1. Trang chủ
  2. » Kinh Tế - Quản Lý

Tiêu chuẩn Quốc gia TCVN ISO/IEC 27031:2017

30 21 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 30
Dung lượng 465,77 KB

Nội dung

Tiêu chuẩn này mô tả các khái niệm và nguyên tắc cho sự sẵn sàng về công nghệ thông tin và truyền thông (ICT) để đảm bảo tính liên tục của hoạt động, và cung cấp khung các phương thức và quy trình để định danh, xác định tất cả các khía cạnh (như các tiêu chí hiệu năng, thiết kế và thực hiện) để cải thiện sự sẵn sàng ICT của tổ chức nhằm đảm bảo tính liên tục của hoạt động. Tiêu chuẩn này áp dụng cho mọi tổ chức (tư nhân, chính phủ, phi chính phủ) phát triển chương trình ICT để đảm bảo tính liên tục của hoạt động, tổ chức có yêu cầu dịch vụ/cơ sở hạ tầng cần sẵn sàng hỗ trợ cho hoạt động trong trường hợp xảy ra các sự kiện và sự cố khẩn cấp, và các gián đoạn liên quan, có thể ảnh hưởng đến tính liên tục (bao gồm cả tính an toàn) của các chức năng hoạt động quan trọng. Tiêu chuẩn này cũng cho phép tổ chức đo lường các thông số hiệu năng của IRBC một cách phù hợp.

TIÊU CHUẨN QUỐC GIA TCVN ISO/IEC 27031:2017 ISO/IEC 27031:2011 CÔNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - HƯỚNG DẪN ĐẢM BẢO SỰ SẴN SÀNG VỀ CÔNG NGHỆ THƠNG TIN VÀ TRUYỀN THƠNG CHO TÍNH LIÊN TỤC CỦA HOẠT ĐỘNG Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity Lời nói đầu TCVN ISO/1EC 27031:2017 hoàn toàn tương đương ISO/IEC 27031:2011 TCVN ISO/IEC 27031:2017 Học viện Cơng nghệ Bưu Viễn thông biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố Lời giới thiệu Trong năm qua, công nghệ thông tin truyền thông trở thành phần thiếu nhiều hoạt động, thành phần sở hạ tầng quan trọng tất lĩnh vực tổ chức, cho dù tổ chức cơng, doanh nghiệp hay tổ chức tình nguyện Sự phát triển Internet dịch vụ mạng, khả hệ thống ứng dụng ngày nay, điều đồng nghĩa với việc tổ chức ngày phụ thuộc nhiều vào sở hạ tầng công nghệ thông tin truyền thông (ICT) đáng tin cậy an tồn Trong đó, nhu cầu quản lý tính liên tục hoạt động, bao gồm sẵn sàng đối phó với cố, phục hồi sau thảm họa, ứng phó khẩn cấp quản lý, thừa nhận hỗ trợ lĩnh vực kiến thức, chuyên môn cụ thể, tiêu chuẩn phát triển ban hành năm gần đây, bao gồm chuẩn quốc tế BCM phát triển ISO/IEC 223 Lỗi, cố dịch vụ ICT, bao gồm xuất cố làm ảnh hưởng tới an toàn hệ thống xâm nhập hệ thống, lây nhiễm mã độc ảnh hưởng tới tính liên tục hoạt động Do việc quản lý ICT, tính liên tục khía cạnh an toàn khác tạo thành phần yêu cầu liên tục hoạt động Hơn nữa, hầu hết trường hợp, chức hoạt động quan trọng đòi hỏi tính liên tục hoạt động thường phụ thuộc vào ICT Sự phụ thuộc có nghĩa gián đoạn ICT mang lại rủi ro ảnh hưởng tới khả hoạt động uy tín tổ chức Sự sẵn sàng ICT thành phần thiết yếu nhiều tổ chức việc thực quản lý liên tục hoạt động quản lý an toàn thông tin Là phần việc thực vận hành hệ thống quản lý an tồn thơng tin ISMS quy định TCVN ISO/IEC 27001 hệ thống quản lý tính liên tục hoạt động tương ứng, việc xây dựng thực kế hoạch liên tục hoạt động cho dịch vụ ICT quan trọng để đảm bảo tính liên tục hoạt động BCM hiệu thường phụ thuộc vào hiệu sẵn sàng ICT để đảm bảo mục tiêu tổ chức tiếp tục đạt thời gian bị gián đoạn Điều đặc biệt quan trọng hậu gián đoạn ICT làm tăng phức tạp tiềm ẩn gây khó khăn để phát Để tổ chức đạt sẵn sàng ICT cho tính liên tục hoạt động, tổ chức cần đưa quy trình để ngăn chặn, dự đoán quản lý gián đoạn ICT cố làm gián đoạn dịch vụ ICT Điều đạt việc áp dụng chu trình PDCA phần hệ thống quản lý ICT IRBC Theo cách IRBC hỗ trợ BCM cách đảm bảo dịch vụ ICT linh hoạt phục hồi đến mức độ xác định trước khoảng thời gian cần thiết đồng ý tổ chức Chu trình PDCA IRBC Lập kế hoạch Plan Thiết lập sách IRBC, mục tiêu, quy trình thủ tục liên quan nhằm quản lý rủi ro cải tiến sẵn sàng ICT để cung cấp kết phù hợp với sách mục tiêu tính liên tục hoạt động tổng thể tổ chức Thực - Do Thực vận hành sách, kiểm sốt, quy trình thủ tục IRBC Kiểm tra - Check Đánh giá có thể, đo lường hiệu quy trình theo sách IRBC, mục tiêu kinh nghiệm thực tế, báo cáo kết tới lãnh đạo để xem xét Hành động - Act Thực hành động khắc phục phòng ngừa, dựa kết xem xét lãnh đạo để đạt cải tiến liên tục IRBC Nếu tổ chức sử dụng TCVN ISO/IEC 27001 để thiết lập ISMS, sử dụng tiêu chuẩn liên quan để thiết lập hệ thống BCM, việc thiết lập IRBC nên vào việc xem xét tồn gắn kết quy trình tới tiêu chuẩn Liên kết hỗ trợ việc thiết lập IRBC tránh quy trình kép cho tổ chức Hình - Tích hợp IRBC BCM CƠNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN ĐẢM BẢO SỰ SẴN SÀNG VỀ CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THƠNG CHO TÍNH LIÊN TỤC CỦA HOẠT ĐỘNG Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity Phạm vi áp dụng Tiêu chuẩn mô tả khái niệm nguyên tắc cho sẵn sàng công nghệ thông tin truyền thơng (ICT) để đảm bảo tính liên tục hoạt động, cung cấp khung phương thức quy trình để định danh, xác định tất khía cạnh (như tiêu chí hiệu năng, thiết kế thực hiện) để cải thiện sẵn sàng ICT tổ chức nhằm đảm bảo tính liên tục hoạt động Tiêu chuẩn áp dụng cho tổ chức (tư nhân, phủ, phi phủ) phát triển chương trình ICT để đảm bảo tính liên tục hoạt động, tổ chức có yêu cầu dịch vụ/cơ sở hạ tầng cần sẵn sàng hỗ trợ cho hoạt động trường hợp xảy kiện cố khẩn cấp, gián đoạn liên quan, ảnh hưởng đến tính liên tục (bao gồm tính an tồn) chức hoạt động quan trọng Tiêu chuẩn cho phép tổ chức đo lường thông số hiệu IRBC cách phù hợp Tiêu chuẩn áp dụng cho tất kiện cố (bao gồm kiện cố liên quan đến an tồn) ảnh hưởng tới hệ thống sở hạ tầng ICT Phạm vi hướng dẫn bao gồm mở rộng thực hành xử lý quản lý cố an tồn thơng tin, dịch vụ việc lập kế hoạch cho sẵn sàng ICT Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng nêu Đối với tài liệu viện dẫn không ghi năm cơng bố áp dụng phiên nhất, bao gồm sửa đổi (nếu có) TCVN 11239 (ISO/IEC 27035), Công nghệ thông tin - Các kỹ thuật an tồn - Quản lý cố an tồn thơng tin TCVN 11238 (ISO/IEC 27000), Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an tồn thơng tin - Tổng quan từ vựng TCVN ISO/IEC 27001 (ISO/IEC 27001), Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an tồn thơng tin truyền thơng - Các u cầu TCVN ISO/IEC 27002 (ISO/IEC 27002), Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành cho quản lý an tồn thơng tin TCVN 10295 (ISO/IEC 27005), Công nghệ thông tin - Các kỹ thuật an tồn - Quản lý rủi ro an tồn thơng tin Thuật ngữ định nghĩa Tiêu chuẩn sử dụng thuật ngữ định nghĩa sau 3.1 Vị trí thay (alternate site) Vị trí vận hành thay tổ chức lựa chọn hoạt động thông thường thực sử dụng vị trí thơng thường sau gián đoạn xảy 3.2 Quản lý tính liên tục hoạt động (business continuity management) BCM Quy trình quản lý tổng thể định danh mối đe dọa tiềm ẩn tới tổ chức tác động tới hoạt động có mối đe dọa, quy trình cung cấp khung để thiết lập khả khôi phục tổ chức với lực ứng phó hiệu giúp bảo vệ lợi ích bên liên quan quan trọng, uy tín, thương hiệu hoạt động tạo giá trị tổ chức 3.3 Kế hoạch tính liên tục hoạt động (business continuity plan) BCP Các thủ tục tài liệu hướng dẫn cho tổ chức ứng phó, phục hồi khơi phục lại tới mức độ hoạt động xác định trước sau gián đoạn CHÚ THÍCH: Điều bao gồm nguồn lực dịch vụ hoạt động cần thiết để đảm bảo tính liên tục cho chức hoạt động 3.4 Phân tích tác động hoạt động (business impact analysis) BIA Q trình phân tích chức vận hành ảnh hưởng có gián đoạn 3.5 Quan trọng (critical) Sự mơ tả định tính sử dụng để nhấn mạnh tầm quan trọng nguồn lực, quy trình chức phải sẵn sàng hoạt động liên tục sẵn sàng hoạt động thời gian sớm sau có cố, trường hợp khẩn cấp thảm họa xảy 3.6 Gián đoạn (disruption) Sự cố, dự báo (ví dụ bão) không dự báo (như điện, động đất công hệ thống/cơ sở hạ tầng ICT) làm gián đoạn hoạt động thông thường vị trí tổ chức 3.7 Phục hồi sau thảm họa ICT (ICT disaster recovery) Khả phần tử ICT tổ chức để hỗ trợ chức hoạt động quan trọng hoạt động mức chấp nhận khoảng thời gian định trước sau gián đoạn 3.8 Kế hoạch phục hồi sau thảm họa ICT (ICT disaster recovery plan) ICT DRP Kế hoạch xác định rõ ràng lập tài liệu để phục hồi khả ICT gián đoạn xảy CHÚ THÍCH: Trong số tổ chức gọi kế hoạch liên tục ICT 3.9 Chế độ lỗi (failure mode) Cách thức mà lỗi quan sát CHÚ THÍCH: Chế độ mô tả cách thức xảy lỗi lỗi ảnh hưởng đến hoạt động hệ thống 3.10 Sự sẵn sàng ICT để đảm bảo tính liên tục hoạt động (ICT readiness for business continuity) IRBC Khả hỗ trợ hoạt động tổ chức cách ngăn chặn, phát ứng phó với gián đoạn phục hồi dịch vụ ICT 3.11 Mục tiêu tính liên tục hoạt động tối thiểu (minimum business continuity objective) MBCO Mức tối thiểu chấp nhận dịch vụ và/hoặc sản phẩm để tổ chức đạt mục tiêu hoạt động có gián đoạn 3.12 Mục tiêu thời điểm phục hồi (recovery point objective) RPO Thời điểm mà liệu phải phục hồi sau gián đoạn xảy 3.13 Mục tiêu thời gian phục hồi (recovery time objective) RTO Khoảng thời gian cho phép dịch vụ và/hoặc sản phẩm hệ thống hỗ trợ, ứng dụng, chức phải phục hồi mức tối thiểu sau gián đoạn xảy 3.14 Khả phục hồi (resilience) Khả chống lại tác động gián đoạn tổ chức 3.15 Kích khởi (trigger) Sự kiện làm cho hệ thống khởi tạo q trình ứng phó CHÚ THÍCH: Cịn gọi kiện kích khởi 3.16 Hồ sơ quan trọng (vital record) Hồ sơ giấy điện tử cần thiết cho việc trì, đảm bảo tính liên tục tái thiết lập hoạt động tổ chức bảo vệ quyền tổ chức, đội ngũ nhân viên, khách hàng bên liên quan Từ viết tắt IRBC ICT Readiness for Business Continuity Sự sẵn sàng ICT cho tính liên tục hoạt động ISMS Information Security Management System Hệ thống quản lý an tồn thơng tin Tổng quan 5.1 Vai trò IRBC quản lý tính liên tục hoạt động Quản lý tính liên tục hoạt động (BCM) quy trình quản lý tổng thể nhận biết mối đe dọa tiềm ẩn tác động tới hoạt động tổ chức, cung cấp khung để xây dựng khả phục hồi khả ứng phó hiệu nhằm bảo vệ lợi ích tổ chức trước gián đoạn Là phần quy trình BCM, IRBC coi hệ thống quản lý để bổ sung hỗ trợ cho BCM và/hoặc ISMS tổ chức, để cải thiện sẵn sàng tổ chức nhằm mục đích: a) ứng phó với mơi trường rủi ro thay đổi liên tục; b) đảm bảo tính liên tục hoạt động quan trọng hỗ trợ dịch vụ ICT; c) sẵn sàng ứng phó trước xảy gián đoạn dịch vụ ICT, sở phát nhiều kiện liên quan phát triển thành cố; d) ứng phó phục hồi sau cố/thảm họa lỗi Hình minh hoạ kết ICT dự kiến để hỗ trợ hoạt động BCM Hình - Khung đảm bảo tính liên tục hoạt động, đầu ICT liên quan kết dự kiến Tiêu chuẩn quốc tế BCM xây dựng ISO/IEC 223 tóm tắt phương pháp tiếp cận BCM để ngăn chặn, phản ứng phục hồi sau cố Các hoạt động liên quan đến BCM gồm sẵn sàng đối phó với cố, quản lý hoạt động tính liên tục, lập kế hoạch phục hồi sau thảm họa (DRP) giảm thiểu rủi ro tập trung vào việc tăng khả phục hồi tổ chức chuẩn bị sẵn sàng để phản ứng hiệu với cố phục hồi khoảng thời gian xác định trước Do đó, tổ chức thiết đặt quyền ưu tiên BCM để điều khiển hoạt động IRBC BCM phụ thuộc vào IRBC để đảm bảo tổ chức đạt tồn mục tiêu tính liên tục tổng thể đặc biệt khoảng thời gian bị gián đoạn Như thể Hình 3, hoạt động sẵn sàng nhằm mục đích: a) cải thiện khả phát cố; b) ngăn chặn lỗi bất thường tác động mạnh; c) cho phép giảm trạng thái hoạt động xuống mức chấp nhận dừng lỗi; d) rút ngắn thời gian phục hồi; e) giảm thiểu tác động xảy cố Hình - Khái niệm sẵn sàng ICT cho tính liên tục hoạt động 5.2 Nguyên tắc IRBC IRBC dựa nguyên tắc sau: a) Ngăn chặn cố - Bảo vệ dịch vụ ICT khỏi mối đe dọa như: lỗi phần cứng môi trường, lỗi hoạt động, công mã độc thảm họa tự nhiên, ngun tắc quan trọng để trì tính sẵn sàng mức hệ thống tổ chức; b) Phát cố - Phát cố sớm giảm thiểu tác động tới dịch vụ, tiết kiệm công sức phục hồi bảo vệ chất lượng cho dịch vụ; c) Ứng phó - Việc ứng phó với cố theo cách phù hợp giúp việc phục hồi hiệu giảm thiểu thời gian không sẵn sàng Việc phản ứng khơng tốt dẫn đến cố nhỏ leo thang thành cố nghiêm trọng hơn; d) Phục hồi - Việc xác định triển khai chiến lược phục hồi phù hợp đảm bảo khôi phục dịch vụ kịp thời trì tính tồn vẹn liệu Việc hiểu ưu tiên phục hồi cho phép dịch vụ quan trọng phục hồi Các dịch vụ quan trọng phục hồi sau số tình huống, khơng phải tất cả; d) Cải tiến - Bài học kinh nghiệm từ cố nhỏ cố lớn lập tài liệu, phân tích xem xét lại Việc hiểu học cho phép tổ chức chuẩn bị, kiểm soát tránh cố gián đoạn tốt Hình minh họa phần tử IRBC tương ứng hỗ trợ việc phục hồi sau thảm họa ICT điển hình theo thời gian hỗ trợ hoạt động liên tục hoạt động Việc thực IRBC cho phép tổ chức ứng phó hiệu với mối đe dọa phổ biến khả phản ứng với gián đoạn phục hồi sau gián đoạn Hình - Nguyên tắc IRBC theo tiến độ phục hồi sau thảm họa ICT điển hình CHÚ THÍCH: Giai đoạn phục hồi bao gồm hoạt động phục hồi/đưa dịch vụ hoạt động trở lại kịp thời, vận hành ICT DR ổn định, phục hồi trở lại hoạt động bình thường Để biết chi tiết tham khảo Hình A.1 Phụ lục A 5.3 Phần tử IRBC Các phần tử IRBC tóm tắt sau: a) Con người: chuyên gia với kỹ kiến thức phù hợp, nhân dự phịng có trình độ; b) Trang thiết bị: mơi trường vật lý cho nguồn lực ICT; c) Công nghệ: 1) Phần cứng (bao gồm tủ rack, máy chủ, thiết bị lưu trữ, thiết bị băng từ phụ kiện cố định); 2) Mạng (bao gồm kết nối liệu dịch vụ âm thanh), chuyển mạch định tuyến; 3) Phần mềm, gồm hệ điều hành phần mềm ứng dụng, liên kết, giao diện ứng dụng chương trình xử lý hàng loạt; d) Dữ liệu: liệu ứng dụng, liệu thoại kiểu liệu khác; e) Quy trình: bao gồm tài liệu mơ tả cấu hình nguồn lực ICT, cho phép vận hành hiệu giúp phục hồi trì dịch vụ ICT; f) Nhà cung ứng: phần tử khác dịch vụ đầu-cuối nơi việc cung cấp dịch vụ ICT phụ thuộc vào nhà cung cấp dịch vụ bên tổ chức khác chuỗi cung ứng, ví dụ nhà cung cấp liệu thị trường tài chính, nhà cung cấp dịch vụ Internet dịch vụ viễn thông 5.4 Thành lợi ích IRBC Lợi ích IRBC tổ chức: a) hiểu rủi ro ảnh hưởng đến tính liên tục dịch vụ ICT điểm yếu chúng; b) xác định ảnh hưởng gián đoạn tới dịch vụ ICT; c) khuyến khích cải thiện cộng tác nhà quản lý hoạt động tổ chức nhà cung cấp dịch vụ ICT (trong ngoài); d) phát triển nâng cao lực nhân viên ICT cách thể ứng phó thơng qua việc thực kế hoạch liên tục ICT bố trí kiểm thử IRBC; e) cung cấp đảm bảo cho quản lý cấp cao tổ chức tùy thuộc vào mức dịch vụ ICT định trước nhận hỗ trợ truyền đạt đầy đủ có gián đoạn; f) cung cấp đảm bảo cho lãnh đạo cao an tồn thơng tin (tính bí mật, tính tồn vẹn tính sẵn sàng) đảm bảo cách, đảm bảo tuân thủ sách an tồn thơng tin; g) cung cấp thêm độ tin cậy chiến lược liên tục hoạt động thông qua việc kết nối đầu tư giải pháp IT vào nhu cầu hoạt động đảm bảo dịch vụ ICT bảo vệ mức độ phù hợp với tầm quan trọng chúng với tổ chức; h) có dịch vụ ICT hiệu chi phí khơng vượt mức đầu tư thông qua việc hiểu biết mức độ phụ thuộc tổ chức vào dịch vụ ICT; tính, vị trí, phụ thuộc lẫn việc sử dụng phần tử tạo nên dịch vụ ICT; i) cải thiện uy tín cho tổ chức cách an toàn hiệu quả; j) tiềm giành lợi cạnh tranh thông qua khả cung cấp tính liên tục hoạt động, trì sản phẩm dịch vụ cung cấp thời điểm bị gián đoạn; k) hiểu, lập tài liệu kỳ vọng bên liên quan mối quan hệ họ với việc sử dụng dịch vụ ICT IRBC cung cấp cách để xác định trạng thái dịch vụ ICT tổ chức việc hỗ trợ mục tiêu tính liên tục hoạt động tổ chức cách giải câu hỏi “ICT chúng tơi có khả đáp ứng” thay “ICT chúng tơi an tồn” 5.5 Thiết lập IRBC IRBC hiệu tiết kiệm chi phí thiết kế tích hợp vào dịch vụ ICT từ thiết lập dịch vụ ICT phần chiến lược IRBC để hỗ trợ mục tiêu BC tổ chức Điều đảm bảo dịch vụ ICT xây dựng tốt hơn, hiểu rõ ràng hơn, mềm dẻo Việc cải tiến IRBC dẫn đến phức tạp, gây xáo trộn tốn Các tổ chức nên xây dựng, thực hiện, trì cải tiến thường xuyên quy trình lập tài liệu để hỗ trợ IRBC Các quy trình cần đảm bảo: mục tiêu IRBC nêu rõ ràng, dễ hiểu, dễ truyền tải, thể cam kết lãnh đạo cao tới IRBC Hình mơ tả hoạt động giai đoạn IRBC Hình - Các giai đoạn IRBC 5.6 Sử dụng chu trình PDCA để thiết lập IRBC IRBC liên quan đến tổ chức việc thiết lập quy trình để phát triển cải thiện phần tử (xem 5.2), nhằm cải thiện khả chúng ứng phó với gián đoạn, bao gồm thay đổi tình rủi ro thông qua việc sử dụng phương pháp tiếp cận PDCA Hình thể hoạt động giai đoạn khác IRBC 5.7 Trách nhiệm lãnh đạo 5.7.1 Sự lãnh đạo cam kết quản lý Một chương trình IRBC hiệu nên quy trình tích hợp đầy đủ với hoạt động quản lý tổ chức, định hướng từ người quản lý cấp cao, ủng hộ khuyến khích từ lãnh đạo cao Các nhân viên IRBC chuyên nghiệp nhân viên từ lĩnh vực quản lý phịng ban khác yêu cầu để hỗ trợ quản lý chương trình IRBC Số lượng nguồn lực yêu cầu để hỗ trợ chương trình IRBC phụ thuộc vào quy mơ độ phức tạp tổ chức 5.7.2 Chính sách IRBC Tổ chức cần có sách IRBC lập tài liệu Ban đầu, tài liệu mức chung chung so với tinh tế việc cải thiện tồn quy trình IRBC Sau sách cần rà sốt cập nhật phù hợp với nhu cầu tổ chức cần quán với mục tiêu BCM Chính sách IRBC cần cung cấp cho tổ chức quy tắc lập tài liệu có ngun tắc tổ chức mong muốn nguyên tắc để đo lường hiệu IRBC Chính sách IRBC cần: a) Thiết lập giải thích cam kết lãnh đạo cao chương trình IRBC; b) Bao gồm tham chiếu đến mục tiêu IRBC tổ chức; c) Xác định phạm vi IRBC, bao gồm hạn chế ngoại lệ; d) Được phê duyệt ký lãnh đạo cao nhất; e) Được thơng báo cho bên liên quan ngồi tổ chức; f) Định danh cung cấp quyền tương ứng tính sẵn sàng nguồn lực ngân sách, nhân viên cần thiết để thực hoạt động phù hợp với sách IRBC; g) Được xem xét khoảng thời gian theo kế hoạch có thay đổi lớn, thay đổi mơi trường, thay đổi cấu hoạt động tổ chức Lập kế hoạch IRBC 6.1 Tổng quát Mục tiêu giai đoạn lập kế hoạch thiết lập yêu cầu sẵn sàng ICT bao gồm: a) chiến lược IRBC kế hoạch IRBC cần thiết để hỗ trợ yêu cầu hoạt động, pháp lý, luật pháp liên quan tới phạm vi kết xác định mục tiêu tính liên tục hoạt động tổ chức b) tiêu chí hiệu cần thiết để giám sát mức độ sẵn sàng ICT mà tổ chức yêu cầu nhằm đạt mục đích mục tiêu 6.2 Nguồn lực 6.2.1 Tổng quát Là phần sách bắt buộc, tổ chức cần xác định cần thiết chương trình IRBC phần mục tiêu BCM tổng thể, xác định cung cấp nguồn lực cần thiết để thiết lập, thực hiện, vận hành trì chương trình IRBC Vai trị, trách nhiệm, lực thẩm quyền IRBC cần xác định lập tài liệu Lãnh đạo cao cần: a) định đề cử người có kinh nghiệm quyền phù hợp để chịu trách nhiệm thực sách IRBC; b) định nhiều người có lực, trách nhiệm khác, thực trì hệ thống quản lý IRBC mơ tả chuẩn 6.2.2 Năng lực nhân viên IRBC Tổ chức cần đảm bảo tất người giao trách nhiệm IRBC có đủ lực để thực nhiệm vụ theo yêu cầu Chi tiết nêu 7.2.1 6.3 Xác định yêu cầu 6.3.1 Tổng quát Là phần chương trình BCM, tổ chức phân loại hoạt động theo mức độ ưu tiên tính liên tục (như xác định BIA) xác định mức tối thiểu mà hoạt động quan trọng cần thực sau khôi phục Lãnh đạo cao cần đồng ý với yêu cầu tính liên tục hoạt động yêu cầu cho Mục tiêu thời gian phục hồi (RTO) Mục tiêu thời điểm phục hồi (RPO) Mục tiêu tính liên tục hoạt động tối thiểu (MBCO) với sản phẩm, dịch vụ hoạt động RTO hồi thời điểm mà gián đoạn xảy chạy tới có sản phẩm, dịch vụ hoạt động 6.3.2 Hiểu rõ dịch vụ ICT quan trọng Có thể có số dịch vụ ICT coi quan trọng yêu cầu cho phép thực phục hồi Mỗi dịch vụ ICT quan trọng cần có RTO RPO lập tài liệu cho MBCO dịch vụ ICT (Điều bao gồm khía cạnh việc cung cấp dịch vụ ICT chăm sóc khách hàng) RTO dịch vụ ICT quan trọng thay đổi so với RTO tính liên tục hoạt động, (xem Phụ lục A để biết chi tiết RTO RPO) Tổ chức cần xác định lập tài liệu dịch vụ ICT quan trọng bao gồm mô tả ngắn gọn tên có ý nghĩa với tổ chức mức người dùng dịch vụ Điều đảm bảo hiểu biết chung nhân viên nghiệp vụ nhân viên ICT sử dụng tên khác cho dịch vụ ICT Mỗi dịch vụ ICT quan trọng liệt kê cần xác định sản phẩm dịch vụ mà hỗ trợ lãnh đạo cao cần đồng ý với dịch vụ ICT yêu cầu IRBC liên quan chúng Với dịch vụ ICT quan trọng xác định thống nhất, tất phần tử ICT dịch vụ đầu-cuối cần mô tả lập tài liệu, cách cấu hình liên kết để cung cấp dịch vụ Cả cấu hình mơi trường cung cấp dịch vụ ICT thông thường môi trường cung cấp dịch vụ ICT liên quan cần lập tài liệu đảm bảo an toàn kiểm sốt thích hợp đưa 7.2.5 Quy trình Quy trình IRBC cần lập tài liệu cách rõ ràng chi tiết đầy đủ cho phép nhân viên có thẩm quyền thực thi chúng (một số quy trình khác với hoạt động thường ngày) Các thủ tục IRBC phụ thuộc vào tình thực cần điều chỉnh bối cảnh gián đoạn (ví dụ mức độ thiệt hại nguy hiểm), độ ưu tiên cho hành động tổ chức yêu cầu bên liên quan 7.2.6 Nhà cung ứng Tổ chức cần đảm bảo nhà cung ứng quan trọng hỗ trợ khả dịch vụ IRBC theo yêu cầu tổ chức Điều bao gồm việc có tài liệu thử nghiệm tính liên tục hoạt động kế hoạch IRBG khả để hỗ trợ kích hoạt đồng thời kế hoạch cố phục hồi khách hàng Tổ chức cần thiết lập quy trình để đánh giá lực khả nhà cung ứng trước thuê dịch vụ họ, liên tục giám sát xem xét khả nhà cung ứng sau thuê Việc tuân thủ thực tế yêu cầu theo chuẩn liên quan cách hữu ích để nhận biết lực nhà cung ứng, ví dụ việc áp dụng tiêu chuẩn ISO/IEC 24762 thực hành tốt cho việc thuê chỗ/quản lý trang thiết bị, quy trình thay việc cung cấp dịch vụ phục hồi sau thảm họa nhà cung ứng 7.3 Ứng phó cố Mọi cố ICT cần ứng phó để: a) xác nhận chất phạm vi cố; b) kiểm sốt tình hình; c) ngăn chặn cố; d) truyền thông với bên liên quan; Việc ứng phó với cố cần kích hoạt hành động IRBC thích hợp Ứng phó cần phù hợp với ứng phó cố BCM tổng thể, nhờ nhóm quản lý cố tổ chức quy mơ nhỏ cá nhân có trách nhiệm quản lý cố tính liên tục hoạt động Tổ chức có quy mơ lớn sử dụng phương pháp tiếp cận theo cấp thiết lập nhóm khác để phụ trách chức khác Trong ICT, việc thực dựa kỹ thuật dịch vụ liên quan Những người chịu trách nhiệm quản lý cố cần có kế hoạch cho việc kích hoạt, hành động, điều phối truyền đạt ứng phó cố 7.4 Tài liệu kế hoạch IRBC 7.4.1 Tổng quát Tổ chức cần có tài liệu (các kế hoạch) để quản lý gián đoạn tiềm ẩn cho phép khả liên tục dịch vụ ICT phục hồi hoạt động quan trọng Các kế hoạch quản lý dịch vụ ICT tổ chức, tính liên tục hoạt động kỹ thuật phục hồi kích hoạt liên tiếp đồng thời Tổ chức phát triển tài liệu kế hoạch cụ thể để phục hồi đưa dịch vụ ICT hoạt động trở lại trạng thái “bình thường” (các kế hoạch phục hồi) Tuy nhiên, khơng xác định trạng thái “bình thường” sau có vài cố, thực kế hoạch phục hồi Tổ chức cần đảm bảo bố trí tính liên tục có khả mở rộng hoạt động hỗ trợ tính liên tục hoạt động rộng hơn, dành thời gian cho kế hoạch phát triển phục hồi (“trở lại trạng thái bình thường”) 7.4.2 Nội dung tài liệu kế hoạch Tổ chức nhỏ lập tài liệu bao gồm tất hoạt động để phục hồi dịch vụ ICT toàn hoạt động tổ chức Tổ chức lớn lập nhiều tài liệu kế hoạch, tài liệu quy định cụ thể việc phục hồi phần tử cụ thể dịch vụ ICT Các kế hoạch ứng phó phục hồi ICT cần ngắn gọn dễ tiếp cận người có trách nhiệm quy định kế hoạch Tài liệu kế hoạch cần bao gồm nội dung sau: a) Mục đích phạm vi; Mục đích phạm vi kế hoạch cần xác định, duyệt lãnh đạo cao nhất, người chịu trách nhiệm thực kế hoạch cần hiểu chúng Mọi kế hoạch tài liệu khác có liên quan tổ chức, đặc biệt kế hoạch BC cần đề cập rõ ràng phương pháp truy cập, lấy thông tin cần mô tả tài liệu Mỗi kế hoạch quản lý cố, ứng phó phục hồi ICT cần đặt tập mục tiêu theo nhóm về: i) dịch vụ ICT quan trọng cần phục hồi; ii) khoảng thời gian dịch vụ phục hồi; iii) mức độ phục hồi cần thiết cho hoạt động dịch vụ ICT quan trọng; iv) tình thực kế hoạch Kế hoạch bao gồm điều kiện phù hợp, thủ tục danh sách hỗ trợ quy trình đánh giá cố b) Vai trò trách nhiệm Vai trò trách nhiệm người nhóm có quyền (cả nhóm định thẩm quyền để sử dụng) sau cố cần lập tài liệu rõ ràng; c) Trình kế hoạch; CHÚ THÍCH: Thời gian tiêu tốn q trình ứng phó khơng thể lấy lại Nên việc ứng phó làm giảm cố ICT từ bắt đầu tốt bỏ qua hội để nắm bắt cố sớm phòng ngừa cố leo thang Tổ chức cần sử dụng việc quản lý cố mở rộng cách thức để trình với kế hoạch quản lý cố tính liên tục hoạt động rộng để tạo sở cho việc quản lý gián đoạn tiềm ẩn dịch vụ ICT Phương pháp thực kế hoạch ứng phó phục hồi ICT cần lập tài liệu rõ ràng Quy trình cần cho phép kế hoạch phận liên quan thực thời gian ngắn có thể, trước kiện có khả gián đoạn sau kiện xảy Kế hoạch cần bao gồm mơ tả rõ ràng xác về: i) cách thức để huy động cá nhân nhóm phân công; ii) điểm họp tức thời; iii) địa điểm họp nhóm chi tiết địa điểm họp khác (trong tổ chức lớn, nơi diễn họp gọi trung tâm huy/điều khiển); iv) trường hợp tổ chức xét thấy ứng phó IRBC khơng cần thiết (ví dụ lỗi khả ngừng hoạt động nhỏ với dịch vụ ICT quan trọng, chúng quản lý nhân viên chăm sóc thơng thường bố trí thỏa thuận hỗ trợ) Tổ chức cần lập tài liệu quy trình xử lý rõ ràng cho nhóm ứng phó ICT cố kết thúc, trở lại hoạt động bình thường d) Bên sở hữu bên trì tài liệu kế hoạch ứng phó phục hồi ICT Lãnh đạo cần định người sở hữu tài liệu ứng phó phục hồi ICT, người sở hữu có trách nhiệm rà soát cập nhật tài liệu Tổ chức nên sử dụng hệ thống kiểm soát phiên thay đổi thức cần thơng báo tới tất bên quan tâm tới tài liệu e) Địa liên hệ CHÚ THÍCH: Hồ sơ liên lạc bao gồm địa liên lạc “ngồi giờ” Tuy nhiên kế hoạch cho thông tin cá nhân vậy, việc tôn trọng thông tin cá nhân cần xem xét cẩn thận Nếu tài liệu kế hoạch nên có cung cấp thông tin liên lạc cần thiết tất bên liên quan 7.4.3 Tài liệu kế hoạch ứng phó phục hồi ICT Tài liệu kế hoạch ứng phó phục hồi ICT cần: a) linh hoạt, khả thi phù hợp; b) dễ đọc dễ hiểu; c) cung cấp sở cho việc quản lý vấn đề nghiêm trọng xem xét tổ chức để có khen thưởng với ứng phó IRBC (thường sau kiện gián đoạn đáng ý, nghiêm trọng) Tài liệu cần xác định khung tổng thể cho kế hoạch phục hồi, bao gồm: a) chiến lược tổng thể; b) dịch vụ quan trọng (với RTO/RPO); c) thời gian phục hồi; d) nhóm phục hồi trách nhiệm họ Các kế hoạch cần lập tài liệu để người thực sử dụng chúng trường hợp xảy cố, bao gồm: a) Mục tiêu: mô tả ngắn gọn mục tiêu kế hoạch; b) Phạm vi: bao gồm nội dung sau với tham chiếu tới kết BIA: i) mức độ quan trọng dịch vụ: mô tả dịch vụ có liên quan xác định mức độ quan trọng chúng; ii) công nghệ: tổng quan cơng nghệ hỗ trợ dịch vụ bao gồm nơi sử dụng công nghệ; iii) tổ chức: tổng quan tổ chức quản lý công nghệ (các phòng ban, cá nhân thủ tục quan trọng) iv) tài liệu: tổng quan tài liệu công nghệ bao gồm vị trí lưu trữ tài liệu c) Các yêu cầu tính sẵn sàng: yêu cầu hoạt động quy định cho tính sẵn sàng dịch vụ công nghệ liên quan d) Các yêu cầu an tồn thơng tin: u cầu an tồn thông tin dịch vụ, hệ thống liệu bao gồm yêu cầu tính bí mật, tính tồn vẹn tính sẵn sàng e) Các thủ tục phục hồi công nghệ: mô tả thủ tục cần tuân theo để phục hồi dịch vụ ICT bao gồm: i) danh sách hành động, ví dụ hỗ trợ viên thông tin liên lạc; ii) danh sách hoạt động để phục hồi mạng, hệ thống, ứng dụng, sở liệu, tới mức thỏa thuận vị trí thay thế, có tính đến thay đổi mơi trường; iii) danh sách hoạt động để phục hồi chức chức an toàn, định tuyển, nhật ký; iv) kết hợp bên ứng dụng, ứng dụng, đồng liệu, thủ tục tự động để điều khiển nhật ký thơng tin; v) quy trình cần thiết để phục hồi dịch vụ ICT đưa dịch vụ hoạt động trở lại chế độ phục hồi; vi) thủ tục lưu; vii) nơi cách thức để lấy thêm thơng tin, hướng dẫn, ví dụ số đường dây nóng, bước cần thực để đưa dịch vụ ICT trở hoạt động bình thường f) Các phụ lục i) Bản kiểm kê hệ thống thông tin, ứng dụng sở liệu; ii) Tổng quan sở hạ tầng mạng tên máy chủ; iii) Bản kiểm kê phần cứng phần mềm hệ thống; iv) Hợp đồng thỏa thuận mức dịch vụ g) Nhà cung ứng dịch vụ ICT i) Nhà cung ứng nghiệp vụ dạng nhà cung ứng thông thường; ii) Nhà cung ứng dịch vụ phục hồi 7.5 Chương trình nâng cao nhận thức, lực đào tạo Một chương trình hợp tác cần thực để đảm bảo quy trình đưa để nâng cao nhận thức IRBC nói chung đánh giá nâng cao lực tất nhân viên quan trọng có liên quan đến việc thực thành cơng IRBC (xem 7.2.1) 7.6 Kiểm sốt tài liệu 7.6.1 Kiểm soát báo cáo IRBC Các kiểm sốt thiết lập hồ sơ IRBC để: a) Đảm bảo chúng rõ ràng, sẵn sàng để định danh khơi phục; b) Cung cấp cho việc lưu trữ, bảo vệ phục hồi chúng 7.6.2 Kiểm soát tài liệu IRBC Các kiểm soát cần thiết lập tài liệu IRBC để đảm bảo: a) Tài liệu phê duyệt trước phát hành; b) Tài liệu xem xét cập nhật cần thiết phê duyệt lại; c) Thay đổi sửa đổi trạng thái tài liệu thời xác định; d) Các phiên có liên quan tài liệu có sẵn vị trí sử dụng; e) Các tài liệu có nguồn gốc bên ngồi xác định kiểm sốt việc phân phối; f) Việc sử dụng dự kiến tài liệu cũ ngăn chặn chúng cần xác định cách thỏa đáng giữ lại mục đích Giám sát xem xét 8.1 Duy trì IRBC 8.1.1 Tổng quát Sự thay đổi kèm rủi ro; không rủi ro lỗi mà rủi ro ổn định sách chiến lược Do đó, chiến lược IRBC cần mềm dẻo thích hợp Việc thay đổi dịch vụ ICT ảnh hưởng đến khả IRBC cần thực sau tác động tính liên tục hoạt động thay đổi đánh giá giải Để đảm bảo chiến lược kế hoạch IRBC phù hợp với tổ chức: a) Lãnh đạo cao cần đảm bảo chiến lược IRBC tiếp tục hỗ trợ yêu cầu BCM tổ chức; b) Quy trình quản lý thay đổi bao gồm tất bên có trách nhiệm chiến lược IRBC, bên lập kế hoạch việc thực họ; c) Quy trình phát triển dịch vụ ICT bao gồm việc ký duyệt cho khả phục hồi không bị ảnh hưởng cải tiến nâng cấp đơn giản nhất; d) Thẩm định sát nhập hoạt động thu hồi bao gồm đánh giá khả phục hồi; e) Việc ngừng hoạt động phần tử ICT cần phản ánh hệ thống quản lý IRBC có liên quan 8.1.2 Giám sát, phát phân tích mối đe dọa Tổ chức cần thiết lập quy trình giám sát liên tục phát xuất mối đe dọa an toàn ICT bao gồm không giới hạn lĩnh vực sau: a) Duy trì đội ngũ nhân viên, kỹ kiến thức; b) Quản lý sở hạ tầng chứa thiết bị ICT (ví dụ cách theo dõi số lượng chất cố an toàn/điểm yếu liên quan tới phòng máy); c) Những thay đổi việc hỗ trợ cơng nghệ, máy móc, thiết bị, mạng lưới; d) Những thay đổi ứng dụng thông tin sở liệu; e) Tài chính, ngân sách phân bổ; f) Hiệu dịch vụ bên nhà cung ứng 8.1.3 Thử nghiệm diễn tập 8.1.3.1 Tổng quát Các tổ chức cần diễn tập phục hồi, bảo vệ khôi phục dịch vụ ICT để xác định rằng: a) dịch vụ bảo vệ, trì và/hoặc phục hồi không phụ thuộc vào mức độ nghiêm trọng cố; b) bố trí quản lý IRBC giảm thiểu tác động đến hoạt động; c) thủ tục để đưa hoạt động trạng thái bình thường 8.1.3.2 Chương trình thử nghiệm diễn tập Trong hầu hết trường hợp, toàn phần tử quy trình IRBC bao gồm phục hồi ICT không chứng minh thử nghiệm diễn tập Do chế độ diễn tập tăng dần thích hợp với việc mơ đầy đủ cố thực tế Chương trình bao gồm cấp độ diễn tập khác để làm quen với khả phục hồi phịng máy tính, định nghĩa Hình nên xem xét tất khía cạnh việc cung cấp dịch vụ ICT đầu-cuối Những rủi ro liên quan tới việc thử nghiệm diễn tập hoạt động tương tự không đặt tổ chức vào rủi ro không chấp nhận Chương trình thử nghiệm diễn tập cần xác định cách thức giải rủi ro diễn tập riêng lẻ Lãnh đạo cao ký duyệt chương trình diễn tập cần giải thích rõ ràng tài liệu rủi ro liên quan Mục tiêu chương trình thử nghiệm diễn tập cần phù hợp hoàn toàn với phạm vi mục tiêu quản lý tính liên tục hoạt động bổ sung cho chương trình diễn tập mở rộng tổ chức Mỗi chương trình thử nghiệm diễn tập cần có mục tiêu hoạt động (kể trường hợp khơng có tham gia trực tiếp hoạt động) xác định mục tiêu kỹ thuật để thử nghiệm kiểm duyệt phần tử cụ thể chiến lược IRBC Các thành phần diễn tập môi trường cách ly mức thành phần bổ sung tới diễn tập hệ thống tổng thể cần trì phần chương trình thử nghiệm diễn tập Chương trình thử nghiệm diễn tập cần xác định tần suất, phạm vi, hình thức tập Sau ví dụ mức cao phạm vi diễn tập: a) phục hồi liệu: phục hồi liệu tập tin đơn lẻ sở liệu lỗi; b) phục hồi máy chủ đơn (bao gồm việc xây dựng lại từ đầu); c) phục hồi ứng dụng (có thể bao gồm số máy chủ, ứng dụng phụ sở hạ tầng); d) chuyển đổi dự phòng dịch vụ lưu trữ tảng có tính sẵn sàng cao (ví dụ, phân nhóm: mơ mát thành viên nhóm - xem Phụ lục B); e) phục hồi liệu từ băng đĩa (phục hồi tập tin đơn lẻ loạt tập tin từ băng đĩa); f) thử nghiệm mạng; g) kiểm tra dự phòng lỗi sở hạ tầng truyền thông Các diễn tập nên nâng cao dần để có kiểm tra tăng dần phụ thuộc mối liên hệ bên cộng đồng người dùng cuối có liên quan 8.1.3.3 Phạm vi diễn tập Diễn tập cần thực để: a) xây dựng độ tin cậy toàn tổ chức khả phục hồi chiến lược phục hồi đáp ứng yêu cầu hoạt động; b) chứng minh dịch vụ ICT quan trọng trì phục hồi với mức dịch vụ chấp thuận mục tiêu phục hồi liên quan tới cố; c) chứng minh dịch vụ ICT quan trọng phục hồi tới trạng thái thử nghiệm trường hợp xảy cố vị trí phục hồi; d) tạo hội cho nhân viên làm quen với quy trình phục hồi; e) đào tạo nhân viên đảm bảo họ có đủ kiến thức kế hoạch thủ tục IRBC; f) kiểm tra việc trì IRBC đồng với sở hạ tầng ICT sở hạ tầng chung; g) xác định cải tiến yêu cầu cho chiến lược, kiến trúc quy trình phục hồi IRBC; h) cung cấp chứng cho mục đích đánh giá chứng minh thẩm quyền dịch vụ ICT tổ chức Việc diễn tập cần áp dụng cho tồn mơi trường ICT tất phần tử cung cấp dịch vụ điểm điểm từ phịng máy tính đến máy tính người dùng kênh cung cấp dịch vụ khác 8.1.3.4 Các phần tử phục hồi dịch vụ Tổ chức cần thực diễn tập tất yếu tố phục hồi dịch vụ ICT phù hợp với quy mô tổ chức, độ phức tạp phạm vi quản lý tính liên tục hoạt động Việc diễn tập cần trọng vào việc phục hồi tái thiết lập dịch vụ, cần bao gồm tính tin cậy khả phục hồi, giám sát hệ thống quản lý cảnh báo Tổ chức cần diễn tập mức độ phần tử thơng qua tồn hệ thống thử nghiệm dựa vị trí để đạt mức độ tin tưởng khả phục hồi cao Hình - Chương trình thử nghiệm diễn tập mức độ tăng dần Các thành phần sau cần diễn tập: a) phịng máy tính, ví dụ an toàn vật lý, hệ thống phát cháy rị rỉ nước, quy trình sơ tán, hệ thống sưởi, thơng gió điều hịa nhiệt độ, giám sát môi trường, phương thức cảnh báo dịch vụ điện; b) sở hạ tầng, bao gồm khả phục hồi kết nối mạng, đa dạng an toàn mạng, bao gồm chống virut, phát chống xâm nhập; c) phần cứng, bao gồm máy chủ, thiết bị viễn thông, thiết bị lưu động lưu trữ; d) phần mềm; e) liệu; f) dịch vụ; g) vai trị ứng phó nhà cung ứng 8.1.3.5 Lập kế hoạch diễn tập Để đảm bảo việc diễn tập không gây cố làm suy giảm khả dịch vụ, diễn tập cần lên kế hoạch cẩn thận để tối thiểu hóa rủi ro xảy cố Quản lý rủi ro cần phù hợp với mức độ diễn tập thực (tức yếu tố phục hồi dịch vụ) Điều bao gồm: a) đảm bảo tất liệu lưu trước diễn tập; b) thực diễn tập môi trường cô lập; c) lập lịch diễn tập “ngoài giờ” thời gian tĩnh chu trình hoạt động, với kiến thức người dùng cuối Các diễn tập cần sát với thực tế, có kế hoạch cẩn thận thống với bên liên quan, để tối thiểu hoá rủi ro gián đoạn quy trình hoạt động Tuy nhiên, khơng thực diễn tập xảy cố Quy mô phức tạp diễn tập cần phù hợp với mục tiêu phục hồi tổ chức Mỗi diễn tập nên có “điều khoản tham chiếu” đồng ý ký duyệt trước nhà tài trợ diễn tập, mà bao gồm điều sau: a) mô tả; b) mục tiêu; c) phạm vi; d) giả định; e) ràng buộc; f) rủi ro; g) tiêu hoàn thành; h) nguồn lực; I) vai trò trách nhiệm; j) tiến độ/lịch trình mức cao; k) thu thập liệu diễn tập; l) ghi nhật ký diễn tập/sự cố; m) trao đổi; n) hoạt động sau diễn tập (theo dõi báo cáo) Kế hoạch diễn tập cần cho phép tổ chức đạt tiêu thành công xác định 8.1.3.6 Quản lý diễn tập Cấu trúc lệnh diễn tập rõ ràng cần giao cho nhân viên có vai trò trách nhiệm phù hợp xây dựng Cấu trúc lệnh diễn tập bao gồm: a) người điều khiển diễn tập (các bên tham gia với vai trị kiểm sốt tồn chương trình thử nghiệm diễn tập); b) kênh liên lạc diễn tập; c) xác nhận có đủ nhân viên để thực diễn tập an toàn; d) đủ giám sát viên hỗ trợ viên để nắm bắt thủ tục diễn tập trì nhật ký vấn đề; e) mốc diễn tập chính; f) phương thức kết thúc diễn tập; g) phương thức diễn tập dừng khẩn cấp Diễn tập cần tuân theo lệnh diễn tập để đảm bảo: a) mục tiêu mốc diễn tập đáp ứng; b) tất tài liệu hoạt động diễn tập có mức độ bí mật phù hợp; c) rủi ro xảy cần giám sát giảm thiểu; d) khách mời/giám sát viên cấp quyền phù hợp; e) thủ tục diễn tập nắm bắt cách quản; f) tất bên tham gia yêu cầu thu thập phản hồi 8.1.3.7 Xem xét, báo cáo theo dõi Kết thúc diễn tập, kết cần xem xét theo dõi kịp thời, điều bao gồm: a) thu thập kết phát hiện; b) phân tích kết phát so sánh với mục tiêu tiêu hoàn thành diễn tập; c) xác định chênh lệch; d) gán điểm hành động với khung thời gian quy định; e) tạo báo cáo diễn tập để nhà tài trợ xem xét cách thức; f) củng cố theo dõi hành động báo cáo diễn tập 8.2 Đánh giá nội IRBC Kế hoạch đánh giá nội IRBC cần định nghĩa lập tài liệu tiêu chí, phạm vi, phương thức tần xuất đánh giá (ví dụ đánh giá nội IRBC thực hàng năm), kế hoạch đánh giá cần đảm bảo đánh giá viên nội đủ điều kiện định để đánh giá Việc lựa chọn đánh giá viên việc tiến hành đánh giá cần đảm bảo tính khách quan cơng quy trình đánh giá Đánh giá viên thực đánh giá nội bội IRBC phải có đủ lực để thực nhiệm vụ Ví dụ đánh giá viên cần tham dự khóa đào tạo đánh giá viên để họ có kỹ kiến thức cần thiết để thực việc đánh giá Một thủ tục cần thiết lập để đảm bảo thiếu hụt xác định đánh giá nội sửa chữa Kế hoạch đánh giá cần bao gồm đối tác bên ngồi Ví dụ, nhà cung cấp dịch vụ thuê cần đánh giá khả hỗ trợ chiến lược IRBC tổ chức, kế hoạch hoạt động hàng ngày, ứng phó với thảm hoạ phục hồi sau thảm họa Đánh giá nội cần tiến hành có thay đổi đáng kể từ dịch vụ ICT quan trọng, yêu cầu tính liên tục hoạt động (do liên quan tới phạm vi IRBC), yêu cầu IRBC Kết đánh giá nội IRBC cần ghi báo cáo Lãnh đạo cần xem xét kết đánh giá nội IRBC tình trạng hoạt động khắc phục 8.3 Xem xét lãnh đạo 8.3.1 Tổng quát Lãnh đạo cao cần đảm bảo hệ thống quản lý IRBC xem xét theo kế hoạch Xem xét lấy đầu vào đánh giá nội hay bên tự đánh giá Xem xét bao gồm việc đánh giá hội cải tiến nhu cầu thay đổi quản lý IRBC, sách mục tiêu IRBC Ngoài ra, lãnh đạo cao cần xem xét thường niên yêu cầu IRBC ký duyệt, bao gồm định nghĩa dịch vụ ICT, danh sách dịch vụ ICT quan trọng lập tài liệu rủi ro liên quan tới chênh lệch xác định khả sẵn sàng ICT quan trọng yêu cầu tính liên tục hoạt động Kết việc xem xét cần ghi rõ ràng hồ sơ cần trì 8.3.2 Đầu vào xem xét Đầu vào xem xét lãnh đạo bao gồm thông tin về: a) mức dịch vụ nội bộ; b) khả nhà cung cấp dịch vụ bên để trì mức thích hợp dịch vụ; c) kết đánh giá có liên quan; d) thông tin phản hồi từ bên liên quan, bao gồm quan sát độc lập; e) tình trạng hành động phòng ngừa khắc phục; f) mức rủi ro tồn đọng rủi ro chấp nhận; g) hành động sau xem xét kiến nghị trước lãnh đạo; h) học kinh nghiệm rút từ thử nghiệm diễn tập, cố chương trình đào tạo nâng cao nhận thức; i) thực hành hướng dẫn phù hợp gần 8.3.3 Đầu xem xét Đầu từ việc xem xét cần ký duyệt lãnh đạo cao bao gồm: a) thay đổi phạm vi hệ thống quản lý IRBC; b) nâng cao hiệu hệ thống quản lý IRBC; c) yêu cầu IRBC sửa đổi, bao gồm định nghĩa dịch vụ ICT, danh sách dịch vụ ICT quan trọng lập tài liệu rủi ro liên quan tới chênh lệch xác định khả sẵn sàng ICT quan trọng yêu cầu tính liên tục hoạt động; d) sửa đổi thủ tục chiến lược IRBC cần để đáp ứng tới kiện bên ngồi và/hoặc bên mà ảnh hưởng đến dịch vụ ICT, bao gồm thay đổi: i) yêu cầu hoạt động: ii) yêu cầu khả phục hồi; iii) mức độ rủi ro và/hoặc mức chấp nhận rủi ro, e) nhu cầu nguồn lực; f) yêu cầu kinh phí ngân sách 8.4 Đo lường tiêu hiệu sẵn sàng ICT 8.4.1 Giám sát đo lường sẵn sàng ICT Các tổ chức cần giám sát đo lường sẵn sàng ICT thơng qua việc thực quy trình đo lường Tiêu chí hiệu sẵn sàng ICT xác định (xem 6.7) 8.4.2 Tiêu chí hiệu định lượng định tính Tiêu chí hiệu cho IRBC định tính định lượng Tiêu chí đính lượng bao gồm: a) thời gian định, số lượng cố chưa phát trước gián đoạn (điều ước cung cấp báo tính hồn thiện chế phát cảnh báo); b) thời gian phát cố; c) số lượng cố ngăn chặn hiệu để giảm thiểu tác động; d) tính sẵn sàng nguồn liệu báo xuất cố thông qua giám sát xu hướng kiện; e) thời gian phản ứng ứng phó với cố xảy Tiêu chí định tính mang tính chủ quan sử dụng để xác định hiệu IRBC thường địi hỏi nguồn lực quy trình đo lường (có thể thích hợp cho tổ chức quy mô vừa nhỏ hạn chế nguồn lực) Tiêu chí định tính bao gồm xác định hiệu quy trình sử dụng lập kế hoạch, chuẩn bị thực thi hoạt động IRBC đo lường thông qua: a) khảo sát sử dụng bảng câu hỏi có cấu trúc câu hỏi mở; b) thơng tin phản hồi từ bên tham gia bên liên quan; c) tiến hành hội thảo phản hồi; d) họp nhóm tập trung khác Cải tiến IRBC 9.1 Cải tiến liên tục Tổ chức cần cải tiến liên tục IRBC thông qua việc áp dụng hành động phòng ngừa khắc phục phù hợp với tác động tiềm ẩn xác định việc phân tích tác động hoạt động vị rủi ro tổ chức 9.2 Hành động khắc phục Tổ chức cần có hành động để khắc phục lỗi thực tế dịch vụ ICT yếu tố IRBC Thủ tục lập tài liệu hành động khắc phục cần xác định yêu cầu để: a) xác định lỗi; b) xác định nguyên nhân lỗi; c) ước lượng nhu cầu hành động để đảm bảo không phù hợp không tái diễn; d) xác định thực hành động khắc phục cần thiết; e) ghi lại kết hành động thực hiện; f) xem xét hành động khắc phục thực 9.3 Hành động phòng ngừa Tổ chức cần xác định điểm yếu tiềm ẩn yếu tố IRBC thiết lập thủ tục lập tài liệu để: a) xác định lỗi tiềm ẩn; b) xác định nguyên nhân lỗi; c) xác định thực hành động phòng ngừa cần thiết; d) ghi lại xem xét kết hành động thực Phụ lục A (Tham khảo) IRBC mốc gián đoạn Hình A.1 minh họa cách thức phần tử IRBC hỗ trợ mốc chỉnh gián đoạn Các kiện mốc quan trọng xảy theo thời gian Thời điểm gốc kiện gián đoạn dịch vụ ICT/thảm họa xảy Một ví dụ kịch thảm họa xuất từ công xâm nhập hệ thống mục tiêu (thường gọi “hacking”) vào hệ thống ICT quan trọng tổ chức RPO liên quan đến lượng liệu bị phục hồi gián đoạn Điều thể luồng thời gian khoảng thời gian lần lưu tốt cuối thời điểm gián đoạn xảy RPO thay đổi tùy theo chiến lược phục hồi dịch vụ ICT áp dụng, cụ thể phụ thuộc vào bố trí lưu Tại thời điểm gốc, hệ thống ICT quan trọng bị tin tặc xâm nhập dịch vụ bị ảnh hưởng Mốc sau gián đoạn dịch vụ xảy phát trực tiếp cố an toàn (tức kiện xâm nhập) phát không trực tiếp việc dịch vụ (hoặc suy giảm), có khoảng thời gian trơi qua trước có thơng báo; ví dụ, số trường hợp thơng báo gọi từ người dùng tới trung tâm hỗ trợ IT Thời gian tiếp tục trơi qua gián đoạn dịch vụ ICT điều tra, phân tích, truyền đạt định đưa để khởi động IRBC Có thể vài từ thời điểm bắt đầu gián đoạn dịch vụ ICT định khởi động IRBC đưa thời gian truyền đạt đưa định tính đến Quyết định khởi động cần xem xét cẩn thận số trường hợp, ví dụ dịch vụ chưa hồn toàn bị khả phục hồi dịch vụ thực hiện, việc khởi động IRBC thường tác động đến hoạt động thông thường Khi khởi động, việc phục hồi dịch vụ ICT bắt đầu Việc chia thành phục hồi sở hạ tầng (mạng, phần cứng, hệ điều hành, phần mềm lưu, ) phục hồi ứng dụng (cơ sở liệu, ứng dụng, quy trình xử lý hàng loạt, giao diện) (Tham khảo thêm tiêu chuẩn ISO/IEC 24762) Một dịch vụ ICT phục hồi việc kiểm thử hệ thống thực nhân viên ICT dịch vụ cung cấp sẵn sàng cho kiểm thử chấp nhận người dùng trước cung cấp cho nhân viên để sử dụng cho hoạt động liên tục hoạt động Từ góc độ tính liên tục hoạt động, sản phẩm, dịch vụ hoạt động có RTO RTO thời điểm gián đoạn xảy kéo dài sản phẩm, dịch vụ hoạt động phục hồi, có nhiều dịch vụ ICT u cầu có tính này, dịch vụ ICT bao gồm nhiều hệ thống ứng dụng ICT Mỗi phần tử hệ thống ứng dụng ICT có RTO tập RTO dịch vụ ICT đầu-cuối cần so với RTO tính liên tục hoạt động, tính thời gian phát đưa định thời gian kiểm thử chấp nhận người dùng (trừ sản phẩm, dịch vụ, hoạt động liên tục nghiệp vụ hỗ trợ mà khơng có ICT khoảng thời gian, ví dụ sử dụng thủ tục thủ công) Các dịch vụ ICT phục hồi thường hoạt động khoảng thời gian hỗ trợ hành động tính liên tục hoạt động việc khoảng thời gian mở rộng dịch vụ ICT phục hồi cần nâng cấp lên để hỗ trợ hành động với số lượng ngày gia tăng, có khả tăng tới điểm mà sản phẩm, dịch vụ, hành động phục hồi hồn tồn đạt tới số lượng giao dịch bình thường Sau đó, số thời điểm luồng thời gian, việc phục hồi khả thi hoạt động DR đưa trở lại hoạt động bình thường Các hoạt động trở lại bình thường mơi trường trạng thái ban đầu trước gián đoạn, bố trí hoạt động (đặc biệt gián đoạn thảm họa gây thay đổi vĩnh viễn hoạt động) nhân viên ICT có hội để lên kế hoạch phục hồi cẩn thận lập lịch để kế hoạch diễn khoảng thời gian hoạt động thấp, nhiệm vụ quan trọng thuộc quyền họ Các mũi tên sơ đồ cho thấy nguyên tắc IRBC chuẩn ISO/IEC 27031 đồng theo dòng thời gian gián đoạn Hình A.1 - IRBC yà mốc gián đoạn Phụ lục B (Tham khảo) Hệ thống nhúng có tính sẵn sàng cao Trong cơng nghệ thơng tin truyền thơng, “tính sẵn sàng cao” đề cập tới hệ thống phần tử hoạt động liên lục cho khoảng thời gian dài Tính sẵn sàng cao xác định tương đối “hoạt động 100%” “khơng lỗi” Có mức chuẩn chấp nhận rộng rãi khó để đạt cho tính sẵn sàng hệ thống sản phẩm độ sẵn sàng “năm số 9” (99.999%) Một hệ thống mạng máy tính tạo thành từ nhiều phần tử, tất số thường cần thể vận hành chức để máy hoạt động, việc lập kế hoạch cho tính sẵn sàng cao thường tập trung vào lưu xử lý dự phịng lỗi, lưu trữ truy cập liệu, thành phần khác nguồn điện, làm mát quan trọng khơng Ví dụ, tính sẵn sàng nguồn điện đảm bảo biện pháp như: a) lưu điện (UPS); b) máy phát điện khẩn cấp; c) hai nguồn điện song song từ lưới điện Sao lưu liệu tính sẵn sàng đạt thơng qua sử dụng nhiều cơng nghệ lưu trữ ghép nhiều ổ đĩa cứng vật lý thành hệ thống ổ đĩa cứng (RAID, mạng lưu trữ (SAN), Tính sẵn sàng ứng dụng cần xem xét thường đạt thông qua công nghệ “song hành” (clustering) Các công nghệ thực hiệu việc cung cấp tính sẵn sàng cao thơng qua việc thực đồng thời nhiều vị trí Ví dụ đơn giản có máy chủ “dự phịng lỗi” vị trí máy chủ máy chủ khơng cung cấp mức độ phục hồi cần thiết vị trí bị ảnh hưởng gián đoạn nghiêm trọng Cả hai máy chủ bị ảnh hưởng gián đoạn Máy chủ “dự phịng lỗi” cơng nghệ hỗ trợ khác cần đựợc đặt vị trí khác để đạt mức độ sẵn sàng yêu cầu Với nhiều tổ chức, chi phí nỗ lực liên quan để đạt mức độ sẵn sàng cao gặp khó khăn năm gần có phát triển việc sử dụng nhà cung cấp dịch vụ thứ ba, họ cung cấp kỹ năng, nguồn lực công nghệ mềm dẻo với mức giá chấp nhận thơng qua dịch vụ điện tốn đám mây Tuy nhiên tính sẵn sàng cao cách hiệu để tăng khả phục hồi, khả lỗi cịn Vì quan trọng cần có quy trình thủ tục DR lập kế hoạch cẩn thận thử nghiệm Phụ lục C (Tham khảo) Đánh giá kịch lỗi C.1 Tổng quát Có nhiều kỹ thuật quản lý rủi ro tiềm ẩn hỗ trợ việc đánh giá sẵn sàng ICT cho BC phát triển khung phù hợp để liên tục phát triển nâng cao khả phục hồi ICT Chuẩn ISO 31010:2009 “Quản lý rủi ro - Các kỹ thuật đánh giá rủi ro” cung cấp thực hành tốt việc lựa chọn sử dụng kỹ thuật đánh giá rủi ro Có thể tham khảo chuẩn để xác định kỹ thuật phù hợp sử dụng tổ chức Việc đánh giá kịch lỗi kỹ thuật có ích việc nâng cao hiệu IRBC phụ lục cung cấp thông tin bổ sung việc làm thực C.2 Phương pháp đánh giá Vấn đề rủi ro chưa biết xuất đánh kết thay đổi bên bên ngồi mơi trường tổ chức mà cản trở tính liên tục khả phục hồi hoạt động Mục đích việc đánh giá kịch lỗi để xác định báo kiện phù hợp đảm bảo kế hoạch IRBC phát vấn đề rủi ro xuất chuẩn bị tổ chức để đảm bảo hành động phù hợp thực trước lỗi xảy Hiện có số phương pháp cho mục đích này, bao gồm Phân tích hiệu chế độ lỗi (FMEA Failure Mode Effect Analysis) Phân tích tác động lỗi phần tử (CFIA - Component Failure Impact Analysis) Nhằm mục đích chứng minh, phụ lục làm rõ phương pháp FMEA cụ thể tổ chức cần lựa chọn phương pháp phù hợp với môi trường tảng họ FMEA quy trình để định danh phân tích chế độ lỗi tiềm ẩn hệ thống để phân loại mức độ nghiêm trọng xác định ảnh hưởng lỗi tới hệ thống Trong phạm vi tiêu chuẩn này, FMEA áp dụng để xác định báo kiện quan trọng cần giám sát để phát chế độ lỗi tiềm ẩn hệ thống ICT tổ chức Quy trình, dựa cách tiếp cận FMEA, áp dụng tới phần tử quan trọng dịch vụ ICT mô tả 6.3.2 Đối với phần tử quan trọng: a) xác định chế độ lỗi tiềm ẩn; b) xác định ảnh hưởng tiềm ẩn tới dịch vụ ICT, tức mức độ nghiêm trọng chế độ lỗi, hậu có thể; c) xác định tần suất xuất chế độ lỗi mà tổ chức gặp trước kia, dễ dàng việc giám sát phát chế độ lỗi đó; d) xác định báo cung cấp dấu hiệu thông tin phần tử lỗi; e) xác định kiện trực tiếp gián tiếp có liên quan, làm thay đổi trạng thái báo; f) xác định kiểm sốt có để phịng tránh lỗi cho phần tử quan trọng phát lỗi xảy ra; g) xác định nguồn liệu liên quan, phương pháp giám sát để phát thay đổi giá trị báo, phân loại báo kiện tính sẵn sàng phương pháp giám sát độ dễ dàng giám sát; h) xác định liệu việc giảm rủi ro phù hợp kiểm sốt loại trừ áp dụng để ngăn chặn xuất rủi ro C.3 Kết đánh giá Đầu FMEA bao gồm danh sách chế độ lỗi tiềm ẩn ảnh hưởng, kiện liên quan - sử dụng để xác định báo kiện cần giám sát Các chế độ lỗi xác định thơng qua quy trình FMEA phân cấp ưu tiên theo mức độ nghiêm trọng đánh giá, tần suất xuất lỗi, dễ dàng giám sát phát FMEA lập tài liệu kiến thức hành động rủi ro lỗi, để sử dụng cải tiến tính liên tục Nếu FMEA sử dụng giai đoạn thiết kế với mục đích để tránh lỗi tương lai sử dụng cho kiểm sốt quy trình trước vận hành quy trình Lý tưởng FMEA bắt đầu giai đoạn thiết kế khái niệm sớm tiếp tục theo suốt vòng đời sản phẩm dịch vụ Phụ lục D (Tham khảo) Phát triển tiêu chí hiệu Do hiệu IRBC tổ chức khác nên tổ chức cần phát triển tiêu chí hiệu IRBC mình, trì chúng phần quy trình cải tiến liên tục Một cách tiếp cận sử dụng kịch cố biết kiện liên quan để xây dựng hướng ứng phó cho loại cố kiện liên quan sau: a) Là phần quy trình ISMS BCM, báo cố kiện biết thiết lập làm đầu vào bước b) Cho tập cố biết (ví dụ công xâm nhập mật khẩu, lỗi máy chủ không đủ không gian đĩa cứng) c) Xác định kiện dẫn đến cố (ví dụ cố gắng đăng nhập lỗi, sử dụng đĩa cứng) d) Xác định thời gian phát phù hợp (ví dụ ngưỡng để kiện báo cáo/cảnh báo tới hệ thống/người quản trị) e) Xác định thời gian ứng phó phù hợp (ví dụ khung thời gian cho nhà quản trị đưa hành động để ngăn chặn cố trở thành thực) f) Phân loại kiện theo nhóm thời gian ứng phó mong muốn kiểu hoạt động ứng phó; kiện phân loại theo nhóm mối đe doạ, nhóm ứng dụng, nhóm hành động ứng phó và/hoặc nhóm thời gian ứng phó g) Hồn thiện ma trận phép đo thông qua việc kiểm thử kịch diễn tập h) Tiến hành kiểm thử để xác định liệu hành động ứng phó có khả thi có đạt mục tiêu khơng i) Hồn thiện phân loại, thời gian ứng phó kiện dự kiến hành động ứng phó kiện dự kiến (ví dụ, tìm phương pháp thay để giám sát, phát hành động) j) Cải tiến cách nắm bắt kiện kịch lỗi lặp lại quy trình Thư mục tài liệu tham khảo [1] SS 540:2008, Singapore Standard for Business Continuity Management [2] BS 25999-1:2006, Business continuity management - Part 1: Code of practice [3] TCVN ISO 9000:2007 (ISO 9000:2005), Hệ thống quản lý chất lượng - Cơ sở từ vựng [4] ISO/IEC 18043:2006, Information technology - Security techniques - Selection, deployment and operations of intrusion detection systems [5] ISO/IEC 20000-1:2005, Information technology - Service management - Part 1: Specification [6] ISO/IEC 20000-2:2005, Information technology - Service management - Part 2: Code of practice [7] ISO 22301, Societal security - Preparedness and continuity management systems - Requirements 2) [8] ISO/IEC 24762:2008, Information technology - Security techniques - Guidelines for information and communications technology disaster recovery services [9] TCVN 10541 (ISO/IEC 27003), Cơng nghệ thơng tin - Các kỹ thuật an tồn - Hướng dẫn triển khai hệ thống quản lý an tồn thơng tin [10] TCVN 10542 (ISO/IEC 27004), Cơng nghệ thơng tin - Các kỹ thuật an tồn - Quản lý an tồn thơng tin - Đo lường [11] ISO 31010:2009, Risk management - Risk assessment techniques MỤC LỤC Lời nói đầu Lời giới thiệu Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Ký hiệu thuật ngữ Tổng quan 5.1 Vai trị IRBC quản lý tính liên tục hoạt động 5.2 Nguyên tắc IRBC 5.3 Phần tử IRBC 5.4 Thành lợi ích IRBC 5.5 Thiết lập IRBC 5.6 Sử dụng chu trình PDCA để thiết lập IRBC 5.7 Trách nhiệm lãnh đạo Lập kế hoạch IRBC 6.1 Tổng quát 6.2 Nguồn lực 6.3 Xác định yêu cầu 6.4 Xác định tùy chọn chiến lược IRBC 6.5 Phê duyệt 6.6 Nâng cao khả IRBC 6.7 Tiêu chí hiệu sẵn sàng ICT Triển khai vận hành 7.1 Tổng quát 7.2 Triển khai phần tử chiến lược IRBC 7.3 Ứng phó cố 7.4 Tài liệu kế hoạch IRBC 7.5 Chương trình nâng cao nhận thức, lực đào tạo 7.6 Kiểm soát tài liệu Giám sát xem xét 8.1 Duy trì IRBC 8.2 Đánh giá nội IRBC 8.3 Xem xét lãnh đạo 8.4 Đo lường tiêu chí hiệu sẵn sàng ICT Cải tiến IRBC 9.1 Cải tiến liên tục 9.2 Hành động khắc phục 9.3 Hành động phòng ngừa Phụ lục A (Tham khảo) IRBC mốc gián đoạn Phụ lục B (Tham khảo) Hệ thống nhúng có tính sẵn sàng cao Phụ lục C (Tham khảo) Đánh giá kịch lỗi Phụ lục D (Tham khảo) Phát triển tiêu chí hiệu Thư mục tài liệu tham khảo ... chức sử dụng TCVN ISO/IEC 27001 để thiết lập ISMS, sử dụng tiêu chuẩn liên quan để thiết lập hệ thống BCM, việc thiết lập IRBC nên vào việc xem xét tồn gắn kết quy trình tới tiêu chuẩn Liên kết... lý cố an tồn thơng tin TCVN 11238 (ISO/IEC 27000), Công nghệ thông tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Tổng quan từ vựng TCVN ISO/IEC 27001 (ISO/IEC 27001), Công nghệ... truyền thông - Các yêu cầu TCVN ISO/IEC 27002 (ISO/IEC 27002), Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành cho quản lý an tồn thơng tin TCVN 10295 (ISO/IEC 27005), Cơng nghệ

Ngày đăng: 27/10/2020, 18:20

HÌNH ẢNH LIÊN QUAN

Hình 1- Tích hợp IRBC và BCM - Tiêu chuẩn Quốc gia TCVN ISO/IEC 27031:2017
Hình 1 Tích hợp IRBC và BCM (Trang 2)
Hình 2 minh hoạ các kết quả ICT dự kiến để hỗ trợ các hoạt động BCM - Tiêu chuẩn Quốc gia TCVN ISO/IEC 27031:2017
Hình 2 minh hoạ các kết quả ICT dự kiến để hỗ trợ các hoạt động BCM (Trang 5)
Như thể hiện trong Hình 3, các hoạt động sẵn sàng nhằm mục đích: a) cải thiện khả năng phát hiện sự cố; - Tiêu chuẩn Quốc gia TCVN ISO/IEC 27031:2017
h ư thể hiện trong Hình 3, các hoạt động sẵn sàng nhằm mục đích: a) cải thiện khả năng phát hiện sự cố; (Trang 6)
Hình 4 minh họa phần tử IRBC tương ứng hỗ trợ việc phục hồi sau thảm họa ICT điển hình theo thời gian và hỗ trợ các hoạt động liên tục hoạt động - Tiêu chuẩn Quốc gia TCVN ISO/IEC 27031:2017
Hình 4 minh họa phần tử IRBC tương ứng hỗ trợ việc phục hồi sau thảm họa ICT điển hình theo thời gian và hỗ trợ các hoạt động liên tục hoạt động (Trang 7)
Hình 5- Các giai đoạn trong IRBC 5.6 Sử dụng chu trình PDCA để thiết lập IRBC - Tiêu chuẩn Quốc gia TCVN ISO/IEC 27031:2017
Hình 5 Các giai đoạn trong IRBC 5.6 Sử dụng chu trình PDCA để thiết lập IRBC (Trang 9)
Hình 6- Chương trình thử nghiệm và diễn tập mức độ tăng dần - Tiêu chuẩn Quốc gia TCVN ISO/IEC 27031:2017
Hình 6 Chương trình thử nghiệm và diễn tập mức độ tăng dần (Trang 21)
Hình A.1 - IRBC yà các mốc trong một gián đoạn Phụ lục B - Tiêu chuẩn Quốc gia TCVN ISO/IEC 27031:2017
nh A.1 - IRBC yà các mốc trong một gián đoạn Phụ lục B (Trang 26)

TỪ KHÓA LIÊN QUAN