8 Xây dựng kế hoạch quản lý sự cố/vi phạm an ninh
8.1 Tổng quan
8.1.1 Tổ chức phải lập và duy trì kế hoạch quản lý sự cố/vi phạm an ninh như một phần của kế hoạch quản lý an ninh, bao gồm:

a) đánh giá các loại sự cố/vi phạm an ninh có thể xảy ra và các rủi ro tiềm ẩn có thể phát sinh ảnh hưởng đến tổ chức, chức năng, tài sản và danh tiếng của tổ chức, đối với nhân viên và bên thứ ba;
b) quy trình cần tuân theo khi phát hiện ra sự cố/vi phạm an ninh, bao gồm cả sự cố gần như xảy ra (xem 8.2);
c) các biện pháp đảm bảo tính liên tục của hoạt động kinh doanh và hành động phục hồi mang lại mức độ bảo mật tương tự như các hệ thống đang được sử dụng hàng ngày, bao gồm, khi áp dụng, việc thu thập bằng chứng cho mục đích thực thi pháp luật (xem 8.3);
d) quy trình xem xét cần thực hiện sau sự cố hoặc vi phạm an ninh (xem 8.4); và
e) các cơ chế để xem xét và cập nhật kế hoạch quản lý sự cố/vi phạm an ninh (xem 8.5).

8.1.2 Các phần của kế hoạch quản lý sự cố/vi phạm an ninh có thể được bao gồm trong các kế hoạch hiện hành khác hoặc các hành động cụ thể của quốc gia và trong trường hợp này, các kế hoạch hoặc hành động này sẽ được tham chiếu chéo.

8.1.3 Các phần của kế hoạch quản lý sự cố/vi phạm an ninh ghi lại các rủi ro đối với tổ chức sẽ được quản lý trên cơ sở cần biết nghiêm ngặt, với thông tin có trong các phần đó phải tuân theo các biện pháp bảo mật phù hợp liên quan đến việc tạo, phân phối, sử dụng, lưu trữ, xử lý và hủy thông tin.

8.2 Phát hiện vi phạm hoặc sự cố an ninh
Tổ chức phải nêu rõ các bước cần thực hiện trong trường hợp phát hiện vi phạm hoặc sự cố an ninh, bao gồm:

a) những người hoặc vai trò cần liên hệ ngay lập tức và thông tin liên hệ của họ;
b) các quy trình được sử dụng để xác định các bên liên quan;
c) các cơ chế thông báo cho các bên liên quan và thông tin cần cung cấp; và
d) xử lý bất kỳ bên thứ ba, cơ quan quản lý, phương tiện truyền thông hoặc lợi ích công cộng nào trong trường hợp vi phạm hoặc sự cố an ninh.

8.3 Ngăn chặn và phục hồi
Tổ chức phải nêu rõ các bước cần thực hiện trong trường hợp vi phạm/sự cố an ninh để ngăn chặn và phục hồi sau sự kiện bao gồm:

a) các biện pháp giảm thiểu thiệt hại hoặc mất mát thêm;
b) đánh giá những gì đã bị mất, bị xâm phạm, bị hư hỏng hoặc bị hỏng;
c) các trường hợp cần thu thập bằng chứng cho mục đích thực thi pháp luật và cách tiếp cận; và
d) các biện pháp sẵn sàng pháp y cần thiết để có thể, khi cần thiết, thu thập thông tin pháp y về một sự cố để thực thi pháp luật sử dụng và/hoặc phân tích chi tiết về nguyên nhân gốc rễ của các sự cố. Trong trường hợp cần thu thập bằng chứng cho mục đích thực thi pháp luật, tất cả bằng chứng (tức là cả bằng chứng vật lý và kỹ thuật số) có thể hỗ trợ cho cuộc điều tra để xác định nguyên nhân của sự kiện và thủ phạm, phải được bảo quản và thu thập trước khi thực hiện bất kỳ hành động phục hồi nào, trừ khi nhu cầu cấp thiết đối với các hành động đó là rất quan trọng đối với sự sống.
LƯU Ý Điều quan trọng là phải thu thập bằng chứng pháp y trước khi thực hiện các hành động phục hồi, vì những hành động này có thể phá hủy hoặc làm ô nhiễm bằng chứng pháp y kỹ thuật số.

8.4 Xem xét sau khi xảy ra vi phạm hoặc sự cố bảo mật
8.4.1 Sau các hành động ngăn chặn và phục hồi ban đầu, tổ chức(các tổ chức) phải thực hiện đánh giá rủi ro đang diễn ra. Đánh giá này sẽ xem xét nguyên nhân của sự kiện, xác định các biện pháp đối phó tiềm ẩn và đánh giá rủi ro còn lại cũng như bất kỳ rủi ro mới hoặc rủi ro trầm trọng nào phát sinh từ sự kiện.

8.4.2 Các chính sách và quy trình có liên quan sẽ được cập nhật để phản ánh các phát hiện của đánh giá và
ngăn ngừa hoặc giảm thiểu rủi ro tái diễn.

8.4.3 Tổ chức sẽ yêu cầu, khi áp dụng, các thành viên có liên quan trong nhóm triển khai của mình hợp tác với tổ chức để tiến hành đánh giá hậu sự cố một cách phù hợp và tương xứng và phản ứng.