1. Backup không phải là giải pháp kỹ thuật đơn lẻ
Trong nhiều tổ chức, backup thường được hiểu là:
Cài một công cụ
Viết một script
Chạy cron hằng ngày
Cách hiểu này dẫn đến một nhận thức sai lầm:
Backup là vấn đề kỹ thuật thuần túy.
Thực tế:
Backup là một biện pháp quản trị rủi ro.
Nếu không đặt backup trong khung quản trị rủi ro, mọi giải pháp kỹ thuật đều mang tính bị động và rời rạc.
2. Quản trị rủi ro CNTT là gì?
Quản trị rủi ro CNTT là quá trình:
Nhận diện rủi ro
Đánh giá mức độ ảnh hưởng
Xác định khả năng xảy ra
Đề ra biện pháp kiểm soát
Theo dõi và cải tiến liên tục
Mục tiêu không phải là:
Loại bỏ mọi rủi ro (điều không thể)
Mà là giảm rủi ro xuống mức chấp nhận được
3. Vị trí của backup trong bức tranh rủi ro
3.1. Backup không ngăn được sự cố
Backup không:
Ngăn lỗi phần cứng
Ngăn hacker
Ngăn lỗi con người
Backup chỉ phát huy giá trị sau khi sự cố đã xảy ra.
📌 Vì vậy, backup thuộc nhóm:
Biện pháp giảm thiểu hậu quả (Mitigation)
chứ không phải biện pháp phòng ngừa (Prevention).
3.2. Backup bảo vệ cái gì?
Backup bảo vệ:
Tính sẵn sàng có điều kiện (availability có phục hồi)
Tính toàn vẹn dữ liệu (integrity theo thời gian)
Khả năng truy xuất lịch sử
Backup không đảm bảo:
Không downtime
Không gián đoạn dịch vụ
4. Mối quan hệ giữa Backup – Availability – Continuity
Trong quản trị CNTT, thường nhắc đến:
Availability (khả dụng)
Continuity (liên tục)
Resilience (khả năng chịu lỗi)
Vai trò của backup:
Không làm hệ thống luôn chạy
Nhưng đảm bảo hệ thống có thể quay lại chạy
📌 Nếu không có backup:
Sự cố nhỏ có thể trở thành thảm họa
Lỗi thao tác có thể trở thành mất mát vĩnh viễn
5. Đánh giá rủi ro để thiết kế backup
5.1. Không phải hệ thống nào cũng cần backup như nhau
Cần phân loại:
Dữ liệu nghiệp vụ cốt lõi
Dữ liệu vận hành
Dữ liệu có thể tái tạo
Ví dụ:
Database bệnh nhân → rủi ro rất cao
Cache → rủi ro thấp
Log tạm → rủi ro thấp
5.2. Kết hợp mức độ rủi ro và chi phí
Một backup chiến lược phải trả lời:
Mất dữ liệu này có chấp nhận được không?
Mất trong bao lâu?
Chi phí để bảo vệ đến mức nào?
📌 Không phải dữ liệu nào cũng cần bảo vệ ở mức tối đa.
6. Backup và các chỉ số quản trị: RPO – RTO
6.1. RPO – Mức mất dữ liệu chấp nhận được
RPO = 0 → gần như không mất dữ liệu
RPO = 24h → chấp nhận mất 1 ngày dữ liệu
RPO càng thấp:
Backup càng thường xuyên
Chi phí càng cao
6.2. RTO – Thời gian phục hồi chấp nhận được
RTO vài phút → cần kiến trúc dự phòng
RTO vài giờ → restore từ backup
RTO vài ngày → backup lưu trữ là đủ
📌 Backup phải phục vụ RTO, không phải ngược lại.
7. Backup trong khung kiểm soát nội bộ và tuân thủ
Trong nhiều lĩnh vực:
Y tế
Tài chính
Cơ quan nhà nước
Backup liên quan trực tiếp đến:
Tuân thủ pháp lý
Truy vết
Kiểm toán
Bảo vệ dữ liệu cá nhân
📌 Backup không đúng = rủi ro pháp lý, không chỉ rủi ro kỹ thuật.
8. Vai trò con người trong quản trị backup
Một chiến lược backup thất bại khi:
Không có người chịu trách nhiệm
Không có phân quyền rõ
Không có quy trình kiểm tra
Backup trong quản trị rủi ro yêu cầu:
Rõ vai trò
Rõ quy trình
Rõ trách nhiệm
9. Backup phải được đưa vào quy trình vận hành chuẩn (SOP)
Backup chỉ có giá trị khi:
Được văn bản hóa
Được đào tạo
Được kiểm tra định kỳ
📌 Backup không nằm trong SOP = backup không tồn tại khi cần.
Backup không phải là chi phí kỹ thuật,
mà là chi phí để kiểm soát rủi ro không thể tránh.
Một hệ thống CNTT trưởng thành:
Không hy vọng sự cố không xảy ra
Mà chuẩn bị để sống sót và phục hồi khi sự cố xảy ra
- Đăng nhập để gửi ý kiến
