1.

CISO của một công ty phần mềm đang chuẩn bị báo cáo cho ban giám đốc
trước cuộc họp hội đồng quản trị sắp tới. Phương pháp tốt nhất để anh ấy gửi
báo cáo này cho các thành viên hội đồng quản trị là gì?
A. Gửi báo cáo một cách an toàn cho các thành viên hội đồng quản trị trước cuộc họp
hội đồng quản trị, sau đó xem xét và thảo luận về báo cáo tại cuộc họp hội đồng
quản trị
B. Báo cáo trực tiếp cho các thành viên hội đồng quản trị trong cuộc họp hội đồng quản
trị
C. Gửi báo cáo qua email cho các thành viên hội đồng quản trị
D. Cung cấp bản in của báo cáo cho các thành viên hội đồng quản trị trong cuộc thảo
luận cuộc họp hội đồng quản trị
2. Chứng chỉ nào được công nhận về kiến thức và kinh nghiệm kiểm định hệ
thống thông tin và bảo vệ hệ thống thông tin?
A. CISSP
B. CGEIT
C. CRISC
D. CISA
3. Tất cả những điều sau đây là lợi thế khi thuê ngoài chức năng kiểm toán an
toàn thông tin, ngoại trừ điều nào?
A. Tránh tuyển dụng và giữ chân nhân tài
B. Tiết kiệm chi phí của nhà thầu so với nhân viên toàn thời gian
C. Tiết kiệm chi phí đào tạo và phát triển chuyên môn
D. Không cần tìm không gian làm việc tại chỗ
4. Một tổ chức trải qua thử nghiệm lừa đảo hàng quý để xem mức độ thành thạo
của lực lượng lao động trong việc phát hiện thư lừa đảo. Cách tiếp cận tốt nhất để
thực hiện đối với những cá nhân không phát hiện được thư lừa đảo thử nghiệm và
nhấp vào nội dung của chúng là gì?
A. Yêu cầu họ trải qua đào tạo tăng cường
B. Đăng tên của họ lên “bức tường xấu hổ” như một cách để đảm bảo rằng nhân viên
sẽ làm việc chăm chỉ hơn để phát hiện chính xác các thư lừa đảo
C. Yêu cầu họ viết một bài luận ngắn về nguy cơ của tin nhắn lừa đảo
D. Xóa quyền truy cập của họ trong một thời gian ngắn
5. Phát biểu nào sau đây về tuân thủ PCI-DSS là đúng?
A. Người bán xử lý ít hơn 15.000 giao dịch thẻ tín dụng không bắt buộc phải gửi chứng
nhận tuân thủ (AOC)
B. Các nhà cung cấp dịch vụ không bắt buộc phải nộp chứng nhận tuân thủ (AOC)
hằng năm.
C. Chỉ những tổ chức lưu trữ, chuyển nhượng hoặc xử lý hơn 6 triệu số thẻ tín dụng
mới phải thực hiện kiểm tra PCI hằng năm.
D. Tất cả các tổ chức lưu trữ, chuyển nhượng hoặc xử lý dữ liệu thẻ tín dụng đều phải
gửi chứng nhận tuân thủ (AOC) hằng năm.
6. Một trong những mục tiêu trong chiến lược dài hạn cho chương trình bảo mật
thông tin của tổ chức, nêu rõ ràng nỗ lực phối hợp nhằm cải thiện việc phát triển
phần mềm sẽ được cải thiện. Cách tiếp cận nào sau đây sẽ kém hiệu quả nhất trong
việc đạt được mục tiêu này?
A. Triển khai tường lửa ứng dụng web (WAF) và hệ thống ngăn chặn xâm nhập (IPS)
để bảo vệ ứng dụng khỏi bị tấn công
 B. Ban hành chính sách quy định rằng các gói phát hành phần mềm mới không thể
được phát hành cho đến khi các lỗ hổng nghiêm trọng và cấp cao được khắc phục
C. Ban hành các ưu đãi bồi thường tài chính cho các nhà phát triển dựa trên việc giảm
các lỗi bảo mật
D. Cung cấp đào tạo phát triển an toàn bắt buộc cho tất cả các nhà phát triển phần
mềm
7. X là CISO mới trong một tổ chức chăm sóc sức khỏe. Trong quá trình phát
triển chiến lược, X nhận thấy các quản trị viên hệ thống CNTT áp dụng các bản vá
bảo mật khi nhóm bảo mật gửi cho họ báo cáo quét lỗ hổng hằng quý. Thay đổi hiệu
quả nhất có thể được thực hiện trong quá trình quản lý lỗ hổng để làm cho nó trở nên
chủ động hơn thay vì chỉ phản ứng là gì?
A. Chạy báo cáo quét lỗ hổng hằng tháng thay vì hằng quý.
B. Không cần thay đổi vì quá trình này đã hoạt động bình thường
C. Yêu cầu quản trị viên hệ thống CNTT chạy quét lỗ hổng bảo mật trên hệ thống của
chính họ
D. Sửa đổi quy trình vá lỗi để đảm bảo các bản vá được áp dụng theo lịch trình quy
trình xác định dựa trên rủi ro của lỗ hổng. Tận dụng quy trình quét hàng quý dưới
dạng đảm bảo chất lượng.
8. Kết quả có thể xảy ra của một rủi ro đã được xác định và phân tích trong quy
trình quản lý rủi ro là gì?
A. Chấp nhận, tránh né, giảm thiểu, chuyển giao
B. Chấp nhận, tránh né, giảm nhẹ, chuyển nhượng, dư thừa
C. Chấp nhận, loại bỏ, giảm thiểu, chuyển giao
D. Chấp nhận, tránh né, loại bỏ, giảm thiểu, chuyển giao
9. Tất cả các hoạt động sau đây là đầu vào điển hình cho quy trình quản lý rủi ro,
ngoại trừ hoạt động nào?
A. Đánh giá mối đe dọa
B. Kiểm toán nội bộ
C. Đánh giá mã
D. Đánh giá rủi ro
10. Một tổ chức gần đây đã gặp sự cố bảo mật trong đó một nhân viên đã làm rò rỉ
thông tin quan trọng thông qua nhà cung cấp dịch vụ lưu trữ dựa trên đám mây
không được phê duyệt. Nhân viên nói rằng cô ấy “không biết” rằng việc lưu trữ dữ
liệu của công ty trong các dịch vụ dựa trên đám mây chưa được phê duyệt là vi phạm
chính sách. Kiểm soát hành chính tốt nhất để ngăn chặn loại sự kiện này trong tương
lai là gì?
A. Triển khai GPO để chặn việc sử dụng thiết bị lưu trữ dung lượng lớn USB
B. Triển khai hệ thống giám sát và bảo vệ các tài nguyên được lưu trên các dịch vụ
đám mây (CASB)
C. Triển khai hệ thống ngăn chặn dữ liệu rò rỉ (DLP) dựa trên điểm cuối
D. Yêu cầu nhân viên xác nhận việc tuân thủ chính sách bảo mật hàng năm bằng văn
bản
11. Bộ phận nhân sự của một công ty đa quốc gia lớn đang lên kế hoạch hợp nhất
các hệ thống thông tin nhân sự (HRIS) của mình trên một nền tảng duy nhất. Làm thế
nào để chức năng bảo mật thông tin có thể điều chỉnh chiến lược của mình cho sự
phát triển này?
A. Chức năng quản lý truy cập và nhận dạng có thể được tích hợp với HRIS toàn cầu
mới.
 B. Các nhà thầu và công nhân tạm thời có thể được quản lý trong HRIS toàn cầu mới
C. Người lao động ở tất cả các quốc gia có thể đăng ký tham gia khóa đào tạo nhận
thức về bảo mật
D. Người lao động ở tất cả các quốc gia có thể thừa nhận việc tuân thủ chính sách bảo
mật thông tin
12. Các tiêu chí liên quan đến bảo mật quan trọng nhất để phân loại hệ thống là
gì?
A. Vị trí
B. Độ nhạy cảm của dữ liệu và mức độ quan trọng trong hoạt động
C. Mức độ quan trọng trong hoạt động
D. Độ nhạy cảm của dữ liệu
13. Giải pháp tốt nhất để bảo vệ ứng dụng SaaS khỏi cuộc tấn công lớp 7 là gì?
A. Tường lửa ứng dụng web
B. Trình môi giới bảo mật truy cập đám mây
C. Bộ lọc nội dung web
D. Bảo vệ chống phần mềm độc hại nâng cao
14. Cách hiệu quả nhất để xác nhận việc tuân thủ tổng thể chính sách bảo mật là
gì?
A. Xem lại điểm kiểm tra từ các câu hỏi đào tạo nâng cao nhận thức bảo mật
B. Phỏng vấn người quản lý quy trình và kiểm tra hồ sơ hoạt động
C. Gửi bảng câu hỏi cho người quản lý quy trình và yêu cầu họ đính kèm bằng chứng
D. Thực hiện kiểm thử xâm nhập các hệ thống và ứng dụng chính, đồng thời quét mã
nguồn nếu có
15. Kiểm soát nào có thể cải thiện tốt bảo mật phần mềm trong phần mềm với tư
cách là một tổ chức dịch vụ hiện đang trải qua các cuộc kiểm thử xâm nhập hằng quý
đối với phần mềm SaaS của mình?
A. Thử nghiệm thâm nhập hằng tháng
B. Đào tạo phát triển an toàn bắt buộc cho tất cả các nhà phát triển
C. Quét ứng dụng web hằng ngày của môi trường sản xuất
D. Thực hiện SAST (static application security testing) như một phần của quy trình xây
dựng phần mềm
16. Trong một tổ chức phần mềm đa quốc gia, cách tốt nhất để sử dụng cho chính
sách bảo mật liên quan đến kiểm tra lý lịch?
A. Trước khi tuyển dụng, tất cả người lao động, dù là nhân viên, nhà thầu hay chuyên
gia tư vấn, đều phải trải qua các cuộc điều tra lý lịch nếu luật pháp cho phép.
B. Trước khi tuyển dụng, tất cả nhân viên phải trải qua quá trình điều tra lý lịch nếu
được pháp luật cho phép
C. Trước khi tuyển dụng và hàng năm sau đó, tất cả nhân viên phải trải qua các cuộc
điều tra lý lịch.
D. Trước khi tuyển dụng, tất cả người lao động, dù là nhân viên, nhà thầu hay chuyên
gia tư vấn, đều phải trải qua quá trình điều tra lý lịch.
17. Trong một tổ chức có văn hóa bảo mật đã được thiết lập, một số nhân viên
phàn nàn về thời gian cần thiết để trải qua khóa đào tạo nâng cao nhận thức kéo dài 8
giờ hàng năm, cho rằng họ đã thành thạo về chủ đề này và tổ chức sẽ được hưởng
lợi nhiều hơn nếu họ tiếp tục thực hiện các nhiệm vụ của mình. Cách tiếp cận tốt nhất
để giải quyết vấn đề này là gì?
A. Yêu cầu tất cả nhân viên phải trải qua đào tạo vì nó được yêu cầu bởi chính sách.
 B. Cho phép nhân viên bỏ qua khóa đào tạo nâng cao nhận thức về bảo mật nếu họ đạt
điểm kiểm tra tốt trong những năm trước.
C. Cho phép nhân viên bỏ qua các chủ đề đào tạo nhân cao nhận thức bảo mật nếu lần
đầu tiên họ vượt qua các bài kiểm tra về các chủ đề đó.
D. Cho phép những nhân viên đó bỏ qua khóa đào tạo nâng cao nhận thức về bảo mật.
18. Một kiến trúc sư bảo mật đang tìm cách cải thiện khả năng phòng thủ chuyên
sâu để chống lại phần mềm tống tiền. Tổ chức của anh sử dụng phần mềm chống
phần mềm độc hại tiên tiến trên tất cả các thiết bị đầu cuối và phần mềm chống virus
trên các máy chủ email của mình. Các thiết bị đầu cuối cũng có khả năng IPS và hoạt
động khi điểm cuối là tại chỗ hoặc từ xa. Anh ấy nên xem xét những giải pháp nào
khác để cải thiện khả năng phòng thủ chống lại mã độc tống tiền?
A. Sao lưu dữ liệu
B. Tường lửa
C. Lọc thư rác và thư lừa đảo
D. Giám sát tính toàn vẹn của tệp
19. Ban giám đốc của một công ty sản xuất đã yêu cầu CISO báo cáo mô tả tình
trạng chương trình an ninh mạng của tổ chức. Cách nào sau đây là cách tốt nhất để
CISO thực hiện yêu cầu này?
A. Gửi bài kiểm thử xâm nhập gần đây nhất cho các thành viên hội đồng quản trị
B. Gửi bản đăng ký rủi ro cho các thành viên hội đồng quản trị
C. Gặp gỡ hội đồng quản trị tại cuộc họp theo lịch trình tiếp theo, cung cấp thông tin về
tình trạng của chương trình an ninh mạng và trả lời các câu hỏi của các thành viên
hội đồng quản trị
D. Gửi bản đánh giá rủi ro gần đây nhất cho các thành viên hội động quản trị.
20. CISO trong một tổ chức 1000 nhân viên muốn triển khai chức năng giám sát an
ninh 24/7/365. Hiện tại không có hoạt động CNTT 24/7 trong tổ chức. Đâu là lựa chọn
tốt nhất để CISO triển khai chức năng giám sát an ninh 24/7/365?
A. Tăng cường nhân sự chức năng giám sát sự kiện an ninh 24/7/365 với đội ngũ nhân
viên thường trực toàn thời gian.
B. Nhân viên thiết lập chức năng giám sát sự kiện bảo mật và hoạt động CNTT
24/7/365 với đội ngũ nhân viên toàn thời gian cố định
C. Triển khai nền tảng giám sát sự kiện bảo mật và gửi các sự kiện đến nhân viên 5x8
hiện có (nhân viên làm việc 5 ngày/tuần, 8h/ngày) sau giờ làm việc.
D. Thuê ngoài giám sát bảo mật cho nhà cung cấp dịch vụ bảo mật được quản lý
(MSSP) chuyên giám sát sự kiện bảo mật.
21. Một nhà phân tích bảo mật đã xác định một máy chủ quan trọng đang thiếu
một bản vá hệ điều hành quan trọng liên quan đến bảo mật. Nhà phân tích bảo mật đã
xác định được điều gì?
A. Một lỗ hổng
B. Một sự cố
C. Một mối đe dọa
D. Một rủi ro
22. Câu nói “Mật khẩu có thể được tạo từ các từ, cụm từ, số và ký tự đặc biệt theo
nhiều cách dễ nhớ nhưng không dễ đoán”, là một ví dụ về điều gì?
A. Một hướng dẫn
B. Một tiêu chuẩn
C. Một thủ tục
D. Một chính sách
23. Cách tiếp cận tốt nhất trong hầu hết các tổ chức để đảm bảo rằng nhân viên an
ninh mạng luôn cập nhật kiến thức và kỹ năng của họ là gì?
A. Xây dựng một thư viện sách về các chủ đề bảo mật khác nhau mà nhân viên an ninh
có thể xem và đọc.
B. Cung cấp ít nhất một tháng đào tạo chính thức mỗi năm
C. Cung cấp ít nhất một tuần đào tạo chính thức mỗi năm
D. Nhân viên bảo vệ có thể tự học và không cần hỗ trợ từ tổ chức
24. Trưởng nhóm bảo mật tại một nhà bán lẻ trực tuyến toàn cầu đang phát triển
một kế hoạch phân loại hệ thống. Các hệ thống được phân loại là Cao, Trung bình
hoặc Thấp, tùy thuộc vào mức độ quan trọng của hoạt động, độ nhạy của dữ liệu và
mức độ tiếp xúc với các mối đe dọa. Trong một môi trường nhất định, các máy chủ
hỗ trợ (chẳng hạn như máy chủ DNS, máy chủ thời gian) máy chủ sản xuất Cao,
Trung bình và Thấp nên được phân loại như thế nào?
A. Các máy chủ hỗ trợ nên được phân loại là Thấp, vì chúng không thực hiện các giao
dịch quan trọng cũng như không chứa dữ liệu nhạy cảm
B. Các máy chủ hỗ trợ nên được phân loại cùng cấp với các máy chủ cấp cao nhất mà
chúng hỗ trợ.
C. Các máy chủ hỗ trợ phải được phân loại là Cao vì một số máy chủ mà chúng hỗ trợ
là Cao
D. Các máy chủ hỗ trợ nên được phân loại cùng cấp với các máy chủ cấp thấp nhất mà
chúng hỗ trợ.
25. Mục đích của việc phát triển nội dung nâng cao nhận thức bảo mật dưới nhiều
hình thức là gì?
A. Để nhân viên bớt nhàm chán khi chỉ có một hình thức nhắn tin
B. Để cung cấp các thông báo bất ngờ mà người dùng ít có khả năng nhận thấy
C. Thừa nhận rằng người khác nhau có cách học và nhận thức khác nhau
D. Để tối đa hóa giá trị của việc cấp phép nội dung đào tạo nâng cao nhận thức bảo
mật
26. Mục tiêu chính của chiến lược quản lý rủi ro là?
A. Xác định khẩu vị rủi ro của tổ chức
B. Xác định những rủi ro đáng tin cậy và chuyển chung cho một bên bên ngoài
C. Loại bỏ rủi ro đáng tin cậy
D. Xác định những rủi ro đáng tin cậy và giảm chúng xuống mức có thể chấp nhận
được.
27. Một tổ chức đã thuê một CISO mới để thực hiện các cải tiến chiến lược cho
chương trình bảo mật thông tin. Là một trong những nhiệm vụ quan trọng đầu tiên
của cô ấy, CISO mới sẽ viết tài liệu điều lệ chương trình mô tả chương trình bảo mật
của tổ chức, vai trò và trách nhiệm chính, quy trình kinh doanh chính và mối quan hệ
với các bên liên quan chính của doanh nghiệp và các bên bên ngoài. Cách tiếp cận tốt
nhất để xây dựng tài liệu điều lệ này là gì?
A. Xây dựng tài liệu điều lệ dựa trên thông lệ tốt nhất về bảo mật thông tin
B. Phát triển tài liệu điều lệ dựa trên ISO/IEC 27001
C. Phát triển tài liệu điều lệ dựa trên các thông lệ tốt nhất của ngành
D. Đầu tiên, xác định và phỏng vấn các bên liên quan chính của doanh nghiệp để hiệu
nhu cầu và mối quan tâm về rủi ro mạng của họ
28. Một CISO của một công ty sản xuất, đã xác định được một rủi ro mới liên quan
đến an ninh mạng đối với doanh nghiệp và đang thảo luận riêng với giám đốc rủi ro
(CSO). CRO đã yêu cầu anh ấy không đưa rủi ro này vào sổ đăng ký rủi ro. Điều này
thể hiện hình thức xử lý rủi ro nào?
A. Đây là chuyển giao rủi ro, vì tổ chức đã ngầm chuyển giao rủi ro này cho bảo hiểm.
B. Đây là sự chấp nhận rủi ro, vì tổ chức đang chấp nhận rủi ro như vốn có
C. Đây không phải là xử lý rủi ro, mà là tránh hoàn toàn việc quản lý rủi ro
D. Đây là tránh rủi ro, trong đó tổ chức chọn tránh rủi ro hoàn toàn
29. Những khía cạnh nào của đánh giá truy cập bảo mật là tốt nhất trong báo cáo
cho quản lý cấp cao?
A. Số lượng tài khoản được xem xét trong quá trình đánh giá quyền truy cập bảo mật
B. Số trường hợp ngoại lệ được xác định trong quá trình đánh giá quyền truy cập bảo
mật
C. Số lượng quá trình đánh giá quyền truy cập bảo mật đã hoàn thành
D. Số lần đánh giá quyền truy cập bảo mật được thực hiện
30. Tổ chức cần hiểu rõ hơn liệu khung kiểm soát của mình có bảo vệ tổ chức một
cách đầy đủ khỏi các mối nguy hiện đã biết và chưa biết hay không? Loại đánh giá
nào sẽ tiết lộ điều này tốt nhất?
A. Kiểm soát đánh giá rủi ro
B. Đánh giá rủi ro
C. Kiểm soát đánh giá khoảng cách
D. Kiểm soát đánh giá trưởng thành
31. Trong khi cân nhắc một mục trong sổ đăng ký rủi ro của tổ chức, các thành
viên của ban chỉ đạo an ninh mạng đã quyết định rằng tổ chức nên ngừng cung cấp
một tính năng mới trong nền tảng truyền thông xã hội trực tuyến của mình. Quyết
định này là một ví dụ về những gì?
A. Chuyển giao rủi ro
B. Tránh rủi ro
C. Giảm thiểu rủi ro
D. Chấp nhận rủi ro
32. Điều nào sau đây là cách tiếp nhận tốt nhất về “tình trạng của chương trình an
ninh” đối với hội đồng quản trị?
A. Phần tóm tắt tổng quan của đánh giá rủi ro doanh nghiệp
B. Tóm tắt tổng quan và chi tiết từ đánh giá rủi ro doanh nghiệp
C. Sổ làm việc chi tiết chứa số liệu thống kê và số liệu trong 12 tháng qua
D. Bản trình chiếu ngắn trình bày các chỉ số rủi ro chính, thành tích và sự cố
33. X là giám đốc an ninh trong một công ty sản xuất lớn. Công ty chủ yếu sử
dụng các sản phẩm của Microsoft, Cisco và Oracle. X đăng ký nhận các bản tin bảo
mật từ ba nhà cung cấp này. Câu nào sau đây mô tả đúng nhất về tính đầy đủ của các
nguồn tư vấn này?
A. X cũng nên đăng ký các nguồn bảo mật không phải của các nhà cung cấp như US-
CERT và InfraGard
B. X nên ngừng cung cấp các nguồn của nhà cung cấp và đăng ký các nguồn bảo mật
không phải của các nhà cung cấp như US-CERT và InfraGard
C. Các nguồn tư vấn bảo mật của X là đầy đủ
D. X nên tập trung vào việc tìm kiếm mối đe dọa trong dark web.
34. Mục đích của chương trình nâng cao nhận thức bảo mật là gì?
A. Giúp nhân viên phát triển khả năng phán đoán tốt hơn khi xử lý thông tin công ty
B. Thông báo cho nhân viên về chính sách bảo mật
C. Giúp nhân viên hiểu cách sử dụng máy tính phù hợp
 D. Đáp ứng các yêu cầu tuân thủ đối với PCI-DSS và SOX
35. Nhà cung cấp SaaS thực hiện kiểm thử xâm nhập trên các dịch vụ của mình
mỗi năm một lần và nhiều phát hiện được xác định mỗi lần. CISO của tổ chức muốn
thực hiện các thay đổi để cải thiện kết quả kiểm tra xâm nhập. CISO nên đề xuất tất cả
các thay đổi ngoại trừ thay đổi nào?
A. Thêm các yêu cầu về bảo mật và quyền riêng tư vào SDLC
B. Giới thiệu đào tạo viết mã an toàn cho tất cả các nhà phát triển phần mềm
C. Thêm đánh giá bảo mật của tất cả các thay đổi phần mềm được đề xuất vào SDLC
D. Tăng tần suất kiểm thử xâm nhập từ hàng năm lên hàng quý
36. Làm cách nào để chuyển một thống kê về quét bảo mật, thành một số liệu có ý
nghĩa đối với quản lý cấp cao?
A. Thể hiện số liệu theo thuật ngữ kinh doanh và kết quả kinh doanh tiềm năng
B. Tránh sử dụng thuật ngữ kỹ thuật
C. Hiển thị số liệu trên trang tổng quan dễ xem
D. Mô tả số liệu thống kê trong một bài tường thuật tóm tắt
37. CISO của một tổ chức đã kiểm tra số liệu thống kê và đã xác định rằng tổ chức
phát triển phần mềm của tổ chức đang tạo ra ngày càng nhiều lỗ hổng bảo mật
nghiêm trọng. Biện pháp kiểm soát mới nào sẽ hiệu quả nhất để đảm bảo rằng các hệ
thống sản xuất không có các lỗ hổng này?
A. Quản lý đào tạo mã an toàn cho tất cả các nhà phát triển mỗi năm một lần.
B. Triển khai tường lửa ứng dụng web
C. Thực hiện một hệ thống ngăn chặn xâm nhập
D. Thực hiện quét bảo mật trong quá trình xây dựng phần mềm và yêu cầu không tồn
tại các lỗ hổng nghiêm trọng hoặc cấp cao trong phần mềm được đưa vào sản xuất.
38. Tổ chức CNTT của một công ty đã quyết định triển khai cổng thông tin đăng
nhập một lần (SSO) trong năm tới. Những cân nhắc quan trọng nhất liên quan đến
bảo mật cần được đưa vào kế hoạch trước cho cổng SSO là gì?
A. Chất lượng mật khẩu và đặt lại mật khẩu
B. Tích hợp HMAC
C. Xác thực đa yếu tố
D. Tích hợp SAML (tiêu chuẩn dựa trên XML để xác thực người dùng trên các miền
Internet) với các ứng dụng
39. Mục đích của thử nghiệm lừa đảo là gì?
A. Xác định số lượng nhân viên có thể bị lừa bởi tin nhắn lừa đảo
B. Xác định có bao nhiêu tin nhắn lừa đảo thực tế vượt qua hệ thống phòng thủ chống
lừa đảo
C. Xác định xem có thể xác nhận các liên kết trong tin nhắn lừa đảo hay không
D. Xác nhận xem tin nhắn lừa đảo có thể vượt qua kiểm soát lừa đảo hay không
40. Một tổ chức thực hiện thử nghiệm lừa đảo hàng tháng. Trong năm qua tỷ lệ nhấp
chuột trung bình đã thay đổi từ 42% xuống 14%. Kết luận gì có thể được rút ra từ xu
hướng này?
A. Tin nhắn lừa đảo có nhiều khả năng đến được hộp thư đến của người dùng cuối
hơn
B. Người dùng cuối ít có khả năng nhấp vào các tin nhắn lừa đảo thực sự
C. Tin nhắn lừa đảo ít có khả năng đến được hộp thư đến của người dùng cuối hơn.
D. Người dùng cuối có nhiều khả năng sẽ nhấp vào các thư lừa đảo thực tế hơn.
41. Bộ phận kiểm toán nội bộ của một công ty đại chúng gần đây đã kiểm tra các
biện pháp kiểm soát chính trong quy trình quản lý lỗ hổng và phát hiện ra rằng biện
pháp kiểm soát “Máy chủ sản xuất sẽ được vá trong vòng 30 ngày kể từ khi nhận các
bản vá lỗi quan trọng” không thành công 30% thời gian. Kiểm toán nội bộ nên phát
hiện điều gì?
A. Nên thay đổi thời gian kiểm soát từ 30 ngày thành 21 ngày
B. Việc kiểm soát không hiệu quả và cần được điều chỉnh
C. Nên thay đổi thời gian kiểm soát từ 30 ngày thành 45 ngày
D. Cần có một biện pháp kiểm soát mới để quản lý lỗ hổng
42. Một tổ chức đã quyết định cải thiện chương trình bảo mật thông tin của mình
bằng cách phát triển một bộ đầy đủ các chính sách, thủ tục, tiêu chuẩn và quy trình.
Cái nào trong số này phải được phát triển trước?
A. Thủ tục
B. Quy trình
C. Chính sách
D. Tiêu chuẩn
43. Người quản lý bảo mật tại một nhà bán lẻ trực tuyến nhỏ, gần đây đã biết về
Quy định bảo vệ dữ liệu chung của châu Âu (GDPR). Công ty có khách hàng trên toàn
thế giới. Họ đã thuê ngoài các chức năng danh mục, chấp nhận đơn đặt hàng và
thanh toán trực tuyến của mình cho một nền tảng thương mại điện tử dựa trên đám
mây. Người quản lý bảo mật không biết về bất kì nỗ lực nào mà nhà bán lẻ có thể đã
thực hiện để tuân thủ GDPR. Anh ấy nên làm gì về điều này?
A. Không có gì, vì nền tảng thương mại điện tử dựa trên đám mây bắt buộc phải tuân
thủ GDPR
B. Hãy hỏi quản lý cấp cao hoặc bộ phận pháp lý về vấn đề này
C. Liên hệ với nền tảng thương mại điện tử dựa trên đám mây và xác nhận việc tuân
thủ GFPR
D. Giả định rằng tổ chức tuân thủ GDPR
44. Một tổ chức đã thuê ngoài hầu hết các ứng dụng kinh doanh và hoạt động
CNTT của mình cho các nhà cung cấp phần mềm dưới dạng dịch vụ (SaaS) và các
nhà cung cấp dịch vụ khác. Hiện tại, tổ chức không có danh sách tổng thể của các
nhà cung cấp dịch vụ. Thay vào đó, các bộ phận CNTT, pháp lý, mua sắm và bảo mật
có các danh sách riêng biệt không thống nhất. Bước đầu tiên nên diễn ra là gì?
A. Phát triển một chính sách yêu cầu nhóm pháp lý xem xét tất cả các hợp đồng với tất
cả các nhà cung cấp dịch vụ mới
B. Triển khai hệ thống môi giới bảo mật truy cập đám mây (CASB) để khám phá những
nhà cung cấp dịch vụ khác đang sử dụng
C. Tạo danh sách tổng thể các nhà cung cấp dịch vụ từ các danh sách từ CNTT, pháp
lý, mua sắm và bảo mật
D. Xây dựng chính sách yêu cầu nhóm bảo mật đánh giá tất cả các nhà cung cấp dịch
vụ mới
45. Phương pháp tốt nhất để xác định liệu nhân viên có hiểu chính sách bảo mật
thông tin của tổ chức hay không?
A. Kết hợp các câu đố vào đào tạo nâng cao nhận thức bảo mật
B. Phân phối các bản sao của chính sách bảo mật thông tin cho nhân viên
C. Yêu cầu nhân viên đọc chính sách bảo mật thông tin
D. Yêu cầu nhân viên xác nhận chính sách bảo mật thông tin bằng văn bản
46. Chỉ số dựa trên bảo mật nào sau đây có nhiều khả năng cung cấp giá trị nhất
khi được báo cáo cho ban quản lý?
A. Số tin nhắn lừa đảo bị chặn mỗi tháng
 B. Số gói tin tường lửa loại bỏ trên mỗi máy chủ mỗi ngày
C. Phần trăm máy chủ hỗ trợ sản xuất đã được vá trong SLA
D. Số người đã hoàn thành khóa đào tạo nhận thức về bảo mật
47. Một tổ chức được yêu cầu, thông qua một thỏa thuận pháp lý, để thực hiện
đánh giá hoạt động tài khoản. Điều nào sau đây xác định đúng nhất việc xem xét hoạt
động tài khoản?
A. Đánh giá để xem mức độ bận rộn của người dùng khi họ đăng nhập vào tài khoản
của họ
B. Đánh giá để xem tần suất người dùng đăng nhập vào tài khoản của họ
C. Đánh giá để xem có bao nhiêu thay đổi đối với tài khoản của người dùng được thực
hiện trong một khoảng thời gian
D. Đánh giá để xem liệu người dùng có đăng nhập vào tài khoản của họ trong một
khoảng thời gian cụ thể hay không
48. Một CISO mới trong một công ty sản xuất đã phát triển số liệu thống kê và số
liệu về các hệ thống điều khiển công nghiệp hỗ trợ sản xuất tự động và đã phát hiện
rằng hơn ⅓ hệ điều hành không được hỗ trợ trong nhiều năm do phần mềm ICS
không hỗ trợ các phiên bản điều hành mới hơn hệ thống và các phiên bản mới hơn
của phần mềm ICS không có sẵn. Làm thế nào tình huống này nên được mô tả cho
quản lý cấp cao?
A. Tổ chức cần yêu cầu các nhà cung cấp ICS của mình hỗ trợ các hệ điều hành hiện
đại
B. Tổ chức cần thuê ngoài ICS của mình cho nhà cung cấp đám mây ICS
C. Tổ chức cần cách ly và bảo vệ các hệ thống kiểm soát công nghiệp của mình
D. Tổ chức cần đẩy mạnh và hiện đại hóa các hệ thống kiểm soát công nghiệp của
mình.
49. Bộ phận kiểm toán nội bộ trong một tổ chức gần đây đã kiểm tra kiểm soát
“Tài khoản người dùng của nhân viên bị chấm dứt hợp đồng sẽ bị khóa hoặc xóa
trong vòng 48 giờ sau khi chấm dứt hợp đồng” và nhận thấy rằng tài khoản người
dùng của nhân viên bị chấm dứt hợp đồng không bị khóa hoặc xóa với tỷ lệ lên tới
20%. Kiểm toán nội bộ nên đưa ra khuyến nghị gì?
A. Thêm một kiểm soát bù mới để xem xét hàng tháng các tài khoản người dùng đã
chấm dứt
B. Không cần thay đổi vì 20% là tỷ lệ thất bại có thể chấp nhận được
C. Thay đổi khung thời gian trong kiểm soát từ 48 giờ thành 7 ngày.
D. Thêm nhân viên vào nhóm quản lý tài khoản người dùng.
50. X đã làm việc trong Công ty Telco trong nhiều năm và hiện là CISO. Trong
nhiều năm, X đã nhận ra rằng bộ phận kỹ thuật liên hệ với bên bảo mật thông tin ngay
trước khi phát hành các sản phẩm và tính năng mới để có thêm bảo mật vào lúc cuối.
Bây giờ X là CISO, giải pháp lâu dài tốt nhất cho vấn đề này là gì?
A. Giới thiệu bảo mật ở các bước khái niệm, yêu cầu và thiết kế trong quy trình phát
triển sản phẩm
B. Không có vấn đề gì cần khắc phục: kỹ thuật nên liên hệ với bộ phận bảo mật trước
khi phát hành sản phẩm để bổ sung các biện pháp kiểm soát bảo mật cần thiết
C. Đào tạo kỹ sư sử dụng các công cụ quét lỗ hổng để họ có thể tự tìm và sửa lỗ hổng
D. Thêm các yêu cầu bảo mật vào các yêu cầu khác được phát triển trong các dự án
phát triển sản phẩm
51. Một quản lý bảo mật tại một nhà bán lẻ trực tuyến nhỏ đang hoàn thành bảng
câu hỏi tự đánh giá về việc tuân thủ PCI-DSS. Khi nghiên cứu bảng câu hỏi, anh ấy đã
lưu ý rằng tổ chức của mình không tuân thủ tất cả các yêu cầu. Không có kiểm toán
viên nào sẽ xác minh tính chính xác của bảng câu hỏi. Cách hành động tốt nhất của
anh ấy là gì?
A. Đánh dấu từng biện pháp kiểm soát là tuân thủ và thông báo cho quản lý cấp cao
rằng anh ta phải trung thực trong lần đệ trình tiếp theo
B. Hoàn thành mẫu đơn một cách trung thực và nộp cho cơ quan chức năng
C. Hoàn thành biểu mẫu một cách trung thực và thông báo cho quản lý cấp cao về các
trường hợp ngoại lệ
D. Đánh dấu từng biện pháp kiểm soát là tuân thủ và nộp cho cơ quan có thẩm quyền
52. Báo cáo nào sau đây phù hợp nhất để gửi cho ban giám đốc?
A. Số liệu chi tiết hàng tuần
B. Số liệu chi tiết hàng tuần và báo cáo quét lỗ hổng
C. Số liệu mức cao hàng quý và danh sách các sự cố bảo mật
D. Báo cáo quét lỗ hổng và danh sách các sự cố bảo mật
53. Phát biểu nào sau đây về hướng dẫn là đúng?
A. Các chính sách bảo mật bắt nguồn từ các hướng dẫn
B. Hướng dẫn là bắt buộc
C. Hướng dẫn là tùy chọn và không bắt buộc
D. Kiểm soát an ninh bắt nguồn từ hướng dẫn
54. Trong phiên thiết lập mục tiêu hàng năm của tổ chức, CISO trước tiên được
yêu cầu mô tả các mục tiêu của chương trình bảo mật cho năm mới. Tại sao CISO
muốn đợi đến sau này?
A. CISO cần biết CIO sẽ đặt mục tiêu gì trước khi mô tả các mục tiêu bảo mật
B. Đầu tiên, CISO cần hiểu mục tiêu tổng thể của tổ chức, cũng như mục tiêu của các
nhà lãnh đạo doanh nghiệp
C. CISO muốn lấy ý kiến từ những người khác để các mục tiêu bảo mật sẽ đáng tin cậy
hơn
D. CISO chưa được chuẩn bị và cần thêm thời gian để thiết lập các mục tiêu
55. Kiểm soát viên công ty trong một tổ chức gần đây đã nhận được email từ
Giám đốc điều hành với hướng dẫn chuyển một số tiền lớn vào tài khoản ngân hàng
nước ngoài, đây là một phần của các cuộc đàm phán sáp nhập bí mật. Kiểm soát viên
của công ty nên phản hồi như thế nào?
A. Trả lời email và yêu cầu xác nhận
B. Chuyển tiền theo chỉ định
C. Chỉ đạo nhân viên chuyển tiền theo chỉ dẫn
D. Liên hệ với Giám đốc điều hành và yêu cầu xác nhận
56. Một nhà phân tích bảo mật đã xác định được một kỹ thuật mới mà tội phạm
mạng đang sử dụng để đột nhập vào hệ điều hành máy chủ. Nhà phân tích bảo mật
đã xác định được điều gì?
A. Một sự cố
B. Một rủi ro
C. Một mối đe dọa
D. Một lỗ hổng
57. Cách tiếp cận tốt nhất để triển khai hệ thống DLP (phát hiện và ngăn chặn mất
mát hoặc rò rỉ dữ liệu) trong môi trường email của tổ chức là?
A. Xây dựng chính sách phân loại dữ liệu và triển khai các biện pháp kiểm soát tích cực
B. Xây dựng chính sách phân loại dữ liệu, đào tạo người dùng và thực hiện quét các
kho dữ liệu phi cấu trúc
 C. Phát triển chính sách phân loại dữ liệu, đào tạo người dùng và triển khai các biện
pháp kiểm soát thụ động
D. Xây dựng chính sách phân loại dữ liệu, đào tạo người dùng và triển khai các biện
pháp kiểm soát tích cực
58. Điều nào sau đây là phương tiện hiệu quả nhất để đưa ra các chính sách, tiêu
chuẩn và hướng dẫn bảo mật thông tin cho lực lượng lao động của tổ chức?
A. Các chính sách, tiêu chuẩn và hướng dẫn phải dựa trên cơ sở “cần biết” và không
được xuất bản hoặc gửi cho nhân viên
B. Gửi email các chính sách, tiêu chuẩn và hướng dẫn cho lực lượng lao động mỗi năm
một lần
C. Xuất bản các chính sách, tiêu chuẩn và hướng dẫn trên trang mạng nội bộ nơi có thể
dễ dàng tìm thấy chúng
D. Xuất bản các chính sách, tiêu chuẩn và hướng dẫn bằng bản cứng và có sẵn các
bản sao tại văn phòng an ninh
59. Trong chương trình bảo mật thông tin của một tổ chức, một trong những
tuyên bố chiến lược có nội dung: “Cải thiện khả năng tiếp cận nâng cao nhận thức về
bảo mật cho nhân viên công ty.” Những hoạt động nào sẽ hỗ trợ tốt nhất cho mục
tiêu này?
A. Tất cả đều đúng
B. Tăng số điểm tối thiểu cần thiết để hoàn thành thành công khóa đào tạo nâng cao
nhận thức bảo mật
C. Xuất bản một bản tin hàng quý với các mẹo và bài viết về bảo mật
D. Quét máy trạm của người dùng cuối thường xuyên hơn
60. Lãnh đạo bảo mật tại một nhà cung cấp SaaS đã nhận thấy rằng số lượng lỗi bảo
mật trong ứng dụng SaaS đang tăng dần theo thời gian đến mức không thể chấp
nhận được. Bước đầu tiên tốt nhất mà nhà lãnh đạo bảo mật nên thực hiện là gì?
A. Tạo một mục đăng ký rủi ro mới mô tả sự cố cùng với các cách khắc phục tiềm năng
B. Bắt đầu một sự cố bảo mật ở mức độ nghiêm trọng thấp
C. Bắt đầu quy trình mua sắm tường lửa ứng dụng web
D. Liên hệ với trưởng nhóm phát triển phần mềm và báo cáo rằng nhiều lỗi bảo mật
đang được tạo ra
61. Các số liệu về các gói tin bị chặn trên tường lửa có giá trị gì?
A. Những thước đo này không có giá trị
B. Các số liệu này là thước đo các cuộc tấn công DDoS đã chặn
C. Những số liệu này chỉ có giá trị hoạt động
D. Các chỉ số này là thước đo các vi phạm bảo mật đã tránh được
62. Một CISO báo cáo các số liệu liên quan đến bảo mật cho ban quản lý điều
hành. Xu hướng trong vài tháng qua đối với chỉ số “Phần trăm bản vá được áp dụng
trong SLA cho các máy chủ hỗ trợ sản xuất” là 100%, 99,5%, 100%, 100%, 99,2% và
74,5%. Anh ấy nên thực hiện hành động gì đối với các chỉ số này?
A. Đợi đến tháng sau để xem số liệu có trở lại bình thường không
B. Điều tra nguyên nhân giảm số lần vá lỗi và báo cáo cấp quản lý
C. Giải thích rằng mức độ rủi ro đã giảm tương ứng
D. Không cần thực hiện hành động nào vì điều này là bình thường đối với quy trình
quản lý bản vá
63. Một tổ chức gần đây đã gặp phải một sự cố bảo mật nghiêm trọng. Tổ chức đã
rất ngạc nhiên trước vụ việc và tin rằng loại sự kiện này sẽ không xảy ra. Để tránh
xảy ra sự việc tương tự trong tương lai, tổ chức nên làm gì tiếp theo?
 A. Tiến hành đánh giá rủi ro toàn doanh nghiệp
B. Tiến hành thử nghiệm thâm nhập bên trong và bên ngoài
C. Tiến hành đánh giá kỳ hạn kiểm soát
D. Tiến hành đánh giá khoảng cách (gap analysis) kiểm soát.
64. Những bước nào phải được hoàn thành trước khi bắt đầu đánh giá rủi ro trong
một tổ chức?
A. Xác định năng lực của công ty sẽ thực hiện kiểm toán
B. Xác định phạm vi, mục đích và tiêu chí đánh giá
C. Xác định phạm vi, khả năng áp dụng và mục đích của kiểm toán
D. Xác định năng lực của (những) người sẽ thực hiện kiểm toán
65. Các tác nhân đe dọa bao gồm tất cả những yếu tố sau, ngoại từ yếu tố nào?
A. Tổ chức tội phạm mạng
B. Trojan
C. Tin tặc
D. Nhân viên
66. Mục tiêu chính của phương pháp Phân tích nhân tố rủi ro thông tin (FAIR) là
gì?
A. Xác định loại sự kiện đe dọa
B. Xác định chi phí của một sự kiện đe dọa
C. Xác định tác động của một sự kiện đe dọa
D. Xác định xác suất xảy ra sự kiện đe dọa
67. Một CISO mới trong một công ty sản xuất đã phát triển số liệu thống kê và số
liệu về các hệ thống điều khiển công nghiệp hỗ trợ sản xuất tự động và đã phát hiện
ra rằng hơn ⅓ số hệ điều hành không được hỗ trợ trong nhiều năm do phần mềm ICS
không hỗ trợ các phiên bản điều hành mới hơn hệ thống và các phiên bản mới hơn
của phần mềm ICS không có sẵn. Phản ứng tốt nhất trong tình huống này là gì?
A. Cô lập các hệ thống ICS trong mạng cứng
B. Nâng cấp hệ điều hành và cài đặt các thư viện tương thích ngược
C. Chuyển sang các nhà cung cấp phần mềm cung cấp hệ điều hành hiện đại, được hỗ
trợ
D. Ảo hóa các hệ điều hành lỗi thời
68. Tại sao việc kiểm kê tài sản phần cứng lại quan trọng đối với sự thành công
của các hoạt động bảo mật?
A. Các quy trình quan trọng như tài sản phần mềm và cấp phép phần mềm phụ thuộc
vào việc kiểm kê tài sản chính xác
B. Các quy trình quan trọng như quản lý lỗ hổng, quản lý sự kiện và phần mềm chống
phần mềm độc hại phụ thuộc vào việc kiểm kê nội dung chính xác
C. Quá trình quét lỗ hổng cần bao gồm tất cả tài sản phần cứng để tất cả tài sản đều
được quét
D. Kiểm thử xâm nhập cần phải bao gồm tất cả tài sản phần cứng để tất cả tài sản
được kiểm thử
69. Một tổ chức đã trải qua nhiều trường hợp rò rỉ dữ liệu ngoài ý muốn thông qua
hệ thống email công ty. Tất cả các cách tiếp cận sau đây để giải quyết vấn đề này đều
hợp lệ ngoại từ cách tiếp cận nào?
A. Tự động mã hóa các tệp đính kèm trong thư gửi đi cho người nhận bên ngoài
B. Tắt tính năng tự động hoàn tất của người nhận email.
C. Cảnh báo người dùng đang gửi email có tệp đính kèm cho người nhận bên ngoài để
họ có thể kiểm tra kỹ người nhận
 D. Cảnh báo người dùng đang gửi email cho người nhận bên ngoài để họ có thể kiểm
tra lại người nhận
70. Ưu điểm chính của điều khiển tự động so với điều khiển thủ công bao gồm tất
cả những điều sau, ngoại trừ điều nào?
A. Kiểm soát tự động thường hoạt động tốt hơn trong kiểm toán so với kiểm toán thủ
công
B. Kiểm soát tự động ít tốn kém hơn kiểm soát thủ công
C. Kiểm soát tự động thường nhất quán hơn kiểm soát thủ công
D. Kiểm soát tự động thường đáng tin cậy hơn kiểm soát thủ công
71. Khi kiểm tra quy trình hủy cấp phép tài khoản người dùng cho một ứng dụng
tài chính, 3 trong số 10 mẫu được chọn ngẫu nhiên cho biết rằng tài khoản người
dùng không bị chấm dứt trong giới hạn kiểm soát 24h. Kiểm toán nên tiến hành như
thế nào từ thời điểm này?
A. Kiểm tra tất cả các yêu cầu chấm dứt còn lại để xem có yêu cầu nào bị bỏ sót không
B. Công bố kết quả kiểm toán và tuyên bố kiểm soát là không hiệu quả
C. Công bố kết quả kiểm toán và tuyên bố kiểm soát là hiệu quả
D. Chọn một mẫu khác trong số 10 hồ sơ và công bố kết quả kiểm tra dựa trên 20 mẫu
72.