Vina Aspire > VinaAspire’s Corner | Góc dành cho người Vina Aspire > HSEQ > Vulnerability And Patch Management Policy – Quy Định Về Quản Lý Lỗ Hổng Và Cập Nhật Bản Vá

Vulnerability And Patch Management Policy – Quy Định Về Quản Lý Lỗ Hổng Và Cập Nhật Bản Vá

QUY ĐỊNH VỀ QUẢN LÝ LỖ HỔNG VÀ CẬP NHẬT BẢN VÁ

VULNERABILITY AND PATCH MANAGEMENT POLICY

Mã tài liệu (Document No.): VA-ISMS-POL-005
Phiên bản (Version): 1.0
Ngày hiệu lực (Effective Date): 02/07/2025
Phê duyệt bởi (Approved by): Tổng Giám đốc (Chief Executive Officer)

1. Mục đích | Purpose

Tiếng Việt

Quy định này được ban hành nhằm thiết lập cơ chế nhận diện, đánh giá, xử lý và giám sát các lỗ hổng bảo mật, đồng thời quản lý việc triển khai các bản vá (Patch) đối với hệ thống thông tin của Công ty TNHH Vina Aspire nhằm giảm thiểu rủi ro mất an toàn thông tin, gián đoạn dịch vụ và các cuộc tấn công mạng.

English

This Policy establishes requirements for identifying, assessing, remediating, and monitoring security vulnerabilities and managing patch deployment across Vina Aspire’s information systems to minimize information security risks, service disruptions, and cyberattacks.

2. Phạm vi áp dụng | Scope

Quy định này áp dụng đối với:

  • Máy chủ (Servers);
  • Máy tính người dùng (Endpoints);
  • Thiết bị mạng và thiết bị bảo mật;
  • Hệ điều hành và phần mềm ứng dụng;
  • Hệ thống Cloud và dịch vụ SaaS;
  • Cơ sở dữ liệu;
  • Ứng dụng do Công ty tự phát triển;
  • Hệ thống, dữ liệu và dịch vụ của khách hàng do Công ty quản trị theo hợp đồng.

This Policy applies to:

  • Servers;
  • Endpoints;
  • Network and security devices;
  • Operating systems and applications;
  • Cloud and SaaS environments;
  • Databases;
  • Internally developed applications;
  • Customer systems and services managed under contractual arrangements.

3. Mục tiêu | Objectives

  • Phát hiện và xử lý kịp thời các lỗ hổng bảo mật;
  • Giảm thiểu khả năng bị khai thác bởi mã độc hoặc tấn công mạng;
  • Bảo đảm hệ thống luôn được cập nhật ở trạng thái an toàn;
  • Giảm thiểu rủi ro gián đoạn hoạt động kinh doanh;
  • Đáp ứng các yêu cầu của ISO/IEC 27001:2022, khách hàng và pháp luật.

To identify and remediate security vulnerabilities in a timely manner, minimize exploitation risks, maintain secure systems, ensure business continuity, and comply with ISO/IEC 27001:2022 and applicable requirements.

4. Nguyên tắc | Principles

Vina Aspire áp dụng các nguyên tắc sau:

  • Quản lý lỗ hổng theo phương pháp dựa trên rủi ro (Risk-Based Approach);
  • Triển khai bản vá theo mức độ ưu tiên và mức độ nghiêm trọng;
  • Kiểm thử trước khi triển khai diện rộng đối với các hệ thống quan trọng;
  • Bảo đảm khả năng khôi phục khi việc cập nhật gặp sự cố;
  • Ghi nhận và theo dõi toàn bộ quá trình xử lý.

Vina Aspire adopts a risk-based approach, prioritizes patch deployment based on severity, performs testing for critical systems, ensures recoverability, and maintains complete records.

5. Vai trò và trách nhiệm | Roles and Responsibilities

Ban Lãnh đạo | Management

  • Phê duyệt chính sách và cung cấp nguồn lực cần thiết.
  • Chấp thuận các trường hợp chấp nhận rủi ro (Risk Acceptance).

Approve this Policy, allocate resources, and approve risk acceptance cases.

Bộ phận CNTT và An toàn thông tin | IT and Information Security

  • Theo dõi các cảnh báo lỗ hổng;
  • Thực hiện quét lỗ hổng;
  • Đánh giá mức độ rủi ro;
  • Triển khai bản vá;
  • Giám sát và báo cáo kết quả.

Monitor vulnerabilities, perform scanning, assess risks, deploy patches, and report results.

Chủ sở hữu hệ thống | System Owners

  • Phối hợp đánh giá tác động;
  • Phê duyệt thời điểm triển khai;
  • Kiểm tra hoạt động sau khi cập nhật.

Participate in impact assessments, approve deployment windows, and validate system functionality after patching.

Người sử dụng | Users

  • Không tự ý cài đặt phần mềm trái phép;
  • Hợp tác trong quá trình cập nhật hệ thống;
  • Báo cáo các dấu hiệu bất thường.

Do not install unauthorized software, cooperate during updates, and report abnormal activities.

6. Quy trình quản lý lỗ hổng | Vulnerability Management Process

Bước 1: Nhận diện lỗ hổng

Step 1: Vulnerability Identification

Nguồn thông tin bao gồm:

  • Công bố từ nhà sản xuất;
  • Cơ sở dữ liệu CVE;
  • Kết quả quét lỗ hổng;
  • Kiểm thử xâm nhập (Pentest);
  • Kết quả kiểm toán;
  • Cảnh báo an ninh mạng.

Sources include vendor advisories, CVE databases, vulnerability scans, penetration testing, audits, and cybersecurity alerts.

Bước 2: Đánh giá và phân loại

Step 2: Assessment and Classification

Lỗ hổng được đánh giá theo:

  • Khả năng khai thác (Likelihood);
  • Mức độ ảnh hưởng (Impact);
  • Khả năng tiếp xúc với Internet;
  • Giá trị tài sản bị ảnh hưởng;
  • Sự tồn tại của biện pháp kiểm soát bù đắp.

Vulnerabilities are assessed based on likelihood, impact, internet exposure, asset criticality, and compensating controls.

Phân loại mức độ rủi ro | Risk Rating

Mức độ Severity Điểm CVSS
Nghiêm trọng Critical 9.0 – 10.0
Cao High 7.0 – 8.9
Trung bình Medium 4.0 – 6.9
Thấp Low 0.1 – 3.9

Bước 3: Xử lý lỗ hổng

Step 3: Remediation

Biện pháp xử lý có thể bao gồm:

  • Cập nhật bản vá;
  • Nâng cấp phần mềm;
  • Thay đổi cấu hình;
  • Áp dụng biện pháp kiểm soát bù đắp;
  • Loại bỏ hoặc thay thế thành phần bị ảnh hưởng.

Remediation actions may include patching, upgrading, reconfiguring, implementing compensating controls, or replacing affected components.

Bước 4: Kiểm thử và xác minh

Step 4: Testing and Verification

  • Kiểm thử trên môi trường thử nghiệm (nếu có);
  • Xác minh hệ thống hoạt động bình thường;
  • Thực hiện quét lại để xác nhận lỗ hổng đã được xử lý.

Test changes, validate system functionality, and rescan to confirm remediation.

Bước 5: Giám sát và báo cáo

Step 5: Monitoring and Reporting

  • Theo dõi trạng thái xử lý;
  • Báo cáo định kỳ;
  • Lưu hồ sơ và bằng chứng xử lý.

Monitor remediation status, provide periodic reporting, and retain evidence.

7. Quy định về cập nhật bản vá | Patch Management Requirements

Nguyên tắc triển khai | Deployment Principles

  • Ưu tiên triển khai đối với hệ thống tiếp xúc Internet;
  • Triển khai theo mức độ rủi ro;
  • Thực hiện sao lưu trước khi cập nhật;
  • Có kế hoạch khôi phục (Rollback Plan);
  • Thực hiện ngoài giờ làm việc đối với hệ thống quan trọng.

Internet-facing systems shall be prioritized. Backups and rollback plans are mandatory for critical systems.

Thời gian xử lý mục tiêu | Target Remediation Time

Mức độ Severity Thời gian xử lý Target Remediation Time
Nghiêm trọng Critical ≤ 72 giờ ≤ 72 hours
Cao High ≤ 07 ngày ≤ 7 days
Trung bình Medium ≤ 30 ngày ≤ 30 days
Thấp Low ≤ 90 ngày ≤ 90 days

8. Trường hợp ngoại lệ | Exceptions

Trường hợp chưa thể triển khai bản vá:

  • Phải thực hiện đánh giá rủi ro;
  • Phải áp dụng biện pháp kiểm soát bù đắp;
  • Phải được phê duyệt bằng văn bản;
  • Phải theo dõi cho đến khi xử lý dứt điểm.

If patching cannot be performed, a risk assessment, compensating controls, documented approval, and continuous monitoring are required.

9. Nhật ký và lưu hồ sơ | Logging and Record Retention

Các hồ sơ cần lưu giữ:

  • Danh mục lỗ hổng;
  • Kết quả quét;
  • Hồ sơ đánh giá rủi ro;
  • Nhật ký cập nhật bản vá;
  • Kết quả kiểm thử;
  • Hồ sơ ngoại lệ và chấp nhận rủi ro.

The following records shall be retained:

  • Vulnerability inventory;
  • Scan results;
  • Risk assessments;
  • Patch deployment logs;
  • Testing results;
  • Exception and risk acceptance records.

Thời gian lưu trữ tối thiểu: ba (03) năm hoặc theo quy định pháp luật và yêu cầu khách hàng.

Minimum retention period: three (03) years or as required by law and customer obligations.

10. Chỉ số theo dõi | Key Performance Indicators (KPIs)

  • Tỷ lệ khắc phục lỗ hổng nghiêm trọng đúng hạn ≥ 95%;
  • Tỷ lệ hệ thống được cập nhật bản vá đúng hạn ≥ 95%;
  • Không tồn tại lỗ hổng Critical quá thời hạn quy định;
  • Tỷ lệ kiểm thử cập nhật thành công ≥ 98%.
  • Critical vulnerability remediation rate ≥ 95%;
  • On-time patch compliance ≥ 95%;
  • No overdue Critical vulnerabilities;
  • Successful patch testing rate ≥ 98%.

11. Tuân thủ | Compliance

Quy định này phù hợp với:

  • ISO/IEC 27001:2022;
  • ISO/IEC 27002:2022;
  • ISO/IEC 27005:2022;
  • NIST Cybersecurity Framework;
  • Các yêu cầu pháp luật, khách hàng và hợp đồng.

This Policy is aligned with ISO/IEC 27001:2022, ISO/IEC 27002:2022, ISO/IEC 27005:2022, the NIST Cybersecurity Framework, and applicable legal and contractual requirements.

12. Hiệu lực thi hành | Effective Date

Quy định này có hiệu lực kể từ ngày được Tổng Giám đốc phê duyệt và là một phần của Hệ thống Quản lý An toàn Thông tin (ISMS) của Công ty TNHH Vina Aspire.

This Policy becomes effective upon approval by the Chief Executive Officer and forms an integral part of the Information Security Management System (ISMS) of Vina Aspire Company Limited.

Vina Aspire


Bài viết liên quan

About Us

Learn More

Vina Aspire is a premier provider of Cyber Security, Artificial Intelligence & IT solutions and services.

Backed by a team of top-tier experts, seasoned collaborators, and trusted international partners and investors, Vina Aspire delivers innovation, reliability, and excellence across every project.
Our people are intelligent, driven, and passionate about creating cutting-edge technologies that empower businesses, protect digital assets, and generate lasting value for our clients and society.

At Vina Aspire, we don’t just deliver solutions — we build trust, lead transformation, and inspire the future of technology.

may ao thun Kem sữa chua May o thun May o thun đồng phục Định cư Canada Dịch vụ kế ton trọn gi sản xuất đồ bộ
Translate »