CHÍNH SÁCH SAO LƯU VÀ PHỤC HỒI DỮ LIỆU

BACKUP AND DATA RECOVERY POLICY

Mã tài liệu (Document No.): VA-ISMS-POL-003
Phiên bản (Version): 1.0
Ngày hiệu lực (Effective Date): 02/07/2025
Phê duyệt bởi (Approved by): Tổng Giám đốc (Chief Executive Officer)

---

1. Mục đích | Purpose

Tiếng Việt

Chính sách này được ban hành nhằm bảo đảm dữ liệu và hệ thống thông tin của Công ty TNHH Vina Aspire được sao lưu, bảo vệ và phục hồi một cách an toàn, kịp thời và hiệu quả, nhằm giảm thiểu rủi ro mất dữ liệu, gián đoạn hoạt động kinh doanh, sự cố an ninh mạng và thảm họa.

English

This Policy establishes requirements for the secure backup, protection, and recovery of Vina Aspire’s information and systems to minimize the risks of data loss, business disruption, cybersecurity incidents, and disasters.

---

2. Phạm vi áp dụng | Scope

Tiếng Việt

Chính sách này áp dụng đối với:

• Tất cả dữ liệu, hệ thống thông tin, ứng dụng, cơ sở dữ liệu, máy chủ, dịch vụ Cloud và tài sản thông tin của Công ty;
• Tất cả nhân viên, nhà cung cấp, đối tác và bên thứ ba tham gia quản trị, vận hành hoặc xử lý dữ liệu của Vina Aspire.

English

This Policy applies to:

• All company data, information systems, applications, databases, servers, cloud services, and information assets;
• All employees, vendors, partners, and third parties involved in managing, operating, or processing Vina Aspire’s data.

---

3. Mục tiêu | Objectives

Tiếng Việt

Vina Aspire thực hiện sao lưu và phục hồi dữ liệu nhằm:

• Bảo đảm tính sẵn sàng, toàn vẹn và khả năng phục hồi của dữ liệu;
• Duy trì hoạt động kinh doanh liên tục;
• Giảm thiểu tác động của sự cố CNTT, an ninh mạng và thảm họa;
• Đáp ứng các yêu cầu pháp luật, hợp đồng và khách hàng;
• Hỗ trợ điều tra sự cố, kiểm toán và tuân thủ.

English

Vina Aspire performs backup and recovery activities to:

• Ensure the availability, integrity, and recoverability of data;
• Maintain business continuity;
• Minimize the impact of IT incidents, cyberattacks, and disasters;
• Meet legal, contractual, and customer requirements;
• Support investigations, audits, and compliance activities.

---

4. Nguyên tắc | Principles

Vina Aspire áp dụng các nguyên tắc sau:

• Dữ liệu quan trọng phải được sao lưu định kỳ theo mức độ quan trọng của hệ thống.
• Các bản sao lưu phải được mã hóa và bảo vệ khỏi truy cập trái phép.
• Bản sao lưu phải được lưu trữ tách biệt với môi trường vận hành chính.
• Việc sao lưu và phục hồi phải được kiểm thử định kỳ.
• Áp dụng Nguyên tắc Sao lưu 3-2-1-0 (3-2-1-0 Backup Rule).
• Áp dụng nguyên tắc quyền tối thiểu (Least Privilege) đối với việc truy cập dữ liệu sao lưu.

Vina Aspire adopts the following principles:

• Critical data shall be backed up regularly according to business criticality.
• Backup copies shall be encrypted and protected against unauthorized access.
• Backup copies shall be stored separately from production environments.
• Backup and recovery processes shall be periodically tested.
• The 3-2-1-0 Backup Rule shall be implemented.
• Access to backup data shall follow the Least Privilege Principle.

---

5. Nguyên tắc Sao lưu 3-2-1-0 | 3-2-1-0 Backup Rule

Vina Aspire áp dụng nguyên tắc:

• 03 bản sao dữ liệu (3 Copies): Bao gồm dữ liệu gốc và tối thiểu hai (02) bản sao lưu.
• 02 phương tiện lưu trữ khác nhau (2 Different Media): Lưu trữ trên ít nhất hai nền tảng hoặc phương tiện khác nhau.
• 01 bản sao lưu ngoài môi trường vận hành chính (1 Offsite Copy): Lưu tại địa điểm hoặc hạ tầng độc lập với hệ thống sản xuất.
• 0 lỗi (0 Errors): Các bản sao lưu phải được kiểm tra và xác minh định kỳ để bảo đảm khả năng phục hồi thành công.

Vina Aspire adopts the following principles:

• 3 Copies: One production copy and at least two backup copies.
• 2 Different Media: Backup copies stored on at least two different storage media or platforms.
• 1 Offsite Copy: At least one backup copy maintained separately from the production environment.
• 0 Errors: Backup copies shall be regularly verified to ensure successful recovery.

---

6. Phân loại dữ liệu sao lưu | Backup Data Classification

Các loại dữ liệu cần được sao lưu bao gồm:

• Dữ liệu khách hàng (Customer Data);
• Cơ sở dữ liệu hệ thống (System Databases);
• Dữ liệu người dùng (User Data);
• Mã nguồn và kho mã nguồn (Source Code Repositories);
• Tài liệu nghiệp vụ và tài liệu nội bộ (Business and Internal Documents);
• Cấu hình hệ thống và thiết bị (System and Device Configurations);
• Nhật ký hệ thống (System Logs).

---

7. Tần suất sao lưu | Backup Frequency

Loại dữ liệu	Tần suất	Data Type	Frequency
Cơ sở dữ liệu quan trọng	Hàng ngày	Critical Databases	Daily
Dữ liệu khách hàng	Hàng ngày	Customer Data	Daily
Dữ liệu Microsoft 365	Hàng ngày	Microsoft 365 Data	Daily
Mã nguồn và cấu hình	Hàng tuần	Source Code and Configurations	Weekly
Sao lưu toàn bộ hệ thống	Hàng tuần hoặc hàng tháng	Full System Backup	Weekly or Monthly

---

8. Bảo vệ dữ liệu sao lưu | Backup Protection

Tiếng Việt

• Các bản sao lưu chứa dữ liệu nhạy cảm hoặc dữ liệu khách hàng phải được mã hóa;
• Quyền truy cập dữ liệu sao lưu phải được kiểm soát và ghi nhận nhật ký;
• Các bản sao lưu phải được bảo vệ khỏi xóa, sửa đổi hoặc truy cập trái phép;
• Đối với dữ liệu quan trọng, Công ty khuyến khích áp dụng cơ chế Immutable Backup.

English

• Backup copies containing sensitive or customer data shall be encrypted;
• Access to backup data shall be controlled and logged;
• Backup copies shall be protected from unauthorized deletion, modification, or access;
• Immutable Backup is recommended for critical data.

---

9. Phục hồi dữ liệu | Data Recovery

Việc phục hồi dữ liệu được thực hiện trong các trường hợp:

• Sự cố phần cứng hoặc phần mềm;
• Tấn công mạng hoặc mã độc tống tiền;
• Xóa nhầm hoặc thay đổi dữ liệu ngoài ý muốn;
• Thiên tai hoặc gián đoạn hoạt động kinh doanh;
• Yêu cầu nghiệp vụ được phê duyệt.

Data recovery may be performed in the event of:

• Hardware or software failures;
• Cyberattacks or ransomware incidents;
• Accidental deletion or modification;
• Disasters or business interruptions;
• Approved business requirements.

---

10. Mục tiêu phục hồi | Recovery Objectives

Đối với các hệ thống quan trọng, Vina Aspire áp dụng:

• RPO (Recovery Point Objective): Không quá 04 giờ.
• RTO (Recovery Time Objective): Không quá 08 giờ.

Đối với các hệ thống thông thường:

• RPO: Không quá 24 giờ.
• RTO: Không quá 24 giờ.

For critical systems:

• RPO: Up to four (04) hours.
• RTO: Up to eight (08) hours.

For standard systems:

• RPO: Up to twenty-four (24) hours.
• RTO: Up to twenty-four (24) hours.

---

11. Kiểm thử phục hồi | Recovery Testing

Tiếng Việt

Việc kiểm thử phục hồi dữ liệu phải được thực hiện tối thiểu một (01) lần mỗi năm và sau các thay đổi trọng yếu đối với hạ tầng CNTT hoặc giải pháp sao lưu.

English

Recovery testing shall be conducted at least once annually and after significant changes to the IT infrastructure or backup solutions.

---

12. Vai trò và trách nhiệm | Roles and Responsibilities

Ban Lãnh đạo | Management

Phê duyệt chính sách và bảo đảm nguồn lực cần thiết.
Approve this Policy and provide necessary resources.

Bộ phận CNTT | IT Department

Thực hiện sao lưu, phục hồi, kiểm thử và giám sát.
Perform backup, recovery, testing, and monitoring activities.

Chủ sở hữu dữ liệu | Data Owners

Xác định dữ liệu quan trọng và yêu cầu phục hồi.
Identify critical data and recovery requirements.

Người sử dụng | Users

Tuân thủ chính sách và báo cáo các sự cố liên quan đến dữ liệu.
Comply with this Policy and report data-related incidents.

---

13. Tuân thủ | Compliance

Chính sách này được xây dựng phù hợp với:

• ISO/IEC 27001:2022;
• ISO/IEC 27002:2022;
• Các quy định pháp luật Việt Nam;
• Các cam kết với khách hàng và đối tác.

This Policy is aligned with:

• ISO/IEC 27001:2022;
• ISO/IEC 27002:2022;
• Applicable Vietnamese laws;
• Customer and contractual commitments.

---

14. Hiệu lực thi hành | Effective Date

Chính sách này có hiệu lực kể từ ngày được Tổng Giám đốc phê duyệt và là một phần của Hệ thống Quản lý An toàn Thông tin (ISMS) của Công ty TNHH Vina Aspire.

This Policy becomes effective upon approval by the Chief Executive Officer and forms an integral part of the Information Security Management System (ISMS) of Vina Aspire Company Limited.

Vina Aspire