Theo đó, quy trình ứng cứu khẩn cấp sự cố an toàn thông tin mạng nghiêm trọng bao gồm các bước như sau:
Thứ nhất, phát hiện hoặc tiếp nhận sự cố: Đơn vị vận hành hệ thống thông tin chịu trách nhiệm liên tục theo dõi, phát hiện các tấn công, sự cố đối với hệ thống mình được giao quản lý, vận hành. Cơ quan điều phối quốc gia là đơn vị đầu mối tổ chức các hoạt động theo dõi, giám sát, phát hiện các sự cố và tiếp nhận thông báo về sự cố an toàn thông tin mạng từ các nguồn khác nhau.
Thứ hai, xác minh, phân tích, đánh giá và phân loại sự cố: Cơ quan điều phối quốc gia phối hợp cùng chủ quản hệ thống thông tin (hoặc đơn vị được ủy quyền như đơn vị chuyên trách về ứng cứu sự cố hoặc đơn vị vận hành hệ thống thông tin) xác minh sự cố bao gồm các thông tin sau: Tình trạng sự cố; mức độ sự cố; phạm vi ảnh hưởng của sự cố; đối tượng, địa điểm xảy ra sự cố.
Sau khi xác minh được sự cố, Cơ quan điều phối quốc gia có trách nhiệm phân loại sự cố và triển khai tiếp như sau:
- Trường hợp sự cố được phân loại thông thường thì Cơ quan điều phối quốc gia thông báo cho các bên liên quan để tiếp tục triển khai theo phương án ứng cứu sự cố an toàn thông tin mạng thông thường;
- Trường hợp sự cố được phân loại nghiêm trọng thì Cơ quan điều phối quốc gia báo cáo Cơ quan thường trực về sự cố nghiêm trọng cùng với các đề xuất: Phương án ứng cứu; các đơn vị tham gia lực lượng ứng cứu; nguồn lực cần thiết để ứng cứu sự cố; dự kiến triệu tập bộ phận tác nghiệp ứng cứu khẩn cấp và thực hiện tiếp bước thứ ba sau đây.
Thứ ba, Cơ quan thường trực quyết định lựa chọn phương án và triệu tập các thành viên của bộ phận tác nghiệp ứng cứu khẩn cấp: Cơ quan thường trực căn cứ theo báo cáo của Cơ quan điều phối quốc gia xem xét quyết định lựa chọn phương án ứng cứu khẩn cấp quốc gia và triệu tập bộ phận tác nghiệp ứng cứu khẩn cấp để ứng cứu, xử lý sự cố. Tùy theo tình hình thực tế, bộ phận tác nghiệp ứng cứu khẩn cấp được huy động từ số các đơn vị theo quy định phù hợp với phương án ứng cứu được lựa chọn và đặc thù của sự cố.
Thứ tư, triển khai phương án ứng cứu ban đầu: Cơ quan điều phối quốc gia nhanh chóng phối hợp với chủ quản hệ thống thông tin tiến hành ngay các biện pháp ứng cứu ban đầu, bao gồm: Xác định phạm vi, đối tượng, mục tiêu cần ứng cứu; điều phối các hoạt động ứng cứu ban đầu; cảnh báo sự cố trên mạng lưới ứng cứu quốc gia; tiến hành các biện pháp khôi phục tạm thời; xử lý hậu quả ban đầu; ngăn chặn, xử lý các hành vi đã được phát hiện.
Thứ năm, triển khai phương án ứng cứu khẩn cấp, gồm: Chỉ đạo xử lý sự cố; điều phối công tác ứng cứu; phát ngôn và công bố thông tin; thu thập thông tin; phân tích, giám sát tình hình liên quan sự cố; khắc phục sự cố, gỡ bỏ mã độc; ngăn chặn, xử lý hậu quả; xác minh nguyên nhân và truy tìm nguồn gốc.
Thứ sáu, đánh giá kết quả triển khai phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia. Cơ quan thường trực tổng hợp toàn bộ các báo cáo phân tích có liên quan đến triển khai phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia để báo cáo với Ban Chỉ đạo quốc gia và họp phân tích nguyên nhân, rút kinh nghiệm trong hoạt động xử lý sự cố và đề xuất các biện pháp bổ sung cho các sự cố tương tự.
Thứ bảy, kết thúc: Cơ quan điều phối quốc gia căn cứ kết quả đánh giá của Ban Chỉ đạo quốc gia sẽ thực hiện hoàn tất các nhiệm vụ sau, kết thúc hoạt động ứng cứu sự cố khẩn cấp: Lưu hồ sơ, tài liệu lưu trữ; xây dựng, đúc rút các bài học, kinh nghiệm; đề xuất các kiến nghị về kỹ thuật, chính sách để hạn chế thiệt hại khi xảy ra các tấn công tương tự; báo cáo cơ quan cấp trên, tổ chức họp báo hoặc gửi thông tin cho truyền thông nếu cần thiết.
Quy trình nêu trên được sử dụng chung cho cả bốn phương án ứng cứu khẩn cấp, gồm: Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia; phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội ở Trung ương; phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của địa phương; phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của doanh nghiệp./.