Kích hoạt Kế hoạch Ứng cứu Sự cố An ninh mạng (Incident Response Plan – IRP)

Đây là mẫu “Kích hoạt Kế hoạch Ứng cứu Sự cố An ninh mạng (Incident Response Plan – IRP)” dành riêng cho hệ thống chứng khoán VNDIRECT, được biên soạn theo chuẩn ISO/IEC 27035, NIST SP 800-61r2, và khung hướng dẫn Cục An toàn thông tin (Bộ TT&TT).
Mẫu này có thể in thành form hoặc dùng trực tiếp trên hệ thống IR ticket (Jira/ServiceNow).

---

🧭 MẪU KÍCH HOẠT INCIDENT RESPONSE PLAN (IRP)

Phiên bản: 1.0  Ban hành: 17/10/2025  Đơn vị áp dụng: VNDIRECT

---

I. MỤC ĐÍCH

Xác định quy trình kích hoạt chính thức kế hoạch ứng cứu sự cố an ninh mạng (IRP) khi xảy ra hoặc có dấu hiệu xảy ra sự cố ảnh hưởng đến an toàn thông tin, hệ thống giao dịch, dữ liệu khách hàng hoặc uy tín thương hiệu VNDIRECT.

---

II. PHẠM VI ÁP DỤNG

Áp dụng cho toàn bộ hệ thống công nghệ thông tin của Công ty Cổ phần Chứng khoán VNDIRECT, bao gồm:

• Hệ thống giao dịch trực tuyến (trade.vndirect.com.vn)

• Website chính thức (www.vndirect.com.vn)

• Hệ thống CRM, DMS, cổng API và mobile app

• Cơ sở dữ liệu Oracle / PostgreSQL

• Hệ thống K8s / Docker / Cloud private RHV

• Hệ thống giám sát (SOC, SIEM, EDR, Commvault, Zabbix, Grafana)

---

III. CÁC TÌNH HUỐNG KÍCH HOẠT IRP

Mã	Loại sự cố	Mô tả	Mức độ khẩn cấp
IR-A1	Tấn công mạng (Network Intrusion)	Bị truy cập trái phép, cài mã độc, web deface, RCE, khai thác API	P1
IR-A2	Rò rỉ dữ liệu (Data Breach)	Thông tin khách hàng, tài khoản, giao dịch bị truy xuất hoặc tải ra ngoài	P1
IR-A3	DDoS / Từ chối dịch vụ	Mất khả năng truy cập hệ thống giao dịch > 10 phút	P2
IR-A4	Sự cố nội bộ (Insider / Misconfig)	Sai cấu hình, lỗi vận hành gây lộ dữ liệu	P2
IR-A5	Ransomware / Malware	Phát hiện mã độc mã hóa dữ liệu, cảnh báo EDR	P1
IR-A6	Sự cố hạ tầng (System Failure)	Lỗi DB, storage, hypervisor, network làm gián đoạn > 30 phút	P3

---

IV. QUY TRÌNH KÍCH HOẠT IRP (THEO BỐN GIAI ĐOẠN)

🟠 1. Pha “Nhận diện & Đánh giá sơ bộ” (Detection & Assessment)

Người chịu trách nhiệm: SOC Manager / Duty Analyst

# 1. Ghi nhận tín hiệu cảnh báo
grep -i "error|unauthorized|suspicious" /var/log/nginx/access.log
kubectl get pods -A | grep CrashLoopBackOff
splunk search "index=firewall bytes_out>50MB last_15min"

Checklist:

• Xác định loại sự cố & phạm vi (Web / DB / Network / Internal).

• Thu thập thông tin ban đầu: thời điểm, IP nguồn, hành vi.

• Tạo mã sự cố: IR-YYYYMMDD-###.

• Báo cáo khẩn lên Giám đốc An ninh thông tin (CISO) và Giám đốc CNTT.

• Kích hoạt CSIRT – Đội ứng cứu sự cố nội bộ.

---

🔴 2. Pha “Kích hoạt chính thức” (Activation & Containment)

Khi nào: Khi sự cố đạt mức P1 hoặc P2 theo bảng trên.

Người ra quyết định kích hoạt:
Tổng Giám đốc hoặc người được ủy quyền (CIO/CISO).

Biểu mẫu kích hoạt (IR Activation Form):

Mục	Nội dung
Thời điểm kích hoạt	☐ ……… giờ, ngày ………
Người ra quyết định	☐ …………………………………
Loại sự cố	☐ IR-A1 ☐ IR-A2 ☐ IR-A3 ☐ IR-A4 ☐ IR-A5 ☐ IR-A6
Mức độ	☐ P1 ☐ P2 ☐ P3
Đội điều tra chủ trì	☐ SOC  ☐ IT Operation  ☐ DevSecOps  ☐ DBA  ☐ Network
Phạm vi hệ thống ảnh hưởng	☐ Website ☐ App ☐ DB ☐ API ☐ Email ☐ Hạ tầng
Hành động đầu tiên	☐ Cô lập ☐ Snapshot ☐ Ngắt truy cập public ☐ Báo cáo A05/NHNN

Lệnh cô lập khẩn (ví dụ):

# Cô lập server nghi nhiễm
iptables -A INPUT -s 0.0.0.0/0 -j DROP
iptables -A OUTPUT -s 0.0.0.0/0 -j DROP

# Ngắt Ingress trên K8s
kubectl -n msale-app annotate ingress msale-gw status="isolated" --overwrite

Trách nhiệm truyền thông nội bộ:

• Chỉ CISO hoặc Tổng Giám đốc được phép phát ngôn ra ngoài.

• Mọi thành viên CSIRT cam kết bảo mật, không chia sẻ thông tin sự cố lên mạng xã hội.

---

🟡 3. Pha “Điều tra & Khắc phục” (Investigation & Eradication)

Chủ trì: CSIRT Lead + SOC Analyst + System Owner

Hoạt động chính:

1. Phân tích log, tiến trình, IOC, nguồn lây.

2. Xác định nguyên nhân gốc (Root Cause).

3. Loại bỏ mã độc / re-image / vá lỗi / reset mật khẩu.

4. Restore dữ liệu sạch từ Commvault / offline backup.

Câu lệnh mẫu:

grep "useradd" /var/log/secure
find /tmp -mmin -60 -type f -size +10M
rman target / <<'RMAN'
RESTORE DATABASE UNTIL TIME "SYSDATE - (1/24)";
RMAN

Báo cáo nội bộ: mỗi 2 giờ gửi cập nhật cho CISO + TGĐ.

---

🟢 4. Pha “Phục hồi & Báo cáo” (Recovery & Lessons Learned)

Mục tiêu: Đưa hệ thống trở lại trạng thái an toàn và hoạt động bình thường.

Bước thực hiện:

1. Khôi phục hệ thống từ bản sạch, test toàn bộ chức năng nghiệp vụ.

2. Kiểm thử bảo mật lại (pentest, scan lại CVE).

3. Thu hồi bản log, IOC, báo cáo forensic.

4. Tổng hợp báo cáo gửi: TGĐ – Cục A05 – NHNN.

Cấu trúc báo cáo tóm tắt:

• Mô tả sự cố (thời gian, phạm vi, tác động).

• Nguyên nhân gốc (Root Cause).

• Biện pháp khắc phục & phục hồi.

• Bài học kinh nghiệm và đề xuất phòng ngừa.

---

V. CƠ CẤU CHỈ HUY (RACI MATRIX)

Vai trò	Trách nhiệm chính	Người hiện tại
Tổng Giám đốc	Ra quyết định kích hoạt / dừng IRP, phê duyệt truyền thông	Ông ………………
CISO	Chỉ huy toàn bộ ứng cứu, báo cáo TGĐ & A05	Ông ………………
CSIRT Leader	Điều phối nhóm SOC, IT, Network, DevSecOps	Ông ………………
SOC Analyst	Phân tích log, IOC, cảnh báo, xác định nguồn lây	Bà ………………
IT Ops Manager	Cô lập / phục hồi máy chủ, backup, DR	Ông ………………
DBA Lead	Restore dữ liệu, kiểm tra tính toàn vẹn	Ông ………………
Comms Manager	Soạn thảo thông báo báo chí, email khách hàng	Bà ………………
Legal / Compliance	Kiểm tra trách nhiệm pháp lý, báo cáo NHNN	Ông ………………

---

VI. THỜI HẠN PHẢN ỨNG (RESPONSE TIME TARGETS)

Mức độ	Mô tả	Thời gian phản ứng	Thời gian khôi phục (RTO)
P1 – Khẩn cấp	Rò rỉ dữ liệu / xâm nhập trái phép / DDoS nặng	≤ 15 phút	≤ 4 giờ
P2 – Nghiêm trọng	Ảnh hưởng dịch vụ nhưng chưa rò rỉ dữ liệu	≤ 30 phút	≤ 8 giờ
P3 – Trung bình	Lỗi kỹ thuật, cấu hình sai	≤ 60 phút	≤ 24 giờ

---

VII. KẾT THÚC & ĐÓNG SỰ CỐ (CLOSURE)

Điều kiện đóng IRP:

• Xác định rõ nguyên nhân gốc.

• Đã khôi phục đầy đủ dịch vụ.

• Báo cáo Lessons Learned được TGĐ phê duyệt.

• Tất cả ticket/IOC được lưu trữ ≥ 12 tháng.

Báo cáo kết thúc IRP gửi trong vòng 48 giờ kể từ khi hệ thống ổn định.

---

VIII. BIỂU MẪU ĐÍNH KÈM

• Mẫu IR Activation Form (kích hoạt sự cố)

• Mẫu Incident Log Sheet (ghi chép điều tra)

• Mẫu Post-Incident Report (báo cáo kết thúc)

• Mẫu CAPA (Corrective & Preventive Actions)

• Danh sách liên hệ khẩn cấp (Emergency Contacts)

---

IX. PHỤ LỤC (TRÍCH ĐOẠN LỆNH KỊCH BẢN KHẨN)

# Backup nhanh toàn bộ log
tar -czf /ir/logs_$(date +%F_%H%M).tgz /var/log /opt/apps/*/logs

# Snapshot VM trên Red Hat Virtualization
curl -u admin:RedHat123 -X POST \
  -H "Content-Type: application/xml" \
  -d "<snapshot><description>IR_$(date +%F_%H%M)</description></snapshot>" \
  https://rhv-mgr.local/ovirt-engine/api/vms/uuid-123/snapshots

# Kiểm tra dấu hiệu mã độc
clamscan -r /var/www | grep FOUND
ps aux | grep -E 'nc|curl|wget|python|bash'

---

X. KÝ DUYỆT

Họ tên	Chức vụ	Ký xác nhận	Ngày
Giám đốc CNTT (CIO)	…………………	☐	……………
Giám đốc An ninh Thông tin (CISO)	…………………	☐	……………
Tổng Giám đốc (CEO)	…………………	☐	……………

=============================
Website không chứa bất kỳ quảng cáo nào, mọi đóng góp để duy trì phát triển cho website (donation) xin vui lòng gửi về STK 90.2142.8888 - Ngân hàng Vietcombank Thăng Long - TRAN VAN BINH
=============================
Nếu bạn không muốn bị AI thay thế và tiết kiệm 3-5 NĂM trên con đường trở thành DBA chuyên nghiệp hay làm chủ Database thì hãy đăng ký ngay KHOÁ HỌC ORACLE DATABASE A-Z ENTERPRISE, được Coaching trực tiếp từ tôi với toàn bộ bí kíp thực chiến, thủ tục, quy trình của gần 20 năm kinh nghiệm (mà bạn sẽ KHÔNG THỂ tìm kiếm trên Internet/Google) từ đó giúp bạn dễ dàng quản trị mọi hệ thống Core tại Việt Nam và trên thế giới, đỗ OCP.
- CÁCH ĐĂNG KÝ: Gõ (.) hoặc để lại số điện thoại hoặc inbox https://m.me/tranvanbinh.vn hoặc Hotline/Zalo 090.29.12.888
- Chi tiết tham khảo:
https://bit.ly/oaz_w
=============================
2 khóa học online qua video giúp bạn nhanh chóng có những kiến thức nền tảng về Linux, Oracle, học mọi nơi, chỉ cần có Internet/4G:
- Oracle cơ bản: https://bit.ly/admin_1200
- Linux: https://bit.ly/linux_1200
=============================
KẾT NỐI VỚI CHUYÊN GIA TRẦN VĂN BÌNH:
📧 Mail: binhoracle@gmail.com
☎️ Mobile/Zalo: 0902912888
👨 Facebook: https://www.facebook.com/BinhOracleMaster
👨 Inbox Messenger: https://m.me/101036604657441 (profile)
👨 Fanpage: https://www.facebook.com/tranvanbinh.vn
👨 Inbox Fanpage: https://m.me/tranvanbinh.vn
👨👩 Group FB: https://www.facebook.com/groups/DBAVietNam
👨 Website: https://www.tranvanbinh.vn
👨 Blogger: https://tranvanbinhmaster.blogspot.com
🎬 Youtube: https://www.youtube.com/@binhguru
👨 Tiktok: https://www.tiktok.com/@binhguru
👨 Linkin: https://www.linkedin.com/in/binhoracle
👨 Twitter: https://twitter.com/binhguru
👨 Podcast: https://www.podbean.com/pu/pbblog-eskre-5f82d6
👨 Địa chỉ: Tòa nhà Sun Square - 21 Lê Đức Thọ - Phường Mỹ Đình 1 - Quận Nam Từ Liêm - TP.Hà Nội

=============================
cơ sở dữ liệu, cơ sở dữ liệu quốc gia, database, AI, trí tuệ nhân tạo, artificial intelligence, machine learning, deep learning, LLM, ChatGPT, DeepSeek, Grok, oracle tutorial, học oracle database, Tự học Oracle, Tài liệu Oracle 12c tiếng Việt, Hướng dẫn sử dụng Oracle Database, Oracle SQL cơ bản, Oracle SQL là gì, Khóa học Oracle Hà Nội, Học chứng chỉ Oracle ở đầu, Khóa học Oracle online,sql tutorial, khóa học pl/sql tutorial, học dba, học dba ở việt nam, khóa học dba, khóa học dba sql, tài liệu học dba oracle, Khóa học Oracle online, học oracle sql, học oracle ở đâu tphcm, học oracle bắt đầu từ đâu, học oracle ở hà nội, oracle database tutorial, oracle database 12c, oracle database là gì, oracle database 11g, oracle download, oracle database 19c/21c/23c/23ai, oracle dba tutorial, oracle tunning, sql tunning , oracle 12c, oracle multitenant, Container Databases (CDB), Pluggable Databases (PDB), oracle cloud, oracle security, oracle fga, audit_trail,oracle RAC, ASM, oracle dataguard, oracle goldengate, mview, oracle exadata, oracle oca, oracle ocp, oracle ocm , oracle weblogic, postgresql tutorial, mysql tutorial, mariadb tutorial, ms sql server tutorial, nosql, mongodb tutorial, oci, cloud, middleware tutorial, docker, k8s, micro service, hoc solaris tutorial, hoc linux tutorial, hoc aix tutorial, unix tutorial, securecrt, xshell, mobaxterm, putty