KEHOACHKINHDOANHLIENTUC
-
Upload
nhan-nguyen -
Category
Documents
-
view
4 -
download
1
description
Transcript of KEHOACHKINHDOANHLIENTUC
CÔNG TY CỔ PHẦN TS 24
KẾ HOẠCH KINH DOANH LIÊN TỤC
Ngày:10/9/2014
Nội dung
GIỚI THIỆU.......................................................................................................2
TRIỂN KHAI KẾ HOẠCH KINH DOANH LIÊN TỤC.......................................2
PHẦN 1................................................................................................................3
Mục tiêu...........................................................................................................3
Từ vựng............................................................................................................3
PHẦN 2................................................................................................................4
Kế hoạch quản lý rủi ro...........................................................................................4
PHẦN 3................................................................................................................6
Phân tích tác động kinh doanh.................................................................................6
Phân tích tác động kinh doanh.............................................................................6
PHẦN 4................................................................................................................7
Kế hoạch ứng phó sự cố..........................................................................................7
Danh mục kiểm tra ứng phó................................................................................7
Quy trình ứng phó..............................................................................................8
Tham khảo:.......................................................................................................8
Trách nhiệm và quyền hạn..................................................................................8
Bảng danh sách liên hệ trong tình trạng khẩn cấp..................................................9
Sổ theo dõi sự cố.............................................................................................10
PHẦN 5..............................................................................................................11
Phục hồi hoạt động...............................................................................................11
Phiếu kiểm tra phục hồi sau sự cố......................................................................13
Các kênh tiếp xúc để phục hồi...........................................................................14
Bồi thường bảo hiểm........................................................................................15
Đánh giá thị trường..........................................................................................15
PHẦN 6..............................................................................................................16
Diễn tập, duy trì và xem xét..................................................................................16
Kế hoạch đào tạo.............................................................................................16
Kế hoạch xem xét............................................................................................16
Page 1
Giới thiệu
Mục đích phát triển Kế hoạch kinh doanh liên tục nhằm đảm bảo sự liên tục của Công ty trong và sau bất kỳ sự cố nghiêm trọng mà kết quả là sự gián đoạn khả năng hoạt động bình thường của Công ty.
Hướng dẫn này giúp Công ty thực hiện kế hoạch quản lý rủi ro và phân tích tác động kinh doanh và ứng phó với các sự cố cũng như xây dựng kế hoạch phục hồi cho Công ty.
Triển khai Kế hoạch kinh doanh liên tục
Kế hoạch kinh doanh liên tục kết hợp của bốn yếu tố: ngăn ngừa, sẵn sàng ứng phó, ứng phó và phục hồi (PPRR). Mỗi yếu tố trong số bốn yếu tố chính đại diện một phần trong quá trình lập kế hoạch kinh doanh liên tục.
Kế hoạch kinh doanh liên tục
Ngăn ngừa - hoạch định quản lý rủi ro- Kết hợp chặt chẽ yếu tố phòng ngừa bao gồm xác định và quản lý các khả năng và /
hoặc tác động của rủi ro liên quan đến sự cố. Chuẩn Bị - Phân tích Kinh doanh tác động
- Kết hợp chặt chẽ yếu tố Chuẩn bị bao gồm xác định và ưu tiên cho các hoạt động
chính của Công ty có thể bị ảnh hưởng bởi bất kỳ sự gián đoạn nào. Ứng phó- Hoạch định ứng phó sự cố
- Kết hợp chặt chẽ các yếu tố đáp ứng và đưa ra hành động ngay lập tức để ứng phó sự
cố bằng cách ngăn chặn, kiểm soát và giảm thiểu tác động. Phục hồi – hoạch định phục hồi
- Kết hợp chặt chẽ yếu tố phục hồi bao gồm phát thảo các hành động cần thiết để phục
hồi sau sự cố nhằm giảm thiểu sự gián đoạn và thời gian hồi phục.
Kế hoach này cũng có phần diễn tập, duy trì và xem xét, trong đó yêu cầu phải kiểm tra, thường xuyên rà soát và cập nhật Kế hoạch kinh doanh liên tục để đảm bảo nhân viên của Công ty đã quen thuộc với Kế hoa5ch kinh doanh liên tục và nó phản ánh sự thay đổi nhu cầu kinh doanh của Công ty.
Trang 2
Chuẩn bịPhân tích các
ảnh hưởng đến hoạt động Kinh
doanh
Ứng phóKế hoạch ứng
phó rủi ro
Phục hồi Kế hoạch
phục hồi
Ngăn ngừaKế hoạch quản
lý rủi ro
Phần 1
Mục tiêu
Mục tiêu phục vụ như là một phương tiện để làm rõ mục đích của kế hoạch mô tả các kết quả dự định.
Các mục tiêu của kế hoạch này là: thực hiện các đánh giá quản lý rủi ro xác định và ưu tiên các chức năng kinh doanh quan trọng của Công ty Chi tiết ứng phó tức thời của Công ty đối với mốt sự cố nghiêm trọng Các chiến lược chi tiết và hành động được thực hiện để giúp Công ty tiếp tục kinh doanh Xem xét và cập nhật kế hoạch này một cách thường xuyên.
Từ vựng
Bảng này cung cấp các định nghĩa một cách nhất quán các thuật ngữ được sử dụng trong kế hoạch này.
Hoạch định liên tục kinh doanh
là một quá trình giúp phát triển một tài liệu kế hoạch để quản lý rủi ro đối với một Công ty, đảm bảo rằng Công ty có thể hoạt động ở mức độ cần thiết trong trường hợp xãy ra khủng hoảng / thảm họa.
Kế hoach liên tục kinh doanh
Là tài liệu có chứa tất cả các thông tin cần thiết để đảm bảo rằng doanh nghiệp có thể tiếp tục các hoạt động kinh doanh quan trọng khi có khủng hoảng / thảm họa xảy ra.
Phân tích tác động kinh doanh
quá trình thu thập thông tin để xác định yêu cầu phục hồi cơ bản cho hoạt động kinh doanh chính của Công ty trong trường hợp xảy ra khủng hoảng / thảm họa.
Những hoạt động kinh doanh chính
những hoạt động cần thiết để tạo ra các kết quả và thành tích của các mục tiêu kinh doanh.
Mục tiêu thời gian phục hồi (RTO)
thời gian mục tiêu được quy định để nối lại các sản phẩm, dịch vụ hoặc hoạt động giao hàng sau sự cố
Mục tiêu điểm phục hồi (RPO)
là "... thời gian chấp nhận tối đa trong đó dữ liệu có thể bị mất”
Nguồn lực Là các phương tiện hỗ trợ tạo đầu ra và / hoặc kết quả xác định. Nguồn lực có thể là tiền, tài sản vật chất, hoặc quan trọng nhất, mọi người.
Quản lý rủi ro là quá trình xác định và phân tích rủi ro, và sau đó quyết định các hành động thích hợp để giảm thiểu những rủi ro này, trong khi vẫn đạt được mục tiêu kinh doanh.
Page 3
Phần 2
Kế hoạch quản lý rủi ro
Cần quản lý rủi ro của Công ty bằng cách xác định và phân tích những vấn đề về an toàn thông tin có thể ảnh hưởng bất lợi đến Công ty và lựa chọn phương pháp tốt nhất để ứng phó với cho những rủi ro được xác định.
Các nguyên nhân có thể gây ra tác động tới an toàn thong tin gồm có:- Gián đoạn đường truyền (giữa srv và srv, giữa DC và công ty, nội bộ công ty…) do
đứt cáp, do phía nhà cung cấp, do bị tấn công Khả năng xảy ra: cao Mức độ nghiêm trọng: cao Có thể giảm bớt hoặc bỏ: có thể giảm bớt bằng cách
- Dịch vụ không thể đáp ứng ngay lập tức yêu cầu do bị tấn công, bị lỗi phần mềm, cấu
hình Khả năng xảy ra: cao: Mức độ nghiêm trọng: cao Có thể giảm bớt hoặc bỏ: có thể giảm bớt
- Bị thiên tai
Khả năng xảy ra: Mức độ nghiêm trọng Có thể giảm bớt hoặc bỏ: không thể giảm bớt
Các câu hỏi để tự hỏi mình là:- Điều gì có thể gây ra tác động ?- Mức độ nghiêm trọng của tác động đó là gì ?- khả năng xảy ra của tác động này là gì?- Tác động có thể được giảm bớt hoặc loại bỏ?
Trang 4
Kế hoạch quản lý rủi ro
Tham khảo: Kế hoạch quản lý rủi ro cho các rủi ro đáng kể của Công ty
Phần 3
Phân tích tác động kinh doanh
Là một phần của Kế hoạch kinh doanh liên tục, Công ty cần thực hiện phân tích tác động kinh doanh và sử dụng những thông tin trong kế hoạch quản lý rủi ro của Công ty để đánh giá rủi ro được xác định và các tác động liên quan đến các hoạt động quan trọng của Công ty, từ đó xác định các yêu cầu phục hồi cơ bản.
Hoạt động quan trọng có thể được định nghĩa là chức năng kinh doanh chính mà phải tiếp tục để hỗ trợ công việc kinh doanh của Công ty.
Phân tích tác động kinh doanh
Tham khảo: Bảng phân tích tác động kinh doanh
Page 5
Phần 4
Kế hoạch ứng phó sự cố
Để chuẩn bị ứng phó kịp thời với các sự cố quan trọng và giảm tác động của những sự cố lên hoạt động kinh doanh được xác định trước đó của Công ty. Cần cũng chuẩn bị nhân sự chủ chốt để cung cấp một giải pháp hiệu quả nhằm đảm bảo sự gián đoạn tối thiểu hoạt động của Công ty trong trường hợp khẩn cấp.
ỨNG PHÓ SỰ CỐ BIỆN PHÁP THỰC HIỆN
Công ty có thực hiện:
- Đánh giá mức độ nghiêm trọng của sự cố?
Dựa trên thời gian bị gián đoạn
- Di dời, ứng phó là cần thiết? Thiết lập kênh truyền dự phòng
- Thông báo cho mọi người?
- Xác định các nhân viên bị ảnh hưởng? Xác didjnh dựa trên bảng kết nối
- Tiếp xúc với cơ quan liên quan? Trong trường hợp cần thiết
- Áp dụng kế hoạch ứng phó sự cố? Thiết lập các quy trình theo yêu cầu: cân bằng tải, tường
lửa,…
- Cập nhật sổ theo dõi sự kiện? Nhân viên trực tiếp xử lý sự cố
- Thông báo cho nhân viên? Các trưởng bộ phận
- Chỉ định người phát ngôn chính cho Công ty? Tổng giám đốc
- Tóm tắt cho các thành viên nhóm về sự cố? Trường ban khắc phục sự cố thực hiện
- Phân công vai trò và trách nhiệm cụ thể? Trường ban khắc phục sự cố thực hiện
- Xác định các tổn thất?
- Xác định các hoạt động quan trọng đã bị ngưng trệ? Nhân viên được yêu cầu
- Ứng phó với các cơ quan truyền thông? Tổng giám đốc
Quy trình ứng phó
Tham khảo:
1. Quy trình phòng cháy chữa cháy 2. Quy trình xử lý sự cố an toàn thông tin.
Trang 6
Trách nhiệm và quyền hạn
Bảng này phân công trách nhiệm trong tình trạng khẩn cấp. Trưởng Ban sẽ chỉ định một hoặc nhiều nhân viên và phân công công việc thích hợp để hỗ trợ.
Các nhân viên tham gia phải hiểu được vai trò của mình để hoàn thành kế hoạch và nhiệm vụ khẩn cấp trong tình trạng khẩn cấp.
VAI TRÒ NGƯỜI ĐƯỢC PHÂN CÔNG NGƯỜI THAY THẾ
Trưởng Ban ứng phó tình trạng khẩn cấp
Tên: Diệp Hoàng Châu ĐT: 0918 648 278
Tên: Nguyễn Thanh Sơn ĐT: 0902 739 997
Trách nhiệm trong tình trạng khẩn cấp
Đảm bảo khởi động kế hoạch kinh doanh liên tục,
Giám sát việc thực hiện ứng phó và phục hồi theo kế hoạch
Xác định nhu cầu và khởi động việc sử dụng khu vực thay thế và các nhiệm vụ khác,
Giao tiếp với các bên liên quan khi cần thiết
Cung cấp thông tin quan trọng cho nhân viên truyền thông
Thông báo cho các cán bộ chủ chốt về các thay đổi
Page 7
Bảng danh sách liên hệ trong tình trạng khẩn cấp
Danh sách liên hệ nội bộ
Họ và tên Điện thoại Trách nhiệm
Nguyễn Phan Việt Thủy 0903 779 532 Quản lý chung
Diệp Hoàng Châu 0918 648 278 Trưởng ban ứng phó sự cố an toàn thông tin khẩn cấp
Nguyễn Thanh Sơn 0902 739 997 Thành viên Ban ứng phó sự cố an toàn thông tin
Nguyễn Thanh Nhàn 0938302202 Thành viên Ban ứng phó sự cố an toàn thông tin
Võ Hữu Thu 0937825660 Trưởng Ban PCCC
Danh sách liên hệ với cơ quan bên ngoài
Cơ quan liên hệ chính Điện thoại
Công an PCCC 114
Bệnh viện 115
Công an 113
Công ty SAFE-CA 0938 250 531 (Thủy)
Công ty FPT 0873008888
Công ty Vietel 18008198
Công ty VDC0919901512( Hải )
0919901512 (Dân)
Trang 8
Sổ theo dõi sự cố
Sử dụng Sổ theo dõi sự cố để ghi lại thông tin, quyết định và hành động trong giai đoạn ngay sau các sự kiện hoặc sự cố quan trọng (theo quy trình quản lý sự cố).
Page 9
Phần 5
Phục hồi hoạt động
Phục hồi sự trở lại tình trạng trước khi tình trạng khẩn cấp. Thực hiện các hoạt động quan trọng càng sớm càng tốt sau khi một sự cố nghiêm trọng là trọng tâm chính của Công ty.
Trang 10
Kế hoạch phục hồi Các Hoạt động kinh
doanh quan trọngCác biện pháp phòng ngừa/ phục hồi
Yêu cầu nguồn lực / đầu ra
Mục tiêu thời gian phục hồi
Trách nhiệmNgày
hoàn thànhCung cấp dịch vụ phần mềm và rủi roCháy - Sử dụng tạm ví trí số 278 Nguyễn Đình Chiểu để mang
máy tính sang và tiếp tục thực hiện công việc.
- Có quy định PCCC và huấn luyện nhân thức cho cho nhân viên trong nội bộ về các nguy cơ,
- Mua bảo hiểm tài sản Công ty …
- 10 bộ máy tính
- Chi phí trang bị thiết bị PCCC, huấn luyện nhân viên
7 ngày Giám đốc Kỹ thuật
Trưởng phòng Nhân sự
Khi có sự cố
30/10/2014
Đứt đường truyền Internet:
- Thuê ít nhất hai đường internet để dự phòng. - Chi phí thuê nhà cung cấp
- Tổng Giám đốc Đã thực hiện
Gián Đứt cáp quang: Fpt,
- Xây dựng chính sách đa dạng hóa các nhà cung cấp,
- Thường xuyên theo dõi kiểm tra năng lực của nhà cung cấp, các phương án thay thế…
- Viedtel tự động chuyển đổi sang đường truyền dự phòng.
- Chi phí thuê nhà cung cấp
- Tổng Giám đốc
Giám đốc Kỹ thuật
Đã thực hiện
Đã thực hiện
Sét đánh: hư điện, bộ nguồn
- Trang bị bộ chống sét
- Kiểm tra bộ chống sét hàng năm trước mùa mưa
- Bộ chống sét
- Chi phí đo điện trở tiếp đất
½ ngày, TP. Nhân sự 3/2015
Data center tại VDC ngưng hoạt động do sự cố
- Chuyển các dữ liệu qua server tại Công ty, Khách hàng có thể dùng tạm thời server này
- Mua mới bộ server
- Restore dữ liệu và phục hồi hoạt động
- Server của Công ty đủ dung lượng để lưu trữ
- Chi phí mua server mới
7 ngày Trưởng phòng IT Khi có sự cố
Mạng bị tấn công - Trang bị bức tường lửa - Chi phí mua - TP. Nhân sự Đã thực hiện
Tổng giám đốc đi vắng, nhân viên chủ chốt đi vắng
- Xây dựng các chính sách phân bổ quyền hạn dự phòng,
- Quy trình hóa các công việc chủ chính,…
- 2 ngày Tổng Giám đốc Đã thực hiện
Page 11
Phiếu kiểm tra phục hồi sau sự cố
ỨNG PHÓ SỰ CỐ BIÊN PHÁP
Khi sự cố đã qua, Công ty có:
- Tập trung nỗ lực để phục hồi?
- Khởi động lại các nguồn lực cần thiết bao gồm thiết bị nhân viên, cơ sở?
- Tiếp tục thu thập thông tin về sự cố?
- Đánh giá tình trạng tài chính hiện hành?
- Xem xét các yêu cầu về tiền mặt để phục hồi hoạt động?
- Tiếp xúc với cơ quan bảo hiểm?
- Triển khai các mục tiêu tài chính và khung thời gian để phục hồi?
- Thông báo cho nhân viên?
- Thông báo cho các cổ đông?
- Xác định các yêu cầu về thông tin cần thiết?
- Đặt ưu tiên cho các phương án phục hồi?
- Cập nhật kế hoạch phục hồi?
- Rút bài học kinh nghiệm cho cá nhân, nhóm và quá trình phục hồi kinh doanh?
Trang 12
Các kênh tiếp xúc để phục hồi
Loại Cơ quan Tên cơ quan Người liên hệ Chức danh Điện thoại
A. Dich vụ internet điện thoại
1 FPT Bộ phận hỗ trợ kỹ thuật HTKT 0873008888
2. Viettel Bộ phận hỗ trợ kỹ thuật HTKT 18008198
3. VNPT Bộ phận hỗ trợ HTKT 08.38399999
B. Dich vụ Data Center
1. VDC Mr. Hải, Mr. Dân 0919901512
0919901512
C. Nhà cung ứng khác
1. SAFE-CA Thủy 0938 250 531 (Thủy)
Page 13
Trang 14
Phần 6
Diễn tập, duy trì và xem xét
Công ty tổ chức diễn tập kế hoạch ứng phó tình trạng khẩn cấp để đảm bảo rằng nó luôn phù hợp và hữu ích. Điều này có thể được thực hiện như một phần thực hành đào tạo và là một yếu tố quan trọng trong việc thực hiện thành công kế hoạch ứng phó tình trạng trường hợp khẩn cấp.
Công ty cũng phải đảm bảo thường xuyên xem xét và cập nhật kế hoạch để duy trì tính chính xác và phản ánh những thay đổi bên trong hoặc bên ngoài Công ty.
Kế hoạch đào tạo
Ngày đào tạo Nội dung đào tạo Người đào tạo Ghi chú
1/2015 Thực tập phòng cháy chữa cháy
Công an PCCC Tất cả nhân viên di chuyển đến điểm tập trung trong thời gian quy định
1/2015 Thực hành chuyển đổi server từ VDC về server của Công ty
Giám đốc Kỹ thuật
Hệ thống vận hành tốt
Kế hoạch xem xét
Ngày xem xét Lý do xem xét Thực hiện các thay đổi
Đại diện lãnh đạo ISMS Tổng Giám đốc
Page 15