Professional Documents
Culture Documents
AISe - aise
Accounting Information System (Trường Đại học Kinh tế Thành phố Hồ Chí Minh)
CHƯƠNG 1
Câu 1: Đâu không phải là các lĩnh vực của an toàn thông tin
a .An toàn máy tính
b. Bảo mật dữ liệu
c. An ninh mạng
d. Đảm bảo tính toàn vẹn
Câu 2: Bảo vệ thông tin và các yếu tố quan trọng của nó, bao gồm các …hệ thống……….. (2 từ) và phần
cứng dùng để sử dụng, lưu trữ và truyền tải thông tin
Answer: hệ thống
Câu 3: Nhu cầu an toàn máy tính xuất hiện từ lĩnh vực quốc phòng
Đúng
Sai
Câu 4: Chất lượng hoặc trạng thái có quyền sở hữu hoặc kiểm soát một số đối tượng hoặc vật phẩm
a.Tính toàn vẹn (Integrity)
b.Tính bảo mật (Confidentiality)
c.Tính khả dụng (Availability)
d. Chiếm hữu (Possession)
Câu 5 : Một hành động cố ý hoặc vô ý có thể làm hỏng hoặc làm tổn hại đến thông tin và hệ thống hỗ trợ
nó
a.Khai thác (Exploit)
b.Rủi ro (Risk)
c.Nguy cơ (Threat)
d. Tấn công (Attack)
Câu 6: Đâu không phải là nhóm người dùng ảnh hưởng đến an toàn thông tin (Communities of Interest)
a.Nhóm quản lý CNTT
b.Nhóm quản lý an toàn thông tin
c. Nhóm người chịu trách nhiệm về dữ liệu
d.Nhóm quản lý chung
Câu 7: Tam giác C.I.A thể hiện tiêu chuẩn công nghiệp về bảo mật máy tính bao gồm 3 đặc điểm
a.Tính chiếm hữu, tính toàn vẹn và tính khả dụng
b.Tính bảo mật, tính toàn vẹn và tính tiện ích
c.Tính bảo mật, tính đầy đủ và tính khả dụng
d. Tính bảo mật, tính toàn vẹn và tính khả dụng
Câu 8: Tính chất của thông tin cho phép người dùng khi cần truy cập thông tin mà không bị can thiệp
hoặc cản trở và truy xuất thông tin đó ở định dạng bắt buộc
a.Chiếm hữu (Possession)
b.Tính khả dụng (Availability)
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
Câu 9: Điền vào chỗ trống thuật ngữ thích hợp: SDLC là một phương pháp luận được áp dụng trong
phân tích, ………. (2 từ), thực hiện và vận hành hệ thống
a.vận động
b.tổng hợp
c.thiết kế
d.đánh giá
Câu 12: Đâu không phải là lĩnh vực của mô hình an toàn CNSS (khối lập phương McCumber)
Câu 13: Đâu không phải là cách thức thực hiện SDLC
a.SDLC truyền thống, tích hợp bảo hiểm phần mềm vào quá trình phát triển phần mềm
b. Microsoft ‘s SDL
c.Phương pháp tiếp cận dựa trên các tiêu chuẩn NIST
d.Áp dụng các nguyên tắc thiết kế phần mềm
Câu 14: Chất lượng hoặc trạng thái của thông tin gốc hoặc nguyên bản, thay vì sao chép hoặc chế tạo
Câu 15: Cách thức tiếp cận thực hiện an toàn thông tin nào có các đặc điểm sau: “Bắt đầu từ các hành vi
từ cấp dưới nhằm cải thiện an toàn hệ thống và dựa trên kỹ năng và kiến thức của quản trị viên hệ thống”
Câu 17: Người chịu trách nhiệm báo cáo cho CIO, chịu trách nhiệm chính trong vấn đề an toàn và bảo
mật hệ thống thông tin, về việc đánh giá, quản lý và thực hiện an toàn thông tin là:
a.Giám đốc hoạt động (COO - chief operating officer)
b. Giám đốc an toàn thông tin (CISO - chief information security officer)
c.Giám đốc an toàn thông tin (CISO - chief information security officer)
d.Người chịu trách nhiệm về dữ liệu (Data Responsibilities)
Câu 18: Một trường hợp cụ thể hoặc một thành phần của một mối đe dọa
a.Quyền truy cập (Access)
b.Nguồn gốc đe dọa (Threat source)
c.Sự kiện đe dọa (Threat event)
d.Tác nhân đe dọa (Threat agent)
Câu 19: Cách thức tiếp cận thực hiện an toàn thông tin nào có các đặc điểm sau: “Dự án an toàn thông tin
được khởi xướng bởi các nhà quản lý cấp trên, những người ban hành các chính sách, thủ tục và quy
trình; đề xuất các mục tiêu và kết quả mong đợi; và xác định trách nhiệm cá nhân cho mỗi hành động”
a. Tiếp cận từ dưới lên (bottom-up approach)
b. Tiếp cận theo SDLC truyền thống tích hợp bảo hiểm phần mềm (Software Assurance)
c. Tiếp cận từ trên xuống (top-down approach)
d. Tiếp cận theo SDLC (Systems Development Life Cycle)
Câu 20: Chọn phát biểu không đúng về bản chất của an toàn thông tin
a. Tính không có nguyên mẫu, luôn linh hoạt, luôn sáng tạo trong lĩnh vực bảo mật, sự cân bằng trong
việc vận dụng kiến thức bảo mật, dẫn đến tính khoa học xã hội
b. Sự tương tác của con người với hệ thống, hành vi của người dùng tác động đến bảo mật, nhận thức về
rủi ro trong môi trường CNTT cho thấy an toàn thông tin mang tính chất của khoa học xã hội
c. Tính đa dạng, phức tạp, dẫn đến tính nghệ thật của an toàn thông tin
d. Đặc tính của công nghệ và khoa học máy tính cho thấy tính khoa học của an toàn thông tin
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
CHƯƠNG 2
Câu 1: Kết nối 6 phương thức tấn công của virus và sâu
Mass mail → Bằng cách gửi email bị nhiễm đến các địa chỉ có trong trong sổ địa chỉ, máy bị nhiễm sẽ
làm các máy khác bị nhiễm, những máy mà có chương trình đọc mail tự động hoạt động và tiếp tục lại
nhiễm cho nhiều hệ thống hơn,
Giao thức quản lý mạng đơn giản (Simple Network Management Protocol SNMP) → Được sử dụng để
quản lý từ xa các thiết bị mạng và máy tính,
Những chia sẻ không được bảo vệ (Unprotected shares) → Sử dụng các lỗ hổng trong hệ thống tập tin,
máy bị lây nhiễm sao chép thành phần virus đến tất cả các vị trí mà nó có thể tiếp cận,
Quét và tấn công IP (IP scan and attack) → Hệ thống bị nhiễm thực hiện quét một loạt các địa chỉ IP và
các cổng dịch vụ, và nhắm đến mục tiêu là một số lỗ hổng mà tin tặc đã biết hoặc còn sót lại từ các lần
khai thác trước đó,
Virus → Lỗi máy tính bị nhiễm sẽ lây nhiễm một số tập lệnh thực thi phổ biến trên tất cả các máy tính mà
nó có thể viết bằng mã virus có thể gây nhiễm trong tương lai,
Trình duyệt Web (Web browsing) → Nếu hệ thống bị nhiễm có quyền ghi vào bất kỳ trang web nào, nó sẽ
làm cho tất cả các tập nội dung Web bị lây nhiễm, do đó người dùng duyệt các trang Web này sẽ bị nhiễm
Câu 2: Khủng bố mạng và chiến tranh mạng (Cyber Terrorism and Cyber Warfare)
a.Nguy cơ hacktivist và cyber-activist ngày càng gia tăng
b.Vô tình xóa hoặc sửa dữ liệu
c.Khủng bố mạng thường không phải là một nguy cơ thực sự, thay vào đó, nó chỉ dùng để đánh lạc hướng
khỏi các vấn đề an ninh thông tin cấp bách
d.Tin tặc đánh cắp dữ liệu/ thông tin tổ chức (hộp mail, dữ liệu về tài khoản và mật khẩu của người dùng)
để đòi tiền chuộc
Câu 3: Kết nối các thuật ngữ sau với khái niệm tương ứng
Cracker → cá nhân bẻ khóa hoặc loại bỏ lớp bảo vệ được thiết kế để ngăn chặn việc sao chép hoặc sử
dụng trái phép,
Tin tặc chuyên nghiệp → Thường là bậc thầy về nhiều kỹ năng,
Phreaker → cá nhân tấn công hệ thống điện thoại công cộng để thực hiện các cuộc gọi miễn phí hoặc làm
gián đoạn dịch vụ,
Script kiddies → Sử dụng phần mềm do chuyên gia viết để khai thác hệ thống
Câu 4: Kết nối các khái niệm tấn công chặn liên lạc (Communications Interception Attacks)
Man-in-the-middle → Một nhóm các tấn công trong đó một người chặn luồng liên lạc và tự chèn mình
vào cuộc trò chuyện để thuyết phục mỗi bên rằng anh ta là đối tác hợp pháp,
Pharming → Là sự chuyển hướng của lưu lượng truy cập Web hợp pháp đến một trang Web bất hợp pháp
với mục đích lấy thông tin cá nhân,
Packet sniffer → Một chương trình hoặc thiết bị có thể giám sát dữ liệu truyền tải qua mạng,
Spoofing → Giả mạo địa chỉ IP là một kỹ thuật được sử dụng để truy cập trái phép vào máy tính, trong đó
kẻ xâm nhập sẽ gửi tin nhắn đến máy tính có địa chỉ IP cho biết rằng tin nhắn đến từ một máy chủ đáng
tin cậy
Câu 5: Mã đăng ký phần mềm duy nhất kết hợp với thỏa thuận cấp phép người dùng cuối (end-user
license agreement - EULA)
a.thường xuất hiện trong quá trình cài đặt phần mềm mới, yêu cầu người dùng cho biết rằng họ đã
đọc và đồng ý với các điều kiện sử dụng phần mềm
b.Tất cả đều đúng
c.Digital watermark
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
d.Người dùng khi cài đặt phần mềm thường được yêu cầu hoặc thậm chí phải đăng ký tài khoản sử dụng
phần mềm của họ để hoàn thành cài đặt, nhận hỗ trợ kỹ thuật hoặc sử dụng tất cả các tính năng
Câu 6: Việc sử dụng trái phép tài sản trí tuệ dẫn đến ......nguy cơ.. (2 từ) an toàn thông tin
Answer is: nguy cơ
Câu 7: Tài sản trí tuệ KHÔNG bao gồm:
a.Bằng sáng chế
b.Thương hiệu
c.Phát biểu về sứ mạng, tầm nhìn của đơn vị trên báo cáo thường niên
d.Bí mật thương mại
Câu 8: Hãy điền vào chỗ trống phát biểu thuật ngữ thích hợp:
CNTT tiếp tục bổ sung khả năng và phương pháp mới cho phép các tổ chức giải quyết các thách thức
quản lý thông tin, tuy nhiên nó cũng mang lại nhiều .....rủi ro mới..... (3 từ) cho thông tin của tổ chức.
Answer: rủi ro mới
Câu 9: Để bảo vệ thông tin, tổ chức cần:
a.Tất cả đều đúng
b.Hiểu rõ bản thân
c.Hiểu rõ đối thủ
d.Biết các nguy cơ mà tổ chức không phải đối mặt
Câu 10: Thuật ngữ được sử dụng để mô tả phần mềm độc hại thường loại trừ lẫn nhau
Đúng
Sai
Câu 11: Sự kết hợp của một số phần mềm và phần cứng sẽ phát hiện ra các lỗi mới
Đúng
Sai
Câu 12: Kết nối các thủ tục kiểm soát an toàn CSDL nên được triển khai trong đơn vị.
Kiểm soát kỹ thuật → dựa trên kiến thức về kiểm soát truy cập, xác thực, bảo mật ứng
dụng, sao lưu, phục hồi, mã hóa và kiểm soát tính toàn vẹn,
Kiểm soát quản lý → bao gồm chính sách, thủ tục và các vấn đề quản trị doanh nghiệp,
Kiểm soát vật lý → gồm sử dụng các trung tâm dữ liệu với cửa có khóa, hệ thống phòng
cháy chữa cháy, giám sát bằng video, và nhân viên bảo vệ
Câu 13: Đối tượng nào sau đây chịu trách nhiệm hỗ trợ Ban giám đốc trong việc xác định nhu cầu của
tổ chức đối với vấn đề an toàn thông tin.
a.Ban quản lý an toàn thông tin
b.Tất cả đều đúng
c.Ban quản lý chung
d.Ban quản lý CNTT
Câu 14: Cuộc tấn công DoS khó chống lại hơn DDoS và hiện không có biện pháp kiểm soát khả thi.
Đúng
Sai
Câu 15: Chọn phát biểu đúng
a. Phương pháp tốt nhất để ngăn cản các hành vi phi đạo đức và bất hợp pháp là thực thi luật,
chính sách và các kiểm soát kỹ thuật, giáo dục và đào tạo
b.Giáo dục là yếu tố thứ yếu trong việc nâng cao nhận thức đạo đức
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
c.Khi hành vi đạo đức của một quốc gia mâu thuẫn với bộ quy tắc đạo đức của nhóm quốc gia khác thì tổ
chức cần lựa chọn theo quy tắc đạo đức theo quốc gia của CEO
d.Sự khác biệt giữa chính sách và luật pháp là sự thiếu hiểu biết về luật là có thể chấp nhận được
Câu 16: Back doors
a.Cuộc tấn công cố gắng áp đảo khả năng xử lý thông tin liên lạc được đưa đến máy tính mục tiêu, nhằm
cấm người dùng hợp pháp truy cập vào các hệ thống đó
b.Một hình thức tấn công thư điện tử khác cũng là một DoS, trong đó kẻ tấn công gửi một lượng lớn thư
điện tử đến mục tiêu
c.Một luồng yêu cầu phối hợp được đưa ra nhằm vào một mục tiêu từ nhiều địa điểm trong cùng một thời
điểm bằng cách sử dụng Bot hoặc Zombies
d.Có thể được xem là một maintenance door
Câu 17: Chọn phát biểu không đúng về nguy cơ "những tác động từ thiên nhiên"
a.Tổ chức không cho phép cá nhân đặt mật khẩu liên quan thông tin cá nhân hoặc có thể có trong
từ điển mật khẩu
b.Cần phải triển khai các kiểm soát để hạn chế thiệt hại, chuẩn bị các kế hoạch dự phòng để tiếp tục hoạt
động
c.Vì không thể chủ động tránh được loại nguy cơ này
d.Tất cả đều đúng
Câu 18: Chọn phát biểu đúng
a.Một số lỗi và lỗi phát triển phần cứng dẫn đến phần mềm khó hoặc không thể triển khai theo cách an
toàn
b.Việc sử dụng ngày càng nhiều công nghệ di động làm giảm nguy cơ bị đánh cắp dữ liệu
c.Trộm cắp là loại nguy cơ thường trùng lặp với nguy cơ các cuộc tấn công phần mềm, gián điệp &
xâm nhập, tống tiền thông tin và xâm phạm quyền sở hữu trí tuệ.
d.Các chuyên gia an toàn thông tin đóng vai trò lớn trong việc xác định khi nào hệ thống/ công nghệ lỗi
thời
Câu 19: Hành vi trộm cắp vật lý không phải là một nguy cơ đối với an toàn thông tin.
Sai
Câu 20: Một khi kẻ tấn công giành được quyền truy cập vào hệ thống, bước tiếp theo là tăng các đặc
quyền của họ để cố giành ....... (3 từ) hệ thống
Answer is: quyền quản trị
Câu 21: Chọn phát biểu không đúng
a.Các tác nhân nguy cơ gây thiệt hại hoặc đánh cắp thông tin hoặc tài sản vật chất của tổ chức bằng cách
sử dụng các hành vi tận dụng lỗ hỗng bảo mật
b.Tấn công có thể liên quan đến nhiều nguy cơ
c.Để ra quyết định về an toàn thông tin, ban quản lý phải tự tìm hiểu về các nguy cơ khác nhau đối
với con người, thiết bị, dữ liệu và hệ thống thông tin của tổ chức
d.Mỗi tổ chức sẽ ưu tiên đối phó các nguy cơ khác nhau
Câu 23: Chọn phát biểu không đúng về nâng cấp đặc quyền (Escalation of Privileges)
a.Đặc quyền này cho phép kẻ tấn công ẩn các hoạt động của chúng bằng cách sửa đổi nhật ký hệ thống
b.Đặc quyền này cho phép kẻ tấn công truy cập thông tin, sửa đổi hệ thống để xem tất cả thông tin trong
đó
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
c.Là một kỹ năng tự thân hoặc sử dụng các công cụ phần mềm
d.Thường tạo ra các phần mềm tấn công và chia sẻ chúng với những người khác
Câu 24: Chọn phát biểu đúng
a.Trộm cắp là loại nguy cơ thường trùng lặp với nguy cơ các cuộc tấn công phần mềm, gián điệp & xâm
nhập, tống tiền thông tin và xâm phạm quyền sở hữu trí tuệ.
b.Việc sử dụng ngày càng nhiều công nghệ di động làm giảm nguy cơ bị đánh cắp dữ liệu
c.Các chuyên gia an toàn thông tin đóng vai trò lớn trong việc xác định khi nào hệ thống/ công nghệ lỗi
thời
d.Một số lỗi và lỗi phát triển phần cứng dẫn đến phần mềm khó hoặc không thể triển khai theo
cách an toàn
d. thể hiện rủi ro tiềm tàng đối với tài sản thông tin
Câu 31: Đâu không phải là ví dụ về cưỡng đoạt thông tin (Information Extortion)
a. Kẻ tấn công cài phần mềm độc hại vào hệ thống máy chủ nhằm từ chối quyền truy cập của người dùng,
sau đó đề nghị cung cấp khóa để cho phép truy cập lại hệ thống và dữ liệu của người dùng với một khoản
phí
b. Tin tặc đánh cắp dữ liệu/ thông tin tổ chức (hộp mail, dữ liệu về tài khoản và mật khẩu của người dùng)
để đòi tiền chuộc
c. Kẻ xấu đánh cắp số thẻ tín dụng
d. Cá nhân hoặc nhóm người cố ý phá hoại hệ thống máy tính hoặc hoạt động doanh nghiệp, hoặc
thực hiện các hành vi phá hoại để phá hủy tài sản hoặc làm hỏng hình ảnh của tổ chức
Câu 32: Kết nối các giải thích về tấn công mật khẩu:
Social Engineering → Kẻ tấn công đóng giả là chuyên gia CNTTT của một tổ chức cố gắng truy cập vào
hệ thống thông tin bằng cách liên hệ với nhân viên cấp thấp và đề nghị trợ giúp về các sự cố máy tính của
họ,
Bảng cầu vồng (Rainbow Tables) → Nếu kẻ tấn công có thể truy cập vào tệp mật khẩu được mã hóa, dù
chỉ bao gồm các giá trị hash, các giá trị này có thể tra cứu và định vị nhanh chóng dựa trên Bảng cầu
vồng,
Bẻ khóa (password cracking) → Cố gắng đoán hoặc tính toán ngược lại mật khẩu,
Tấn công từ điển (Dictionary Attacks) → Là một biến thể của brute force thu hẹp phạm vi bằng cách sử
dụng từ điển các mật khẩu phổ biến bao gồm thông tin liên quan đến người dùng mục tiêu,
Brute force → Là việc áp dụng tính toán và tài nguyên mạng để thử mọi kết hợp mật khẩu có thể có
Câu 33: Thủ tục kiểm soát nào ít hiệu quả nhất trong đối phó với nguy cơ "sai sót của con người"
a.Các hoạt động nâng cao nhận thức liên tục
b.Áp dụng các kỹ thuật hỗ trợ
c.Sao lưu dữ liệu dự phòng
d.Ban hành các chính sách hướng dẫn chi tiết về an toàn
Câu 34: Hãy kết nối các loại nguy cơ và ví dụ về cuộc tấn công tương ứng.
Xâm phạm tài sản trí tuệ → Ăn cắp bản quyền, vi phạm bản quyền
Gián điệp hoặc kẻ xâm nhập trái phép → Truy cập trái phép hoặc/ và thu thập dữ liệu trái phép
Sai lệch về chất lượng dịch vụ bởi NCC dịch vụ → Các vấn đề liên quan nhà cung cấp dịch vụ Internet
(ISP), năng lượng và dịch vụ mạng WAN
Lỗi con người / sai sót → Tai nạn, lỗi nhân viên
Lỗi phần cứng → Lỗi thiết bị
Phá hoại → Huỷ hoại hệ thống hoặc thông tin
Lỗi phần mềm → Bugs, các vấn đề về mã, lổ hỗng bảo mật chưa được xác định
Trộm → Chiếm đoạt bất hợp pháp thiết bị hoặc thông tin
Cưỡng đoạt thông tin → Tống tiền, tiết lộ thông tin
Tấn công có chủ đích bằng phần mềm → Viruses, worms, macros, từ chối dịch vụ
Công nghệ lạc hậu → Công nghệ lạc hậu
Những tác động từ thiên nhiên → Cháy nổ, lũ lụt, động đất, sấm sét
Câu 35:
Malware
Câu 1: Zero-day attack là gì
a.Bao gồm những tấn công sử dụng phần mềm như tấn công chuyển hướng và tấn công từ chối dịch vụ
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
b.Nếu hệ thống bị nhiễm có quyền ghi vào bất kỳ trang web nào, nó sẽ làm cho tất cả các tập nội dung
Web bị lây nhiễm, do đó người dùng duyệt các trang Web này sẽ bị nhiễm
c.Bằng cách gửi email bị nhiễm đến các địa chỉ có trong trong sổ địa chỉ, máy bị nhiễm sẽ làm các máy
khác bị nhiễm, những máy mà có chương trình đọc mail tự động hoạt động và tiếp tục lại nhiễm cho
nhiều hệ thống hơn
d.Cuộc tấn công sử dụng các malware mà các công ty phần mềm chống malware chưa biết về
malware
Câu 2: Trojan horses thường được ngụy trang dưới dạng ………….. (4 chữ) hoặc cần thiết, như tệp
readme.exe thường được bao gồm trong các gói phần mềm chia sẻ hoặc phần mềm miễn phí
Answer is: phần mềm hữu ích
Câu 3: Phần mềm gián điệp spyware bao gồm các dạng: Web bug, Adware và Bots
Đúng
Câu 4: Malware bao gồm các dạng viruses, sâu, Trojan horses, Back doors và các tập lệnh Web được kích
hoạt với mục đích phá hủy hoặc đánh cắp thông tin
Sai
Câu 5: Nguy cơ đa hình là gì (Polymorphic Threats)
a. Được sử dụng để quản lý từ xa các thiết bị mạng và máy tính
b.Là công nghệ thường được dùng để triển khai Trojan horse, logic bombs, back doors và phần mềm gián
điệp spyware
c.Là mã/ phần mềm độc hại, bao gồm những tấn công sử dụng phần mềm như tấn công chuyển hướng và
tấn công từ chối dịch vụ.
d.Là nguy cơ virus và sâu phát triển, thay đổi kích thước của nó và các đặc điểm bên ngoài của tập
tin để tránh bị phát hiện bởi các chương trình phần mềm chống virus
Câu 6: Hãy kết nối các thuật ngữ và khái niệm tương ứng.
Attack: Tấn công → Một hành động cố ý hoặc vô ý có thể làm hỏng hoặc làm tổn hại đến thông tin và hệ
thống hỗ trợ nó. Tấn công có thể là tấn công chủ động hoặc tấn công bị động; tấn công trực tiếp hoặc tấn
công gián tiếp,
Asset: Tài sản → Các nguồn lực của doanh nghiệp đang được bảo vệ. Tài sản có thể có hình thái vật chất
hay phi vật chất. Tài sản thông tin là trọng tâm của an toàn thông tin,
Access: Quyền truy cập → Khả năng sử dụng, thao tác, sửa đổi hoặc ảnh hưởng đến chủ thể, hoặc đối
tượng khác của chủ thể hoặc đối tượng,
Control, safeguard, or countermeasure: Kiểm soát, bảo vệ hoặc biện pháp đối phó → Các cơ chế, chính
sách hoặc quy trình bảo mật có thể chống lại các cuộc tấn công thành công, giảm thiểu rủi ro, giải quyết
các lỗ hổng và cải thiện tính bảo mật trong tổ chức,
Exploit: Khai thác → Một kỹ thuật được sử dụng để xâm phạm hệ thống.
Câu 7: Sâu đa hình (polymorphic worm)/ sâu đa phương thức (multivector worm) sử dụng …. (1 số)
phương thức tấn công để khai thác nhiều lỗ hổng trong các thiết bị hệ thống thông tin phổ biến
Answer is: 6
Câu 8 : Worms là virus có thể tự tái tạo cho đến khi chúng lấp đầy hoàn toàn các tài nguyên có sẵn, như
bộ nhớ, dung lượng ổ cứng và băng thông mạng
Đúng
Câu 9: 6 phương thức tấn công của virus và sâu (Attack Replication Vectors) không bao gồm
a.Malware
b.Virus
c.Quét và tấn công IP (IP scan and attack)
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
Protection profile or security posture: Hồ sơ bảo vệ hoặc thái độ bảo mật: → Toàn bộ tập hợp các biện
pháp kiểm soát và bảo vệ, bao gồm chính sách, giáo dục, đào tạo và nâng cao nhận thức và công nghệ, mà
tổ chức thực hiện để bảo vệ tài sản.,
Risk: Rủi ro → Sự kiện tiềm tàng không mong muốn có thể xảy ra gây thiệt hại cho doanh nghiệp,
Subjects and objects of attack → Chủ thể tấn công và đối tượng bị tấn công
Câu 20: Kết nối các đặc điểm của các phần mềm gián điệp spyware
Adware → Phần mềm độc hại với mục đích cung cấp tiếp thị và quảng cáo không mong muốn (bao gồm
cửa sổ bật lên và biểu ngữ trên màn hình của người dùng), được thiết kế để hoạt động ngoài tầm nhìn của
người dùng hoặc được kích hoạt bởi hành động dường như vô hại của,
Web bug → Một đồ họa nhỏ được tham chiếu trong HTML của trang web hoặc email để thu thập thông
tin về người dùng đang xem nội dung,
Cookie theo dõi → Được đặt trên máy tính của người dùng để theo dõi hoạt động của họ trên các trang
Web khác nhau và tạo hồ sơ chi tiết về hành vi của họ, sau đó những thông tin này có thể được sử dụng
trong một cuộc tấn công social engineering hoặc đánh cắp danh tính,
Bots → Là công nghệ thường được dùng để triển khai Trojan horse, logic bombs, back doors và
phần mềm gián điệp spyware
Câu 21: 6 phương thức tấn công của virus và sâu (Attack Replication Vectors) không bao gồm:
a.Zero-day attack
b.Giao thức quản lý mạng đơn giản (Simple Network Management Protocol SNMP)
c.Trình duyệt Web (Web browsing)
d.Mass mail
CHƯƠNG 6
CHƯƠNG 6 (KIM LONG)
Câu 1: Mục tiêu của kết thúc dự án là giải quyết mọi vấn đề đang ................ (3 từ), đánh giá nỗ lực tổng
thể của dự án và đưa ra kết luận về cách cải thiện quy trình cho tương lai.
The correct answer is: chờ xử lý
Câu 2: Mỗi đơn vị phải tìm ra lãnh đạo dự án phù hợp nhất với nhu cầu cụ thể của mình cũng như phù
hợp với đặc điểm của văn hóa đơn vị
Đáp án chính xác là "Đúng"
Câu 3: Kết nối các nội dung trong các nhiệm vụ chính của kế hoạch dự án
Phân công nhiệm vụ → nên mô tả các kỹ năng hoặc nhân sự - còn được gọi là nguồn lực, cần thiết để
hoàn thành nhiệm vụ,
Ước tính chi phí không được vốn hóa → một số khoản chi phí liên quan đến dự án có thể được xem là chi
phí phi vốn,
Ước tính chi phí được vốn hóa → là chi phí cho các dự án tạo ra doanh thu được kỳ vọng sẽ mang lại lợi
tức đầu tư,
Nỗ lực cần thiết → cần ước tính nỗ lực cần thiết để hoàn thành từng nhiệm vụ, nhiệm vụ chi tiết hoặc
bước hành động
Câu 4: Mô hình Bull’s-Eye
a.Ngày nay, hầu hết các nỗ lực an toàn thông tin đều tập trung vào lớp này, vì vậy cho đến gần đây an
toàn thông tin thường được coi là đồng nghĩa với an ninh mạng
b.Bởi vì chính sách thiết lập các quy tắc cơ bản cho việc sử dụng tất cả các hệ thống và mô tả những gì
phù hợp và không phù hợp, nó làm cho tất cả các thành phần an toàn thông tin khác hoạt động không theo
mong muốn
c.Lớp nhận được sự chú ý đầu tiên, xử lý các hệ thống phần mềm ứng dụng được tổ chức sử dụng để
hoàn thành công việc của mình
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
d. Nhiều đơn vị nhận thấy rằng các vấn đề về cấu hình và vận hành hệ thống thông tin theo cách an toàn
trở nên khó khăn hơn khi số lượng và độ phức tạp của các hệ thống này ngày càng tăng
Câu 6: Lớp ứng dụng trong mô hình Bull’s-Eye bao gồm các ứng dụng đóng gói như các chương trình e-
mail và tự động hóa văn phòng, các gói hoạch định nguồn lực doanh nghiệp (ERP), cũng như phần
mềm ................. (2 từ) tùy chỉnh do đơn vị phát triển cho các nhu cầu riêng
The correct answer is: ứng dụng
Câu 7: Thường có những ràng buộc đối với việc lựa chọn thiết bị và dịch vụ. Những ràng buộc này có thể
hạn chế những công nghệ nào có thể mua sắm.
Đáp án chính xác là "Đúng"
Câu 8 Vấn đề nào KHÔNG cần cân nhắc khi lập kế hoạch thực hiện an toàn thông tin
a.Vấn đề mua sắm
b.Vấn đề về sự ưu tiên
c.Vấn đề tính khả thi về mặt tổ chức
d.Vấn đề người không phải là nhân viên
Câu 9 Thuê ngoài dịch vụ an toàn thông tin
a.có thể chọn thuê ngoài các chức năng an toàn thông tin chuyên biệt hơn
b.không nên thuê tư vấn bên ngoài để kiểm tra thâm nhập và đánh giá chương trình an toàn thông tin
c.không nên thuê ngoài các chức năng giám sát mạng
d.Tất cả đều sai
Câu 10: Phát triển văn hóa hỗ trợ thay đổi
a.Tất cả đều đúng
b.Sự hỗ trợ yếu kém từ ban quản lý có thể dẫn đến sự thất bại gần như chắc chắn của dự án.
c.Sự hỗ trợ mạnh mẽ của ban quản lý đối với sự thay đổi cho phép đơn vị nhận ra sự cần thiết của sự thay
đổi và tầm quan trọng mang tính chiến lược của nó
d. Văn hóa thích nghi có thể được nuôi dưỡng hoặc bị phá hủy bởi cách tiếp cận của ban quản lý
Câu 12 Viễn cảnh về sự thay đổi, sự chuyển dịch từ quen thuộc sang không quen thuộc, có thể khiến nhân
viên ........ (2 từ) sự thay đổi, dù vô thức hoặc có ý thức.
The correct answer is: chống lại
Câu 13 Phát biểu KHÔNG đúng về lớp chính sách trong mô hình Bull’s-Eye
a.nó cho phép tất cả các thành phần an toàn thông tin khác hoạt động chính xác
b.có thể sử dụng chính sách để làm rõ những gì đơn vị đang cố gắng hoàn thành
c.bao gồm việc cung cấp xác thực và ủy quyền cần thiết khi cho phép người dùng kết nối qua mạng công
cộng với hệ thống của đơn vị
d.là nền tảng của tất cả các chương trình an toàn thông tin hiệu quả
Câu 14 Kết nối đặc điểm của các chiến lược chuyển đổi thực hiện thủ tục kiếm soát
Chuyển đổi thí điểm → giúp ngăn chặn những vấn đề với hệ thống mới ảnh hưởng đáng kể vào hoạt động
của đơn vị nói chung,
Chuyển đổi từng phần → Chỉ một phần của hệ thống được triển khai và phổ biến trong một đơn vị trước
khi phần tiếp theo được thực hiện nhằm giúp người dùng có cơ hội làm quen với nó và giải quyết các vấn
đề khi chúng phát sinh,
Chuyển đổi trực tiếp → Hạn chế chính của phương pháp này là nếu hệ thống mới bị lỗi hoặc cần sửa đổi,
người dùng có thể không có dịch vụ trong khi các lỗi của hệ thống được khắc phục,
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
Vận hành song song → có thể củng cố an toàn thông tin của đơn vị bằng cách cho phép hệ thống cũ phục
vụ như một hệ thống dự phòng nếu hệ thống mới bị lỗi hoặc bị xâm phạm
Câu 15: Cân nhắc về vấn đề tài chính trong lập kế hoạch thực hiện an toàn thông tin
a.Ngân sách cho an toàn thông tin có thể là một phần trong ngân sách cho CNTT nói chung; hoặc có thể
là một ngân sách riêng
b.Giới hạn phạm vi dự án trong một tập hợp các nhiệm vụ có thể quản lý được không có nghĩa là dự án
chỉ nên cho phép thay đổi một thành phần tại một thời điểm. Nhưng một kế hoạch tốt cần xem xét cẩn
thận số lượng nhiệm vụ được lên kế hoạch cho cùng một thời điểm trong một bộ phận
c.Việc thực hiện các biện pháp kiểm soát phụ thuộc vào mức độ ưu tiên của các mối đe dọa và giá trị của
tài sản thông tin bị đe dọa
d.Đơn vị nên tiến hành triển khai theo giai đoạn hoặc thí điểm, chẳng hạn như đào tạo triển khai cho từng
bộ phận tại một thời điểm
Mô hình Bull’s-Eye đòi hỏi các vấn đề phải được giải quyết từ tổng quát đến chi tiết và trọng tâm là các
giải pháp mang tính ....................... (2 từ) thay vì các vấn đề riêng lẻ.
The correct answer is: hệ thống
—--------------
Câu 1: Kết nối các nội dung trong các nhiệm vụ chính của kế hoạch dự án
Xác định sự phụ thuộc giữa các nhiệm vụ → nên lưu ý về sự phụ thuộc của các nhiệm vụ
hoặc các bước thực hiện khác nhau, bao gồm cả các nhiệm vụ trước và sau.,
Ngày bắt đầu và ngày kết thúc → Không nên xác định trước quá nhiều ngày cho quá nhiều nhiệm vụ,
Ước tính chi phí không được vốn hóa → một số khoản chi phí liên quan đến dự án có thể được xem là chi
phí phi vốn,
Công việc cần hoàn thành → cần dán nhãn và cung cấp mô tả kỹ lưỡng cho nhiệm vụ
Câu 2: Đối tượng nào nên là người quản lý dự án thực hiện an toàn thông tin?
a.Nhà cung cấp và khách hàng
b.Nhà quản trị
c.Người sử dụng hệ thống
d.Cộng đồng CNTT
Câu 4: Bảng phân chia công việc (Work Breakdown Structure - WBS)
a.Chia nhỏ kế hoạch dự án thành những nhiệm vụ chính (major tasks)
b.Nó được quản lý bằng cách sử dụng một quy trình được gọi là phân tích thiếu sót nhằm đảm bảo rằng
tiến độ được đo lường định kỳ
c.Xác định các vấn đề về mặt tài chính của khách hàng
d.Cần tiến hành phân tích thiết sót
Câu 5: Sau khi có sự đảm bảo rằng các chính sách được áp dụng, mạng an toàn và hệ thống an toàn, cần
chuyển sang đánh giá và khắc phục tính an toàn của các ứng dụng của đơn vị.
Đáp án chính xác là "Đúng"
Câu 6: Bốn lớp của mô hình Bull’s-Eye bao gồm
a.phần mềm, hệ thống mạng, hệ thống và ứng dụng
b.chính sách, con người, hệ thống và ứng dụng
c.chính sách, hệ thống mạng, phần cứng và ứng dụng
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
c.nên bổ sung thêm nguồn lực về thời gian làm việc và tài chính hoặc giảm chất lượng hoặc số lượng sản
phẩm hoàn thành
d.Tất cả đều đúng
Chọn phát biểu KHÔNG đúng về quản lý dự án thực hiện an toàn thông tin
a. yêu cầu người quản lý dự án được đào tạo
b. yêu cầu sự tham gia của tất cả người sử dụng thông tin
c. đòi hỏi một tập hợp các kỹ năng đặc biệt và sự hiểu biết thấu đáo về một khối kiến thức chuyên ngành
rộng lớn
d. nên tìm kiếm sự hỗ trợ của chuyên g
15. Một dự án thành công đòi hỏi một đơn vị phải có khả năng .................. (2 từ) với những thay đổi được
đề xuất.
thích ứng
Câu 1: Nếu nhiệm vụ mất quá nhiều thời gian để hoàn thành
a.nên bổ sung thêm nguồn lực về thời gian làm việc và tài chính hoặc giảm chất lượng hoặc số lượng sản
phẩm hoàn thành
b.phải bổ sung thêm nguồn lực về thời gian
c.phải mất nhiều thời gian hơn để hoàn thành nhiệm vụ
d.phải bổ sung thêm nguồn lực về tài chính
Câu 2: Giới hạn phạm vi dự án trong một tập hợp các nhiệm vụ có thể quản lý được không có nghĩa là
a.có thể xung đột với các biện pháp kiểm soát hiện có theo những cách có thể đoán trước
b.phải xem xét cẩn thận số lượng nhiệm vụ được lên kế hoạch cho những thời điểm khác nhau trong một
bộ phận
c.Tất cả đều đúng
d.dự án chỉ nên cho phép thay đổi một thành phần tại một thời điểm
Câu 3: Kết nối đặc điểm của các chiến lược chuyển đổi thực hiện thủ tục kiếm soát
Vận hành song song → liên quan đến việc vận hành hai hệ thống đồng thời,
Chuyển đổi từng phần → liên quan đến việc triển khai có đo lường của hệ thống đã lên kế hoạch,
Chuyển đổi trực tiếp → liên quan đến việc dừng phương pháp cũ và bắt đầu phương pháp mới,
Chuyển đổi thí điểm → Toàn bộ hệ thống an ninh được triển khai tại một văn phòng, phòng ban hoặc bộ
phận trước khi mở rộng ra các phần còn lại của đơn vị
Câu 4:Vấn đề nào KHÔNG cần cân nhắc khi lập kế hoạch thực hiện an toàn thông tin
a.Vấn đề mua sắm
b.Vấn đề về sự ưu tiên
c.Vấn đề người không phải là nhân viên
d.Vấn đề tính khả thi về mặt tổ chức
Câu 5: Cân nhắc về vấn đề tài chính trong lập kế hoạch thực hiện an toàn thông tin
a.Phân tích chi phí-lợi ích (CBA) cần được thực hiện, và phải được xem xét, xác nhận trước khi phát triển
kế hoạch dự án
b.Các ràng buộc về ngân sách có thể ảnh hưởng đến việc xác định các ưu tiên của dự án
c.Khung thời gian tối ưu cho việc huấn luyện thường là từ một đến ba tuần trước khi các chính sách và
công nghệ mới đi vào hoạt động
d.Nếu không có nhân viên nào được huấn luyện để cấu hình hệ thống, thì những nhân viên thích hợp phải
được huấn luyện hoặc thuê
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
7. Phát biểu KHÔNG đúng về lớp chính sách trong mô hình Bull’s-Eye
a.có thể sử dụng chính sách để làm rõ những gì đơn vị đang cố gắng hoàn thành
b.nó cho phép tất cả các thành phần an toàn thông tin khác hoạt động chính xác
c.bao gồm việc cung cấp xác thực và ủy quyền cần thiết khi cho phép người dùng kết nối qua mạng công
cộng với hệ thống của đơn vị
d.là nền tảng của tất cả các chương trình an toàn thông tin hiệu quả
8. Nguyên tắc lập bảng phân chia công việc (Work Breakdown Structure - WBS) là một nhiệm vụ hoặc
nhiệm vụ chi tiết trở thành một bước thực hiện khi nó có thể được ................... (2 từ) bởi một người hoặc
một bộ kỹ năng và có một kết quả riêng biệt
The correct answer is: hoàn thành
11. Điền vào chỗ trống:
Việc hệ thống thông tin bị tấn công cũng là một trong những cơ sở giúp người lập kế hoạch ước tính ngân
sách; đồng thời cũng ảnh hưởng ................. (2 từ) hỗ trợ ngân sách cho an toàn thông tin từ phía ban quản
lý
The correct answer is: khả năng
12. Sau khi có sự đảm bảo rằng các chính sách được áp dụng, mạng an toàn và hệ thống an toàn, cần
chuyển sang đánh giá và khắc phục tính an toàn của các ứng dụng của đơn vị.
Đúng
Các đơn vị phải xác định thống nhất phương pháp luận quản lý dự án CNTT và an toàn thông tin.
Sai
13. Các chú ý về thời gian và lịch trình trong lập kế hoạch thực hiện an toàn thông tin, KHÔNG bao gồm:
a.Thời gian cần thiết để tìm hiểu về thủ tục kiểm soát
b.Thời gian từ khi đặt hàng đến khi nhận được kiểm soát an ninh
c.Thời gian cần thiết để huấn luyện người dùng
d.Thời gian cần thiết để nhận ra lợi tức đầu tư của dự án
14. Thường có những ràng buộc đối với việc lựa chọn thiết bị và dịch vụ. Những ràng buộc này có thể
hạn chế những công nghệ nào có thể mua sắm.
Đúng
15. Bằng cách quản lý quá trình thay đổi, đơn vị có thể:
a.Tăng cường sự phối hợp giữa các nhóm trong đơn vị khi sự thay đổi được lên lịch trình và hoàn thành.
b.Cải thiện chất lượng dịch vụ khi các lỗi tiềm ẩn được loại bỏ và các nhóm làm việc cùng nhau
c.Tất cả đều đúng
d.Đảm bảo với ban giám đốc rằng tất cả các nhóm đều tuân thủ các chính sách của đơn vị về quản trị
công nghệ, mua sắm, kế toán và an toàn thông tin.
17.Vấn đề về huấn luyện và truyền đạt trong kế hoạch thực hiện an toàn thông tin
a.Các công nghệ mới đôi khi đòi hỏi các chính sách mới, đào tạo và huấn luyện nhân viên
b.Phạm vi dự án cần được xem xét cẩn thận. Trên cơ sở mục tiêu của dự án, phạm vi càng nhỏ càng tốt
c.Đơn vị nên tiến hành triển khai theo giai đoạn hoặc thí điểm, chẳng hạn như đào tạo triển khai cho từng
bộ phận tại một thời điểm
d.Quy mô của đơn vị và hoạt động kinh doanh bình thường không có thể ngăn cản một chương trình huấn
luyện lớn về các quy trình hoặc công nghệ an toàn mới
18. Các đại diện chính từ các nhóm người dùng sẽ là thành viên của quá trình phát triển dự án.
Đúng
19.Kế hoạch dự án (project plan)
a.Phải mô tả cách thức thu thập và thực hiện các điểm yếu tiềm ẩn
b.Được chuyển đổi từ kế hoạch chi tiết về an toàn thông tin
c.Không đòi hỏi quản lý dự án
d.Được hình thành dựa trên thông tin về các mục tiêu của khách hàng
20. Vấn đề nào KHÔNG cần cân nhắc khi lập kế hoạch thực hiện an toàn thông tin
a.Vấn đề về phạm vi
b.Vấn đề nhân sự
c.Vấn đề về thời gian và lịch trình
d.Vấn đề thị trường trao đổi thông tin
23. Kết nối các nội dung trong các nhiệm vụ chính của kế hoạch dự án
Xác định sự phụ thuộc giữa các nhiệm vụ → nên lưu ý về sự phụ thuộc của các nhiệm vụ
hoặc các bước thực hiện khác nhau, bao gồm cả các nhiệm vụ trước và sau.,
Ước tính chi phí không được vốn hóa → một số khoản chi phí liên quan đến dự án có thể được xem là chi
phí phi vốn,
Công việc cần hoàn thành → cần dán nhãn và cung cấp mô tả kỹ lưỡng cho nhiệm vụ,
Ngày bắt đầu và ngày kết thúc → Không nên xác định trước quá nhiều ngày cho quá nhiều nhiệm vụ
24. Thuê ngoài dịch vụ an toàn thông tin
a.không nên thuê tư vấn bên ngoài để kiểm tra thâm nhập và đánh giá chương trình an toàn thông tin
b.không nên thuê ngoài các chức năng giám sát mạng
c.có thể chọn thuê ngoài các chức năng an toàn thông tin chuyên biệt hơn
d.Tất cả đều sai
Việc lập kế hoạch cho giai đoạn thực hiện liên quan đến việc tạo ra một kế hoạch dự án chi tiết,
và ................. (2 từ) cho người quản lý dự án hoặc người điều hành dự án
The correct answer is: chuyển giao
29. Kết nối đặc điểm của các chiến lược chuyển đổi thực hiện thủ tục kiểm soát
Vận hành song song → có thể củng cố an toàn thông tin của đơn vị bằng cách cho phép hệ thống cũ phục
vụ như một hệ thống dự phòng nếu hệ thống mới bị lỗi hoặc bị xâm phạm,
Chuyển đổi trực tiếp → Hạn chế chính của phương pháp này là nếu hệ thống mới bị lỗi hoặc cần sửa đổi,
người dùng có thể không có dịch vụ trong khi các lỗi của hệ thống được khắc phục,
Chuyển đổi thí điểm → giúp ngăn chặn những vấn đề với hệ thống mới ảnh hưởng đáng kể vào hoạt động
của đơn vị nói chung,
Chuyển đổi từng phần → hỉ một phần của hệ thống được triển khai và phổ biến trong một đơn vị trước
khi phần tiếp theo được thực hiện nhằm giúp người dùng có cơ hội làm quen với nó và giải quyết các vấn
đề khi chúng phát sinh
Lahu
Câu 1: Vấn đề về sự ưu tiên trong lập kế hoạch thực hiện an toàn thông tin
a.Việc hệ thống thông tin bị tấn công cũng là một trong những cơ sở giúp người lập kế hoạch ước tính
ngân sách; đồng thời cũng ảnh hưởng khả năng hỗ trợ ngân sách cho an toàn thông tin từ phía ban quản lý
b.Khung thời gian tối ưu cho việc huấn luyện thường là từ một đến ba tuần trước khi các chính sách và
công nghệ mới đi vào hoạt động
c.Một thủ tục kiểm soát ít quan trọng hơn có thể được ưu tiên nếu nó giải quyết một nhóm điểm yếu tiềm
ẩn cụ thể và cải thiện tình trạng an toàn của đơn vị ở mức độ cao hơn so với các thủ tục kiểm soát có mức
độ ưu tiên cao
d.Thường có những ràng buộc đối với việc lựa chọn thiết bị và dịch vụ
Câu 2: Phát biểu KHÔNG đúng về lớp chính sách trong mô hình Bull’s-Eye
a.có thể sử dụng chính sách để làm rõ những gì đơn vị đang cố gắng hoàn thành
b.là nền tảng của tất cả các chương trình an toàn thông tin hiệu quả
c.nó cho phép tất cả các thành phần an toàn thông tin khác hoạt động chính xác
d.bao gồm việc cung cấp xác thực và ủy quyền cần thiết khi cho phép người dùng kết nối qua mạng công
cộng với hệ thống của đơn vị
Câu 3: Viễn cảnh về sự thay đổi, sự chuyển dịch từ quen thuộc sang không quen thuộc, có thể khiến nhân
viên ........ (2 từ) sự thay đổi, dù vô thức hoặc có ý thức.
Đáp án: Chống lại
Câu 4: Kết nối các nội dung trong các nhiệm vụ chính của kế hoạch dự án
Phân công nhiệm vụ: nên mô tả các kỹ năng hoặc nhân sự - còn được gọi là nguồn lực, cần thiết để hoàn
thành nhiệm vụ
Ước tính chi phí được vốn hóa: là chi phí cho các dự án tạo ra doanh thu được kỳ vọng sẽ mang lại lợi
tức đầu tư
Nỗ lực cần thiết: cần ước tính nỗ lực cần thiết để hoàn thành từng nhiệm vụ, nhiệm vụ chi tiết hoặc bước
hành động
Ước tính chi phí không được vốn hóa: một số khoản chi phí liên quan đến dự án có thể được xem là chi
phí vốn
Câu 5: Kết nối đặc điểm trong mô hình kiểm soát sự thay đổi của Lewin
Việc triển khai thực tế các phương pháp mới, sử dụng các chiến lược được nêu trước đó, đòi hỏi đơn vị
phải nhận ra sự chấm dứt của các cách làm việc cũ và củng cố nhu cầu sử dụng các phương pháp mới →
Thay đổi sang trạng thái mới,
Việc tích hợp các phương pháp mới vào văn hóa tổ chức được thực hiện bằng cách tạo ra một bầu không
khí trong đó những thay đổi được chấp nhận như là cách ưu tiên để hoàn thành các nhiệm vụ cần thiết →
Thiết lập thói quen mới,
Chuẩn bị cho những thay đổi sắp tới nhằm tạo điều kiện thuận lợi cho việc thực hiện các quy trình, hệ
thống và thủ tục mới → Phá vỡ thói quen hiện tại
Câu 8:Vấn đề về huấn luyện và truyền đạt trong kế hoạch thực hiện an toàn thông tin
a.Đơn vị nên tiến hành triển khai theo giai đoạn hoặc thí điểm, chẳng hạn như đào tạo triển khai cho từng
bộ phận tại một thời điểm
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
b.Các công nghệ mới đôi khi đòi hỏi các chính sách mới, đào tạo và huấn luyện nhân viên
c.Phạm vi dự án cần được xem xét cẩn thận. Trên cơ sở mục tiêu của dự án, phạm vi càng nhỏ càng tốt
d.Quy mô của đơn vị và hoạt động kinh doanh bình thường không có thể ngăn cản một chương trình huấn
luyện lớn về các quy trình hoặc công nghệ an toàn mới
Câu 9: Kết nối đặc điểm của các chiến lược chuyển đổi thực hiện thủ tục kiểm soát
Chuyển đổi từng phần → chỉ một phần của hệ thống được triển khai và phổ biến trong một đơn vị trước
khi phần tiếp theo được thực hiện nhằm giúp người dùng có cơ hội làm quen với nó và giải quyết các vấn
đề khi chúng phát sinh,
Vận hành song song → có thể củng cố an toàn thông tin của đơn vị bằng cách cho phép hệ thống cũ phục
vụ như một hệ thống dự phòng nếu hệ thống mới bị lỗi hoặc bị xâm phạm,
Chuyển đổi trực tiếp → Hạn chế chính của phương pháp này là nếu hệ thống mới bị lỗi hoặc cần sửa đổi,
người dùng có thể không có dịch vụ trong khi các lỗi của hệ thống được khắc phục,
Chuyển đổi thí điểm → giúp ngăn chặn những vấn đề với hệ thống mới ảnh hưởng đáng kể vào hoạt động
của đơn vị nói chung
Câu 10: Bằng cách quản lý quá trình thay đổi, đơn vị có thể:
a.Đảm bảo với ban giám đốc rằng tất cả các nhóm đều tuân thủ các chính sách của đơn vị về quản trị công
nghệ, mua sắm, kế toán và an toàn thông tin.
b.Cải thiện chất lượng dịch vụ khi các lỗi tiềm ẩn được loại bỏ và các nhóm làm việc cùng nhau
c.Tăng cường sự phối hợp giữa các nhóm trong đơn vị khi sự thay đổi được lên lịch trình và hoàn thành.
d.Tất cả đều đúng
Câu 1: Kết quả phân tích thiếu sót cho thấy cần thực hiện các hành động khắc phục khi:
a.Thành quả thấp hơn đối thủ cạnh tranh
b.Nhân viên không ủng hộ
c.Tất cả đều đúng
d.Có sai sót trong ước tính
Câu 2: Vấn đề nào KHÔNG phải là một dự án an toàn thông tin phải giải quyết
a.Những cân nhắc về quản lý, kỹ thuật, và ngân sách
b.Sự phát triển trong tương lai của doanh nghiệp
c.Quản lý dự án
d.Sự chống đối của đơn vị đối với những thay đổi
Câu 3: Chiến lược giảm sự chống đối ngay từ đầu
a.Tất cả đều đúng
b.phải thông báo cho nhân viên về dự án sau khi dự án hoàn thành
c.là cải thiện sự tương tác giữa các thành viên bị ảnh hưởng của đơn vị và những người lập kế
hoạch dự án trong giai đoạn đầu của một dự án cải thiện an toàn thông tin
d.có thể được cải thiện thông qua một quy trình ba bước trong đó các nhà quản lý dự án giao tiếp, huấn
luyện và kỷ luật
Câu 5: Khi một dự án liên quan đến sự thay đổi trong chính sách, cần thông báo cho người giám sát về
chính sách mới và giao cho họ nhiệm vụ ........................ (2 từ) người dùng cuối trong các cuộc họp được
lên lịch thường xuyên.
Đáp án: cập nhật
Câu 6: Mô hình Bull’s-Eye
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
a.Nhiều đơn vị nhận thấy rằng các vấn đề về cấu hình và vận hành hệ thống thông tin theo cách an
toàn trở nên khó khăn hơn khi số lượng và độ phức tạp của các hệ thống này ngày càng tăng
b.Bởi vì chính sách thiết lập các quy tắc cơ bản cho việc sử dụng tất cả các hệ thống và mô tả những gì
phù hợp và không phù hợp, nó làm cho tất cả các thành phần an toàn thông tin khác hoạt động không theo
mong muốn
c.Lớp nhận được sự chú ý đầu tiên, xử lý các hệ thống phần mềm ứng dụng được tổ chức sử dụng để
hoàn thành công việc của mình
d.Ngày nay, hầu hết các nỗ lực an toàn thông tin đều tập trung vào lớp này, vì vậy cho đến gần đây an
toàn thông tin thường được coi là đồng nghĩa với an ninh mạng
Câu 8: Quản trị công nghệ
a.hướng dẫn cách thức các bản cập nhật kỹ thuật được phê duyệt và cấp vốn
b.tạo điều kiện cho việc trao đổi thông tin về các tiến bộ kỹ thuật và các vấn đề trong toàn đơn vị
c.hướng dẫn tần suất cập nhật các hệ thống kỹ thuật
d.Tất cả đều đúng
Câu 10: Điền vào chỗ trống:
Mục tiêu của kết thúc dự án là giải quyết mọi vấn đề đang ................ (3 từ), đánh giá nỗ lực tổng thể của
dự án và đưa ra kết luận về cách cải thiện quy trình cho tương lai.
Đáp án: Chờ xử lý
Câu 11: Lớp hệ thống trong mô hình Bull’s-Eye bao gồm các máy tính được sử dụng làm máy chủ, máy
tính để bàn và các hệ thống được sử dụng cho ............... (2 từ) quy trình và hệ thống sản xuất
Đáp án: kiểm soát
Câu 12: Các bước chính trong việc thực hiện kế hoạch dự án:
Kết thúc dự án
Lập kế hoạch dự án
Câu 13: Kết nối các nội dung trong các nhiệm vụ chính của kế hoạch dự án
Công việc cần hoàn thành → cần dán nhãn và cung cấp mô tả kỹ lưỡng cho nhiệm vụ,
Ngày bắt đầu và ngày kết thúc → Không nên xác định trước quá nhiều ngày cho quá nhiều nhiệm vụ,
Xác định sự phụ thuộc giữa các nhiệm vụ → nên lưu ý về sự phụ thuộc của các nhiệm vụ
hoặc các bước thực hiện khác nhau, bao gồm cả các nhiệm vụ trước và sau.,
Ước tính chi phí không được vốn hóa → một số khoản chi phí liên quan đến dự án có thể được xem là chi
phí phi vốn
Câu 14: Việc xác định mối liên hệ giữa những người thực hiện CNTT và an toàn thông tin với các cá
nhân còn lại trong đơn vị có thể phục vụ tốt cho nhóm dự án trong giai đoạn ................ (3 từ) ban đầu, khi
cần giải quyết các vấn đề không lường trước trong việc chấp nhận dự án.
Đáp án: lập kế hoạch
Câu 15: Sau khi có sự đảm bảo rằng các chính sách được áp dụng, mạng an toàn và hệ thống an toàn, cần
chuyển sang đánh giá và khắc phục tính an toàn của các ứng dụng của đơn vị.
Hãy chọn một:
Đúng
Kế hoạch dự án (project plan)
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
a. Phải mô tả cách thức thu thập và thực hiện các điểm yếu tiềm ẩn
b. Được hình thành dựa trên thông tin về các mục tiêu của khách hàng
c. Được chuyển đổi từ kế hoạch chi tiết về an toàn thông tin
d. Không đòi hỏi quản lý dự án
Kết nối các minh họa về việc thực hiện an toàn thông tin
Phần mềm → mã hóa,
Thủ tục → chính sách,
Dữ liệu → phân loại,
Phần cứng → tường lửa,
Con người → đào tạo
Những ràng buộc mua sắm được thiết kế nhằm kiểm soát doanh thu tạo ra từ thủ tục kiểm soát
Sai
Trong môi trường máy tính ngày nay, việc triển khai an toàn thông tin phức tạp hơn vì cơ sở hạ tầng
mạng thường tiếp xúc với các mối đe dọa từ mạng công cộng
ĐÚNG
Kế hoạch dự án hướng dẫn những người tham gia trong giai đoạn thực hiện. Các hướng dẫn này tập trung
vào các thay đổi kiểm soát an toàn cần thiết để ................ (2 từ) tính an toàn của phần cứng, phần mềm,
quy trình, dữ liệu, và con người
-> cải thiện
Kế hoạch dự án có thể được phát triển theo nhiều cách
ĐÚNG
CHƯƠNG 3
KIM LONG
Câu 1: Sự kiện nào sau đây KHÔNG là các dấu hiệu dự báo sự cố (incident indicators) có thể xảy ra
c.Thông báo từ IDPS (intrusion detection and prevention systems - hệ thống ngăn chặn và phát hiện xâm
nhập)
Câu 2
Nhóm quản lý kế hoạch dự phòng (CPMT) chịu trách nhiệm đạt được cam kết và hỗ trợ từ quản lý cấp
cao, viết tài liệu kế hoạch dự phòng, thực hiện .... (1 từ, viết tắt) và quản lý các nhóm cấp dưới
The correct answer is: BIA
Sau khi đã phát triển tiêu chuẩn và thực hành triển khai an toàn thông tin, tổ chức bắt đầu phát triển
bảng ............ (2 từ) chi tiết về an toàn thông tin
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
Câu 4: Kết nối các quy tắc của kế hoạch phục hồi sau thảm họa (DR)
Vai trò và trách nhiệm của từng thành viên nhóm ứng phó DR → Phải được phân định rõ ràng (phối hợp
với chính quyền địa phương, sơ tán nhân viên, đóng gói,…),
Cần có người được phân công tài liệu hóa thảm họa → Cần tiến hành ghi lại những gì đã xảy ra để làm cơ
sở cho việc xác định lý do và cách thức thảm họa xảy ra cho các thủ tục pháp lý (nếu có) sau này,
Cần có người được phân công khởi tạo danh sách cảnh báo và thông báo → Cho các nhân viên chủ chốt,
các cơ quan cứu hỏa/cảnh sát/y tế /bảo hiểm/Hội Chữ thập đỏ, …
Câu 5: Các chính sách về an toàn thông tin trong đơn vị cần:
b.Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
d.Mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin này sẽ được đặt trong các tiêu
chuẩn, thủ tục và thực hành trong tài liệu hướng dẫn sử dụng và hệ thống của người dùng)
b.Giúp khôi phục tổ chức về chế độ hoạt động kinh doanh bình thường sau một sự cố
Câu 1
Chọn phát biểu đúng về bảng thiết kế chi tiết về an toàn toàn thông tin (The Information Security
Blueprint)
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
a.Nhóm an toàn không nên sửa đổi hoặc điều chỉnh mô hình cho phù hợp với đặc thù của tổ chức trước
khi áp dụng
b.Được xây dựng dựa trên các kỳ vọng an toàn thông tin của tổ chức
c.Nhóm an toàn phát triển một bảng thiết kế chi tiết với thiết kế được sử dụng để triển khai chương trình
an toàn và được trang bị ý tưởng chung về các thủ tục kiểm soát trong hệ thống CNTT của tổ chức
d.Nên điều chỉnh hoặc áp dụng một mô hình an toàn thông tin được công nhận rộng rãi bởi một tổ
chức hoặc cơ quan an toàn đã thành lập để lập bảng thiết kế chi tiết về an toàn thông tin
Bảng thiết kế chi tiết về an toàn thông tin (The Information Security Blueprint) là bản triển khai chi tiết từ
khuôn mẫu an toàn thông tin, chỉ định các ................. (2 từ) và thứ tự hoàn thành
Câu 3: Mục tiêu của chương trình giáo dục, huấn luyện và nhận thức về an toàn (SETA)
b.Thay thế cho các chương trình giáo dục và huấn luyện chung
c.Chống lại mối đe dọa liên quan đến lỗi của nhân viên
d.Là một biện pháp kiểm soát được thiết kế để xóa bỏ các sự cố do nhân viên vô tình vi phạm an ninh.
Câu 4
Chính sách an toàn thông tin doanh nghiệp → Tổng quan triết lý của tổ chức về an toàn,
Chính sách an toàn dành riêng cho hệ thống → Có thể bao gồm một tuyên bố về ý định của người quản lý
a.Được tạo ra cho các nhà quản lý và nhân viên sử dụng để đơn vị thực hiện nhiệm vụ tác nghiệp hàng
ngày
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
b.Gom chung các mục tiêu chiến lược thành các mục tiêu liên tục
c.Tập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1 hoặc 2 năm
•ập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1 hoặc 2 năm
•ập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1 hoặc 2 năm
•ập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1 hoặc 2 năm
d.Bao gồm các nhiệm vụ cần thiết cho tất cả các bộ phận liên quan
a.Hệ thống ngăn chặn và phát hiện xâm nhập (dựa trên máy chủ và mạng)
Câu 1: Các nhà lập kế hoạch nên xác định điểm tối ưu cho việc khôi phục hệ thống thông tin để đáp ứng
nhu cầu khôi phục do BIA yêu cầu đồng thời ............... (2 từ) giữa chi phí tổn thất do hệ thống không hoạt
động với chi phí tài nguyên cần thiết để khôi phục hệ thống
Câu 2
Kết nối các chính sách an toàn, theo Special Publication (SP) 800-14 của Viện Tiêu chuẩn và Công nghệ
Quốc gia (NIST):
Chính sách an toàn đặc thù → đề cập đến quan điểm của tổ chức về các lĩnh vực công nghệ, được cập
nhật thường xuyên về các nội dung như E-mail, sử dụng Internet và World Wide Web,
Chính sách an toàn thông tin doanh nghiệp → xác định mục đích, phạm vi, các ràng buộc và khả năng áp
dụng của chương trình an ninh
a.Áp dụng các nguyên tắc quản trị công ty vào chức năng bảo mật thông tin
b.Cung cấp thông tin và tài nguyên thông tin một cách hữu hiệu và hiệu quả
c.Kiểm soát hoặc quản lý các quá trình được sử dụng bởi một nhóm người để hoàn thành một số mục tiêu
d.Bảo vệ tất cả các tài sản thông tin
Câu 4: Mục tiêu của kế hoạch DR (phục hồi sau thảm họa)
Từ chiến lược tổng quát (general strategy), đơn vị tiến hành lập kế hoạch chiến lược (strategic planning):
Đề ra phương hướng ....... (2 từ) mà đơn vị và từng bộ phận cần thực hiện, tập trung nguồn lực hướng đến
các mục tiêu (goals)
Câu 6: Không phải mọi doanh nghiệp đều cần một kế hoạch đảm bảo hoạt động liên tục trong kinh doanh
Câu 1: Đâu KHÔNG phải là thẩm quyền của nhóm ứng phó sự cố
a. Chuyển giao và leo thang trong quá trình quản lý sự cố
b. Tịch thu hoặc ngắt kết nối thiết bị và giám sát hoạt động đáng ngờ
c. Yêu cầu và hướng dẫn về giao tiếp bên ngoài và chia sẻ thông tin
d. Yêu cầu báo cáo một số thảm họa diễn ra tại quốc gia khác
Câu 2:
Mô phỏng (Simulation) → Mỗi người liên quan làm việc riêng lẻ (không thảo luận nhóm), mô phỏng việc
thực hiện từng nhiệm vụ cần thiết để phản ứng và phục hồi sau một sự cố mô phỏng,
Gián đoạn hoàn toàn (Full interruption) → Phản ứng với một sự cố giả lập như thể nó là thật,
Structured walk-through → Mỗi người liên quan thực hành các bước mà họ sẽ thực hiện trong một sự
kiện thực tế -> Thảo luận nhóm về các hành động cần thiết tại từng địa điểm và thời điểm, về cách họ sẽ
hành động khi sự cố diễn
ra,
Rà soát danh sách (Checklist) → Các bản sao của kế hoạch IR được phân phát cho từng người có vai trò
trong một sự cố thực tế -> Mỗi người xem xét kế hoạch và xác định các thành phần chưa chính xác để
điều chỉnh, sửa chữa
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
Lahu
Câu 1: Sự kiện nào sau đây KHÔNG là các dấu hiệu dự báo sự cố (incident indicators) có thể xảy ra
a.Sự hiện diện của các tài khoản mới
b.Thông báo từ IDPS (intrusion detection and prevention systems - hệ thống ngăn chặn và phát hiện xâm
nhập)
c.Hoạt động vào những thời điểm không mong muốn
d.Thông báo của đối tác hoặc đồng nghiệp
Câu 2: Bảng phân cấp trong kế hoạch phản ứng sự cố hoạt động nhanh hơn, với nhiều người được gọi
cùng lúc hơn, nhưng thông điệp có thể bị bóp méo khi nó được truyền từ người này sang người khác
Câu 3: Nếu bất kỳ chính sách, tiêu chuẩn hoặc thực hành triển khai nào ............. (1 từ) được hoàn thiện,
cần xác định xem có nên tiếp tục phát triển bảng thiết kế chi tiết về an toàn thông tin hay không
Chưa
Câu 4: Sự kiện nào sau đây KHÔNG là những dấu hiệu xác định về sự cố (các hoạt động báo hiệu rõ ràng
một sự cố đang diễn ra hoặc đã xảy ra)
a.Sự hiện diện của các công cụ hacker
b.Sự hiện diện của các tài khoản mới
c.Sử dụng tài khoản không hoạt động
d.Thay đổi nhật ký hệ thống
Câu 4: Đâu KHÔNG phải là thẩm quyền của nhóm ứng phó sự cố
a.Tịch thu hoặc ngắt kết nối thiết bị và giám sát hoạt động đáng ngờ
b.Chuyển giao và leo thang trong quá trình quản lý sự cố
c.Yêu cầu báo cáo một số thảm họa diễn ra tại quốc gia khác
d.Yêu cầu và hướng dẫn về giao tiếp bên ngoài và chia sẻ thông tin
Câu 5: Điền vào chỗ trống:
Các nhà lập kế hoạch nên xác định điểm tối ưu cho việc khôi phục hệ thống thông tin để đáp ứng nhu
cầu khôi phục do BIA yêu cầu đồng thời ............... (2 từ) giữa chi phí tổn thất do hệ thống không hoạt
động với chi phí tài nguyên cần thiết để khôi phục hệ thống
Đáp án: cân bằng
Câu 6: Mục tiêu của chương trình giáo dục, huấn luyện và nhận thức về an toàn (SETA)
a.Là một biện pháp kiểm soát được thiết kế để xóa bỏ các sự cố do nhân viên vô tình vi phạm an ninh.
b.Thay thế cho các chương trình giáo dục và huấn luyện chung
c.Tất cả đều đúng
d.Chống lại mối đe dọa liên quan đến lỗi của nhân viên
Câu 1: Cơ chế có thể phát hiện sự cố
a.Thông báo của hacker
b.Hệ thống ngăn chặn và phát hiện xâm nhập (dựa trên máy chủ và mạng)
c.Mất tính khả dụng
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
a.Làm cho mọi thứ trở nên toàn vẹn hoặc như trước khi thảm họa xảy ra
b.Là quá trình chuẩn bị cho một tổ chức xử lý sự cố và phục hồi sau sự cố
c.Là thiết lập lại hoạt động tại vị trí mới
d.Tất cả đều sai
Câu 2:Bảng phân cấp trong kế hoạch phản ứng sự cố hoạt động nhanh hơn, với nhiều người được gọi
cùng lúc hơn, nhưng thông điệp có thể bị bóp méo khi nó được truyền từ người này sang người khác
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
a.Cung cấp thông tin và tài nguyên thông tin một cách hữu hiệu và hiệu quả
c.Áp dụng các nguyên tắc quản trị công ty vào chức năng bảo mật thông tin
d.Kiểm soát hoặc quản lý các quá trình được sử dụng bởi một nhóm người để hoàn thành một số mục tiêu
Câu 4: Các chính sách về an toàn thông tin trong đơn vị cần:
a.Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
d.Mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin này sẽ được đặt trong các tiêu
chuẩn, thủ tục và thực hành trong tài liệu hướng dẫn sử dụng và hệ thống của người dùng)
Bảng thiết kế chi tiết về an toàn thông tin (The Information Security Blueprint) là bản triển khai chi tiết từ
khuôn mẫu an toàn thông tin, chỉ định các ................. (2 từ) và thứ tự hoàn thành
Câu 6: Kết nối các chính sách an toàn, theo Special Publication (SP) 800-14 của Viện Tiêu chuẩn và Công
nghệ Quốc gia (NIST):
Chính sách an toàn thông tin doanh nghiệp → Tổng quan triết lý của tổ chức về an toàn,
Chính sách an toàn đặc thù → Đề cập đến quan điểm của tổ chức về các lĩnh vực công nghệ, được cập
nhật thường xuyên về các nội dung như sử dụng các thiết bị máy tính của tổ chức tại nhà,
Chính sách an toàn dành riêng cho hệ thống → Có thể bao gồm một tuyên bố về ý định của người quản lý
Câu 7: Hãy kết nối các yêu cầu về chính sách an toàn thông tin.
Truyền đạt - Dissemination (distribution) → Chính sách đã được công bố cần có tính sẵn sàng cho nhân
viên tìm hiểu, xem xét, các kênh truyền thông phổ biến bao gồm in ra bản cứng và truyền thông bản điện
tử
Tuân thủ - Compliance (agreement): → Nhân viên đồng ý tuân thủ chính sách thông qua hành động hoặc
khẳng định cam kết.
Dễ sử dụng - Review (reading): → Tài liệu phổ biến chính sách ở dạng dễ sử dụng, bao gồm các phiên
bản dành cho nhân viên khiếm thị, không thể đọc tiếng Anh. Các kỹ thuật phổ biến là trình bày chính sách
bằng tiếng Anh và các ngôn ngữ khác.
Thực thi thống nhất - Uniform enforcement (fairness in application) → Chính sách được thực thi một
cách thống nhất, bất kể tình trạng hoặc nhiệm vụ của nhân viên
Dễ hiểu - Comprehension (understanding): → Nhân viên có thể hiểu rõ các yêu cầu và nội dung của
chính sách. Các kỹ thuật phổ biến bao gồm các bài kiểm tra trắc nghiệm nhanh và các dạng thức đánh giá
khác
Câu 8: Hãy sắp xếp thứ tự của tiến trình lập kế hoạch dự phòng (CP)
Tiến hành thực hiện phân tích tác động kinh doanh (business impact analysis-BIA):
BIA giúp xác định và ưu tiên các hệ thống thông tin và các thành phần quan trọng để hỗ trợ sứ mệnh / quy
trình kinh doanh của tổ chức.
-> 2
Hãy điền vào chỗ trống các nội dung của chính sách kế hoạch dự phòng (CP Policy):
Giới thiệu về quan điểm ..................... (2 từ) của nhà quản trị cấp cao, giải thích tầm quan trọng của việc
lập kế hoạch dự phòng đối với các hoạt động chiến lược, dài hạn của tổ chức
The correct answer is: triết lý
Kết nối vai trò của các đối tượng trong CPMT - nhóm quản lý kế hoạch dự phòng (contingency planning
management team)
Đứng đầu CPMT → COO
Trưởng nhóm IR → CISO
Trưởng nhóm DR → Quản lý hoạt động kinh doanh
Trưởng nhóm CPMT/giám đốc DA → Phó COO
Trưởng nhóm quản lý thảm họa → Cố vấn pháp lý
Trưởng nhóm BC → Giám đốc tiếp thị và dịch vụ
Hãy điền vào chỗ trống các nội dung của chính sách kế hoạch dự phòng (CP Policy): Đặc tả về
các ............ (3 từ) của CP sẽ được CPMT thiết kế
The correct answer is: thành phần chính
Hãy điền vào chỗ trống các nội dung của chính sách kế hoạch dự phòng (CP Policy): Yêu cầu CPMT
đánh giá rủi ro định kỳ và phân tích .......... (2 từ) kinh doanh để xác định và ưu tiên các chức năng kinh
doanh quan trọng
The correct answer is: tác động
Hãy điền vào chỗ trống nội dung của chính sách kế hoạch dự phòng (PC policy)
Xác định các quy định và ...... (2 từ) chính ảnh hưởng đến việc lập kế hoạch CP và trình bày tổng quan về
mức độ phù hợp của chúng
The correct answer is: tiêu chuẩn
Hãy điền vào chỗ trống nội dung của chính sách kế hoạch dự phòng (PC policy)
Xác định .......... (3 từ) của từng thành viên trong quy trình CP tổng thể
The correct answer is: tầm quan trọng
Hãy điền vào chỗ trống các nội dung của chính sách kế hoạch dự phòng (CP Policy): Kêu gọi và hướng
dẫn lựa chọn các phương án .......... (2 từ) và chiến lược bền vững
The correct answer is: khôi phục
Hãy điền vào chỗ trống nội dung của chính sách kế hoạch dự phòng (PC policy)
Xác định những ..... (3 từ) chịu trách nhiệm về hoạt động CP.
The correct answer is: người chủ chốt
Hãy điền vào chỗ trống các nội dung của chính sách kế hoạch dự phòng (CP Policy):
Trình bày phạm vi và ............... (2 từ) của các hoạt động CP (yêu cầu bao gồm tất cả các chức năng và
hoạt động kinh doanh quan trọng)
The correct answer is: mục đích
Các biện pháp bảo vệ này bao gồm quản trị và quản lý rủi ro là các biện pháp kiểm soát quản lý
Đúng
Các biện pháp kiểm soát quản lý là các biện pháp bảo vệ an toàn thông tin tập trung vào việc lập kế hoạch
hành chính, tổ chức, lãnh đạo và kiểm soát
Đúng
Các biện pháp bảo vệ này bao gồm tường lửa, mạng riêng ảo và IDPSs thuộc nhóm các biện pháp kiểm
soát quản lý
Sai
Các biện pháp bảo vệ này bao gồm lập kế hoạch phục hồi sau thảm họa và ứng phó sự cố là các biện pháp
kiểm soát quản lý.
Sai
Các biện pháp kiểm soát hoạt động được thiết kế bởi các nhà hoạch định chiến lược và được thực hiện bởi
tổ chức quản lý an toàn của đơn vị.
Sai
Các biện pháp kiểm soát kỹ thuật là các biện pháp bảo vệ an toàn thông tin tập trung vào việc áp dụng các
công nghệ, hệ thống và quy trình hiện đại để bảo vệ tài sản thông tin.
Đúng
Các biện pháp kiểm soát kỹ thuật là các biện pháp bảo vệ an toàn thông tin tập trung vào việc lập kế
hoạch cấp thấp hơn, nhằm giải quyết chức năng an toàn của đơn vị
Sai
Bảng phân cấp trong kế hoạch phản ứng sự cố chính xác hơn vì người liên hệ cung cấp cho mỗi người
cùng một thông báo cảnh báo, nhưng mất nhiều thời gian hơn
Sai
Theo mô hình an toàn NIST SP 800-14, các nguyên tắc thực hành về an toàn bao gồm:
a. An toàn không bị hạn chế bởi các yếu tố xã hội
b. An toàn là một yếu tố có thể bỏ qua của quản lý hữu hiệu
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
c. An toàn yêu cầu một phương pháp toàn diện và tích hợp
d. An toàn không cần hiệu quả về mặt chi phí, quan trọng là giảm thiểu được rủi ro
Kết nối định nghĩa của các khái niệm sau trong chiến lược dự phòng dữ liệu và site
Phục hồi sau thảm họa dưới dạng dịch vụ (Disaster Recovery as a Service - DRaaS) → liên quan đến việc
sử dụng các dịch vụ điện toán đám mây như một phần của thỏa thuận dịch vụ với bên thứ ba
Thỏa thuận tương trợ (Mutual Agreements) → quy định rằng các tổ chức tham gia mà không bị ảnh
hưởng bởi thảm họa có nghĩa vụ cung cấp các phương tiện, nguồn lực và dịch vụ cần thiết cho đến khi tổ
chức tiếp nhận có thể phục hồi sau thảm họa
Chia sẻ thời gian (Time-shares) → cho phép tổ chức duy trì tùy chọn phục hồi sau thảm họa và tính liên
tục trong kinh doanh bằng cách chia sẻ chi phí của hot site/warm site/cold site với một hoặc nhiều đối tác
Văn phòng dịch vụ (Service Bureaus) → Các hợp đồng có thể được tạo ra một cách cẩn thận với các văn
phòng dịch vụ để chỉ định chính xác những gì tổ chức cần mà không cần phải đặt trước các phương tiện
chuyên dụng
Thuộc tính của mục tiêu chiến thuộc KHÔNG bao gồm:
a. Có thể thành công tốt
b. Có mục tiêu cụ thể
c. Có giới hạn thời hạn
d. Có thể đo lường được
Kết nối các hoạt động trong tiến trình lập kế hoạch dự phòng
Đảm bảo duy trì kế hoạch → Kế hoạch phải là một tài liệu cần được cập nhật thường xuyên theo các cải
tiến hệ thống và thay đổi của đơn vị
Tạo chiến lược dự phòng → Các chiến lược khôi phục kỹ lưỡng đảm bảo rằng hệ thống có thể được phục
hồi nhanh chóng và hiệu quả sau sự cố
Xây dựng CP → CP cần có hướng dẫn chi tiết và các thủ tục để phục hồi các cơ sở đơn vị bị sự cố
Đảm bảo kế hoạch kiểm tra, huấn luyện và luyện tập → Kiểm tra xác nhận khả năng phục hồi, huấn luyện
nhân sự chuẩn bị cho kế hoạch phục hồi để kích hoạt kế hoạch và thực hiện kế hoạch, xác định các lỗ
hổng trong kế hoạch
Tổ chức phải đánh giá toàn bộ mức độ .............. (2 từ) để xác định cách khôi phục hệ thống về trạng thái
hoạt động đầy đủ
The correct answer is: thiệt hại
Kết nối các hoạt động trong tiến trình lập kế hoạch dự phòng
Phát triển tuyên bố chính sách CP → Một chính sách chính thức cung cấp thẩm quyền và hướng dẫn cần
thiết để phát triển một kế hoạch dự phòng hiệu quả
Tiến hành thực hiện phân tích tác động kinh doanh (business impact analysis-BIA) → Giúp xác định và
ưu tiên các hệ thống thông tin và các thành phần quan trọng để hỗ trợ sứ mệnh / quy trình kinh doanh của
tổ chức
Tạo chiến lược dự phòng → Các chiến lược khôi phục kỹ lưỡng đảm bảo rằng hệ thống có thể được phục
hồi nhanh chóng và hiệu quả sau sự cố
Xác định các biện pháp kiểm soát phòng ngừa → Các biện pháp được thực hiện để giảm ảnh hưởng của
sự gián đoạn hệ thống
Kết nối các chính sách an toàn, theo Special Publication (SP) 800-14 của Viện Tiêu chuẩn và Công nghệ
Quốc gia (NIST):
Chính sách an toàn dành riêng cho hệ thống → Có thể bao gồm một tuyên bố về ý định của người quản lý
Chính sách an toàn đặc thù → Đề cập đến quan điểm của tổ chức về các lĩnh vực công nghệ, được cập
nhật thường xuyên về các nội dung như sử dụng các thiết bị máy tính của tổ chức tại nhà
Chính sách an toàn thông tin doanh nghiệp → Tổng quan triết lý của tổ chức về an toàn
Kết nối các chương trình giáo dục, huấn luyện và nhận thức về an toàn (SETA)
Huấn luyện an toàn → Cung cấp cho nhân viên thông tin chi tiết và hướng dẫn thực hành để chuẩn bị cho
họ thực hiện nhiệm vụ một cách an toàn
Giáo dục an toàn → nhân viên được khuyến khích tham dự các khóa học về giáo dục thường xuyên từ các
cơ sở giáo dục đại học
Nhận thức về an toàn → Được thiết kế để giữ an toàn thông tin được đặt lên hàng đầu trong tâm trí người
dùng
CHƯƠNG 4
Câu 1: Chọn phát biểu đúng
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
a.Mục tiêu của an ninh thông tin là giảm rủi ro còn lại bằng 0
b.Chìa khóa cho tổ chức là tìm ra sự cân bằng trong việc ra quyết định và phân tích tính khả thi
nhằm đảm bảo rằng mức độ chấp nhận rủi ro của tổ chức dựa trên kinh nghiệm và thực tế
c.Tất cả đều đúng
d.Rủi ro còn lại bị ảnh hưởng bởi mức độ chấp nhận rủi ro
Câu 2: Giá trị được tính toán liên quan đến tổn thất có khả năng xảy ra nhất từ một cuộc tấn công là
a.Tỷ lệ xuất hiện hàng năm
b.Dự báo tổn thất hàng năm
c.Dự báo tổn thất đơn lẻ
d.Tỷ lệ thiệt hại kỳ vọng
Câu 3:
Đoạn văn câu hỏi
Chọn phát biểu đúng về nhân sự tham gia chương trình quản lý rủi ro
a.Cộng đồng CNTT hỗ trợ chương trình quản lý rủi ro
b.Cộng đồng CNTT xác định, đánh giá và kiểm soát rủi ro đối với tài sản thông tin
c.Cộng đồng CNTT cân bằng tính hữu ích và bảo mật của HTTT
d.Cộng đồng an toàn thông tin hỗ trợ chương trình quản lý rủi ro
Câu 4:
Đoạn văn câu hỏi
Tích của dự báo tổn thất đơn lẻ và tỷ lệ xuất hiện hàng năm là
a.Tỷ lệ thiệt hại kỳ vọng
b.Dự báo tổn thất hàng năm
c.Tỷ lệ xuất hiện hàng năm
d.Dự báo tổn thất đơn lẻ
Chi phí thay thế/ khôi phục thông tin → Bao gồm thời gian cần thiết để nhân viên khôi phục hoặc tái thiết
thông tin từ các bản sao lưu, nhật ký giao dịch độc lập hay bản sao cứng của nguồn dữ liệu,
Chi phí bảo trì trong quá khứ của tài sản thông tin → Ước tính bằng cách định lượng nguồn nhân lực
được sử dụng để liên tục cập nhật, hỗ trợ, sửa đổi và phục vụ các ứng dụng và hệ thống liên quan đến một
tài sản thông tin cụ thể,
Chi phí cung cấp thông tin → Gồm chi phí liên quan đến việc cung cấp thông tin qua CSDL, mạng, hệ
thống phần cứng và phần mềm và chi phí cho cơ sở hạ tầng cần thiết để cung cấp quyền truy cập và kiểm
soát thông tin,
Chi phí tạo ra tài sản thông tin → Bao gồm chi phí phát triển phần mềm, thu thập, xử lý dữ
liệu,…,
Chi phí bảo vệ thông tin → Xác định dựa trên giá trị của tài sản thông tin
Câu 10: Chọn phát biểu đúng về rủi ro
a.Rủi ro là thiệt hại, hư hại hoặc sự phá hủy tiềm tảng của một tài sản như là kết quả của một nguy cơ
đang khai thác một tài sản
b.Rủi ro là thiệt hại, hư hại hoặc sự phá hủy tiềm tảng của một tài sản như là kết quả của một nguy cơ
chưa bị khai thác
c.Rủi ro là thiệt hại, hư hại hoặc sự phá hủy tiềm tảng của một tài sản như là kết quả của một điểm yếu
tiềm ẩn
d.Rủi ro là thiệt hại, hư hại hoặc sự phá hủy tiềm tảng của một tài sản như là kết quả của một nguy
cơ đang khai thác một điểm yếu tiềm ẩn
Câu 11: Phương pháp chuẩn so sánh
a.Tất cả đều sai
b.Đo lường sự tương đồng giữa cách tổ chức tiến hành kinh doanh và cách các tổ chức khác kinh doanh
c.Liên quan đến việc tìm kiếm và nghiên cứu các phương pháp được sử dụng trong các tổ chức
khác
d.Sử dụng các tiêu chuẩn để tự xếp hạng so với các tổ chức không tương đồng trong ngành có quy mô
hoặc thị trường tương tự
Câu 12: Yếu tố Không cần xem xét khi định giá tài sản thông tin
a.Chi phí cung cấp thông tin
b. Doanh thu không được tạo ra từ thông tin
c. Giá trị của tài sản trí tuệ
d. Chi phí tạo ra tài sản thông tin
Chi phí của thủ tục kiểm soát KHÔNG bao gồm:
a. Chi phí triển khai gồm chi phí cài đặt, cấu hình, và kiểm tra phần cứng, phần mềm và dịch vụ
b. Chi phí sa thải nhân sự không đáp ứng yêu cầu
c. Chi phí phát triển hoặc mua phần cứng, phần mềm và dịch vụ
d. Chi phí bảo trì bao gồm chi phí nhân công để xác minh và kiểm tra liên tục, duy trì và cập nhật
Câu 13: Kết nối các vấn đề cần cân nhắc trong xác định và sắp xếp ưu tiên đối phó với các nguy cơ
Xác định chi phí cần thiết để phục hồi sau một cuộc tấn công → Đánh giá sơ bộ chi phí để phục hồi hoạt
động nếu một cuộc tấn công làm gián đoạn hoạt động kinh doanh,
Xác định nguy cơ là mối nguy hiểm nhất đối với thông tin của tổ chức → Xếp hạng các nguy cơ
một cách chủ quan theo thứ tự nguy hiểm,
Xác định nguy cơ đòi hỏi chi phí lớn nhất để ngăn chặn → Sắp xếp nguy cơ theo chi phí cần thiết để
ngăn chặn,
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
Xác định nguy cơ gây nguy hiểm cho tài sản của tổ chức trong môi trường nhất định → Cần phân tích các
ví dụ cụ thể về các nguy cơ để xác định nguy cơ cần xử lý
Câu 14:
Tổ chức phải duy trì tính bảo mật, quyền riêng tư và đảm bảo tính toàn vẹn của dữ liệu bằng cách áp dụng
các nguyên tắc .................. (4 từ) để theo kịp sự cạnh tranh.
Answer: quản lý rủi ro
Câu 15: Chọn phát biểu đúng về mức độ chấp nhận rủi ro
a.Bất kỳ sự kiện hoặc hoàn cảnh nào có khả năng ảnh hưởng xấu đến hoạt động và tài sản của tổ chức
b.Bất kỳ rủi ro nào chưa được loại bỏ, thay đổi hoặc lập kế hoạch khi các lỗ hổng bảo mật đã được kiểm
soát tối đa
c.Số lượng và bản chất của rủi ro mà các tổ chức sẵn sàng chấp nhận khi họ đánh giá sự cân đối
giữa an ninh hoàn hảo và khả năng tiếp cận không giới hạn
d.Sự kiện tiềm tàng không mong muốn có thể xảy ra gây thiệt hại cho doanh nghiệp
Câu 15: Chọn phát biểu sai về quản lý dữ liệu đã phân nhóm
a.Tài liệu được phân nhóm phải có ký hiệu thích hợp ở giữa trang
b.Khi mang thông tin đã được phân nhóm ra ngoài tổ chức, thông tin đó cần được để trong túi hoặc bìa
hồ sơ
c.Lưu trữ trong tủ khóa, két sắt hoặc các thiết bị bảo vệ khác cho bản cứng và hệ thống
d.Tất cả thông tin chưa được phân nhóm hoặc công khai phải được đánh dấu rõ ràng
Câu 16:
Đảm bảo có đủ thời gian, tài chính, nhân lực và các nguồn lực khác được phân bổ cho các nhóm an toàn
thông tin và CNTT để đáp ứng nhu cầu bảo mật → Nhà quản trị,
Vai trò lãnh đạo trong giải quyết rủi ro đối với tài sản thông tin → Ủy ban an ninh thông tin,
Cung cấp quan điểm định giá và các nguy cơ cho ban quản lý trong quá trình quản lý rủi ro → Ủy ban
CNTT,
Hiểu tài sản thông tin nào có giá trị nhất → Người sử dụng
Câu 17:
Trong phương pháp chuẩn so sánh thì sự khác biệt trong kết quả (Performance gaps) giữa tổ chức và đối
thủ cạnh tranh cung cấp thông tin chi tiết về các lĩnh vực mà tổ chức cần quan tâm để .................. (2 từ)
các tình trạng bảo mật và phòng thủ của mình
Answer is: cải thiện
Câu 1:
Điền vào chỗ trống:
Sơ đồ phân loại dữ liệu (Data classification scheme) là một PP luận kiểm soát truy cập chính thức được
sử dụng để xác định ....................... (4 từ) cho một tài sản thông tin và do đó hạn chế số lượng người có
thể truy cập nó.
→ Mức độ bảo mật
Câu 2: Phát biểu nào không phải là mục tiêu của kiểm kê tài sản thông tin
a.Không có phát biểu KHÔNG đúng
b.Để hiểu những gì tổ chức đang bảo vệ
c.Thiết lập mức độ ưu tiên tương đối của tài sản đối với sự thành công của tổ chức
d.Xác định nơi thông tin được lưu trữ
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
Câu 6:
Chi phí cung cấp thông tin → Gồm chi phí liên quan đến việc cung cấp thông tin qua CSDL, mạng, hệ
thống phần cứng và phần mềm và chi phí cho cơ sở hạ tầng cần thiết để cung cấp quyền truy cập và kiểm
soát thông tin,
Chi phí bảo trì trong quá khứ của tài sản thông tin → Ước tính bằng cách định lượng nguồn nhân lực
được sử dụng để liên tục cập nhật, hỗ trợ, sửa đổi và phục vụ các ứng dụng và hệ thống liên quan đến một
tài sản thông tin cụ thể,
Câu 1: Điền vào công thức sau:
Rủi ro = ................................ x Mức độ tổn thất + Sự không chắc chắn của các ước tính
a.Tỷ lệ thành công của cuộc tấn công (attack success probability)
b. Tổn thất có thể xảy ra (Probable Loss)
c. Tần suất tổn thất
d. Xác suất xảy ra tấn công (likelihood)
2. Chiến lược kiểm soát rủi ro loại bỏ tất cả rủi ro liên quan đến một tài sản thông tin bằng cách loại bỏ nó
khỏi dịch vụ là
a.Chiến lược giảm thiểu
b.Chiến lược né tránh
c.Chiến lược phòng thủ
d.Chiến lược chấp nhận
e.Chiến lược chuyển giao
3. Chiến lược né tránh nhằm loại bỏ hoặc giảm bất cứ phần còn lại nào của rủi ro không kiểm soát được
thông qua việc áp dụng các kiểm soát và bảo vệ bổ sung là
a. Chiến lược phòng thủ
4. Phải thực thi các chính sách để đảm bảo rằng không có thông tin đã phân loại nào bị vứt bỏ trong thùng
rác hoặc các khu tái chế là:
a. Chính sách bàn làm việc sạch
b. Phân nhóm dữ liệu
c. Phân quyền an ninh
d. Quản lý dữ liệu đã phân nhóm
Kết nối nội dung của từng thành phần trong quản lý rủi ro
Kiểm soát rủi ro -> Thực hiện thủ tục kiểm soát để giảm rủi ro xuống mức chấp nhận
Đánh giá rủi ro -> Đánh giá và đo lường rủi ro để quyết định rủi ro có vượt quá ngưỡng chịu đựng của tổ
chức h
ay không ?
Xác định rủi ro -> Xác định và hiểu về rủi ro DN phải đối mặt, đặc biệt là rủi ro về tài sản thông tin
Kết nối định nghĩa của các tính khả thi trong triển khai thủ tục kiểm soát
Khả thi tổ chức -> Đánh giá sự phù hợp giữa một giải pháp cụ thể với mục tiêu lập kế hoạch chiến lược
của tổ chức
Khả thi chính trị -> Đánh giá mức độ phù hợp của một giải pháp cụ thể trong môi trường chính trị của tổ
chức
Khả thi vận hành -> Đánh giá mức độ phù hợp của một giải pháp cụ thể với văn hóa của tổ chức và mức
độ mà người dùng dự kiến sẽ chấp nhận giải pháp
Khả thi kỹ thuật -> Đánh giá mức độ phù hợp của một giải pháp cụ thể dựa trên cơ sở hạ tầng và nguồn
lực công nghệ hiện tại của tổ chức, bao gồm phần cứng, phần mềm, hệ thống mạng và nhân sự.
Phát biểu nào KHÔNG đúng về bảng nguy cơ - điểm yếu tiềm ẩn - tài sản (TVA)
a. Một cặp tài sản, nguy cơ, và các điểm yếu tiềm ẩn tồn tại giữa chúng
b. Đóng vai trò là điểm khởi đầu cho bước tiếp theo trong quy trình quản lý rủi ro - đánh giá rủi ro
c. Bắt buộc phải có nhiều điểm yếu tiềm ẩn giữa nguy cơ X và tài sản Z
d. Tài liệu xếp hạng so sánh các tài sản tương ứng với các nguy cơ, và dấu hiệu về bất kỳ điểm yếu tiềm
ẩn nào trong các cặp tài sản/nguy cơ
Chiến lược quản lý rủi ro hiệu quả
-> Biết bản thân: Xác định, kiểm tra và hiểu về thông tin và hệ thống hiện hành
Chiến lược chuyển giao rủi ro có thể được thực hiện bằng cách:
a. Thuê ngoài (outsource) các tổ chức khác
b. Tránh các hoạt động kinh doanh gây ra rủi ro không thể Task-based access controls-TBAC
kiểm soát
c. Bắt đầu bằng việc phát hiện sớm một cuộc tấn công đang diễn ra và phản ứng nhanh chóng, hữu hiệu
và hiệu quả.
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
CHƯƠNG 5
1. Kiểm soát truy cập tùy ý (Discretionary access controls (DACs))
a. Phần quyền theo quyết định hoặc tùy chọn của người dùng dữ liệu (kiểm soát bởi người dùng)
b.Truy cập hạn chế hoặc giới hạn người, nhóm người có thể truy cập vào tài nguyên
c.Tất cả đều sai
d.Thực hiện theo ủy quyền trung tâm được kiểm soát bởi tổ chức
2. Kết nối đặc điểm của các cơ chế kiểm soát truy cập (Access control mechanisms)
Tôi là người dùng hê ̣ thống → Nhâ ̣n dạng
Đây là những gì tôi có thể làm với hê ̣ thống -> Phân quyền
Bạn có thể theo dõi và giám sát viê ̣c sử dụng hê ̣ thống của tôi → Truy vết
Tôi có thể chứng minh tôi là người dùng hê ̣ thống → Xác thực
3. Phân quyền cho các thành viên trong nhóm: Cấp quyền truy cập vào các tài nguyên dựa trên quyền truy
cập của từng người dùng SAI
4. Điều kiện để Mạng riêng ảo (Virtual private Networks - VPN) đảm bảo an toàn và tin cậy trong môi
trường mạng công cộng
a.Mã hóa (Encryption) dữ liệu đến và đi
5. Kiểm soát truy cập là phương pháp mà hệ thống xác định cách thức CHO PHÉP người dùng vào khu
vực tin cậy của tổ chức, đó là hệ thống thông tin, khu vực hạn chế như phòng máy tính và toàn bộ vị trí
vật lý.
7. Chính sách an toàn vật lý hướng dẫn người dùng cách sử dụng phù hợp TÀI NGUYÊN máy tính và tài
sản thông tin, bảo vệ sự an toàn trong các hoạt động hàng ngày
10. Kiểm soát truy cập không tùy ý - Non Discretionary access controls (NDACs)
a. Không phải là dạng kiểm soát truy cập dựa trên mạng lưới (lattice-based access control-LBAC)
b. Thực hiện theo ủy quyền trung tâm được kiểm soát bởi tổ chức
c. Truy cập hạn chế hoặc giới hạn người, nhóm người có thể truy cập vào tài nguyên
d. Phần quyền theo quyết định hoặc tùy chọn của người dùng dữ liệu (kiểm soát bởi người dùng)
12. Cơ chế truy vết (Accountability/ Auditability) đảm bảo rằng tất cả các hành động trên một hệ thống
(được phân quyền hoặc không được phân quyền) có thể được gán cho một DANH TÍNH được xác thực
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
13. Capabilities tables thể hiện từng dòng thuộc tính kết hợp với tất cả các chủ thể
SAI
14. Kết nối các đặc điểm của các Mạng riêng ảo (Virtual private Networks)
Sử dụng các mạch thuê từ một nhà cung cấp dịch vụ và thực hiện chuyển mạch gói
qua các mạch thuê này → VPN đáng tin cậy (Trust VPN/ a legacy VPN),
Sử dụng các giao thức bảo mật như IPSec để mã hóa lưu lượng truyền qua các mạng công cộng không an
toàn như Internet → VPN an toàn (Secure VPN),
Kết hợp cả hai cách trên, cung cấp các đường truyền được mã hóa (như trong VPN an toàn) qua một số
hoặc tất cả mạng VPN đáng tin cậy → VPN lai (hybrid VPN)
16. Kết nối các điều kiện để mạng riêng ảo - VPN đảm bảo an toàn và tin cậy trong môi trường mạng
công cộng
Xác thực và phân quyền người dùng để thực hiện các hành động cụ thể được xác định dựa trên nhận dạng
chính xác và đáng tin cậy của hệ thống và người dùng từ xa → Xác thực (Authentication) máy tính
(remote computer) và người dùng từ xa,
Để giữ riêng tư nội dung dữ liệu khi truyền qua mạng công cộng, nhưng máy khách và máy chủ có thể sử
dụng được → Mã hóa (Encryption) dữ liệu đến và đi,
Giao thức gốc (native protocol) của máy khách được nhúng trong các khung của một giao thức có thể
được định tuyến qua mạng công cộng và có thể sử dụng được bởi môi trường mạng máy chủ → Đóng gói
(Encapsulation) dữ liệu đến và đi
17. Nhận dạng khuôn mặt bằng máy ảnh kỹ thuật số là một dạng của nhận dạng bằng sinh trắc học
ĐÚNG
18. Yêu cầu tất cả những người vào cơ sở phải cung cấp thông tin cụ thể/ thư mời và được hộ tống khi
vào các khu vực hạn chế là thủ tục kiểm soát tránh social engineering ĐÚNG
19. Chọn phát biểu KHÔNG đúng về Kiểm soát truy cập không tùy ý - Nondiscretionary access controls
(NDACs)
a.kiểm soát truy cập dựa trên thuộc tính
b.phân quyền gắn liền với nhiệm vụ và trách nhiệm của một người
c.phân quyền theo từng chủ thể đối với từng đối tượng
d.Ví dụ về NDACs người dùng có thể có một ổ cứng chứa thông tin được chia sẻ với đồng nghiệp. Người
dùng này có thể chọn cho phép các đồng nghiệp truy cập bằng cách cung cấp quyền truy cập theo tên
trong chức năng chia sẻ kiểm soát
22. Nhận dạng khuôn mặt bằng máy ảnh kỹ thuật số là một dạng của nhận dạng bằng sinh trắc học?
Đúng
Sai
23. Telecommuting (làm việc từ xa)
a.Nhân viên có thể tránh phải đi lại vất vả và có nhiều thời gian hơn để tập trung vào công việc của họ
b.Một sự sắp xếp công việc trong đó nhân viên làm việc từ một vị trí bên ngoài và kết nối điện tử với thiết
bị của tổ chức.
c.Khi ngày càng có nhiều người trở thành người làm việc từ xa (telecommuters), rủi ro đối với thông tin
luân chuyển qua các kết nối thường không an toàn
d. Tất cả đều đúng
24. Kết nối đặc điểm của các dạng tường lửa
Application layer proxy firewalls → Một thiết bị có khả năng hoạt động như một tường lửa và application
layer proxy server,
Packet-filtering firewalls → Thiết bị mạng kiểm tra tiêu đề thông tin của các gói dữ liệu đi vào một mạng
và xác định xem nên từ chối hay cho phép chuyển tiếp đến kết nối mạng tiếp theo dựa trên các quy tắc
cấu hình của nó,
Media access control layer firewalls → Tường lửa được thiết kế hoạt động ở lớp con kiểm soát truy cập
phương tiện của lớp liên kết dữ liệu mạng (Lớp 2).,
Hybrids → Tường lửa kết hợp kết hợp các yếu tố của các loại tường lửa khác: yếu tố
của bộ lọc gói, proxy lớp ứng dụng và tường lửa lớp kiểm soát truy cập phương tiện.
25. Kết nối các đặc điểm của các phương pháp đánh chặn dữ liệu (Interception of Data)
Đánh chặn điện từ (Electromagnetic interception) → Có thể nghe trộm những tín hiệu điện từ -
electromagnetic signals (EM),
Đánh chặn truyền dữ liệu (Interception of data transmissions) → Kẻ tấn công truy cập phương tiện truyền
dữ liệu và sử dụng PM do thám để thu thập dữ liệu.,
Quan sát trực tiếp (Direct observation) → Thông tin sẽ dễ bị quan sát ở những nơi không
kiểm soát tốt.
26. Hình học tay (hand geometry) không phải là một dạng của nhận dạng bằng sinh trắc học?
Đúng
Sai
27. Kết nối vai trò của các đối tượng sau trong chương trình an toàn vật lý
Ban quản lý chung → Chịu trách nhiệm an toàn của cơ sở hoạt động (facility) và các chính sách và tiêu
chuẩn để vận hành an toàn,
Quản lý IT và chuyên gia → Chịu trách nhiệm an toàn môi trường và an toàn truy cập tại các vị trí đặt
thiết bị công nghệ và các chính sách, tiêu chuẩn chi phối hoạt động an toàn của thiết bị,
Ban quản lý và các chuyên gia an toàn thông tin → Chịu trách nhiệm đánh giá rủi ro và xem xét các kiểm
soát an toàn vật lý do hai nhóm trên thực hiện.
28. Kiểm soát truy cập vật lý (Physical Access Controls) là các biện pháp quản lý sự di chuyển của mọi
người trong các cơ sở vật chất của tổ chức, kiểm soát quyền truy cập vật lý của họ vào các nguồn lực của
công ty
Đúng
Sai
29. Capabilities tables thể hiện từng dòng thuộc tính kết hợp với tất cả các chủ thể
Đúng
Sai
30. Khả năng chấp nhận sinh trắc học
a.Nên thực hiện các hệ thống nhận dạng bằng sinh trắc học để nhận được sự chấp nhận của người dùng
đối với các kiểm soát sinh trắc học
b.Phải cân bằng giữa khả năng chấp nhận của hệ thống an toàn đối với người dùng và tính hữu hiệu của
nó trong việc duy trì sự an toàn
c.Nhiều hệ thống sinh trắc học có độ tin cậy và hữu hiệu cao được chấp nhận bởi người dùng
d.Tất cả đều đúng
31. Xác thực (Authentication)
a.Thực hiện bằng phương tiện nhật ký hệ thống, nhật ký cơ sở dữ liệu và kiểm toán các hồ sơ.
b. Là quá trình xác minh danh tính của cá nhân hoặc thiết bị đang cố truy cập vào hệ thống, nhằm đảm
bảo chỉ những người dùng hợp pháp mới có thể truy cập vào hệ thống
c.Là sự thiết lập quyền giữa một thực thể được xác thực và một danh sách các tài sản thông tin và các
mức độ truy cập tương ứng.
d.Là một cơ chế mà các thực thể phải cung cấp một mã định danh - identifier (ID) để được hệ thống xác
thực.
32. Đặc điểm của phương pháp đánh chặn dữ liệu bằng cách truy cập vào mạng LAN
a.Có thể nghe trộm những tín hiệu điện từ - electromagnetic signals (EM)
b.Tất cả đều đúng
c. Yêu cầu một số khoảng cách gần với máy tính hoặc mạng của tổ chức.
d.Đối thủ cạnh tranh có thể dễ dàng đánh chặn (intercept) thông tin quan trọng tại nhà của một nhân viên
33. Thủ tục kiểm soát nên triển khai trong trường hợp tổ chức có thực hiện telecommuting (làm việc từ
xa)
a. Nhân viên làm việc từ xa phải phải lưu trữ tất cả dữ liệu trong tủ hồ sơ có khóa và phương tiện trong
khóa két sắt
b. Sử dụng mạng riêng ảo (VPN) để bảo vệ dữ liệu trong quá trình truyền tải vì nhân viên làm việc từ xa
thường lưu trữ dữ liệu văn phòng trên hệ thống tại nhà của họ, trong tủ đựng hồ sơ tại nhà và trên các
phương tiện khác
c.Tất cả đều đúng
d. Nhân viên làm việc từ xa phải sử dụng một thiết bị bảo mật với hệ điều hành được cấu hình để yêu cầu
xác thực mật khẩu
34. Trong số các sinh trắc học, đâu KHÔNG phải đặc điểm thường được xem là duy nhất của con người
a.Dấu vân tay
b.Mống mắt
c.Dấu lòng bàn tay
d.Võng mạc mắt
35.
Bị quan sát dữ liệu trực tiếp → Thực hiện các cơ chế an toàn vật lý.,
Bị đánh chặn truyền dữ liệu → Mã hóa thông tin.,
Bị đánh chặn điện từ → Đảm bảo rằng các máy tính được đặt càng xa càng tốt so với chu vi bên ngoài
37. Chọn phát biểu đúng
a.Trong thời kỳ đầu của CNTT, các doanh nghiệp mong muốn ứng dụng CNTT để giành lợi thế cạnh
tranh
b.Trong thời đầu của CNTT, các doanh nghiệp mong muốn ứng dụng CNTT để tránh bất lợi cạnh tranh
c.Trong thời hiện tại của CNTT, các doanh nghiệp mong muốn ứng dụng CNTT để giành lợi thế cạnh
tranh
d.Trong thời kỳ đầu của CNTT, các doanh nghiệp mong muốn ứng dụng CNTT để ngăn chặn sự vượt trội
của đối thủ cạnh tranh
38. Nội dung nào không thuộc giai đoạn kiểm soát rủi ro
a.Lựa chọn chiến lược kiểm soát
b.Chứng minh các thủ tục kiểm soát
c.Lập kế hoạch và tổ chức đánh giá rủi ro
d.Triển khai, theo dõi và đánh giá các kiểm soát rủi ro
39. Chọn phát biểu KHÔNG đúng về nguy hiểm
a.đại diện cho số lượng thiệt hại
b.Có thể sử dụng phương pháp định lượng để xác định nguy hiểm
c.đại diện cho tần suất một cuộc tấn công có thể xảy ra
d.là xác suất của một nguy cơ tấn công tổ chức
40. Nội dung nào không thuộc giai đoạn xác định rủi ro
a.Xác định, kiểm kê và phân loại tài sản
b.Xác định, sắp xếp ưu tiên các nguy cơ
c.Xác định các điểm yếu tiềm ẩn
d.Chứng minh các thủ tục kiểm soát
41. Chiến lược kiểm soát rủi ro cố gắng giảm thiểu tác động của tổn thất do một sự cố, thảm họa hoặc
cuộc tấn công đã xảy ra thông qua lập kế hoạch dự phòng và chuẩn bị hiệu quả là
a.Chiến lược né tránh
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
Mạng riêng ảo (Virtual Private Networks - VPN) được sử dụng để gia tăng an toàn trong kết nối giữa hệ
thống mạng nội bộ của tổ chức với các địa điểm khác
Kiểm soát truy cập dựa trên thuộc tính (attribute-based access controls - ABAC) là cách tiếp cận kiểm
soát truy cập do tổ chức chỉ định việc sử dụng các ..................... (2 từ) dựa trên một số thuộc tính của
người dùng hoặc hệ thống.
The correct answer is: đối tượng
Chứng nhận phân quyền (Authorization credentials)/ phiếu phân quyền (authorization tickets) được cấp
bởi một người có thẩm quyền và được tất cả các hệ thống (2 từ) công nhận
Kiểm soát truy cập bắt buộc (Mandatory access controls - MACs)
a. Theo National Institute of Standards and Technology (NIST)
b. Tất cả đều đúng
c. Sử dụng các sơ đồ phân loại dữ liệu (data classification schemes), cung cấp cho người dùng và chủ sở
hữu dữ liệu quyền kiểm soát hạn chế vào tài nguyên thông tin.
d. Là cách tiếp cận kiểm soát truy cập do tổ chức chỉ định việc sử dụng các đối tượng dựa trên một số
thuộc tính của người dùng hoặc hệ thống
Chọn phát biểu đúng về thủ tục kiểm soát nên được áp dụng để ngăn chặn sự đánh chặn dữ liệu bằng cách
truy cập vào mạng LAN
a. Lắp đặt tấm chắn đặc biệt bên trong vỏ CPU và duy trì khoảng cách với hệ thống ống nước và các
thành phần cơ sở hạ tầng khác mang sóng vô tuyến.
b. Nên sử dụng cáp quang; khó kết nối và có khả năng chống va đập tốt hơn
c. Tất cả đầu đúng
d. Xóa thông tin nhạy cảm khỏi văn phòng hoặc được yêu cầu thực hiện an ninh chặt chẽ tại nhà
Access control list (ACL) chi tiết về phân quyền cho người dùng, bao gồm danh sách người dùng truy
cập, ma trận và bảng khả năng
Đúng
CHƯƠNG 7
1. Yêu cầu về năng lực đối với vị trí Security Manager (Quản lý an ninh)
a. Có thể cần thêm kinh nghiệm trong lập kế hoạch kinh doanh liên tục (Business continuity planning)
b. Tất cả đều đúng
c. Có năng lực phác thảo các chính sách, chuẩn và hướng dẫn ở cấp thấp và cấp trung
d. Có khả năng quản lý các nhân viên kỹ thuật, bao gồm phân chia nhiệm vụ và giám sát thực hiện nhiệm
vụ của họ
2. Trong Hợp đồng/ thỏa thuận với đối tác kinh doanh cần xác định:
a. Các thông tin gì cần được trao đổi, ở cấp độ nào, với ai
b. Những thông tin không được tiết lộ
c. Tất cả đều đúng
d. Những vấn đề bộc lộ ra và điểm yếu bảo mật (phơi nhiễm- exposure) mà cả 2 bên cùng phải gánh chịu
3. Chief Information Security OÞcer (CISO) - Giám đốc an toàn thông tin
a. Báo cáo cho CIO/VP for IT
b. Báo cáo cho CIO, VP-IT; VP - Administration
c. Là người chịu trách nhiệm tập trung cho an ninh về mặt vật lý (physical information security).
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
d. Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
4. Security Manager (Quản lý an ninh)
a. Phát triển ngân sách an ninh thông tin trên cơ sở quỹ hiện hành
b. Tất cả đều đúng
c. Có trách nhiệm cho hoạt động hàng ngày của chương trình an ninh thông tin
d.Là người đại diện truyền thông của đội an ninh thông tin
5. Chọn phát biểu đúng về nhân sự trong thực hiện an toàn thông tin
a. Không điều chỉnh các mô tả công việc và yêu cầu thực hành có sẵn
b. Tích hợp các khái niệm an toàn thông tin vào các lý thuyết quản lý nhân viên trong doanh nghiệp
c. Lập kế hoạch tuyển dụng cho các vị trí định vị hoặc điều chỉnh kế hoạch tuyển dụng
d. Tất cả đều đúng
6. Định hướng nghề nghiệp/ Giới thiệu thông tin cần thiết cho nhân sự mới (New Hire Orientation)
a. Gồm các chính sách của tổ chức về việc tuân thủ và sử dụng thông tin, các thỏa thuận về giám sát và
không tiết lộ thông tin; những giới hạn nghiêm ngặt về tạo và sở hữu tài sản thông tin
b. Tất cả đều sai
c. Giới thiệu về văn hóa doanh nghiệp, qui trình, luân chuyển công việc, chính sách, qui trình thủ tục cần
thiết, các yêu cầu an toàn thông tin với nhân sự mới
d. Bao gồm phản ánh việc nhận thức an toàn thông tin và giảm thiểu hành vi gây rủi ro tại nơi làm việc
vào
7. Các lưu ý vấn đề an ninh thông tin trước khi nhân viên thôi việc KHÔNG bao gồm:
a. Hủy bỏ các thẻ từ truy cập mà nhân viên nghỉ việc đã từng sử dụng
b. Gỡ bỏ quyền truy cập tới hệ thống của công ty
c. Gỡ bỏ khỏi nơi làm các ảnh hưởng tác động của người nghỉ việc (VD, lưu trữ hoặc tiêu hủy tập tin liên
quan)
d. Thay khóa tủ
8. Chief Information Security OÞcer (CISO) - Giám đốc an toàn thông tin
a. Có trách nhiệm cho hoạt động hàng ngày của chương trình an ninh thông tin
b. Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
c. Có khả năng quản lý các nhân viên kỹ thuật, bao gồm phân chia nhiệm vụ và giám sát thực hiện nhiệm
vụ của họ
d. Là lãnh đạo của bộ phận an ninh thông tin (the information security department).
9. Đối với các nhân viên tạm thời, đơn vị nên:
a. Chỉ giới hạn những điều cần thiết để họ thực hiện nhiệm vụ
b. Tất cả đều đúng
c. Ký kết và đưa các điều khoản yêu cầu công việc và giới hạn trách nhiệm rõ ràng
d. Giám sát trực tiếp quá trình làm và di chuyển của nhóm nhân viên này
10. Thông tin cá nhân của nhân sự an ninh như địa chỉ, điện thoại, mã số thuế, số an sinh xã hội, thông tin
y tế, thông tin gia đình cần được công khai cho mọi nhân viên trong công ty biết để giám sát họ
Sai
11. Đối với nhóm nhân viên tư vấn, tổ chức nên:
a. Không cần sàng lọc và giám sát một cách đặc biệt các di chuyển của những nhân viên tư vấn công nghệ
và tư vấn thông tin
b. Hợp đồng cần xác định rõ thông tin và tất cả thiết bị được phép truy cập cũng như những vấn đề không
được tiết lộ về đơn vị
c. Có kế hoạch thực hiện công việc các dịch vu theo hợp đồng
d. Thường là nhân viên thực hiện: bảo vệ; bảo dưỡng, sửa chữa thiết bị; cung cấp các dịch vụ
12. Chọn phát biểu KHÔNG đúng về Security Manager (Quản lý an ninh)
a. Là người chịu trách nhiệm tập trung cho an ninh về mặt vật lý (physical information security).
b. Hoàn thành các nhiệm vụ do CISO xác định và giải quyết các vấn đề do các kỹ thuật viên xác định
c. Có khả năng quản lý các nhân viên kỹ thuật, bao gồm phân chia nhiệm vụ và giám sát thực hiện nhiệm
vụ của họ
d. Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
13. Chọn phát biểu KHÔNG đúng về lời khuyên cho chuyên viên an ninh thông tin chuyên nghiệp
a. Công nghệ có thể cung cấp giải pháp tốt cho một số vấn đề nhưng cũng có thể làm trầm trọng thêm vấn
đề khác
b. Bảo mật thông tin cần minh bạch với người sử dụng
c. Nghề an ninh thông tin là bảo vệ thông tin và khách hàng của tổ chức
d. Luôn nhớ kinh doanh trước công nghệ
14. Chọn phát biểu KHÔNG đúng về lời khuyên cho chuyên viên an ninh thông tin chuyên nghiệp
a. Khi đánh giá vấn đề, xem nguồn gốc vấn đề trước, xác định các nhân tố ảnh hưởng tới vấn đề và chính
sách của tổ chức có thể dẫn tới thiết kế giải pháp độc lập với công nghệ
b. Hãy sử dụng các thuật ngữ chuyên môn khi trao đổi vấn đề
c. Luôn học hỏi/ tự đào tạo kiến thức mới
d. Biết nhiều, nói ít
15.
Kiểm soát kép (two- person control hay Double check)
→ Hai người làm việc tuần tự theo trình tự và hai người cùng xem xét, chấp thuận
công việc của nhau,
Luân chuyển công việc (job/task rotation).
→ Có thể phát hiện việc sử dụng sai hoặc lạm dụng thông tin của người ở vị trí bị
thay thế,
Phân chia trách nhiệm
→ Trong liên quan thực hiện hoạt động kinh tế và tiếp cận và sử dụng dữ liệu
16. Phân chia trách nhiệm
a. Là hai người làm việc tuần tự theo trình tự và hai người cùng xem xét, chấp thuận công việc của nhau.
b. Là nền tảng quan trọng cho bảo vệ tài sản thông tin và ngăn ngừa thất thoát tài chính
c. Các nhân viên đều có thể có những trải nghiệm và đảm nhiệm được nhiều công việc khác nhau
d. Một hình thức có người thay thế tạm công việc nhằm phát hiện những bất thường
17. Phát biểu nào KHÔNG đúng về Chief Information Security OÞcer (CISO) - Giám đốc an toàn thông
tin
a. Phác thảo và chấp thuận các chính sách an ninh thông tin
b. Tất cả đều đúng
c. Kiểm tra hệ thống để khám phá những lỗi (faults) an ninh thông tin; khiếm khuyết (Öaws) của công
nghệ, phần mềm, hoạt động của nhân viên và qui trình
d. Xác định vấn đề luân chuyển/tắc nghẽn thông tin thông qua Kiểm tra DL khi chuyển giao và lưu trữ
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
e. Làm việc với CIO về: kế hoạch chiến lược; Phát triển kế hoạch chiến thuật ; làm việc với các nhà quản
lý an ninh về kế hoạch hoạt động
18. Chọn phát biểu KHÔNG đúng về lựa chọn nhân sự cho vị trí an toàn thông tin
a. Các đơn vị thường tìm kiếm các nhân sự có kiến thức chung có bằng cấp về kỹ thuật an ninh thông tin
(a technically qualiÕed information security generalist) cho vị
trí an ninh thông tin nhưng có hiểu biết vững chắc về hoạt động của đơn vị
b. Không có phát biểu KHÔNG đúng
c. Vị trí an toàn thông tin cần những người cân bằng giữa kỹ năng kỹ thuật và các hiểu biết về an ninh
thông tin (p 586)
d. Trong an ninh thông tin, người quá chuyên sâu về 1 lĩnh vực (overspecialistion) sẽ là tốt nhất
19. Security Analyst (phân tích viên an ninh)
a. Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
b. Có thể là CISO và kết hợp thêm trách nhiệm an ninh thông tin về mặt vật lý
c. Có thể là kỹ thuật viên an ninh (security technicians) / kiến trúc sư an ninh/ kỹ sư an ninh có kiến thức
tốt
d. Tất cả đều đúng
20. Đối với những vị trí người lao động có thông tin đặc biệt hay rất quan trọng có tính độc quyền thì đơn
vị nên
a. Giới hạn mức độ và phạm vi truy cập thông tin cần thiết cho công việc
b. Yêu cầu nhân viên không được làm cho đối thủ cạnh tranh trong khoảng thời gian bao nhiêu lâu sau khi
nghỉ việc tại công ty
c. Tất cả đều đúng
d. Cần phân chia trách nhiệm tiếp cận và sử dụng dữ liệu
21. Đánh giá thành quả nhân viên phải bao gồm phản ánh việc nhận thức an toàn thông tin
và ....................... ( 2 từ hoặc 1 từ) hành vi gây rủi ro tại nơi làm việc vào
The correct answer is: giảm thiểu
22. Ứng viên vị trí an ninh thông tin thường chỉ cần có các kỹ năng CNTT và kinh nghiệm chuyên môn
trong lĩnh vực CNTT khác
- > Sai
23. Kết nối các đối tượng cụ thể của 3 vị trí an toàn thông tin theo nghiên cứu của Schwartz, Erwin,
Weafer, and Briney
Định nghĩa chương trình an toàn thông tin → Các nhà quản lý (managers) an ninh cấp cao,
Xây dựng chương trình an toàn thông tin → Các chuyên gia công nghệ (techies) thực hiện,
Quản trị hệ thống kiểm soát và chương trình an toàn thông tin → Những người quản lý
(administrators)
24. Bắt buộc phải có buổi phỏng vấn/nói chuyện nhắc nhở về các điều khoản/nghĩa vụ của nhân viên sau
khi rời công ty (bị sa thải)
- > Sai
25. Kết nối các công việc của cụ thể trong qui trình thực hiện để tuyển dụng và quản lý nhân sự an toàn
thông tin
26. Bộ phận an toàn thông tin luôn luôn là một thành phần trong bộ phận Công nghệ thông tin trong
doanh nghiệp
- > Sai
27. Đối với các nhân viên tạm thời, đơn vị nên:
a. Chỉ giới hạn những điều cần thiết để họ thực hiện nhiệm vụ
b.Đảm bảo các nhân viên này tuân thủ các thực hành an toàn thông tin
c. Có thể yêu cầu ký các thỏa thuận không tiết lộ và chính sách sử dụng hợp pháp
d. Tất cả đều đúng
28. Ký hợp đồng (hợp đồng an toàn thông tin) tuyển dụng
a. Cần nhấn mạnh nhận thức an toàn thông tin, tóm lược và những vấn đề an ninh thông tin: chính sách,
qui trình thủ tục cần thiết, các yêu cầu an toàn thông tin với
nhân sự mới
b.Nhân viên ký hợp đồng này như một cách “tuyên thệ” bằng văn bản đồng ý tuân thủ các chính sách
ràng buộc của tổ chức
c. Tất cả đều đúng
d. Cần tập trung tìm hiểu những hành vi phạm tội trong quá khứ hoặc những hành vi là tiềm năng cho
việc vi phạm sau này của ứng viên
29. Kết nối các chiến lược kiểm soát nội bộ đối với nhân sự an ninh thông tin
Chính sách “garden leave - về vườn
→ Công ty trả thêm lương 1 thời gian nào đó sau khi nghỉ làm (VD 30 ngày) và yêu cầu trong thời gian
này nhân viên không đi làm ở công ty mới. Mục đích để nhân viên không có
thông tin cập nhật mới,
Thực hiện kỳ nghỉ bắt buộc với nhân viên
→ Một hình thức có người thay thế tạm công việc nhằm phát hiện những bất
thường.,
Giới hạn mức độ và phạm vi truy cập thông tin cần thiết cho công việc
→ Chỉ được phép truy cập và sử dụng thông tin trên cơ sở những gì cần nhằm đảm bảo không lo ngại về
tính bảo mật, toàn vẹn và tính khả dụng
30. Kết nối nhiệm vụ của từng đối tượng sau trong quá trình xác định trình độ và yêu cầu đối với nhân sự
thực hiện chức năng an toàn thông tin
Quản lý cấp cao → Cần hiểu về nhu cầu ngân sách cho an ninh thông tin và việc định vị,
Nhóm quản lý chung → Phải hiểu về các trình độ và yêu cầu về chuyên môn về an toàn thông tin của các
vị trí tuyền dụng,
Nhóm quản lý chung và quản lý CNTT → Cần xác định mức độ phù hợp về các yêu cầu đối với các vai
trò, vị trí của an ninh thông tin, đặc biệt là vai trò của CISO
XEM THÊM
1. Vì mục đích an toàn thông tin, thuật ngữ nào sau đây được sử dụng để mô tả các hệ
thống để sử dụng, lưu trữ và truyền tải thông tin.
a.tài sản (asset)
b.kiểm kê tài sản (inventory)
c.Kiểm soát (controls)
d.các nguy cơ (threats)
Phản hồi
The correct answer is: tài sản (asset)
2. Khả năng một điểm yếu tiềm ẩn trong tổ chức trở thành mục tiêu của một cuộc tấn công,
được gọi là
a.Quản lý rủi ro
b.Xác suất xảy ra
c.Xác định nguy cơ
d.Đánh giá rủi ro
Phản hồi
The correct answer is: Xác suất xảy ra
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
3. Việc áp dụng các biện pháp kiểm soát nhằm giảm rủi ro đối với tài sản thông tin của tổ
chức xuống mức có thể chấp nhận được phân loại là nội dung nào sau đây?
a.kiểm soát rủi ro
b.đánh giá rủi ro
c.quản lý rủi ro
d.xác định rủi ro
Phản hồi
The correct answer is: kiểm soát rủi ro
4. Thuật ngữ nào để mô tả qui trình kiểm tra xem mỗi mối nguy cơ sẽ ảnh hưởng đến tổ
chức như thế nào?
a.Phân loại điểm yếu tiềm ẩn (vulnerability classification)
b.Phân loại dữ liệu (data classification)
c.Đánh giá rủi ro (risk assessment)
d.Đánh giá nguy cơ (threat assessment)
Phản hồi
The correct answer is: Đánh giá nguy cơ (threat assessment)
5. Công đồng nào sau đây thực hiện “phải hỗ trợ quản lý rủi ro bằng cách xây dựng và vận
hành hệ thống thông tin theo cách an toàn”
a.Công nghệ thông tin
b.Tất cả các nhóm trên
c.Quản lý chung và người sử dụng
d.An toàn thông tin
Phản hồi
The correct answer is: Công nghệ thông tin
6. Chiến lược kiểm soát rủi ro nào cố gắng chuyển rủi ro còn lại sang các tài sản khác, quy
trình khác hoặc tổ chức khác.?
a.Transference (chuyển giao)
b.Mitigation (giảm thiểu)
c.Acceptance (chấp nhận)
d.Defense (Phòng thủ)
Phản hồi
The correct answer is: Transference (chuyển giao)
7. Chiến lược kiểm soát rủi ro nào cố gắng giảm ảnh hưởng của một cuộc tấn công thành
công thông qua việc lập kế hoạch dự phòng và chuẩn bị sẵn sàng
a.Mitigation (giảm thiểu)
b.Transference (chuyển giao)
c.Acceptance (chấp nhận)
d.Defense (Phòng thủ)
Phản hồi
The correct answer is: Mitigation (giảm thiểu)
8. Qui trình lớn gồm nhận dạng rủi ro, xác định và chứng minh cho các biện pháp kiểm soát
rủi ro, được gọi là quy trình nào sau đây?
a.đánh giá rủi ro
b.quản lý rủi ro
c.kiểm soát rủi ro
d.xác định rủi ro
Phản hồi
The correct answer is: quản lý rủi ro
9. Công đồng nào sau đây thực hiện “ phải đảm bảo phân bổ đủ nguồn lực cho quá trình
quản lý rủi ro.
a.An toàn thông tin
b.Công nghệ thông tin
c.Quản lý chung và người sử dụng
d.Tất cả các nhóm trên
Phản hồi
The correct answer is: Quản lý chung và người sử dụng
10. Thuật ngữ nào sau đây mô tả quá trình quyết định điểm số cho các yếu tố quan trọng
tùy theo mức độ quan trọng của nó đối với tổ chức?
a.Phân loại dữ liệu
b.Phân loại thành phần tài sản
c.Phân tích nhân tố có trọng số
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
b.Mục đích của phân tích nhân tố trọng số là liệt kê các tài sản theo thứ tự quan trọng của
chúng đối với tổ chức.
c.Trong giai đoạn đánh giá rủi ro, rủi ro được tính bằng tần suất tổn thất nhân với mức độ
tổn thất
d.Qui trình thực hiện việc xếp hạng rủi ro hoặc điểm số cho mỗi tài sản thông tin gọi là đánh
giá rủi ro.
The correct answer is: Mục đích của phân tích nhân tố trọng số là liệt kê các tài sản theo thứ
tự quan trọng của chúng đối với tổ chức.
18. Phát biểu nào SAI
a.Một tổ chức chứng minh rằng họ đã làm những gì mà bất kỳ tổ chức thận trọng nào sẽ
làm trong những trường hợp tương tự và tuân thủ theo luật gọi là thực hành tốt nhất (the
best practice)
b.Tất cả các lựa chọn
c.Tiêu chuẩn chăm sóc theo trách nhiệm là việc đơn vị áp dụng tiêu chuẩn (luật, qui định) và
kiểm soát để đảm bảo duy trì và thực hiện theo đúng luật
d.Chuẩn so sánh (Benchmarks) trong an toàn thông tin gồm2 loại Tiêu chuẩn chăm sóc theo
trách nhiệm và nỗ lực (standards of due care and due diligence) và Thực hành tốt nhất (best
practices)
The correct answer is: Một tổ chức chứng minh rằng họ đã làm những gì mà bất kỳ tổ chức
thận trọng nào sẽ làm trong những trường hợp tương tự và tuân thủ theo luật gọi là thực
hành tốt nhất (the best practice)
19. Phát biểu nào SAI về phân tích lợi ích – chi phí (CBA cost-benefit analysis)
a.Tất cả đều sai
b.Việc so sánh chi phí và lợi ích để giải thích sự hợp lý của KS gọi là
c.Là xác định tổn thất của tài sản trong cuộc tấn công
d.Nó còn gọi là phân tích khả thi kinh tế của việc đánh giá triển khai các biện pháp kiểm soát
và bảo vệ an toàn thông tin
Phản hồi
The correct answer is: Là xác định tổn thất của tài sản trong cuộc tấn công
20. Phát biểu nào Đúng
a.Khả thi vận hành (Operational Feasibility ) là Đánh giá mức độ phù hợp của một giải pháp
cụ thể với văn hóa của tổ chức và mức độ mà người dùng dự kiến sẽ chấp nhận giải pháp.
Nó còn được gọi là khả thi về hành vi
b.Khả thi kỹ thuật (Technical Feasibility ) là Đánh giá mức độ phù hợp của một giải pháp cụ
thể dựa trên cơ sở hạ tầng và nguồn lực công nghệ hiện tại của tổ chức, bao gồm phần
cứng, phần mềm, hệ thống mạng và nhân sự.
c.Tất cả đều đúng
d.Khả thi chính trị (Political Feasibility ) là đánh giá mức độ phù hợp của một giải pháp cụ
thể trong môi trường chính trị của tổ chức, ví dụ mối quan hệ trong công việc, mối quan hệ
giữa các bên liên quan
e.Khả thi tổ chức (Organizational Feasibility ) là đánh giá sự phù hợp giữa một giải pháp cụ
thể với mục tiêu lập kế hoạch chiến lược của tổ chức.
The correct answer is: Tất cả đều đúng
21.Tên thường được sử dụng cho khu vực trung gian giữa mạng đáng tin cậy và mạng
không đáng tin cậy là DMZ.
a.Sai
b.Đúng
The correct answer is: Đúng
22.Trong một chương trình bảo mật thông tin, Bảo mật logic (logical security) quan trọng
hơn nhiều so với bảo mật vật lý (physical security)
a.Sai
b.Đúng
The correct answer is: Sai
23.Yếu tố xác thực “cái mà người yêu cầu có” là dựa trên các đặc điểm cá nhân, chẳng hạn
như dấu vân tay, vân tay, địa hình bàn tay, hình học bàn tay hoặc quét võng mạc và mống
mắt.
a.Sai
b.Đúng
The correct answer is: Sai
24.Cộng đồng lợi ích nào chịu trách nhiệm về an ninh của cơ sở mà tổ chức đang đặt trụ sở
cũng như các chính sách và tiêu chuẩn để vận hành an toàn?
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
33. Phương pháp dùng chứng minh cho sắp xếp thứ tự ưu tiên cho một chương trình thực
hiện an toàn thông tin có sự thay đổi phức tạp. Nó yều cầu những vấn đề đó phải được giải
quyết từ cái chung đến cái cụ thể và tập trung vào các giải pháp có tính hệ thống, thay vì
giải pháp từng vấn đề riêng biệt.
a.Mô hình/ Khuôn mẫu an toàn thông tin (information security framework)
b.Mô hình bull’s eye
c.Kế hoạch chi tiết an toàn thông tin (Blueprint)
d.Quả cầu an toàn thông tin (Spherer of security)
The correct answer is: Mô hình bull’s eye
34. Trong quá trình thực hiện dự án ATTT, nội dung nào KHÔNG nằm trong phạm vi cân
nhắc
a.Văn hóa quản trị thay đổi
b.Vấn đề kỹ thuật
c.Thay đổi tổ chức
d.Tất cả đều sai
The correct answer is: Tất cả đều sai
35. Hãy sắp xếp theo thứ tự các lớp vấn đề cần giải quyết trong mô hình Bull’s eye. (1) Lớp
ứng dụng; (2) lớp hệ thống; (3) Lớp mạng; (4) Lớp chính sách
a.(4); (3); (2); (1)
b.(2); (1); (3); (4)
c.(1); (2); (3); (4)
d.(3); (4); (2); (1)
The correct answer is: (4); (3); (2); (1)
36. Dừng hệ thống cũ và bắt đầu hệ thống mới mà không có bất kỳ sự chồng chéo nào?
a.Chuyển đổi trực tiếp (direct changeover)
b.Kiểm soát hệ thống (system control)
c.Chuyển đổi từng phần (phased implementation)
d.Kiểm soát thay đổi (change control)
The correct answer is: Chuyển đổi trực tiếp (direct changeover)
37. Một phương pháp được sử dụng để quản lý việc sửa đổi các hệ thống trong tổ chức
bằng cách yêu cầu xem xét và phê duyệt chính thức cho mỗi thay đổi?
a.Kiểm soát hệ thống
b.Kiểm soát thay đổi
c.Chuyển đổi từng phần
d.Chuyển đổi gián tiếp
The correct answer is: Kiểm soát thay đổi
38.Phát biểu nào đúng
a.Chính sách hoạt động của doanh nghiệp cần tách biệt hoàn toàn với các khái niệm an
toàn thông tin
b.Phỏng vấn là bước làm đầu tiên trong qui trình tuyển dụng nhân sự an toàn thông tin
c.Nhiều cạm bẫy trong trách nhiệm tuyển dụng nhân viên
d.Tất cả đầu đúng
The correct answer is: Nhiều cạm bẫy trong trách nhiệm tuyển dụng nhân viên
39.Vai trò nào thường được giao nhiệm vụ cấu hình tường lửa, triển khai IDPSs, triển khai
phần mềm bảo mật, chẩn đoán và khắc phục sự cố và phối hợp với quản trị mạng và quản
trị hệ thống để đảm bảo rằng công nghệ bảo mật đang hoạt động để bảo vệ tổ chức?
a.CSO
b.Phân tích viên an ninh (security analyst)
c.Quản lí an ninh (Security manager)
d.Quản lý an ninh vật lý
e.CISO
The correct answer is: Phân tích viên an ninh (security analyst)
40.Thông thường vai trò nào có trách nhiệm cho hoạt động hàng ngày của chương trình an
toàn thông tin?
a.Quản lí an ninh (Security manager)
b.CSO
c.CISO
d.Quản lý an ninh vật lý
e.Phân tích an ninh (security analyst)
The correct answer is: Quản lí an ninh (Security manager)
41.Phát biểu nào SAI
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
a.CISO và CSO cần kết hợp với phòng nhân sự để đưa các yêu cầu an toàn thông tin vào
các hướng dẫn dùng cho việc tuyển dụng nhân sự.
b.Huấn luyện an toàn thông tin chỉ cần được thực hiện trong ngày hội tuyển dụng
c.Tất cả các lựa chọn đều SAI
d.Đánh giá thành quả của nhân viên phải bao gồm cả các nhiệm vụ an toàn thông tin
The correct answer is: Huấn luyện an toàn thông tin chỉ cần được thực hiện trong ngày hội
tuyển dụng
42.Thông thường vai trò nào có trách nhiệm xây dựng định hướng cho bộ phận an toàn
thông tin?
a.Quản lý an ninh vật lý
b.CISO
c.CSO
d.Quản lí an ninh (Security manager)
e.Phân tích an ninh (security analyst)
The correct answer is: CISO
43.Cần thực hiện 5 bước để quản lý cấu hình và thay đổi theo tiêu chuẩn của NIST SP 800-
65
a.Đúng
b.Sai
The correct answer is: Đúng
44.Thuật ngữ nào sau đây mô tả đúng nhất quá trình sửa chữa các điểm yếu bảo mật đã
biết?
a.Giám sát (monitoring)
b.Vá (patching)
c.Kiểm tra thử nghiệm (testing)
d.Cập nhật (updating)
The correct answer is: Vá (patching)
45.Doanh nghiệp cần đánh giá và xem xét Chương trình quản trị an toàn thông tin một cách
thường xuyên để đảm bảo nó hiệu quả vì lý do gì?
a.Môi trường hoạt động liên quan tới an toàn thông tin thường xuyên thay đổi
b.Tất cả các lựa chọn
c.Công nghệ và nguy cơ mới thường xuyên thay đổi
d.Hoạt động kinh doanh trong đơn vị thường xuyên thay đổi
The correct answer is: Tất cả các lựa chọn
46.Thành phần nào của mô hình bảo trì tập trung vào việc xác định, đánh giá các nguy cơ
mới, tác nhân đe dọa và các kiểu tấn công mới ?
a.Giám sát môi trường bên ngoài
b.Sẵn sàng và kiểm tra
c.Lập kế hoạch và đánh giá rủi ro
d.Giám sát môi trường bên trong
e.Đánh giá và khắc phục điểm yếu tiềm ẩn
The correct answer is: Giám sát môi trường bên ngoài
47.Trong mô hình duy trì an ninh, vùng nào dưới đây có mục tiêu chính là theo dõi toàn bộ
chương trình bảo mật thông tin thông qua rà soát kế hoạch ATTT và các rủi ro
a.Đánh giá và khắc phục điểm yếu tiềm ẩn
b.Giám sát môi trường bên ngoài
c.Giám sát môi trường bên trong
d.Lập kế hoạch và đánh giá rủi ro
e.Sẵn sàng và kiểm tra
The correct answer is: Lập kế hoạch và đánh giá rủi ro
48.Thành phần nào của mô hình bảo trì tập trung vào việc xác định, đánh giá và quản lý cấu
hình và trạng thái của tài sản thông tin trong một tổ chức?
a.Giám sát môi trường bên trong
b.Lập kế hoạch và đánh giá rủi ro
c.Sẵn sàng và kiểm tra
d.Giám sát môi trường bên ngoài
e.Đánh giá và khắc phục điểm yếu tiềm ẩn
The correct answer is: Giám sát môi trường bên trong
49.Thuật ngữ nào để mô tả một cách tiếp cận đánh giá được thiết kế để tìm và lập tài liệu
các điểm yếu tiềm ẩn (vulnerability) có trong mạng công cộng (organization’s public network)
của tổ chức?
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
54.Xác suất mà một lỗ hổng an toàn thông tin cụ thể trong một đơn vị sẽ là mục tiêu của một
cuộc tấn công được gọi là
axác suất xảy ra tấn công (likelihood)
b.mức độ tổn thất (Loss Magnitude)
c.tần suất tổn thất (Loss Frequency)
d.xác suất thiệt hại (Probable Loss)
55.Loại chính sách nào đề cập đến các lĩnh vực công nghệ cụ thể, yêu cầu cập nhật thường
xuyên và có tuyên bố về quan điểm của tổ chức về một vấn đề cụ thể?
a.chính sách bảo mật thông tin doanh nghiệp (EISP)
b.chính sách bảo mật theo vấn đề cụ thể (ISSP)
c.chính sách bảo mật dành riêng cho hệ thống (SysSP)
d.chính sách dự phòng (CP)
56.Mô hình nào sau đây minh họa rằng mỗi giai đoạn của SDLC bắt đầu với các kết quả và
thông tin thu được từ giai đoạn trước?
a.Mô hình thác nước
b.Mô hình bảo hiểm phần mềm
c.Mô hình REA
d.Mô hình phát triển ứng dụng nhanh
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
57.Khái niệm nào sau đây xác định ranh giới giữa giới hạn bên ngoài về an ninh của một tổ
chức và điểm bắt đầu với môi trường bên ngoài?
a.quả cầu an ninh (sphere of security)
b.vành đai an ninh (security perimeter)
c.lĩnh vực an ninh (security domain )
d.khuôn mẫu an ninh (security framework)
58.Mô hình thu thập dữ liệu _____________ là khi người điều tra loại bỏ nguồn điện và sau
đó sử dụng một tiện ích hoặc thiết bị đặc biệt để tạo bản sao theo từng khu vực bit (bit
sectors) của các ổ đĩa cứng có trong hệ thống.
a.sao chép ảnh đĩa cứng
b.online (trực tuyến)
c. offline (ngoại tuyến)
d.sao lưu đĩa cứng
59.Khi kẻ tấn công hoặc người trong cuộc đáng tin cậy đánh cắp thông tin từ hệ thống máy
tính và yêu cầu bồi thường cho việc trả lại hoặc thỏa thuận không tiết lộ thông tin đó, trường
hợp tấn công này được gọi là:
a.giao dịch nội gián (Insider trading)
b.phần mềm mã hóa đòi tiền chuộc (ransomeware)
c.tống tiền thông tin (Information extortion)
d.tống tiền công nghệ (technology extortion)
60.Vai trò nhân sự phụ trách an toàn thông tin nào chịu trách nhiệm cho hoạt động hàng
ngày của chương trình an toàn thông tin?
a.CISO
b.Quản lý an toàn thông tin (information security manager)
c.CIO
d.Chuyên viên phân tích an toàn thông tin (Security Analyst)
61.Thuật ngữ nào sau đây mô tả đúng nhất đặc điểm kỹ thuật của một mô hình sẽ được
tuân theo trong quá trình thiết kế, lựa chọn và triển khai ban đầu và liên tục của tất cả các
biện pháp kiểm soát bảo mật tiếp theo?
a.bản vẽ thiết kế chi tiết (blueprint)
b.kế hoạch an toàn thông tin (security plan)
c.sổ tay NIST
d.Khuôn mẫu an toàn thông tin (information security framework)
62.Sử dụng cơ chế truy cập đã biết hoặc đã được cài đặt trước đó để truy cập vào một hệ
thống được gọi là cơ chế nào sau đây?
a.phần mềm trojan horses
b.cử
c.tấn công từ chối dịch vụ DOS
d.bom ẩn (hidden boom)
63.Loại an toàn thông tin nào bao gồm bảo vệ các thành phần, kết nối và nội dung mạng và
dữ liệu?
a.An toàn thông tin
b.An toàn mạng máy tính
c.An toàn vật lý
d.nhóm quản lý chung, nhóm quản lý công nghệ thông tin và nhóm bảo mật mạng máy tính
71.Việc tính toán giá trị liên quan đến tổn thất có khả năng xảy ra cao nhất từ một cuộc tấn
công được gọi là:
a.ARO
b.CBA
c.ALE
d.SLE
72.Chiến lược kiểm soát rủi ro nào cố gắng giảm tác động của một cuộc tấn công thành
công thông qua việc lập kế hoạch và chuẩn bị ứng phó rủi ro?
a.né tránh rủi ro
b.phòng thủ rủi ro
c.chia sẻ rủi ro
d.giảm thiểu rủi ro
73. Thuật ngữ được thừa nhận chung cho sự bảo hộ của chính phủ dành cho sở hữu trí tuệ
(văn bản và điện tử) được gọi là thuật ngữ nào sau đây?
a.luật bảo mật máy tính
b.luật hành chánh
c.luật bảo hộ tài sản trí tuệ
d.luật bản quyền
74.Loại kế hoạch nào được đơn vị tiến hành lập để chuẩn bị, phản ứng và phục hồi từ các
sự kiện đe dọa đến sự an toàn của thông tin và tài sản thông tin trong tổ chức, và chuẩn bị
cho việc khôi phục lại các phương thức hoạt động kinh doanh bình thường sau đó?
a.kế hoạch ứng phó sự cố (IRP)
b.Kế hoạch kinh doanh liên tục (BCP)
c.kế hoạch dự phòng (CP)
d.kế hoạch khắc phục thảm họa (DRP)
75. An ninh mạng giải quyết các vấn đề cần thiết để bảo vệ các mục, đối tượng hoặc khu
vực, đúng hay sai?
a.Sai
b.Đúng
76. Loại kế hoạch nào đảm bảo rằng hoạt động kinh doanh quan trọng các chức năng vẫn
tiếp tục nếu một sự cố thảm khốc hoặc thảm họa xảy ra?
a.kế hoạch khắc phục thảm họa (DRP)
b.kế hoạch phục hồi kinh doanh (BRP)
c.kế hoạch dự phòng (CP)
d.kế hoạch kinh doanh liên tục (BCP)
77. Người chịu trách nhiệm lưu trữ, duy trì và bảo vệ dữ liệu là người
a.Sở hữu dữ liệu
b.lưu giữ dữ liệu
c.sử dụng dữ liệu
d.quản lý dữ liệu
78. Nội dung nào sau đây được sử dụng để định hướng cách giải quyết các vấn đề và các
công nghệ được sử dụng trong một tổ chức?
a.tiêu chuẩn ứng dụng CNTT trong doanh nghiệp
b.chính sách về công nghệ thông tin trong doanh nghiệp
c.đạo đức sử dụng CNTT trong DN
d.quản trị CNTT trong doanh nghiệp
79. Để đánh giá ảnh hưởng của những thay đổi về an toàn thông tin đối với thực tiễn quản
lý nhân sự của đơn vị, cần tiến hành nghiên cứu nào trước giai đoạn triển khai?
a.nghiên cứu khả thi về vận hành, khả thi về hành vi
b.khả thi về công nghệ
c.khả thi về kinh tế
d.khả thi về tuân thủ
80. Thiết bị khóa sử dụng dấu vân tay, lòng bàn tay, hình học bàn tay; mống mắt và võng
mạc; và trình đọc giọng nói và chữ ký để xác nhận người dùng là ví dụ của:
a.khóa sinh trắc học
b.khóa cơ học
c.khóa không dây
d.khóa thông minh
81. Thuật ngữ nào sau đây mô tả việc áp dụng các kỹ thuật và phương pháp pháp y để bảo
quản, xác định, trích xuất, lập tài liệu và giải thích phương tiện kỹ thuật số để phân tích bằng
chứng và / hoặc nguyên nhân gốc rễ?
a.điều tra gian lận trong kế toán (accounting forensic investigations)
b.Phân tích rủi ro
c.điều tra kỹ thuật số (digital forensics)
d.Truy tố hình sự
82. Hình thức an toàn thông tin nào đề cập đến việc bảo đảm an toàn cho tất cả các
phương tiện truyền thông, công nghệ và nội dung?
a.An toàn mạng máy tính
b.An toàn thông tin
c.An toàn vật lý
d.An toàn truyền thông
83.Tài liệu chi tiết về việc thu thập, lưu trữ, chuyển giao và sở hữu bằng chứng từ hiện
trường vụ án thông qua việc trình bày trước tòa được gọi là:
a. chuỗi bằng chứng (chain of evidence)
b. Phân tích pháp y kỹ thuật số
c. bằng chứng số (digital eviden)
d. bằng chứng tiềm năng (evidentiary material)
84.Thuật ngữ nào sau đây mô tả quá trình ấn định điểm số cho các yếu tố quan trọng, mỗi
yếu tố trong số đó được đơn vị sắp xếp theo mức độ quan trọng?
a.Phân loại dữ liệu
b.Phân loại tài sản thông tin
c.Phân tích nhân tố có trọng số
d.Kiểm kê tài sản thông tin
85. lợi ích (nhóm người dùng) nào chịu trách nhiệm về an ninh của cơ sở mà đơn vị đang
sử dụng cũng như chịu trách nhiệm về các chính sách và tiêu chuẩn để vận hành an toàn?
a. quản lý chung
b. nhóm quản lý an toàn công nghệ thông tin
c. Kỹ thuật viên an toàn thông tin
d. đội bảo vệ
86. Vì mục đích an toàn thông tin, thuật ngữ nào sau đây được sử dụng để mô tả các thành
phần của các hệ thống sử dụng, lưu trữ và truyền tải thông tin?
a.các nguy cơ
b.hàng tồn kho
c.các bằng chứng
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
95. Khi các dự án được khởi xướng ở các cấp cao nhất của một tổ chức và sau đó được
triển khai đến tất cả các cấp, đây là cách tiếp cận nào?
a.tiếp cận từ dưới lên
b.tiếp cận từ trên xuống
c.tiếp cận tập trung
d.tiếp cận ngang hàng
96. Nếu thông tin có trạng thái là chân thực hoặc nguyên bản và không phải là bịa đặt, thì
nó có đặc điểm của tính xác thực, đúng hay sai?
a.sai
b. đúng
97. Phát biểu nào SAI
a.An toàn hoặc an ninh mạng là nhằm bảo vệ các thành phần, nội dung của mạng máy tính.
Nó là một nhánh của mạng truyền thông
b.Khai thác (Exploit) là một kỹ thuật được sử dụng để thâm nhập hoặc làm yếu một hệ
thống.
c.Điểm yếu tiềm ẩn chính (Vulnerability) là điểm yếu điểm yếu bảo mật (Exposure)
d.An toàn vật lý là bảo vệ các tài sản vật lý khỏi bị lạm dụng, sử dụng sai mục đích hoặc truy
cập trái phép
98. Đặc tính nào sau đây KHÔNG được xem là đặc tính tạo Giá trị thông tin
a.Bảo mật
b.Tất cả các đặc tính mô tả trên
c.Không có lựa chọn nào là phù hợp
d.Hữu ích
e.Sở hữu
f.Toàn vẹn
99. Bảo vệ tính bảo mật, toàn vẹn, khả dụng của tài sản thông tin ở bất cứ nơi lưu trữ nào,
hoặc trong quá trình truyền tải - thông qua việc áp dụng các chính sách, quá trình đào tạo,
huấn luyện, nâng cao nhận thức cũng như sử dụng công nghệ.
a.An toàn truyền thông
b.An ninh mạng
c.An toàn máy tính
d.An toàn vật lý
e.An toàn thông tin
100. Loại bảo mật hoặc an toàn, an ninh nào nào đề cập đến việc bảo vệ tất cả các phương
tiện truyền thông, công nghệ và nội dung thông tin?
a.An toàn vật lý (Physical security)
b.An ninh mạng (Network security)
c.An toàn thông tin (Information security)
d.An ninh truyền thông (Communicationsn security)
101. Loại bảo mật hoặc an toàn, an ninh nào nào đề cập đến việc bảo vệ các tài sản vật lý
khỏi bị lạm dụng, sử dụng sai mục đích hoặc truy cập trái phép
a.An toàn vật lý (Physical security)
b.An toàn thông tin (Information security)
c.An ninh mạng (Network security)
d.An ninh truyền thông (Communication security)
102. An toàn thông tin bao gồm:
a.Tất cả các lựa chọn trên
b.An ninh mạng.
c.An toàn dữ liệu
d.Quản lý an toàn thông tin
103. Phát biểu nào là đúng
a.Cả A và B (Tất cả các phát biểu trên đều đúng)
b.Vi phạm quyền sở hữu không phải lúc nào cũng dẫn đến vi phạm tính bảo mật.
c.Vi phạm tính bảo mật luôn dẫn đến vi phạm quyền sở hữu
d.Không A, không B (tất cả các phát biểu trên đều sai)
104.Phát biểu nào SAI
a.Báo cáo của RAND Corporation 1970 (RAND R 609) được xem là tài liệu đầu tiên cho
việc nghiên cứu an toàn máy tính
b.Quyền sở hữu dữ liệu (ownership) có 3 kiểu bao gồm Người sở hữu dữ liệu (Data
owners); Người sử dụng dữ liệu (Data users); Người bảo quản dữ liệu (Data custodians);
c.MULTICS là hệ thống đầu tiên tích hợp bảo mật vào các chức năng cốt lõi của nó.
d.MULTICS được coi là tiền thân của Internet
105. Kẻ tấn công hoặc người được tin cậy đánh cắp hoặc làm gián đoạn truy cập thông tin
từ một hệ thống máy tính; và đổi lại là yêu cầu 1 khoản bồi thường cho sự truy cập trở lại/
có thông tin để sử dụng hoặc yêu cầu một thỏa thuận không tiết lộ thông tin, được gọi là
a.Cưỡng đoạt thông tin
b.Xâm phạm tài sản trí tuệ
c.Malware hay virut máy tính
d.Phá hoại
106. Các cuộc tấn công này được thiết kế để đánh chặn và thu thập thông tin trong quá trình
chuyển tiếp thông tin
a.Pharming
b.Tất cả đều đúng
c.Packet sniffer
d.Man-in-the-middle
e.IP- Spoofing
107. Phát biểu nào đúng
a.Thu thập thông tin qua vai (shoulder surfing ) Là hành động quan sát bí mật hoặc trực tiếp
về thông tin cá nhân hoặc việc sử dụng hệ thống, không thuộc tấn công có chỉ đích bằng
phần mềm
b.Tất cả đều đúng
c.IP Spoofing (Giả mạo địa chỉ IP) Một kỹ thuật để đạt được quyền truy cập trái phép vào
máy tính trong mạng bằng cách sử dụng địa chỉ IP nguồn giả mạo hoặc sửa đổi để tạo ra
nhận thức rằng thư đến từ một máy chủ đáng tin cậy
d.Man-in-the-middle: kẻ tấn công chặn luồng liên lạc và tự chèn mình vào cuộc trò chuyện
để thuyết phục mỗi bên rằng anh ta là đối tác hợp pháp
108. Sao chép, cài đặt hoặc phân phối trái phép phần mềm máy tính có bản quyền là:
a.Malware hay virus máy tính
b.Xâm phạm tài sản trí tuệ
c.Phá hoại
d.Cưỡng đoạt thông tin
109. Phát biểu nào đúng
a.Tấn công kỹ thuật xã hội (Social Engineering) là qui trình sử dụng các kỹ năng xã hội để
thuyết phục mọi người tiết lộ thông tin xác thực truy cập hoặc thông tin có giá trị khác cho kẻ
tấn công
b.Tin tặc cũng là 1 loại gián điệp hoặc kẻ xâm nhập trái phép
c.Tất cả các lựa chọn trên
d.Người không được phép cố truy cập trái phép vào thông tin mà một tổ chức đang bảo vệ
được gọi là gián điệp hoặc kẻ xâm nhập trái phép
110. Phát biểu nào đúng
a.Giáo dục là yếu tố quan trọng hàng đầu trong việc nâng cao nhận thức đạo đức
b.Tất cả các lựa chọn đều đúng
c.Phương pháp tốt nhất để ngăn cản các hành vi phi đạo đức và bất hợp pháp là thực thi
luật, chính sách và các kiểm soát kỹ thuật, giáo dục và đào tạo.
d.Nhân viên phải được đào tạo về các hành vi đạo đức được kỳ vọng, đặc biệt trong lĩnh
vực an toàn thông tin
111. Một dạng kỹ thuật xã hội, trong đó kẻ tấn công cung cấp những biểu hiện/hiển thị có vẻ
là giao tiếp hợp pháp (thường là e-mail), nhưng nó chứa mã ẩn hoặc mã nhúng chuyển
hướng câu trả lời đến trang web của bên thứ ba trong nỗ lực trích xuất thông tin cá nhân
hoặc bí mật thông tin
a.Gian lận phí ứng trước (Advance-fee Fraud)
b.Lừa đảo (Phishing)
c.Pharming
112. Tấn công từ chối dịch vụ (DoS):
a.Rất nhiều yêu cầu được đưa ra khiến hệ thống mục tiêu không thể xử lý chúng thành công
cùng với các yêu cầu dịch vụ hợp pháp khác
Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
b.Kẻ tấn công gửi một số lượng lớn các yêu cầu kết nối hoặc yêu cầu thông tin đến một
mục tiêu
c.Có thể dẫn đến sự cố hệ thống hoặc đơn thuần là không thể thực hiện các chức năng
thông thường
d.Tất cả đều đúng
113. Một dạng nguy cơ tấn công kỹ thuật xã hội (social engineering) thường được tiến hành
qua e-mail, trong đó một tổ chức hoặc một số bên thứ ba cho biết rằng người nhận có thể
nhận một số tiền cao bất hợp lý và chỉ cần một khoản phí tạm ứng nhỏ hoặc thông tin ngân
hàng cá nhân để được chuyển tiền
a.Lừa đảo (Phishing)
b.Pharming
c.Gian lận phí ứng trước (Advance-fee Fraud)
114. Các lớp trong thiết kế và thực hiện An toàn/an ninh thông tin:
a.Công nghệ
b.Chính sách
c.Con người
d.Tất cả đều đúng
115. Theo mô hình an toàn NIST SP 800-14, phát biểu nào SAI về nguyên tắc an toàn
a.Hỗ trợ sứ mệnh của tổ chức
b.Hiệu quả về mặt chi phí
c.Không cần đánh giá lại định kỳ
d.Phương pháp toàn diện và tích hợp
116. Nội dung nào sau đây không thuộc lớp “con người” trong tiếp cận nhiều lớp khi thiết kế
và thực hiện an toàn/an ninh thông tin
a.Chương trình nâng cao nhận thức (awareness)
b.Văn hóa (culture)
c.Giáo dục (Education)
d.Huấn luyện/Đào tạo (training)
117. Phát biểu nào SAI
a.Tiếp cận nhiều lớp trong triển khai an toàn/an gọi là phòng thủ theo chiều sâu
b.Vùng an toàn/an ninh (security domain) chính là vành đai an toàn (security perimeter)
c.Tài sản thông tin bao gồm thông tin có giá trị với tổ chức và hệ thống dùng để lưu trữ, xử
lý và truyền tải thông tin
d.Một trong những nền tảng của kiến trúc an toàn /an ninh là triển khai an toàn/an ninh
thành nhiều lớp
118. Phát biểu nào SAI về đặc điểm của các mục tiêu (objectives) của kế hoạch chiến thuật
(tactical plans)
a.Có thể đạt được
b.Có mục tiêu cụ thể
c.Có thể đo lường được
d.Không có giới hạn thời hạn
119. Kế hoạch nào mang tính định hướng lâu dài mà các đơn vị , bộ phận cần thực hiện
a.Kế hoạch hoạt động (operational plan)
b.Kế hoạch chiến lược (strategic plans)
c.Kế hoạch chiến thuật (Tactical plan)
d.Tất cả các lựa chọn
120. Phát biểu nào SAI về Chính sách an toàn thông tin DN (Enterprise information security
policies – EISP)
a.Hướng dẫn phát triển, triển khai và quản lý chương trình an toàn thông tin
b.Là chính sách cung cấp hướng dẫn chi tiết theo mục tiêu để hướng dẫn tất cả các thành
viên của tổ chức sử dụng tài nguyên
c.là Chính sách an toàn chung hay tổng quát
d.Xác định mục đích, phạm vi, các ràng buộc và khả năng áp dụng chương trình an ninh
của tổ chức
121. Kế hoạch nào tập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1 hoặc
2 năm.
a.Kế hoạch chiến thuật (Tactical plan)
b.kế hoạch chiến lược (strategic plans)
c.Kế hoạch hoạt động (operational plan)
d.Tất cả các lựa chọn
122. Phòng thủ sâu là một chiến lược bảo vệ tài sản thông tin, bao gồm sử dụng nhiều lớp
an ninh và loại kiểm soát nào dưới đây?[LNB1]
a.Kiểm soát vận hành
b.Kiểm soát quản lý
c.Kiểm soát kỹ thuật
d.Tất cả đều đúng
123. Phát biểu nào SAI
a.Chương trình giáo dục, huấn luyện và nhận thức về an toàn security education, training,
and awareness (SETA) là một trong những chương trình có thể mang lại nhiều lợi ích nhất
b.SETA giúp xây dựng kiến thức chuyên sâu khi cần thiết để thiết kế, triển khai hoặc vận
hành các chương trình an toàn cho các tổ chức và hệ thống
c.SETA giúp phát triển kỹ năng và kiến thức để người dùng máy tính có thể thực hiện công
việc của họ một cách an toàn hơn
d.Chương trình giáo dục, huấn luyện và nhận thức về an toàn security education, training,
and awareness (SETA) là một biện pháp kiểm soát được thiết kế để giảm các sự cố do nhân
viên vô tình vi phạm an ninh
e.Chương trình nâng cao nhận thức về an toàn là một trong những chương trình được thực
hiện thường xuyên nhất
124.Kế hoạch nào tập trung vào các hoạt động hàng ngày
a.Kế hoạch hoạt động (operational plan)
b.Kế hoạch chiến thuật (Tactical plan)
c.Tất cả các lựa chọn
d.Kế hoạch chiến lược (strategic plans)