Aise c5 Edit 2023 Lms

CHƯƠNG 5
Lập Kế hoạch phản ứng sự

cố và hoạt động liên tục
AN TOÀN THÔNG TIN KẾ TOÁN

Accounting Information Security
Mục tiêu
• Hiểu nhu cầu vì sao cần lập kế hoạch dự phòng
• Hiểu các thành phần chính của lập kế hoạch ứng phó sự cố
(incident response), khôi phục thảm họa (disaster recovery)
và đảm bảo hoạt động liên tục (business continuity)
• Xác định các thành phần của quản lý khủng hoảng (crisis
management)
• Hiểu cách thức một tổ chức chuẩn bị và thực thi việc thử
nghiệm (test) kế hoạch dự phòng
Business Kế hoạch Đảm bảo Hồ sơ/ văn bản của việc lập kế hoạch đảm
continuity plan hoạt động liên tục bảo hoạt động liên tục. Kế hoạch này thể hiện
(BC) những nỗ lực dự định của tổ chức để tiếp tục
các chức năng quan trọng trong tình huống
việc hoạt động tại địa điểm chính (primary
site) không khả thi
Business Lập kế hoạch đảm Các hành động do quản lý cấp cao thực hiện
Thuật continuity bảo hoạt động liên để phát triển và thực hiện chính sách, kế
ngữ planning (BCP) tục hoạch và các nhóm (teams) đảm bảo hoạt
động lên tục
Business impact Phân tích tác động Một cuộc điều tra và đánh giá các sự kiện bất
analysis (BIA) kinh doanh lợi khác nhau có thể ảnh hưởng đến tổ chức.
Nó được tiến hành như một giai đoạn sơ bộ
của quá trình lập kế hoạch dự phòng, bao
gồm việc xác định mức độ quan trọng của hệ
thống hoặc tập hợp các thông tin đối với các
qui trình cốt lõi của tổ chức và các ưu tiên
phục hồi.
3
Contingency Lập Kế hoạch Các hành động do quản lý cấp cao thực hiện để
Planning (CP) dự phòng chỉ rõ các nỗ lực và hành động của tổ chức nếu
một sự kiện bất lợi trở thành sự cố hoặc thảm
họa. Việc lập kế hoạch này bao gồm các nỗ lực
ứng phó sự cố, khắc phục thảm họa và duy trì
hoạt động kinh doanh, cũng như lập các phân tích
tác động kinh doanh.
Continuity Các chiến lược
Strategies đảm bảo hoạt
Thuật động liên tục
ngữ Crisis Quản lý khủng Tập hợp các nỗ lực lập kế hoạch và chuẩn bị của
Management hoảng tổ chức để đối phó với thương tích, chấn thương
tinh thần tiềm ẩn với con người, hoặc mất mạng
do thảm họa
Disaster Kế hoạch Phục Hồ sơ/ văn bản của việc lập kế hoạch khắc phục
recovery plan hồi sau thảm hậu quả thiên tai; một kế hoạch trình bày những
(DR) họa nỗ lực dự kiến của tổ chức trong trường hợp có
thảm họa
Disaster Lập kế hoạch Các hành động được thực hiện bởi quản lý cấp
recovery phục hồi sau cao để xác định những nỗ lực của tổ chức trong
4
planning (DRP) thảm họa việc chuẩn bị và phục hồi sau thảm họa.
Incident response Ứng phó sự cố
(IR)
incident response Lập kế hoạch Các hành động được thực hiện bởi
Thuật planning (IRP) ứng phó sự cố quản lý cấp cao để phát triển và thực
ngữ hiện chính sách, kế hoạch IR và nhóm
ứng phó sự cố an toàn máy tính
Incident Response Chính sách
Policy ứng phó sự cố
5
Information Quản trị an Việc áp dụng các nguyên tắc quản trị
Security toàn thông tin công ty vào chức năng an toàn thông tin.
Governance
Maximum Thời gian Tổng lượng thời gian mà chủ sở hữu hệ
tolerable ngưng trệ tối thống/ hoặc viên chức được ủy quyền
downtime (MTD) đa có thể sẵn sàng chấp nhận việc gián đoạn hoặc
chấp nhận ngưng trệ một sứ mệnh / quy trình kinh
được doanh, bao gồm tất cả các cân nhắc về
Thuật tác động.
ngữ Operational plans Kế hoạch hoạt Là Hồ sơ hoặc văn bản của việc lập kế
động hoạch hoạt động. Kế hoạch này mô tả
các nỗ lực hoạt động dự kiến hàng ngày
của tổ chức trong vài tháng tới.
Operational Lập kế hoạch Các hành động mà ban lãnh đạo thực
planning hoạt động hiện nhằm xác định các mục tiêu ngắn
hạn của tổ chức để đạt được các mục
tiêu chiến thuật cụ thể, sau đó là các ước
tính và lịch trình phân bổ các nguồn lực
cần thiết để đạt được các mục tiêu này 6
Recovery point Mốc phục hồi Thời điểm trước khi hệ thống bị gián
objective (RPO) dữ liệu đoạn hoặc ngừng hoạt động mà dữ liệu
của sứ mệnh / quy trình kinh doanh có
thể được khôi phục sau khi ngừng hoạt
động (được cung cấp bản sao lưu dữ
liệu gần đây nhất).
Recovery time Mốc thời gian Khoảng thời gian tối đa mà tài nguyên hệ
Thuật objective (RTO) phục hồi thống có thể không có sẵn trước khi có
ngữ tác động không thể chấp nhận được đối
với các tài nguyên hệ thống khác hỗ trợ
nhiệm vụ / quy trình kinh doanh và MTD
Work recovery Thời gian Số lượng nỗ lực (được biểu thị bằng thời
time (WRT) phục hồi hoạt gian đã trôi qua) cần thiết để làm cho
động chức năng kinh doanh hoạt động sau khi
yếu tố công nghệ được khôi phục (như
được xác định với RTO). Các nhiệm vụ
bao gồm kiểm tra và xác nhận hệ thống.
7
Nội dung
01. Giới thiệu 02. Những vấn

ứng phó sự cố đề cơ bản về
và lập kế lập kế hoạch
hoạch dự dự phòng
phòng
03. Phân tích 04. Lập Kế 05. Lập Kế

ảnh hưởng hoạch Ứng phó hoạch khôi
kinh doanh sự cố phục thảm họa
8
Nội dung
06. Lập Kế 07. Mối quan hệ

hoạch kinh của các thành phần
doanh liên tục trong lập kế hoạch
dự phòng
08. Quản lý 09. Thử nghiệm

khủng hoảng kế hoạch dự
phòng
9
Giới thiệu
Theo công ty bảo hiểm Hartford, hơn 40 phần trăm doanh

nghiệp không có kế hoạch phục hồi sau thảm họa sẽ bị
ngừng hoạt động sau một tổn thất lớn.
10
Giới thiệu
• Các biến cố, sự cố bất ngờ đều ảnh hưởng tới hoạt động kinh
doanh (công nghệ thúc đẩy kinh doanh)
• Khả năng của một tổ chức đối phó với tổn thất do sự kiện bất lợi
gây ra phụ thuộc vào sự đúng đắn của việc lập kế hoạch và thực
hiện kế hoạch dự phòng. Nếu không, sự kiện bất lợi có thể gây
ra thiệt hại nghiêm trọng cho tài nguyên và tài sản thông tin của
tổ chức và thậm chí không thể phục hồi được
→ Lập Kế hoạch ứng phó sự cố và lập kế hoạch dự phòng cần toàn
diện, hữu hiệu
11
Giới thiệu
Lập kế hoạch cho các sự kiện bất lợi bất ngờ cần sự tham gia của:
• Nhóm quản lý chung (general business management) - nhóm GB
• Nhóm quản lý CNTT ((Information Technology Management and
Professionals) – Nhóm IT
• Nhóm quản lý an toàn thông tin (Information Security:
Management and Professionals) – Nhóm InforSec
12
Giới thiệu
Mối quan hệ trách nhiệm giữa các nhóm quản lý:

• Ba nhóm: Phân tích, đánh giá cơ sở hạ tầng, phân tích mục
tiêu hiện hành DN để làm cơ sở lập kế hoạch ứng phó sự
cố và dự phòng;
• Hai nhóm IT & InforSec: lập kế hoạch
• Nhóm GB: phê duyệt và hỗ trợ cho kế hoạch ứng phó sự cố
và kế hoạch dự phòng
• Nhóm InforSec: giám sát thực hiện kế hoạch khi sự kiện bất
lợi bất ngờ xẩy ra
13
Giới thiệu
• Một vài tổ chức liên quan tới an ninh quốc gia, việc lập và
duy trì kế hoạch ứng phó sự cố và kế hoạch dự phòng bị
qui định, điều chỉnh bởi luật
• Viện Tiêu Chuẩn Và Công Nghệ Quốc Gia (NIST) ban hành
“hướng dẫn lập kế hoạch dự phòng cho các hệ thống thông
tin liên bang” cho việc thực hành lập kế hoạch dự phòng.
14
Nội dung

phòng

15
Những vấn
đề cơ bản về
lập kế hoạch
dự phòng
Fundamentals of
Contingency
Planning
Những vấn đề cơ bản về lập kế hoạch dự phòng
oCác thành phần của kế hoạch dự phòng

oTiếp cận lập kế hoạch dự phòng của NIST
oCác giai đoạn trong qui trình lập kế hoạch dự phòng
oNhân sự liên quan trong kế hoạch dự phòng
Kế hoạch dự phòng
Contingency Planning
• Các nhà quản lý an toàn thông tin được yêu cầu đưa ra kế hoạch chiến lược
để đảm bảo tính khả dụng liên tục của hệ thống thông tin. Tuy nhiên, khả
năng xảy ra một số cuộc tấn công
o Từ bên trong/bên ngoài
o Cố ý/tình cờ
o Do con người/không phải do con người
o Gây phiền nhiễu/thảm họa
• Tổ chức cần có kế hoạch để dự đoán, phản ứng và phục hồi từ các sự kiện
đe dọa đến sự an toàn của thông tin và tài sản thông tin trong tổ chức. Kế
hoạch này cũng giúp khôi phục tổ chức về chế độ hoạt động kinh doanh bình
thường sau một sự cố.
Contingency Planning –
CP
Lập kế hoạch dự phòng gồm 4 thành
phần:
Mục tiêu chính của CP là khôi oPhân tích ảnh hưởng kinh doanh
(Business impact analysis) BIA
phục các phương thức hoạt oLập Kế hoạch phản ứng sự cố
động bình thường với chi phí (incident response plan) IR plan
oLập Kế hoạch khôi phục thảm họa
và thời gian gián đoạn hoạt (disaster recovery plan)
động kinh doanh tối thiểu nhất. oLập kế hoạch đảm bảo hoạt động
liên tục (Business continuity plan)
CP
Tùy thuộc vào quy mô và triết

lý kinh doanh của tổ chức, các
nhóm quản lý IT, InforSec:
• Tạo và phát triển bốn thành
phần CP như một kế hoạch
thống nhất
• Tạo bốn phần riêng biệt trong
sự kết nối với một tập hợp
các quy trình lồng vào nhau
để đảm bảo hoạt động kinh
doanh liên tục.
CP
CP bao gồm:
1. Lập kế hoạch ứng phó sự cố
(incident response planning -
IRP) • Event and Incident
2. Lập kế hoạch phục hồi sau • Disaster
thảm họa (disaster recovery
planning - DRP)
3. Lập kế hoạch đảm bảo hoạt
động liên tục trong kinh doanh
(business continuity planning -
BCP)
→ Để chuẩn bị cho các sự kiện
bất lợi có thể trở thành sự cố
hoặc thảm họa
Kế hoạch dự phòng • IRP tập trung vào ứng phó ngay lập tức,
Contingency Planning – nhưng nếu cuộc tấn công leo thang hoặc thảm
CP khốc (như hỏa hoạn, lũ lụt, động đất hoặc mất
CP bao gồm: điện toàn bộ), quy trình sẽ chuyển sang DRP
1. Lập kế hoạch ứng phó sự cố và BCP.
(incident response planning - • DRP tập trung vào việc khôi phục các hệ
IRP) thống trở về tình trạng ban đầu sau khi thiên
2. Lập kế hoạch phục hồi sau tai xảy ra, và do đó có liên quan chặt chẽ với
thảm họa (disaster recovery BCP.
planning - DRP)
• BCP xảy ra đồng thời với DRP khi thiệt hại
3. Lập kế hoạch đảm bảo hoạt
động liên tục trong kinh doanh lớn hoặc đang diễn ra, tổ chức không chỉ khôi
(business continuity planning - phục thông tin và nguồn thông tin đơn giản mà
BCP) cần đòi hỏi nỗ lực nhiều hơn. BCP thiết lập
→ Để chuẩn bị cho các sự kiện các chức năng kinh doanh quan trọng tại một
bất lợi có thể trở thành sự cố địa điểm (site) thay thế.
hoặc thảm họa

Phát triển tuyên bố chính sách CP:
Một chính sách chính thức cung cấp thẩm quyền và
hướng dẫn cần thiết để phát triển một kế hoạch dự
phòng hiệu quả
Tiến hành thực hiện phân tích tác động kinh doanh
(business impact analysis-BIA):
Tiếp cận lập kế BIA giúp xác định và ưu tiên các hệ thống thông tin và
các thành phần quan trọng để hỗ trợ sứ mệnh / quy
hoạch dự phòng của trình kinh doanh của tổ chức.
NIST Xác định các biện pháp kiểm soát phòng ngừa:
NIST CP Methodology
Các biện pháp được thực hiện để giảm ảnh hưởng của
sự gián đoạn hệ thống, có thể tăng tính khả dụng của
hệ thống và giảm chi phí vòng đời dự phòng
Tạo chiến lược dự phòng:

Các chiến lược khôi phục kỹ lưỡng đảm bảo rằng hệ
thống có thể được phục hồi nhanh chóng và hiệu quả
sau sự cố
Phát triển CP:
CP cần có hướng dẫn chi tiết và các thủ tục để phục hồi các
cơ sở đơn vị bị sự cố
Đảm bảo kế hoạch kiểm tra, huấn luyện và luyện tập:

Tiếp cận lập kế Kiểm tra xác nhận khả năng phục hồi, huấn luyện nhân sự
hoạch dự phòng của chuẩn bị cho kế hoạch phục hồi để kích hoạt kế hoạch và
thực hiện kế hoạch, xác định các lỗ hổng trong kế hoạch;
NIST kết hợp các hoạt động nâng cao hiệu quả kế hoạch và sự
NIST CP Methodology chuẩn bị cho tổng thể
Đảm bảo duy trì kế hoạch:

Kế hoạch phải là một tài liệu cần được cập nhật thường
xuyên theo các cải tiến hệ thống và thay đổi của đơn vị

Các giai đoạn trong
qui trình lập kế
hoạch dự phòng
Dựa trên 7 bước đề xuất của

NIST, Quy trình CP tổng thể
tích hợp các qui trình của BIA,
IRP và DRP được mở rộng
thành 12 bước
Contingency Planning – CP
1. Hình thành CPMT
2. Xây dựng tuyên bố chính sách lập kế hoạch dự phòng
3. Tiến hành phân tích tác động kinh doanh (BIA): giúp xác định và ưu tiên
các chức năng của tổ chức cũng như hệ thống thông tin và các thành phần
quan trọng để hỗ trợ quy trình kinh doanh của tổ chức
4. Hình thành các nhóm lập kế hoạch cấp dưới: Đối với mỗi khu vực trực
thuộc, tổ chức một nhóm có nhiệm vụ phát triển các kế hoạch (IRP, DRP và
BCP)
5. Xây dựng chính sách kế hoạch cấp dưới: tiến hành phát triển các chính
sách lập kế hoạch (IRP, DRP và BCP)
6. Tích hợp phân tích tác động kinh doanh (BIA): Mỗi nhóm lập kế hoạch
trực thuộc sẽ xem xét một cách độc lập và kết hợp các khía cạnh của BIA
có tầm quan trọng đối với các nỗ lực lập kế hoạch của họ
7. Xác định các biện pháp kiểm soát phòng ngừa: Đánh giá các biện
pháp đối phó và biện pháp bảo vệ nhằm giảm thiểu rủi ro và tác động
của các sự kiện đối với dữ liệu tổ chức, hoạt động và nhân sự
8. Tổ chức các đội phản ứng: Chỉ định các kỹ năng cần thiết cho mỗi
nhóm phản ứng cấp dưới (IR/DR/BC) và xác định nhân sự cần thiết.
Đảm bảo danh sách nhân sự không trùng lắp giữa các nhóm và tất cả
các kỹ năng cần thiết đều được trang bị. Đây là những người sẽ được
gọi trực tiếp nếu một kế hoạch cụ thể được kích hoạt để ứng phó với
một sự cố hoặc thảm họa thực tế
9. Tạo chiến lược dự phòng: Với ý kiến đóng góp của các trưởng nhóm
cấp dưới, CPMT sẽ đánh giá và đầu tư vào các chiến lược hỗ trợ các
nỗ lực của IR, DR và BC nếu một sự kiện ảnh hưởng đến hoạt động
kinh doanh. Chúng bao gồm các kế hoạch sao lưu và phục hồi dữ liệu,
lưu trữ dữ liệu off-site và các chiến lược sử dụng site thay thế
10. Xây dựng kế hoạch cấp dưới: Đối với mỗi khu vực trực thuộc,
phát triển một kế hoạch để xử lý các hành động và hoạt động
tương ứng cần thiết để (a) ứng phó với sự cố, (b) phục hồi sau
thảm họa và (c) thiết lập hoạt động tại một vị trí thay thế sau một
sự kiện gián đoạn
11. Đảm bảo kế hoạch kiểm tra, huấn luyện và luyện tập: Đảm bảo
mỗi kế hoạch cấp dưới được kiểm tra và các nhân viên tương
ứng được huấn luyện để xử lý bất kỳ trường hợp nào leo thang
thành sự cố hoặc thảm họa
12. Đảm bảo duy trì kế hoạch: Quản lý kế hoạch, đảm bảo xem xét,
đánh giá và cập nhật định kỳ

Tổ chức cần tập hợp một nhóm quản lý kế
hoạch dự phòng (CPMT) chịu trách nhiệm đạt
được cam kết và hỗ trợ từ quản lý cấp cao, viết
tài liệu kế hoạch dự phòng, thực hiện BIA và quản
lý các nhóm cấp dưới.
Là một nhóm gồm quản lý cấp cao và các thành

Nhân sự liên quan viên đội dự án để thực hiện và dẫn dắt tất cả các
CP hoạt động liên quan lập kế hoạch dự phòng:
• Quản lý cấp điều hành (coordinating
executive)
• Đại diện các bộ phận kinh doanh chính có liên
quan
• Quản lý ở mỗi nhóm có ảnh hưởng tới ATTT
(nhóm quản lý chung, quản lý IT, quản lý
InforSe)
Các vị trí chủ chốt của CPMT (contingency planning
management team)
• Hỗ trợ CPMT (CTMT champion): COO (Chief
operation officer) hoặc CEO/president
Nhân sự liên quan Kết nối với tầm nhìn chiến lược của tổ chức và
CP hỗ trợ các nguồn lực khác
• Quản lý dự án (Project Manager): CISO/quản
lý cấp trung
Đảm bảo sử dụng nguồn lực của dự án, hoàn
thành dự án
• Thành viên Đội dự án (Team members):
Thành viên Đội dự án (Team members)
• Đại diện quản lý của 3 nhóm

o Đại diện quản lý KD chung: Cung cấp thông tin về hoạt động
kinh doanh
o Đại diện quản lý IT: Cung cấp thông tin về rủi ro hệ thống → sử
dụng cho BIA, kế hoạch IR, DR, BC
o Đại diện quản lý InforSec: cung cấp thông tin nguy cơ, điểm
yếu, tấn công và yêu cầu khôi phục hệ thống; Giám sát việc lập
kế hoạch ANTTT.
• Đại diện pháp lý: Đảm bảo tính pháp lý của việc lập và thực hiện kế
hoạch CP
• Đại diện truyền thông: Đảm bảo truyền thông trong quản lý khủng
hoảng
• Đại diện đội lập kế hoạch cấp dưới

Chính sách kế hoạch dự phòng
The CP Policy
• Trước khi phát triển từng loại tài liệu CP,
đội nhân sự CP nên làm việc để phát triển
môi trường chính sách hỗ trợ quá trình BIA
và nên cung cấp hướng dẫn chính sách cụ
thể về việc cho phép tạo ra từng hợp phần
lập kế hoạch (IR, DR và BC).
• Các chính sách này cung cấp hướng dẫn
về cấu trúc của các nhóm cấp dưới và triết
lý của tổ chức, đồng thời chúng hỗ trợ trong
việc cấu trúc kế hoạch.
The CP Policy
Giống như chính sách InfoSec của doanh

nghiệp xác định các vai trò và trách nhiệm
của InfoSec cho toàn bộ doanh nghiệp, mỗi
tài liệu CP đều dựa trên một chính sách cụ
thể xác định các vai trò và trách nhiệm liên
quan đối với thành phần đó của môi trường
CP tổng thể trong tổ chức.
LMS 3
The CP Policy
• Giới thiệu về quan điểm triết lý của nhà quản

trị cấp cao, giải thích tầm quan trọng của việc
lập kế hoạch dự phòng đối với các hoạt động
chiến lược, dài hạn của tổ chức
• Trình bày phạm vi và mục đích của các hoạt
động CP (yêu cầu bao gồm tất cả các chức
năng và hoạt động kinh doanh quan trọng)
• Yêu cầu CPMT đánh giá rủi ro định kỳ và
phân tích tác động kinh doanh để xác định và
ưu tiên các chức năng kinh doanh quan trọng
• Đặc tả về các thành phần chính của CP sẽ
được CPMT thiết kế
LMS 3
The CP Policy
• Kêu gọi và hướng dẫn lựa chọn các

phương án khôi phục và chiến lược bền
vững
• Yêu cầu kiểm tra các kế hoạch khác
nhau thường xuyên
• Xác định các quy định và tiêu chuẩn
chính ảnh hưởng đến việc lập kế hoạch
CP và trình bày tổng quan về mức độ
phù hợp của chúng
The CP Policy
LMS 3
Đứng đầu CPMT COO
Trưởng nhóm Phó COO
CPMT/giám đốc
DA
• Xác định những người chủ chốt chịu
Trưởng nhóm IR CISO trách nhiệm về hoạt động CP.
Trưởng nhóm DR Quản lý hoạt • Xác định tầm quan trọng của từng
động kinh doanh
thành viên trong quy trình CP tổng thể
Trưởng nhóm BC Giám đốc tiếp thị
và dịch vụ • Thông tin quản trị bổ sung, bao gồm
Trưởng nhóm Cố vấn pháp lý
các bản sửa đổi và lịch trình xem xét,
quản lý thảm họa bảo trì định kỳ…
Nội dung

phòng

41
Phân tích ảnh hưởng kinh doanh (BIA)
Business Impact Analysis
Phân tích tác động
kinh doanh (BIA)
Business Impact Analysis
BIA và quản lý rủi ro khác nhau thế nào?
Một điều tra và đánh giá các

BIA là hoạt động chuẩn bị chung cho cả
sự kiện bất lợi khác nhau có
CP và quản lý rủi ro, giúp xác định chức
thể ảnh hưởng đến tổ chức, năng kinh doanh và hệ thống thông tin
nào là quan trọng nhất đối với sự thành
là giai đoạn tiền đề của CP.
công của tổ chức
• BIA giả định các biện pháp kiểm soát đã
bị bỏ qua/không thành công/không hiệu
quả; giả định cuộc tấn công đã thành
công.
Phân tích tác động • Bằng cách giả định điều tồi tệ nhất đã xảy
kinh doanh (BIA) ra và sau đó đánh giá điều đó sẽ ảnh
hưởng như thế nào đến tổ chức, các nhà
Business Impact Analysis lập kế hoạch có được cái nhìn sâu sắc về
cách ứng phó với sự kiện bất lợi, giảm
thiểu thiệt hại, phục hồi sau các tác động
và trở lại hoạt động bình thường
Khi thực hiện BIA, cần cân nhắc các vấn đề sau:
• Phạm vị (scope): Phạm vi nào của tổ chức
liên quan; bao gồm Hệ thống nào? Rủi ro nào
cần đánh giá?
• Kế hoạch (plan): Kế hoạch thu thập dữ liệu để
phân tích toàn diện và cung cấp thông tin
Phân tích tác động chính xác phù hợp
• Cân bằng (balance): Cân bằng giữa khách
kinh doanh (BIA) quan (dữ liệu, thông tin có sẵn) và chủ quan
(kinh nghiệm, kiến thức) khi đánh giá vấn đề.
Business Impact Analysis • Mục tiêu (Objective): Xác định trước những gì
mà những người ra quyết định chính yêu cầu
để đưa ra các lựa chọn.
• Theo dõi (follow up): Truyền thông định kỳ
hoạt động BIA để đảm bảo qui trình thực hiện
BIA được hoàn thành và cho kết quả tốt
Theo NIST SP 800-34, Rev. 1, CPMT tiến
hành BIA trong ba giai đoạn:
Phân tích tác động o Xác định sứ mệnh/ quy trình kinh doanh và
mức độ quan trọng của việc phục hồi
kinh doanh (BIA) o Xác định các yêu cầu về nguồn lực/ tài
Business Impact Analysis nguyên
o Xác định các ưu tiên phục hồi cho nguồn
lực/ tài nguyên hệ thống
Xác định sứ
mệnh/ quy trình
kinh doanh và
mức độ quan
trọng của việc
phục hồi
DETERMINE MISSION/
B U S I N E S S P RO C E S S E S A N D
R E C OV E RY C R I T I C A L I T Y
Xác định sứ mệnh/ quy trình kinh doanh và
Determine Mission/ Business Processes and
Recovery Criticality
Ví dụ: các hoạt động khôi phục có

thể sẽ tập trung vào Phòng CNTT và
hoạt động mạng trước khi chuyển
• Nhiệm vụ chính đầu tiên của BIA là phân sang các hoạt động tuyển dụng của
tích và ưu tiên các quá trình kinh doanh Phòng Nhân sự. Tương tự như vậy,
khôi phục dây chuyền lắp ráp của
trong tổ chức, dựa trên mối quan hệ của một công ty sản xuất cấp bách hơn
chúng với sứ mệnh của tổ chức. khôi phục hệ thống theo dõi bảo trì
của nó. Chức năng nhân sự và bảo
• Mỗi bộ phận, đơn vị hoặc bộ phận kinh trì dây chuyền lắp ráp là quan trọng,
doanh phải được đánh giá độc lập để nhưng trừ khi các hoạt động tạo ra
doanh thu chính của tổ chức có thể
xác định mức độ quan trọng của các được khôi phục nhanh chóng, các
chức năng của nó đối với toàn bộ tổ chức năng khác có thứ tự ưu tiên
chức. thấp hơn
5.2.1 Xác định sứ mệnh/quy trình kinh doanh
và mức độ quan trọng của việc phục hồi
Determine Mission/Business Processes and
• Tiến hành thu thập thông tin quan trọng về từng

đơn vị kinh doanh trước khi ưu tiên các đơn vị Ban lãnh đạo cấp cao
kinh doanh, tập trung vào việc lựa chọn các cần phân xử những
chức năng kinh doanh phải được duy trì để tiếp xung đột không thể
tục hoạt động kinh doanh. tránh khỏi về mức độ
ưu tiên bởi vì họ có
• Cần lưu ý mặc dù một số nhà quản lý hoặc giám quan điểm để đưa ra
đốc điều hành có thể cảm thấy rằng chức năng những quyết định đánh
của họ là quan trọng nhất đối với tổ chức, nhưng đổi như vậy
chức năng đó có thể ít quan trọng hơn trong
trường hợp có sự cố hoặc thảm họa lớn.
Xác định quy trình kinh
doanh và mức độ quan A weighted analysis table
trọng của nó
Criterion Impact on Impact on Impact on Impact on Impact on

Revenue Profitability Product/Service Market Reputation
Delivery Share
# Criterion 0.25 0.3 0. 15 0.2 0.1 TOTAL Importance
Weight (0‒5; Not Important
Business to Critically
Process Important)
1 Customer sales 5 5 5 5 4 4.9 Critically Important
2 Production 5 5 5 3 3 4.4 Critically Important
3 Information 3 3 3 3 5 3.2 Very Important
security
services
Xác định quy trình kinh
doanh và mức độ quan A weighted analysis table
trọng của nó
Criterion Impact on Impact on Impact on Impact on Impact on

Revenue Profitability Product/Service Market Reputation
Delivery Share
4 IT services 4 3 4 2 2 3.1 Very Important
5 Customer 2 3 2 1 4 2.3 Important
services
6 Research & 1 1 2 3 3 1.75 Somewhat Important
development
7 Employee 1 1 2 1 2 1.25 Somewhat Important
support
services
Xác định sứ mệnh/quy trình kinh doanh và
mức độ quan trọng của việc phục hồi Xác định mức độ quan
Determine Mission/Business Processes and trọng của phục hồi
Mốc phục hồi/ lưu dự phòng

dữ liệu (Recovery point
• Khi các tổ chức xem xét mức độ quan trọng của objective - RPO)
Thời gian chết tối đa có thể
việc phục hồi, các biện pháp khôi phục chính
chấp nhận được (Maximum
thường được mô tả về mức độ phục hồi tài sản tolerable downtime - MTD)
Mốc thời gian phục hồi
trong một khung thời gian xác định, thông qua (Recovery time objective -
các tiêu chí: RTO)
Thời gian phục hồi công việc
(Work recovery time - WRT)
Mốc phục hồi dữ liệu

(Recovery point objective - RPO)
Thời điểm trước khi hệ thống bị gián đoạn
hoặc ngừng hoạt động mà tính từ thời điểm
sao lưu dữ liệu gần nhất đến thời điểm hệ
thống bị ngừng hoạt động
Thời gian chết tối đa có thể chấp nhận được

(Maximum tolerable downtime - MTD)
• Tổng thời gian mà chủ sở hữu hệ thống sẽ
chấp nhận để quy trình kinh doanh ngừng hoạt
động hoặc gián đoạn.
• MTD bao gồm tất cả các cân nhắc về tác động.
Mốc thời gian phục hồi

(Recovery time objective - RTO)
Khoảng thời gian tối đa mà tài nguyên hệ
thống có thể không còn khả dụng trước khi
có một tác động không mong muốn vào các
tài nguyên hệ thống khác, các quy trình
nghiệp vụ và MTD.
Thời gian phục hồi công việc

(Work recovery time - WRT)
• Lượng nỗ lực (được biểu thị bằng thời gian đã
trôi qua) cần thiết để làm cho các chức năng
kinh doanh hoạt động trở lại sau khi yếu tố công
nghệ trong hệ thống được khôi phục.
• Thời gian khôi phục này được xác định bởi RTO
Xác định mức độ quan
trọng của phục hồi
• Thời gian ngưng trệ tối đa có thể chấp nhận được (Maximum tolerable
downtime - MTD): Tổng thời gian chủ sở hữu hệ thống/được ủy quyền sẵn
sàng chấp nhận ngừng hoạt động hoặc gián đoạn quy trình kinh doanh/nhiệm
vụ, đã xem xét bao gồm tất cả các tác động ảnh hưởng.
• Mốc thời gian phục hồi (Recovery time objective - RTO): thời gian hệ thống
(vật lý) được phục hồi
• Mốc lưu dự phòng dữ liệu (Recovery point objective - RPO): thời gian từ
lần lưu dự phòng cuối cùng cho tới thời gian hệ thống bị ngưng trệ
• Thời gian phục hồi hoạt động (Work recovery time - WRT): thời gian cần
thiết để các chức năng kinh doanh hoạt động lại sau khi thành phần kỹ thuật
của hệ thống được khôi phục. Nó bao gồm hoạt động kiểm tra (testing) và chấp
nhận chính thức hệ thống sau kiểm tra.
Sự khác biệt giữa RPO và RTO?
RTO RPO
Xác định mức độ quan
trọng của phục hồi
Ví dụ: Nếu hệ thống bị

Các nhà lập kế hoạch nên xác định điểm tối ưu nhưng trệ lâu thì chi phí tổn
cho việc khôi phục hệ thống thông tin để: thất ngưng hoạt động cao;
• (i) đáp ứng nhu cầu khôi phục do BIA yêu cầu Muốn RTO càng ngắn thì
càng cần nhiều chi phí cho
• (ii) cân bằng giữa chi phí tổn thất do hệ thống
thiết kế và sử dụng giải
không hoạt động với chi phí tài nguyên cần thiết
pháp (nhiều giải pháp trùng
để khôi phục hệ thống.
lắp do dự phòng) và ngược
lại.
• Tính khả dụng của hệ thống bị gián đoạn càng o Những loại giải pháp này
lâu, nó sẽ càng có nhiều tác động đến tổ chức sẽ yêu cầu các site xử lý
và hoạt động của nó với chi phí tăng theo. thay thế hoàn toàn dự
• Khi các kế hoạch yêu cầu RTO ngắn hơn, các phòng và do đó sẽ có chi
phí cao hơn nhiều.
giải pháp bắt buộc thường tốn kém hơn để thiết
o Ngược lại, RTO dài hơn
kế và sử dụng. Ví dụ, nếu một hệ thống phải sẽ cho phép hệ thống khôi
được khôi phục ngay lập tức, nó sẽ có RTO phục ít tốn kém hơn
bằng 0.
Xác định sứ
mệnh/quy trình kinh
doanh và mức độ
quan trọng của việc
phục hồi
Determine
Mission/Business
Processes and
mức độ quan trọng của việc phục hồi Xác định mức độ quan
Determine Mission/Business Processes and trọng của phục hồi
1. Hãy phân tích mối quan hệ giữa RPO, RTO,

WRT, MTD?
2. Dựa vào mối quan hệ giữa RPO, RTO, WRT,

MTD, hãy cho biết nó ảnh hưởng thế nào tới quyết
định lựa chọn công nghệ phù hợp:
• cho việc lưu dự phòng
• và phục hồi hệ thống
XÁC ĐỊNH CÁC YÊU CẦU VỀ NGUỒN LỰC
Identify Recovery Resource Requirements
• Tổ chức cần xác định nguồn lực nào cần thiết
Xác định các để khôi phục các quy trình và tài sản có liên
yêu cầu về quan sau khi đã tạo ra danh sách ưu tiên cho
nguồn lực các sứ mệnh và quy trình kinh doanh của
Identify Resource mình.
Requirements • Tổ chức cần xác định và mô tả các nguồn lực
liên quan cần thiết để cung cấp hoặc hỗ trợ
cho mỗi quá trình và tài sản thông tin được xác
định trong giai đoạn BIA
Xác định mức độ ưu tiên của sứ mệnh và
• Cần hiểu rõ tài sản
qui trình kinh doanh
thông tin sử dụng
Xác định các yêu cầu về bởi các qui trình
nguồn lực/nguồn tài nguyên kinh doanh
• Giá trị TS thông tin
Sử dụng bảng nguồn Xác định các yêu cầu nguồn lực để khôi có thể ảnh hưởng
lực/ thành phần phục qui trình và tài sản liên quan tới đánh giá 1 qui
resource/component trình KD cụ thể
table
Xác định các ưu tiên khôi
phục nguồn lực/nguồn tài
nguyên hệ thống
• Xác định, phân loại, xác định mức độ ưu tiên bảo vệ của
nguồn lực/tài nguyên
• Dán nhãn các tài sản này (xác định, phân loại và mức độ
ưu tiên): Primary/Secondery/Tertiary. Hoặc là Critial/Very
important/Important/routine
Example Resource/Component Table (1 of 2)
Mission/Business Required Resource Additional Resource Description and Estimated

Process Components Details Costs
Provide customer support Trouble ticket and Application server w/ Each help-desk technician
(help-desk) resolution application LINUX OS, Apache requires access to the
server, and SQL organization's trouble ticket and
database resolution software application,
hosted on a dedicated server.
See current cost recovery
statement for valuation.
Provide customer support Help-desk network 25 Cat5e network The help-desk applications are
(help desk) segment drops, gigabit network networked and require a
hub network segment to access.
See current cost recovery
statement for valuation.
Michael E. Whitman and Herbert J. Mattord, Principles of Information Security, 7th Edition. © 2022 Cengage. All Rights Reserved. May not be
scanned, copied or duplicated, or posted to a publicly accessible website, in whole or in part. 68
Example Resource/Component Table (2 of 2)
Mission/Business Required Resource Additional Resource Description and Estimated

Process Components Details Costs
Provide customer support Help-desk access 1 laptop/PC per The help-desk applications
(help desk) terminals technician, with Web- require a Web interface on a
browsing software laptop/PC to access. See
current cost recovery statement
for valuation.
Provide customer billing Customized accounts Application server with Accounts Receivable requires
receivable application Linux OS, Apache access to its customized AR
server, and SQL software and customer
database database to process customer
billing. See current cost
recovery statement for
valuation.
Xác định các ưu tiên phục hồi cho
nguồn lực/ tài nguyên hệ thống
System Resource Recovery Priorities
• Tạo 1 bảng phân tích trọng số theo
từng nguồn lực yêu cầu trong từng
Xác định các ưu tiên phục qui trình
hồi cho tài nguyên hệ thống
Identify Recovery Priorities for • Phân loại các mức độ ưu tiên:
System Resources
Primary/ Secondery/ Tertiary hay
Critial/ Very important/ Important/
Routine
Nội dung

phòng

74
Lập kế hoạch ứng phó sự cố
Incident Response Planning
• Sự cố (Incident) là sự kiện bất lợi
(adverse event) có biểu hiện gây thiệt hại
cho tài sản thông tin nhưng chưa đe dọa
những hoạt động như dự định ban đầu
của tổ chức.
Lập kế hoạch ứng
phó sự cố • Sự cố an toàn thông tin được nhận diện
nếu các sự kiện bất lợi có các đặc điểm”
Incident Response
Planning o Nhắm tới các tài sản thông tin.
o Có một cơ hội thực sự thành công
o Đe dọa đến tính bảo mật, tính toàn vẹn
hoặc tính sẵn có của các tài nguyên và tài
sản thông tin.
• Ứng phó sự cố (Incident response IR)
là một tập hợp gồm lập kế hoạch và
chuẩn bị các nỗ lực để phát hiện, phản
ứng với và khôi phục các sự cố.
Lập kế hoạch ứng • Lập kế hoạch ứng phó sự cố (Incident

response planning IRP) là hành động
phó sự cố được thực hiện bởi hoạt động quản lý
Incident Response cấp cao để phát triển và thực hiện chính
Planning sách phản ứng sự cố, kế hoạch và phát
triển đội phản ứng sư cố an toàn máy
tính.
• Kế hoạch ứng phó sự cố (Incident
response plan IR Plan) là hồ sơ kết quả
của hoạt động lập kế hoạch phản ứng sự
cố. Kế hoạch này phải trình bày được
các nỗ lực dự định của tổ chức khi sự cố
xẩy ra.
• Đội ứng phó sự cố an toàn máy tính

Lập kế hoạch ứng (Computer security Incident response
team CSIRT) là một đội ứng phó sự cố
phó sự cố gồm kỹ thuật IT, quản lý IT và chuyên gia
Incident Response an toàn thông tin, được thành lập để
Planning phát hiện, phản ứng với và khôi phục sự
cố. Vài thành viên chủ chốt của đội lập
kế hoạch sự cố (IRPT) có thể là thành
viên của CSIRT
• Lập kế hoạch ứng phó sự cố
(Incident response planning) bao
gồm việc xác định, phân loại sự cố
và ứng phó với nó.
• Kế hoạch IR được tạo thành từ các
hoạt động mà các hoạt động này
Lập kế hoạch ứng phải được thực hiện khi một sự cố
phó sự cố đã được xác định.
Incident Response • Nếu một hành động đe dọa thông tin
Planning xảy ra và được hoàn thành, nó được
phân loại là một sự cố.
• Denial of Service (DoS): an attack that prevents
or impairs the authorized use of networks,
systems, or applications by exhausting resources
• Malicious Code: a virus, worm, Trojan horse, or
other code-based malicious entity that
Specific types of successfully infects a host
incidents • Unauthorized Access: a person gains logical or
physical access without permission to a network,
system, application, data, or other IT resource
• Inappropriate Usage: a person violates
acceptable use of any network or computer
policies
NIST’s Special Publication • Multiple Component: a single incident that
800-61, Rev. 2, p11 encompasses two or more incidents; for example,
a malicious code infection leads to unauthorized
access to a host, which is then used to gain
unauthorized access to additional hosts.
• Kế hoạch IR tập trung vào việc phát
hiện và khắc phục ảnh hưởng của sự cố
đối với tài sản thông tin.
• IR mang tính phản ứng/ đối phó hơn là
chủ động phòng ngừa, ngoại trừ việc
lập kế hoạch phải thực hiện để chuẩn bị
Lập kế hoạch cho các nhóm ứng phó sự cố an ninh
ứng phó sự cố máy tính (Computer Security Incident
Response Teams - CSIRTs) để phản
Incident Response ứng với một sự cố.
Planning • Trong khi nhóm lập kế hoạch IR phát
triển các kế hoạch để ứng phó với một
sự cố, CSIRT sẽ thực hiện các kế hoạch
đó, phản ứng với các sự cố trong thế
giới thực hàng ngày
Đội quản lý lập kế hoạch
dự phòng (CPMT)
Thành
lập
Chính sách phản ứng sự cố
Đội lập kế hoạch ứng Xây
phó sự cố (IRPT) dựng
Thành
lập
Đội ứng phó sự cố an

toàn máy tính (CSIRT)
IR bao gồm bốn giai đoạn sau:
Thành lập đội CMPT
• Lập kế hoạch (planning)
Phát triển chính sách CP (lập • Phát hiện (detection)
kế hoạch dự phòng)
• Đáp trả (reaction)
Thực hiện phân tích ảnh • Phục hồi/khôi phục (Recovery)
hưởng kinh doanh – BIA
NIST phát triển Khuôn Mẫu An

Ninh Mạng – CSF (NIST
Cybersicurity Framwork), tập
trung trong việc bảo vệ cơ sở hạ
tầng an ninh mạng, hỗ trợ cho
phương pháp luận phản ứng sự
cố
NIST Cybersecurity Framework
• Xác định (Identify): Liên quan tới
quản lý và quản trị rủi ro
• Bảo vệ (protect): Liên quan tới triển
khai các kiểm soát an toàn hiệu quả
(chính sách; giáo dục; huấn luyện và
nhận thức; và công nghệ)
• Phát hiện (Detect): Liên quan tới xác
định các sự kiện bất lợi
• Phản ứng (respond): Liên quan tới
hành động đáp trả khi sự cố xẩy ra
• Khôi phục (recover): Liên quan tới
việc trả lại tình trạng bình thường
• Chính sách ứng phó sự cố
• Lập kế hoạch cho sự cố có thể
Lập kế hoạch xảy ra
ứng phó sự cố • Lập kế hoạch ứng phó sự cố
Incident Response • Phát hiện sự cố
Planning
• Phản ứng sự cố
• Khôi phục sau sự cố
Chính sách ứng phó sự cố
Incident Response Policy
Chính sách ứng phó sự cố (IR Chính sách cần xây dựng để:
policy) là bản hướng dẫn việc phát
• Tất cả các thành viên trong tổ chức, các
triển và thực hiện kế hoạch ứng phó
bên liên quan đều hiểu được rõ ràng;
sự cố; và hướng dẫn hình thành,
• Đảm bảo được sự hỗ trợ của quản lý cấp
thực hiện hoạt động của đội phản
cao và của 3 nhóm có lợi ích liên quan
ứng sự cố
Nội dung chính sách IR
• Tuyên bố cam kết quản lý • Cơ cấu tổ chức và định nghĩa về

• Mục đích và mục tiêu của chính sách vai trò, trách nhiệm và mức độ
quyền hạn.
• Phạm vi của chính sách (chính sách
áp dụng cho ai, áp dụng những gì và • Xếp hạng mức độ ưu tiên hoặc mức
trong những trường hợp nào) độ nghiêm trọng của sự cố
• Đo lường thành quả
• Định nghĩa các sự cố an toàn thông
tin và các điều khoản liên quan • Biểu mẫu báo cáo và liên hệ
Nội dung chính sách IR
• Cơ cấu tổ chức và định nghĩa về vai trò, trách nhiệm và mức độ quyền hạn,
bao gồm thẩm quyền của nhóm ứng phó sự cố:
o Để tịch thu hoặc ngắt kết nối thiết bị và giám sát hoạt động đáng ngờ
o Các yêu cầu báo cáo một số loại sự cố
o Các yêu cầu và hướng dẫn về giao tiếp bên ngoài và chia sẻ thông tin
(những gì có thể được chia sẻ, với ai, khi nào, và qua những kênh nào)
o Các điểm chuyển giao và leo thang trong quá trình quản lý sự cố
Planning
Lập kế hoạch cho sự cố có thể xảy ra
Incident Planning
• Lập kế hoạch cho một sự cố đòi hỏi sự hiểu

biết chi tiết về các kịch bản được phát triển
cho BIA, từ đó nhóm lập kế hoạch IR phát
triển một loạt các câu trả lời được xác định
trước để hướng dẫn CSIRT của tổ chức và
nhân viên an toàn thông tin.
• Những phản hồi này cho phép tổ chức phản
ứng nhanh chóng và hiệu quả với sự cố được
phát hiện
Lập kế hoạch cho sự cố có thể xảy ra
Incident Planning
• Ứng phó sự cố (IR) là các biện pháp phản ứng, không phải là
một biện pháp phòng ngừa, mặc dù hầu hết các kế hoạch IR bao
gồm các khuyến nghị phòng ngừa
• Các hành động ứng phó sự cố thường bao gồm: Phát hiện,
Hành động đáp trả và Khôi phục
• Cần lập 3 bộ quy trình xử lý sự cố: tập trung phân chia trách
nhiệm trong các hành động phản ứng sự cố trong sự cố, trước
sự cố và sau sự cố
• Các qui trình này cần được lập hồ sơ rõ ràng và nó là một phần
trong kế hoạch ứng phó sự cố
Planning
Theo NIST (SP 800-61, Rev2), một kế hoạch
ứng phó sự cố bao gồm (p188)
• Sứ mệnh (mission)
• Chiến lược và mục tiêu
• Phê duyệt của quản lý cấp cao
• Cách tiếp cận của tổ chức đối với ứng phó sự cố
• Cách truyền thông của đội ứng phó sự cố
• Các chỉ số đo lường năng lực và hiệu quả ứng phó sự cố
• Lộ trình hoàn thiện năng lực ứng phó sự cố
• Cách để chương trình phản ứng sự cố phù hợp với tổ chức trong tổng thể
CIO, CISO, hoặc người quản lý

Nhân sự liên quan: đội CP CNTT có trách nhiệm bảo mật
thường chịu trách nhiệm tạo Kế
hoạch phản ứng sự cố (IR)
• Kế hoạch IR cần hỗ trợ truy cập thông tin được yêu cầu một cách nhanh chóng và
dễ dàng.
• Biện pháp đơn giản nhất là tạo một thư mục các sự cố.
• Để ứng phó với một sự cố, người ứng cứu chỉ cần mở bìa, lật đến phần thích hợp
và làm theo các quy trình được vạch ra rõ ràng cho một vai trò được giao.
• Các nhà lập kế hoạch phải phát triển các thủ tục chi tiết cần thiết để hướng dẫn
ứng phó với mỗi sự cố (bao gồm các hành động cần thực hiện trước/trong/sau khi
xảy ra sự cố)
Incident Handling Checklist from NIST SP
800-61, Rev. 2 (1 of 3)
Action Completed
Detection and Analysis
1. Determine whether an incident has occurred
1.1 Analyze the precursors and indicators
1.2 Look for correlating information
1.3 Perform research (e.g., search engines, knowledge base)
1.4 As soon as the handler believes an incident has occurred, begin
documenting the investigation and gathering evidence
2. Prioritize handling the incident based on the relevant factors
(functional impact, information impact, recoverability effort, etc.)
3. Report the incident to the appropriate internal personnel and
external organizations
800-61, Rev. 2 (2 of 3)
Action Completed
Containment, Eradication, and Recovery
4. Acquire, preserve, secure, and document evidence
5. Contain the incident
6. Eradicate the incident
6.1 Identify and mitigate all vulnerabilities that were exploited
6.2 Remove malware, inappropriate materials, and other components
6.3 If more affected hosts are discovered (e.g., new malware infections),
repeat the Detection and Analysis steps (1.1, 1.2) to identify all other
affected hosts, then contain (5) and eradicate (6) the incident for
them
800-61, Rev. 2 (3 of 3)
Action Completed
7. Recover from the incident
7.1 Return affected systems to an operationally ready state
7.2 Confirm that the affected systems are functioning normally
7.3 If necessary, implement additional monitoring to look for future
related activity
Post-Incident Activity
8. Create a follow-up report
9. Hold a lessons learned meeting (mandatory for major incidents,
optional otherwise). While not explicitly noted in the NIST
document, most organizations will document the findings from this
activity and use it to update relevant plans, policies, and procedures.
Planning
• Phát hiện sự cố (incident detective) là việc
xác định và phân loại sự kiện bất lợi xem nó
có cấu thành sự cố hay không.
• Phân loại sự cố là việc kiểm tra các sự kiện
bất lợi và xác định liệu nó có trở thành sự cố
Phát hiện sự cố hay không.
• Việc phát hiện sự cố là thách thức khó khăn
Incident Detection
nhưng quan trọng vì khi xác định và phân loại
đúng cách sự cố thực tế, các thành viên của
nhóm phản ứng sự cố mới có thể thực hiện
hiệu quả các quy trình tương ứng từ kế
hoạch ứng phó sự cố (IR plan)
• Các chỉ báo sự kiện bất lợi có khả năng trở
Phát hiện sự cố thành sự cố (possible Indicators):
Incident Detection o Xuất hiện các tập tin không quen thộc
o Xuất hiện hoặc thực hiện các chương trình
hoặc qui trình không biết
o Sử dụng các nguồn lực /tài nguyên HT môt
cách bất thường
o Hệ thống bị treo bất thường.
• Các chỉ báo sự kiện bất lợi có khả năng cao
Phát hiện sự cố xảy ra (probable indicators):
o Hoạt động vào những thời điểm không
Incident Detection
mong muốn
o Sự hiện diện của các tài khoản mới
o Các cuộc tấn công được báo cáo
o Thông báo từ IDPS (intrusion detection and
prevention systems - hệ thống ngăn chặn và
phát hiện xâm nhập)
Năm loại sự kiện sau đây là những dấu hiệu xác định
về sự cố (các hoạt động báo hiệu rõ ràng một sự cố
đang diễn ra hoặc đã xảy ra):
• Sử dụng các tài khoản không hoạt động
(Dormant acoounts), là các tài khoản của những
người đã nghỉ nhưng chưa xóa và không có quyền truy
cập từ xa; hoặc là các TK giả để kiểm tra hệ thống
• Thay đổi được ghi nhận trong nhật ký hệ thống:
Phát hiện sự cố Nếu có các thay đổi quyền truy cập hoặc sử dụng các hệ
thống và dữ liệu được ghi nhận trong nhật ký hệ thống
Incident Detection • Sự hiện diện của các công cụ hacker: Người quản
trị mạng sử dụng các điểm yếu tiềm ẩn của hệ thống và
các công cụ đánh giá mạng để xác định điểm yếu bảo
mật, kiểm tra sự xâm nhập vào hệ thống. Tuy nhiên, việc
sử dụng các công cụ này bị cấm tuyệt đối, chỉ trừ khi
được sự cho phép của CISO và được giám sát chặt chẽ.
• Thông báo của đối tác hoặc đồng nghiệp
• Thông báo của hacker.
Một số tình huống khác là dấu hiệu liên quan
sự cố:
• Mất tính khả dụng: Thông tin hoặc hệ thống
thông tin không sẵn sàng cho việc sử dụng
• Mất tính toàn vẹn: Thông tin/dữ liệu bị sai,
không sử dụng được
Phát hiện sự cố • Mất tính bảo mật: Thông tin bí mật, quan trọng
Incident Detection hoặc được bảo vệ bị công bố bất hợp pháp, bị
rò rỉ.
• Vi phạm chính sách của công ty về sử dụng và
bảo mật
• Vi phạm pháp luật về sử dụng hệ thống thông
tin, công bố và sử dụng thông tin
• Các cơ chế có thể phát hiện sự cố bao gồm:
o Hệ thống ngăn chặn và phát hiện xâm nhập
(dựa trên máy chủ và mạng) (IDPS)
o Phần mềm phát hiện vi rút
o Quản trị viên hệ thống
o Người dùng cuối
5.3.4 Phát hiện sự cố
Incident Detection
ứng phó sự cố • Bản kế hoạch ứng phó sự cố
Planning
Phản ứng sự cố
Incident Reaction
• Phản ứng sự cố bao gồm các hành động được nêu

trong kế hoạch IR hướng dẫn tổ chức nỗ lực ngăn
chặn sự cố, giảm thiểu tác động của sự cố và cung
cấp thông tin để khắc phục
• Được thực hiện đồng loạt bởi CSIRT và các nhân sự
liên quan khác ngay lập tức sau khi xác định và phân
loại sự cố.
Incident Reaction
Các bước trong phản ứng sự cố

• Thông báo của nhân sự chủ chốt
• Lập tài liệu sự cố
• Các tiếp cận lựa chọn phản ứng sự cố
• Sự leo thang của sự cố
Incident Reaction
Thông báo của nhân sự chủ chốt:
o Khi nhận được thông báo xác định sự cố từ các BP liên quan (ví dụ như người
sử dụng, quản trị viên hệ thống, phòng thông tin khách hàng v.v,), đội IRT cần
thông báo với những người chủ chốt.
o DN cần duy trì hồ sơ cảnh báo (alert roster) chứa các thông tin cần liên lạc với
những người được thông báo về sự cố
o Thông điệp cảnh báo (alert message) sẽ được gửi để cảnh báo. Thông điệp
cảnh báo gồm: mô tả sự cố hoặc thảm họa bằng thông tin gọn, đủ, rõ ràng để
hiểu được phần qui trình nào (IR hay DR) được thực hiện.
o Các nhân viên chủ chốt khác cũng phải được thông báo về sự cố chỉ sau khi sự
cố đã được xác nhận, nhưng trước khi phương tiện truyền thông hoặc các
nguồn bên ngoài khác biết về nó.
Phản ứng sự cố Theo trình tự Phân cấp
Incident Reaction Là sự kết nối cảnh Người nhận cảnh báo ban đầu
báo của từng người sẽ kết nối cảnh báo với một
với nhau theo thứ nhóm người được xác định
Thông báo của nhân sự chủ tự trong hồ sơ trong hồ sơ cảnh báo và
chốt: cảnh báo những người này lại tiếp tục
cảnh báo với những người
o Có 2 cách kích hoạt hồ sơ khác trong hồ sơ cảnh báo
cảnh báo: theo trình tự
(Consequently) và phân cấp Ưu Thông tin cảnh báo Nhanh
điểm chính xác và theo
(hierarchically).
đúng trình tự được
o Tuy nhiên, hiện đã có hệ thiết kế trước trong
thống tự động cảnh báo hỗ hồ sơ cảnh báo
trợ các phương pháp này Nhược Chậm, mất nhiều Thông tin có thể bị sai hoặc có
điểm thời gian hơn thể phá vỡ trình tự ưu tiên
nhận cảnh báo.
Lập tài liệu sự cố:
Ngay sau khi một sự cố hoặc Phản ứng sự cố
thảm họa đã được công bố,
nhân viên chủ chốt phải được Incident Reaction
thông báo và cần bắt đầu lập
hồ sơ về sự kiện đang diễn ra.
Nguyên nhân cần tài liệu hóa sự cố:

• Cho phép một đơn vị tìm hiểu những gì đã xảy ra, cách sự cố xảy ra và những hành
động đã được thực hiện. Tài liệu mô tả ai, cái gì, khi nào, ở đâu, tại sao và như thế
nào của sự kiện. Do đó, nó có thể dùng như một nghiên cứu điển hình mà tổ chức có
thể sử dụng để xác định xem các hành động đúng đã được thực hiện có hiệu quả hay
không?
• Việc ghi lại sự kiện có thể chứng minh tổ chức đã làm mọi thứ có thể để ngăn chặn sự
lây lan của sự cố nếu phản hồi được đặt ra sau đó. Từ quan điểm pháp lý, điều này
giúp bảo vệ tổ chức trong trường hợp sự cố ảnh hưởng đến các đối tượng bên trong
và bên ngoài tổ chức hoặc các tổ chức khác sử dụng hệ thống đang gặp sự cố.
• Tài liệu về sự cố có thể được sử dụng để chạy mô phỏng trong các buổi huấn luyện
trong tương lai
Incident Reaction
Các tiếp cận lựa chọn phản ứng sự cố
➢ Các chiến lược lựa chọn phản ứng sự cố tập trung
• Dừng sự cố
• Khôi phục quyền kiểm soát của các hệ thống bị ảnh hưởng
➢ Các chiến lược lựa chọn phản ứng điển hình
• Vô hiệu hóa tài khoản người dùng bị xâm phạm
• Cấu hình lại tường lửa để chặn truy cập
• Tạm thời vô hiệu hóa quy trình hoặc dịch vụ bị xâm nhập
• Gỡ bỏ các đường kết nối với ứng dụng hoặc máy chủ
• Ngắt kết nối mạng hoặc phân đoạn mạng bị ảnh hưởng
• Dừng tất cả các máy tính và thiết bị mạng.
Incident Reaction
Trường hợp sự cố bị leo thang (incident escalation)
• Sự cố trở thành thảm họa: Một sự cố có thể gia tăng về phạm
vi hoặc mức độ nghiêm trọng đến mức kế hoạch ứng phó sự
cố không thể ngăn chặn sự cố một cách thỏa đáng.
Ví dụ, cuộc tấn công từ chối dịch vụ ảnh hưởng tới 1 hệ thống
trong 1 thời gian ngắn được oi là sự cố. Khi nó leo thang ảnh
hưởng toàn tổ chức trong thời gian dài sẽ được coi là thảm
họa.
• Mỗi tổ chức sẽ phải xác định, trong quá trình phân tích tác
động kinh doanh, thời điểm mà sự cố trở thành thảm họa.
• Tổ chức phải lập hồ sơ khi có sự tham gia của những người
ứng phó từ bên ngoài.
Planning
Khôi phục sau sự cố
Incident Recovery
• Khi sự cố đã được kiểm soát và lấy lại

quyền kiểm soát hệ thống, giai đoạn tiếp
theo của kế hoạch IR là khắc phục sự cố.
Giai đoạn này của kế hoạch phải được
thực hiện ngay lập tức.
• Cũng như giai đoạn phản ứng sự cố,
nhiệm vụ đầu tiên của giai đoạn phục hồi
sự cố là xác định nguồn nhân lực cần
thiết và khởi động.
Incident Recovery
Đánh giá thiệt hại (Damage Assessment):
• Thông báo cho các nhân lực phù hợp
• CSIRT phải đánh giá toàn bộ mức độ thiệt hại
để xác định cần phải làm gì để khôi phục hệ
thống.
• Đánh giá thiệt hại: xác định phạm vi vi phạm
tính bảo mật, tính toàn vẹn và tính sẵn sàng
của thông tin và tài sản thông tin.
• Đào tạo nhân sự về cách thu thập và bảo quản
bằng chứng trong trường hợp vụ việc là một
phần của tội phạm hoặc dẫn đến một vụ kiện
dân sự.
Incident Recovery
• Việc đánh giá thiệt hại do sự cố có thể diễn ra
trong giây lát/vài ngày/vài tuần, tùy thuộc vào
mức độ thiệt hại.
• Một số nguồn thông tin có thể được sử dụng
để xác định loại, phạm vi và mức độ thiệt hại,
bao gồm:
o Nhật ký hệ thống
o Nhật ký phát hiện xâm nhập
o Nhật ký và tài liệu cấu hình
o Tài liệu từ giai đoạn ứng phó sự cố
o Kết quả đánh giá chi tiết hệ thống và lưu trữ
dữ liệu
Incident Recovery

• Sử dụng các nhật ký và tài liệu này làm cơ sở để
so sánh, nhóm IR có thể đánh giá trạng thái hiện tại
của thông tin và hệ thống. Một phần liên quan của
đánh giá thiệt hại sự cố là lĩnh vực điều tra máy
tính (computer forensics).
• Bằng chứng máy tính phải được thu thập, ghi chép
và duy trì cẩn thận để có thể sử dụng được trong
các thủ tục chính thức / không chính thức sau này.
Incident Recovery
Triết lý trong xử lý sự cố và thảm họa
• Sự cố và thảm họa bắt nguồn từ (1) một cuộc tấn công có chủ ý vào tài sản
thông tin của một cá nhân hoặc một nhóm; (2) tấn công từ một nguồn không
chủ ý (nhưng cung cấp dịch vụ; sai sót của con người; thảm họa tự nhiên)
• Tùy nguồn gốc, một tổ chức có thể lựa chọn triết lý xử lý sự cố hoặc thảm họa:
o Bảo vệ và quên (Protect and forgot) còn được gọi là "vá lỗi (patch) và tiếp tục
(proceed)”: Là triết lý tập trung vào sự bảo vệ tài sản thông tin và ngăn ngừa sự
cố tái diễn, hơn là tập trung truy tìm kẻ tấn công và truy tố
o Bắt giữ và truy tố (apprehend and prosecute), còn được gọi là “theo đuổi và
trừng phạt”: Triết lý tập trung vào truy tìm kẻ tấn công và truy tố truy tìm kẻ tấn
công và truy tố; bảo vệ tài sản thông tin và ngăn ngừa sự cố tái diễn
Incident Recovery
Qui trình khôi phục sự cố:

• Xác định các điểm yếu bảo mật dẫn tới sự cố: Giải quyết lỗ hổng
• Giải quyết các thiếu hụt hoặc kiểm soát không hiệu quả liên quan
tới sự cố: Cài đặt, thay thế hoặc nâng cấp chúng.
• Đánh giá năng lực giám sát (nếu có) và gia tăng hay cài đặt mới hệ
thống giám sát
• Khôi phục dữ liệu từ các bản sao lưu (nếu cần).
• Khôi phục các dịch vụ và quy trình đang sử dụng.
• Giám sát liên tục hệ thống.
• Khôi phục niềm tin đối với 3 nhóm liên quan (quản lý IT, InforSec;
Quản lý chung)
Incident Recovery
Phục hồi (Recovery):
Việc khôi phục hoàn toàn sau sự cố yêu
cầu các hành động sau:
• Xác định và giải quyết các điểm yếu tiềm ẩn cho
phép sự cố xảy ra và lan rộng
• Giải quyết các biện pháp bảo vệ không thể ngăn
chặn hoặc hạn chế sự cố, hoặc các biện pháp
bảo vệ không có trong hệ thống ngay từ đầu
→ cài đặt, thay thế hoặc nâng cấp các biện pháp
bảo vệ này
• Đánh giá khả năng giám sát
→ cải thiện các phương pháp phát hiện và báo
cáo hoặc cài đặt các khả năng giám sát mới
Incident Recovery
• Khôi phục dữ liệu từ các bản sao lưu
→ Việc khôi phục yêu cầu nhóm IR phải hiểu rõ
chiến lược sao lưu của tổ chức, khôi phục dữ liệu
có trong các bản sao lưu và sau đó tạo lại dữ liệu
đã được tạo hoặc sửa đổi kể từ lần sao lưu cuối
cùng
• Khôi phục các dịch vụ và quy trình đang sử dụng
→ Tiến hành kiểm tra, làm sạch và khôi phục các
dịch vụ và quy trình đang sử dụng
• Giám sát liên tục hệ thống, nếu sự cố đã xảy ra
một lần, nó có thể dễ dàng xảy ra lần nữa
→ Cần duy trì cảnh giác trong toàn bộ quá trình IR
Incident Recovery
• Khôi phục niềm tin cho các cộng đồng quan tâm
của tổ chức, nên công bố một bản ghi nhớ ngắn
nêu rõ sự cố và đảm bảo với mọi người rằng nó
đã được kiểm soát với mức thiệt hại ít nhất có
thể.
o Nếu sự cố nghiêm trọng/ làm hỏng hệ thống
hoặc dữ liệu, cần động viên người dung rằng
hoạt động sẽ trở lại bình thường trong thời
gian ngắn.
o Mục tiêu không phải là để xoa dịu hay nói dối,
mà là để ngăn chặn sự hoảng loạn hoặc nhầm
lẫn gây ra gián đoạn thêm cho hoạt động của
tổ chức
Incident Recovery
Phục hồi (Recovery)
Tiến hành đánh giá lại sau thực hiện
(after-action review – AAR):
• Tất cả các thành viên trong nhóm IR xem xét các ghi chú,
các hành động của họ trong sự cố và xác định các khu vực
mà kế hoạch IR đã hoạt động không hiệu quả hoặc cần
được cải thiện.
• Cách tiếp cận này cho phép các thành viên trong nhóm cập
nhật kế hoạch IR trong khi những thay đổi cần thiết vẫn còn
mới và lưu rõ trong tâm trí họ.
• AAR cần được tài liệu hóa thành văn bản phục vụ huấn
luyện cho nhân viên trong tương lai.
• AAR xem như tài liệu nghiệm thu cho biết các hành động
của nhóm IR đã hoàn thành
Incident Recovery
Phương tiện sao lưu (Backup Media):

Planning
Nội dung

phòng

128
Lập Kế hoạch khôi phục thảm họa
Disaster Recovery Planning (DRP)
Khái niệm thảm họa
• Một sự kiện có thể được phân loại là một thảm họa khi một
tổ chức không thể giảm thiểu tác động của sự cố đó
Lập kế hoạch trong khi nó đang xảy ra và mức độ thiệt hại nghiêm
trọng đến mức tổ chức không thể phục hồi nhanh chóng.
phục hồi sau • Sự khác biệt giữa một sự cố và một thảm họa có thể rất
thảm họa nhỏ; nhóm lập kế hoạch dự phòng phải phân biệt được cả
hai, điều này có thể không thực hiện được cho đến khi một
Disaster Recovery cuộc tấn công xảy ra.
Planning (DRP) • Thông thường, một sự kiện ban đầu được phân loại là một
sự cố sau đó có thể được xác định là một thảm họa.
• Khi điều này xảy ra, tổ chức phải thay đổi phản ứng và
đảm bảo bảo toàn giá trị các tài sản có giá trị nhất của
Phụ lục 3 mình trong dài hạn → Lập kế hoạch DR
Phân loại thảm họa
Việc phân loại thảm

họa được thực hiện
bởi quản lý IT cấp Phân loại theo nguồn gốc gây thảm họa
cao hoặc quản lý an • Thảm họa thiên nhiên/tự nhiên: bão lụt, lửa
toàn thông tin làm
việc gần với CSMT • Thảm họa do con người gây ra, ví dụ: xâm
hoặc lãnh đạo của nhập của hacker; phần mềm độc hại..
đội lập kế hoạch khắc
phục thảm họa
Phân loại thảm họa
Phân loại theo tỷ lệ xảy ra thảm họa

• Thảm họa khởi phát nhanh (Rapid-onset disasters): Thảm họa xẩy ra
đột ngột, ít được cảnh báo, có thể gây chết người và phá hủy các
phương tiện sản xuất
• Thảm họa khởi phát chậm (Slow-onset disasters): Thảm họa xảy ra
theo thời gian và làm suy giảm dần dần khả năng của một tổ chức để
chống lại các tác động của thảm họa. Ví dụ: nguyên nhân thiên nhiên
như hạn hán, đói kém dần ảnh hưởng chết đói; đại dịch Covid 19 xẩy
ra trong năm 2020 bởi vì quá trình dịch và hậu quả được truyền thông
toàn cầu theo dõi
Lập kế hoạch • Kế hoạch DR là quá trình chuẩn bị cho một tổ chức xử
lý thảm họa và phục hồi sau thảm họa (thảm họa do tự
phục hồi sau nhiên / con người).
thảm họa • Điểm nhấn chính của kế hoạch DR là thiết lập lại hoạt
Disaster Recovery động tại vị trí site chính (địa điểm tổ chức thực hiện
Planning (DRP) hoạt động kinh doanh của mình).
• Mục tiêu của kế hoạch là làm cho mọi thứ trở nên
toàn vẹn hoặc như trước khi thảm họa xảy ra
Kế hoạch khắc phục thảm họa (DR Plan) là hồ sơ được
Lập kế hoạch tạo ra từ việc lập kế hoạch khắc phục thảm họa (DRP);
nó trình bày các nỗ lực dự định của tổ chức khi thảm họa
phục hồi sau xẩy ra, cụ thể:
thảm họa • Khôi phục tài sản thông tin có thể cứu vẫn được sau
Disaster Recovery thảm họa
Planning (DRP) • Mua hoặc yêu cầu thay thế các tài sản thông tin từ các
nguồn phù hợp
• Thiết lập lại các chức năng của tài sản thông tin tại địa
điểm chính của tổ chức (địa điểm thường sử dụng
hoặc địa điểm mới)
Lập kế hoạch
phục hồi sau
thảm họa • Kế hoạch phục hồi sau thảm họa (The DR Plan)
Disaster Recovery • Hoạt động phục hồi (Recovery Operations)
Planning (DRP)
Đội quản lý lập kế hoạch dự phòng (CPMT)
Thành
lập
Nhân sự liên
quan khắc phục Đội lập kế hoạch khắc phục thảm họa
(Disaster recovery planning team- DRPT)
thảm họa
Thành
lập
Các Đội ứng phó khắc phục thảm họa

(Disaster recovery response teams – DRRTs)
Các đội ứng phó khắc phục thảm họa (Disaster
recovery response teams – DRRTs) bao gồm:
• Đội quản lý khắc phục thảm họa (DR management
Nhân sự liên team)
quan khắc phục • Đội truyền thông (Communacation team)
• Đội phục hồi máy tính (phần cứng) (Computer recovery
thảm họa (hardware) team)
• Đội phục hồi hệ thống (OS) (Systems recovery team)
• Đội phục hồi mạng (Network recovery team)
• Đội phục hồi lưu trữ (Storage recovery team)
• Đội phục hồi ứng dụng (Applications recovery team)
Các đội ứng phó khắc phục thảm họa (Disaster
recovery response teams – DRRTs) bao gồm:
Nhân sự liên • Đội Quản lý dữ liệu (Data management team)
• Đội liên lạc với nhà cung cấp (Vendor contact team)
quan khắc phục • Đội đánh giá thiệt hại và cứu hộ (Damage assessment
thảm họa and salvage
• team)
• Đội kết nối kinh doanh (Business interface team)
• Đội hậu cần (Logistics team)
• Đội khác khi cần thiết (Others team as needed)
• Tổ chức đội khắc phục thảm họa
• Phát triển tuyên bố chính sách lập kế hoạch khắc phục
Qui trình khắc thảm họa
• Xem xét lại BIA - phân tích ảnh hưởng kinh doanh.
phục thảm họa • Xác định các kiểm soát ngăn ngừa.
• Tạo chiến lược khắc phục thảm họa
• Phát triển bản kế hoạch khắc phục thảm họa (DR plan)
• Đảm bảo kiểm tra kế hoạch khắc phục thảm họa, đào
tạo và thực hành.
• Đảm bảo duy trì kế hoạch khắc phục thảm họa
• Được xây dựng từ (1) Đội Khắc Phục Thảm Họa (2)
hoặc Đội Quản Lý Kế Hoạch Dự Phòng (CPMT)
Chính sách phát triển rồi sau đó chuyển xuống cho Đội Khắc
Phục Thảm Họa.
khắc phục thảm
họa • Là hồ sơ hướng dẫn việc xây dựng và thực thi kế
hoạch khắc phục thảm họa cũng như hướng dẫn
hình thành và hoạt động của đội khắc phục thảm
họa.
• Mục đích: Tuyên bố rõ ràng về tầm nhìn thực hiện
khắc phục thảm họa
Chính sách khắc • Phạm vi
phục thảm họa • Vai trò và trách nhiệm
• Yêu cầu nguồn tài nguyên
Yếu tố chính • Yêu cầu đào tạo, huấn luyện
• Lịch trình kiểm tra và thực hành
• Lập lịch cập nhật và duy trì kế hoạch
• Các cân nhắc đặc biệt
• Có cấu trúc tương tự như kế hoạch IR, kế hoạch DR
cung cấp hướng dẫn chi tiết trong trường hợp có
Kế hoạch phục thảm họa, được sắp xếp theo loại / bản chất của
thảm họa, chỉ định các quy trình khôi phục trong và
hồi sau thảm
sau mỗi loại thảm họa.
họa • Kế hoạch DR cung cấp thông tin chi tiết về vai trò và
The DR Plan trách nhiệm của những người tham gia vào nỗ lực
DR, xác định những nhân sự và cơ quan phải được
thông báo.
• Kế hoạch DR cần được kiểm tra bằng các cơ chế
kiểm tra giống như kế hoạch IR. Ở mức tối thiểu, kế
hoạch DR phải được xem xét định kỳ trong một buổi
giới thiệu / thảo luận.
Tương tự như nhóm IR, nhóm DR bao gồm một nhóm
lập kế hoạch và một nhóm phản ứng với các quy tắc:
Kế hoạch phục • Các ưu tiên phải được thiết lập rõ ràng: Ưu tiên hàng
hồi sau thảm đầu luôn là bảo toàn tính mạng, sức khỏe, phúc lợi
con người. Chỉ sau khi tất cả nhân viên và cộng đồng
họa đã được bảo vệ an toàn, nhóm khắc phục thảm họa
The DR Plan mới có thể tham gia bảo vệ các tài sản khác (dữ liệu
và hệ thống)
• Vai trò và trách nhiệm của từng thành viên nhóm ứng
phó DR phải được phân định rõ ràng (phối hợp với
chính quyền địa phương, sơ tán nhân viên, đóng
gói,…)
Tương tự như nhóm IR, nhóm DR bao gồm một nhóm lập
kế hoạch và một nhóm phản ứng với các quy tắc:
Kế hoạch phục • Cần có người được phân công khởi tạo danh sách cảnh
báo và thông báo cho các nhân viên chủ chốt, các cơ quan
hồi sau thảm
cứu hỏa/cảnh sát/y tế /bảo hiểm/Hội Chữ thập đỏ, …
họa • Cần có người được phân công tài liệu hóa thảm họa: giống
The DR Plan như nhóm phản ứng IR, cần tiến hành ghi lại những gì đã
xảy ra để làm cơ sở cho việc xác định lý do và cách thức
thảm họa xảy ra cho các thủ tục pháp lý (nếu có) sau này
• Cố gắng giảm thiểu tác động của thảm họa đối với hoạt
động của tổ chức (sơ tán tài sản vật chất, đảm bảo tất cả
các hệ thống được tắt an toàn để tránh mất thêm dữ liệu,
…)
• Các phản ứng đối với mỗi thảm họa có thể khác nhau nên
mỗi tổ chức cần xem xét các tình huống được phát triển khi
Hoạt động phục bắt đầu lập kế hoạch dự phòng và xác định cách ứng phó.
o Nếu các cơ sở vật chất được giải thoát sau thảm họa, đội
hồi Recovery ứng phó phục hồi sau thảm họa nên bắt đầu khôi phục hệ
Operations thống và dữ liệu để thiết lập lại khả năng hoạt động đầy đủ.
o Nếu cơ sở vật chất của tổ chức không còn tồn tại, các
hành động thay thế phải được thực hiện cho đến khi có
được cơ sở vật chất mới.
• Khi một thảm họa đe dọa khả năng tồn tại của tổ chức tại
site chính, quá trình phục hồi sau thảm họa cần chuyển
sang quá trình lập kế hoạch đảm bảo hoạt động liên tục
trong kinh doanh
Nội dung

phòng

146
Nội dung

dự phòng

phòng
147
20XX
Lập Kế hoạch kinh
doanh liên tục
Business Continuity
SAMPLE FOOTER TEXT

Planning
148
Kế hoạch BC chuẩn bị cho tổ
chức để thiết lập lại/ di dời
các hoạt động kinh doanh
quan trọng bị ảnh hưởng
Kế hoạch đảm bảo trong thời gian xảy ra thảm
hoạt động liên tục họa đến hoạt động tại site
chính.
trong kinh doanh
Business Continuity Nếu một thảm họa đã khiến
Planning - BC vị trí hiện tại không thể sử
dụng được, thì phải có kế
hoạch cho phép doanh
nghiệp tiếp tục hoạt động.
Lập kế hoạch BC (BCP)
được kích hoạt và thực hiện
đồng thời với lập kế hoạch
DR (DRP) khi thảm họa kéo
Kế hoạch đảm bảo dài cần thiết:
hoạt động liên tục • BCP thiết lập lại các chức
trong kinh doanh năng quan trọng tại một
Business Continuity địa điểm thay thế
Planning - BC • DRP tập trung vào việc
thiết lập cơ sở hạ tầng kỹ
thuật và hoạt động kinh
doanh tại địa điểm chính.
Nhiều doanh nghiệp kết hợp BC
plan và DR plan trong một chức
năng gọi là Lập kế hoạch tái tục
Kế hoạch đảm bảo hoạt động kinh doanh (business
resumption planning -BRP).
hoạt động liên tục
BRP là những hoạt động được
trong kinh doanh thực hiện bởi những nhà quản
Business Continuity lý cấp cao để phát triển và thực
Planning - BC hiện một chính sách, kế hoạch
kết hợp DR và BC; và xây dựng
những đội khôi phục DR và BC
Không phải mọi doanh nghiệp
đều cần một kế hoạch/ phương
tiện như vậy.
Các công ty nhỏ hoặc các tổ
chức vững chắc về mặt tài chính
Kế hoạch đảm bảo có thể có khả năng ngừng hoạt
hoạt động liên tục động cho đến khi cơ sở vật chất
trong kinh doanh có thể được khôi phục.
Business Continuity Các tổ chức sản xuất và bán lẻ
Planning - BC có thể không có tùy chọn này vì
họ phụ thuộc vào thương mại
theo thời gian thực và có thể
không thể chuyển địa điểm hoạt
động
Qui trình này được điều chỉnh từ “hướng dẫn lập
kế hoạch dự phòng cho hệ thống thông tin liên
bang” của NIST
• Thành lập đội BC.
Qui trình lập kế • Xây dựng tuyên bố chính sách quy hoạch BC.
hoạch đảm bảo hoạt • Đánh giá, xem lại BIA.
động kinh doanh liên • Xác định các biện pháp kiểm soát phòng ngừa.
tục • Tạo chiến lược tái lập địa điểm làm việc
• Xây dựng kế hoạch BC.
• Kiểm tra kế hoạch BC, huấn luyện và thực hành
• Đảm bảo duy trì kế hoạch BC.
• Mục đích.
• Phạm vi
• Vai trò và trách nhiệm
Chính sách lập kế • Yêu cầu nguồn tài nguyên
hoạch hoạt động • Yêu cầu đào tạo, huấn luyện
kinh doanh liên tục • Lịch trình kiểm tra và thực hành
• Lập lịch cập nhật và duy trì kế hoạch
• Các cân nhắc đặc biệt
Sự cố và thảm họa
• Sau khi có kế hoạch ứng phó sự cố và khắc phục
hậu quả sau thảm họa, tổ chức cần xem xét việc
tìm kiếm các phương tiện tạm thời để hỗ trợ khả
năng tiếp tục tồn tại của mình trong thảm họa.
• Kế hoạch BC có phần đơn giản hơn để phát
Phát triển các triển so với kế hoạch IR hoặc kế hoạch DR vì nó
chương trình đảm chủ yếu bao gồm việc lựa chọn chiến lược bền
bảo hoạt động liên vững và tích hợp các chức năng lưu trữ và khôi
tục phục dữ liệu bên ngoài site (off-site) vào chiến
Developing Continuity lược này.
Programs
• Một số thành phần của kế hoạch BC, như dịch vụ
sao lưu thuê ngoài có thể giúp tổ chức hoạt động
bình thường. Các thành phần khác cần được
xem xét và thương lượng kỹ lưỡng.
• Phần đầu tiên của việc lập kế hoạch BC được thực
hiện khi kế hoạch DR / BC tích hợp chung được phát
triển.
• Việc xác định các chức năng kinh doanh quan trọng và
các nguồn lực cần thiết để hỗ trợ chúng là nền tảng
của kế hoạch BC. Khi thảm họa xảy ra, các chức năng
này là chức năng đầu tiên được thiết lập lại tại site thay
Phát triển các thế.
chương trình đảm
• Nhóm lập kế hoạch dự phòng cần chỉ định một nhóm
bảo hoạt động liên
người để đánh giá và so sánh các giải pháp thay thế
tục khác nhau và đề xuất chiến lược nào nên được lựa
Developing Continuity
chọn và thực hiện. Chiến lược được lựa chọn thường
Programs
liên quan đến một số hình thức cơ sở site bên ngoài,
cần được kiểm tra cấu hình, an toàn định kỳ.
• Việc lựa chọn cần được xem xét lại định kỳ để xác định
xem đã xuất hiện một giải pháp thay thế ưu việt hơn/ tổ
chức cần một giải pháp khác tốt hơn
Chiến lược dự phòng dữ liệu và site
Site and Data Contingency Strategies
• Khi lập kế hoạch BC, sau khi đánh giá

tính khả thi (yếu tố quyết định khi lựa
chọn chiến lược thường là chi phí),
các tổ chức có ba chiến lược để lựa
chọn:
o Hot sites
o Warm sites
o Cold sites
• Một hot site có thể hoạt động trong vài
Hot sites phút và trong một số trường hợp, nó có
thể được xây dựng để cung cấp một quy
• Là một cơ sở máy tính được cấu trình liền mạch cho người dùng hệ thống
hình đầy đủ với tất cả các dịch vụ, bằng cách chọn tải xử lý từ một trang bị
liên kết thông tin liên lạc và hoạt lỗi (seamless fail-over). Do đó, hot sites
động ở góc độ vật lý, bao gồm cả hệ là giải pháp thay thế đắt tiền nhất hiện
thống sưởi và điều hòa không khí. nay.
• Các hot sites sao chép tài nguyên • Những bất lợi của hot sites bao gồm yêu
máy tính, thiết bị ngoại vi, hệ thống cầu cung cấp bảo trì cho tất cả các hệ
điện thoại, ứng dụng và máy trạm, là thống và thiết bị tại hot sites, cũng như
đỉnh cao của lập kế hoạch dự phòng, bảo mật vật lý và thông tin.
là một cơ sở trùng khớp và chỉ cần • Nếu tổ chức cần khả năng phục hồi 24/7
sao lưu dữ liệu mới nhất kết hợp với gần như thời gian thực, thì một hot site
nhân sự để trở thành một cơ sở hoạt là lựa chọn tốt nhất
động hoàn chỉnh của bản gốc.
• Warm sites cung cấp nhiều dịch vụ và
tùy chọn tương tự như hot sites.
• Tuy nhiên, nó thường không bao gồm
Warm sites các ứng dụng thực tế mà tổ chức cần,
hoặc các ứng dụng có thể chưa được
• Một warm site thường bao gồm cài đặt và cấu hình.
thiết bị máy tính và thiết bị ngoại vi • Warm sites có nhiều ưu điểm của hot
với máy chủ, nhưng không phải sites, nhưng với chi phí thấp hơn.
máy trạm khách (client • Nhược điểm là một warm site cần nhiều
workstations). giờ/nhiều ngày để trở nên đầy đủ chức
năng phục vụ hoạt động cho tổ chức
Cold sites
• Cold sites chỉ cung cấp các dịch • Mặc dù những nhược điểm rõ ràng có
vụ và cơ sở vật chất thô sơ, không thể ngăn cản sự lựa chọn của nó, nhưng
có phần cứng máy tính hoặc thiết một cold site vẫn tốt hơn là không có gì
bị ngoại vi nào được cung cấp. để dự phòng.
• Tất cả các dịch vụ truyền thông • Ưu điểm chính của các cold sites là chi
phải được cài đặt.
phí. Tuy nhiên, một số tổ chức cảm thấy
• Về cơ bản, một cold site là một
căn phòng trống có hệ thống sưởi, việc thuê một không gian mới trong thời
máy lạnh và điện. Mọi thứ khác là gian ngắn sẽ dễ dàng hơn so với việc trả
tùy chọn. phí bảo trì cho một cold site
5.5.2 Chiến lược dự phòng dữ liệu và site
Các tổ chức cũng có ba chức năng được

chia sẻ để lựa chọn:
o Chia sẻ thời gian
o Văn phòng dịch vụ
o Thỏa thuận tương trợ
o Các giải pháp khác
o Off-site Disaster Data Storage
Chia sẻ thời gian
Time-shares
• Chiến lược chia sẻ thời gian cho phép tổ chức duy trì tùy chọn phục
hồi sau thảm họa và tính liên tục trong kinh doanh bằng cách chia sẻ
chi phí của hot site/warm site/cold site với một hoặc nhiều đối tác.
• Bất lợi chính là khả năng nhiều tổ chức tham gia vào việc chia sẻ thời
gian có thể có nhu cầu cần trang thiết bị cùng thời điểm. Những bất lợi
khác bao gồm nhu cầu cung cấp thiết bị và dữ liệu của cơ sở với tất cả
các tổ chức liên quan, các cuộc đàm phán để sắp xếp chia sẻ thời gian
và các thỏa thuận bổ sung nếu một hoặc nhiều bên quyết định hủy bỏ
thỏa thuận hoặc cho thuê lại các tùy chọn của nó.
• Chia sẻ thời gian giống như đồng ý thuê một căn hộ với một nhóm
bạn, các tổ chức tham gia cần duy trì các điều khoản hòa nhã vì họ sẽ
có quyền truy cập thực tế vào dữ liệu của nhau
Văn phòng dịch vụ
Service Bureaus
• Trong trường hợp xảy ra thảm họa, một văn phòng dịch vụ đồng ý cung
cấp các thiết bị vật lý.
• Các văn phòng này cũng thường cung cấp dịch vụ lưu trữ dữ liệu bên
ngoài có thu phí.
• Các hợp đồng có thể được tạo ra một cách cẩn thận với các văn phòng
dịch vụ để chỉ định chính xác những gì tổ chức cần mà không cần phải
đặt trước các phương tiện chuyên dụng.
• Thỏa thuận dịch vụ thường đảm bảo không gian khi cần thiết, ngay cả khi
văn phòng dịch vụ phải có thêm không gian trong trường hợp có thảm
họa lan rộng.
• Điểm bất lợi của văn phòng là một dịch vụ và phải được thương lượng lại
theo định kỳ. Ngoài ra, việc sử dụng một văn phòng dịch vụ có thể khá
tốn kém.
Thỏa thuận tương trợ
Mutual Agreements
• Các thỏa thuận tương trợ quy định rằng các tổ chức tham gia mà không bị
ảnh hưởng bởi thảm họa có nghĩa vụ cung cấp các phương tiện, nguồn lực
và dịch vụ cần thiết cho đến khi tổ chức tiếp nhận có thể phục hồi sau thảm
họa.
• Kiểu sắp xếp này giống như chuyển đến ở với người thân hoặc bạn bè: không
mất nhiều thời gian để bạn có thể nhận được sự chào đón của bạn bè.
• Vấn đề với cách tiếp cận này là nhiều tổ chức chùn bước trước ý tưởng phải
tài trợ các dịch vụ và tài nguyên trùng lặp cho các bên khác, ngay cả trong
ngắn hạn.
• Sự sắp xếp là lý tưởng nếu các thỏa thuận chung được tiến hành giữa các bộ
phận của cùng một công ty mẹ, giữa các tổ chức cấp dưới và cấp trên, hoặc
giữa các đối tác kinh doanh lâu dài có thể là một giải pháp hiệu quả về chi phí
Các giải pháp khác
Other Options
• Một trong những tùy chọn mới nhất có sẵn như một giải pháp thay
thế chuyên biệt được gọi là phục hồi sau thảm họa dưới dạng dịch
vụ (Disaster Recovery as a Service - DRaaS).
• DRaaS liên quan đến việc sử dụng các dịch vụ điện toán đám mây
như một phần của thỏa thuận dịch vụ với bên thứ ba.
• Với DRaaS, tổ chức chỉ cần truy cập dữ liệu của mình (được sao
lưu thường xuyên ở bên thứ ba thuê ngoài) để phục hồi hoạt động,
trong khi nhân viên có thể bắt đầu làm việc từ bất cứ đâu, gần như
không có nhu cầu về văn phòng trang bị vật lý tạm thời, đắt tiền cho
tổ chức.
• Giải pháp thay thế này cần được xem xét khi đánh giá các lựa chọn
chiến lược
Chiến lược dự phòng dữ liệu và site
Các tổ chức cũng có ba chức năng được

chia sẻ để lựa chọn:
o Chia sẻ thời gian
o Văn phòng dịch vụ
o Thỏa thuận tương trợ
o Các giải pháp khác
o Off-site Disaster Data Storage
Nội dung

dự phòng

phòng
168
Mối quan hệ của các
thành phần trong lập kế
hoạch dự phòng
Incident Response and Disaster Recovery
Disaster Recovery and Business Continuity
Planning
Contingency Planning Implementation
Timeline
Nội dung

dự phòng

phòng
173
Quản lý
khủng hoảng
Crisis
Management
Quản lý khủng hoảng Crisis
Management
• Thảm họa có quy mô lớn hơn và ít được quan tâm

quản lý hơn sự cố, nhưng quy trình lập kế hoạch cho • Các hành động được thực hiện
cả hai đều giống nhau và trong nhiều trường hợp được trong và sau thảm họa được
tiến hành đồng thời.
gọi là quản lý khủng hoảng.
• Điểm phân biệt một sự cố với một thảm họa là hành
động của các đội ứng phó.
• Quản lý khủng hoảng khác hẳn
• Một đội ứng phó sự cố thường chạy đến các trạm trực với ứng phó sự cố, vì nó tập
hoặc đến văn phòng từ nhà. Hành động đầu tiên là đạt trung đầu tiên và quan trọng
được kế hoạch IR. nhất vào những người có liên
• Một nhóm ứng phó khắc phục thảm họa có thể không quan. Nhóm khắc phục thảm
có đủ điều kiện để mở tập tài liệu xem xét những gì họa làm việc chặt chẽ với nhóm
phải làm cho nên họ cần phải biết rõ vai trò của họ mà
quản lý khủng hoảng
không cần bất kỳ tài liệu hỗ trợ nào.
Management
Nhân sự
• Đội lập kế hoạch quản lý khủng hoảng (Crisis
management planning team) - CMPT, nên
bao gồm những người từ tất cả các vùng
chức năng của tổ chức để tạo điều kiện giao
tiếp và hợp tác
• Đội ứng phó quản lý khủng hoảng (Crisis
management response team) - CMRT, do
CMPT thành lập
Management
• Hỗ trợ nhân sự và những người thân của họ

trong thời kỳ khủng hoảng
• Thông báo cho công chúng về sự kiện và các Đội quản lý khủng hoảng
hành động được thực hiện để đảm bảo sự (CMPT & CMRT) chịu trách
phục hồi của nhân sự và tổ chức nhiệm quản lý sự kiện từ góc
• Truyền thông với các khách hàng lớn, nhà độ của tổ chức và bao gồm các
cung cấp, đối tác, cơ quan quản lý, tổ chức hoạt động chính sau:
trong ngành, giới truyền thông và các bên
quan tâm khác
Management
• Xác minh và kiểm tra tình trạng nhân sự liên quan

của doanh nghiệp. Đảm bảo tất cả mọi người, kể
cả người vắng mặt do nghỉ phép, đang đi công tác Đội lập kế hoạch quản lý khủng
đều biết trách nhiệm của mình hoảng (CMPT) nên thiết lập
• Khởi động danh sách cảnh báo (alert roster). Sử sớm một cơ sở hoạt động hoặc
dụng để liên lạc và truyền đạt công việc, nhiệm vụ trung tâm chỉ huy gần nơi xẩy
ra thảm họa và tập trung 3 vấn
• Hợp tác với các dịch vụ khẩn cấp: cứu hỏa, cảnh
đề:
sát, cứu hộ, cấp cứu v.v.. Khi cần ứng cứu người
bị thương, thiệt mạng …
Quản lý khủng hoảng
Crisis Management
Nhóm ứng phó quản lý khủng hoảng chịu trách • Thông báo cho công chúng về
nhiệm quản lý sự kiện từ góc độ của tổ chức và sự kiện và các hành động
được thực hiện để đảm bảo
bao gồm các hoạt động chính sau:
sự phục hồi của nhân sự và tổ
• Hỗ trợ nhân sự và những người thân của chức
họ trong thời kỳ khủng hoảng • Liên lạc với các khách hàng
• Xác định tác động của sự kiện đối với lớn, nhà cung cấp, đối tác, cơ
hoạt động kinh doanh bình thường và quan quản lý, tổ chức trong
ngành, giới truyền thông và
nếu cần, đưa ra tuyên bố về thảm họa
các bên quan tâm khác
Management
Một số lĩnh vực chính của quản lý khủng hoảng

bao gồm:
• Xác minh số lượng người đứng đầu
• Kiểm tra danh sách cảnh báo
• Kiểm tra thẻ thông tin khẩn cấp
Quản lý khủng hoảng cần cân bằng nhu cầu
của nhân viên với nhu cầu của tổ chức trong
việc cung cấp nhân sự hỗ trợ tại nhà khi có
thảm họa
Nội dung

dự phòng

phòng
181
Thử nghiệm kế
hoạch dự phòng
Testing Contingency
Plans
Thử nghiệm kế hoạch dự phòng
Kiểm tra (Testing)

• Một kế hoạch chưa được kiểm tra không phải là một kế hoạch
hữu ích.
• Ngay cả khi một tổ chức có một kế hoạch IR hiệu quả trên giấy
Hãy đọc sách p217 tờ, các thủ tục này có thể không hiệu quả trừ khi đã được thực
để giải thích các hành hoặc thử nghiệm.
chiến lược kiểm tra • Một kế hoạch có thể được kiểm tra theo nhiều cách khác nhau
bằng cách sử dụng một hoặc nhiều chiến lược kiểm tra.
Kiểm tra (Testing):
Bốn chiến lược kiểm tra phổ biến
1. Kiểm tra tại bàn (Desk check): 2. Structured walk-through:

Kế hoạch dự phòng được kiểm tra Mỗi người liên quan thực hành các
tại bàn bởi tất cả các thành viên có bước mà họ sẽ thực hiện trong một
vai trò và nhiệm vụ liên quan trong sự kiện thực tế
quản lý sự cố, thảm họa → Thảo luận nhóm về các hành động
cần thiết tại từng địa điểm và thời
điểm, về cách họ sẽ hành động khi sự
cố diễn ra
Thử nghiệm (Testing):
Bốn chiến lược thử nghiệm phổ biến
3. Mô phỏng (Simulation):
• Mỗi người liên quan làm việc riêng lẻ (không thảo luận nhóm), mô phỏng
việc thực hiện từng nhiệm vụ cần thiết để phản ứng và phục hồi sau một
sự cố mô phỏng.
• Mô phỏng dừng lại ở các nhiệm vụ vật lý được yêu cầu, chẳng hạn như
cài đặt bản sao lưu hoặc ngắt kết nối mạch liên lạc.
• Sự khác biệt chính giữa walkthrough và mô phỏng là sự độc lập của từng
người thực hiện khi họ làm việc với nhiệm vụ của riêng họ và chịu trách
nhiệm xác định lỗi trong quy trình của riêng họ
Thử nghiệm (Testing):
Bốn chiến lược thử nghiệm phổ biến
4. Gián đoạn hoàn toàn (Full interruption):

• Cách thức kiểm tra cuối cùng, toàn diện và thực tế nhất là phản ứng với
một sự cố giả lập như thể nó là thật.
• Trong thử nghiệm gián đoạn hoàn toàn, các thành viên trong nhóm tuân
theo mọi quy trình, bao gồm cả việc gián đoạn dịch vụ, khôi phục dữ
liệu từ các bản sao lưu và thông báo cho những người thích hợp, như
được trình bày trong các phần tiếp theo.
• Thử nghiệm này thường được thực hiện sau giờ làm việc trong các tổ
chức không có khả năng làm gián đoạn các chức năng kinh doanh
hoặc mô phỏng sự gián đoạn.
• Thử nghiệm này là phương pháp hay nhất nhưng khá rủi ro đối với
hầu hết các DN.
Nội dung

dự phòng

phòng
187
More …
• Một cuộc tấn công/ vi phạm chính sách hoặc sự cố
có thể cấu thành tình huống vi phạm pháp luật.
• Ban đầu, sự cố có thể được xem là một tai nạn,
nhưng hóa ra lại là một nỗ lực gián điệp/phá
Liên quan đến hoại/trộm cắp tài sản thông tin của tổ chức. Do đó, tổ
chức cần có bộ phận pháp lý.
thực thi pháp • Lưu ý sự tham gia của các cơ quan hành pháp có
luật những thuận lợi và khó khăn.
Law • Nếu một tổ chức phát hiện ra một hành vi phạm tội,
Enforcement thì về mặt pháp lý, tổ chức đó có nghĩa vụ liên quan
Involvement đến thực thi pháp luật, nếu không làm như vậy có
thể khiến tổ chức và các nhân viên của tổ chức
bị truy tố như một đồng phạm cho tội ác hoặc
gây trở ngại cho cuộc điều tra.
• Người quản lý an toàn cần hỏi các quan chức thực
thi pháp luật các trường hợp nào tổ chức của họ cần
pháp luật can dự và giải quyết
Liên quan đến
thực thi pháp
luật
Law
Enforcement
Involvement
Thảo luận về các thuận lợi và khó khăn khi
có sự can thiệp của pháp luật và cơ quan
thực thi pháp luật trong tình huống xảy ra vi
phạm an toàn thông tin trong tổ chức.
Liên quan đến Ưu điểm Hạn chế
thực thi pháp • Thu thập và xử lý các • Đơn vị sẽ mất quyền
luật bằng chứng tốt hơn. kiểm soát hoàn toàn đối
Law Trong khi nếu đơn vị tự với chuỗi sự kiện, việc
Enforcement xữ lý thì có thể làm hư thu thập thông tin và
hại các bằng chứng máy bằng chứng cũng như
Involvement tính khi chưa được đào việc truy tố các nghi
tạo tốt phạm.
• Có thể ban hành các trát • Đơn vị có thể chỉ muốn
bắt giam (warrants and kiểm duyệt và sa thải
subpoenas) trong trường nhân viên vi phạm
hợp cần thiết nhưng họ phải đối mặt
• Chuyên nghiệp trong với cáo buộc hình sự
việc lấy lời khai từ các khi những chi tiết phức
nhân chứng, … tạp về tội ác của họ trở
thành vấn đề được
công khai

Aise c5 Edit 2023 Lms

Uploaded by

Copyright:

Available Formats

You might also like

Aise c5 Edit 2023 Lms

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Aise c5 Edit 2023 Lms

Uploaded by

Copyright:

Available Formats

CHƯƠNG 5

Lập Kế hoạch phản ứng sự

AN TOÀN THÔNG TIN KẾ TOÁN

01. Giới thiệu 02. Những vấn

03. Phân tích 04. Lập Kế 05. Lập Kế

06. Lập Kế 07. Mối quan hệ

08. Quản lý 09. Thử nghiệm

Theo công ty bảo hiểm Hartford, hơn 40 phần trăm doanh

Mối quan hệ trách nhiệm giữa các nhóm quản lý:

01. Giới thiệu 02. Những vấn

03. Phân tích 04. Lập Kế 05. Lập Kế

oCác thành phần của kế hoạch dự phòng

Tùy thuộc vào quy mô và triết

oCác thành phần của kế hoạch dự phòng

Tạo chiến lược dự phòng:

Đảm bảo kế hoạch kiểm tra, huấn luyện và luyện tập:

Đảm bảo duy trì kế hoạch:

oCác thành phần của kế hoạch dự phòng

Dựa trên 7 bước đề xuất của

oCác thành phần của kế hoạch dự phòng

Là một nhóm gồm quản lý cấp cao và các thành

• Đại diện quản lý của 3 nhóm

oCác thành phần của kế hoạch dự phòng

Giống như chính sách InfoSec của doanh

• Giới thiệu về quan điểm triết lý của nhà quản

• Kêu gọi và hướng dẫn lựa chọn các

01. Giới thiệu 02. Những vấn

03. Phân tích 04. Lập Kế 05. Lập Kế

BIA và quản lý rủi ro khác nhau thế nào?

Một điều tra và đánh giá các

Ví dụ: các hoạt động khôi phục có

• Tiến hành thu thập thông tin quan trọng về từng

Criterion Impact on Impact on Impact on Impact on Impact on

Criterion Impact on Impact on Impact on Impact on Impact on

Mốc phục hồi/ lưu dự phòng

Mốc phục hồi dữ liệu

Thời gian chết tối đa có thể chấp nhận được

Mốc thời gian phục hồi

Thời gian phục hồi công việc

Ví dụ: Nếu hệ thống bị

1. Hãy phân tích mối quan hệ giữa RPO, RTO,

2. Dựa vào mối quan hệ giữa RPO, RTO, WRT,

Mission/Business Required Resource Additional Resource Description and Estimated

Mission/Business Required Resource Additional Resource Description and Estimated

01. Giới thiệu 02. Những vấn

03. Phân tích 04. Lập Kế 05. Lập Kế

Lập kế hoạch ứng • Lập kế hoạch ứng phó sự cố (Incident

• Đội ứng phó sự cố an toàn máy tính

Đội ứng phó sự cố an

NIST phát triển Khuôn Mẫu An

• Tuyên bố cam kết quản lý • Cơ cấu tổ chức và định nghĩa về

• Lập kế hoạch cho một sự cố đòi hỏi sự hiểu

CIO, CISO, hoặc người quản lý

• Phản ứng sự cố bao gồm các hành động được nêu

Các bước trong phản ứng sự cố

Nguyên nhân cần tài liệu hóa sự cố:

• Khi sự cố đã được kiểm soát và lấy lại

Đánh giá thiệt hại (Damage Assessment):

Qui trình khôi phục sự cố: