Tiêu chuẩn này áp dụng cho mọi tổ chức tư nhân, chính phủ, phi chính phủ, bất kể kích cỡ mà phát triển chương trình ICT để đảm bảotính liên tục nghiệp vụ, tổ chức có yêu cầu dịch vụ/cơ s
Trang 1TCVN T I Ê U C H U Ẩ N Q U Ố C G I A
TCVN ISO/IEC xxxx:yyyy ISO/IEC 27031:2011
Xuất bản lần 1
CÔNG NGHỆ THÔNG TIN – KỸ THUẬT AN TOÀN – HƯỚNG DẪN CHO CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
CHO TÍNH LIÊN TỤC NGHIỆP VỤ
Information technology – Security techniques – Guidelines for information and
communication technology readiness for business continuity
HÀ NỘI – 2014
Trang 4Mục lục
Lời nói đầu 5
Lời giới thiệu 6
1 Phạm vi áp dụng 8
2 Tài liệu viện dẫn 8
3 Thuật ngữ và định nghĩa 9
4 Ký hiệu và thuật ngữ 11
5 Tổng quan 11
5.1 Vai trò của IRBC trong quản lý tính liên tục nghiệp vụ 11
5.2 Nguyên tắc của IRBC 13
5.3 Phần tử của IRBC 14
5.4 Thành quả và lợi ích của IRBC 15
5.5 Thiết lập IRBC 15
5.6 Sử dụng chu trình PDCA để thiết lập IRBC 16
5.7 Trách nhiệm quản lý 16
5.7.1 Lãnh đạo quản lý và cam kết 16
5.7.2 Chính sách IRBC 17
6 Hoạch định IRBC 17
6.1 Tổng quát 17
6.2 Nguồn lực 17
6.2.1 Tổng quát 17
6.2.2 Năng lực của nhân viên IRBC 18
6.3 Xác định yêu cầu 18
6.3.1 Tổng quát 18
6.3.2 Hiểu rõ các dịch vụ ICT trọng yếu 18
6.3.3 Xác định khoảng trống giữa các khả năng sự sẵn sàng ICT và các yêu cầu tính liên tục nghiệp vụ 19
6.4 Xác định các tùy chọn chiến lược IRBC 19
6.4.1 Tổng quát 19
6.4.2 Tùy chọn chiến lược IRBC 20
6.5 Phê duyệt 23
6.6 Nâng cao khả năng IRBC 23
6.6.1 Nâng cao khả năng phục hồi 23
6.7 Tiêu chí hiệu năng sự sẵn sàng ICT 23
6.7.1 Xác định các tiêu chí hiệu năng 23
7 Triển khai và vận hành 24
7.1 Tổng quát 24
7.2 Triển khai các phần tử của chiến lược IRBC 24
7.2.1 Nâng cao nhận thức, kỹ năng và kiến thức 24
7.2.2 Cơ sở vật chất 25
7.2.3 Công nghệ 25
7.2.4 Dữ liệu 25
7.2.5 Quy trình 25
7.2.6 Nhà cung cấp 26
7.3 Phản ứng sự cố 26
7.4 Tài liệu kế hoạch IRBC 26
7.4.1 Tổng quát 26
7.4.2 Nội dung tài liệu kế hoạch 27
7.4.3 Tài liệu kế hoạch phản ứng và phục hồi ICT 28
7.5 Chương trình nâng cao nhận thức, năng lực và đào tạo 30
Trang 57.6 Kiểm soát tài liệu 30
7.6.1 Kiểm soát các bản ghi IRBC 30
7.6.2 Kiểm soát tài liệu IRBC 30
8 Theo dõi và soát xét 30
8.1 Duy trì IRBC 30
8.1.1 Tổng quát 30
8.1.2 Giám sát, phát hiện và phân tích các mối đe dọa 31
8.1.3 Thử nghiệm và diễn tập 31
8.2 Đánh giá nội bộ IRBC 35
8.3 Quản lý soát xét 36
8.3.1 Tổng quát 36
8.3.2 Soát xét đầu vào 36
8.3.3 Soát xét đầu ra 36
8.4 Tiêu chí hiệu năng sự sẵn sàng ICT 37
8.4.1 Giám sát và đo lường sự sẵn sàng ICT 37
8.4.2 Định lượng và định tính tiêu chí hiệu năng 37
9 Cải tiến IRBC 38
9.1 Cải tiến liên tục 38
9.2 Hành động sửa lỗi 38
9.3 Hành động phòng ngừa 38
Phụ lục A (tham khảo) IRBC và các mốc trong một gián đoạn 39
Phụ lục B (tham khảo) Hệ thống nhúng sẵn sàng cao 41
Phụ lục C (tham khảo) Đánh giá kịch bản lỗi 42
C.1 Tổng quát 42
C.2 Phương pháp đánh giá 42
C.3 Kết quả đánh giá 43
Phụ lục D (tham khảo) Phát triển tiêu chí hiệu năng 44
Thư mục tài liệu tham khảo 45
Trang 6Lời nói đầu
TCVN ISO/IEC xxxx:yyyy hoàn toàn tương đương với tiêu chuẩn quốc tế
ISO/IEC 27031:2011
TCVN ISO/IEC xxxx:yyyy do Học viện Công nghệ Bưu chính Viễn thông ViệtNam biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đolường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố
Trang 7Lời giới thiệu
Trong những năm qua, công nghệ thông tin và truyền thông đã trở thành một phần không thể thiếu củarất nhiều hoạt động, là những thành phần của cơ sở hạ tầng trọng yếu trong tất cả các lĩnh vực của tổchức, cho dù là tổ chức công, doanh nghiệp hay tổ chức tình nguyện Sự phát triển của Internet và cácdịch vụ mạng, khả năng của các hệ thống và ứng dụng ngày nay, điều này đồng nghĩa với việc tổ chứcngày càng phụ thuộc nhiều vào cơ sở hạ tầng ICT đáng tin cậy và an toàn
Trong khi đó, nhu cầu quản lý tính liên tục nghiệp vụ, bao gồm kế hoạch nhằm đối phó với các sự cố,phục hồi thảm họa, phản ứng khẩn cấp và quản lý được công nhận và hỗ trợ với miền kiến thức,chuyên môncụ thể, các tiêu chuẩn cũng được phát triển và ban hành trong những năm gần đây baogồm chuẩn quốc tế BCM được phát triển bởi ISO/IEC 223
CHÚ THÍCH: ISO/TC 233 đang trong quá trình xây dựng chuẩn quốc tế quản lý liên tục nghiệp vụ ISO 22302.
Lỗi, sự cố của các dịch vụ ICT, bao gồm sự xuất hiện của sự cố làm ảnh hưởng tới an toàn hệ thốngnhư xâm nhập hệ thống, lây nhiễm mã độc cũng sẽ ảnh hưởnng tới tính liên tục của các hoạt độngnghiệp vụ Do vậy việc quản lý ICT, tính liên tục và các khía cạnhan toàn khác tạo thành một phần củacác yêu cầu liên tục nghiệp vụ Hơn nữa, trong hầu hết các trường hợp, các chức năng nghiệp vụ quantrọng đòi hỏi tính liên tục nghiệp vụ thường phụ thuộc vào ICT Sự phụ thuộc này có nghĩa là sự giánđoạn ICT có thể mang lại rủi ro ảnh hưởng tới khả năng hoạt động và uy tín của tổ chức
Sự sẵn sàng ICT là thành phần thiết yếu của nhiều tổ chức trong việc thực hiện quản lý liên tục nghiệp
vụ và quản lý an toàn thông tin Như một phần của việc thực hiện và vận hành hệ thống quản lý antoàn thông tin ISMS được quy định trong TCVN ISO/IEC 27001:2009 và hệ thống quản lý tính liên tụcnghiệp vụ tương ứng, việc xây dựng và thực hiện kế hoạch liên tục nghiệp vụ cho dịch vụ ICT là rấtquan trọng để đảm bảo tính liên tục của nghiệp vụ
Hiệu quả BCM thường xuyên phụ thuộc vào hiệu quả của sự sẵn sàng ICT để đảm bảo mục tiêu của tổchức có thể tiếp tục đạt được trong thời gian bị gián đoạn Điều này đặc biệt quan trọng như là hậu quảcủa các gián đoạn ICT làm tăng sự phức tạp tiềm ẩn hoặc gây khó khăn để phát hiện
Để tổ chức đạt được sự sẵn sàng ICT cho tính liên tục nghiệp vụ, tổ chức phải đưa ra một quy trình đểngăn chặn, dự đoán và quản lý sự gián đoạn ICT và các sự cố có thể làm gián đoạn các dịch vụ ICT.Điều này có thể đạt được bằng việc áp dụng chu trình PDCA như một phần của hệ thống quản lý trongICT IRBC Theo cách này IRBC hỗ trợ BCM bằng cách đảm bảo các dịch vụ ICT là linh hoạt và có thểđược phục hồi đến các mức độ xác định trước trong khoảng thời gian cần thiết và sự đồng ý của tổchức
Trang 8Chu trình PDCA trong IRBC
Hoạch định – Plan Thiết lập chính sách IRBC, các mục tiêu, quy trình và các thủ tục liên
quan nhằm quản lý rủi ro và cải tiến sự sẵn sàng ICT để cung cấp kết quảphù hợp với các chính sách và mục tiêu tính liên tục nghiệp vụ tổng thểcủa tổ chức
Thực hiện – Do Thực hiện và vận hành chính sách IRBC, các kiểm soát, các quy trình và
các thủ tục
Kiểm tra – Check Đánh giá và nếu có thể, thực hiện các biện pháp chống lại chính sách,
mục tiêu IRBC, các kinh nghiệm thực tế và báo cáo kết quả tới nhà quản
lý để soát xétHành động - Act Đưa ra các hành động khắc phục và ngăn chặn, dựa trên kết quả soát xét
của nhà quản lý để đạt được cải tiến tiếp theo của IRBCNếu tổ chức sử dụng TCVN ISO/IEC 27001:2009 để thiết lập một ISMS, và sử dụng các tiêu chuẩn liênquan để thiết lập hệ thống BCM, việc thiết lập IRBC nên đi vào việc xem sét sự tồn tại hoặc sự gắn kếtcác quy trình tới các tiêu chuẩn này Liên kết này có thể hỗ trợ việc thiết lập IRBC và tránh quy trìnhkép cho tổ chức
Hình 1 - Tích hợp IRBC và BCM
T I Ê U C H U Ẩ N Q U Ố C G I A
Trang 9Công nghệ thông tin – Kỹ thuật an toàn – Hướng dẫn cho công nghệ thông tin và truyền thông cho tính liên tục nghiệp vụ
Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity
1 Phạm vi áp dụng
Tiêu chuẩn này mô tả các khái niệm và nguyên tắc cho sự sẵn sàng về công nghệ thông tin và truyềnthông để đảm bảo tính liên tục nghiệp vụ, nó cung cấp một khung về các phương thức và quy trình đểđịnh danh, xác định tất cả các khía cạnh (như các tiêu chí hiệu năng, thiết kế và thực hiện) và cải thiện
sự sẵn sàng ICT của tổ chức nhằm đảm bảo tính liên tục nghiệp vụ Tiêu chuẩn này áp dụng cho mọi
tổ chức (tư nhân, chính phủ, phi chính phủ, bất kể kích cỡ) mà phát triển chương trình ICT để đảm bảotính liên tục nghiệp vụ, tổ chức có yêu cầu dịch vụ/cơ sở hạ tầng phải sẵn sàng hỗ trợ cho hoạt độngnghiệp vụ trong trường hợp xảy ra các sự kiện mới, sự cố khẩn cấp, và các sự kiện làm gián đoạn, ảnhhưởng đến tính liên tục (bao gồm cả tính an toàn) của các chức năng nghiệp vụ trọng yếu Tiêu chuẩnnày cũng cho phép tổ chức đánh giá các thông số hiệu năng của IRBC một cách phù hợp
Tiêu chuẩn này áp dụng cho tất cả các sự kiện và sự cố (bao gồm cả sự kiện và sự cố liên quan đến
an toàn) có thể ảnh hưởng tới các hệ thống và cơ sở hạ tầng ICT Phạm vi của hướng dẫn này cũngbao gồm và mở rộng các thực hành về quản lý, xử lý sự cố an toàn thông tin, các dịch vụ và việchoạch định cho sự sẵn sàng ICT
2 Tài liệu viện dẫn
ISO/IEC TR 18044:2004, Information technology — Security techniques — Information security incident
management (Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý sự cố an toàn thông tin).
ISO/IEC 27000, Information technology — Security techniques — Information security managementsystems — Overview and vocabulary
TCVN ISO/IEC 27001:2009, Công nghệ thông tin – Các kỹ thuật an toàn – Hệ thống quản lý an toàn
thông tin và truyền thông – Các yêu cầu (ISO/IEC 27001)
TCVN ISO/IEC 27002:2011, Công nghệ thông tin – Các kỹ thuật an toàn – Quy tắc thực hành cho quản
lý an toàn thông tin (ISO/IEC 27002).
ISO/IEC 27005, Information technology — Security techniques — Information security risk
Trang 10Vị trí vận hành thay thế được lựa chọn sử dụng bởi tổ khi các hoạt động nghiệp vụ thông thườngkhông thể thực hiện bằng cách sử dụng vị trí thông thường sau khi gián đoạn đã xảy ra
3.6
Gián đoạn (disruption)
Sự cố, được dự báo (ví dụ như bão) hoặc không được dự báo (như mất điện, động đất hoặc tấn công
và hệ thống/cơ sở hạ tầng ICT) làm gián đoạn các hoạt động thông thường ở một vị trí nào đó của tổchức
3.7
Phục hồi thảm họa ICT (ICT disaster recovery)
Trang 11Khả năng của các phần tử ICT trong tổ chức để hỗ trợ các chức năng nghiệp vụ trọng yếu hoạt động ởmột mức có thể chấp nhận được trong một khoảng thời gian định trước sau gián đoạn.
3.8
Kế hoạch phục hồi thảm họa ICT (ICT disaster recovery plan)
Tài liệu kế hoạch và định nghĩa rõ ràng để phục hồi các khả năng ICT khi một gián đoạn xảy ra
CHÚ THÍCH: trong một số tổ chức còn gọi là kế hoạch liên tục ICT.
3.9
Chế độ lỗi (failure mode)
Cách thức mà một lỗi được quan sát
CHÚ THÍCH: Chế độ này mô tả cách thức xảy ra một lỗi và lỗi ảnh hưởng thế nào đến hoạt động của hệ thống.
Trang 12Khả năng phục hồi (resilience)
Khả năng chống lại tác động gián đoạn của tổ chức
3.15
Kích khởi (trigger)
Sự kiện làm cho hệ thống khởi tạo một quá trình phản ứng
CHÚ THÍCH: Còn gọi là sự kiện kích khởi
3.16
Hồ sơ quan trọng (vital record)
Hồ sơ giấy hoặc điện tử cần thiết cho các hoạt động lưu trữ, liên tục hoặc tái thiết lập của tổ chức hoặc
để bảo vệ quyền của tổ chức, nhân viên, khách hàng hoặc các bên liên quan tới tổ chức
4 Ký hiệu và thuật ngữ
ICT Infomaiton and Communication
Technology
Công nghệ thông tin và truyền thông
IRBC ICT Readiness for Business Continuity Sự sẵn sàng ICT cho tính liên tục nghiệp vụISMS Infomaion Security Management System Hệ thống quản lý an toàn thông tin
PDCA Plan – Do – Check – Act Hoạch định – Thực hiện – Kiểm tra – Hành
động
IT Infomaiton Technology Công nghệ thông tin
5 Tổng quan
5.1 Vai trò của IRBC trong quản lý tính liên tục nghiệp vụ
Quản lý tính liên tục nghiệp vụ (BCM) là quy trình quản lý tổng thể nhận biết các mối đe dọa tiềm ẩn vàcác tác động tới hoạt động nghiệp vụ của tổ chức, cung cấp một khung để xây dựng khả năng phục hồi
và khả năng phản ứng hiệu quả nhằm bảo vệ lợi ích của tổ chức khỏi gián đoạn
Giống như một phần của quy trình BCM, IRBC được coi là một hệ thống quản lý để bổ sung và hỗ trợcho BCM và/hoặc ISMS của tổ chức, để cải thiện sự sẵn sàng của tổ chức nhằm mục đích:
a) phản ứng với môi trường rủi ro thay đổi liên tục;
b) đảm bảo tính liên tục của các hoạt động nghiệp vụ trọng yếu được hỗ trợ bởi các dịch vụ ICT;
c) sẵn sàng phản ứng trước gián đoạn của dịch vụ ICT có thể xảy ra, dựa trên một hoặc nhiều sự kiệnnối tiếp liên quan đến sự cố;
d) phản ứng và phục hồi từ các sự cố/thảm họa và các lỗi.
Trang 13Hình 2 minh hoạ các thànhphần ICT cần đạt được để hỗ trợ các hoạt động BCM
Hình 2 - BCM, đầu ra ICT và thành quả cần đạt đượcTiêu chuẩn quốc tế BCM phát triển bởi ISO/TC 223 tóm tắt các phương pháp tiếp cận BCM để ngănchặn, phản ứng và phục hồi từ các sự cố Các hoạt động liên quan đến BCM gồm dự báo sự cố, hoạtđộng quản lý tính liên tục, kế hoạch phục hồi thảm hoạvà giảm thiểu rủi ro tập trung vào việc tăng khảnăng phục hồi của tổ chức và chuẩn bị sẵn sàng để phản ứng hiệu quả với sự cố và phục hồi trongkhoảng thời gian xác định trước
Do đó, tổ chức thiết đặt các quyền ưu tiên BCM để điều khiển các hoạt động IRBC BCM phụ thuộcvào IRBC để đảm bảo tổ chức có thể đạt được toàn bộ các mục tiêu liên tục và đặc biệt là trongkhoảng thời gian bị gián đoạn
Như thể hiện trong hình 3, các hoạt động sẵn sàng nhằm mục đích:
a) cải thiện khả năng phát hiện sự cố;
b) ngăn chặn lỗi bất thường hoặc tác động mạnh;
c) cho phép giảm trạng thái hoạt động xuống mức có thể chấp nhận khi không thể dừng lỗi;
d) Rút ngắn thời gian phục hồi;
e) Giảm thiểu tác động khi xảy ra sự cố
Trang 14Hình 3 - Khái niệm về sự sẵn sàng ICT cho tính liên tục nghiệp vụ
5.2 Nguyên tắc của IRBC
IRBC dựa trên các nguyên tắc chính sau:
a) Ngăn chặn sự cố - Bảo vệ các dịch vụ ICT khỏi các mối đe dọa như: lỗi phần cứng và môi trường,lỗi hoạt động, tấn công mã độc và thảm họa tự nhiên là rất quan trọng để duy trì mức độ sẵn sàng cho
hệ thống tổ chức;
b) Phát hiện sự cố - Phát hiện các sự cố sớm nhất có thể sẽ giảm thiểu tác động của nó tới các dịch
vụ, tiết kiệm công sức phục hồi và bảo vệ chất lượng cho dịch vụ;
c) Phản ứng - Việc phản ứng với sự cố theo cách phù hợp nhất sẽ giúp việc phục hồi hiệu quả và giảmthiểu thời gian không sẵn sàng Việc phản ứng không tốt có thể dẫn đến sự cố nhỏ leo thang thành sự
cố nghiêm trọng hơn;
d) Cải tiến - Bài học kinh nghiệm từ các sự cố nhỏ và sự cố lớn được tài liệu hóa, phân tích và xem xétlại Việc hiểu các bài học cho phép tổ chức chuẩn bị, kiểm soát và tránh các sự cố và gián đoạn tốthơn
Hình 4 minh họa phần tử IRBC tương ứng hỗ trợ việc phục hồi sau thảm họa ICT điển hình theo thời gian và
hỗ các hoạt động liên tục nghiệp vụ Việc thực hiện IRBC cho phép tổ chức phản ứng hiệu quả với các mối
đe dọa mới và đang phổ biến cũng như khả năng phản ứng lại gián đoạn và phục hồi từ gián đoạn
Trang 15Hình 4 - Nguyên tắc của IRBC theo dòng thời gian phục hồi sau thảm họa điển hình
CHÚ THÍCH: Giai đoạn phục hồi bao gồm các hoạt động phục hồi /đưa dịch vụ hoạt động trở lại kịp thời, các vận hành ICT
DR ổn định, phục hồi và trở lại hoạt động bình thường Để biết chi tiết tham khảo Hình A.1 trong Phụ lục A.
5.3 Phần tử của IRBC
Các phần tử chính của IRBC có thể được tóm tắt như sau:
a) Con người: các chuyên gia với kỹ năng và kiến thức phù hợp, và các nhân sự có đủ khả năng để dựphòng;
b) Trang thiết bị: môi trường vật lý đặt tài nguyên ICT;
c) Công nghệ:
1) Phần cứng (bao gồm tủ đựng, máy chủ, máy lưu trữ, thiết bị băng từ và các phụ kiện cố định);2) Mạng (bao gồm kết nối dữ liệu và các dịch vụ âm thanh), các bộ chuyển mạch và bộ định tuyến;3) Phần mềm, gồm hệ điều hành và phần mềm ứng dụng, các liên kết, giao diện giữa ứng dụng vàchương trình xử lý hàng loạt;
d) Dữ liệu: dữ liệu ứng dụng, dữ liệu thoại và các kiểu dữ liệu khác;
e) Quy trình: bao gồm tài liệu mô tả cấu hình của các tài nguyên ICT, cho phép vận hành hiệu quả giúpphục hồi và duy trì các dịch vụ ICT;
f) Nhà cung cấp: các phần tử khác của dịch vụ đầu-cuối nơi mà các nhà cung cấp dịch vụ ICT phụthuộc vào một nhà cung cấp dịch vụ bên ngoài hoặc tổ chức khác trong chuỗi cung ứng ví dụ nhà cungcấp dữ liệu thị trường tài chính, nhà cung cấp dịch vụ internet hoặc dịch vụ viễn thông
Trang 165.4 Thành quả và lợi ích của IRBC
Lợi ích của IRBC đối với tổ chức:
a) Hiểu rủi ro ảnh hưởng đến tính liên tục của các dịch vụ ICT và các lỗ hổng của nó;
b) Xác định các ảnh hưởng của gián đoạn tới dịch vụ ICT;
c) Khuyến khích cải thiện sự cộng tác giữa nhà quản lý kinh doanh và các nhà cung cấp dịch vụ ICT(trong và ngoài);
d) Phát triển và nâng cao năng lực của nhân viên ICT bằng cách thể hiện các phản ứng thông qua việcthực hiện kế hoạch liên tục ICT và kiểm thử IRBC;
e) Cung cấp sự đảm bảo cho quản lý cao nhất mà nó có thể phụ thuộc vào các mức độ định trước củadịch vụ ICT và nhận được hỗ trợ đầy đủ và truyền đạt khi có gián đoạn;
f) Cung cấp sự đảm bảo cho quản lý cao nhất mà an toàn thông tin ( tính bí mật, tính toàn vẹn và tínhsẵn sàng) được đảm bảo đúng cách, đảm bảo tuân thủ các chính sách an toàn thông tin;
g) Cung cấp thêm độ tin cậy trong chiến lượcliên tục nghiệp vụ thông qua việc kết nối đầu tư trong cácgiải pháp IT vào nghiệp vụ cần thiết và đảm bảo rằng các dịch vụ ICT được bảo vệ ở mức độ phù hợpvới tầm quan trọng của nó trong tổ chức;
h) Có các dịch vụ ICT hiệu quả về chi phí và không dưới hoặc vượt mức đầu tư thông qua việc hiểubiết về mức độ phụ thuộc của tổ chức vào các dịch vụ ICT; tính chất, vị trí, sự phục thuộc lẫn nhau vàviệc sử dụng các phần tử tạo nên dịch vụ ICT;
i) Có thể cải thiện uy tín cho tổ chức một cách an toàn và hiệu quả;
j) Tiềm năng giành được lợi thế cạnh tranh thông qua khả năng cung cấp tính liên tục nghiệp vụ, duy trìsản phẩm và dịch vụ cung cấp trong các thời điểm bị gián đoạn;
k) hiểu và tài liệu hóa kỳ vọng của các bên liên quan và mối quan hệ của họ với và việc sử dụng các dịch vụ ICT.
IRBC cung cấp một cách để xác định trạng thái các dịch vụ ICT của tổ chức trong việc hỗ trợ các mụctiêu của tính liên tục nghiệp vụ của tổ chức bằng cách giải quyết câu hỏi “ICT của chúng tôi có khảnăng đáp ứng” thay vì “ICT của chúng tôi an toàn”
5.5 Thiết lập IRBC
IRBC sẽ hiệu quả và tiết kiệm chi phí khi được thiết kế và tích hợp vào dịch vụ ICTtừ khi thiết lập dịch
vụ ICT như một phần của chiến lược IRBC mà hỗ trợ mục tiêu BC của tổ chức Điều này đảm bảo cácdịch vụ ICT được xây dựng tốt hơn, hiểu rõ ràng hơn, mềm dẻo hơn Việc trang bị thêm IRBC có thểdẫn đến phức tạp, gây xáo trộn và tốn kém
Các tổ chức nên xây dựng, thực hiện, duy trì và cải tiến thường xuyên một tập các quy trình đã tài liệuhóa để hỗ trợ IRBC
Trang 17Các quy trình phải đảm bảo: các mục tiêu IRBC được nêu rõ ràng, dễ hiểu, dễ truyền tải, và thể liệncam kết của nhà quản lý cao nhất tới IRBC.
Hình 5 mô tả các hoạt động trong các giai đoạn của IRBC
Hình 5 - Các giai đoạn trong IRBC
5.6 Sử dụng chu trình PDCA để thiết lập IRBC
IRBC liên quan đến tổ chức trong các quy trình thiết lập để phát triển và cải thiện các phần tử chínhcủa nó (xem 5.2), để cải thiện khả năng phản ứng với bất kỳ gián đoạn nào, bao gồm các tình huốngthay đổi rủi ro thông qua việc sử dụng phương pháp tiếp cận PDCA Hình 5 thể hiện các hoạt độngtrong các giai đoạn khác nhau của IRBC
5.7 Trách nhiệm quản lý
5.7.1 Lãnh đạo quản lý và cam kết
Một chương trình IRBC hiệu quả nên là một quy trình được xử lý tích hợp đầy đủ với các hoạt độngquản lý của tổ chức, được định hướng, ủng hộ và khuyến khích của quản lý cao nhất Một số nhânviên IRBC chuyên nghiệp và nhân viên từ các lĩnh vực quản lý và các phòng ban khác có thể được yêucầu để hỗ trợ và quản lý chương trình IRBC Số lượng nhân viên yêu cầu để hỗ trơ một chương trìnhIRBC phụ thuộc vào quy mô và độ phức tạp của tổ chức
Trang 185.7.2 Chính sách IRBC
Tổ chức phải có chính sách IRBC được tài liệu hóa Ban đầu, tài liệu này có thể ở mức chung chung
so với sự tinh tế và việc cải thiện của toàn bộ quy trình IRBC Sau đó chính sách phải được rà soát vàcập nhật phù hợp với nhu cầu tổ chức và phải nhất quán với mục tiêu BCM
Chính sách IRBC phải cung cấp cho tổ chức các quy tắc đã tài liệu hóa trong đó hiệu quả IRBC đượcđánh giá Nó bao gồm:
a) Thiết lập và giải thích nhiệm vụ của lãnh đạo cao nhất tới chương trình IRBC;
b) Bao gồm hoặc tham chiếu đến các mục tiêu IRBC của tổ chức;
c) Xác định phạm vi của IRBC bao gồm các hạn chế và ngoại lệ;
d) Được phê duyệt và ký bởi lãnh đạo cao nhất;
e) Được thông báo cho các bên liên quan trong và ngoài tổ chức;
f) Định danh và cung cấp quyền tương ứng về tính sẵn sàng của các tài nguyên như ngân sách, nhânviên cần thiết để thực hiện các hoạt động phù hợp với chính sách IRBC;
g) Được xem xét lại ở thời gian lên kế hoạch và khi có thay đổi lớn như thay đổi môi trường, thay đổi
cơ cấu và nghiệp vụ của tổ chức;
6 Hoạch định IRBC
6.1 Tổng quát
Mục tiêu chính của pha hoạch định là thiết lập các yêu cầu sự sẵn sàng ICT bao gồm:
a) Chiến lược IRBC và kế hoạch IRBC cần thiết để hỗ trợ các yêu cầu nghiệp vụ, pháp lý, luật phápliên quan tới phạm vi và kết quả xác định của các mục tiêu tính liên tục nghiệp vụ của tổ chức
b) Các tiêu chí hiệu năng cần thiết được giám sát về mức độ sẵn sàng ICT để đạt được những mụctiêu đó
6.2 Nguồn lực
6.2.1 Tổng quát
Một phần của chính sách bắt buộc, tổ chức phải định nghĩa sự cần thiết của một chương trình IRBCnhư một phần mục tiêu tổng thể BCM, phải nhận biết và cung cấp các tài nguyên cần thiết để thiết lập,thực hiện, vận hành và duy trì chương trình IRBC
Vai trò, trách nhiệm, năng lực và thẩm quyền trong IRBC phải được xác định và tài liệu hóa
Nhà quản lý cao nhất phải:
a) Chỉ định hoặc đề cử người có kinh nghiệm và quyền phù hợp để chịu trách nhiệm và thực hiệnchính sách IRBC;
b) Chỉ định một hoặc nhiều người có trách nhiệm tương tác với những người khác, phải thực hiện vàduy trì hệ thống quản lý IRBC như mô tả trong chuẩn này
Trang 196.2.2 Năng lực của nhân viên IRBC
Tổ chức phải đảm bảo tất cả những người được giao tránh nhiệm IRBC có đủ thẩm quyền để thựchiện các nhiệm vụ Tham khảo chi tiết trong 7.2.1
6.3 Xác định yêu cầu
6.3.1 Tổng quát
Như một phần của chương trình BCM, tổ chức sẽ phân loại các hoạt động theo mức độ ưu tiêncủa tính liên tục (như được nhận biết bởi BIA) và xác định mức tối thiểu mà mỗi hoạt động quan trọngcần phải được thực hiện lại Quản lý cấp cao nhất phải đồng ý với các yêu cầu của tính liên tục nghiệp
vụ và các yêu cầu sẽ cho kết quả trong mục tiêu thời gian phục hồi (RTO) và mục tiêu thời điểm phụchồi (RPO) cho mục tiêu của tính liên tục nghiệp vụ tối thiểu (MBCO) trên mỗi sản phẩm, dịch vụ hoặchoạt động RTO hồi bắt đầu từ thời điểm mà tại đó gián đoạn xảy ra và chạy cho tới sản phẩm, dịch vụhoặc hoạt động
6.3.2 Hiểu rõ các dịch vụ ICT trọng yếu
Có thể có một số dịch vụ ICT được coi là trọng yếu và cần thiết cho phép việc phục hồi được diễn ra.Mỗi dịch vụ ICT trọng yếu phải có tài liệu RTO và RPO cho MBCO của dịch vụ ICT đó (Điều này có thểbao gồm các khía cạnh của việc cung cấp dịch vụ ICT như chăm sóc khách hàng) RTO của dịch vụICT trọng yếu sẽ ít thay đổi hơn so với RTO của tính liên tục nghiệp vụ (xem Phụ lục A để biết chi tiết
về RTO và RPO)
Tổ chức phải xác định và tài liệu hóa các dịch vụ ICT trọng yếu bao gồm mô tả ngắn gọn và tên có ýnghĩa với tổ chức ở mức độ người dùng dịch vụ Điều này sẽ đảm bảo sự hiểu biết chung giữa nhânviên kinh doanh và nhân viên ICT như có thể sử dụng các tên khác nhau cho cùng một dịch vụ ICT.Mỗi dịch vụ ICT quan trọng được liệt kê phải xác định sản phẩm và dịch vụ mà nó hỗ trợ và quản lýcao nhất phải đồng ý với các dịch vụ ICT và các yêu cầu IRBC liên quan của tổ chức
Với mỗi dịch vụ ICT trọng yếu đã xác định và thống nhất, tất cả các phần tử của dịch vụ đầu-cuối phảiđược mô tả và tài liệu hóa, cho thấy cách cấu hình hoặc liên kết để cung cấp từng dịch vụ Tất cả cấuhình của môi trường cung cấp dịch vụ ICT thông thường và môi trường cung cấp dịch vụ ICT liên quanđều phải được tài liệu hóa
Khả năng liên lục hiện thời của mỗi dịch vụ ICT trọng yếu (ví dụ sự tồn tại của điểm lỗi đơn lẻ) phảiđược xem xét từ góc độ phòng chống để đánh giá rủi ro gián đoạn hoặc thất bại của dịch vụ (mà có thểđược thực hiện như một phần của việc đánh giá rủi ro BCM tổng thể) Các cơ hội cũng phải được tìmkiếm để cải thiện khả năng phục hồi dịch vụ ICT và làm giảm khả năng và/hoặc tác động của giánđoạn dịch vụ Cũng có thể chú trọng vào các cơ hội để phát hiện và phản ứng sớm với các gián đoạndịch vụ ICT Tổ chức có thể quyết định việc có đầu tư vào cơ hội xác định tình huống để cải thiện khảnăng phục hồi cho dịch vụ không Việc đánh giá rủi ro dịch vụ (có thể là một phần của khung đánh giárủi ro tổng thể của tổ chức) có thể gợi ý cho việc cải thiện khả năng phục hồi dịch vụ ICT
Trang 206.3.3 Xác định khoảng trống giữa các khả năng sự sẵn sàng ICT và các yêu cầu tính liên tục nghiệp vụ
Với mỗi dịch vụ ICT trọng yếu, các thỏa thuận về sự sẵn sàng ICT như ngăn chặn, giám sát, phát hiện,phản ứng và phục hồi phải được so sánh với các yêu cầu tính liên tục nghiệp vụ và tất cả khoảng trốnggiữa khả năng sự sẵn sàng ICT và yêu cầu tính liên tục nghiệp vụ cần phải được tài liệu hóa
Quản lý cấp cao nhất phải được thông báo về khoảng trống giữa khả năng của IRBC và các yêu cầuliên tục nghiệp vụ Các khoảng trống như vậy có thể cho thấy rủi ro và cần phải bổ sung khả năng phụchồi và tài nguyên phục hồi như:
a) Chuyên viên, bao gồm cả số lượng, kỹ năng và kiến thức;
b) Trang thiết bị chứa các thiết bị ICT, ví dụ như phòng máy tính;
c) Công nghệ, máy móc, thiết bị và mạng (công nghệ) hỗ trợ;
d) Ứng dụng và cơ sở dữ liệu;
e) Tài chính hoặc ngân sách phân bổ;
f) Dịch vụ và nhà cung cấp dịch vụ bên ngoài
Nhà quản lý cao nhất phải ký duyệt các quy định dịch vụ ICT, danh sách tài liệu của dịch vụ ICT trọngyếu, các rủi ro liên quan đến khoảng trống giữa khả năng IRBC và các yêu cầu liên tục nghiệp vụ Việcnày phải bao gồm cả việc ký duyệt các rủi ro đã xác định Các tùy chọn để giải quyết khoảng trống rủi
ro đã nhận biết sau đó sẽ được nghiên cứu để xác định các chiến lược IRBC
6.4 Xác định các tùy chọn chiến lược IRBC
6.4.1 Tổng quát
Các chiến lược IRBC phải xác định các phương pháp tiếp cận để thực hiện khả năng phục hồi bắtbuộc vì vậy các nguyên tắc phòng ngừa, phát hiện, phản ứng, phục hồi và khôi phục sự cố cần đượcđưa ra
Một chuỗi các tùy chọn chiến lược IRBC phải được đánh giá Các chiến lược đã lựa chọn phải có khảnăng hỗ trợ các yêu cầu liên tục nghiệp vụ của tổ chức
Tổ chức phải tính toán việc thực hiện và các yêu cầu nguồn lực khi phát triển chiến lược Nhà cungứng bên ngoài có thể được ký hợp đồng để cung cấp dịch vụ và kỹ thuật đặc biệt đóng một vai tròquan trọng trong việc hỗ trợ chiến lược
Chiến lược IRBC phải đủ linh hoạt để phục vụ cho các chiến lược nghiệp vụ khác nhau tại các thịtrường khác nhau Ngoài ra chiến lược của tổ chức phải tính đến các ràng buộc và yếu tố nội bộ như:a) Ngân sách;
b) Tài nguyên sẵn có;
c) Chi phí và lợi ích tiềm năng;
Trang 21d) Các ràng buộc kỹ thuật;
e) Mức độ rủi ro mong muốn;
f) Chiến lược IRBC hiện tại;
g) Các trách nhiệm pháp lý
6.4.2 Tùy chọn chiến lược IRBC
Tổ chức phải xem xét một loạt các tùy chọn về sự sẵn sàng với sự cố của các dịch vụ ICT quan trọng.Các tùy chọn phải được xem xét để làm tăng sự bảo vệ và khả năng phục hồi, cũng như cung cấpphục hồi và khôi phục từ các gián đoạn ngoài kế hoạch, và có thể bao gồm thoả thuận nội bộ; các dịch
vụ đã cung cấp tới tổ chức và dịch vụ cung cấp bên ngoài bởi một hoặc nhiều bên thứ ba
Các tùy chọn phải cân nhắc đến các thành phầnkhác nhau đã được yêu cầu để đảm bảo tính liên tục
và phục hồi của các dịch vụ ICT trọng yếu IRBC có thể đạt được bằng nhiều cách, và phải giải quyếtcác phần tử của IRBC như mô tả trong 5.3
a) Tài liệu hóa cách thức các dịch vụ ICT được thực hiện;
b) Việc đào tạo đa kỹ năng cho nhân viên ICT và các nhà thầu để nâng cao dự phòng kỹ năng;
c) Phân tách các kỹ năng cốt lõi để giảm việc tập trung rủi ro (điều này có thể đòi hỏi sự phân tách vềvật lý của nhân viên với các kỹ năng cốt lõi hoặc đảm bảo có nhiều hơn một người có kỹ năng cốt lõi);d) Duy trì và quản lý kiến thức
6.4.2.2 Trang thiết bị
Với các rủi ro đã xác định, tổ chức phải đặt ra chiến lược để giảm ảnh hưởng trong việc trang thiết bịICT thông thường không sẵn sàng Chiến lược này có thể bao gồm:
a) Trang thiết bị (vị trí) thay thế bên trong tổ chức bao gồm cả thay thế của các hành động khác;
b) Trang thiết bị thay thế được cung cấp bởi tổ chức khác;
c) Trang thiết bị thay thế được cung cấp bởi chuyên gia bên thứ 3;
d) Làm việc từ nhà hoặc từ xa;
e) Các thỏa thuận khác phù hợp với các trang thiết bị đang hoạt động;
f) Sử dụng nguồn lực thay thế trong vị trí thiết lập;
g) Trang thiết bị dự phòng có thể được vận chuyển tới vị trí bị gián đoạn và được sử dụng để cung cấpthay thế một số tài sản vật lý liên quan
Trang 22Các chiến lược cho trang thiết bị ICT có thể thay đổi đáng kể và một chuỗi các tùy chọn có thể có sẵn.Các kiểu sự cố hoặc mối đe dọa khác nhau có thể yêu cầu thực hiện nhiều chiến lược (lựa chọn và kếthợp các phương pháp) mà bị ảnh hưởng một phần bởi quy mô tổ chức, độ rộng của các hành động,các vị trí, công nghệ và ngân sách
Trong khi xem xét việc sử dụng các trang thiết bị thay thế cần xem xét các vấn đề sau:
a) Vị trí an toàn;
b) Sự truy cập của chuyên viên;
c) Khoảng cách tới các tiện ích hiện tại;
d) Tính sẵn sàng
6.4.2.3 Công nghệ
Các dịch vụ ICT mà các hoạt động nghiệp vụ trọng yếu phụ thuộc vào phải sẵn sàng trước khi kết nốivào hoạt động nghiệp vụ trọng yếu Vì vậy các giải pháp được yêu cầu để đảm bảo tính sẵn sàng củacác ứng dụng trong các khung thời gian cụ thể, ví dụ RTO phải được nhận biết như một phần của BIA.Nền tảng công nghệ và phần mềm ứng dụng phải được đưa ra trong khoảng thời gian được yêu cầubởi tổ chức
Các công nghệ hỗ trợ các dịch vụ ICT trọng yếu thường xuyên cần sắp xếp để đảm bảo tính liên tục, vìvậy khi lựa chọn các chiến lược IRBC cần xem xét các nội dung sau:
a) RTO và RPO cho các dịch vụ ICT trọng yếu mà hỗ trợ các hoạt động trọng yếu được xác định bởichương trình BCM;
b) Vị trí và khoảng cách giữa các địa điểm đặt trang thiết bị;
c) Số lượng các địa điểm đặt trang thiết bị;
d) Truy cập từ xa tới hệ thống
e) Yêu cầu làm mát;
f) Yêu cầu điện năng;
g) Việc sử dụng các vị trí chưa có nhân viên (vùng tối) trái ngược với vị trí đã có nhân viên;
h) Kết nối viễn thông và định tuyến dự phòng;
i) Bản chất của “khôi phục lại từ lỗi” (cho dù việc kích hoạt dự phòng ICTlà thủ công hoặc là xảy ra tựđộng);
j) yêu cầu về mức độ tự động;
k) công nghệ lỗi thời;
l) khả năng liên kết với bên cung cấp dịch vụ thuê ngoài và các liên kết bên ngoài khác
Trang 236.4.2.4 Dữ liệu
Ngoài ra, các hoạt động nghiệp vụ quan trọng có thể phụ thuộc vào việc dự phòng dữ liệu đến hạnhoặc gần đến hạn Các giải pháp liên tục dữ liệu phải được thiết kế để đáp ứng PRO của mỗi hoạtđộng nghiệp vụ trọng yếu như chúng có liên quan tới các hoạt động nghiệp vụ trọng yếu
Việc lựa chọn các tùy chọn IRBC phải đảm bảo tính bí mật, toàn vẹn và sẵn sàng của dữ liệu trọng yếu
mà hỗ trợ các hoạt động trọng yếu (xem TCVN ISO/IEC 27001:2009 và TCVN ISO/IEC 27002:2011).Kho dữ liệu và các chiến lược IRBC phải đáp ứng các yêu cầu tính liên tục nghiệp vụ của tổ chức vàcần tính đến:
a) Các yêu cầu RPO;
b) Dữ liệu được lưu trữ bảo mật như thế nào, ví dụ đĩa, băng từ, thiết bị quang dẫn, cơ chế sao lưu vàphục hồi phù hợp phải được xem xét để đảm bảo dữ liệu là an toàn và nằm trong môi trường an toàn;c) Nơi nào thông tin được lưu trữ, vận chuyển hoặc truyền tải, khoảng cách, vị trí, các kết nối mạng (trực tuyến, ngoại tuyến hay bên thứ 3) và thời gian dự kiến để lấy dữ liệu từ trang thiết bị dự phòng;d) Khoảng thời gian phục hồi phụ thuộc vào khối lượng dữ liệu, chúng được lưu trữ như thế nào và độphức tạp của quy trình phục hồi, cùng với các yêu cầu của người dùng dịch vụ và sự cần thiết của tínhliên tục;
Việc hiểu toàn bộ việc sử dụng dữ liệu trong tổ chức là rất quan trọng Việc này có thể bao gồm nguồnthông tin tới và từ các bên thứ ba
Cần nhớ rằng bản chất, sự lưu hành và giá trị của dữ liệu sẽ thường xuyên thay đổi với một tổ chức
6.4.2.5 Các quy trình
Trong việc lựa chọn chiến lược IRBC, tổ chức phải xem xét các quy trình cần thiết để đảm bảo tính khảthi của chiến lược đó, bao gồm ngăn chặn sự cố, phát hiện sự cố, phản ứng sự cố và phục hồi sauthảm họa Tổ chức cũng cần xác định những yếu tố cần thiết để thực hiện các tiến trình một cách hiệuquả, ví dụ tập các kỹ năng dữ liệu trọng yếu, các công nghệ chủ chốt hoặc các thiết bị/trang thiết bịquan trọng
6.4.2.6 Nhà cung cấp
Tổ chức cần xác định và tài liệu hóa các phụ thuộc bên ngoài mà hỗ trợ cung cấp dịch vụ ICT và cónhững bước thích hợp để đảm bảo thiết bị và các dịch vụ trọng yếu có thể được cung cấp bởi các nhàcung cấp định trước và trong khoảng thời gian được phép Các phụ thuộc này có thể tồn tại trong phầncứng, phần mềm viễn thông, các ứng dụng, dịch vụ lưu trữ bên thứ ba, các tiện ích và các vấn đề môitrường như điều kiện nhiệt độ, theo dõi môi trường và hệ thống chữa cháy
Chiến lược cho các dịch vụ này có thể bao gồm:
a) Kho lưu trữ của các thiết bị bổ sung và sao chép phần mềm ở vị trí khác;
b) Thỏa thuận với nhà cung ứng cho việc cung cấp các thiết bị thay thế trong thời gian ngắn;
