Thử nghiệm và diễn tập

Một phần của tài liệu TCVN :CÔNG NGHỆ THÔNG TIN – KỸ THUẬT AN TOÀN – HƯỚNG DẪN CHO CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG CHO TÍNH LIÊN TỤC NGHIỆP VỤ (Trang 32 - 36)

8 Theo dõi và soát xét

8.1.3 Thử nghiệm và diễn tập

8.1.3.1 Tổng quát

Các tổ chức nên diễn tập không chỉ là để phục hồi các dịch vụ ICT mà còn để thuyết phục về khả năng phục hồi các yếu tố để nhận biết:

a) Các dịch vụ có thể được bảo vệ, duy trì và/hoặc được thu hồi không phụ thuộc vào mức độ nghiêm trọng của sự cố;

b) Việc sắp xếp quản lý IRBC có thể giảm thiểu tác động đến nghiệp vụ; c) Các thủ tục để đưa nghiệp vụ về trạng thái bình thường.

8.1.3.2 Chương trình thử nghiệm và diễn tập

Trong hầu hết các trường hợp, thì toàn bộ các phần tử và quá trình IRBC bao gồm phục hồi ICT có thể không được chứng minh trong việc thử nghiệm và diễn tập. Do đó một chế độ diễn tập tăng dần có thể thích hợp với việc mô phỏng đầy đủ một sự cố thực tế. Chương trình sẽ bao gồm các cấp độ diễn tập khác nhau để làm quen với khả năng phục hồi từ phòng máy tính, như định nghĩa trong Hình 5 và nên xem xét tất cả các khía cạnh của việc cung cấp dịch vụ ICT đầu-cuối.

Những rủi ro liên quan tới việc thử nghiệm và diễn tập và các hoạt động tương tự không được đặt tổ chức vào những rủi ro không chấp nhận được. Chương trình thử nghiệm và diễn tập phải xác địnhrủi ro của diễn tập cá nhân được giải quyết như thế nào. Quản lý cao nhất ký duyệt chương trình diễn tập và cần được giải thích rõ ràng về các tài liệu rủi ro liên quan tới.

Mục tiêu chương trình thử nghiệm và diễn tập phải phù hợp hoàn toàn với phạm vi và mục tiêu quản lý tính liên lục của nghiệp vụ và bổ sung cho chương trình diễn tập mở rộng của tổ chức. Mỗi chương trình thử nghiệm và diễn tập phải có cả mục tiêu kinh doanh (kể cả trường hợp không có sự tham gia trực tiếp của doanh nghiệp liên quan) và xác định các mục tiêu kỹ thuật để thử nghiệm và kiểm duyệt phần tử cụ thể của chiến lược IRBC.

Các thành phần diễn tập trong môi trường cách ly ở mức thành phần bổ sung tới diễn tập hệ thống tổng thể và phải được duy trì như một phần của chương trình thử nghiệm và diễn tập.

Chương trình thử nghiệm và diễn tập phải xác định tần xuất, phạm vi, và định dạng của mỗi bài tập. Sau đây là những ví dụ mức cao về phạm vi diễn tập:

a) Phục hồi dữ liệu: phục hồi dữ liệu của một tập tin đơn lẻ hoặc cơ sở dữ liệu lỗi; b) Phục hồi một máy chủ đơn (bao gồm việc xây dựng lại từ đầu);

c) Phục hồi một ứng dụng (có thể bao gồm một số máy chủ, các ứng dụng phụ và cơ sở hạ tầng); d) Chuyển đổi dự phòng các dịch vụ lưu trữ trên một nền tảng có tính sẵn sàng cao (ví dụ, phân nhóm: mô phỏng sự mất mát của bất kỳ thành viên của nhóm- xem Phụ lục B);

e) Phục hồi dữ liệu từ băng đĩa (phục hồi các tập tin đơn lẻ hoặc một loạt các tập tin từ băng đĩa); f) Thử nghiệm mạng;

g) Kiểm tra dự phòng lỗi cơ sở hạ tầng truyền thông.

Các diễn tập nên được nâng cao dần để có một kiểm tra tăng dần về sự phụ thuộc và các mối liên hệ bên trong và cộng đồng người dùng cuối có liên quan.

8.1.3.3 Phạm vi của diễn tập

Diễn tập phải được thực hiện để:

a) Xây dựng độ tin cậy trong toàn bộ tổ chức về khả năng phục hồi và chiến lược phục hồi đáp ứng được các yêu cầu nghiệp vụ;

b) Chứng minh các dịch vụ ICT trọng yếu có thể được duy trì và phục hồi cùng với các mức độ dịch vụ đã được chấp thuận hoặc các mục tiêu phục hồi liên quan tới sự cố;

c) Chứng minh các dịch vụ ICT trọng yếu có thể được phục hồi tới trạng thái đã thử nghiệm trong trường hợp xảy ra sự cố ở vị trí phục hồi;

d) Tạo cơ hội cho nhân viên làm quen với quy trình phục hồi;

e) Đào tạo nhân viên và đảm bảo họ có đủ kiến thức về kế hoạch và các thủ tục IRBC; f) Kiểm tra việc duy trì IRBC được đồng bộ với cơ sở hạ tầng ICT và cơ sở hạ tầng chung;

g) Xác định các cải tiến được yêu cầu cho chiến lược, kiến trúc hoặc các quy trình phục phồi IRBC; h) Cung cấp bằng chứng cho mục đích đánh giá và chứng minh thẩm quyền dịch vụ ICT của tổ chức

8.1.3.4 Các phần tử phục hồi dịch vụ

Tổ chức phải thực hiện diễn tập tất cả các yếu tố của phục hồi dịch vụ ICT như sự tương thích với kích thước của nó, độ phức tạp và phạm vi quản lý tính liên tục nghiệp vụ. Các luyện tập phải trọng tâm vào việc phục hồi và tiếp tục lại dịch vụ, nhưng phải bao gồm tính tin cậy của khả năng phục hồi, giám sát hệ thống và quản lý cảnh báo.

Tổ chức phải diễn tập ở mức độ phần tử thông qua toàn bộ hệ thống thử nghiệm dựa trên vị trí để đạt được mức độ tin tưởng và khả năng phục hồi cao.

Hình 6 - Chương trình thử nghiệm và diễn tập mức độ tăng dần Các yếu tố sau là cần thiết để diễn tập:

a) Phòng máy tính, ví dụ như an toàn vật lý, các hệ thống phát hiện cháy và rò rỉ nước, quy trình sơ tán, hệ thống sưởi, thông gió và điều hòa nhiệt độ, giám sát môi trường, các phương thức cảnh báo và các dịch vụ điện;

b) Cơ sở hạ tầng, bao gồm khả năng phục hồi kết nối mạng, sự đa dạng và an toàn mạng, bao gồm chống virut, phát hiện và chống xâm nhập;

c) Phần cứng, bao gồm các máy chủ, thiết bị viễn thông, thiết bị lưu động và lưu trữ; d) Phần mềm;

e) Dữ liệu; f) Các dịch vụ;

g) Vai trò và phản ứng của nhà cung ứng.

8.1.3.5 Hoạch định diễn tập

Để đảm bảo việc diễn tập không phải là nguyên nhân gây ra sự cố hoặc làm suy giảm khả năng dịch vụ, một diễn tập phải được lên kế hoạch cẩn thận để tối thiểu hóa rủi ro sự cố xảy ra.

Quản lý rủi ro phải phù hợp với mức độ diễn tập được thực hiện (tức là các yếu tố của phục hồi dịch vụ). Điều này có thể bao gồm:

- Đảm bảo tất cả dữ liệu được sao lưu ngay trước khi diễn tập; - Thực hiện diễn tập trong các môi trường cô lập;

- Lập lịch các bài diễn tập “ngoài giờ” hoặc trong thời gian của chu trình nghiệp vụ, với kiến thức của người dùng cuối.

Các bài diễn tập phải sát với thực tế, có kế hoạch cẩn thận và thống nhất với các bên liên quan, để tối thiểu hóa rủi ro gián đoạn của các quy trình nghiệp vụ. Chúng không được vượt ra ngoài các sự cố. Quy mô và sự phức tạp của các bài diễn tập phải phù hợp với mục tiêu phục hồi của tổ chức.

Mỗi diễn tập nên có một “điều khoản tham chiếu” được sự đồng ý và ký duyệt trước bởi nhà tài trợ diễn tập, mà có thể bao gồm những điều sau:

a) Mô tả; b) Mục tiêu; c) Phạm vi; d) Các giả định; e) Các ràng buộc; f) Rủi ro; g) Chỉ tiêu hoàn thành; h) Tài nguyên; i) Vai trò và trách nhiệm;

j) Luồng thời gian/tiến độ mức cao; k) Thu thập dữ liệu diễn tập; i) Ghi nhật ký diễn tập/sự cố; m) Trao đổi;

n) Các hoạt động sau diễn tập (theo dõi và báo cáo).

Kế hoạch diễn tập phải cho phép tổ chức đạt được chỉ tiêu hoàn thành đã xác định

8.1.3.6 Quản lý diễn tập

Cấu trúc lệnh diễn tập rõ ràng phải được giao cho nhân viên có vai trò và trách nhiệm phù hợp xây dựng. Cấu trúc lệnh diễn tập có thể bao gồm:

a) Người điều khiển diễn tập(các bên tham gia với vai trò kiểm soát toàn bộ chương trình thử nghiệm và diễn tập);

b) Kênh liên lạc của diễn tập;

c) Xác nhận có đủ nhân viên để thực hiện diễn tập an toàn;

d) Đủ giám sát viên và hỗ trợ viên để nắm bắt các thủ tục diễn tập và duy trì nhật ký các vấn đề; e) Các mốc diễn tập chính;

f) Phương thức kết thúc diễn tập;

g) Phương thức diễn tập dừng khẩn cấp.

Diễn tập phải tuân theo lệnh diễn tập để đảm bảo: a) Mục tiêu và các mốc diễn tập chính được đáp ứng;

b) Tất cả tài liệu và hoạt động diễn tập có mức độ bí mật phù hợp; c) Bất kỳ rủi ro nào xảy ra cần được giám sát và giảm thiểu; d) Các khách mời/giám sát viên được cấp quyền phù hợp; e) Thủ tục diễn tập được nắm bắt một cách nhất quán;

f) Tất cả các bên tham gia được yêu cầu và thu thập phản hồi

8.1.3.7 Soát xét, báo cáo và theo dõi

Kết thúc diễn tập, kết quả phải được soát xét và theo dõi kịp thời, điều này bao gồm: a) Thu thập kết quả và các phát hiện;

b) Phân tích kết quả và các phát hiện so sánh với mục tiêu và chỉ tiêu hoàn thành của diễn tập; c) Xác định các khoảng trống;

d) Gán các điểm hành động với khung thời gian đã quy định;

e) Tạo báo cáo diễn tập để nhà tài trợ xem xét một cách chính thức; f) Củng cố và theo dõi các hành động báo cáo diễn tập.

Một phần của tài liệu TCVN :CÔNG NGHỆ THÔNG TIN – KỸ THUẬT AN TOÀN – HƯỚNG DẪN CHO CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG CHO TÍNH LIÊN TỤC NGHIỆP VỤ (Trang 32 - 36)

Tải bản đầy đủ (DOC)

(46 trang)
w