អង្គការរបស់អ្នករកឃើញសកម្មភាពបណ្តាញមិនប្រក្រតី។ ក្រុម IT របស់អ្នកស៊ើបអង្កេត និងរកឃើញការចូលប្រើប្រាស់ទិន្នន័យអតិថិជនដោយគ្មានការអនុញ្ញាត។ អ្នកទប់ស្កាត់ការគំរាមកំហែង។ ឥឡូវនេះសំណួរបន្ទាន់មកដល់៖ តើអ្នកត្រូវការរាយការណ៍រឿងនេះទៅអាជ្ញាធរដែរឬទេ? តើអ្នកណាពិតប្រាកដ? តើអ្នកផ្តល់ព័ត៌មានអ្វីខ្លះ? តើអ្នកមានពេលប៉ុន្មាន?
ក្រោមច្បាប់ NIS2 និងច្បាប់ហូឡង់ អង្គការជាច្រើនត្រូវតែរាយការណ៍ពីឧប្បត្តិហេតុសន្តិសុខតាមអ៊ីនធឺណិតទៅកាន់អាជ្ញាធររដ្ឋាភិបាលក្នុងរយៈពេលកំណត់យ៉ាងតឹងរ៉ឹង។ ជាធម្មតាអ្នកមានពេលចន្លោះពី 24 ទៅ 72 ម៉ោងបន្ទាប់ពីការរកឃើញ។ បទប្បញ្ញត្តិបញ្ជាក់ពីអាជ្ញាធរណាដែលទទួលបានរបាយការណ៍របស់អ្នក ព័ត៌មានអ្វីដែលអ្នកត្រូវតែផ្តល់ និងតម្រូវការទម្រង់។ ការខកខានកាលកំណត់ ឬរាយការណ៍ទៅស្ថាប័នខុស នោះអ្នកប្រឈមមុខនឹងការពិន័យយ៉ាងច្រើន សកម្មភាពអនុវត្តច្បាប់ និងការទទួលខុសត្រូវផ្នែកច្បាប់ដែលអាចពង្រីកលើសពីឧប្បត្តិហេតុដំបូង។
ការណែនាំនេះបង្ហាញអ្នកពីរបៀបបំពេញកាតព្វកិច្ចរាយការណ៍របស់អ្នក។ អ្នកនឹងរៀនពីច្បាប់ណាខ្លះដែលអនុវត្តចំពោះអង្គការរបស់អ្នក នៅពេលដែលឧប្បត្តិហេតុតម្រូវឱ្យមានការរាយការណ៍ អាជ្ញាធរណាដែលត្រូវជូនដំណឹងនៅដំណាក់កាលនីមួយៗ ព័ត៌មានអ្វីដែលរបាយការណ៍នីមួយៗត្រូវការ និងរបៀបបង្កើតនីតិវិធីដែលដំណើរការពិតប្រាកដ។ យើងនឹងរំលងពាក្យស្លោកផ្នែកច្បាប់ ហើយផ្តោតលើជំហានជាក់ស្តែងដែលអ្នកអាចអនុវត្តឥឡូវនេះ ដើម្បីរក្សាការអនុលោមតាមច្បាប់ និងការពារអង្គការរបស់អ្នក។
តើភារកិច្ចរាយការណ៍ឧប្បត្តិហេតុសន្តិសុខតាមអ៊ីនធឺណិតរបស់អ្នកគឺជាអ្វី?
ភារកិច្ចរាយការណ៍ពីឧប្បត្តិហេតុសន្តិសុខតាមអ៊ីនធឺណិតរបស់អ្នកអាស្រ័យលើទំហំ វិស័យ និងសេវាកម្មដែលអ្នកផ្តល់ជូន។ អង្គភាពសំខាន់ៗ (ថាមពល ការដឹកជញ្ជូន ធនាគារ ការថែទាំសុខភាព ហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ) និង អង្គភាពសំខាន់ៗ (សេវាប្រៃសណីយ៍ ការគ្រប់គ្រងកាកសំណល់ អ្នកផ្តល់សេវាឌីជីថល ផលិតកម្មអាហារ) ប្រឈមមុខនឹងការរាយការណ៍ជាកាតព្វកិច្ចក្រោម NIS2។ ប្រសិនបើអ្នកដំណើរការហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ ឬសេវាកម្មឌីជីថលសម្រាប់អ្នកប្រើប្រាស់ហូឡង់ អ្នកស្ទើរតែប្រាកដជាស្ថិតនៅក្រោមច្បាប់ទាំងនេះ។
ដំណាក់កាលរាយការណ៍ទាំងបីដែលអ្នកត្រូវតែបំពេញ
អ្នកប្រឈមមុខ កាតព្វកិច្ចរាយការណ៍បីដាច់ដោយឡែកពីគ្នា ជាមួយនឹងកាលកំណត់ផ្សេងៗគ្នា។ កាតព្វកិច្ចដំបូងរបស់អ្នកចាប់ផ្តើមក្នុងរយៈពេល ២៤ ម៉ោងនៃការរកឃើញ ឧប្បត្តិហេតុសំខាន់មួយ៖ អ្នកដាក់ការព្រមានជាមុនទៅ CSIRT (ក្រុមឆ្លើយតបឧប្បត្តិហេតុសន្តិសុខកុំព្យូទ័រ) របស់អ្នក ឬអាជ្ញាធរមានសមត្ថកិច្ច។ ការជូនដំណឹងដំបូងនេះបង្ហាញពីឧប្បត្តិហេតុនោះ ហើយបង្ហាញថាតើអ្នកសង្ស័យថាមានសកម្មភាពព្យាបាទ ឬផលប៉ះពាល់ឆ្លងដែនឬអត់។
នៅក្នុង ម៉ោង 72អ្នកដាក់ស្នើការជូនដំណឹងអំពីឧប្បត្តិហេតុរបស់អ្នក។ របាយការណ៍នេះរួមបញ្ចូលទាំងការវាយតម្លៃដំបូងរបស់អ្នកអំពីភាពធ្ងន់ធ្ងរ ផលប៉ះពាល់ ប្រព័ន្ធដែលរងផលប៉ះពាល់ និងសូចនាករនៃការសម្របសម្រួលដែលមាន។ អ្នកផ្តល់ព័ត៌មានលម្អិតបច្ចេកទេសដែលជួយអាជ្ញាធរឱ្យយល់អំពីវិសាលភាព និងលក្ខណៈនៃការរំលោភបំពាន។
អង្គការដែលខកខានកាលកំណត់ទាំងនេះប្រឈមនឹងការពិន័យរហូតដល់ ១០ លានអឺរ៉ូ ឬ ២% នៃចំណូលប្រចាំឆ្នាំសកលក្រោម NIS2 អាស្រ័យលើចំនួនណាដែលខ្ពស់ជាង។
របាយការណ៍ចុងក្រោយរបស់អ្នកមកដល់ហើយ ក្នុងរយៈពេលមួយខែ នៃការជូនដំណឹងអំពីឧប្បត្តិហេតុរបស់អ្នក។ ឯកសារដ៏ទូលំទូលាយនេះរៀបរាប់លម្អិតអំពីវិសាលភាពពេញលេញនៃឧប្បត្តិហេតុ ការវិភាគមូលហេតុចម្បង វិធានការកាត់បន្ថយដែលអ្នកបានអនុវត្ត និងផលប៉ះពាល់ឆ្លងដែន។ ប្រសិនបើអ្នកនៅតែកំពុងដោះស្រាយឧប្បត្តិហេតុនៅពេលដែលខែផុតកំណត់ អ្នកត្រូវដាក់ស្នើរបាយការណ៍វឌ្ឍនភាព ហើយបន្ទាប់មករបាយការណ៍ចុងក្រោយក្នុងរយៈពេលមួយខែបន្ទាប់ពីដោះស្រាយ។
កាតព្វកិច្ចបន្ថែមលើសពីការរាយការណ៍ដំបូង
អ្នកត្រូវតែផងដែរ ជូនដំណឹងដល់ភាគីដែលរងផលប៉ះពាល់ នៅពេលដែលឧប្បត្តិហេតុសំខាន់មួយប៉ះពាល់ដល់អ្នកទទួលសេវាកម្ម។ ការជូនដំណឹងនេះកើតឡើងដោយគ្មានការពន្យារពេលដែលមិនចាំបាច់ ហើយរួមបញ្ចូលទាំងជំហានជាក់ស្តែងដែលអ្នកទទួលអាចអនុវត្តដើម្បីការពារខ្លួន។ អ្នកផ្តល់សេវាកម្មទុកចិត្ត ជាពិសេស រយៈពេល ៧២ ម៉ោងត្រូវបានកាត់បន្ថយមកត្រឹម ២៤ ម៉ោងសម្រាប់ឧប្បត្តិហេតុដែលប៉ះពាល់ដល់សេវាកម្មទំនុកចិត្ត។
CSIRT ឬអាជ្ញាធរមានសមត្ថកិច្ចរបស់អ្នកនឹងឆ្លើយតបក្នុងរយៈពេល 24 ម៉ោងបន្ទាប់ពីទទួលបានការព្រមានដំបូងរបស់អ្នក ដោយផ្តល់មតិកែលម្អដំបូង និងការណែនាំប្រតិបត្តិការលើវិធានការកាត់បន្ថយ។
ជំហានទី 1. កំណត់ថាតើច្បាប់ EU និងហូឡង់ណាដែលអនុវត្តចំពោះអ្នក
អ្នកត្រូវកំណត់ថាមួយណា ក្របខ័ណ្ឌច្បាប់ គ្រប់គ្រងភារកិច្ចរាយការណ៍ពីឧប្បត្តិហេតុសន្តិសុខតាមអ៊ីនធឺណិតរបស់អ្នកមុនពេលមានឧប្បត្តិហេតុកើតឡើង។ NIS១ (សេចក្តីណែនាំស្តីពីសុវត្ថិភាពបណ្តាញ និងព័ត៌មាន) អនុវត្តយ៉ាងទូលំទូលាយនៅទូទាំងប្រទេសហូឡង់ ប៉ុន្តែ ដូរ៉ា (ច្បាប់ស្តីពីភាពធន់នៃប្រតិបត្តិការឌីជីថល) និង ច្បាប់អនុវត្តជាក់លាក់របស់ហូឡង់ បង្កើតកាតព្វកិច្ចបន្ថែមសម្រាប់វិស័យជាក់លាក់។ ចាប់ផ្តើមដោយវាយតម្លៃអង្គការរបស់អ្នកទៅនឹងលក្ខណៈវិនិច្ឆ័យនៃក្របខ័ណ្ឌនីមួយៗ។
ពិនិត្យមើលថាតើ NIS2 អនុវត្តចំពោះអង្គការរបស់អ្នកឬអត់
NIS2 ត្រូវបានអនុវត្តប្រសិនបើអ្នកមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់ជា អង្គភាពសំខាន់ or អង្គភាពសំខាន់អង្គភាពសំខាន់ៗរួមមានអង្គការនានាក្នុងវិស័យថាមពល ដឹកជញ្ជូន ធនាគារ ហេដ្ឋារចនាសម្ព័ន្ធទីផ្សារហិរញ្ញវត្ថុ សុខភាព ទឹកស្អាត ទឹកសំណល់ ហេដ្ឋារចនាសម្ព័ន្ធឌីជីថល រដ្ឋបាលសាធារណៈ និងលំហ។ អង្គភាពសំខាន់ៗរួមមានសេវាប្រៃសណីយ៍ ការគ្រប់គ្រងកាកសំណល់ សារធាតុគីមី ផលិតកម្មម្ហូបអាហារ ការផលិត អ្នកផ្តល់សេវាឌីជីថល និងអង្គការស្រាវជ្រាវ។
ទំហំអង្គការរបស់អ្នកមានសារៈសំខាន់សម្រាប់តែ អ្នកផ្តល់សេវាឌីជីថល (DSPs)។ អ្នកស្ថិតនៅក្រោម NIS2 ជា DSP ប្រសិនបើអ្នកដំណើរការទីផ្សារអនឡាញ សេវាកម្ម cloud ឬម៉ាស៊ីនស្វែងរកយ៉ាងហោចណាស់ និយោជិក 50 និងទាំង ចំណូលប្រចាំឆ្នាំ ១០ លានអឺរ៉ូ or € 10 លាននៅក្នុងទ្រព្យសម្បត្តិសរុបអង្គភាពសំខាន់ៗ និងសំខាន់ៗផ្សេងទៀតទាំងអស់ត្រូវប្រឈមមុខនឹងកាតព្វកិច្ចដោយមិនគិតពីទំហំឡើយ។
ប្រសិនបើអ្នកដំណើរការហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ ឬពីមុនត្រូវបានកំណត់ក្រោមសេចក្តីណែនាំ NIS ចាស់ (Wbni) អ្នកមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់ដោយស្វ័យប្រវត្តិក្រោម NIS2។
រដ្ឋាភិបាលហូឡង់រក្សាការចុះបញ្ជីអង្គភាពដែលបានកំណត់។ សូមពិនិត្យជាមួយអាជ្ញាធរមានសមត្ថកិច្ចនៃវិស័យរបស់អ្នក (របាយការណ៍ថាមពល និងហេដ្ឋារចនាសម្ព័ន្ធឌីជីថលទៅ RDI; សេវាកម្មហិរញ្ញវត្ថុទៅ AFM និង DNB; ការថែទាំសុខភាពទៅ IGJ) ដើម្បីបញ្ជាក់ពីស្ថានភាពរបស់អ្នក។ អ្នកគួរតែផ្ទៀងផ្ទាត់រឿងនេះ។ មុនខែមករា 2026 នៅពេលដែលការអនុវត្តដែលបានពង្រឹងចាប់ផ្តើម។
កំណត់ថាតើ DORA គ្របដណ្តប់លើសេវាកម្មហិរញ្ញវត្ថុរបស់អ្នកឬអត់
DORA អនុវត្តដោយឡែកពីគ្នាចំពោះ គ្រឹះស្ថានហិរញ្ញវត្ថុ និង អ្នកផ្តល់សេវាកម្ម ICT បម្រើពួកគេ។ អ្នកស្ថិតនៅក្រោម DORA ប្រសិនបើអ្នកធ្វើប្រតិបត្តិការជាស្ថាប័នឥណទាន អ្នកផ្តល់សេវាកម្មទូទាត់ ក្រុមហ៊ុនធានារ៉ាប់រង ក្រុមហ៊ុនវិនិយោគ អ្នកផ្តល់សេវាកម្មទ្រព្យសកម្មគ្រីបតូ ឬស្ថាប័នប្រាក់អេឡិចត្រូនិក។ បទប្បញ្ញត្តិនេះដំណើរការស្របគ្នានឹង NIS2 ជាមួយនឹងបទប្បញ្ញត្តិផ្ទាល់ខ្លួនរបស់វា តម្រូវការរបាយការណ៍.
អ្នកផ្តល់សេវាកម្មហិរញ្ញវត្ថុរាយការណ៍ពីឧប្បត្តិហេតុសំខាន់ៗទៅទាំង AFM (តាមរយៈវិបផតថល AFM) និង DNB (តាមរយៈ My DNB) បន្ថែមពីលើ RDI។ អ្នកក៏ត្រូវតែចុះឈ្មោះទាំងអស់ផងដែរ កិច្ចព្រមព្រៀងកិច្ចសន្យាជាមួយ ភាគីទីបីផ្នែក ICT សម្រាប់មុខងារសំខាន់ៗ ឬសំខាន់ៗតាមរយៈវិបផតថលទាំងនេះក្នុងរយៈពេលជាក់លាក់។
វាយតម្លៃកាតព្វកិច្ចរបស់អ្នកផ្តល់សេវាឌីជីថល
វបនី (ការអនុវត្តរបស់ហូឡង់) បង្កើតកាតព្វកិច្ចជាក់លាក់ ប្រសិនបើអ្នកផ្តល់ ទីផ្សារអនឡាញ ការគណនាលើពពក ឬម៉ាស៊ីនស្វែងរកអ្នករាយការណ៍ពីឧប្បត្តិហេតុទៅទាំងពីរ ទទួលទានរាល់ថ្ងៃ និង CSIRT-DSP (ក្រុមឆ្លើយតបឧប្បត្តិហេតុឯកទេសសម្រាប់អ្នកផ្តល់សេវាឌីជីថល)។ មិនដូចអង្គភាពសំខាន់ៗនៅក្នុងវិស័យផ្សេងទៀតទេ អ្នកប្រឈមមុខនឹងកម្រិតទំហំ៖ បុគ្គលិក 50+ នាក់ និងចំណូល ឬទ្រព្យសកម្ម 10 លានអឺរ៉ូ+។
អ្នកផ្តល់សេវាកម្មទុកចិត្តប្រឈមមុខ កាលកំណត់ដែលបានបង្កើនល្បឿន ក្រោមបទប្បញ្ញត្តិ eIDAS។ អ្នកត្រូវតែរាយការណ៍ពីឧប្បត្តិហេតុសំខាន់ៗដែលប៉ះពាល់ដល់សេវាកម្មទុកចិត្តនៅក្នុង ម៉ោង 24 ជំនួសឱ្យរយៈពេល 72 ម៉ោងស្តង់ដារដែលអនុវត្តចំពោះអង្គភាពផ្សេងទៀត។
ជំហានទី 2. កំណត់ពេលវេលាដែលឧប្បត្តិហេតុអាចរាយការណ៍បាន
អ្នកត្រូវការលក្ខណៈវិនិច្ឆ័យជាក់លាក់ដើម្បីកំណត់ថាតើឧប្បត្តិហេតុមួយឆ្លងកាត់កម្រិតរាយការណ៍ឬអត់។ ច្បាប់កំណត់ ឧប្បត្តិហេតុសំខាន់ៗ ដូចជាអ្នកដែលបង្កការរំខានដល់ប្រតិបត្តិការធ្ងន់ធ្ងរ ការខាតបង់ផ្នែកហិរញ្ញវត្ថុ ឬការខូចខាតយ៉ាងធ្ងន់ធ្ងរដល់អ្នកដទៃ។ ភារកិច្ចរាយការណ៍ឧប្បត្តិហេតុសន្តិសុខតាមអ៊ីនធឺណិតរបស់អ្នកចាប់ផ្តើមនៅពេលដែលអ្នករកឃើញឧប្បត្តិហេតុដែលបំពេញតាមលក្ខណៈវិនិច្ឆ័យទាំងនេះ មិនមែននៅពេលដែលអ្នកបញ្ចប់ការស៊ើបអង្កេតវានោះទេ។ នេះមានន័យថាអ្នកត្រូវតែធ្វើការសម្រេចចិត្តរាយការណ៍យ៉ាងឆាប់រហ័ស ជារឿយៗជាមួយនឹងព័ត៌មានមិនពេញលេញ។
វាយតម្លៃកម្រិតនៃភាពធ្ងន់ធ្ងរសម្រាប់អង្គការរបស់អ្នក
ហេតុការណ៍មួយត្រូវបានចាត់ទុកថាមានសារៈសំខាន់នៅពេលដែលវា រំខានដល់សេវាកម្មស្នូលរបស់អ្នក ឬបង្កើត ផលប៉ះពាល់ហិរញ្ញវត្ថុដ៏សំខាន់NIS2 ផ្តល់ជូននូវប្រភេទសំខាន់ៗពីរគឺ៖ ឧប្បត្តិហេតុដែលរំខានដល់ប្រតិបត្តិការរបស់អ្នកយ៉ាងធ្ងន់ធ្ងរ ឬបណ្តាលឱ្យមានការខាតបង់ផ្នែកហិរញ្ញវត្ថុ និងឧប្បត្តិហេតុដែលប៉ះពាល់ដល់ភាគីផ្សេងទៀតដោយបង្កការខូចខាតសម្ភារៈ ឬមិនមែនសម្ភារៈយ៉ាងច្រើន។ អ្នករាយការណ៍នៅពេលដែលប្រភេទណាមួយត្រូវបានអនុវត្ត។
ការរំខានប្រតិបត្តិការមានន័យថាអ្នកមិនអាចផ្តល់សេវាកម្មដល់អតិថិជន ប្រព័ន្ធសំខាន់ៗបរាជ័យ ឬអ្នកបាត់បង់សិទ្ធិចូលប្រើទិន្នន័យសំខាន់ៗ។ ការខាតបង់ផ្នែកហិរញ្ញវត្ថុរួមមានការចំណាយដោយផ្ទាល់ដូចជាការបង់ប្រាក់លោះ ការចំណាយលើការសង្គ្រោះ ការបាត់បង់ប្រាក់ចំណូល ឬការពិន័យជាប្រាក់តាមបទប្បញ្ញត្តិ។ ច្បាប់មិនបានបញ្ជាក់កម្រិតប្រាក់អឺរ៉ូពិតប្រាកដទេ ដូច្នេះអ្នកវាយតម្លៃដោយផ្អែកលើទំហំអង្គការរបស់អ្នក និងផលប៉ះពាល់ដែលទាក់ទងនៃឧប្បត្តិហេតុ។
កត់ត្រាកម្រិតផ្ទៃក្នុងរបស់អ្នកមុនពេលមានឧប្បត្តិហេតុកើតឡើង។ នេះបង្កើតភាពស៊ីសង្វាក់គ្នាក្នុងការសម្រេចចិត្តរាយការណ៍ និងបង្ហាញពីការអនុលោមដោយសុច្ឆន្ទៈ ប្រសិនបើអាជ្ញាធរសួរអំពីការវិនិច្ឆ័យរបស់អ្នកនៅពេលក្រោយ។
សូមពិចារណាសូចនាករទាំងនេះនៅពេលវាយតម្លៃសារៈសំខាន់៖
- ភាពអាចរកបាននៃសេវាកម្មតើអតិថិជនអាចចូលប្រើប្រាស់សេវាកម្មរបស់អ្នកបានទេ? តើប្រព័ន្ធនេះគាំងអស់រយៈពេលប៉ុន្មានហើយ?
- ភាពត្រឹមត្រូវទិន្នន័យតើមានការចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាតកើតឡើងទេ? តើប្រភេទទិន្នន័យណាខ្លះដែលរងផលប៉ះពាល់?
- វិសាលភាពភូមិសាស្ត្រតើឧប្បត្តិហេតុនេះប៉ះពាល់ដល់ទីតាំង ឬប្រទេសច្រើនដែរឬទេ?
- ផលប៉ះពាល់អតិថិជន៖ តើមានអ្នកប្រើប្រាស់ ឬអ្នកទទួលប៉ុន្មាននាក់ដែលប្រឈមមុខនឹងការរំខានដល់សេវាកម្ម?
- ពេលវេលានៃការងើបឡើងវិញតើអ្នករំពឹងថានឹងមានដំណោះស្រាយក្នុងរយៈពេលប៉ុន្មានម៉ោង ប៉ុន្មានថ្ងៃ ឬប៉ុន្មានសប្តាហ៍?
វាយតម្លៃផលប៉ះពាល់ឆ្លងដែន និងផលប៉ះពាល់ជាលំដាប់
អ្នកត្រូវតែរាយការណ៍ពីឧប្បត្តិហេតុជាមួយ ផលប៉ះពាល់ឆ្លងដែនដែលអាចកើតមាន ទោះបីជាផលប៉ះពាល់ក្នុងស្រុកហាក់ដូចជាតិចតួចក៏ដោយ។ ឧប្បត្តិហេតុដែលប៉ះពាល់ដល់ប្រតិបត្តិការរបស់អ្នកនៅហូឡង់អាចប៉ះពាល់ដល់អតិថិជន ដៃគូ ឬ ចង្វាក់ផ្គត់ផ្គង់ នៅក្នុងរដ្ឋសមាជិកសហភាពអឺរ៉ុបផ្សេងទៀត។ នេះបង្កឱ្យមានកាតព្វកិច្ចរាយការណ៍ ពីព្រោះអាជ្ញាធរសម្របសម្រួលការឆ្លើយតបឆ្លងកាត់ព្រំដែន។
ឥទ្ធិពលល្បាក់ បញ្ហាស្មើគ្នា។ ឧប្បត្តិហេតុរបស់អ្នកអាចរាយការណ៍បាន នៅពេលដែលវារំខានដល់សេវាកម្មដែលអ្នកផ្តល់ជូនដល់អង្គភាពសំខាន់ៗ ឬសំខាន់ៗផ្សេងទៀត ដោយមិនគិតពីផលប៉ះពាល់ដោយផ្ទាល់ទៅលើអ្នកប្រើប្រាស់ចុងក្រោយនោះទេ។ ឧទាហរណ៍ ប្រសិនបើអ្នកផ្គត់ផ្គង់សេវាកម្ម cloud ដល់មន្ទីរពេទ្យ ហើយការរំលោភសុវត្ថិភាពរបស់អ្នកប៉ះពាល់ដល់ប្រព័ន្ធអ្នកជំងឺរបស់ពួកគេ អ្នករាយការណ៍ដោយផ្អែកលើផលប៉ះពាល់ប្រតិបត្តិការរបស់ពួកគេ មិនមែនគ្រាន់តែការខាតបង់ផ្ទាល់ខ្លួនរបស់អ្នកនោះទេ។
អ្នកផ្តល់សេវាកម្មទុកចិត្តប្រឈមមុខ កម្រិតតឹងរ៉ឹងជាងមុនឧប្បត្តិហេតុណាមួយដែលប៉ះពាល់ដល់ការផ្តល់សេវាកម្មទុកចិត្ត (ហត្ថលេខាឌីជីថល វិញ្ញាបនបត្រ ត្រាពេលវេលា) តម្រូវឱ្យមានការរាយការណ៍ជាបន្ទាន់ក្នុងរយៈពេល 24 ម៉ោង។ អ្នកមិនរង់ចាំដើម្បីវាយតម្លៃថាតើផលប៉ះពាល់នេះបំពេញតាមលក្ខណៈវិនិច្ឆ័យសារៈសំខាន់ទូទៅឬអត់នោះទេ។
ជំហានទី 3. បង្កើតនីតិវិធីរាយការណ៍ឧប្បត្តិហេតុរបស់អ្នក
អ្នកត្រូវការនីតិវិធីដែលបានកត់ត្រាទុក ដែលបញ្ជាក់យ៉ាងច្បាស់ថាអ្នកណាធ្វើអ្វី ពេលណា និងរបៀបណា ក្នុងអំឡុងពេលមានឧប្បត្តិហេតុមួយ។ ផែនការឆ្លើយតបឧប្បត្តិហេតុ ត្រូវតែរួមបញ្ចូលលំហូរការងាររាយការណ៍ច្បាស់លាស់ដែលដំណើរការដោយស្វ័យប្រវត្តិនៅពេលដែលក្រុមរបស់អ្នករកឃើញឧប្បត្តិហេតុសំខាន់មួយ។ នីតិវិធីទាំងនេះបកប្រែភារកិច្ចរាយការណ៍ឧប្បត្តិហេតុសន្តិសុខតាមអ៊ីនធឺណិតរបស់អ្នកពីតម្រូវការផ្លូវច្បាប់អរូបីទៅជាសកម្មភាពជាក់ស្តែងដែលបុគ្គលិករបស់អ្នកអាចអនុវត្តបានក្រោមសម្ពាធ។
បង្កើតម៉ាទ្រីសចាត់ថ្នាក់ឧប្បត្តិហេតុរបស់អ្នក
ម៉ាទ្រីសចំណាត់ថ្នាក់របស់អ្នកជួយ អ្នកឆ្លើយតបនឹងហេតុការណ៍ កំណត់តម្រូវការរាយការណ៍ក្នុងរយៈពេលប៉ុន្មាននាទីបន្ទាប់ពីការរកឃើញ។ បង្កើតតារាងមួយដែលភ្ជាប់ប្រភេទឧប្បត្តិហេតុ និងកម្រិតភាពធ្ងន់ធ្ងរទៅនឹងកាតព្វកិច្ចរាយការណ៍ ថ្ងៃផុតកំណត់ និងអាជ្ញាធរអ្នកទទួល។ នេះលុបបំបាត់ការស្មាន និងធានានូវការសម្រេចចិត្តដែលស៊ីសង្វាក់គ្នានៅទូទាំងអង្គការរបស់អ្នក។
| ប្រភេទឧប្បត្តិហេតុ | ភាពធ្ងន់ធ្ងរ | រាយការណ៍ទៅ | ថ្ងៃផុតកំណត់ដំបូង | ការជូនដំណឹងអំពីឧប្បត្តិហេតុ |
|---|---|---|---|---|
| ការចូលប្រើប្រាស់ទិន្នន័យអតិថិជនដោយគ្មានការអនុញ្ញាត | ខ្ពស់ | RDI + CSIRT | ម៉ោង 24 | ម៉ោង 72 |
| Ransomware ប៉ះពាល់ដល់ប្រព័ន្ធស្នូល | សំខាន់ | RDI + CSIRT + NCSC | ម៉ោង 24 | ម៉ោង 72 |
| DDoS រំខានដល់សេវាសាធារណៈ | ខ្ពស់ | RDI + CSIRT | ម៉ោង 24 | ម៉ោង 72 |
| ការសម្របសម្រួលសេវាកម្មទំនុកចិត្ត (ប្រសិនបើអាចអនុវត្តបាន) | សំខាន់ | RDI + CSIRT | ម៉ោង 24 | ម៉ោង 24 |
| ឧប្បត្តិហេតុសេវាកម្មហិរញ្ញវត្ថុ (DORA) | ខ្ពស់ | RDI + AFM + DNB | ម៉ោង 24 | ម៉ោង 72 |
ធ្វើបច្ចុប្បន្នភាពម៉ាទ្រីសនេះនៅពេលណាក៏បាន ការផ្លាស់ប្តូរបទប្បញ្ញត្តិ ឬអង្គការរបស់អ្នកបន្ថែមសេវាកម្មថ្មីៗ។ សាកល្បងវារៀងរាល់ត្រីមាសដោយប្រើសេណារីយ៉ូជាក់ស្តែងដើម្បីកំណត់ចន្លោះប្រហោង ឬចំណុចច្របូកច្របល់។
រចនាដំណើរការការងារជូនដំណឹងរបស់អ្នក
លំហូរការងាររបស់អ្នកត្រូវតែបញ្ជាក់ លំដាប់ពិតប្រាកដ នៃសកម្មភាពចាប់ពីការរកឃើញឧប្បត្តិហេតុរហូតដល់ការរាយការណ៍ចុងក្រោយ។ កត់ត្រាអ្នកដែលផ្តួចផ្តើមការរាយការណ៍ អ្នកដែលពិនិត្យ និងអនុម័តការជូនដំណឹង អ្នកដែលដាក់ជូន និងអ្នកដែលរក្សាទំនាក់ទំនងជាមួយអាជ្ញាធរ។ ចាត់តាំងបុគ្គលិកបម្រុងសម្រាប់តួនាទីនីមួយៗដើម្បីគ្របដណ្តប់ការអវត្តមាន។
លំហូរការងាររបស់អ្នកគួរតែសន្មតថាឧប្បត្តិហេតុកើតឡើងនៅខាងក្រៅម៉ោងធ្វើការ នៅពេលដែលថ្នាក់គ្រប់គ្រងជាន់ខ្ពស់អាចនឹងមិនមានវត្តមានភ្លាមៗ។ បង្កើតយន្តការអនុម័តដែលការពារការពន្យារពេល។
បង្កើត ទម្រង់បញ្ជីត្រួតពិនិត្យ ក្រុមរបស់អ្នកធ្វើតាម៖
- ហេតុការណ៍ត្រូវបានរកឃើញ៖ ប្រធានក្រុមសន្តិសុខវាយតម្លៃតាមម៉ាទ្រីសចំណាត់ថ្នាក់ក្នុងរយៈពេល 2 ម៉ោង
- ឧប្បត្តិហេតុដែលអាចរាយការណ៍បានត្រូវបានបញ្ជាក់៖ CISO ត្រូវបានជូនដំណឹងភ្លាមៗ ចាប់ផ្តើមការរៀបចំការព្រមានជាមុន
- ការព្រមានជាមុនត្រូវបានរៀបចំឡើង៖ រួមបញ្ចូលប្រភេទឧប្បត្តិហេតុ ពេលវេលារកឃើញ មូលហេតុសង្ស័យ ផលប៉ះពាល់ឆ្លងដែនដែលអាចកើតមាន
- ការពិនិត្យឡើងវិញផ្នែកច្បាប់៖ ទីប្រឹក្សាផ្នែកច្បាប់ពិនិត្យសេចក្តីព្រាងក្នុងរយៈពេល ៤ ម៉ោងសម្រាប់ភាពត្រឹមត្រូវ និងភាពពេញលេញ
- ការដាក់ស្នើ៖ CISO ឬអ្នកតំណាងដាក់ស្នើតាមរយៈវិបផតថលផ្លូវការក្នុងរយៈពេល 24 ម៉ោង។
- ការឆ្លើយតបរបស់អាជ្ញាធរ៖ ក្រុមសន្តិសុខអនុវត្តការណែនាំដែលទទួលបានក្នុងរយៈពេល 24 ម៉ោង
- ការជូនដំណឹងអំពីឧប្បត្តិហេតុ៖ ក្រុមបច្ចេកទេសរៀបចំការវាយតម្លៃលម្អិតត្រឹម 60 ម៉ោង។
- ការដាក់ស្នើចុងក្រោយ៖ ឯកសារពេញលេញត្រូវបានដាក់ស្នើមុនថ្ងៃផុតកំណត់ ៧២ ម៉ោង។
រៀបចំគំរូរបាយការណ៍សម្រាប់ដំណាក់កាលនីមួយៗ
គំរូធានានូវ របាយការណ៍មានព័ត៌មានចាំបាច់ទាំងអស់ ខណៈពេលដែលកាត់បន្ថយពេលវេលារៀបចំ។ បង្កើតគំរូដាច់ដោយឡែកសម្រាប់ការព្រមានដំបូង ការជូនដំណឹងអំពីឧប្បត្តិហេតុ និងរបាយការណ៍ចុងក្រោយរបស់អ្នក ដែលរួមបញ្ចូលវាលចាំបាច់ទាំងអស់ដែលបានបញ្ជាក់ដោយ NIS2 និងអាជ្ញាធរហូឡង់។
គំរូព្រមានដំបូងរបស់អ្នកត្រូវការ៖ ត្រាពេលវេលារកឃើញ ប្រភេទឧប្បត្តិហេតុ សេចក្តីសង្ខេបប្រព័ន្ធដែលរងផលប៉ះពាល់ សូចនាករសកម្មភាពព្យាបាទដែលសង្ស័យ (បាទ/ទេ) សូចនាករផលប៉ះពាល់ឆ្លងដែន (បាទ/ទេ) ព័ត៌មានទំនាក់ទំនងចម្បង។ ការជូនដំណឹងអំពីឧប្បត្តិហេតុរបស់អ្នកបន្ថែម៖ ការវាយតម្លៃភាពធ្ងន់ធ្ងរ វិសាលភាពនៃផលប៉ះពាល់ ចំនួនអ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់ សូចនាករនៃការសម្របសម្រួល ជំហានកាត់បន្ថយដំបូងដែលបានអនុវត្ត។ របាយការណ៍ចុងក្រោយរួមមាន៖ ពេលវេលាពេញលេញនៃឧប្បត្តិហេតុ ការវិភាគមូលហេតុដើម ការវាយតម្លៃផលប៉ះពាល់ពេញលេញ វិធានការសុវត្ថិភាពដែលបានអនុវត្ត មេរៀនដែលបានរៀន អនុសាសន៍បង្ការ។
រក្សាទុកគំរូទាំងនេះជា ទម្រង់ដែលអាចបំពេញបាន។ ក្រុមរបស់អ្នកអាចចូលប្រើបានភ្លាមៗ។ រក្សាទុកវានៅក្នុងវេទិកាឆ្លើយតបឧប្បត្តិហេតុ វិគីសុវត្ថិភាព និងការបម្រុងទុកក្រៅបណ្តាញរបស់អ្នក ដើម្បីធានាបាននូវភាពអាចរកបានក្នុងអំឡុងពេលមានការដាច់ចរន្តអគ្គិសនីរបស់ប្រព័ន្ធ។
ជំហានទី 4. បញ្ចូលរបាយការណ៍ទៅក្នុងការបណ្តុះបណ្តាល និងការគ្រប់គ្រង
ដែន នីតិវិធីរាយការណ៍ បរាជ័យប្រសិនបើបុគ្គលិកមិនយល់ពីតួនាទីរបស់ពួកគេ ឬប្រសិនបើរចនាសម្ព័ន្ធអភិបាលកិច្ចមិនគាំទ្រការសម្រេចចិត្តរហ័ស។ អ្នកត្រូវការ ការបណ្តុះបណ្តាលជាប្រព័ន្ធ និង ការត្រួតពិនិត្យកម្រិតក្រុមប្រឹក្សាភិបាល ដើម្បីធានាថាអង្គការរបស់អ្នកអនុវត្តកាតព្វកិច្ចរាយការណ៍ពីឧប្បត្តិហេតុសន្តិសុខតាមអ៊ីនធឺណិតរបស់ខ្លួនបានត្រឹមត្រូវរាល់ពេល។ នេះមានន័យថា ការរួមបញ្ចូលកាតព្វកិច្ចរាយការណ៍ទៅក្នុងកម្មវិធីបណ្តុះបណ្តាលសន្តិសុខដែលមានស្រាប់របស់អ្នក និងបង្កើតការទទួលខុសត្រូវច្បាស់លាស់នៅកម្រិតអភិបាលកិច្ច។
បណ្តុះបណ្តាលបុគ្គលិកទាំងអស់អំពីការរកឃើញ និងការកើនឡើងនៃចំនួនអ្នកឆ្លង
អ្នកត្រូវតែហ្វឹកហាត់ បុគ្គលិកទាំងអស់។ ដើម្បីសម្គាល់ឧប្បត្តិហេតុសន្តិសុខដែលអាចកើតមាន និងដឹងច្បាស់ពីរបៀបបង្កើនកម្រិតគ្រោះថ្នាក់ទាំងនោះ។ បុគ្គលិកបច្ចេកទេសរបស់អ្នកត្រូវការការបណ្តុះបណ្តាលលម្អិតលើម៉ាទ្រីសចំណាត់ថ្នាក់ និងលំហូរការងាររាយការណ៍ ប៉ុន្តែបុគ្គលិកមិនមែនបច្ចេកទេសត្រូវការការណែនាំសាមញ្ញជាងនេះ ដែលផ្តោតលើការកត់សម្គាល់សកម្មភាពមិនប្រក្រតី និងទាក់ទងមនុស្សត្រឹមត្រូវភ្លាមៗ។
Run លំហាត់លើតុប្រចាំត្រីមាស ដែលក្លែងធ្វើឧប្បត្តិហេតុជាក់ស្តែងដែលត្រូវការរាយការណ៍។ ណែនាំក្រុមឆ្លើយតបឧប្បត្តិហេតុរបស់អ្នកតាមរយៈដំណើរការទាំងមូលចាប់ពីការរកឃើញរហូតដល់ការដាក់ស្នើរបាយការណ៍ចុងក្រោយ។ ប្រើលំហាត់ទាំងនេះដើម្បីកំណត់ចន្លោះប្រហោងនីតិវិធី សាកល្បងគំរូរបស់អ្នក និងផ្ទៀងផ្ទាត់ថាបុគ្គលិកបម្រុងយល់ពីតួនាទីរបស់ពួកគេ។ កត់ត្រាមេរៀនដែលបានរៀនបន្ទាប់ពីលំហាត់នីមួយៗ ហើយធ្វើបច្ចុប្បន្នភាពនីតិវិធីរបស់អ្នកតាមនោះ។
ការបណ្តុះបណ្តាលការយល់ដឹងអំពីសន្តិសុខសម្រាប់បុគ្គលិកទូទៅគួរតែគ្របដណ្តប់លើចំណុចសំខាន់ៗនៃការរាយការណ៍ទាំងនេះ៖
- អ្វីដែលបង្កើតបានជាឧប្បត្តិហេតុសុវត្ថិភាពដែលអាចកើតមាន (អ៊ីមែលមិនធម្មតា ការប៉ុនប៉ងចូលប្រើដោយគ្មានការអនុញ្ញាត ទិន្នន័យដែលបាត់)
- អ្នកដែលត្រូវទាក់ទងជាបន្ទាន់ (ផ្តល់ព័ត៌មានលម្អិតទំនាក់ទំនង 24/7 សម្រាប់ក្រុមសន្តិសុខរបស់អ្នក)
- អ្វីដែលមិនត្រូវធ្វើ (កុំព្យាយាមស៊ើបអង្កេតខ្លួនឯង កុំលុបភស្តុតាង កុំរង់ចាំរហូតដល់ថ្ងៃច័ន្ទ)
- ហេតុអ្វីបានជាល្បឿនមានសារៈសំខាន់ (កាលកំណត់បទប្បញ្ញត្តិចាប់ផ្តើមនៅពេលដែលឧប្បត្តិហេតុត្រូវបានរកឃើញ មិនមែនរាយការណ៍ទេ)
បណ្តុះបណ្តាលបុគ្គលិកថា ការរកឃើញ និងការរាយការណ៍ពីសកម្មភាពគួរឱ្យសង្ស័យ ការពារទាំងអង្គការ និងខ្លួនពួកគេភ្លាមៗពី ការទទួលខុសត្រូវមិនត្រឹមតែបំពេញតាមតម្រូវការអនុលោមភាពប៉ុណ្ណោះទេ។
បញ្ចូលរបាយការណ៍ទៅក្នុងការគ្រប់គ្រងដែលមានស្រាប់
តម្រូវការរបស់ក្រុមប្រឹក្សាភិបាល និងថ្នាក់ដឹកនាំប្រតិបត្តិរបស់អ្នក ធ្វើឱ្យទាន់សម័យជាទៀងទាត់ លើសមត្ថភាពរាយការណ៍ពីឧប្បត្តិហេតុ និងឧប្បត្តិហេតុជាក់ស្តែង។ កំណត់ពេលពិនិត្យអភិបាលកិច្ចប្រចាំត្រីមាស ដែលគ្របដណ្តប់លើនីតិវិធីរាយការណ៍របស់អ្នក ឧប្បត្តិហេតុណាមួយដែលបានកើតឡើង ការឆ្លើយតបរបស់អាជ្ញាធរដែលទទួលបាន និងការកែលម្អនីតិវិធីដែលបានអនុវត្ត។ នេះបង្កើតការទទួលខុសត្រូវ និងធានាថាថ្នាក់ដឹកនាំយល់ពីកាតព្វកិច្ចរាយការណ៍។
ចាត់តាំង ក នាយកប្រតិបត្តិជាក់លាក់ ការទទួលខុសត្រូវចំពោះការអនុលោមតាមការរាយការណ៍ឧប្បត្តិហេតុ។ បុគ្គលនេះ (ជាធម្មតា CISO ឬប្រធានផ្នែកហានិភ័យរបស់អ្នក) រាយការណ៍ដោយផ្ទាល់ទៅក្រុមប្រឹក្សាភិបាលលើការត្រៀមខ្លួន រក្សាទំនាក់ទំនងជាមួយអាជ្ញាធរមានសមត្ថកិច្ច និងជាម្ចាស់ថវិកាសម្រាប់ឧបករណ៍រាយការណ៍ និងការបណ្តុះបណ្តាល។ ភាពជាម្ចាស់ច្បាស់លាស់ការពារការភាន់ច្រឡំក្នុងអំឡុងពេលឧប្បត្តិហេតុជាក់ស្តែង នៅពេលដែលការសម្រេចចិត្តត្រូវតែកើតឡើងយ៉ាងឆាប់រហ័ស។
រួមបញ្ចូលទាំង រង្វាស់រាយការណ៍ នៅក្នុងផ្ទាំងគ្រប់គ្រងសុវត្ថិភាពរបស់អ្នក៖ ពេលវេលាចាប់ពីការរកឃើញរហូតដល់ការដាក់ស្នើការព្រមានជាមុន ភាគរយនៃឧប្បត្តិហេតុដែលបំពេញតាមតម្រូវការកាលកំណត់ ពេលវេលាឆ្លើយតបរបស់អាជ្ញាធរ និងសកម្មភាពកែតម្រូវដែលបានបញ្ចប់។ តាមដានទាំងនេះជារៀងរាល់ខែដើម្បីកំណត់និន្នាការ និងឱកាសកែលម្អ។
ការផ្លាស់ប្តូរទៅមុខ
ឥឡូវនេះ អ្នកមានក្របខ័ណ្ឌពេញលេញសម្រាប់បំពេញកាតព្វកិច្ចរាយការណ៍ឧប្បត្តិហេតុសន្តិសុខតាមអ៊ីនធឺណិតរបស់អ្នកក្រោមច្បាប់ NIS2 និងច្បាប់ហូឡង់។ អ្នកដឹងថាបទប្បញ្ញត្តិណាខ្លះដែលអនុវត្តចំពោះអង្គការរបស់អ្នក នៅពេលដែលឧប្បត្តិហេតុឆ្លងកាត់កម្រិតរាយការណ៍ អាជ្ញាធរណាដែលទទួលបានការជូនដំណឹង ព័ត៌មានអ្វីដែលរបាយការណ៍នីមួយៗត្រូវតែមាន និងរបៀបបង្កើតនីតិវិធីដែលដំណើរការក្រោមសម្ពាធ។ ជំហានបន្ទាប់របស់អ្នកគឺ ការអនុវត្តភ្លាមៗ.
ចាប់ផ្តើមដោយពិនិត្យមើលផែនការឆ្លើយតបឧប្បត្តិហេតុបច្ចុប្បន្នរបស់អ្នកទល់នឹងតម្រូវការដែលបានគូសបញ្ជាក់នៅទីនេះ។ ធ្វើបច្ចុប្បន្នភាពរបស់អ្នក ម៉ាទ្រីសចំណាត់ថ្នាក់រៀបចំរបស់អ្នក។ គំរូរបាយការណ៍និងបណ្តុះបណ្តាលក្រុមឆ្លើយតបឧប្បត្តិហេតុរបស់អ្នកអំពីលំហូរការងារថ្មី។ កំណត់ពេលលំហាត់លើតុដំបូងរបស់អ្នកនៅក្នុង 30 ថ្ងៃបន្ទាប់ ដើម្បីសាកល្បងនីតិវិធីមុនពេលមានឧប្បត្តិហេតុពិតប្រាកដកើតឡើង។ កត់ត្រាអ្វីគ្រប់យ៉ាងដែលអ្នកបង្កើត ដើម្បីឱ្យក្រុមរបស់អ្នកអាចចូលប្រើវាបានភ្លាមៗនៅពេលចាំបាច់។
ការអនុលោមតាមច្បាប់ក្នុងសន្តិសុខតាមអ៊ីនធឺណិតទាមទារទាំង ជំនាញបច្ចេកទេស និង ចំណេះដឹងផ្នែកច្បាប់ប្រសិនបើអ្នកត្រូវការជំនួយក្នុងការបកស្រាយពីរបៀបដែលបទប្បញ្ញត្តិទាំងនេះអនុវត្តចំពោះស្ថានភាពជាក់លាក់របស់អ្នក ទំនក់ទំនង Law & More សម្រាប់ការណែនាំឯកទេស។ ក្រុមការងាររបស់ពួកគេជួយអង្គការហូឡង់ក្នុងការរុករកតម្រូវការអនុលោមភាពសន្តិសុខតាមអ៊ីនធឺណិតដ៏ស្មុគស្មាញ និងបង្កើតក្របខ័ណ្ឌឆ្លើយតបឧប្បត្តិហេតុដែលការពារទាំងប្រតិបត្តិការ និងជំហរផ្លូវច្បាប់របស់អ្នក។
