QUY ĐỊNH VÀ QUY TRÌNH XỬ LÝ SỰ CỐ BẢO MẬT THÔNG TIN

INFORMATION SECURITY INCIDENT MANAGEMENT PROCEDURE

Mã tài liệu (Document No.): VA-ISMS-PR-006
Phiên bản (Version): 1.0
Ngày hiệu lực (Effective Date): 02/07/2025
Phê duyệt bởi (Approved by): Tổng Giám đốc (Chief Executive Officer)

---

1. Mục đích | Purpose

Tiếng Việt

Quy định này được ban hành nhằm thiết lập quy trình thống nhất để phát hiện, báo cáo, đánh giá, ứng phó, khắc phục và rút kinh nghiệm đối với các sự cố bảo mật thông tin, nhằm giảm thiểu tác động đến hoạt động kinh doanh, tài sản thông tin, dữ liệu khách hàng và uy tín của Công ty TNHH Vina Aspire.

English

This Procedure establishes a consistent process for detecting, reporting, assessing, responding to, recovering from, and learning from information security incidents to minimize impacts on business operations, information assets, customer data, and the reputation of Vina Aspire.

---

2. Phạm vi áp dụng | Scope

Quy định này áp dụng đối với:

• Tất cả nhân viên, người lao động, đối tác, nhà cung cấp và bên thứ ba;
• Tất cả hệ thống CNTT, dịch vụ Cloud, ứng dụng, cơ sở dữ liệu, thiết bị và dữ liệu của Công ty;
• Các hệ thống và dữ liệu khách hàng do Công ty quản trị theo hợp đồng.

This Procedure applies to:

• All employees, contractors, partners, vendors, and third parties;
• All IT systems, cloud services, applications, databases, devices, and company data;
• Customer systems and data managed by the Company under contractual arrangements.

---

3. Định nghĩa | Definitions

Sự cố bảo mật thông tin | Information Security Incident

Là một hoặc nhiều sự kiện làm ảnh hưởng hoặc có khả năng ảnh hưởng đến tính bảo mật, tính toàn vẹn hoặc tính sẵn sàng của thông tin hoặc hệ thống thông tin.

An event or series of events that compromises or potentially compromises the confidentiality, integrity, or availability of information or information systems.

---

4. Ví dụ về sự cố bảo mật | Examples of Security Incidents

Bao gồm nhưng không giới hạn:

• Nhiễm mã độc hoặc ransomware;
• Tấn công mạng, DDoS;
• Truy cập trái phép;
• Lộ lọt dữ liệu;
• Mất hoặc thất lạc thiết bị CNTT;
• Tài khoản bị đánh cắp;
• Cấu hình sai gây mất an toàn thông tin;
• Xóa hoặc thay đổi dữ liệu trái phép;
• Sự cố từ nhà cung cấp hoặc dịch vụ Cloud.

Including but not limited to:

• Malware or ransomware infection;
• Cyberattacks and DDoS attacks;
• Unauthorized access;
• Data breaches;
• Loss of IT equipment;
• Compromised accounts;
• Security misconfigurations;
• Unauthorized data modification or deletion;
• Vendor or cloud service incidents.

---

5. Nguyên tắc xử lý sự cố | Incident Management Principles

Vina Aspire áp dụng các nguyên tắc:

• Phát hiện và xử lý kịp thời;
• Hạn chế tối đa tác động;
• Bảo đảm tính liên tục của hoạt động kinh doanh;
• Bảo vệ bằng chứng phục vụ điều tra;
• Ghi nhận và lưu vết đầy đủ;
• Rút kinh nghiệm và cải tiến liên tục.

Vina Aspire adopts the following principles:

• Early detection and response;
• Minimize impacts;
• Ensure business continuity;
• Preserve evidence for investigation;
• Maintain complete records and logs;
• Continuously improve incident management capabilities.

---

6. Vai trò và trách nhiệm | Roles and Responsibilities

Ban Lãnh đạo | Management

• Chỉ đạo và quyết định đối với các sự cố nghiêm trọng;
• Phê duyệt các biện pháp khắc phục và phục hồi.

Provide direction and make decisions regarding major incidents.

---

Bộ phận CNTT và An toàn thông tin | IT and Information Security

• Tiếp nhận, phân loại và xử lý sự cố;
• Điều tra nguyên nhân;
• Điều phối hoạt động ứng phó;
• Giám sát quá trình phục hồi;
• Báo cáo kết quả xử lý.

Receive, classify, investigate, coordinate responses, monitor recovery activities, and report results.

---

Chủ sở hữu hệ thống | System Owners

• Phối hợp xử lý và đánh giá tác động;
• Xác nhận việc khôi phục dịch vụ.

Assist in incident handling and validate service recovery.

---

Người sử dụng | Users

• Báo cáo ngay các dấu hiệu bất thường;
• Không tự ý xử lý nếu chưa được phân công;
• Hợp tác trong quá trình điều tra.

Immediately report incidents and cooperate during investigations.

---

7. Quy trình xử lý sự cố | Incident Management Process

Bước 1. Phát hiện và báo cáo

Step 1. Detection and Reporting

Nguồn phát hiện:

• Người sử dụng;
• Hệ thống giám sát;
• Công cụ bảo mật;
• Nhà cung cấp;
• Khách hàng;
• Cơ quan chức năng.

Sự cố phải được báo cáo ngay cho Bộ phận CNTT hoặc An toàn thông tin.

Incidents shall be reported immediately to the IT or Information Security Team.

---

Bước 2. Phân loại và đánh giá

Step 2. Classification and Assessment

Đánh giá:

• Loại sự cố;
• Phạm vi ảnh hưởng;
• Hệ thống và dữ liệu liên quan;
• Mức độ tác động;
• Khả năng lan rộng;
• Mức độ ưu tiên xử lý.

Assess:

• Incident type;
• Scope of impact;
• Affected systems and data;
• Severity;
• Propagation risk;
• Response priority.

---

Bước 3. Kiểm soát và cô lập

Step 3. Containment

Các biện pháp có thể bao gồm:

• Cô lập máy chủ hoặc thiết bị;
• Ngắt kết nối mạng;
• Khóa tài khoản;
• Chặn địa chỉ IP;
• Tạm dừng dịch vụ.

Possible actions include:

• Isolating servers or devices;
• Disconnecting network access;
• Disabling accounts;
• Blocking IP addresses;
• Suspending affected services.

---

Bước 4. Điều tra và xử lý

Step 4. Investigation and Eradication

Thực hiện:

• Thu thập nhật ký và bằng chứng;
• Phân tích nguyên nhân gốc;
• Loại bỏ mã độc hoặc truy cập trái phép;
• Khắc phục lỗ hổng;
• Thực hiện các biện pháp ngăn ngừa tái diễn.

Perform:

• Evidence collection;
• Root cause analysis;
• Malware removal;
• Vulnerability remediation;
• Preventive actions.

---

Bước 5. Phục hồi

Step 5. Recovery

Thực hiện:

• Khôi phục dữ liệu và hệ thống;
• Kiểm tra tính toàn vẹn của dữ liệu;
• Kiểm tra tính ổn định của hệ thống;
• Giám sát tăng cường sau khi phục hồi.

Perform:

• Restore systems and data;
• Verify data integrity;
• Validate system stability;
• Increase monitoring activities.

---

Bước 6. Rút kinh nghiệm

Step 6. Lessons Learned

Trong vòng năm (05) ngày làm việc sau khi đóng sự cố, Bộ phận CNTT và An toàn thông tin phải:

• Đánh giá nguyên nhân;
• Đánh giá hiệu quả xử lý;
• Xác định hành động cải tiến;
• Cập nhật chính sách, quy trình và biện pháp kiểm soát.

Within five (05) working days after closure, IT and Information Security shall perform a lessons-learned review and identify improvement actions.

---

8. Phân loại mức độ sự cố | Incident Severity Classification

Mức độ	Severity	Ví dụ	Examples
Thấp	Low	Máy tính nhiễm adware	Adware infection
Trung bình	Medium	Mất thiết bị CNTT	Lost IT equipment
Cao	High	Tài khoản bị xâm nhập	Compromised account
Nghiêm trọng	Critical	Ransomware, lộ dữ liệu khách hàng, gián đoạn dịch vụ diện rộng	Ransomware, customer data breach, major service outage

---

9. Thời gian phản ứng mục tiêu | Target Response Time

Mức độ	Severity	Phản hồi ban đầu	Initial Response
Critical	Nghiêm trọng	≤ 01 giờ	≤ 1 hour
High	Cao	≤ 04 giờ	≤ 4 hours
Medium	Trung bình	≤ 08 giờ	≤ 8 hours
Low	Thấp	≤ 01 ngày làm việc	≤ 1 business day

---

10. Nhật ký và lưu hồ sơ | Logging and Record Retention

Phải lưu giữ:

• Phiếu báo cáo sự cố;
• Nhật ký hệ thống;
• Bằng chứng điện tử;
• Kết quả điều tra;
• Báo cáo khắc phục;
• Biên bản rút kinh nghiệm.

The following records shall be retained:

• Incident reports;
• System logs;
• Digital evidence;
• Investigation reports;
• Corrective action reports;
• Lessons-learned reports.

Thời gian lưu giữ tối thiểu: ba (03) năm hoặc theo yêu cầu pháp luật, khách hàng và hợp đồng.

Minimum retention period: three (03) years or as required by law and contractual obligations.

---

11. Thông báo sự cố | Incident Notification

Đối với sự cố nghiêm trọng liên quan đến dữ liệu cá nhân, dữ liệu khách hàng hoặc dịch vụ trọng yếu, Công ty phải:

• Báo cáo Ban Lãnh đạo;
• Thông báo cho khách hàng bị ảnh hưởng (nếu cần);
• Thực hiện nghĩa vụ báo cáo theo quy định pháp luật hiện hành.

For significant incidents involving personal data, customer data, or critical services, the Company shall notify Management, affected customers where necessary, and comply with applicable reporting obligations.

---

12. Tuân thủ | Compliance

Quy trình này phù hợp với:

• ISO/IEC 27001:2022;
• ISO/IEC 27002:2022;
• ISO/IEC 27035 – Information Security Incident Management;
• NIST Cybersecurity Framework;
• Các quy định pháp luật hiện hành và cam kết với khách hàng.

This Procedure aligns with ISO/IEC 27001:2022, ISO/IEC 27002:2022, ISO/IEC 27035, the NIST Cybersecurity Framework, and applicable legal and contractual requirements.

---

13. Hiệu lực thi hành | Effective Date

Quy trình này có hiệu lực kể từ ngày được Tổng Giám đốc phê duyệt và là một phần của Hệ thống Quản lý An toàn Thông tin (ISMS) của Công ty TNHH Vina Aspire.

This Procedure becomes effective upon approval by the Chief Executive Officer and forms an integral part of the Information Security Management System (ISMS) of Vina Aspire Company Limited.

Vina Aspire