Riview questions:

5.
Liệt kê và mô tả các nhóm thực hiện việc lập kế hoạch và thực thi các kế hoạch
và quy trình CP. Vai trò chính của mỗi nhóm là gì?
Trả lời:
Nhóm quản lý lập kế hoạch dự phòng thu thập thông tin về các hệ thống thông
tin và các mối đe dọa mà chúng phải đối mặt. Sau đó, nhóm tiến hành phân tích
tác động đến kinh doanh và tạo ra các kế hoạch dự phòng cho ứng phó sự cố,
phục hồi thảm họa và liên tục hoạt động kinh doanh.
Nhóm ứng phó sự cố quản lý và thực thi kế hoạch IR bằng cách phát hiện, đánh
giá và ứng phó với các sự cố.
Nhóm phục hồi sau thảm họa quản lý và thực thi kế hoạch DR bằng cách phát
hiện, đánh giá và ứng phó với các thảm họa và khôi phục hoạt động tại trụ sở
kinh doanh chính.
Nhóm liên tục hoạt động kinh doanh quản lý và thực thi kế hoạch BC bằng cách
thiết lập và bắt đầu hoạt động ngoài trụ sở trong trường hợp xảy ra sự cố hoặc
thảm họa.
6.
Định nghĩa thuật ngữ sự cố được sử dụng trong bối cảnh IRP. Nó liên quan đến
khái niệm ứng phó sự cố như thế nào?
Trả lời:
Một sự cố, dù là tự nhiên hay do con người gây ra, là một cuộc tấn công vào
thông tin hoặc một tai nạn. Một sự cố kích hoạt kế hoạch ứng phó sự cố.
7
Liệt kê và mô tả các tiêu chí được sử dụng để xác định xem một sự cố thực tế
đang xảy ra hay không.
Trả lời:
 Một sự cố thực tế đang xảy ra nếu:
 Tài sản thông tin là mục tiêu của cuộc tấn công
 Có khả năng cao rằng cuộc tấn công sẽ thành công
 Cuộc tấn công đe dọa đến tính bảo mật, toàn vẹn hoặc khả dụng của các
nguồn lực thông tin
8
Liệt kê và mô tả các bộ thủ tục được sử dụng để phát hiện, kiểm soát và giải
quyết một sự cố.
Trả lời:
Nhóm CP tạo ra ba bộ thủ tục để xử lý sự cố.
 Bộ thủ tục thứ nhất là những thủ tục phải thực hiện trong quá trình xảy ra
sự cố. Những thủ tục này cụ thể theo chức năng, và được nhóm lại và
giao cho các cá nhân.
 Bộ thủ tục thứ hai là những thủ tục phải thực hiện sau khi sự cố xảy ra.
Những thủ tục này cũng có thể cụ thể theo chức năng.
 Bộ thủ tục thứ ba là những thủ tục phải thực hiện để chuẩn bị cho sự cố.
Những thủ tục này bao gồm chi tiết về lịch trình sao lưu dữ liệu, chuẩn bị
phục hồi thảm họa, lịch trình đào tạo, kế hoạch kiểm tra, bản sao các thỏa
thuận dịch vụ và kế hoạch liên tục hoạt động kinh doanh.
9
Phân loại sự cố là gì?
Trả lời:
Phân loại sự cố là quá trình xem xét một sự kiện bất lợi có khả năng leo thang
thành một sự cố và xác định xem nó có cấu thành một sự cố thực tế hay không.
Việc phân loại sự cố là trách nhiệm của nhóm IR.
10
Liệt kê và mô tả các hành động cần thực hiện trong giai đoạn phản ứng với sự
cố.
Trả lời:
Các bước trong giai đoạn phản ứng với sự cố bao gồm:
 Phát hiện sự cố thông qua phân loại sự cố
 Thông báo cho nhân sự chủ chốt
 Ghi lại sự cố
 Triển khai các chiến lược kiểm soát cần thiết
 Sau đó, hoặc nâng cấp sự cố thành thảm họa hoặc bắt đầu quá trình phục
hồi sự cố.
Excercise
a. Sự cố - Một hacker xâm nhập vào mạng công ty và xóa các tập tin khỏi máy
chủ.
Các bước khôi phục:
 Cô lập và loại bỏ hacker khỏi hệ thống
 Phục hồi dữ liệu từ bản sao lưu
 Tăng cường bảo mật mạng để ngăn chặn xâm nhập trong tương lai
 Liên hệ cơ quan thực thi pháp luật nếu cần thiết
b. Sự cố - Hỏa hoạn bùng phát trong kho chứa và kích hoạt hệ thống phun nước
trên tầng đó. Một số máy tính bị hư hại, nhưng đám cháy được kiểm soát.
Các bước khôi phục:
 Kiểm tra thiệt hại và khắc phục hậu quả của hỏa hoạn
 Sửa chữa hoặc thay thế thiết bị bị hư hỏng
 Khôi phục dữ liệu từ bản sao lưu nếu cần
c. Thảm họa - Bão lốc đánh vào trạm điện địa phương, công ty sẽ mất điện từ 3-
5 ngày.
Các bước khôi phục:
Kích hoạt kế hoạch liên tục hoạt động kinh doanh.
 Chuyển sang nguồn điện dự phòng
 Di dời hoạt động kinh doanh đến địa điểm dự phòng
 Sử dụng các biện pháp thay thế trong thời gian mất điện: làm việc online;
có biện pháp dự phòng chuyển qua làm việc thủ công cho các ban như kế
toán, nhập liệu,…..
d. Sự cố - Nhân viên đình công, công ty có thể thiếu nhân sự then chốt trong
nhiều tuần.
Các bước khôi phục:
 Kích hoạt kế hoạch liên tục hoạt động kinh doanh
 Thuê nhân viên tạm thời để duy trì hoạt động
 Đàm phán với nhân viên đình công để giải quyết vấn đề
e. Sự cố - Một nhân viên bất mãn lấy trộm máy chủ quan trọng sau giờ làm.
Các bước khôi phục:
 Báo cáo vụ việc cho cơ quan thực thi pháp luật
 Yêu cầu nhân viên trả lại máy chủ
 Củng cố các biện pháp bảo mật vật lý
 Khôi phục dữ liệu từ bản sao lưu