Thảo luận nhóm và trả lời câu hỏi cho tình huống sau:

Công ty ABC sử dụng phần mềm kế toán Smart Accounting. Hệ thống TT kế toán của
công ty bao gồm máy chủ của phòng kế toán, máy trạm làm việc của nhân viên kế toán,
máy xách tay của Kế toán trưởng, và các máy tính của nhân viên kế toán tại các chi
nhánh ở các tỉnh thành trọng nước. Phần mềm kế toán của công ty là phần mềm online,
có thể truy cập thông qua internet. Dữ liệu kế toán được lưu trên máy chủ của công ty và
được sao lưu tự động mỗi tháng trên dịch vụ đám mây của công ty cung cấp phần mềm.

Câu hỏi thảo luận:

1. Xác định các sự cố có thể xảy ra đối với HTTTKT của công ty ABC. Các sự cố đó
có thể bắt nguồn từ các nguy cơ nào? Các sự cố đó có thể phát hiện thông qua
những chỉ báo nào?
2. Xây dựng kế hoạch ứng phó sự cố cho hệ thống thông tin kế toán của công ty
ABC.

Bài làm
1.
Sự cố Nguy cơ Chỉ báo
Máy tính xách tay của Nguy cơ con người: con người cố Thiết lập bảo mật cho
Kế toán trưởng bị ý đánh cắp hoặc sơ suất làm mất. các tài khoản đã đăng
trộm/làm mất. nhập vào máy tính
Phần mềm kế toán của Nguy cơ phần mềm: phần mềm bị Kiểm tra quyền truy
công ty bị truy cập bất lỗi bảo mật dẫn đến bảo mật kém cập để phát hiện các
hợp pháp từ xa Xâm nhập đánh cắp dữ liệu hoạt động truy cập trái
phép
Cảnh báo truy cập khi
có truy cập bất thường
từ thiết bị hay vị trí lạ

Phần mềm kế toán bị Tấn công có chủ đích bằng phần Hệ thống bị treo bất
nhiễm mã độc. mềm thường
Xuất hiện các tập tin
không quen thuộc
Các cuộc tấn công
được báo cáo
Máy chủ bị lỗi, không Nguy cơ phần cứng Hệ thống bị treo bất
truy cập vào được. thường
 Bị tấn công mạng bởi Các lỗ hổng trong hệ điều hành, Thường xuyên cập
hacker. ứng dụng hoặc phần mềm có thể nhật hệ điều hành,
tạo điều kiện cho hacker tấn công. phần mềm diệt virus
Đặc biệt, các lỗ hổng Zero-day (lỗ và thực hiện biện pháp
hổng chưa được công bố) có thể bảo mật như
được khai thác. sử dụng mật khẩu
mạnh.
Máy chủ, máy trạm và Máy tính chạy quá nhiều chương Hiển thị thông báo lỗi
máy xách tay có thể gặp trình cùng lúc có thể làm cho RAM phần cứng (ví dụ: lỗi ổ
lỗi phần cứng dẫn đến quá tải và gây ra lỗi. cứng, lỗi RAM).
không thể thực hiện các Kiểm tra và bảo trì hệ
chức năng kế toán thống thường xuyên.
Dữ liệu quan trọng bị Gián điệp hoặc kẻ xâm nhập trái Xuất hiện hoặc thực
chỉnh sửa/xóa bởi cấp phép hiện các chương trình
dưới. hoặc quy trình không
rõ nguồn gốc
Máy tính hệ thống bị Lỗi phần mềm Hệ thống bị treo bất
treo thường
Mất kết nối Internet Sai lệch về chất lượng dịch vụ bởi Mất tính khả dụng của
người cung cấp dịch vụ: Do phần thông tin, hệ thống bị
mềm kế toán là trực tuyến, truy cập treo không hoạt động
thông qua internet được cung cấp được như bình thường.
bởi nhà mạng. Người dùng không thể
Lỗi mạng, sự cố kết nối internet, truy cập vào phần
hoặc sự cố về cơ sở hạ tầng mạng. mềm kế toán online
hoặc không thể truy
cập dữ liệu từ máy
chủ.
Hệ thống sao lưu bị lỗi Lỗi phần mềm Kiểm tra sao lưu tự
động

2.
Kế hoạch ứng phó sự cố cho hệ thống thông tin kế toán của công ty ABC
1. Sứ mệnh (Mission)
• Triển khai, kiểm tra và duy trì kế hoạch ứng phó sự cố an ninh máy tính của a, một bộ
tiêu chí tiêu chuẩn để xác định mức độ nghiêm trọng của sự cố, ứng phó với các vấn đề
bảo mật và các giao thức liên lạc giữa các cơ quan và bộ phận trong một sự cố
• Hỗ trợ bảo vệ cơ sở hạ tầng mạng của, các hệ thống và mạng máy tính của cơ quan
cũng như dữ liệu chứa trong đó khỏi tác động của các sự cố bảo mật máy tính
• Cung cấp đầu mối liên lạc trung tâm để báo cáo và phổ biến thông tin về các sự cố bảo
mật máy tính
• Điều phối các hoạt động của nhân viên và các nhóm quản lý và kỹ thuật của cơ quan bị
ảnh hưởng trong việc điều tra, ứng phó và khắc phục sau các sự cố bảo mật máy tính
• Giảm thiểu mọi tác động tiêu cực của sự cố bảo mật máy tính đối với hoạt động kinh
doanh, tình hình tài chính và hình ảnh công chúng của
• Giảm thiểu sự gián đoạn cho cả khách hàng nội bộ và bên ngoài
• Thu thập dữ liệu và bằng chứng cần thiết cho việc truy tố;
• Đảm bảo các hoạt động và hành động nhất quán với các ưu tiên được nêu trước đó trong
tài liệu

2. Chiến lược và mục tiêu

Chiến lược
Áp dụng các nguyên tắc ứng phó sự cố được thiết lập trong nguyên tắc kiểm soát “Ứng
phó sự cố” NIST SP 800-53 làm chính sách chính thức cho lĩnh vực bảo mật này.
•Quy trình ứng phó sự cố :
➢ Chuẩn bị trước khi có sự cố xảy ra
Xây dựng đội ứng phó sự cố
Xác định vai trò và trách nhiệm, thiết lập các kênh liên lạc và đảm bảo quyền truy cập
vào các nguồn lực cần thiết.
➢ Phát hiện và phân tích
➢ Ngăn chặn, diệt trừ và phục hồi
➢ Hoạt động sau sự cố
Mục tiêu:
Đề ra các phương án ứng phó kịp thời khi gặp sự cố. Bảo đảm ATTT mạng cho các hệ
thống thông tin quan trọng trong công ty
Bảo đảm nhân lực và các điều kiện cần thiết để sẵn sàng triển khai kịp thời, hiệu quả
phương án ứng phó sự cố

3. Phê duyệt của quản lý cấp cao

Người ra quyết định :Giám đốc an ninh (CSO), Giám đốc thông tin (CIO) cũng có thể
bao gồm cả Giám đốc điều hành (COO) và Giám đốc điều hành (CEO)

4. Cách tiếp cận của tổ chức đối với ứng phó sự cố

 Đối với sự cố phần cứng: Công ty ABC cần có kế hoạch thay thế máy chủ
và các thiết bị phần cứng khác trong trường hợp xảy ra sự cố.
  Đối với sự cố phần mềm: Công ty ABC cần có bản sao lưu dữ liệu kế toán
để phục hồi dữ liệu trong trường hợp xảy ra sự cố phần mềm.
 Đối với sự cố mạng Internet bị lỗi/trục trặc: Công ty ABC cần phải thiết lập
một hệ thống mạng dự phòng trong trường hợp không thể truy cập được
Internet.
 Đối với sự cố mất dữ liệu: Công ty ABC cần có kế hoạch khôi phục
dữ liệu từ bản sao lưu trong trường hợp xảy ra sự cố mất dữ liệu.
 Đối với sự cố tấn công mạng: Công ty ABC cần có kế hoạch ứng phó
với các cuộc tấn công mạng, bao gồm các biện pháp như:
 Sử dụng các giải pháp bảo mật mạng để ngăn chặn các cuộc tấn
công mạng.
 Đào tạo cho nhân viên kế toán về cách nhận biết và xử lý các

Cách tiếp cận của tổ chức đối với ứng phó sự cố là một yếu tố quan trọng để đảm
bảo an toàn cho hệ thống TT kế toán. Công ty ABC cần xây dựng và thực hiện một
kế hoạch ứng phó sự cố toàn diện, bao gồm các biện pháp ngăn chặn, phát hiện, và
khắc phục sự cố cuộc tấn công mạng.

5. Cách truyền thông của đội ứng phó sự cố

Kế hoạch truyền thông sẽ giúp không cần phải đoán định thời điểm và cách thức
thông báo cho những người khác ở trong và ngoài tổ chức biết điều gì đang diễn
ra. Hãy suy nghĩ về các kịch bản khác nhau để xác định xem trong những trường
hợp nào thì mình cần thông báo cho ban điều hành, toàn bộ tổ chức, khách hàng và
giới truyền thông hoặc các bên liên quan bên ngoài khác.
6. Các chỉ số đo lường năng lực và hiệu quả ứng phó sự cố
 Mốc thời gian phục hồi (Recovery Time Objective - RTO): Đây là thời gian mà hệ
thống cần để phục hồi sau khi xảy ra sự cố. Nếu RTO ngắn, công ty có khả năng
phục hồi nhanh chóng.
 Mốc phục hồi dữ liệu (Recovery Point Objective - RPO): Đây là khoảng thời gian
mà dữ liệu có thể bị mất sau khi xảy ra sự cố. Nếu RPO thấp, công ty có khả năng
bảo vệ dữ liệu tốt hơn.
 Thời gian ngưng trệ tối đa có thể chấp nhận được (Maximum Tolerable Downtime
- MTD): Đây là thời gian tối đa mà dịch vụ có thể ngưng trệ trước khi gây thiệt hại
không thể chấp nhận được cho doanh nghiệp. MTD thường được xác định dựa trên
yêu cầu của doanh nghiệp và tình hình cụ thể.
 Chi phí ứng phó sự cố: Chi phí ứng phó sự cố càng thấp thì càng giảm thiểu thiệt
hại cho doanh nghiệp.
 7. Lộ trình hoàn thiện năng lực ứng phó sự cố
 Xác định các nguy cơ và sự cố tiềm ẩn:
 Đánh giá các yếu tố có thể gây ra sự cố trong hệ thống thông tin kế toán.
 Xác định các nguy cơ từ môi trường, phần mềm, phần cứng, nguồn lực, quy
trình và con người.
 Xây dựng kế hoạch ứng phó sự cố:
 Lập kế hoạch dự phòng ứng phó với các nguy cơ đã xác định.
 Đảm bảo rằng có kế hoạch sao lưu dữ liệu thường xuyên và kiểm tra tính
khả dụng của việc khôi phục dữ liệu.
 Tạo lực lượng ứng phó sự cố:
 Thành lập một đội ứng phó sự cố chuyên trách, bao gồm các chuyên gia về
kỹ thuật, an ninh thông tin và quản lý sự cố.
 Đào tạo lực lượng ứng phó về các kỹ năng cần thiết để xử lý sự cố.
 Thiết lập hệ thống giám sát và cảnh báo:
 Cài đặt hệ thống giám sát liên tục cho hệ thống thông tin kế toán.
 Thiết lập cảnh báo tức thì cho các sự cố quan trọng.
 Thực hiện diễn tập và kiểm tra:
 Tổ chức diễn tập ứng phó sự cố với các kịch bản khác nhau.
 Kiểm tra hiệu suất và thời gian phục hồi trong các cuộc diễn tập.
 Đánh giá và cải tiến liên tục:
 Đánh giá hiệu suất ứng phó sự cố sau mỗi sự cố thực tế.
 Cải tiến kế hoạch và quy trình ứng phó dựa trên kinh nghiệm và học hỏi từ
các sự cố trước đó.

8. Cách để chương trình phản ứng sự cố phù hợp với tổ chức

trong tổng thể
➢ Đội ứng cứu sự cố
• Nhóm ứng phó sự cố đơn lẻ xử lý các sự cố trong toàn công ty
• Sự đa dạng về mặt địa lý ở mức tối thiểu về tài nguyên máy tính
➢ Phân tán các Đội ứng phó sự cố
• Nhiều nhóm ứng phó sự cố, mỗi nhóm chịu trách nhiệm về một phân đoạn logic hoặc
vật lý cụ thể của công ty
• Các nhóm phải là một phần của một thực thể phối hợp duy nhất để quá trình ứng phó sự
cố được nhất quán trong toàn công ty và thông tin được chia sẻ giữa các nhóm.
➢ Nhân viên
• Tổ chức thực hiện mọi công việc ứng phó sự cố
➢ Thuê ngoài hoàn toàn
• Tổ chức thuê ngoài hoàn toàn công việc ứng phó sự cố
• Sử dụng khi công ty cần một nhóm ứng phó sự cố tại chỗ, toàn thời gian nhưng không
có đủ nhân viên có trình độ và sẵn sàng.