Nối tiếp phần 1, Bài giảng Quản lý an toàn thông tin: Phần 2 tiếp tục trình bày những nội dung về hệ thống tiêu chuẩn an toàn thông tin; hệ thống tiêu chuẩn an toàn thông tin của Việt Nam; hệ thống quản lý an toàn thông tin; bộ khung quản lý an toàn thông tin; quản lý vận hành khai thác an toàn; nguyên tắc quản lý vận hành an toàn; duy trì hoạt động và khắc phụ sự cố; xây dựng kế hoạch duy trì hoạt động;... Mời các bạn cùng tham khảo!
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG ***** PHẠM HỒNG DUY BÀI GIẢNG QUẢN LÝ AN TỒN THƠNG TIN HÀ NỘI 2018 CHƯƠNG HỆ THỐNG TIÊU CHUẨN AN TỒN THƠNG TIN Trên thực tế, khơng chọn tiêu chuẩn an tồn triển khai ích lợi tiêu chuẩn Thay vào đó, cần phải xem xét bối cảnh quan/tổ chức với mục tiêu hoạt động thiết yếu phạm vi pháp lý, việc chấp hành quy định rủi ro mà quan hoạt động Tiêu chuẩn an tồn, đó, phải sử dụng cách Nếu động để thực tiêu chuẩn đơn giản chứng minh việc tuân thủ, cách tiếp cận giúp cho việc hoàn tất danh sách kiểm tra kiểm tốn đủ để có chứng nhận không loại trừ rủi ro an toàn Điều quan trọng hệ thống quản lý an tồn thơng tin phần tích hợp với quy trình tổ chức cấu trúc quản lý Bên cạnh đó, an tồn thơng tin cần xem xét thiết kế quy trình, hệ thống thơng tin biện pháp kiểm sốt Điều tối quan trọng phải xem xét tất tiêu chuẩn an toàn, hướng dẫn thực hành tốt khung công việc biến chúng thành riêng quan/tổ chức Tiêu chuẩn phải tích hợp hệ thống quản lý chất lượng quan/tổ chức để đảm bảo trì tiếp cận, có nghĩa cần phải cân nhắc việc chỉnh cấu trúc tài liệu theo yêu cầu tiêu chuẩn chọn Chương trình bày tiêu chuẩn an tồn thơng tin phổ biến giới Tổ chức tiêu chuẩn quốc tế ISO, Viện Tiêu chuẩn Công nghệ Quốc gia Mỹ NIST ban hành Chương chủ yếu giới thiệu tiêu chuẩn IS0 27000 hệ thống tiêu chuẩn NIST Phần cuối chương giới thiệu tiêu chuẩn an tồn thơng tin Việt Nam cơng bố 3.1 Hệ thống tiêu chuẩn an tồn thơng tin giới Tiêu chuẩn tài liệu xuất tổ chức công nhận, chẳng hạn Tổ chức tiêu chuẩn quốc tế (ISO) Các tài liệu giúp truyền đạt hiểu biết chung đặc điểm quy trình cần thiết để đảm bảo việc cung cấp sản phẩm dịch vụ đáng tin cậy Các tiêu chuẩn thường chi tiết cách thức yêu cầu sản phẩm hay kết cụ thể, chẳng hạn trường hợp hệ thống quản lý an tồn thơng tin, việc tích hợp quán vào tổ chức cụ thể Từ quan điểm người quản lý an tồn thơng tin, tiêu chuẩn an tồn cung cấp mơ hình tham chiếu để phát triển khả bảo mật cách thiết lập biện pháp quán để cung cấp biện pháp kiểm sốt an tồn mà chúng hiểu chấp nhận toàn quan/tổ chức Các tiêu chuẩn giúp người dùng cung cấp hệ thống kiểm chứng cách độc lập phù hợp với mục tiêu cho phép quan/tổ chức bảo đảm họ thực biện pháp đáp ứng yêu cầu luật pháp thương mại Các tiêu chuẩn cung cấp nhiều lợi ích mà người quản lý an tồn nên xem xét: 49 Tiêu chuẩn sử dụng để chứng minh cho khách hàng quan/tổ chức nghiêm túc an ninh Các tiêu chuẩn cho phép phối hợp tốt thay đổi tổ chức với tất bên liên quan việc thực tiêu chuẩn thường bắt buộc việc tuân thủ với toàn nhân Tiêu chuẩn áp dụng yêu cầu nhà cung cấp để giúp tăng cường an ninh cho chuỗi cung ứng Sản phẩm dịch vụ chứng nhận tn thủ tiêu chuẩn an tồn đạt lợi cạnh tranh khách hàng ln cảm thấy tự tin Tiêu chuẩn giúp biện pháp kiểm sốt xử lý an tồn nội quan phù hợp với đối tác, khách hàng phủ khiến cho cơng việc trở nên dễ dàng Tôn trọng tiêu chuẩn, nhiều trường hợp tuân thủ quy định, cần thiết để tăng thu hút với thị trường Điều quan trọng nhận biết tổ chức có ảnh hưởng phát triển trì tiêu chuẩn chi phối khía cạnh khác tính tốn truyền thơng mạng Phần giới thiệu số tổ chức có ảnh hưởng giới phát triển trì tiêu chuẩn cho an tồn thơng tin 3.1.1 NIST Viện Tiêu chuẩn Công nghệ Quốc gia, NIST (National Institute of Standards and Technology), quan liên bang Bộ Thương mại Hoa Kỳ Thành lập năm 1901 với tư cách Cục Tiêu chuẩn Quốc gia, NIST phòng thí nghiệm nghiên cứu khoa học vật lý liên bang Mỹ Sứ mệnh NIST "thúc đẩy đổi Hoa Kỳ khả cạnh tranh công nghiệp cách thúc đẩy khoa học đo lường, tiêu chuẩn công nghệ theo cách tăng cường an ninh kinh tế nâng cao chất lượng sống" NIST cung cấp tiêu chuẩn đo lường công nghệ mà gần tất thiết bị máy tính dựa vào Mặc dù, NIST quan không quản lý, nhiều tổ chức tôn trọng áp dụng ấn phẩm NIST NIST thực nhiệm vụ thơng qua bốn chương trình hợp tác: Các phịng thí nghiệm NIST: Các phịng thí nghiệm tiến hành nghiên cứu để thúc đẩy sở hạ tầng công nghệ Hoa Kỳ Ngành công nghiệp quốc gia sử dụng sở hạ tầng để nâng cao chất lượng sản phẩm dịch vụ Chương trình Chất lượng Quốc gia Baldrige: Chương trình quốc gia trao quyền khuyến khích xuất sắc tổ chức Hoa Kỳ bao gồm nhà sản xuất, tổ chức dịch vụ, tổ chức giáo dục, nhà cung cấp dịch vụ chăm sóc sức khỏe tổ chức phi lợi nhuận Cơ quan phấn đấu để tăng chất lượng công nhận tổ chức đạt mục tiêu chất lượng Đối tác sản xuất Hollings - Quan hệ đối tác mạng lưới trung tâm toàn quốc cung cấp hỗ trợ kỹ thuật kinh doanh cho nhà sản xuất vừa nhỏ 50 Chương trình đổi cơng nghệ - Một chương trình quốc gia khác cung cấp giải thưởng cho tổ chức trường đại học để hỗ trợ cơng nghệ mang tính cách mạng áp dụng cho nhu cầu quan trọng lợi ích quốc gia NIST trì tiêu chuẩn ấn phẩm lợi ích chung cho cộng đồng an tồn máy tính NIST thiết lập tập hợp tài liệu này, gọi loạt ấn phẩm đặc biệt dòng 800 vào năm 1990 để đảm bảo đặc trưng riêng biệt cho an tồn cơng nghệ thơng tin Các ấn phẩm công bố nỗ lực nghiên cứu hướng dẫn vấn đề an toàn máy tính quan phủ, ngành cơng nghiệp giảng dạy 3.1.2 ISO Tổ chức tiêu chuẩn hóa quốc tế (ISO) thành lập năm 1946 Đây tổ chức quốc tế phi phủ Mục tiêu phát triển xuất tiêu chuẩn quốc tế ISO, có trụ sở Geneva, Thụy Sĩ, mạng lưới gồm 163 viện tiêu chuẩn quốc gia ISO cầu nối khu vực công tư nhân Một số thành viên tổ chức phủ, số khác thuộc khu vực tư nhân Mục tiêu ISO phát triển tiêu chuẩn khơng phục vụ riêng biệt cho nhóm mà cần đạt đồng thuận ISO phấn đấu cho đồng thuận, việc lựa chọn tên tổ chức Việc tập trung vào đồng thuận khiến cho ISO thành công việc phát triển thúc đẩy tiêu chuẩn nhiều lĩnh vực ISO công bố nhiều tiêu chuẩn cho gần tất ngành cơng nghiệp ví dụ số sách tiêu chuẩn quốc tế (ISBN) tiêu chuẩn ISO Đối với người cơng nghệ thơng tin, có lẽ tiêu chuẩn ISO tiếng mơ hình tham chiếu OSI (Open Systems Interconnection) Khung tiêu chuẩn quốc tế chấp nhận điều chỉnh cách hệ thống máy tính riêng biệt giao tiếp cách sử dụng mạng 3.1.3 ICE Ủy ban Kỹ thuật Điện Quốc tế IEC (International Electrotechnical Commission) tổ chức tiêu chuẩn thường làm việc chặt chẽ với ISO IEC tổ chức ưu việt cho việc phát triển xuất tiêu chuẩn quốc tế công nghệ liên quan đến thiết bị quy trình điện điện tử Tổ chức thành lập vào năm 1906 để giải vấn đề với công nghệ mở rộng liên quan đến thiết bị điện Ngày nay, tiêu chuẩn IEC đề cập đến nhiều lĩnh vực, bao gồm: Phát điện Truyền tải phân phối điện Thiết bị điện thương mại tiêu dùng Chất bán dẫn Điện từ Pin Năng lượng mặt trời Viễn thông 51 Để đảm bảo chấp nhận quốc tế sử dụng tối đa tiêu chuẩn mình, IEC khuyến khích tham gia nhiều quốc gia Tổ chức có 72 thành viên đầy đủ, gọi Ủy ban Quốc gia (NC), IEC Năm 2001, IEC mở rộng thành viên để bao gồm nhiều quốc gia phát triển Chương trình quốc gia liên kết bao gồm 81 quốc gia nhỏ Trọng tâm IEC mở rộng kể từ thành lập, ngành công nghiệp điện điện tử thay đổi Trong lĩnh vực CNTT, gặp phải tiêu chuẩn IEC liên quan đến phần cứng máy tính phần cứng mạng Ngày nay, phần lớn trọng tâm IEC bao gồm tiêu chuẩn giải nhu cầu lượng cách chúng ảnh hưởng đến khu chức khác IEC hoạt động việc phát triển tiêu chuẩn hỗ trợ an tồn, hiệu suất, trách nhiệm mơi trường, hiệu lượng nguồn lượng tái tạo sử dụng 3.1.4 IEEE Viện Kỹ sư Điện Điện tử IEEE (Institute of Electrical and Electronics Engineers) “hiệp hội chuyên nghiệp lớn giới tiến công nghệ" Đây tổ chức phi lợi nhuận quốc tế tập trung phát triển phân phối tiêu chuẩn liên quan đến điện điện tử Với 380.000 thành viên khoảng 175 quốc gia, có số lượng thành viên lớn tổ chức kỹ thuật chuyên nghiệp giới IEEE thành lập vào năm 1963 thông qua việc sáp nhập hai tổ chức lớn tuổi hơn: Viện Kỹ sư Radio, thành lập năm 1912 Viện Kỹ sư Điện Hoa Kỳ, thành lập vào năm 1884 IEEE hỗ trợ 38 cộng đồng tập trung vào lĩnh vực kỹ thuật cụ thể bao gồm từ tính, quang phổ máy tính Mỗi cộng đồng phát triển ấn phẩm, tổ chức hội nghị, thúc đẩy hoạt động kiện để nâng cao kiến thức quan tâm lĩnh vực cụ thể IEEE cung cấp nhiều hội đào tạo giáo dục bao gồm số lớn chủ đề kỹ thuật IEEE tổ chức sản xuất tiêu chuẩn lớn Các tiêu chuẩn IEEE bao gồm nhiều ngành, bao gồm công nghệ thông tin IEEE xuất tài trợ 1.300 tiêu chuẩn dự án Tiêu chuẩn tiếng liên quan đến bảo mật thông tin họ tiêu chuẩn IEEE 802 LAN/MAN Nhóm tiêu chuẩn xác định cách loại mạng cục (LAN) giao thức mạng khu vực đô thị (MAN) hoạt động IEEE dành cho thành viên từ cộng đồng kỹ thuật đáp ứng yêu cầu nghề nghiệp định Các thành viên đầy đủ bỏ phiếu bầu cử IEEE 3.1.5 IETF Nhóm kỹ thuật Internet IETF (Internet Engineering Task Force) phát triển thúc đẩy tiêu chuẩn Internet với mục đích "làm cho Internet hoạt động tốt hơn" IETF tập trung vào khía cạnh kỹ thuật truyền thông Internet cố gắng tránh chất vấn sách kinh doanh IETF hoạt động chặt chẽ với W3C ISO, tập trung chủ yếu vào tiêu chuẩn giao thức TCP/IP Internet IETF tổ chức mở không yêu 52 cầu hội viên Tất người tham gia, kể người đóng góp lãnh đạo, tình nguyện viên IETF lần gặp mặt vào năm 1986 với tư cách nhóm gồm 21 nhà nghiên cứu muốn thức hóa giao thức truyền thơng Internet Ngày nay, IETF tập hợp nhóm làm việc WG, với nhóm giải chủ đề cụ thể Hiện có 100 WG Bởi WG có xu hướng hoạt động độc lập, IETF đặt tiêu chuẩn tối thiểu cho nhóm Mỗi WG có vị trí nhóm đồng chủ tịch điều lệ để ghi lại tập trung nhóm báo cáo dự kiến Mỗi WG có danh sách gửi thư chuyên dụng mà tham gia Các danh sách gửi thư WG đóng vai trị phương tiện truyền thơng cho người tham gia WG tổ chức họp định kỳ mở cho tất người tham gia ngồi việc tương tác thơng qua danh sách gửi thư Các yêu cầu thảo luận RFC (Request for Comments) IETF tạo Thực tế, RFC loạt tài liệu từ ghi nhớ đơn giản đến tài liệu tiêu chuẩn Mỗi phần giới thiệu RFC cho biết trạng thái Mơ hình RFC cho phép đầu vào từ nhiều nguồn khuyến khích cộng tác đánh giá ngang hàng IETF xuất hướng dẫn cho RFC Dưới vài điểm RFC: Chỉ số RFC tiêu chuẩn: Chỉ tài liệu RFC bắt đầu với cụm từ "Tài liệu định " "Tài liệu ghi nhớ " phải coi tiêu chuẩn tài liệu quy phạm RFC không thay đổi: Bất kỳ thay đổi RFC có số trở thành RFC ln tìm tài liệu RFC RFC bắt nguồn từ tổ chức khác: IETF tạo số RFC tài liệu khác đến từ nguồn độc lập ITTF(Internet Task Task Force) RFC xác định tiêu chuẩn thức có bốn giai đoạn Khi RFC chuyển từ giai đoạn sang giai đoạn tiếp theo, trở nên thức nhiều tổ chức chấp nhận Các giai đoạn sau: Tiêu chuẩn đề xuất: Giai đoạn thức ban đầu tiêu chuẩn Tiêu chuẩn dự thảo: Giai đoạn thứ hai tiêu chuẩn, sau người tham gia chứng minh tiêu chuẩn triển khai môi trường làm việc Tiêu chuẩn: Giai đoạn cuối tiêu chuẩn sau chứng tỏ việc chấp nhận triển khai cách rộng rãi Thực tiễn tối ưu: cách thức khác áp dụng thực tiễn vận hành mà khơng phải tiêu chuẩn thức 3.1.6 PCI DSS Tiêu chuẩn bảo mật liệu thẻ toán PCI-DSS (Payment Card Industry Data Security Standard) tiêu chuẩn quốc tế để xử lý giao dịch liên quan đến thẻ 53 toán Hội đồng tiêu chuẩn bảo mật thẻ toán (PCI SSC) phát triển, xuất trì tiêu chuẩn PCI DSS khác với tiêu chuẩn khác số nhà cung cấp thẻ toán lớn giới lập nên PCI DSS Những nhà cung cấp bao gồm Visa, MasterCard, Discover, American Express, Cục Tín dụng Nhật Bản Mỗi tổ chức có tiêu chuẩn riêng để bảo vệ thơng tin thẻ tốn Các tổ chức kết hợp nỗ lực cơng bố PCI DSS vào tháng 12/2004 để bảo vệ người dùng thẻ tốn khỏi gian lận Nó địi hỏi lớp điều khiển để bảo vệ tất thơng tin liên quan đến thẻ tốn xử lý, truyền lưu trữ Tiêu chuẩn áp dụng cho tất tổ chức tham gia vào quy trình xung quanh việc xử lý thẻ toán Việc tuân thủ tiêu chuẩn PCI DSS điều kiện tiên để làm kinh doanh với tổ chức thành viên Nếu tổ chức vi phạm tiêu chuẩn PCI DSS, khả xử lý thẻ tốn Trong hầu hết trường hợp, việc khơng tn thủ dẫn đến tiền phạt và/hoặc kiểm tốn thường xuyên Những người vi phạm bị thu hồi đặc quyền xử lý họ Đối với hầu hết tổ chức phụ thuộc vào thẻ toán phương thức nhận toán, việc tuân thủ yêu cầu kinh doanh 3.2 Hệ thống tiêu chuẩn ISO/IEC 3.2.1 ISO 17799 An toàn hoàn hảo đạt máy chủ khơng nối mạng nằm phịng khép kín hồn tồn an tồn thơng tin ln vấn đề cân nhắc lựa chọn cân yêu cầu hoạt động ba: bí mật, tính tồn vẹn tính sẵn dùng Quy trình an tồn thơng tin theo truyền thống dựa nguyên tắc hướng dẫn chặt chẽ tốt với mục tiêu ngăn chặn, phát vi phạm an ninh, khôi phục liệu bị ảnh hưởng trạng thái trước ISO 17799 cung cấp cách thức đo lường với biện pháp xây dựng an tồn thơng tin quan/tổ chức Nó cung cấp chế để quản lý q trình bảo mật thơng tin Đây mơ hình tham chiếu rộng rãi thường thảo luận “Information Technology – Code of Practice for Information Security Management”, công bố British Standard 7799 Quy định dùng làm chuẩn quốc tế ISO IEC tên ISO/IEC 17799 vào năm 2000 khung cho an tồn thơng tin Một số nước khơng làm theo chuẩn 17799 cho có vấn đề sau: Cộng đồng an tồn thơng tin tồn cầu chưa xác định lý lẽ cho quy định mơ tả ISO/IEC 17799 17799 thiếu “sự xác biện pháp cần thiết chuẩn kỹ thuật” Khơng có lý để tin 17799 hữu dụng biện pháp khác có 17799 chưa hoàn chỉnh khung kỹ thuật khác có 54 17799 cho chuẩn bị vội vã ảnh hưởng lên việc kiểm sốt ngành cơng nghiệp an tồn thơng tin ISO 17799 hướng tới mục tiêu sau: Hạ tầng an toàn tổ chức: Quản lý an tồn thơng tin bên tổ chức Duy trì an tồn phương tiện xử lý thơng tin tài sản thông tin truy nhập bên thứ Duy trì an tồn thơng tin trách nhiệm xử lý thơng tin th ngồi tới quan hay tổ chức khác An toàn nhân sự: Giảm thiểu rủi ro lỗi người, trộm cắp, lừa đảo hay lạm dụng thiết bị Đảm bảo người dùng nhận thức đe dọa quan tâm an tồn thơng tin trang bị để hỗ trợ cách an tồn quan trình làm việc hàng ngày Giảm thiểu tổn hại từ kiện an toàn trục trặc học hỏi từ kiện An tồn vật lý mơi trường Ngăn chặn truy nhập trái phép, hư hỏng gián đoạn tài sản thông tin quan Ngăn chặn mát, hư hỏng hay tổn hại tài sản gián đoạn hoạt động quan Ngăn chặn hư hại hay cắp thông tin phương tiện xử lý thông tin Quản lý hoạt động liên lạc Đảm bảo việc hoạt động an toàn đắn phương tiện xử lý thông tin Tối thiểu rủi ro lỗi hệ thống Bảo vệ tính tồn vẹn phần mềm thơng tin Duy trì tính tồn vẹn sẵn sàng việc xử lý thông tin liên lạc Đảm bảo việc bảo vệ thông tin mạng hạ tầng hỗ trợ Ngăn chặn tổn hại tới tài sản gián đoạn hoạt động kinh doanh Ngăn chặn việc mát, sửa đổi hay dùng sai thông tin trao đổi quan Tuân thủ/Phù hợp 55 Tránh xung đột với luật hình sự/dân sự, quy định, bắt buộc hợp đồng hay yêu cầu an ninh Đảm bảo hệ thống tuân thủ sách tiêu chuẩn an tồn quan Tối đa hiệu tối thiểu can thiệp vào/từ quy trình kiểm tốn hệ thống 3.2.2 Bộ tiêu chuẩn ISO 27000 Loạt tiêu chuẩn ISO/IEC 27000 bao gồm loạt khuyến nghị quản lý an tồn thực tiễn tốt áp dụng để giúp xây dựng hệ thống quản lý an tồn thơng tin ISMS (Information Security Management System) Nhiều người lạm dụng thuật ngữ ISMS cho tài liệu tập hợp tài liệu chi tiết tất vấn đề an toàn quan/tổ chức Điều phần song bỏ qua thực tế là, giống mô hình quy trình khác, áp dụng cho quy trình xây dựng phát triển ngữ cảnh quan/tổ chức mơ hình hồn thiện Tương tự, số khía cạnh khung bảo mật phải tùy chỉnh để đảm bảo phù hợp với nhu cầu quan/tổ chức Nếu khơng có tuỳ chỉnh này, tập hợp quy trình, thủ tục hướng dẫn cơng việc trở thành gánh nặng chi phí cho quan/tổ chức bị coi vơ ích khơng mang lại giá trị với việc đảm bảo an toàn Bất kỳ người triển khai ISO/IEC 27000 có kinh nghiệm cho thấy phần lớn việc chuẩn bị cần thiết cho ISMS tìm hiểu cách tổ chức hoạt động, vấn bên liên quan thực đánh giá rủi ro Điều làm bật mức độ chịu đựng rủi ro người điều hành điều chỉnh phù hợp với ngữ cảnh và độ phức tạp quan/tổ chức Hình giới thiệu tổng quan tiêu chuẩn ISO 27000 56 Hình 3-1 Bộ tiêu chuẩn ISO 27000 Các tiêu chuẩn tổng quan thuật ngữ: ISO/IEC 27000:2012 – Công nghệ thông tin – Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin – Tổng quan thuật ngữ Tổng quan tiêu chuẩn ISMS Giới thiệu hệ thống quản lý an tồn thơng tin Các thuật ngữ định nghĩa sử dụng ISMS Các tiêu chuẩn đưa yêu cầu: ISO/IEC 27001:2009 – Công nghệ thông tin; Các kỹ thuật an toàn;Hệ thống quản lý an tồn thơng tin; Các u cầu bao gồm Mơ hình cho việc thiết lập, triển khai, vận hành, giám sát, sốt xét, bảo trì nâng cấp hệ thống quản lý an tồn thơng tin Nội dung hệ thống quản lý an tồn thơng tin Trách nhiệm cấp quản lý Đánh giá nội hệ thống ISMS Soát xét, Cải tiến hệ thống ISMS ISO/IEC 27006:2011 – Cơng nghệ thơng tin; Các kỹ thuật an tồn; Các yêu cầu tổ chức đánh giá cấp chứng nhận hệ thống quản lý an toàn thông tin Tiêu chuẩn đưa yêu cầu thức tổ chức chứng nhận tổ chức khác tuân thủ ISO/IEC 27001 57 Hình 6-2 Chu trình quản lý hoạt động liên tục Hình 6-3 Quy trình khơi phục cố 104 6.2 Xây dựng kế hoạch trì hoạt động Mục tiêu cuối việc xây dựng kế hoạch trì hoạt động đưa phản ứng bình tĩnh, nhanh chóng, hiệu có việc khẩn cấp tăng cường khả khôi phục cách mau lẹ quan/tổ chức có cố gián đoạn Việc xây dựng kế hoạch trì hoạt động bao gồm bước chính: Lập kế hoạch phạm vi dự án Đánh giá tác động tới công việc Lập kế hoạch trì hoạt động Phê chuẩn triển khai Chi tiết bước trình bày phần sau 6.2.1 Lập kế hoạch phạm vi dự án Như với quy trình hoạt động tắc nào, việc phát triển kế hoạch trì hoạt động chắn địi hỏi phải sử dụng phương pháp chứng minh Điều địi hỏi điều sau đây: Phân tích có tổ chức hoạt động quan/tổ chức quan điểm lập kế hoạch khủng hoảng Xây dựng nhóm làm việc ban lãnh đạo phê chuẩn Đánh giá tài nguyên có cho hoạt động liên tục Phân tích yếu tố quy định luật pháp mà chi phối phản ứng quan/tổ chức có vụ khẩn cấp a Phân tích tổ chức hoạt động Một trách nhiệm cá nhân chịu trách nhiệm lập kế hoạch trì hoạt động thực phân tích tổ chức hoạt động để xác định tất phịng ban cá nhân có liên quan trình xây dựng kế hoạch Dưới số lĩnh vực cần xem xét: Các phòng ban hoạt động chịu trách nhiệm dịch vụ cốt lõi mà quan/tổ chức cung cấp cho khách hàng Các dịch vụ hỗ trợ quan trọng, chẳng hạn phận công nghệ thơng tin (CNTT), phận bảo trì nhóm khác chịu trách nhiệm bảo trì hệ thống hỗ trợ phòng ban hoạt động Giám đốc điều hành cấp cao cá nhân quan trọng khác cần thiết cho khả tồn liên tục quan/tổ chức Q trình phân tích quan trọng hai lý Đầu tiên, cung cấp tảng cần thiết để giúp xác định thành viên tiềm nhóm xây dựng kế hoạch Thứ hai, cung cấp tảng cho phần cịn lại quy trình lập kế hoạch 105 Thơng thường, phân tích tổ chức hoạt động thực cá nhân lãnh đạo nhằm xây dựng kế hoạch trì hoạt động Tuy nhiên, việc xem xét kỹ lưỡng phân tích phải nhiệm vụ giao cho nhóm xây dựng kế hoạch trì hoạt hoạt động cách đầy đủ Bước quan trọng cá nhân thực phân tích ban đầu bỏ qua chức hoạt động quan trọng mà cần thành viên nhóm BCP biết đến Nếu nhóm tiếp tục mà khơng sửa đổi phân tích tổ chức tồn q trình lập kế hoạch bị ảnh hưởng tiêu cực dẫn đến việc xây dựng kế hoạch không giải đầy đủ nhu cầu ứng phó khẩn cấp tổ chức nói chung b Xây dựng nhóm làm việc Trong nhiều tổ chức, phòng CNTT hay an ninh giao trách nhiệm cho việc lập kế hoạch trì hoạt động khơng có xếp cho việc thu thập thông tin đầu vào từ phận hoạt động hỗ trợ khác Trên thực tế, phịng ban chí khơng biết tồn kế hoạch cố hay thảm họa xảy xảy Đây lỗ hổng quan trọng: kiến thức hay chuyên gia lĩnh vực CNTT không đủ Sự phát triển kế hoạch trì hoạt động cách độc gây thảm họa theo hai cách Thứ nhất, thân kế hoạch khơng tính đến tri thức cá nhân chịu trách nhiệm cho hoạt động hàng ngày tổ chức Thứ hai, giữ yếu tố chi tiết cụ thể kế hoạch hoạt động liên tục “trong bóng tối” việc thực trở nên cần thiết Điều làm giảm khả yếu tố hoạt động tuân thủ quy định kế hoạch thực cách hiệu Việc không cho phép tổ chức thu lợi ích từ chương trình đào tạo kiểm tra cho kế hoạch Để ngăn chặn tình ảnh hưởng xấu đến trình lập kế hoạch, cá nhân chịu trách nhiệm cần đặc biệt quan tâm chọn nhóm lập kế hoạch trì hoạt động Ở mức tối thiểu, nhóm nghiên cứu nên bao gồm cá nhân sau đây: Các phòng ban chịu trách nhiệm hoạt động cốt lõi quan/tổ chức Các phòng ban hỗ trợ then chốt xác định qua việc phân tích hoạt động tổ chức CNTT có chun mơn lĩnh vực lập kế hoạch trì hoạt động Phụ trách luật pháp có hiểu biết trách nhiệm hợp đồng, quy định, luật pháp doanh nghiệp Đại diện từ ban lãnh đạo Ở góc độ khác, nhiều quan/tổ chức bị ràng buộc với luật pháp hay quy định quyền địa phương việc thực kế hoạch trì hoạt động quân đội, công an, viễn thông hay điện lực Mặt khác, quan/tổ chức bị ràng buộc với khách hàng tình khẩn cấp thể hợp đồng với khách hàng dạng thỏa thuận chất lượng dịch vụ trường hợp phá vỡ việc đảm bảo chất lượng dịch vụ 106 6.2.2 Đánh giá tác động Việc đánh giá tác động xác định tài nguyên quan trọng khả tồn liên tục quan/tổ chức mối đe dọa đặt cho tài nguyên Việc đánh giá khả mà mối đe dọa thực xảy tác động đến kiện có trình hoạt động Kết đánh giá tác động cung cấp đánh giá định lượng để ưu tiên nguồn lực cho việc trì hoạt động cho rủi ro cục bộ, khu vực, toàn cầu quan/tổ chức Các mối đe dọa mô tả thông qua: Thời gian chịu đựng tối đa gián đoạn với hoạt động Gián đoạn hoạt động suất Các đánh giá tài Trách nhiệm theo quy định Mức độ tín nhiệm (danh tiếng) a Đánh giá mức độ chắn Sau xác định danh sách mối đe dọa tiềm tàng tới việc trì hoạt động, số mối đe dọa có nhiều khả xảy mối đe dọa khác Ví dụ, quan/tổ chức vùng cao có nhiều khả phải đối mặt với nguy bị lũ lụt Để xem xét khác biệt này, giai đoạn đánh giá tác động xác định khả xảy rủi ro Để trì tính tốn qn, đánh giá thường thể dạng tỷ lệ xuất hàng năm phản ánh số lần quan/tổ chức dự kiến gặp phải cố định năm Nhóm xây dựng kế hoạch cần ngồi lại xác định mức độ chắn cho rủi ro xác định phần trước Những số phải dựa lịch sử quan/tổ chức, kinh nghiệm chuyên môn thành viên nhóm lời khuyên từ chuyên gia, chẳng hạn nhà khí tượng học, địa chấn học, chuyên gia phòng cháy chuyên gia tư vấn khác cần thiết b Đánh giá tác động Việc đánh giá rủi ro thực sở xem xét mức độ chịu đựng quan/tổ chức với rủi ro tiếp diễn Cần xác định, đánh giá ghi nhận yếu tố liên quan Các lỗ hổng với tài nguyên hoạt động nhạy cảm với thời gian Các đe dọa mối nguy với tài nguyên hoạt động khẩn cấp Đo lường mức độ, khả hay hậu việc gián đoạn dịch vụ sản phẩm then chốt Các nút cổ chai hay mức độ tập trung rủi ro đe dọa hoạt động liên tục Rủi ro việc tập trung kỹ hay khan kỹ then chốt Rủi ro nhà cung cấp bên 107 Các ý yếu tố tác động không đo đếm trực tiếp mặt tài Làm nản lịng khách hàng Mất nhân viên cơng việc bị đình trệ lâu Ảnh hưởng tiêu cực cộng đồng Mức độ rủi ro đánh giá theo công thức Rủi ro = f(Đe dọa, Tác động, Mức độ chắn) Hình 6-4 Đánh giá tài nguyên cần thiết 6.2.3 Lập kế hoạch trì Giai đoạn xây dựng kế hoạch trì hoạt động tập trung vào việc phát triển thực chiến lược trì hoạt động để giảm thiểu rủi ro có tài sản bảo vệ Việc xây dựng chiến lược trì thu hẹp khoảng cách đánh 108 giá tác động giai đoạn lập kế hoạch trì việc xây dựng kế hoạch trì hoạt động Nhóm xây dựng kế hoạch phải đưa danh sách mối quan tâm ưu tiên thông qua việc đánh giá phân tích tác động xác định rủi ro giải kế hoạch trì hoạt động Giải tất trường hợp bất thường cần thực quy định quy trình để đảm bảo khơng có thời gian dừng đối mặt với rủi ro xảy Rõ ràng, việc triển khai sách tồn diện kiểu đơn giản khơng thể Nhóm lập kế hoạch nên xem xét lại ước tính thời gian gián đoạn chịu đựng giai đoạn đầu việc đánh giá tác động xác định rủi ro coi chấp nhận phải giảm thiểu quy định trì hoạt động Khi nhóm lập kế hoạch xác định rủi ro cần giảm thiểu mức độ tài nguyên cam kết cho nhiệm vụ giảm thiểu, nhóm sẵn sàng chuyển sang xây dựng quy định quy trình giai đoạn lập kế hoạch liên tục Các quy định quy trình giai đoạn lập kế hoạch trì hoạt động cốt lõi toàn kế hoạch Nhóm lập kế hoạch thiết kế quy trình chế cụ thể nhằm giảm thiểu rủi ro coi chấp nhận giai đoạn xây dựng chiến lược Ba loại tài sản phải bảo vệ thông qua quy định quy trình người, phương tiện sở hạ tầng Trước hết, kế hoạch phải đảm bảo người quan/tổ chức an toàn trước sau tình khẩn cấp Khi đạt mục tiêu này, nhóm lập kế hoạch thực điều khoản phép nhân viên thực kế hoạch trì cơng việc họ theo cách thơng thường theo hồn cảnh Thực tế người tài sản quý giá quan/tổ chức Sự an tồn người phải ln ln trước mục tiêu hoạt động quan/tổ chức Cần đảm bảo kế hoạch trì hoạt động đưa quy định đầy đủ bảo đảm an ninh nhân viên, khách hàng, nhà cung cấp cá nhân khác bị ảnh hưởng Nhiều quan/tổ chức yêu cầu sở phương tiện chuyên môn để thực hoạt động quan trọng Đây bao gồm sở văn phòng tiêu chuẩn, nhà máy sản xuất, trung tâm hoạt động, kho, trung tâm phân phối / hậu cần, kho sửa chữa/bảo trì Khi thực đánh giá tác động cần xác định sở/phương tiện đóng vai trị quan trọng khả tồn liên tục quan/tổ chức Mặt khác, quan/tổ chức phụ thuộc vào số loại sở hạ tầng cho quy trình quan trọng Một phần quan trọng sở hạ tầng hệ thống xương sống CNTT truyền thông máy tính xử lý đơn đặt hàng, quản lý chuỗi cung ứng, xử lý tương tác khách hàng thực chức hoạt động khác Hệ thống xương sống bao gồm số máy chủ, máy trạm liên kết truyền thông quan trọng trang web Kế hoạch trì hoạt động phải giải biện pháp bảo vệ hệ thống khỏi rủi ro 109 6.2.4 Phê chuẩn triển khai Khi nhóm xây dựng kế hoạch trì hoạt động hoàn thành giai đoạn thiết kế tài liệu việc lập kế hoạch cần đạt việc phê chuẩn quản lý cấp cao kế hoạch Nếu có tham gia quản lý cấp cao suốt giai đoạn xây dựng kế hoạch hoạt động trình tương đối đơn giản Mặt khác, lần ban quản lý cấp cao tiếp cận tài liệu kế hoạch hoạt động này, nhóm xây dựng kế hoạch cần sẵn sàng để giải thích chi tiết mục đích chương trình điều khoản cụ thể Việc quản lý cấp cao tin tưởng phê duyệt cần thiết cho thành cơng kế hoạch trì hoạt động Việc xác nhận lãnh đạo cấp cao thể tầm quan trọng kế hoạch toàn tổ chức thể cam kết ban lãnh đạo trì hoạt động quan/tổ chức Sau nhận chấp thuận ban quản lý cấp cao, đến lúc tìm hiểu bắt đầu triển khai kế hoạch trì hoạt động Nhóm xây dựng kế hoạch phát triển lịch trình triển khai sử dụng nguồn lực dành riêng cho chương trình để đạt kết theo quy trình điều khoản đề cách nhanh Sau tất tài nguyên triển khai đầy đủ, nhóm nên giám sát việc thực chương trình trì hoạt động cách thích hợp để đảm bảo kế hoạch đáp ứng nhu cầu hoạt động phát triển Bên cạnh đó, đào tạo giáo dục yếu tố thiết yếu việc thực kế hoạch trì hoạt động Tất nhân viên tham gia vào kế hoạch (trực tiếp gián tiếp) nhận số dạng đào tạo kế hoạch tổng thể trách nhiệm cá nhân họ Mọi người tổ chức nhận tóm tắt kế hoạch trì hoạt động để đảm bảo cho họ niềm tin lãnh đạo xem xét rủi ro xảy với việc trì hoạt động quan/tổ chức lên kế hoạch để giảm thiểu tác động quan/tổ chức xảy cố hay thảm họa Những người có trách nhiệm trực tiếp kế hoạch trì hoạt động cần đào tạo đánh giá nhiệm vụ cụ thể họ để đảm bảo họ hồn thành kế hoạch cách hiệu thảm họa xảy Hơn nữa, cần người dự phịng nên huấn luyện cho nhiệm vụ kế hoạch trì hoạt động để đảm bảo sẵn sàng nhân bị thương đến nơi làm việc trường hợp khẩn cấp 6.3 Chiến lược khôi phục cố Trong giai đoạn chiến lược khôi phục, nhóm xây dựng tiếp cận thơng tin thu thập giai đoạn phân tích hoạt động quan/tổ chức từ góc độ thực tế Điều cần phải tìm quan/tổ chức cần làm để thực phục hồi mục xác định quan trọng quan/tổ chức nói chung Trong chiến lược trì phục hồi hoạt động mình, nhóm xây dựng thẩm tra chặt chẽ chức hoạt động quan trọng chấp thuận Sau đánh giá nhiều phương án khơi phục lưu sử dụng để phục hồi việc thực hoạt động quan trọng Điều quan trọng chọn 110 chiến thuật công nghệ phù hợp cho việc khơi phục quy trình hoạt động dịch vụ thiết yếu để đảm bảo thời gian gián đoạn chấp nhận Nhóm xây dựng cần xác định chiến lược phục hồi, thực tế tập hợp hoạt động xác định trước triển khai thực để ứng phó với thảm họa Các chiến lược khôi phục thành phần sau: Khôi phục quy trình hoạt động Khơi phục phương tiện Khơi phục nguồn cung cấp công nghệ Khôi phục môi trường người dùng Khơi phục liệu Phần trình bày chiến lược khôi phục với mục đầu 6.3.1 Khôi phục quy trình hoạt động Quy trình hoạt động tập bước liên kết với theo hành động cụ thể để hồn thành nhiệm vụ/cơng việc Nhóm lập kế hoạch hoạt động cần phải nắm bắt chi tiết quy trình thiết yếu quan/tổ chức liệu mơ tả vai trị nguồn lực cần cho quy trình này: Vai trò tài nguyên cần thiết Đầu vào Các bước luồng công việc Thời gian cần hồn thành Giao diện với quy trình khác Các thơng tin giúp cho nhóm xác định mối đe dọa biện pháp kiểm soát để giảm thiểu thời gian gián đoạn 6.3.2 Khôi phục phương tiện Việc gián đoạn hoạt động xếp vào dạng: thông thường, thảm họa, thảm họa nghiêm trọng Với gián đoạn thông thường, chiến lược khôi phục thay hay sửa chữa trang thiết bị, phần cứng hay phần mềm Với thảm họa thường nguyên nhân thiên nhiên bão tố, ngập lụt, thời gian gián đoạn tính ngày lâu Việc khơi phục phải dựa vào trang thiết bị hay phương tiện từ vị trí khác Thơng thường cần trang thiết bị sẵn sàng thay cho thiết bị/phương tiện bị gián đoạn từ vị khác với vị trí bị thảm họa Hình 6-5 mơ tả cấu hình tiêu biểu cách lưu liệu vị trí hoạt động dự phòng Thảm họa nghiêm trọng gây gián đoạn trầm trọng với phương tiện trang thiết bị, phá hủy hồn tồn phương tiện có Việc khơi phục cần biện pháp ngắn dài hạn: Ngắn hạn: sử dụng thiết bị trợ giúp từ vị trí khác Dài hạn: xây dựng sửa chữa lại phương tiện phịng ốc hay nhà xưởng 111 Hình 6-5 Vị trí hoạt động dự phịng Cơ quan/tổ chức có số lựa chọn để đối phó với nguyên nhân gây gián đoạn sở cân nhắc lợi ích/chi phí: Xây dựng vị trí dự phòng Th ngồi (outsource) Th vị trí dự phịng Khi thuê phương tiện dự phòng, quan/tổ chức thuê cần cân nhắc Mức độ tin cậy bên thuê Khả sẵn dùng phương tiện thuê dự phòng Chia sẻ phương tiện dự phịng/ứng cứu với quan/tổ chức liên quan 6.3.3 Khơi phục nguồn cung cấp cơng nghệ Nhóm quản lý cần xác định chi tiết giải pháp dự phòng cho Các thiết bị máy tính mạng Các tài nguyên liên lạc cho liệu thoại Nhân lực Vận chuyển thiết bị người Các vấn đề an toàn cho liệu người Nguồn cung cấp Môi trường kỹ thuật quan/tổ chức phải hiểu rõ Điều có nghĩa nhóm lập kế hoạch phải biết chi tiết cụ thể mạng, công nghệ truyền thơng, máy tính, thiết bị mạng yêu cầu phần mềm mà cần thiết để chức thiết yếu hoạt động Thực tế yếu tố thay đổi theo thời gian cần cập nhật cách kịp 112 thời để môi trường hoạt động quan/tổ chức bị gián đoạn hay phá hủy nhóm khơi phục có đủ thơng tin kỹ cần thiết để xây dựng lại cách thích đáng 6.4 Kiểm thử cập nhật kế hoạch Khi hồn thành chiến lược khơi phục, nhóm lập kế hoạch cần chuyển chiến lược vào trạng thái sẵn sàng Nói cách khác, cần chuyển từ giai đoạn lập kế hoạch túy sang giai đoạn thực hành động thực tế Các kế hoạch thực cần phải lưu giữ nhiều vị trí khác với trang web chính, để vị trí bị phá hủy bị ảnh hưởng tiêu cực, kế hoạch liên tục có sẵn cho nhóm Điều quan trọng định dạng khác kế hoạch có sẵn cho nhóm, bao gồm phiên điện tử giấy Phiên điện tử không hữu ích khơng có điện để máy tính hoạt động Kế hoạch nên đề cập tất chi tiết theo chủ đề Định dạng thực tế kế hoạch phụ thuộc vào môi trường, mục tiêu kế hoạch, ưu tiên mối đe dọa xác định Sau mục kiểm tra ghi lại, chủ đề kế hoạch chia thành loại cần thiết Bảng liệt kê kế hoạch tiêu biểu cho việc khôi phục Tùy thuộc vào thức quản lý nhóm xây dựng kế hoạch để xác định số lượng dạng kế hoạch cần phát triển triển khai Bảng 6-1 Các kiểu kế hoạch khôi phục Kiểu kế hoạch Mục tiêu Kế hoạch khôi phục hoạt động Tập trung vào việc khởi tạo lại quy trình hoạt động cần thiết để hoạt động lại thay tập trung vào thiết bị CNTT Tính liên tục kế hoạch hành động Thiết lập quản lý cấp cao trung tâm xử lý có thảm họa (sự cố) Vạch chức trách vai trò, thứ tự hành động, nhiệm vụ cá nhân Kế hoạch cho tính liên tục CNTT Kế hoạch cho thủ tục/quy trình khơi phục hệ thống, mạng ứng dụng sau thảm họa Cần các quy trình/thủ tục cho phận quan trọng/chủ yếu Kế hoạch truyền thông khủng hoảng Bao gồm vai trị chế truyền thơng nội bên Xác định cá nhân cụ thể liên lạc với bên Bao gồm phát biểu chuẩn bị trước mà cần công bố 113 Kế hoạch đối phó cố mạng Tập trung vào phần mềm độc hại, xâm nhập, công, vấn đề an toàn khác Vạch thủ tục để đối phó với cố Kế hoạch khẩn cấp (với nhân viên) Xây dựng an toàn lao động thủ tục sơ tán 6.4.1 Kiểm thử kế hoạch Các kế hoạch cần phải kiểm thử thường xuyên môi trường hoạt động quan/tổ chức liên tục thay đổi Để giảm thái độ thiếu hợp tác việc kiểm thử, người quản lý coi việc kiểm thử việc thực hành thường xuyên kế hoạch để đánh giá, cải thiện nâng hiệu kế hoạch Việc kiểm thử/thực hành giúp cho người (nhân viên/lãnh đạo) làm quen với tình nhiệm vụ họ phải đối mặt giải mơi trường có kiểm sốt.Các kiểm tra thực hành khôi phục khắc phục thảm họa nên thực năm lần Cơ quan/tổ chức thực khơng có tự tin xây dựng kế hoạch kế hoạch thực thử nghiệm Các kiểm tra diễn tập chuẩn bị nhân cho họ phải đối mặt cung cấp mơi trường kiểm sốt để tìm hiểu nhiệm vụ dự kiến họ Các kiểm tra diễn tập vấn đề nhóm lập kế hoạch quản lý mà trước chưa suy nghĩ giải phần quy trình lập kế hoạch Các tập, cuối cùng, chứng minh tổ chức thực phục hồi sau thảm họa Diễn tập phải có kịch xác định trước mà quan/tổ chức thực phải đối mặt với thời điểm Các thông số cụ thể phạm vi diễn tập phải trước cảnh báo cố Nhóm thực hành diễn tập phải chấp thuận cách xác thử nghiệm cách xác định thành cơng hay thất bại Ngồi ra, nhóm cần xác định xem phần cứng, phần mềm, nhân sự, quy trình tuyến liên lạc kiểm tra Nếu diễn tập bao gồm việc di chuyển số thiết bị đến địa điểm thay việc vận chuyển, trang thiết bị phụ sẵn sàng vị trí thay phải giải đánh giá Cần xác định chi phí liên quan đến việc thử/thực hành bao gồm: Thời điểm khoảng thời gian Quy trình, nhân lực, phương tiện liên lạc Các phương tiện phần cứng, phần mềm cần thiết Phương tiện vận chuyển, vị trí thử nghiệm/thực hành 114 Những người thực diễn tập nói chung gặp vấn đề mắc sai lầm Đây lý cần có diễn tập thử nghiệm để tất người học hỏi thực nhiệm vụ hiệu xảy thảm họa thực 6.4.2 Các dạng kiểm thử Phần trình bày dạng kiểm thử tiêu biểu nên tiến hành để nâng cao hiệu khắc phục cố trì hoạt động quan/tổ chức a Kiểm thử đầu mục Các kế hoạch đảm bảo trì hoạt động gửi cho phòng ban chức để đánh giá lại Mục tiêu khơng để sót mục kế hoạch dự phòng phòng ban chức b Kiểm tra cấu trúc vắn tắt Đại diện phòng ban duyệt qua kế hoạch để đảm bảo tính xác chúng Các nội dung thảo luận bao gồm phạm vi, quy mô, giả định kế hoạch, đánh giá lại cấu trúc quản lý, điều hành yêu cầu cho việc đào tạo, trì kiểm thử c Kiểm thử giả lập Tất nhân viên tham gia vào việc vận hành hay hỗ trợ hoạt động quan/tổ chức, hay đại diện họ thực hành kế hoạch phục hồi thảm họa dựa tình cụ thể Cho phép kiểm tra phản ứng đại diện/nhân viên phòng ban xử lý cố Đảm bảo khơng bỏ sót bước kế hoạch dự phịng mối đe dọa khơng bị coi thường d Kiểm thử song song Việc kiểm thử nhằm đánh giá hệ thống dự phịng vị trí khác hoạt động cách thích đáng Kết so sánh với việc vận hành hệ thống bình thường để đánh giá lại việc cấu quy trình sửa đổi cần thiết e Kiểm thử gián đoạn hoàn chỉnh Thử nghiệm ảnh hưởng nghiêm trọng đến việc vận hành bình thường suất hoạt động quan/tổ chức Toàn hệ thống thời bị ngắt thực việc chuyển sang vị trí dự phịng 115 Nhóm khơi phục thực đầy đủ việc chuẩn bị hệ thống môi trường hoạt động vị trí Việc diễn tập giúp phát lỗ hổng kế hoạch Việc kiểm thử thực sau phép thử khác thành công sau phê duyệt ban lãnh đạo cấp cao 6.4.3 Cập nhật kế hoạch Việc thiếu cập nhật kế hoạch làm cho người không nắm thực tế yêu cầu an toàn Các yếu tố ảnh hưởng khiến cho kế hoạch dự phịng nhanh chóng lỗi thời: Các quy trình đảm bảo trì hoạt động khơng tích hợp với việc thay đổi quy trình quản lý Tái cấu trúc/tổ chức lại quan Thay đổi công nghệ (phần cứng/phần mềm) Di chuyển nhân Tốn công sức cho việc cập nhật kế hoạch Kế hoạch không trực tiếp mang lại lợi nhuận Các hành động cần thiết cho việc đảm bảo cập nhật: Đảm bảo yêu cầu trì hoạt động phần định hoạt động/kinh doanh Yêu cầu trách nhiệm cập nhật rõ ràng mô tả công việc Làm phần việc đánh giá hiệu cá nhân Thực việc kiểm tra/kiểm toán việc cập nhật Thực việc thực hành thường xuyên Tích hợp kế hoạch dự phịng vào quy trình quản lý thay đổi Liên kết học thực tế từ cố vào kế hoạch Một cách đơn giản, tiết kiệm chi phí hiệu để giữ kế hoạch cập nhật kết hợp quy trình quản lý thay đổi Quy trình quản lý thay đổi phải cập nhật để kết hợp trường trình kích hoạt cảnh báo nhóm lập kế hoạch trì hoạt động có thay đổi đáng kể cung cấp phương tiện để cập nhật tài liệu khôi phục 116 6.5 Câu hỏi ôn tập Trình bày khác biệt kế hoạch khơi phục cố hoạt động liên tục Giải thích vấn đề khơi phục quy trình hoạt động Nêu vấn đề khơi phục trang thiết bị Trình bày vấn đề khơi phục nguồn cung cấp cơng nghệ Trình bày mục tiêu việc kiểm tra/thực hành kế hoạch đảm bảo hoạt động liên tục Giải thích mục tiêu yêu cầu dạng kiểm thử Phân tích yêu cầu đảm bảo hoạt động liên tục quy trình sản xuất tùy chọn xử lý đơn hàng? Phân tích yêu cầu đảm bảo hoạt động liên tục cho trình lựa chọn sản phẩm mua hàng trực tuyến 117 Tầi liẽ u thầm khầó [1] [2] [3] [4] Bộ Thông tin Truyền thông, V/v tăng cường cơng tác đảm bảo an tồn thơng tin cho cổng/trang thông tin điện tử (1790/BTTTT-VNCERT), 20/06/2011 Bộ Thông tin Truyền thông, Phân công nhiệm vụ việc triển khai thực Quy hoạch phát triển an tồn thơng tin số quốc gia đến năm 2010, 21/06/2010 Hồng Đăng Hải PGS TSKH, Quản lý an tồn thơng tin, Nhà xuất khoa học kỹ thuật, ISBN 978-604-67-1062-2, 2018 James Michael Stewart, Mike Chapple, Darril Gibson, CISSP® Certified Information Systems Security, Professional Study Guide, Seventh Edition, 2015 by John Wiley & Sons, Inc, ISBN: 978-1-119-04271-6 [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] John R Vacca, Computer and Information Security Handbook 3rd ed, Elsevier Science, 2017 Michael E Whitman and Herbert J Mattord, Management of Information Security, Course Technology, Cengage Learning, 2010 Michael E Whitman, Herbert J Mattord, Principles of information security, 4th edition, Course Technology, Cengage Learning, 2012 Michael E Whitman, Herbert J Mattord, Roadmap to Information Security: For CNTT and Infosec Managers, Delmar Publishers Inc., 2011 Quốc hội Việt Nam, Luật Công nghệ thông tin (67/2006/QH11), 12/07/2006 Quốc hội Việt Nam, Luật an tồn thơng tin mạng (86/2015/QH13), 2015 Quốc hội Việt Nam, Luật An ninh mạng 24/ 2018/ QH14, 2018 Sari Greene, Security Policies and Procedures Principles and Practices, Prentice Hall, 2005 Thủ tướng Chính phủ, V/v tăng cường triển khai hoạt động đảm bảo an tồn thơng tin số (897/CT-TTg), 10/06/2011 Thủ tướng Chính phủ, Phê duyệt Quy hoạch phát triển an tồn thơng tin số quốc gia đến năm 2020 (63/QÐ-TTg), 13/01/2010 118 ... hệ thống quản lý an tồn thơng tin (ISO/IEC 27 000 :20 12, ISO/IEC 27 003 :20 10, ISO/IEC 27 004 :20 09, ISO/IEC 27 010 :20 12) , Tiêu chuẩn an toàn mạng (ISO/IEC 27 033-3 :20 10, ISO/ IEC 27 033 -2: 20 12) , Tiêu... Các kỹ thuật an tồn - An toàn mạng bao gồm hướng dẫn thiết kế triển khai an toàn mạng kịch tham chiếu TCVN 1 123 9 :20 15 Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý cố an toàn thông tin... đánh giá biện pháp quản lý hệ thống quản lý an tồn thơng tin: Hướng dẫn đánh giá viên đánh giá biện pháp quản lý hệ thống quản lý AN TỒN THƠNG TIN hỗ trợ quy trình quản lý an tồn thơng tin đánh