CÔNG TY CỔ PHẦN TS 24

KẾ HOẠCH KINH DOANH LIÊN TỤC

Ngày:10/9/2014

Nội dung

GIỚI THIỆU.......................................................................................................2

TRIỂN KHAI KẾ HOẠCH KINH DOANH LIÊN TỤC.......................................2

PHẦN 1................................................................................................................3

Mục tiêu...........................................................................................................3

Từ vựng............................................................................................................3

PHẦN 2................................................................................................................4

Kế hoạch quản lý rủi ro...........................................................................................4

PHẦN 3................................................................................................................6

Phân tích tác động kinh doanh.................................................................................6

Phân tích tác động kinh doanh.............................................................................6

PHẦN 4................................................................................................................7

Kế hoạch ứng phó sự cố..........................................................................................7

Danh mục kiểm tra ứng phó................................................................................7

Quy trình ứng phó..............................................................................................8

Tham khảo:.......................................................................................................8

Trách nhiệm và quyền hạn..................................................................................8

Bảng danh sách liên hệ trong tình trạng khẩn cấp..................................................9

Sổ theo dõi sự cố.............................................................................................10

PHẦN 5..............................................................................................................11

Phục hồi hoạt động...............................................................................................11

Phiếu kiểm tra phục hồi sau sự cố......................................................................13

Các kênh tiếp xúc để phục hồi...........................................................................14

Bồi thường bảo hiểm........................................................................................15

Đánh giá thị trường..........................................................................................15

PHẦN 6..............................................................................................................16

Diễn tập, duy trì và xem xét..................................................................................16

Kế hoạch đào tạo.............................................................................................16

Kế hoạch xem xét............................................................................................16

Page 1

Giới thiệu

Mục đích phát triển Kế hoạch kinh doanh liên tục nhằm đảm bảo sự liên tục của Công ty trong và sau bất kỳ sự cố nghiêm trọng mà kết quả là sự gián đoạn khả năng hoạt động bình thường của Công ty.

Hướng dẫn này giúp Công ty thực hiện kế hoạch quản lý rủi ro và phân tích tác động kinh doanh và ứng phó với các sự cố cũng như xây dựng kế hoạch phục hồi cho Công ty.

Triển khai Kế hoạch kinh doanh liên tục

Kế hoạch kinh doanh liên tục kết hợp của bốn yếu tố: ngăn ngừa, sẵn sàng ứng phó, ứng phó và phục hồi (PPRR). Mỗi yếu tố trong số bốn yếu tố chính đại diện một phần trong quá trình lập kế hoạch kinh doanh liên tục.

Kế hoạch kinh doanh liên tục

Ngăn ngừa - hoạch định quản lý rủi ro- Kết hợp chặt chẽ yếu tố phòng ngừa bao gồm xác định và quản lý các khả năng và /

hoặc tác động của rủi ro liên quan đến sự cố. Chuẩn Bị - Phân tích Kinh doanh tác động

- Kết hợp chặt chẽ yếu tố Chuẩn bị bao gồm xác định và ưu tiên cho các hoạt động

chính của Công ty có thể bị ảnh hưởng bởi bất kỳ sự gián đoạn nào. Ứng phó- Hoạch định ứng phó sự cố

- Kết hợp chặt chẽ các yếu tố đáp ứng và đưa ra hành động ngay lập tức để ứng phó sự

cố bằng cách ngăn chặn, kiểm soát và giảm thiểu tác động. Phục hồi – hoạch định phục hồi

- Kết hợp chặt chẽ yếu tố phục hồi bao gồm phát thảo các hành động cần thiết để phục

hồi sau sự cố nhằm giảm thiểu sự gián đoạn và thời gian hồi phục.

Kế hoach này cũng có phần diễn tập, duy trì và xem xét, trong đó yêu cầu phải kiểm tra, thường xuyên rà soát và cập nhật Kế hoạch kinh doanh liên tục để đảm bảo nhân viên của Công ty đã quen thuộc với Kế hoa5ch kinh doanh liên tục và nó phản ánh sự thay đổi nhu cầu kinh doanh của Công ty.

Trang 2

Chuẩn bịPhân tích các

ảnh hưởng đến hoạt động Kinh

doanh

Ứng phóKế hoạch ứng

phó rủi ro

Phục hồi Kế hoạch

phục hồi

Ngăn ngừaKế hoạch quản

lý rủi ro

Phần 1

Mục tiêu

Mục tiêu phục vụ như là một phương tiện để làm rõ mục đích của kế hoạch mô tả các kết quả dự định.

Các mục tiêu của kế hoạch này là: thực hiện các đánh giá quản lý rủi ro xác định và ưu tiên các chức năng kinh doanh quan trọng của Công ty Chi tiết ứng phó tức thời của Công ty đối với mốt sự cố nghiêm trọng Các chiến lược chi tiết và hành động được thực hiện để giúp Công ty tiếp tục kinh doanh Xem xét và cập nhật kế hoạch này một cách thường xuyên.

Từ vựng

Bảng này cung cấp các định nghĩa một cách nhất quán các thuật ngữ được sử dụng trong kế hoạch này.

Hoạch định liên tục kinh doanh

là một quá trình giúp phát triển một tài liệu kế hoạch để quản lý rủi ro đối với một Công ty, đảm bảo rằng Công ty có thể hoạt động ở mức độ cần thiết trong trường hợp xãy ra khủng hoảng / thảm họa.

Kế hoach liên tục kinh doanh

Là tài liệu có chứa tất cả các thông tin cần thiết để đảm bảo rằng doanh nghiệp có thể tiếp tục các hoạt động kinh doanh quan trọng khi có khủng hoảng / thảm họa xảy ra.

Phân tích tác động kinh doanh

quá trình thu thập thông tin để xác định yêu cầu phục hồi cơ bản cho hoạt động kinh doanh chính của Công ty trong trường hợp xảy ra khủng hoảng / thảm họa.

Những hoạt động kinh doanh chính

những hoạt động cần thiết để tạo ra các kết quả và thành tích của các mục tiêu kinh doanh.

Mục tiêu thời gian phục hồi (RTO)

thời gian mục tiêu được quy định để nối lại các sản phẩm, dịch vụ hoặc hoạt động giao hàng sau sự cố

Mục tiêu điểm phục hồi (RPO)

là "... thời gian chấp nhận tối đa trong đó dữ liệu có thể bị mất”

Nguồn lực Là các phương tiện hỗ trợ tạo đầu ra và / hoặc kết quả xác định. Nguồn lực có thể là tiền, tài sản vật chất, hoặc quan trọng nhất, mọi người.

Quản lý rủi ro là quá trình xác định và phân tích rủi ro, và sau đó quyết định các hành động thích hợp để giảm thiểu những rủi ro này, trong khi vẫn đạt được mục tiêu kinh doanh.

Page 3

Phần 2

Kế hoạch quản lý rủi ro

Cần quản lý rủi ro của Công ty bằng cách xác định và phân tích những vấn đề về an toàn thông tin có thể ảnh hưởng bất lợi đến Công ty và lựa chọn phương pháp tốt nhất để ứng phó với cho những rủi ro được xác định.

Các nguyên nhân có thể gây ra tác động tới an toàn thong tin gồm có:- Gián đoạn đường truyền (giữa srv và srv, giữa DC và công ty, nội bộ công ty…) do

đứt cáp, do phía nhà cung cấp, do bị tấn công Khả năng xảy ra: cao Mức độ nghiêm trọng: cao Có thể giảm bớt hoặc bỏ: có thể giảm bớt bằng cách

- Dịch vụ không thể đáp ứng ngay lập tức yêu cầu do bị tấn công, bị lỗi phần mềm, cấu

hình Khả năng xảy ra: cao: Mức độ nghiêm trọng: cao Có thể giảm bớt hoặc bỏ: có thể giảm bớt

- Bị thiên tai

Khả năng xảy ra: Mức độ nghiêm trọng Có thể giảm bớt hoặc bỏ: không thể giảm bớt

Các câu hỏi để tự hỏi mình là:- Điều gì có thể gây ra tác động ?- Mức độ nghiêm trọng của tác động đó là gì ?- khả năng xảy ra của tác động này là gì?- Tác động có thể được giảm bớt hoặc loại bỏ?

Trang 4

Kế hoạch quản lý rủi ro

Tham khảo: Kế hoạch quản lý rủi ro cho các rủi ro đáng kể của Công ty

Phần 3

Phân tích tác động kinh doanh

Là một phần của Kế hoạch kinh doanh liên tục, Công ty cần thực hiện phân tích tác động kinh doanh và sử dụng những thông tin trong kế hoạch quản lý rủi ro của Công ty để đánh giá rủi ro được xác định và các tác động liên quan đến các hoạt động quan trọng của Công ty, từ đó xác định các yêu cầu phục hồi cơ bản.

Hoạt động quan trọng có thể được định nghĩa là chức năng kinh doanh chính mà phải tiếp tục để hỗ trợ công việc kinh doanh của Công ty.

Phân tích tác động kinh doanh

Tham khảo: Bảng phân tích tác động kinh doanh

Page 5

Phần 4

Kế hoạch ứng phó sự cố

Để chuẩn bị ứng phó kịp thời với các sự cố quan trọng và giảm tác động của những sự cố lên hoạt động kinh doanh được xác định trước đó của Công ty. Cần cũng chuẩn bị nhân sự chủ chốt để cung cấp một giải pháp hiệu quả nhằm đảm bảo sự gián đoạn tối thiểu hoạt động của Công ty trong trường hợp khẩn cấp.

ỨNG PHÓ SỰ CỐ BIỆN PHÁP THỰC HIỆN

Công ty có thực hiện:

- Đánh giá mức độ nghiêm trọng của sự cố?

Dựa trên thời gian bị gián đoạn

- Di dời, ứng phó là cần thiết? Thiết lập kênh truyền dự phòng

- Thông báo cho mọi người?

- Xác định các nhân viên bị ảnh hưởng? Xác didjnh dựa trên bảng kết nối

- Tiếp xúc với cơ quan liên quan? Trong trường hợp cần thiết

- Áp dụng kế hoạch ứng phó sự cố? Thiết lập các quy trình theo yêu cầu: cân bằng tải, tường

lửa,…

- Cập nhật sổ theo dõi sự kiện? Nhân viên trực tiếp xử lý sự cố

- Thông báo cho nhân viên? Các trưởng bộ phận

- Chỉ định người phát ngôn chính cho Công ty? Tổng giám đốc

- Tóm tắt cho các thành viên nhóm về sự cố? Trường ban khắc phục sự cố thực hiện

- Phân công vai trò và trách nhiệm cụ thể? Trường ban khắc phục sự cố thực hiện

- Xác định các tổn thất?

- Xác định các hoạt động quan trọng đã bị ngưng trệ? Nhân viên được yêu cầu

- Ứng phó với các cơ quan truyền thông? Tổng giám đốc

Quy trình ứng phó

Tham khảo:

1. Quy trình phòng cháy chữa cháy 2. Quy trình xử lý sự cố an toàn thông tin.

Trang 6

Trách nhiệm và quyền hạn

Bảng này phân công trách nhiệm trong tình trạng khẩn cấp. Trưởng Ban sẽ chỉ định một hoặc nhiều nhân viên và phân công công việc thích hợp để hỗ trợ.

Các nhân viên tham gia phải hiểu được vai trò của mình để hoàn thành kế hoạch và nhiệm vụ khẩn cấp trong tình trạng khẩn cấp.

VAI TRÒ NGƯỜI ĐƯỢC PHÂN CÔNG NGƯỜI THAY THẾ

Trưởng Ban ứng phó tình trạng khẩn cấp

Tên: Diệp Hoàng Châu ĐT: 0918 648 278

Tên: Nguyễn Thanh Sơn ĐT: 0902 739 997

Trách nhiệm trong tình trạng khẩn cấp

Đảm bảo khởi động kế hoạch kinh doanh liên tục,

Giám sát việc thực hiện ứng phó và phục hồi theo kế hoạch

Xác định nhu cầu và khởi động việc sử dụng khu vực thay thế và các nhiệm vụ khác,

Giao tiếp với các bên liên quan khi cần thiết

Cung cấp thông tin quan trọng cho nhân viên truyền thông

Thông báo cho các cán bộ chủ chốt về các thay đổi

Page 7

Bảng danh sách liên hệ trong tình trạng khẩn cấp

Danh sách liên hệ nội bộ

Họ và tên Điện thoại Trách nhiệm

Nguyễn Phan Việt Thủy 0903 779 532 Quản lý chung

Diệp Hoàng Châu 0918 648 278 Trưởng ban ứng phó sự cố an toàn thông tin khẩn cấp

Nguyễn Thanh Sơn 0902 739 997 Thành viên Ban ứng phó sự cố an toàn thông tin

Nguyễn Thanh Nhàn 0938302202 Thành viên Ban ứng phó sự cố an toàn thông tin

Võ Hữu Thu 0937825660 Trưởng Ban PCCC

Danh sách liên hệ với cơ quan bên ngoài

Cơ quan liên hệ chính Điện thoại

Công an PCCC 114

Bệnh viện 115

Công an 113

Công ty SAFE-CA 0938 250 531 (Thủy)

Công ty FPT 0873008888

Công ty Vietel 18008198

Công ty VDC0919901512( Hải )

0919901512 (Dân)

Trang 8

Sổ theo dõi sự cố

Sử dụng Sổ theo dõi sự cố để ghi lại thông tin, quyết định và hành động trong giai đoạn ngay sau các sự kiện hoặc sự cố quan trọng (theo quy trình quản lý sự cố).

Page 9

Phần 5

Phục hồi hoạt động

Phục hồi sự trở lại tình trạng trước khi tình trạng khẩn cấp. Thực hiện các hoạt động quan trọng càng sớm càng tốt sau khi một sự cố nghiêm trọng là trọng tâm chính của Công ty.

Trang 10

Kế hoạch phục hồi Các Hoạt động kinh

doanh quan trọngCác biện pháp phòng ngừa/ phục hồi

Yêu cầu nguồn lực / đầu ra

Mục tiêu thời gian phục hồi

Trách nhiệmNgày

hoàn thànhCung cấp dịch vụ phần mềm và rủi roCháy - Sử dụng tạm ví trí số 278 Nguyễn Đình Chiểu để mang

máy tính sang và tiếp tục thực hiện công việc.

- Có quy định PCCC và huấn luyện nhân thức cho cho nhân viên trong nội bộ về các nguy cơ,

- Mua bảo hiểm tài sản Công ty …

- 10 bộ máy tính

- Chi phí trang bị thiết bị PCCC, huấn luyện nhân viên

7 ngày Giám đốc Kỹ thuật

Trưởng phòng Nhân sự

Khi có sự cố

30/10/2014

Đứt đường truyền Internet:

- Thuê ít nhất hai đường internet để dự phòng. - Chi phí thuê nhà cung cấp

- Tổng Giám đốc Đã thực hiện

Gián Đứt cáp quang: Fpt,

- Xây dựng chính sách đa dạng hóa các nhà cung cấp,

- Thường xuyên theo dõi kiểm tra năng lực của nhà cung cấp, các phương án thay thế…

- Viedtel tự động chuyển đổi sang đường truyền dự phòng.

- Chi phí thuê nhà cung cấp

- Tổng Giám đốc

Giám đốc Kỹ thuật

Đã thực hiện

Đã thực hiện

Sét đánh: hư điện, bộ nguồn

- Trang bị bộ chống sét

- Kiểm tra bộ chống sét hàng năm trước mùa mưa

- Bộ chống sét

- Chi phí đo điện trở tiếp đất

½ ngày, TP. Nhân sự 3/2015

Data center tại VDC ngưng hoạt động do sự cố

- Chuyển các dữ liệu qua server tại Công ty, Khách hàng có thể dùng tạm thời server này

- Mua mới bộ server

- Restore dữ liệu và phục hồi hoạt động

- Server của Công ty đủ dung lượng để lưu trữ

- Chi phí mua server mới

7 ngày Trưởng phòng IT Khi có sự cố

Mạng bị tấn công - Trang bị bức tường lửa - Chi phí mua - TP. Nhân sự Đã thực hiện

Tổng giám đốc đi vắng, nhân viên chủ chốt đi vắng

- Xây dựng các chính sách phân bổ quyền hạn dự phòng,

- Quy trình hóa các công việc chủ chính,…

- 2 ngày Tổng Giám đốc Đã thực hiện

Page 11

Phiếu kiểm tra phục hồi sau sự cố

ỨNG PHÓ SỰ CỐ BIÊN PHÁP

Khi sự cố đã qua, Công ty có:

- Tập trung nỗ lực để phục hồi?

- Khởi động lại các nguồn lực cần thiết bao gồm thiết bị nhân viên, cơ sở?

- Tiếp tục thu thập thông tin về sự cố?

- Đánh giá tình trạng tài chính hiện hành?

- Xem xét các yêu cầu về tiền mặt để phục hồi hoạt động?

- Tiếp xúc với cơ quan bảo hiểm?

- Triển khai các mục tiêu tài chính và khung thời gian để phục hồi?

- Thông báo cho nhân viên?

- Thông báo cho các cổ đông?

- Xác định các yêu cầu về thông tin cần thiết?

- Đặt ưu tiên cho các phương án phục hồi?

- Cập nhật kế hoạch phục hồi?

- Rút bài học kinh nghiệm cho cá nhân, nhóm và quá trình phục hồi kinh doanh?

Trang 12

Các kênh tiếp xúc để phục hồi

Loại Cơ quan Tên cơ quan Người liên hệ Chức danh Điện thoại

A. Dich vụ internet điện thoại

1 FPT Bộ phận hỗ trợ kỹ thuật HTKT 0873008888

2. Viettel Bộ phận hỗ trợ kỹ thuật HTKT 18008198

3. VNPT Bộ phận hỗ trợ HTKT 08.38399999

B. Dich vụ Data Center

1. VDC Mr. Hải, Mr. Dân 0919901512

0919901512

C. Nhà cung ứng khác

1. SAFE-CA Thủy 0938 250 531 (Thủy)

Page 13

Trang 14

Phần 6

Diễn tập, duy trì và xem xét

Công ty tổ chức diễn tập kế hoạch ứng phó tình trạng khẩn cấp để đảm bảo rằng nó luôn phù hợp và hữu ích. Điều này có thể được thực hiện như một phần thực hành đào tạo và là một yếu tố quan trọng trong việc thực hiện thành công kế hoạch ứng phó tình trạng trường hợp khẩn cấp.

Công ty cũng phải đảm bảo thường xuyên xem xét và cập nhật kế hoạch để duy trì tính chính xác và phản ánh những thay đổi bên trong hoặc bên ngoài Công ty.

Kế hoạch đào tạo

Ngày đào tạo Nội dung đào tạo Người đào tạo Ghi chú

1/2015 Thực tập phòng cháy chữa cháy

Công an PCCC Tất cả nhân viên di chuyển đến điểm tập trung trong thời gian quy định

1/2015 Thực hành chuyển đổi server từ VDC về server của Công ty

Giám đốc Kỹ thuật

Hệ thống vận hành tốt

Kế hoạch xem xét

Ngày xem xét Lý do xem xét Thực hiện các thay đổi

Đại diện lãnh đạo ISMS Tổng Giám đốc

Page 15