kiến tham gia.
b) Chủ quản HTTT gửi báo cáo cho EVN, ĐVCT và các đơn vị có trách
nhiệm liên quan (nếu có) trong trường hợp sự cố an toàn thông tin mạng nghiêm
trọng.
2. Hình thức báo cáo: Bằng văn bản giấy hoặc văn bản điện tử (có ký tên và
đóng dấu hoặc chữ ký số của người có thẩm quyền) theo Mẫu 02 tại Phụ lục 02
của Quy trình này.
3. Thời gian thực hiện báo cáo: Chậm nhất 05 (năm) ngày kể từ thời điểm
hoàn thành ứng cứu sự cố đối với sự cố an toàn thông tin mạng không nghiêm
trọng và 10 (mười) ngày đối với nghiêm trọng.
Điều 17. Báo cáo tổng hợp về hoạt động tiếp nhận và xử lý sự cố
1. Đơn vị thực hiện báo cáo: Chủ quản HTTT gửi báo cáo cho EVN (BĐH
ƯCSC EVN, TTƯCSC EVN) và ĐVCT ƯCSC.
2. Hình thức báo cáo: Bằng văn bản giấy hoặc văn bản điện tử (có ký tên và
đóng dấu hoặc chữ ký số của người có thẩm quyền) theo Mẫu 03 tại Phụ lục 02
của Quy trình này.
3. Thời gian thực hiện báo cáo: Tổng hợp, xây dựng báo cáo định kỳ 06 tháng
(trước ngày 10 tháng 6), 01 năm (trước ngày 05 tháng 12); báo cáo đột xuất khi
có yêu cầu của BCĐ/BĐH ƯCSC EVN, TTƯCSC EVN.
PHỤ LỤC 01. DANH MỤC CÁC VĂN BẢN CĂN CỨ VÀ TÀI LIỆU VIỆN
DẪN LIÊN QUAN
cố của ngành (Cert ngành) thuộc thành viên Mạng lưới ứng cứu sự cố đảm bảo an
toàn thông tin mạng quốc gia;
15. Công văn số 1972/BTTTT-CATTT ngày 27/5/2022 của Bộ Thông tin
và Truyền thông về việc góp ý dự thảo Chỉ thị của Thủ tướng Chính phủ đẩy mạnh
triển khai các hoạt động ứng cứu sự cố bảo đảm an toàn thông tin mạng Việt Nam;
16. Công văn số 3933/EVN-VTCNTT ngày 19/7/2022 của EVN về việc
thành lập đội ứng cứu sự cố của ngành thuộc thành viên Mạng lưới ứng cứu sự cố
đảm bảo an toàn thông tin mạng quốc gia;
17. Quyết định số 964/QĐ-TTg ngày 10/8/2022 của Thủ tướng Chính phủ
Phê duyệt Chiến lược An toàn, An ninh mạng quốc gia, chủ động ứng phó với các
thách thức từ không gian mạng đến năm 2025, tầm nhìn 2030;
18. Chỉ thị số 18/CT-TTg ngày 13/10/2022 của Thủ tướng Chính phủ chỉ
thị về đẩy mạnh triển khai các hoạt động ứng cứu sự cố an toàn thông tin mạng
Việt Nam;
19. Thông tư 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông tin và
Truyền thông về việc quy định chi tiết và hướng dẫn một số điều của Nghị định
số 85/2016/NĐ-CP ngày 01/07/2016 của Chính phủ về bảo đảm an toàn hệ thống
thông tin theo cấp độ.
39
Mô tả sơ bộ về sự cố (*)
Đề nghị cung cấp một bản tóm tắt ngắn gọn về sự cố, bao gồm đánh giá sơ bộ cuộc tấn công
đã xảy ra chưa và bất kỳ các nguy cơ dẫn đến khả năng phá hoại hoặc gián đoạn dịch vụ.
Cũng vui lòng xác định mức độ nhạy cảm của thông tin liên quan hoặc những đối tượng bị
ảnh hưởng bởi sự cố. Tối thiểu bao gồm các thông tin:
- Tình trạng...............................................................................................................................
- Mức độ ....................................................................................................................................
- Phạm vi ảnh hưởng .................................................................................................................
- Đối tượng ................................................................................................................................
- Địa điểm xảy ra sự cố .............................................................................................................
...................................................................................................................................................
...................................................................................................................................................
CÁCH THỨC PHÁT HIỆN * (Đánh dấu những cách thức được sử dụng để phát hiện sự cố)
Qua hệ thống phát hiện xâm nhập
Kiểm tra dữ liệu lưu lại (Log File)
Nhận được thông báo từ: ...........................................................................................
Khác, đó là .................................................................................................................
ĐÃ GỬI THÔNG BÁO SỰ CỐ CHO *
BĐH ƯCSC EVN
BCĐ ƯCSC ĐV
ĐVCT
Thành viên mạng lưới chịu trách nhiệm ứng cứu sự cố cho tổ chức, cá nhân
Các đơn vị liên quan:
THÔNG TIN BỔ SUNG VỀ HỆ THỐNG XẢY RA SỰ CỐ
Hệ điều hành ........................................................ Version ............................................
Các dịch vụ có trên hệ thống (Đánh dấu những dịch vụ được sử dụng trên hệ thống)
Các biện pháp an toàn thông tin đã triển khai (Đánh dấu những biện pháp đã triển khai)
Antivirus
Firewall
Hệ thống phát hiện xâm nhập
Khác: ...........................................................................................................................
Thông tin gửi kèm
Nhật ký hệ thống
Mẫu virus / mã độc
Khác:……………………………….
Các thông tin cung cấp trong thông báo sự cố này đều phải được giữ bí mật:
Có
Không
KIẾN NGHỊ, ĐỀ XUẤT HỖ TRỢ
Mô tả về đề xuất, kiến nghị
Đề nghị cung cấp tóm lược về các kiến nghị và đề xuất hỗ trợ ứng cứu (nếu có) ...................
...................................................................................................................................................
...................................................................................................................................................
Tên/Mô tả về sự cố
- Tình trạng ...............................................................................................................................
- Mức độ ....................................................................................................................................
- Phạm vi ảnh hưởng ................................................................................................................
- Đối tượng................................................................................................................................
- Địa điểm xảy ra sự cố.............................................................................................................
Kết quả xử lý sự cố
Cung cấp, tóm tắt tổng quát về những gì đã xảy ra và cách thức giải quyết, đề xuất giải pháp
ứng cứu ứng sự cố nhằm xử lý nhanh sự cố, giảm nhẹ rủi ro và thiệt hại đối với sự cố tương tự
trong tương lai...
Mẫu 03. Báo cáo tổng hợp về hoạt động tiếp nhận và xử lý sự cố
Mẫu 01: Đầu mối liên hệ ứng cứu sự cố ATTT với các đơn vị bên ngoài
Mẫu 02: Đầu mối liên hệ ứng cứu sự cố ATTT trong EVN
EVNHANOI
EVNHCMC
EVNGENCO1
EVNGENCO2
EVNGENCO3
Các đơn vị trực thuộc EVN