IAA202_LAB 2

SE151130_Nguyễn Trần Minh Trực

Lab Assessment
1.
a. Denial of Service attack of organized e-mail server - High
b.Loss of Production Data - Medium
c.Unauthorized access to organization owned Workstation - High
d.Workstation browser has software vulnerability - Low
e.User downloads an unknown e-mail attachment - Low
2.
PO9.1 IT Risk Management Framework – a
PO9.2 Establishment of Risk Context – b
PO9.3 Event Identification – a, b
PO9.4 Risk Assessment – c, d, e
PO9.5 Risk Response – none
PO9.6 Maintenance and Monitoring of a Risk Action Plan – none

3.
Confidentiality Integrity Availability
A x x
B x x
C x
D x x
E x
4.
Denial of Service attack of organized e-mail server
Đổi password, đóng các port, Thiết lập các mirror server

Loss of Production Data

Sao lưu dữ liệu, khội phục nếu cần thiết

Unauthorized access to organization owned Workstation

Thay đổi mật khẩu liên tục, đặt khóa màn hình

Workstation browser has software vulnerability

Cập nhật trình duyệt, kiểm tra và tự động cập nhật

User downloads an unknown e-mail attachment

Đặt các bộ lọc
5.
1. Threat or Vulnerability #1:
Information - Threat
Applications - Threat
Infrastructure - Threat
People - None

2. Threat or Vulnerability #2:

Information - Threat
Applications - Threat
Infrastructure - Threat
People - Threat

3. Threat or Vulnerability #3:

Information - Threat
Applications - Vulnerability
Infrastructure - Vulnerability
People - Threat

4. Threat or Vulnerability #4:

Information - Vulnerability
Applications - Vulnerability
Infrastructure - Vulnerability
People - None

5. Threat or Vulnerability #5:

Information – Vulnerability
Applications – Vulnerability
Infrastructure – Vulnerability
People – Threat
6.
True

7.
Mô hình C-I-A gần như là tuyệt đối trong vấn đề bảo mật. Đi từ mô hình
C-I-A giúp ta dễ phân tích các mối đe dọa hay lỗ hổng. Khi đáp ứng đủ yêu
cầu của C-I-A, chắc chắn các lỗ hổng hay mối đe dọa sẽ được khắc phục.

8.
Sắp xếp đánh giá rủi ro của mối đe dọa hay lỗ hổng sẽ giúp phân loại mức
độ quan trọng của thông tin. Xác đĩnh mức dộ của lỗ hổng bảo mật nếu bị
xâm nhập.

9.
Bởi vì đó là yêu cầu mà các công ty nào cũng bắt buộc

10.
Gửi e-mail, tạo một khóa đào tạo. Rủi ro có thể đến với người dùng là các
mối đe dọa phải ưu tiên trước.

11.
Bằng cách duy trì sự cân bằng giữa lợi ích và tối ưu hóa mức đổ rủi ro và
sử dụng tài nguyên, giúp đạt được các mục tiêu về quản trị và quản lý tài
sản công nghệ và thông tin.

12.
Effectiveness là làm việc một cách cụ thể chi tiết.
Efficiency là làm việc một cách tiết kiệm thời gian và chi phí.
13.
Đánh giá rủi ro, giảm thiểu rủi ro và quan sát kết quả

14.
Càng có nhiều góc nhìn khác nhau sẽ có cái nhìn tốt hơn về các rủi ro.

15.
The IT Governance Institute (ITGI) và ISACA (Information Systems Audit
and Control Association).