Aise Aise

lOMoARcPSD|11005917
AISe - aise
Accounting Information System (Trường Đại học Kinh tế Thành phố Hồ Chí Minh)
Studocu is not sponsored or endorsed by any college or university

Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)
lOMoARcPSD|11005917
CHƯƠNG 1
Câu 1: Đâu không phải là các lĩnh vực của an toàn thông tin
a .An toàn máy tính
b. Bảo mật dữ liệu
c. An ninh mạng
d. Đảm bảo tính toàn vẹn
Câu 2: Bảo vệ thông tin và các yếu tố quan trọng của nó, bao gồm các …hệ thống……….. (2 từ) và phần
cứng dùng để sử dụng, lưu trữ và truyền tải thông tin
Answer: hệ thống
Câu 3: Nhu cầu an toàn máy tính xuất hiện từ lĩnh vực quốc phòng
Đúng
Sai
Câu 4: Chất lượng hoặc trạng thái có quyền sở hữu hoặc kiểm soát một số đối tượng hoặc vật phẩm
a.Tính toàn vẹn (Integrity)
b.Tính bảo mật (Confidentiality)
c.Tính khả dụng (Availability)
d. Chiếm hữu (Possession)
Câu 5 : Một hành động cố ý hoặc vô ý có thể làm hỏng hoặc làm tổn hại đến thông tin và hệ thống hỗ trợ
nó
a.Khai thác (Exploit)
b.Rủi ro (Risk)
c.Nguy cơ (Threat)
d. Tấn công (Attack)
Câu 6: Đâu không phải là nhóm người dùng ảnh hưởng đến an toàn thông tin (Communities of Interest)
a.Nhóm quản lý CNTT
b.Nhóm quản lý an toàn thông tin
c. Nhóm người chịu trách nhiệm về dữ liệu
d.Nhóm quản lý chung
Câu 7: Tam giác C.I.A thể hiện tiêu chuẩn công nghiệp về bảo mật máy tính bao gồm 3 đặc điểm
a.Tính chiếm hữu, tính toàn vẹn và tính khả dụng
b.Tính bảo mật, tính toàn vẹn và tính tiện ích
c.Tính bảo mật, tính đầy đủ và tính khả dụng
d. Tính bảo mật, tính toàn vẹn và tính khả dụng
Câu 8: Tính chất của thông tin cho phép người dùng khi cần truy cập thông tin mà không bị can thiệp
hoặc cản trở và truy xuất thông tin đó ở định dạng bắt buộc
a.Chiếm hữu (Possession)
b.Tính khả dụng (Availability)
lOMoARcPSD|11005917
c.Tính bảo mật (Confidentiality)

d.Tính toàn vẹn (Integrity)
Câu 9: Điền vào chỗ trống thuật ngữ thích hợp: SDLC là một phương pháp luận được áp dụng trong
phân tích, ………. (2 từ), thực hiện và vận hành hệ thống
a.vận động
b.tổng hợp
c.thiết kế
d.đánh giá
Câu 10: Chọn phát biểu không đúng

a.Hệ thống luôn sẵn sàng để truy cập sẽ dẫn đến nguy cơ bị tấn công
b.An toàn thông tin và khả năng truy cập phải hài hòa và cân xứng
c. Có thể có được an toàn thông tin tuyệt đối, hoàn hảo
d.Nếu cô lập hệ thống để đảm bảo an toàn cao thì không thể truy cập được
Câu 11: Phát biểu nào đúng về thành phần “con người” trong hệ thống thông tin
a.Đào tạo, huấn luyện, giám sát quy trình, đánh giá định kỳ giúp đảm bảo các thủ tục có thể hoàn thành
vai trò của minh.
b.Do được lập trình nên phần mềm hàm chứa nhiều nguy cơ, từ lỗi lập trình cho đến sử dụng sai mục
đích.
c. Các chính sách, thủ tục, việc đào tạo, nhận thức đạo đức và sử dụng công nghệ đúng đắn sẽ giúp
hạn chế điểm yếu này
d.Mạng máy tính có nhiều nguy cơ, do đó kiểm soát lưu lượng và kiểm soát truy cập là cần thiết.
Câu 12: Đâu không phải là lĩnh vực của mô hình an toàn CNSS (khối lập phương McCumber)
a.Mục tiêu của an toàn thông tin

b.Thành phần của hệ thống thông tin
c. Trạng thái của thông tin
d.Thủ tục an toàn thông tin
Câu 13: Đâu không phải là cách thức thực hiện SDLC
a.SDLC truyền thống, tích hợp bảo hiểm phần mềm vào quá trình phát triển phần mềm
b. Microsoft ‘s SDL
c.Phương pháp tiếp cận dựa trên các tiêu chuẩn NIST
d.Áp dụng các nguyên tắc thiết kế phần mềm
Câu 14: Chất lượng hoặc trạng thái của thông tin gốc hoặc nguyên bản, thay vì sao chép hoặc chế tạo
a.Tính xác thực (Authenticity)

b.Chiếm hữu (Possession)
lOMoARcPSD|11005917
c.Tính toàn vẹn (Integrity)

d.Tính khả dụng (Availability)
Câu 15: Cách thức tiếp cận thực hiện an toàn thông tin nào có các đặc điểm sau: “Bắt đầu từ các hành vi
từ cấp dưới nhằm cải thiện an toàn hệ thống và dựa trên kỹ năng và kiến thức của quản trị viên hệ thống”
a.Tiếp cận từ trên xuống (top-down approach)

b.Tiếp cận theo SDLC truyền thống tích hợp bảo hiểm phần mềm (Software Assurance)
c.Tiếp cận theo SDLC (Systems Development Life Cycle)
d.Tiếp cận từ dưới lên (bottom-up approach)
Câu 16: Một tình trạng hoặc trạng thái bị phơi nhiễm; trong bảo mật thông tin, sự lộ diện tồn tại khi kẻ
tấn công biết được một lỗ hổng
a.Điểm yếu bảo mật (Exposure)

b.Tấn công (Attack)
c.Điểm yếu tiềm ẩn (Vulnerability)
d.Kiểm soát, bảo vệ hoặc biện pháp đối phó (Control, safeguard, or countermeasure)
Câu 17: Người chịu trách nhiệm báo cáo cho CIO, chịu trách nhiệm chính trong vấn đề an toàn và bảo
mật hệ thống thông tin, về việc đánh giá, quản lý và thực hiện an toàn thông tin là:
a.Giám đốc hoạt động (COO - chief operating officer)
b. Giám đốc an toàn thông tin (CISO - chief information security officer)
c.Giám đốc an toàn thông tin (CISO - chief information security officer)
d.Người chịu trách nhiệm về dữ liệu (Data Responsibilities)
Câu 18: Một trường hợp cụ thể hoặc một thành phần của một mối đe dọa
a.Quyền truy cập (Access)
b.Nguồn gốc đe dọa (Threat source)
c.Sự kiện đe dọa (Threat event)
d.Tác nhân đe dọa (Threat agent)
Câu 19: Cách thức tiếp cận thực hiện an toàn thông tin nào có các đặc điểm sau: “Dự án an toàn thông tin
được khởi xướng bởi các nhà quản lý cấp trên, những người ban hành các chính sách, thủ tục và quy
trình; đề xuất các mục tiêu và kết quả mong đợi; và xác định trách nhiệm cá nhân cho mỗi hành động”
a. Tiếp cận từ dưới lên (bottom-up approach)
b. Tiếp cận theo SDLC truyền thống tích hợp bảo hiểm phần mềm (Software Assurance)
c. Tiếp cận từ trên xuống (top-down approach)
d. Tiếp cận theo SDLC (Systems Development Life Cycle)
Câu 20: Chọn phát biểu không đúng về bản chất của an toàn thông tin
a. Tính không có nguyên mẫu, luôn linh hoạt, luôn sáng tạo trong lĩnh vực bảo mật, sự cân bằng trong
việc vận dụng kiến thức bảo mật, dẫn đến tính khoa học xã hội
b. Sự tương tác của con người với hệ thống, hành vi của người dùng tác động đến bảo mật, nhận thức về
rủi ro trong môi trường CNTT cho thấy an toàn thông tin mang tính chất của khoa học xã hội
c. Tính đa dạng, phức tạp, dẫn đến tính nghệ thật của an toàn thông tin
d. Đặc tính của công nghệ và khoa học máy tính cho thấy tính khoa học của an toàn thông tin
lOMoARcPSD|11005917
CHƯƠNG 2
Câu 1: Kết nối 6 phương thức tấn công của virus và sâu
Mass mail → Bằng cách gửi email bị nhiễm đến các địa chỉ có trong trong sổ địa chỉ, máy bị nhiễm sẽ
làm các máy khác bị nhiễm, những máy mà có chương trình đọc mail tự động hoạt động và tiếp tục lại
nhiễm cho nhiều hệ thống hơn,
Giao thức quản lý mạng đơn giản (Simple Network Management Protocol SNMP) → Được sử dụng để
quản lý từ xa các thiết bị mạng và máy tính,
Những chia sẻ không được bảo vệ (Unprotected shares) → Sử dụng các lỗ hổng trong hệ thống tập tin,
máy bị lây nhiễm sao chép thành phần virus đến tất cả các vị trí mà nó có thể tiếp cận,
Quét và tấn công IP (IP scan and attack) → Hệ thống bị nhiễm thực hiện quét một loạt các địa chỉ IP và
các cổng dịch vụ, và nhắm đến mục tiêu là một số lỗ hổng mà tin tặc đã biết hoặc còn sót lại từ các lần
khai thác trước đó,
Virus → Lỗi máy tính bị nhiễm sẽ lây nhiễm một số tập lệnh thực thi phổ biến trên tất cả các máy tính mà
nó có thể viết bằng mã virus có thể gây nhiễm trong tương lai,
Trình duyệt Web (Web browsing) → Nếu hệ thống bị nhiễm có quyền ghi vào bất kỳ trang web nào, nó sẽ
làm cho tất cả các tập nội dung Web bị lây nhiễm, do đó người dùng duyệt các trang Web này sẽ bị nhiễm
Câu 2: Khủng bố mạng và chiến tranh mạng (Cyber Terrorism and Cyber Warfare)
a.Nguy cơ hacktivist và cyber-activist ngày càng gia tăng
b.Vô tình xóa hoặc sửa dữ liệu
c.Khủng bố mạng thường không phải là một nguy cơ thực sự, thay vào đó, nó chỉ dùng để đánh lạc hướng
khỏi các vấn đề an ninh thông tin cấp bách
d.Tin tặc đánh cắp dữ liệu/ thông tin tổ chức (hộp mail, dữ liệu về tài khoản và mật khẩu của người dùng)
để đòi tiền chuộc
Câu 3: Kết nối các thuật ngữ sau với khái niệm tương ứng
Cracker → cá nhân bẻ khóa hoặc loại bỏ lớp bảo vệ được thiết kế để ngăn chặn việc sao chép hoặc sử
dụng trái phép,
Tin tặc chuyên nghiệp → Thường là bậc thầy về nhiều kỹ năng,
Phreaker → cá nhân tấn công hệ thống điện thoại công cộng để thực hiện các cuộc gọi miễn phí hoặc làm
gián đoạn dịch vụ,
Script kiddies → Sử dụng phần mềm do chuyên gia viết để khai thác hệ thống
Câu 4: Kết nối các khái niệm tấn công chặn liên lạc (Communications Interception Attacks)
Man-in-the-middle → Một nhóm các tấn công trong đó một người chặn luồng liên lạc và tự chèn mình
vào cuộc trò chuyện để thuyết phục mỗi bên rằng anh ta là đối tác hợp pháp,
Pharming → Là sự chuyển hướng của lưu lượng truy cập Web hợp pháp đến một trang Web bất hợp pháp
với mục đích lấy thông tin cá nhân,
Packet sniffer → Một chương trình hoặc thiết bị có thể giám sát dữ liệu truyền tải qua mạng,
Spoofing → Giả mạo địa chỉ IP là một kỹ thuật được sử dụng để truy cập trái phép vào máy tính, trong đó
kẻ xâm nhập sẽ gửi tin nhắn đến máy tính có địa chỉ IP cho biết rằng tin nhắn đến từ một máy chủ đáng
tin cậy
Câu 5: Mã đăng ký phần mềm duy nhất kết hợp với thỏa thuận cấp phép người dùng cuối (end-user
license agreement - EULA)
a.thường xuất hiện trong quá trình cài đặt phần mềm mới, yêu cầu người dùng cho biết rằng họ đã
đọc và đồng ý với các điều kiện sử dụng phần mềm
b.Tất cả đều đúng
c.Digital watermark
lOMoARcPSD|11005917
d.Người dùng khi cài đặt phần mềm thường được yêu cầu hoặc thậm chí phải đăng ký tài khoản sử dụng
phần mềm của họ để hoàn thành cài đặt, nhận hỗ trợ kỹ thuật hoặc sử dụng tất cả các tính năng
Câu 6: Việc sử dụng trái phép tài sản trí tuệ dẫn đến ......nguy cơ.. (2 từ) an toàn thông tin
Answer is: nguy cơ
Câu 7: Tài sản trí tuệ KHÔNG bao gồm:
a.Bằng sáng chế
b.Thương hiệu
c.Phát biểu về sứ mạng, tầm nhìn của đơn vị trên báo cáo thường niên
d.Bí mật thương mại
Câu 8: Hãy điền vào chỗ trống phát biểu thuật ngữ thích hợp:
CNTT tiếp tục bổ sung khả năng và phương pháp mới cho phép các tổ chức giải quyết các thách thức
quản lý thông tin, tuy nhiên nó cũng mang lại nhiều .....rủi ro mới..... (3 từ) cho thông tin của tổ chức.
Answer: rủi ro mới
Câu 9: Để bảo vệ thông tin, tổ chức cần:
a.Tất cả đều đúng
b.Hiểu rõ bản thân
c.Hiểu rõ đối thủ
d.Biết các nguy cơ mà tổ chức không phải đối mặt
Câu 10: Thuật ngữ được sử dụng để mô tả phần mềm độc hại thường loại trừ lẫn nhau
Đúng
Sai
Câu 11: Sự kết hợp của một số phần mềm và phần cứng sẽ phát hiện ra các lỗi mới
Đúng
Sai
Câu 12: Kết nối các thủ tục kiểm soát an toàn CSDL nên được triển khai trong đơn vị.
Kiểm soát kỹ thuật → dựa trên kiến thức về kiểm soát truy cập, xác thực, bảo mật ứng
dụng, sao lưu, phục hồi, mã hóa và kiểm soát tính toàn vẹn,
Kiểm soát quản lý → bao gồm chính sách, thủ tục và các vấn đề quản trị doanh nghiệp,
Kiểm soát vật lý → gồm sử dụng các trung tâm dữ liệu với cửa có khóa, hệ thống phòng
cháy chữa cháy, giám sát bằng video, và nhân viên bảo vệ
Câu 13: Đối tượng nào sau đây chịu trách nhiệm hỗ trợ Ban giám đốc trong việc xác định nhu cầu của
tổ chức đối với vấn đề an toàn thông tin.
a.Ban quản lý an toàn thông tin
c.Ban quản lý chung
d.Ban quản lý CNTT
Câu 14: Cuộc tấn công DoS khó chống lại hơn DDoS và hiện không có biện pháp kiểm soát khả thi.
Đúng
Sai
Câu 15: Chọn phát biểu đúng
a. Phương pháp tốt nhất để ngăn cản các hành vi phi đạo đức và bất hợp pháp là thực thi luật,
chính sách và các kiểm soát kỹ thuật, giáo dục và đào tạo
b.Giáo dục là yếu tố thứ yếu trong việc nâng cao nhận thức đạo đức
lOMoARcPSD|11005917
c.Khi hành vi đạo đức của một quốc gia mâu thuẫn với bộ quy tắc đạo đức của nhóm quốc gia khác thì tổ
chức cần lựa chọn theo quy tắc đạo đức theo quốc gia của CEO
d.Sự khác biệt giữa chính sách và luật pháp là sự thiếu hiểu biết về luật là có thể chấp nhận được
Câu 16: Back doors
a.Cuộc tấn công cố gắng áp đảo khả năng xử lý thông tin liên lạc được đưa đến máy tính mục tiêu, nhằm
cấm người dùng hợp pháp truy cập vào các hệ thống đó
b.Một hình thức tấn công thư điện tử khác cũng là một DoS, trong đó kẻ tấn công gửi một lượng lớn thư
điện tử đến mục tiêu
c.Một luồng yêu cầu phối hợp được đưa ra nhằm vào một mục tiêu từ nhiều địa điểm trong cùng một thời
điểm bằng cách sử dụng Bot hoặc Zombies
d.Có thể được xem là một maintenance door
Câu 17: Chọn phát biểu không đúng về nguy cơ "những tác động từ thiên nhiên"
a.Tổ chức không cho phép cá nhân đặt mật khẩu liên quan thông tin cá nhân hoặc có thể có trong
từ điển mật khẩu
b.Cần phải triển khai các kiểm soát để hạn chế thiệt hại, chuẩn bị các kế hoạch dự phòng để tiếp tục hoạt
động
c.Vì không thể chủ động tránh được loại nguy cơ này
d.Tất cả đều đúng
a.Một số lỗi và lỗi phát triển phần cứng dẫn đến phần mềm khó hoặc không thể triển khai theo cách an
toàn
b.Việc sử dụng ngày càng nhiều công nghệ di động làm giảm nguy cơ bị đánh cắp dữ liệu
c.Trộm cắp là loại nguy cơ thường trùng lặp với nguy cơ các cuộc tấn công phần mềm, gián điệp &
xâm nhập, tống tiền thông tin và xâm phạm quyền sở hữu trí tuệ.
d.Các chuyên gia an toàn thông tin đóng vai trò lớn trong việc xác định khi nào hệ thống/ công nghệ lỗi
thời
Câu 19: Hành vi trộm cắp vật lý không phải là một nguy cơ đối với an toàn thông tin.
Sai
Câu 20: Một khi kẻ tấn công giành được quyền truy cập vào hệ thống, bước tiếp theo là tăng các đặc
quyền của họ để cố giành ....... (3 từ) hệ thống
Answer is: quyền quản trị
Câu 21: Chọn phát biểu không đúng
a.Các tác nhân nguy cơ gây thiệt hại hoặc đánh cắp thông tin hoặc tài sản vật chất của tổ chức bằng cách
sử dụng các hành vi tận dụng lỗ hỗng bảo mật
b.Tấn công có thể liên quan đến nhiều nguy cơ
c.Để ra quyết định về an toàn thông tin, ban quản lý phải tự tìm hiểu về các nguy cơ khác nhau đối
với con người, thiết bị, dữ liệu và hệ thống thông tin của tổ chức
d.Mỗi tổ chức sẽ ưu tiên đối phó các nguy cơ khác nhau
Câu 23: Chọn phát biểu không đúng về nâng cấp đặc quyền (Escalation of Privileges)
a.Đặc quyền này cho phép kẻ tấn công ẩn các hoạt động của chúng bằng cách sửa đổi nhật ký hệ thống
b.Đặc quyền này cho phép kẻ tấn công truy cập thông tin, sửa đổi hệ thống để xem tất cả thông tin trong
đó
lOMoARcPSD|11005917
c.Là một kỹ năng tự thân hoặc sử dụng các công cụ phần mềm
d.Thường tạo ra các phần mềm tấn công và chia sẻ chúng với những người khác
a.Trộm cắp là loại nguy cơ thường trùng lặp với nguy cơ các cuộc tấn công phần mềm, gián điệp & xâm
nhập, tống tiền thông tin và xâm phạm quyền sở hữu trí tuệ.
b.Việc sử dụng ngày càng nhiều công nghệ di động làm giảm nguy cơ bị đánh cắp dữ liệu
c.Các chuyên gia an toàn thông tin đóng vai trò lớn trong việc xác định khi nào hệ thống/ công nghệ lỗi
thời
d.Một số lỗi và lỗi phát triển phần cứng dẫn đến phần mềm khó hoặc không thể triển khai theo
cách an toàn
Câu 25: Đoạn văn câu hỏi

Công nghệ lạc hậu chỉ là một han chế của hệ thống thông tin, không phải là nguy cơ đe dọa thông tin.
Sai
Câu 26: An toàn Cơ sở dữ liệu là:
a.quá trình duy trì tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu được quản lý bởi
DPMS
b.chương trình an toàn thông tin để bảo vệ khả năng các tính năng hoạt động của hệ thống không bị nguy
hại
c.Tất cả đều sai
d.là điều cần thiết để bảo vệ tính toàn vẹn và giá trị của dữ liệu
Câu 27: Cơ chế kỹ thuật có thể được áp dụng để thực thi luật bản quyền
a.Information Extortion
b.Escalation of Privileges
c.Embedded code
d.Script kiddies
Câu 28: Vấn đề dịch vụ KHÔNG ảnh hưởng nghiêm trọng đến tính khả dụng của thông tin và hệ thống
a.Các vấn đề liên quan đến các nhà cung cấp dịch vụ dọn dẹp. vệ sinh
b.Các vấn đề liên quan bất thường nguồn cung cấp điện
c.Các vấn đề liên quan dịch vụ Internet
d.Các vấn đề liên quan đến các nhà cung cấp dịch vụ điện thoại
Câu 29: Hoạt động vi phạm tính bảo mật KHÔNG liên quan đến gián điệp
a. Sử dụng trái phép phần mềm ứng dụng
b. Sholder surfing
c. Truy cập thông tin trái phép
d. Gián điệp công nghiệp
e. Sử dụng trình duyệt Web để thực hiện nghiên cứu thị trường
Câu 30: Nguy cơ
a. thể hiện một hành động liên tục gây tổn thất tài sản
b. chỉ tồn tại khi một hành động cụ thể có thể gây ra tổn thất
c. Tất cả đều sai
lOMoARcPSD|11005917
d. thể hiện rủi ro tiềm tàng đối với tài sản thông tin
Câu 31: Đâu không phải là ví dụ về cưỡng đoạt thông tin (Information Extortion)
a. Kẻ tấn công cài phần mềm độc hại vào hệ thống máy chủ nhằm từ chối quyền truy cập của người dùng,
sau đó đề nghị cung cấp khóa để cho phép truy cập lại hệ thống và dữ liệu của người dùng với một khoản
phí
b. Tin tặc đánh cắp dữ liệu/ thông tin tổ chức (hộp mail, dữ liệu về tài khoản và mật khẩu của người dùng)
để đòi tiền chuộc
c. Kẻ xấu đánh cắp số thẻ tín dụng
d. Cá nhân hoặc nhóm người cố ý phá hoại hệ thống máy tính hoặc hoạt động doanh nghiệp, hoặc
thực hiện các hành vi phá hoại để phá hủy tài sản hoặc làm hỏng hình ảnh của tổ chức
Câu 32: Kết nối các giải thích về tấn công mật khẩu:
Social Engineering → Kẻ tấn công đóng giả là chuyên gia CNTTT của một tổ chức cố gắng truy cập vào
hệ thống thông tin bằng cách liên hệ với nhân viên cấp thấp và đề nghị trợ giúp về các sự cố máy tính của
họ,
Bảng cầu vồng (Rainbow Tables) → Nếu kẻ tấn công có thể truy cập vào tệp mật khẩu được mã hóa, dù
chỉ bao gồm các giá trị hash, các giá trị này có thể tra cứu và định vị nhanh chóng dựa trên Bảng cầu
vồng,
Bẻ khóa (password cracking) → Cố gắng đoán hoặc tính toán ngược lại mật khẩu,
Tấn công từ điển (Dictionary Attacks) → Là một biến thể của brute force thu hẹp phạm vi bằng cách sử
dụng từ điển các mật khẩu phổ biến bao gồm thông tin liên quan đến người dùng mục tiêu,
Brute force → Là việc áp dụng tính toán và tài nguyên mạng để thử mọi kết hợp mật khẩu có thể có
Câu 33: Thủ tục kiểm soát nào ít hiệu quả nhất trong đối phó với nguy cơ "sai sót của con người"
a.Các hoạt động nâng cao nhận thức liên tục
b.Áp dụng các kỹ thuật hỗ trợ
c.Sao lưu dữ liệu dự phòng
d.Ban hành các chính sách hướng dẫn chi tiết về an toàn
Câu 34: Hãy kết nối các loại nguy cơ và ví dụ về cuộc tấn công tương ứng.
Xâm phạm tài sản trí tuệ → Ăn cắp bản quyền, vi phạm bản quyền
Gián điệp hoặc kẻ xâm nhập trái phép → Truy cập trái phép hoặc/ và thu thập dữ liệu trái phép
Sai lệch về chất lượng dịch vụ bởi NCC dịch vụ → Các vấn đề liên quan nhà cung cấp dịch vụ Internet
(ISP), năng lượng và dịch vụ mạng WAN
Lỗi con người / sai sót → Tai nạn, lỗi nhân viên
Lỗi phần cứng → Lỗi thiết bị
Phá hoại → Huỷ hoại hệ thống hoặc thông tin
Lỗi phần mềm → Bugs, các vấn đề về mã, lổ hỗng bảo mật chưa được xác định
Trộm → Chiếm đoạt bất hợp pháp thiết bị hoặc thông tin
Cưỡng đoạt thông tin → Tống tiền, tiết lộ thông tin
Tấn công có chủ đích bằng phần mềm → Viruses, worms, macros, từ chối dịch vụ
Công nghệ lạc hậu → Công nghệ lạc hậu
Những tác động từ thiên nhiên → Cháy nổ, lũ lụt, động đất, sấm sét
Câu 35:
Malware
Câu 1: Zero-day attack là gì
a.Bao gồm những tấn công sử dụng phần mềm như tấn công chuyển hướng và tấn công từ chối dịch vụ
lOMoARcPSD|11005917
b.Nếu hệ thống bị nhiễm có quyền ghi vào bất kỳ trang web nào, nó sẽ làm cho tất cả các tập nội dung
Web bị lây nhiễm, do đó người dùng duyệt các trang Web này sẽ bị nhiễm
c.Bằng cách gửi email bị nhiễm đến các địa chỉ có trong trong sổ địa chỉ, máy bị nhiễm sẽ làm các máy
khác bị nhiễm, những máy mà có chương trình đọc mail tự động hoạt động và tiếp tục lại nhiễm cho
nhiều hệ thống hơn
d.Cuộc tấn công sử dụng các malware mà các công ty phần mềm chống malware chưa biết về
malware
Câu 2: Trojan horses thường được ngụy trang dưới dạng ………….. (4 chữ) hoặc cần thiết, như tệp
readme.exe thường được bao gồm trong các gói phần mềm chia sẻ hoặc phần mềm miễn phí
Answer is: phần mềm hữu ích
Câu 3: Phần mềm gián điệp spyware bao gồm các dạng: Web bug, Adware và Bots
Đúng
Câu 4: Malware bao gồm các dạng viruses, sâu, Trojan horses, Back doors và các tập lệnh Web được kích
hoạt với mục đích phá hủy hoặc đánh cắp thông tin
Sai
Câu 5: Nguy cơ đa hình là gì (Polymorphic Threats)
a. Được sử dụng để quản lý từ xa các thiết bị mạng và máy tính
b.Là công nghệ thường được dùng để triển khai Trojan horse, logic bombs, back doors và phần mềm gián
điệp spyware
c.Là mã/ phần mềm độc hại, bao gồm những tấn công sử dụng phần mềm như tấn công chuyển hướng và
tấn công từ chối dịch vụ.
d.Là nguy cơ virus và sâu phát triển, thay đổi kích thước của nó và các đặc điểm bên ngoài của tập
tin để tránh bị phát hiện bởi các chương trình phần mềm chống virus
Câu 6: Hãy kết nối các thuật ngữ và khái niệm tương ứng.
Attack: Tấn công → Một hành động cố ý hoặc vô ý có thể làm hỏng hoặc làm tổn hại đến thông tin và hệ
thống hỗ trợ nó. Tấn công có thể là tấn công chủ động hoặc tấn công bị động; tấn công trực tiếp hoặc tấn
công gián tiếp,
Asset: Tài sản → Các nguồn lực của doanh nghiệp đang được bảo vệ. Tài sản có thể có hình thái vật chất
hay phi vật chất. Tài sản thông tin là trọng tâm của an toàn thông tin,
Access: Quyền truy cập → Khả năng sử dụng, thao tác, sửa đổi hoặc ảnh hưởng đến chủ thể, hoặc đối
tượng khác của chủ thể hoặc đối tượng,
Control, safeguard, or countermeasure: Kiểm soát, bảo vệ hoặc biện pháp đối phó → Các cơ chế, chính
sách hoặc quy trình bảo mật có thể chống lại các cuộc tấn công thành công, giảm thiểu rủi ro, giải quyết
các lỗ hổng và cải thiện tính bảo mật trong tổ chức,
Exploit: Khai thác → Một kỹ thuật được sử dụng để xâm phạm hệ thống.
Câu 7: Sâu đa hình (polymorphic worm)/ sâu đa phương thức (multivector worm) sử dụng …. (1 số)
phương thức tấn công để khai thác nhiều lỗ hổng trong các thiết bị hệ thống thông tin phổ biến
Answer is: 6
Câu 8 : Worms là virus có thể tự tái tạo cho đến khi chúng lấp đầy hoàn toàn các tài nguyên có sẵn, như
bộ nhớ, dung lượng ổ cứng và băng thông mạng
Đúng
Câu 9: 6 phương thức tấn công của virus và sâu (Attack Replication Vectors) không bao gồm
a.Malware
b.Virus
c.Quét và tấn công IP (IP scan and attack)
lOMoARcPSD|11005917
d.Những chia sẻ không được bảo vệ (Unprotected shares)

Câu 10: Hậu quả của trò lừa bịp virus và sâu (Virus and Worm Hoaxes) là:
a.Làm hệ thống vận hành sai thiết kế
b.Làm lãng phí thời gian của người dùng và khiến mạng quá tải
c. Làm hệ thống bị ngưng hoạt động
d. Không ảnh hưởng đến hệ thống
Câu 11: Virus có thể phân loại theo cách chúng tự lây lan và bao gồm virus macro, virus khởi động
Đúng
Câu 12:
Threat source: Nguồn gốc đe dọa → Tập hợp các tác nhân đe dọa,
Threat agent: Tác nhân đe dọa → Một trường hợp cụ thể hoặc một thành phần của một mối đe dọa.,
Threat: Nguy cơ hoặc đe dọa → Bất kỳ sự kiện hoặc hoàn cảnh nào có khả năng ảnh hưởng xấu đến hoạt
động và tài sản của tổ chức,
Threat event: Sự kiện đe dọa → Sự kiện xảy ra do tác nhân đe dọa gây ra,
Vulnerability → Nhược điểm /điểm yếu tiềm ẩn có sẵn trong hệ thống hoặc trong các hệ thống phòng thủ
Câu 13: Viruses bao gồm các dạng malware, sâu, Trojan horses, Back doors và các tập lệnh Web được
kích hoạt với mục đích phá hủy hoặc đánh cắp thông tin
Sai
a. Virus khởi động (boot virus) được nhúng vào mã macro thực thi tự động, được sử dụng bởi bộ xử lý
văn bản, bảng tính và ứng dụng CSDL
b.Virus thường trú có khả năng kích hoạt lại khi máy tính được khởi động và tiếp tục hành động
của chúng cho đến khi hệ thống tắt, và chỉ khởi động lại vào lần khởi động tiếp theo của hệ thống
c.Trojan horses có thể sử dụng 6 phương thức tấn công để phát tán các bản sao của chúng tới các máy tính
ngang hàng đang hoạt động trên mạng
d.Virus macro lây nhiễm các tệp hệ điều hành chính trong phần boot của máy tính
Câu 15: Virus không thể lây qua máy tính khác qua phương tiện vật lý
Sai
Câu 16: Truyền thông giả mạo có được xem là một nguy cơ đối với an toàn thông tin hay không?
Đúng
Câu 17: Malware được thiết kế để làm hỏng, phá hủy hoặc từ chối dịch vụ cho các hệ thống mục tiêu.
Phát biêu trên đúng hay sai?
Đúng
Câu 18: Một chương trình phần mềm độc hại che giấu bản chất thực của nó và chỉ tiết lộ hành vi được
thiết kế khi được kích hoạt.
a.Virus
b.Trojan horses
c. Spyware
d. Malware
Câu 19: Hãy kết nối các thuật ngữ sau với khái niệm tương ứng
Exposure: Điểm yếu bảo mật → Một tình trạng hoặc trạng thái bị phơi nhiễm; trong bảo mật thông tin, sự
lộ diện tồn tại khi kẻ tấn công biết được một lỗ hổng.,
Loss: Thiệt hại → Tài sản thông tin bị hư hỏng hoặc bị phá hủy, sửa đổi hoặc tiết lộ ngoài ý muốn hoặc
trái phép hoặc bị từ chối sử dụng,
lOMoARcPSD|11005917
Protection profile or security posture: Hồ sơ bảo vệ hoặc thái độ bảo mật: → Toàn bộ tập hợp các biện
pháp kiểm soát và bảo vệ, bao gồm chính sách, giáo dục, đào tạo và nâng cao nhận thức và công nghệ, mà
tổ chức thực hiện để bảo vệ tài sản.,
Risk: Rủi ro → Sự kiện tiềm tàng không mong muốn có thể xảy ra gây thiệt hại cho doanh nghiệp,
Subjects and objects of attack → Chủ thể tấn công và đối tượng bị tấn công
Câu 20: Kết nối các đặc điểm của các phần mềm gián điệp spyware
Adware → Phần mềm độc hại với mục đích cung cấp tiếp thị và quảng cáo không mong muốn (bao gồm
cửa sổ bật lên và biểu ngữ trên màn hình của người dùng), được thiết kế để hoạt động ngoài tầm nhìn của
người dùng hoặc được kích hoạt bởi hành động dường như vô hại của,
Web bug → Một đồ họa nhỏ được tham chiếu trong HTML của trang web hoặc email để thu thập thông
tin về người dùng đang xem nội dung,
Cookie theo dõi → Được đặt trên máy tính của người dùng để theo dõi hoạt động của họ trên các trang
Web khác nhau và tạo hồ sơ chi tiết về hành vi của họ, sau đó những thông tin này có thể được sử dụng
trong một cuộc tấn công social engineering hoặc đánh cắp danh tính,
Bots → Là công nghệ thường được dùng để triển khai Trojan horse, logic bombs, back doors và
phần mềm gián điệp spyware
Câu 21: 6 phương thức tấn công của virus và sâu (Attack Replication Vectors) không bao gồm:
a.Zero-day attack
b.Giao thức quản lý mạng đơn giản (Simple Network Management Protocol SNMP)
c.Trình duyệt Web (Web browsing)
d.Mass mail
CHƯƠNG 6
CHƯƠNG 6 (KIM LONG)
Câu 1: Mục tiêu của kết thúc dự án là giải quyết mọi vấn đề đang ................ (3 từ), đánh giá nỗ lực tổng
thể của dự án và đưa ra kết luận về cách cải thiện quy trình cho tương lai.
The correct answer is: chờ xử lý
Câu 2: Mỗi đơn vị phải tìm ra lãnh đạo dự án phù hợp nhất với nhu cầu cụ thể của mình cũng như phù
hợp với đặc điểm của văn hóa đơn vị
Đáp án chính xác là "Đúng"
Câu 3: Kết nối các nội dung trong các nhiệm vụ chính của kế hoạch dự án
Phân công nhiệm vụ → nên mô tả các kỹ năng hoặc nhân sự - còn được gọi là nguồn lực, cần thiết để
hoàn thành nhiệm vụ,
Ước tính chi phí không được vốn hóa → một số khoản chi phí liên quan đến dự án có thể được xem là chi
phí phi vốn,
Ước tính chi phí được vốn hóa → là chi phí cho các dự án tạo ra doanh thu được kỳ vọng sẽ mang lại lợi
tức đầu tư,
Nỗ lực cần thiết → cần ước tính nỗ lực cần thiết để hoàn thành từng nhiệm vụ, nhiệm vụ chi tiết hoặc
bước hành động
Câu 4: Mô hình Bull’s-Eye
a.Ngày nay, hầu hết các nỗ lực an toàn thông tin đều tập trung vào lớp này, vì vậy cho đến gần đây an
toàn thông tin thường được coi là đồng nghĩa với an ninh mạng
b.Bởi vì chính sách thiết lập các quy tắc cơ bản cho việc sử dụng tất cả các hệ thống và mô tả những gì
phù hợp và không phù hợp, nó làm cho tất cả các thành phần an toàn thông tin khác hoạt động không theo
mong muốn
c.Lớp nhận được sự chú ý đầu tiên, xử lý các hệ thống phần mềm ứng dụng được tổ chức sử dụng để
hoàn thành công việc của mình
lOMoARcPSD|11005917
d. Nhiều đơn vị nhận thấy rằng các vấn đề về cấu hình và vận hành hệ thống thông tin theo cách an toàn
trở nên khó khăn hơn khi số lượng và độ phức tạp của các hệ thống này ngày càng tăng
Câu 6: Lớp ứng dụng trong mô hình Bull’s-Eye bao gồm các ứng dụng đóng gói như các chương trình e-
mail và tự động hóa văn phòng, các gói hoạch định nguồn lực doanh nghiệp (ERP), cũng như phần
mềm ................. (2 từ) tùy chỉnh do đơn vị phát triển cho các nhu cầu riêng
The correct answer is: ứng dụng
Câu 7: Thường có những ràng buộc đối với việc lựa chọn thiết bị và dịch vụ. Những ràng buộc này có thể
hạn chế những công nghệ nào có thể mua sắm.
Câu 8 Vấn đề nào KHÔNG cần cân nhắc khi lập kế hoạch thực hiện an toàn thông tin
a.Vấn đề mua sắm
b.Vấn đề về sự ưu tiên
c.Vấn đề tính khả thi về mặt tổ chức
d.Vấn đề người không phải là nhân viên
Câu 9 Thuê ngoài dịch vụ an toàn thông tin
a.có thể chọn thuê ngoài các chức năng an toàn thông tin chuyên biệt hơn
b.không nên thuê tư vấn bên ngoài để kiểm tra thâm nhập và đánh giá chương trình an toàn thông tin
c.không nên thuê ngoài các chức năng giám sát mạng
d.Tất cả đều sai
Câu 10: Phát triển văn hóa hỗ trợ thay đổi
b.Sự hỗ trợ yếu kém từ ban quản lý có thể dẫn đến sự thất bại gần như chắc chắn của dự án.
c.Sự hỗ trợ mạnh mẽ của ban quản lý đối với sự thay đổi cho phép đơn vị nhận ra sự cần thiết của sự thay
đổi và tầm quan trọng mang tính chiến lược của nó
d. Văn hóa thích nghi có thể được nuôi dưỡng hoặc bị phá hủy bởi cách tiếp cận của ban quản lý
Câu 12 Viễn cảnh về sự thay đổi, sự chuyển dịch từ quen thuộc sang không quen thuộc, có thể khiến nhân
viên ........ (2 từ) sự thay đổi, dù vô thức hoặc có ý thức.
The correct answer is: chống lại
Câu 13 Phát biểu KHÔNG đúng về lớp chính sách trong mô hình Bull’s-Eye
a.nó cho phép tất cả các thành phần an toàn thông tin khác hoạt động chính xác
b.có thể sử dụng chính sách để làm rõ những gì đơn vị đang cố gắng hoàn thành
c.bao gồm việc cung cấp xác thực và ủy quyền cần thiết khi cho phép người dùng kết nối qua mạng công
cộng với hệ thống của đơn vị
d.là nền tảng của tất cả các chương trình an toàn thông tin hiệu quả
Câu 14 Kết nối đặc điểm của các chiến lược chuyển đổi thực hiện thủ tục kiếm soát
Chuyển đổi thí điểm → giúp ngăn chặn những vấn đề với hệ thống mới ảnh hưởng đáng kể vào hoạt động
của đơn vị nói chung,
Chuyển đổi từng phần → Chỉ một phần của hệ thống được triển khai và phổ biến trong một đơn vị trước
khi phần tiếp theo được thực hiện nhằm giúp người dùng có cơ hội làm quen với nó và giải quyết các vấn
đề khi chúng phát sinh,
Chuyển đổi trực tiếp → Hạn chế chính của phương pháp này là nếu hệ thống mới bị lỗi hoặc cần sửa đổi,
người dùng có thể không có dịch vụ trong khi các lỗi của hệ thống được khắc phục,
lOMoARcPSD|11005917
Vận hành song song → có thể củng cố an toàn thông tin của đơn vị bằng cách cho phép hệ thống cũ phục
vụ như một hệ thống dự phòng nếu hệ thống mới bị lỗi hoặc bị xâm phạm
Câu 15: Cân nhắc về vấn đề tài chính trong lập kế hoạch thực hiện an toàn thông tin
a.Ngân sách cho an toàn thông tin có thể là một phần trong ngân sách cho CNTT nói chung; hoặc có thể
là một ngân sách riêng
b.Giới hạn phạm vi dự án trong một tập hợp các nhiệm vụ có thể quản lý được không có nghĩa là dự án
chỉ nên cho phép thay đổi một thành phần tại một thời điểm. Nhưng một kế hoạch tốt cần xem xét cẩn
thận số lượng nhiệm vụ được lên kế hoạch cho cùng một thời điểm trong một bộ phận
c.Việc thực hiện các biện pháp kiểm soát phụ thuộc vào mức độ ưu tiên của các mối đe dọa và giá trị của
tài sản thông tin bị đe dọa
d.Đơn vị nên tiến hành triển khai theo giai đoạn hoặc thí điểm, chẳng hạn như đào tạo triển khai cho từng
bộ phận tại một thời điểm
Mô hình Bull’s-Eye đòi hỏi các vấn đề phải được giải quyết từ tổng quát đến chi tiết và trọng tâm là các
giải pháp mang tính ....................... (2 từ) thay vì các vấn đề riêng lẻ.
The correct answer is: hệ thống
—--------------
Xác định sự phụ thuộc giữa các nhiệm vụ → nên lưu ý về sự phụ thuộc của các nhiệm vụ
hoặc các bước thực hiện khác nhau, bao gồm cả các nhiệm vụ trước và sau.,
Ngày bắt đầu và ngày kết thúc → Không nên xác định trước quá nhiều ngày cho quá nhiều nhiệm vụ,
phí phi vốn,
Công việc cần hoàn thành → cần dán nhãn và cung cấp mô tả kỹ lưỡng cho nhiệm vụ
Câu 2: Đối tượng nào nên là người quản lý dự án thực hiện an toàn thông tin?
a.Nhà cung cấp và khách hàng
b.Nhà quản trị
c.Người sử dụng hệ thống
d.Cộng đồng CNTT
Câu 4: Bảng phân chia công việc (Work Breakdown Structure - WBS)
a.Chia nhỏ kế hoạch dự án thành những nhiệm vụ chính (major tasks)
b.Nó được quản lý bằng cách sử dụng một quy trình được gọi là phân tích thiếu sót nhằm đảm bảo rằng
tiến độ được đo lường định kỳ
c.Xác định các vấn đề về mặt tài chính của khách hàng
d.Cần tiến hành phân tích thiết sót
Câu 5: Sau khi có sự đảm bảo rằng các chính sách được áp dụng, mạng an toàn và hệ thống an toàn, cần
chuyển sang đánh giá và khắc phục tính an toàn của các ứng dụng của đơn vị.
Câu 6: Bốn lớp của mô hình Bull’s-Eye bao gồm
a.phần mềm, hệ thống mạng, hệ thống và ứng dụng
b.chính sách, con người, hệ thống và ứng dụng
c.chính sách, hệ thống mạng, phần cứng và ứng dụng
lOMoARcPSD|11005917
d.chính sách, hệ thống mạng, hệ thống và ứng dụng

7. Các đơn vị không nên thuê ngoài các chương trình an toàn thông tin của họ
Đáp án chính xác là "Sai"
8. Vấn đề về huấn luyện và truyền đạt trong kế hoạch thực hiện an toàn thông tin
a.Các công nghệ mới đôi khi đòi hỏi các chính sách mới, đào tạo và huấn luyện nhân viên
b.Quy mô của đơn vị và hoạt động kinh doanh bình thường không có thể ngăn cản một chương trình huấn
luyện lớn về các quy trình hoặc công nghệ an toàn mới
c.Đơn vị nên tiến hành triển khai theo giai đoạn hoặc thí điểm, chẳng hạn như đào tạo triển khai cho từng
d.Phạm vi dự án cần được xem xét cẩn thận. Trên cơ sở mục tiêu của dự án, phạm vi càng nhỏ càng tốt
9. Khi một dự án đang thực hiện, nó được quản lý bằng cách
a.Tất cả đều sai
b.sử dụng một quy trình được gọi là phân tích thiếu sót nhằm đảm bảo rằng tiến độ được đo lường định
kỳ
c.lựa chọn một người phù hợp từ cộng đồng quan tâm đến an toàn thông tin
d.đòi hỏi một tập hợp các kỹ năng đặc biệt và sự hiểu biết thấu đáo về một khối kiến thức chuyên ngành
rộng lớn
10. Mô hình Bull’s-Eye
a.Một vài các nguồn lực phải hướng tới việc đạt được mục tiêu
b.Bằng cách xem xét kế hoạch chi tiết về an toàn thông tin và tình trạng hiện tại của các nỗ lực an toàn
thông tin của đơn vị về bốn lớp này, những người lập kế hoạch dự án có thể xác định lĩnh vực nào cần mở
rộng
c.Cần sử dụng thêm tài nguyên cho các biện pháp kiểm soát khác cho đến khi các chính sách an toàn
thông tin, CNTT hợp lý và có thể sử dụng được phát triển, truyền đạt và thực thi
d.không nên sử dụng để đánh giá trình tự các bước được thực hiện để tích hợp các phần của kế hoạch an
toàn thông tin vào một kế hoạch dự án.
11. Các đơn vị bắt buộc phải lựa chọn một chuyên gia từ cộng đồng quản lý chung để giám sát việc thực
hiện kế hoạch dự án an toàn thông tin
Sai
12. Kế hoạch chi tiết (blueprint) về an toàn thông tin
a.Phải mô tả cách thức thu thập và thực hiện các thủ tục kiểm soát an toàn cần thiết
b.Được hình thành dựa trên thông tin về các mục tiêu của đơn vị, kiến trúc kỹ thuật, và môi trường an
toàn thông tin của đơn vị
c.Hướng dẫn những người tham gia trong giai đoạn thực hiện. Các hướng dẫn này tập trung vào các thay
đổi kiểm soát an toàn cần thiết để cải thiện tính an toàn của phần cứng, phần mềm, quy trình, dữ liệu, và
con người
d.được hoàn thành bằng cách thay đổi cấu hình và hoạt động của hệ thống thông tin của đơn vị để làm
cho chúng an toàn hơn
13. Kế hoạch dự án có thể được phát triển theo nhiều cách
Đúng
14. Nếu chất lượng của sản phẩm có thể giao không tương xứng
a.phải bổ sung thêm nguồn lực về thời gian hoặc tài chính hoặc mất nhiều thời gian hơn để hoàn thành
nhiệm vụ
b.Phải chấm dứt dự án trước hạn

lOMoARcPSD|11005917
c.nên bổ sung thêm nguồn lực về thời gian làm việc và tài chính hoặc giảm chất lượng hoặc số lượng sản
phẩm hoàn thành
Chọn phát biểu KHÔNG đúng về quản lý dự án thực hiện an toàn thông tin
a. yêu cầu người quản lý dự án được đào tạo
b. yêu cầu sự tham gia của tất cả người sử dụng thông tin
c. đòi hỏi một tập hợp các kỹ năng đặc biệt và sự hiểu biết thấu đáo về một khối kiến thức chuyên ngành
rộng lớn
d. nên tìm kiếm sự hỗ trợ của chuyên g
15. Một dự án thành công đòi hỏi một đơn vị phải có khả năng .................. (2 từ) với những thay đổi được
đề xuất.
thích ứng
Câu 1: Nếu nhiệm vụ mất quá nhiều thời gian để hoàn thành
a.nên bổ sung thêm nguồn lực về thời gian làm việc và tài chính hoặc giảm chất lượng hoặc số lượng sản
phẩm hoàn thành
b.phải bổ sung thêm nguồn lực về thời gian
c.phải mất nhiều thời gian hơn để hoàn thành nhiệm vụ
d.phải bổ sung thêm nguồn lực về tài chính
Câu 2: Giới hạn phạm vi dự án trong một tập hợp các nhiệm vụ có thể quản lý được không có nghĩa là
a.có thể xung đột với các biện pháp kiểm soát hiện có theo những cách có thể đoán trước
b.phải xem xét cẩn thận số lượng nhiệm vụ được lên kế hoạch cho những thời điểm khác nhau trong một
bộ phận
c.Tất cả đều đúng
d.dự án chỉ nên cho phép thay đổi một thành phần tại một thời điểm
Câu 3: Kết nối đặc điểm của các chiến lược chuyển đổi thực hiện thủ tục kiếm soát
Vận hành song song → liên quan đến việc vận hành hai hệ thống đồng thời,
Chuyển đổi từng phần → liên quan đến việc triển khai có đo lường của hệ thống đã lên kế hoạch,
Chuyển đổi trực tiếp → liên quan đến việc dừng phương pháp cũ và bắt đầu phương pháp mới,
Chuyển đổi thí điểm → Toàn bộ hệ thống an ninh được triển khai tại một văn phòng, phòng ban hoặc bộ
phận trước khi mở rộng ra các phần còn lại của đơn vị
Câu 4:Vấn đề nào KHÔNG cần cân nhắc khi lập kế hoạch thực hiện an toàn thông tin
a.Vấn đề mua sắm
b.Vấn đề về sự ưu tiên
c.Vấn đề người không phải là nhân viên
d.Vấn đề tính khả thi về mặt tổ chức
Câu 5: Cân nhắc về vấn đề tài chính trong lập kế hoạch thực hiện an toàn thông tin
a.Phân tích chi phí-lợi ích (CBA) cần được thực hiện, và phải được xem xét, xác nhận trước khi phát triển
kế hoạch dự án
b.Các ràng buộc về ngân sách có thể ảnh hưởng đến việc xác định các ưu tiên của dự án
c.Khung thời gian tối ưu cho việc huấn luyện thường là từ một đến ba tuần trước khi các chính sách và
công nghệ mới đi vào hoạt động
d.Nếu không có nhân viên nào được huấn luyện để cấu hình hệ thống, thì những nhân viên thích hợp phải
được huấn luyện hoặc thuê
lOMoARcPSD|11005917
7. Phát biểu KHÔNG đúng về lớp chính sách trong mô hình Bull’s-Eye
a.có thể sử dụng chính sách để làm rõ những gì đơn vị đang cố gắng hoàn thành
b.nó cho phép tất cả các thành phần an toàn thông tin khác hoạt động chính xác
c.bao gồm việc cung cấp xác thực và ủy quyền cần thiết khi cho phép người dùng kết nối qua mạng công
d.là nền tảng của tất cả các chương trình an toàn thông tin hiệu quả
8. Nguyên tắc lập bảng phân chia công việc (Work Breakdown Structure - WBS) là một nhiệm vụ hoặc
nhiệm vụ chi tiết trở thành một bước thực hiện khi nó có thể được ................... (2 từ) bởi một người hoặc
một bộ kỹ năng và có một kết quả riêng biệt
The correct answer is: hoàn thành
11. Điền vào chỗ trống:
Việc hệ thống thông tin bị tấn công cũng là một trong những cơ sở giúp người lập kế hoạch ước tính ngân
sách; đồng thời cũng ảnh hưởng ................. (2 từ) hỗ trợ ngân sách cho an toàn thông tin từ phía ban quản
lý
The correct answer is: khả năng
12. Sau khi có sự đảm bảo rằng các chính sách được áp dụng, mạng an toàn và hệ thống an toàn, cần
Đúng
Các đơn vị phải xác định thống nhất phương pháp luận quản lý dự án CNTT và an toàn thông tin.
Sai
13. Các chú ý về thời gian và lịch trình trong lập kế hoạch thực hiện an toàn thông tin, KHÔNG bao gồm:
a.Thời gian cần thiết để tìm hiểu về thủ tục kiểm soát
b.Thời gian từ khi đặt hàng đến khi nhận được kiểm soát an ninh
c.Thời gian cần thiết để huấn luyện người dùng
d.Thời gian cần thiết để nhận ra lợi tức đầu tư của dự án
14. Thường có những ràng buộc đối với việc lựa chọn thiết bị và dịch vụ. Những ràng buộc này có thể
hạn chế những công nghệ nào có thể mua sắm.
Đúng
15. Bằng cách quản lý quá trình thay đổi, đơn vị có thể:
a.Tăng cường sự phối hợp giữa các nhóm trong đơn vị khi sự thay đổi được lên lịch trình và hoàn thành.
b.Cải thiện chất lượng dịch vụ khi các lỗi tiềm ẩn được loại bỏ và các nhóm làm việc cùng nhau
d.Đảm bảo với ban giám đốc rằng tất cả các nhóm đều tuân thủ các chính sách của đơn vị về quản trị
công nghệ, mua sắm, kế toán và an toàn thông tin.
17.Vấn đề về huấn luyện và truyền đạt trong kế hoạch thực hiện an toàn thông tin
a.Các công nghệ mới đôi khi đòi hỏi các chính sách mới, đào tạo và huấn luyện nhân viên
b.Phạm vi dự án cần được xem xét cẩn thận. Trên cơ sở mục tiêu của dự án, phạm vi càng nhỏ càng tốt
c.Đơn vị nên tiến hành triển khai theo giai đoạn hoặc thí điểm, chẳng hạn như đào tạo triển khai cho từng

lOMoARcPSD|11005917
d.Quy mô của đơn vị và hoạt động kinh doanh bình thường không có thể ngăn cản một chương trình huấn
18. Các đại diện chính từ các nhóm người dùng sẽ là thành viên của quá trình phát triển dự án.
Đúng
19.Kế hoạch dự án (project plan)
a.Phải mô tả cách thức thu thập và thực hiện các điểm yếu tiềm ẩn
b.Được chuyển đổi từ kế hoạch chi tiết về an toàn thông tin
c.Không đòi hỏi quản lý dự án
d.Được hình thành dựa trên thông tin về các mục tiêu của khách hàng
20. Vấn đề nào KHÔNG cần cân nhắc khi lập kế hoạch thực hiện an toàn thông tin
a.Vấn đề về phạm vi
b.Vấn đề nhân sự
c.Vấn đề về thời gian và lịch trình
d.Vấn đề thị trường trao đổi thông tin
21.Quản trị công nghệ

a.hướng dẫn tần suất cập nhật các hệ thống kỹ thuật
c.hướng dẫn cách thức các bản cập nhật kỹ thuật được phê duyệt và cấp vốn
d.tạo điều kiện cho việc trao đổi thông tin về các tiến bộ kỹ thuật và các vấn đề trong toàn đơn vị
22. Có thể điều chỉnh thông số lập kế hoạch để khắc phục kết quả thực hiện kiểm soát
a.Chất lượng hoặc số lượng của kết quả
b.Thời gian chưa trôi qua
c.Nỗ lực và tài chính chưa được phân bổ
23. Kết nối các nội dung trong các nhiệm vụ chính của kế hoạch dự án
phí phi vốn,
Công việc cần hoàn thành → cần dán nhãn và cung cấp mô tả kỹ lưỡng cho nhiệm vụ,
Ngày bắt đầu và ngày kết thúc → Không nên xác định trước quá nhiều ngày cho quá nhiều nhiệm vụ
24. Thuê ngoài dịch vụ an toàn thông tin
a.không nên thuê tư vấn bên ngoài để kiểm tra thâm nhập và đánh giá chương trình an toàn thông tin
b.không nên thuê ngoài các chức năng giám sát mạng
c.có thể chọn thuê ngoài các chức năng an toàn thông tin chuyên biệt hơn
25. Điền vào chỗ trống:

lOMoARcPSD|11005917
Việc lập kế hoạch cho giai đoạn thực hiện liên quan đến việc tạo ra một kế hoạch dự án chi tiết,
và ................. (2 từ) cho người quản lý dự án hoặc người điều hành dự án
The correct answer is: chuyển giao
29. Kết nối đặc điểm của các chiến lược chuyển đổi thực hiện thủ tục kiểm soát
vụ như một hệ thống dự phòng nếu hệ thống mới bị lỗi hoặc bị xâm phạm,
của đơn vị nói chung,
Chuyển đổi từng phần → hỉ một phần của hệ thống được triển khai và phổ biến trong một đơn vị trước
đề khi chúng phát sinh

lOMoARcPSD|11005917
Lahu
Câu 1: Vấn đề về sự ưu tiên trong lập kế hoạch thực hiện an toàn thông tin
a.Việc hệ thống thông tin bị tấn công cũng là một trong những cơ sở giúp người lập kế hoạch ước tính
ngân sách; đồng thời cũng ảnh hưởng khả năng hỗ trợ ngân sách cho an toàn thông tin từ phía ban quản lý
b.Khung thời gian tối ưu cho việc huấn luyện thường là từ một đến ba tuần trước khi các chính sách và
công nghệ mới đi vào hoạt động
c.Một thủ tục kiểm soát ít quan trọng hơn có thể được ưu tiên nếu nó giải quyết một nhóm điểm yếu tiềm
ẩn cụ thể và cải thiện tình trạng an toàn của đơn vị ở mức độ cao hơn so với các thủ tục kiểm soát có mức
độ ưu tiên cao
d.Thường có những ràng buộc đối với việc lựa chọn thiết bị và dịch vụ
Câu 2: Phát biểu KHÔNG đúng về lớp chính sách trong mô hình Bull’s-Eye
a.có thể sử dụng chính sách để làm rõ những gì đơn vị đang cố gắng hoàn thành
b.là nền tảng của tất cả các chương trình an toàn thông tin hiệu quả
c.nó cho phép tất cả các thành phần an toàn thông tin khác hoạt động chính xác
d.bao gồm việc cung cấp xác thực và ủy quyền cần thiết khi cho phép người dùng kết nối qua mạng công
Câu 3: Viễn cảnh về sự thay đổi, sự chuyển dịch từ quen thuộc sang không quen thuộc, có thể khiến nhân
viên ........ (2 từ) sự thay đổi, dù vô thức hoặc có ý thức.
Đáp án: Chống lại
Phân công nhiệm vụ: nên mô tả các kỹ năng hoặc nhân sự - còn được gọi là nguồn lực, cần thiết để hoàn
thành nhiệm vụ
Ước tính chi phí được vốn hóa: là chi phí cho các dự án tạo ra doanh thu được kỳ vọng sẽ mang lại lợi
tức đầu tư
Nỗ lực cần thiết: cần ước tính nỗ lực cần thiết để hoàn thành từng nhiệm vụ, nhiệm vụ chi tiết hoặc bước
hành động
Ước tính chi phí không được vốn hóa: một số khoản chi phí liên quan đến dự án có thể được xem là chi
phí vốn
Câu 5: Kết nối đặc điểm trong mô hình kiểm soát sự thay đổi của Lewin
Việc triển khai thực tế các phương pháp mới, sử dụng các chiến lược được nêu trước đó, đòi hỏi đơn vị
phải nhận ra sự chấm dứt của các cách làm việc cũ và củng cố nhu cầu sử dụng các phương pháp mới →
Thay đổi sang trạng thái mới,
Việc tích hợp các phương pháp mới vào văn hóa tổ chức được thực hiện bằng cách tạo ra một bầu không
khí trong đó những thay đổi được chấp nhận như là cách ưu tiên để hoàn thành các nhiệm vụ cần thiết →
Thiết lập thói quen mới,
Chuẩn bị cho những thay đổi sắp tới nhằm tạo điều kiện thuận lợi cho việc thực hiện các quy trình, hệ
thống và thủ tục mới → Phá vỡ thói quen hiện tại
Câu 8:Vấn đề về huấn luyện và truyền đạt trong kế hoạch thực hiện an toàn thông tin
a.Đơn vị nên tiến hành triển khai theo giai đoạn hoặc thí điểm, chẳng hạn như đào tạo triển khai cho từng
lOMoARcPSD|11005917
b.Các công nghệ mới đôi khi đòi hỏi các chính sách mới, đào tạo và huấn luyện nhân viên
c.Phạm vi dự án cần được xem xét cẩn thận. Trên cơ sở mục tiêu của dự án, phạm vi càng nhỏ càng tốt
d.Quy mô của đơn vị và hoạt động kinh doanh bình thường không có thể ngăn cản một chương trình huấn
Câu 9: Kết nối đặc điểm của các chiến lược chuyển đổi thực hiện thủ tục kiểm soát
Chuyển đổi từng phần → chỉ một phần của hệ thống được triển khai và phổ biến trong một đơn vị trước
đề khi chúng phát sinh,
vụ như một hệ thống dự phòng nếu hệ thống mới bị lỗi hoặc bị xâm phạm,
của đơn vị nói chung
Câu 10: Bằng cách quản lý quá trình thay đổi, đơn vị có thể:
a.Đảm bảo với ban giám đốc rằng tất cả các nhóm đều tuân thủ các chính sách của đơn vị về quản trị công
nghệ, mua sắm, kế toán và an toàn thông tin.
b.Cải thiện chất lượng dịch vụ khi các lỗi tiềm ẩn được loại bỏ và các nhóm làm việc cùng nhau
c.Tăng cường sự phối hợp giữa các nhóm trong đơn vị khi sự thay đổi được lên lịch trình và hoàn thành.
Câu 1: Kết quả phân tích thiếu sót cho thấy cần thực hiện các hành động khắc phục khi:
a.Thành quả thấp hơn đối thủ cạnh tranh
b.Nhân viên không ủng hộ
d.Có sai sót trong ước tính
Câu 2: Vấn đề nào KHÔNG phải là một dự án an toàn thông tin phải giải quyết
a.Những cân nhắc về quản lý, kỹ thuật, và ngân sách
b.Sự phát triển trong tương lai của doanh nghiệp
c.Quản lý dự án
d.Sự chống đối của đơn vị đối với những thay đổi
Câu 3: Chiến lược giảm sự chống đối ngay từ đầu
b.phải thông báo cho nhân viên về dự án sau khi dự án hoàn thành
c.là cải thiện sự tương tác giữa các thành viên bị ảnh hưởng của đơn vị và những người lập kế
hoạch dự án trong giai đoạn đầu của một dự án cải thiện an toàn thông tin
d.có thể được cải thiện thông qua một quy trình ba bước trong đó các nhà quản lý dự án giao tiếp, huấn
luyện và kỷ luật
Câu 5: Khi một dự án liên quan đến sự thay đổi trong chính sách, cần thông báo cho người giám sát về
chính sách mới và giao cho họ nhiệm vụ ........................ (2 từ) người dùng cuối trong các cuộc họp được
lên lịch thường xuyên.
Đáp án: cập nhật
Câu 6: Mô hình Bull’s-Eye
lOMoARcPSD|11005917
a.Nhiều đơn vị nhận thấy rằng các vấn đề về cấu hình và vận hành hệ thống thông tin theo cách an
toàn trở nên khó khăn hơn khi số lượng và độ phức tạp của các hệ thống này ngày càng tăng
b.Bởi vì chính sách thiết lập các quy tắc cơ bản cho việc sử dụng tất cả các hệ thống và mô tả những gì
phù hợp và không phù hợp, nó làm cho tất cả các thành phần an toàn thông tin khác hoạt động không theo
mong muốn
c.Lớp nhận được sự chú ý đầu tiên, xử lý các hệ thống phần mềm ứng dụng được tổ chức sử dụng để
hoàn thành công việc của mình
d.Ngày nay, hầu hết các nỗ lực an toàn thông tin đều tập trung vào lớp này, vì vậy cho đến gần đây an
toàn thông tin thường được coi là đồng nghĩa với an ninh mạng
Câu 8: Quản trị công nghệ
a.hướng dẫn cách thức các bản cập nhật kỹ thuật được phê duyệt và cấp vốn
b.tạo điều kiện cho việc trao đổi thông tin về các tiến bộ kỹ thuật và các vấn đề trong toàn đơn vị
c.hướng dẫn tần suất cập nhật các hệ thống kỹ thuật
Câu 10: Điền vào chỗ trống:
Mục tiêu của kết thúc dự án là giải quyết mọi vấn đề đang ................ (3 từ), đánh giá nỗ lực tổng thể của
dự án và đưa ra kết luận về cách cải thiện quy trình cho tương lai.
Đáp án: Chờ xử lý
Câu 11: Lớp hệ thống trong mô hình Bull’s-Eye bao gồm các máy tính được sử dụng làm máy chủ, máy
tính để bàn và các hệ thống được sử dụng cho ............... (2 từ) quy trình và hệ thống sản xuất
Đáp án: kiểm soát
Câu 12: Các bước chính trong việc thực hiện kế hoạch dự án:
Kết thúc dự án
Lập kế hoạch dự án
Giám sát các nhiệm vụ và các bước thực hiện
Công việc cần hoàn thành → cần dán nhãn và cung cấp mô tả kỹ lưỡng cho nhiệm vụ,
Ngày bắt đầu và ngày kết thúc → Không nên xác định trước quá nhiều ngày cho quá nhiều nhiệm vụ,
phí phi vốn
Câu 14: Việc xác định mối liên hệ giữa những người thực hiện CNTT và an toàn thông tin với các cá
nhân còn lại trong đơn vị có thể phục vụ tốt cho nhóm dự án trong giai đoạn ................ (3 từ) ban đầu, khi
cần giải quyết các vấn đề không lường trước trong việc chấp nhận dự án.
Đáp án: lập kế hoạch
Câu 15: Sau khi có sự đảm bảo rằng các chính sách được áp dụng, mạng an toàn và hệ thống an toàn, cần
Hãy chọn một:
Đúng
Kế hoạch dự án (project plan)
lOMoARcPSD|11005917
a. Phải mô tả cách thức thu thập và thực hiện các điểm yếu tiềm ẩn
b. Được hình thành dựa trên thông tin về các mục tiêu của khách hàng
c. Được chuyển đổi từ kế hoạch chi tiết về an toàn thông tin
d. Không đòi hỏi quản lý dự án
Kết nối các minh họa về việc thực hiện an toàn thông tin
Phần mềm → mã hóa,
Thủ tục → chính sách,
Dữ liệu → phân loại,
Phần cứng → tường lửa,
Con người → đào tạo
Những ràng buộc mua sắm được thiết kế nhằm kiểm soát doanh thu tạo ra từ thủ tục kiểm soát
Sai
Trong môi trường máy tính ngày nay, việc triển khai an toàn thông tin phức tạp hơn vì cơ sở hạ tầng
mạng thường tiếp xúc với các mối đe dọa từ mạng công cộng
ĐÚNG
Kế hoạch dự án hướng dẫn những người tham gia trong giai đoạn thực hiện. Các hướng dẫn này tập trung
vào các thay đổi kiểm soát an toàn cần thiết để ................ (2 từ) tính an toàn của phần cứng, phần mềm,
quy trình, dữ liệu, và con người
-> cải thiện
Kế hoạch dự án có thể được phát triển theo nhiều cách
ĐÚNG
CHƯƠNG 3
KIM LONG
Câu 1: Sự kiện nào sau đây KHÔNG là các dấu hiệu dự báo sự cố (incident indicators) có thể xảy ra
a.Thông báo của đối tác hoặc đồng nghiệp
b. Hoạt động vào những thời điểm không mong muốn
c.Thông báo từ IDPS (intrusion detection and prevention systems - hệ thống ngăn chặn và phát hiện xâm
nhập)
d.Sự hiện diện của các tài khoản mới
Câu 2
Nhóm quản lý kế hoạch dự phòng (CPMT) chịu trách nhiệm đạt được cam kết và hỗ trợ từ quản lý cấp
cao, viết tài liệu kế hoạch dự phòng, thực hiện .... (1 từ, viết tắt) và quản lý các nhóm cấp dưới
The correct answer is: BIA
Sau khi đã phát triển tiêu chuẩn và thực hành triển khai an toàn thông tin, tổ chức bắt đầu phát triển
bảng ............ (2 từ) chi tiết về an toàn thông tin
lOMoARcPSD|11005917
The correct answer is: thiết kế
Câu 4: Kết nối các quy tắc của kế hoạch phục hồi sau thảm họa (DR)
The correct answer is:

Các ưu tiên phải được thiết lập rõ ràng → Ưu tiên hàng đầu luôn là bảo toàn tính mạng, sức khỏe, phúc
lợi con người,
Vai trò và trách nhiệm của từng thành viên nhóm ứng phó DR → Phải được phân định rõ ràng (phối hợp
với chính quyền địa phương, sơ tán nhân viên, đóng gói,…),
Cần có người được phân công tài liệu hóa thảm họa → Cần tiến hành ghi lại những gì đã xảy ra để làm cơ
sở cho việc xác định lý do và cách thức thảm họa xảy ra cho các thủ tục pháp lý (nếu có) sau này,
Cần có người được phân công khởi tạo danh sách cảnh báo và thông báo → Cho các nhân viên chủ chốt,
các cơ quan cứu hỏa/cảnh sát/y tế /bảo hiểm/Hội Chữ thập đỏ, …
Câu 5: Các chính sách về an toàn thông tin trong đơn vị cần:
a.Được quản lý thích hợp thông qua khách hàng
b.Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
c.Có thể khác biệt với luật pháp
d.Mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin này sẽ được đặt trong các tiêu
chuẩn, thủ tục và thực hành trong tài liệu hướng dẫn sử dụng và hệ thống của người dùng)
Câu 6: Các kế hoạch dự phòng (CP)
a.Nhân viên có vai trò quan trọng trong việc lập CP
b.Giúp khôi phục tổ chức về chế độ hoạt động kinh doanh bình thường sau một sự cố
c.CP thuộc nhóm kế hoạch ứng phó sự cố
d.Nên thuê tổ chức chuyên nghiệp thực hiện
Câu 1
Chọn phát biểu đúng về bảng thiết kế chi tiết về an toàn toàn thông tin (The Information Security
Blueprint)
lOMoARcPSD|11005917
a.Nhóm an toàn không nên sửa đổi hoặc điều chỉnh mô hình cho phù hợp với đặc thù của tổ chức trước
khi áp dụng
b.Được xây dựng dựa trên các kỳ vọng an toàn thông tin của tổ chức
c.Nhóm an toàn phát triển một bảng thiết kế chi tiết với thiết kế được sử dụng để triển khai chương trình
an toàn và được trang bị ý tưởng chung về các thủ tục kiểm soát trong hệ thống CNTT của tổ chức
d.Nên điều chỉnh hoặc áp dụng một mô hình an toàn thông tin được công nhận rộng rãi bởi một tổ
chức hoặc cơ quan an toàn đã thành lập để lập bảng thiết kế chi tiết về an toàn thông tin
Câu 2 Điền vào chỗ trống:
Bảng thiết kế chi tiết về an toàn thông tin (The Information Security Blueprint) là bản triển khai chi tiết từ
khuôn mẫu an toàn thông tin, chỉ định các ................. (2 từ) và thứ tự hoàn thành
The correct answer is: nhiệm vụ
Câu 3: Mục tiêu của chương trình giáo dục, huấn luyện và nhận thức về an toàn (SETA)
b.Thay thế cho các chương trình giáo dục và huấn luyện chung
c.Chống lại mối đe dọa liên quan đến lỗi của nhân viên
d.Là một biện pháp kiểm soát được thiết kế để xóa bỏ các sự cố do nhân viên vô tình vi phạm an ninh.
Câu 4

Chính sách an toàn đặc thù → Đề cập đến quan điểm của tổ chức về các lĩnh vực công nghệ, được cập
nhật thường xuyên về các nội dung như sử dụng các thiết bị máy tính của tổ chức tại nhà,
Chính sách an toàn thông tin doanh nghiệp → Tổng quan triết lý của tổ chức về an toàn,
Chính sách an toàn dành riêng cho hệ thống → Có thể bao gồm một tuyên bố về ý định của người quản lý
Câu 5: Kế hoạch chiến thuật (tactical planning)
a.Được tạo ra cho các nhà quản lý và nhân viên sử dụng để đơn vị thực hiện nhiệm vụ tác nghiệp hàng
ngày
lOMoARcPSD|11005917
b.Gom chung các mục tiêu chiến lược thành các mục tiêu liên tục
c.Tập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1 hoặc 2 năm
•ập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1 hoặc 2 năm
d.Bao gồm các nhiệm vụ cần thiết cho tất cả các bộ phận liên quan
Câu 6: Cơ chế có thể phát hiện sự cố
a.Hệ thống ngăn chặn và phát hiện xâm nhập (dựa trên máy chủ và mạng)
b.Mất tính khả dụng
c.Sự hiện diện của các tài khoản mới
d.Thông báo của hacker
Câu 1: Các nhà lập kế hoạch nên xác định điểm tối ưu cho việc khôi phục hệ thống thông tin để đáp ứng
nhu cầu khôi phục do BIA yêu cầu đồng thời ............... (2 từ) giữa chi phí tổn thất do hệ thống không hoạt
động với chi phí tài nguyên cần thiết để khôi phục hệ thống
The correct answer is: cân bằng
Câu 2
Kết nối các chính sách an toàn, theo Special Publication (SP) 800-14 của Viện Tiêu chuẩn và Công nghệ
Quốc gia (NIST):

Chính sách an toàn dành riêng cho hệ thống → thường hoạt động như các tiêu chuẩn hoặc thủ tục được sử
dụng khi cấu hình hoặc bảo trì hệ thống,
Chính sách an toàn đặc thù → đề cập đến quan điểm của tổ chức về các lĩnh vực công nghệ, được cập
nhật thường xuyên về các nội dung như E-mail, sử dụng Internet và World Wide Web,
Chính sách an toàn thông tin doanh nghiệp → xác định mục đích, phạm vi, các ràng buộc và khả năng áp
dụng của chương trình an ninh
Câu 3 Vai trò của bộ phận CNTT

lOMoARcPSD|11005917
a.Áp dụng các nguyên tắc quản trị công ty vào chức năng bảo mật thông tin
b.Cung cấp thông tin và tài nguyên thông tin một cách hữu hiệu và hiệu quả
c.Kiểm soát hoặc quản lý các quá trình được sử dụng bởi một nhóm người để hoàn thành một số mục tiêu
d.Bảo vệ tất cả các tài sản thông tin
Câu 4: Mục tiêu của kế hoạch DR (phục hồi sau thảm họa)
a.Là thiết lập lại hoạt động tại vị trí mới

b.Là quá trình chuẩn bị cho một tổ chức xử lý sự cố và phục hồi sau sự cố
d.Làm cho mọi thứ trở nên toàn vẹn hoặc như trước khi thảm họa xảy ra
Từ chiến lược tổng quát (general strategy), đơn vị tiến hành lập kế hoạch chiến lược (strategic planning):
Đề ra phương hướng ....... (2 từ) mà đơn vị và từng bộ phận cần thực hiện, tập trung nguồn lực hướng đến
các mục tiêu (goals)
The correct answer is: dài hạn
Câu 6: Không phải mọi doanh nghiệp đều cần một kế hoạch đảm bảo hoạt động liên tục trong kinh doanh
Câu 1: Đâu KHÔNG phải là thẩm quyền của nhóm ứng phó sự cố
a. Chuyển giao và leo thang trong quá trình quản lý sự cố
b. Tịch thu hoặc ngắt kết nối thiết bị và giám sát hoạt động đáng ngờ
c. Yêu cầu và hướng dẫn về giao tiếp bên ngoài và chia sẻ thông tin
d. Yêu cầu báo cáo một số thảm họa diễn ra tại quốc gia khác
Câu 2:
Mô phỏng (Simulation) → Mỗi người liên quan làm việc riêng lẻ (không thảo luận nhóm), mô phỏng việc
thực hiện từng nhiệm vụ cần thiết để phản ứng và phục hồi sau một sự cố mô phỏng,
Gián đoạn hoàn toàn (Full interruption) → Phản ứng với một sự cố giả lập như thể nó là thật,
Structured walk-through → Mỗi người liên quan thực hành các bước mà họ sẽ thực hiện trong một sự
kiện thực tế -> Thảo luận nhóm về các hành động cần thiết tại từng địa điểm và thời điểm, về cách họ sẽ
hành động khi sự cố diễn
ra,
Rà soát danh sách (Checklist) → Các bản sao của kế hoạch IR được phân phát cho từng người có vai trò
trong một sự cố thực tế -> Mỗi người xem xét kế hoạch và xác định các thành phần chưa chính xác để
điều chỉnh, sửa chữa
lOMoARcPSD|11005917
Lahu
Câu 1: Sự kiện nào sau đây KHÔNG là các dấu hiệu dự báo sự cố (incident indicators) có thể xảy ra
a.Sự hiện diện của các tài khoản mới
b.Thông báo từ IDPS (intrusion detection and prevention systems - hệ thống ngăn chặn và phát hiện xâm
nhập)
c.Hoạt động vào những thời điểm không mong muốn
d.Thông báo của đối tác hoặc đồng nghiệp
Câu 2: Bảng phân cấp trong kế hoạch phản ứng sự cố hoạt động nhanh hơn, với nhiều người được gọi
cùng lúc hơn, nhưng thông điệp có thể bị bóp méo khi nó được truyền từ người này sang người khác
Câu 3: Nếu bất kỳ chính sách, tiêu chuẩn hoặc thực hành triển khai nào ............. (1 từ) được hoàn thiện,
cần xác định xem có nên tiếp tục phát triển bảng thiết kế chi tiết về an toàn thông tin hay không
Chưa
Câu 4: Sự kiện nào sau đây KHÔNG là những dấu hiệu xác định về sự cố (các hoạt động báo hiệu rõ ràng
một sự cố đang diễn ra hoặc đã xảy ra)
a.Sự hiện diện của các công cụ hacker
b.Sự hiện diện của các tài khoản mới
c.Sử dụng tài khoản không hoạt động
d.Thay đổi nhật ký hệ thống
Câu 4: Đâu KHÔNG phải là thẩm quyền của nhóm ứng phó sự cố
a.Tịch thu hoặc ngắt kết nối thiết bị và giám sát hoạt động đáng ngờ
b.Chuyển giao và leo thang trong quá trình quản lý sự cố
c.Yêu cầu báo cáo một số thảm họa diễn ra tại quốc gia khác
d.Yêu cầu và hướng dẫn về giao tiếp bên ngoài và chia sẻ thông tin
Các nhà lập kế hoạch nên xác định điểm tối ưu cho việc khôi phục hệ thống thông tin để đáp ứng nhu
cầu khôi phục do BIA yêu cầu đồng thời ............... (2 từ) giữa chi phí tổn thất do hệ thống không hoạt
động với chi phí tài nguyên cần thiết để khôi phục hệ thống
Đáp án: cân bằng
Câu 6: Mục tiêu của chương trình giáo dục, huấn luyện và nhận thức về an toàn (SETA)
a.Là một biện pháp kiểm soát được thiết kế để xóa bỏ các sự cố do nhân viên vô tình vi phạm an ninh.
b.Thay thế cho các chương trình giáo dục và huấn luyện chung
d.Chống lại mối đe dọa liên quan đến lỗi của nhân viên
Câu 1: Cơ chế có thể phát hiện sự cố
a.Thông báo của hacker
b.Hệ thống ngăn chặn và phát hiện xâm nhập (dựa trên máy chủ và mạng)
c.Mất tính khả dụng
lOMoARcPSD|11005917
d.Sự hiện diện của các tài khoản mới

Câu 2: Kết nối các chính sách an toàn, theo Special Publication (SP) 800-14 của Viện Tiêu chuẩn và Công
nghệ Quốc gia (NIST):
Chính sách an toàn đặc thù → đề cập đến quan điểm của tổ chức về các lĩnh vực công nghệ, được cập nhật
thường xuyên về các nội dung như E-mail, sử dụng Internet và World Wide Web,
Chính sách an toàn thông tin doanh nghiệp → xác định mục đích, phạm vi, các ràng buộc và khả năng áp
dụng của chương trình an ninh,
Chính sách an toàn dành riêng cho hệ thống → thường hoạt động như các tiêu chuẩn hoặc thủ tục được sử
dụng khi cấu hình hoặc bảo trì hệ thống
Câu 3: Kết nối các quy tắc của kế hoạch phục hồi sau thảm họa (DR)
Các ưu tiên phải được thiết lập rõ ràng → Ưu tiên hàng đầu luôn là bảo toàn tính mạng, sức khỏe, phúc
lợi con người,
Cần có người được phân công khởi tạo danh sách cảnh báo và thông báo → Cho các nhân viên chủ chốt,
các cơ quan cứu hỏa/cảnh sát/y tế /bảo hiểm/Hội Chữ thập đỏ, …,
Cần có người được phân công tài liệu hóa thảm họa → Cần tiến hành ghi lại những gì đã xảy ra để làm cơ
sở cho việc xác định lý do và cách thức thảm họa xảy ra cho các thủ tục pháp lý (nếu có) sau này,
Vai trò và trách nhiệm của từng thành viên nhóm ứng phó DR → Phải được phân định rõ ràng (phối hợp
với chính quyền địa phương, sơ tán nhân viên, đóng gói,…)
Từ chiến lược tổng quát (general strategy), đơn vị tiến hành lập kế hoạch chiến lược (strategic planning):
Đề ra phương hướng ....... (2 từ) mà đơn vị và từng bộ phận cần thực hiện, tập trung nguồn lực hướng đến
các mục tiêu (goals)
Đáp án: dài hạn
Câu 5: Chọn phát biểu đúng về bảng thiết kế chi tiết về an toàn toàn thông tin (The Information Security
Blueprint)
a.Được xây dựng dựa trên các kỳ vọng an toàn thông tin của tổ chức
b.Nhóm an toàn phát triển một bảng thiết kế chi tiết với thiết kế được sử dụng để triển khai chương trình
an toàn và được trang bị ý tưởng chung về các thủ tục kiểm soát trong hệ thống CNTT của tổ chức
c.Nên điều chỉnh hoặc áp dụng một mô hình an toàn thông tin được công nhận rộng rãi bởi một tổ
chức hoặc cơ quan an toàn đã thành lập để lập bảng thiết kế chi tiết về an toàn thông tin
d.Nhóm an toàn không nên sửa đổi hoặc điều chỉnh mô hình cho phù hợp với đặc thù của tổ chức trước
khi áp dụng
Câu 6: Các kế hoạch dự phòng (CP)
a.Giúp khôi phục tổ chức về chế độ hoạt động kinh doanh bình thường sau một sự cố
b.Nhân viên có vai trò quan trọng trong việc lập CP
c.CP thuộc nhóm kế hoạch ứng phó sự cố
d.Nên thuê tổ chức chuyên nghiệp thực hiện
Câu 1: Mục tiêu của kế hoạch DR (phục hồi sau thảm họa)
a.Làm cho mọi thứ trở nên toàn vẹn hoặc như trước khi thảm họa xảy ra
b.Là quá trình chuẩn bị cho một tổ chức xử lý sự cố và phục hồi sau sự cố
c.Là thiết lập lại hoạt động tại vị trí mới
Câu 2:Bảng phân cấp trong kế hoạch phản ứng sự cố hoạt động nhanh hơn, với nhiều người được gọi
cùng lúc hơn, nhưng thông điệp có thể bị bóp méo khi nó được truyền từ người này sang người khác
lOMoARcPSD|11005917
Hãy chọn một:

Đúng
Sai
Câu 3: Vai trò của bộ phận CNTT
a.Cung cấp thông tin và tài nguyên thông tin một cách hữu hiệu và hiệu quả
b.Bảo vệ tất cả các tài sản thông tin
c.Áp dụng các nguyên tắc quản trị công ty vào chức năng bảo mật thông tin
d.Kiểm soát hoặc quản lý các quá trình được sử dụng bởi một nhóm người để hoàn thành một số mục tiêu
Câu 4: Các chính sách về an toàn thông tin trong đơn vị cần:
a.Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
b.Có thể khác biệt với luật pháp
c.Được quản lý thích hợp thông qua khách hàng
d.Mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin này sẽ được đặt trong các tiêu
chuẩn, thủ tục và thực hành trong tài liệu hướng dẫn sử dụng và hệ thống của người dùng)
Bảng thiết kế chi tiết về an toàn thông tin (The Information Security Blueprint) là bản triển khai chi tiết từ
khuôn mẫu an toàn thông tin, chỉ định các ................. (2 từ) và thứ tự hoàn thành
Đáp án: nhiệm vụ
Câu 6: Kết nối các chính sách an toàn, theo Special Publication (SP) 800-14 của Viện Tiêu chuẩn và Công
nghệ Quốc gia (NIST):
Chính sách an toàn thông tin doanh nghiệp → Tổng quan triết lý của tổ chức về an toàn,
nhật thường xuyên về các nội dung như sử dụng các thiết bị máy tính của tổ chức tại nhà,

lOMoARcPSD|11005917
Câu 7: Hãy kết nối các yêu cầu về chính sách an toàn thông tin.
Truyền đạt - Dissemination (distribution) → Chính sách đã được công bố cần có tính sẵn sàng cho nhân
viên tìm hiểu, xem xét, các kênh truyền thông phổ biến bao gồm in ra bản cứng và truyền thông bản điện
tử
Tuân thủ - Compliance (agreement): → Nhân viên đồng ý tuân thủ chính sách thông qua hành động hoặc
khẳng định cam kết.
Dễ sử dụng - Review (reading): → Tài liệu phổ biến chính sách ở dạng dễ sử dụng, bao gồm các phiên
bản dành cho nhân viên khiếm thị, không thể đọc tiếng Anh. Các kỹ thuật phổ biến là trình bày chính sách
bằng tiếng Anh và các ngôn ngữ khác.
Thực thi thống nhất - Uniform enforcement (fairness in application) → Chính sách được thực thi một
cách thống nhất, bất kể tình trạng hoặc nhiệm vụ của nhân viên
Dễ hiểu - Comprehension (understanding): → Nhân viên có thể hiểu rõ các yêu cầu và nội dung của
chính sách. Các kỹ thuật phổ biến bao gồm các bài kiểm tra trắc nghiệm nhanh và các dạng thức đánh giá
khác
Câu 8: Hãy sắp xếp thứ tự của tiến trình lập kế hoạch dự phòng (CP)
Tiến hành thực hiện phân tích tác động kinh doanh (business impact analysis-BIA):
BIA giúp xác định và ưu tiên các hệ thống thông tin và các thành phần quan trọng để hỗ trợ sứ mệnh / quy
trình kinh doanh của tổ chức.
-> 2
Xác định các biện pháp kiểm soát phòng ngừa:

Các biện pháp được thực hiện để giảm ảnh hưởng của sự gián đoạn hệ thống, có thể tăng tính khả dụng
của hệ thống và giảm chi phí vòng đời dự phòng
→3
Phát triển tuyên bố chính sách KH dự phòng (CP):

Một chính sách chính thức cung cấp thẩm quyền và hướng dẫn cần thiết để phát triển một kế hoạch dự
phòng hiệu quả
→1
Đảm bảo kế hoạch kiểm tra, huấn luyện và luyện tập:
Kiểm tra xác nhận khả năng phục hồi, huấn luyện nhân sự chuẩn bị cho kế hoạch phục hồi để kích hoạt
kế hoạch và thực hiện kế hoạch, xác định các lỗ hổng trong kế hoạch; kết hợp các hoạt động nâng cao
hiệu quả kế hoạch và sự chuẩn bị cho tổng thể
→6
Đảm bảo duy trì kế hoạch:
Kế hoạch phải là một tài liệu cần được cập nhật thường xuyên theo các cải tiến hệ thống và thay đổi của
đơn vị
→7
Tạo chiến lược dự phòng:
Các chiến lược khôi phục kỹ lưỡng đảm bảo rằng hệ thống có thể được phục hồi nhanh chóng và hiệu quả
sau sự cố
→4
lOMoARcPSD|11005917
Xây dựng CP:

CP cần có hướng dẫn chi tiết và các thủ tục để phục hồi các cơ sở đơn vị bị sự cố
→5
Hãy điền vào chỗ trống nội dung của chính sách dự phòng (CP Policy)
Yêu cầu ............. (2 từ) các kế hoạch khác nhau thường xuyên
The correct answer is: kiểm tra
Hãy điền vào chỗ trống các nội dung của chính sách kế hoạch dự phòng (CP Policy):
Giới thiệu về quan điểm ..................... (2 từ) của nhà quản trị cấp cao, giải thích tầm quan trọng của việc
lập kế hoạch dự phòng đối với các hoạt động chiến lược, dài hạn của tổ chức
The correct answer is: triết lý
Kết nối vai trò của các đối tượng trong CPMT - nhóm quản lý kế hoạch dự phòng (contingency planning
management team)
Đứng đầu CPMT → COO
Trưởng nhóm IR → CISO
Trưởng nhóm DR → Quản lý hoạt động kinh doanh
Trưởng nhóm CPMT/giám đốc DA → Phó COO
Trưởng nhóm quản lý thảm họa → Cố vấn pháp lý
Trưởng nhóm BC → Giám đốc tiếp thị và dịch vụ
Hãy điền vào chỗ trống các nội dung của chính sách kế hoạch dự phòng (CP Policy): Đặc tả về
các ............ (3 từ) của CP sẽ được CPMT thiết kế
The correct answer is: thành phần chính
Hãy điền vào chỗ trống các nội dung của chính sách kế hoạch dự phòng (CP Policy): Yêu cầu CPMT
đánh giá rủi ro định kỳ và phân tích .......... (2 từ) kinh doanh để xác định và ưu tiên các chức năng kinh
doanh quan trọng
The correct answer is: tác động
Hãy điền vào chỗ trống nội dung của chính sách kế hoạch dự phòng (PC policy)
Xác định các quy định và ...... (2 từ) chính ảnh hưởng đến việc lập kế hoạch CP và trình bày tổng quan về
mức độ phù hợp của chúng
The correct answer is: tiêu chuẩn
Xác định .......... (3 từ) của từng thành viên trong quy trình CP tổng thể
The correct answer is: tầm quan trọng
Hãy điền vào chỗ trống các nội dung của chính sách kế hoạch dự phòng (CP Policy): Kêu gọi và hướng
dẫn lựa chọn các phương án .......... (2 từ) và chiến lược bền vững
The correct answer is: khôi phục

lOMoARcPSD|11005917
Xác định những ..... (3 từ) chịu trách nhiệm về hoạt động CP.
The correct answer is: người chủ chốt
Hãy điền vào chỗ trống các nội dung của chính sách kế hoạch dự phòng (CP Policy):
Trình bày phạm vi và ............... (2 từ) của các hoạt động CP (yêu cầu bao gồm tất cả các chức năng và
hoạt động kinh doanh quan trọng)
The correct answer is: mục đích
Các biện pháp bảo vệ này bao gồm quản trị và quản lý rủi ro là các biện pháp kiểm soát quản lý
Đúng
Các biện pháp kiểm soát quản lý là các biện pháp bảo vệ an toàn thông tin tập trung vào việc lập kế hoạch
hành chính, tổ chức, lãnh đạo và kiểm soát
Đúng
Các biện pháp bảo vệ này bao gồm tường lửa, mạng riêng ảo và IDPSs thuộc nhóm các biện pháp kiểm
soát quản lý
Sai
Các biện pháp bảo vệ này bao gồm lập kế hoạch phục hồi sau thảm họa và ứng phó sự cố là các biện pháp
kiểm soát quản lý.
Sai
Các biện pháp kiểm soát hoạt động được thiết kế bởi các nhà hoạch định chiến lược và được thực hiện bởi
tổ chức quản lý an toàn của đơn vị.
Sai
Các biện pháp kiểm soát kỹ thuật là các biện pháp bảo vệ an toàn thông tin tập trung vào việc áp dụng các
công nghệ, hệ thống và quy trình hiện đại để bảo vệ tài sản thông tin.
Đúng
Các biện pháp kiểm soát kỹ thuật là các biện pháp bảo vệ an toàn thông tin tập trung vào việc lập kế
hoạch cấp thấp hơn, nhằm giải quyết chức năng an toàn của đơn vị
Sai
Bảng phân cấp trong kế hoạch phản ứng sự cố chính xác hơn vì người liên hệ cung cấp cho mỗi người
cùng một thông báo cảnh báo, nhưng mất nhiều thời gian hơn
Sai
Theo mô hình an toàn NIST SP 800-14, các nguyên tắc thực hành về an toàn bao gồm:
a. An toàn không bị hạn chế bởi các yếu tố xã hội
b. An toàn là một yếu tố có thể bỏ qua của quản lý hữu hiệu
lOMoARcPSD|11005917
c. An toàn yêu cầu một phương pháp toàn diện và tích hợp
d. An toàn không cần hiệu quả về mặt chi phí, quan trọng là giảm thiểu được rủi ro
Kết nối định nghĩa của các khái niệm sau trong chiến lược dự phòng dữ liệu và site
Phục hồi sau thảm họa dưới dạng dịch vụ (Disaster Recovery as a Service - DRaaS) → liên quan đến việc
sử dụng các dịch vụ điện toán đám mây như một phần của thỏa thuận dịch vụ với bên thứ ba
Thỏa thuận tương trợ (Mutual Agreements) → quy định rằng các tổ chức tham gia mà không bị ảnh
hưởng bởi thảm họa có nghĩa vụ cung cấp các phương tiện, nguồn lực và dịch vụ cần thiết cho đến khi tổ
chức tiếp nhận có thể phục hồi sau thảm họa
Chia sẻ thời gian (Time-shares) → cho phép tổ chức duy trì tùy chọn phục hồi sau thảm họa và tính liên
tục trong kinh doanh bằng cách chia sẻ chi phí của hot site/warm site/cold site với một hoặc nhiều đối tác
Văn phòng dịch vụ (Service Bureaus) → Các hợp đồng có thể được tạo ra một cách cẩn thận với các văn
phòng dịch vụ để chỉ định chính xác những gì tổ chức cần mà không cần phải đặt trước các phương tiện
chuyên dụng
Thuộc tính của mục tiêu chiến thuộc KHÔNG bao gồm:
a. Có thể thành công tốt
b. Có mục tiêu cụ thể
c. Có giới hạn thời hạn
d. Có thể đo lường được
Kết nối các hoạt động trong tiến trình lập kế hoạch dự phòng
Đảm bảo duy trì kế hoạch → Kế hoạch phải là một tài liệu cần được cập nhật thường xuyên theo các cải
tiến hệ thống và thay đổi của đơn vị
Tạo chiến lược dự phòng → Các chiến lược khôi phục kỹ lưỡng đảm bảo rằng hệ thống có thể được phục
hồi nhanh chóng và hiệu quả sau sự cố
Xây dựng CP → CP cần có hướng dẫn chi tiết và các thủ tục để phục hồi các cơ sở đơn vị bị sự cố
Đảm bảo kế hoạch kiểm tra, huấn luyện và luyện tập → Kiểm tra xác nhận khả năng phục hồi, huấn luyện
nhân sự chuẩn bị cho kế hoạch phục hồi để kích hoạt kế hoạch và thực hiện kế hoạch, xác định các lỗ
hổng trong kế hoạch
Kế hoạch hoạt động (operational planning)

a. Thông tin liên lạc và phản hồi thường xuyên từ các nhóm tới các nhà quản lý dự án, trưởng
nhóm, các cấp quản lý khác, … sẽ giúp quá trình lập kế hoạch quản lý dễ dàng hơn và thành công
hơn
b. Tập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1 hoặc 2 năm
c. Bao gồm kế hoạch dự án và tài liệu lập kế hoạch mua sắm nguồn lực; cần được lập ngân sách, phân bổ
nguồn lực và nhân sự khi tiến hành
d. Giám đốc an toàn thông tin (CISO) tổ chức, sắp xếp thứ tự ưu tiên và thu thập các nguồn lực cần thiết
hỗ trợ cho việc lập kế hoạch chiến lược
Điền vào chỗ trống về kế hoạch phục hồi sự cố:

lOMoARcPSD|11005917
Tổ chức phải đánh giá toàn bộ mức độ .............. (2 từ) để xác định cách khôi phục hệ thống về trạng thái
hoạt động đầy đủ
The correct answer is: thiệt hại
Kết nối các hoạt động trong tiến trình lập kế hoạch dự phòng
Phát triển tuyên bố chính sách CP → Một chính sách chính thức cung cấp thẩm quyền và hướng dẫn cần
thiết để phát triển một kế hoạch dự phòng hiệu quả
Tiến hành thực hiện phân tích tác động kinh doanh (business impact analysis-BIA) → Giúp xác định và
ưu tiên các hệ thống thông tin và các thành phần quan trọng để hỗ trợ sứ mệnh / quy trình kinh doanh của
tổ chức
Tạo chiến lược dự phòng → Các chiến lược khôi phục kỹ lưỡng đảm bảo rằng hệ thống có thể được phục
hồi nhanh chóng và hiệu quả sau sự cố
Xác định các biện pháp kiểm soát phòng ngừa → Các biện pháp được thực hiện để giảm ảnh hưởng của
sự gián đoạn hệ thống
Kết nối các chính sách an toàn, theo Special Publication (SP) 800-14 của Viện Tiêu chuẩn và Công nghệ
Quốc gia (NIST):
nhật thường xuyên về các nội dung như sử dụng các thiết bị máy tính của tổ chức tại nhà
Chính sách an toàn thông tin doanh nghiệp → Tổng quan triết lý của tổ chức về an toàn
Lĩnh vực chính của quản lý khủng hoảng

a. Tất cả đều đúng
b. Kiểm tra danh sách tài sản
c. Kiểm tra danh sách nguy cơ
d. Kiểm tra danh sách cảnh báo
Điền vào chỗ trống:

Quản trị an toàn thông tin bao gồm tất cả các trách nhiệm giải trình và các phương pháp do hội đồng quản
trị và ban quản lý điều hành đảm nhận để cung cấp định hướng ....... (2 từ)
The correct answer is: chiến lược
Kết nối các chương trình giáo dục, huấn luyện và nhận thức về an toàn (SETA)
Huấn luyện an toàn → Cung cấp cho nhân viên thông tin chi tiết và hướng dẫn thực hành để chuẩn bị cho
họ thực hiện nhiệm vụ một cách an toàn
Giáo dục an toàn → nhân viên được khuyến khích tham dự các khóa học về giáo dục thường xuyên từ các
cơ sở giáo dục đại học
Nhận thức về an toàn → Được thiết kế để giữ an toàn thông tin được đặt lên hàng đầu trong tâm trí người
dùng
CHƯƠNG 4
lOMoARcPSD|11005917
a.Mục tiêu của an ninh thông tin là giảm rủi ro còn lại bằng 0
b.Chìa khóa cho tổ chức là tìm ra sự cân bằng trong việc ra quyết định và phân tích tính khả thi
nhằm đảm bảo rằng mức độ chấp nhận rủi ro của tổ chức dựa trên kinh nghiệm và thực tế
d.Rủi ro còn lại bị ảnh hưởng bởi mức độ chấp nhận rủi ro
Câu 2: Giá trị được tính toán liên quan đến tổn thất có khả năng xảy ra nhất từ một cuộc tấn công là
a.Tỷ lệ xuất hiện hàng năm
b.Dự báo tổn thất hàng năm
c.Dự báo tổn thất đơn lẻ
d.Tỷ lệ thiệt hại kỳ vọng
Câu 3:
Đoạn văn câu hỏi
Chọn phát biểu đúng về nhân sự tham gia chương trình quản lý rủi ro
a.Cộng đồng CNTT hỗ trợ chương trình quản lý rủi ro
b.Cộng đồng CNTT xác định, đánh giá và kiểm soát rủi ro đối với tài sản thông tin
c.Cộng đồng CNTT cân bằng tính hữu ích và bảo mật của HTTT
d.Cộng đồng an toàn thông tin hỗ trợ chương trình quản lý rủi ro
Câu 4:
Đoạn văn câu hỏi
Tích của dự báo tổn thất đơn lẻ và tỷ lệ xuất hiện hàng năm là
a.Tỷ lệ thiệt hại kỳ vọng
b.Dự báo tổn thất hàng năm
c.Tỷ lệ xuất hiện hàng năm
d.Dự báo tổn thất đơn lẻ
Câu 5: Kết nối các dữ liệu theo phân nhóm dữ liệu

Tất cả thông tin đã được nhà quản trị phê duyệt để công bố công khai → Mức độ công khai,
Các thông tin nội bộ không đáp ứng các tiêu chí cho loại bí mật → Mức độ nội bộ,
Thông tin “nhạy cảm” hoặc “độc quyền” → Mức độ bảo mật
Câu 6: Định giá tài sản có thể áp dụng phương pháp định lượng hoặc định tính.
Câu 7: Mô tả cấu trúc của bảng nguy cơ – điểm yếu tiềm ẩn – tài sản (TVA)Phản hồi
Dòng → Thể hiện các nguy cơ,
Cột → Thể hiện tài sản thông tin,
Lưới kết quả → Thể hiện điểm yếu bảo mật (exposure) của tài sản và cho phép đánh giá điểm yếu tiềm ẩn
Câu 8:
Sự kiện tiềm tàng không mong muốn có thể xảy ra gây thiệt hại cho doanh nghiệp → Rủi ro,
Bất kỳ sự kiện hoặc hoàn cảnh nào có khả năng ảnh hưởng xấu đến hoạt động và tài sản của tổ chức →
Nguy cơ,
Nhược điểm có sẵn trong hệ thống hoặc trong các hệ thống phòng thủ → Điểm yếu tiềm ẩn
Câu 9: Kết nối các thức ước tính các số liệu sau:
lOMoARcPSD|11005917
Chi phí thay thế/ khôi phục thông tin → Bao gồm thời gian cần thiết để nhân viên khôi phục hoặc tái thiết
thông tin từ các bản sao lưu, nhật ký giao dịch độc lập hay bản sao cứng của nguồn dữ liệu,
Chi phí bảo trì trong quá khứ của tài sản thông tin → Ước tính bằng cách định lượng nguồn nhân lực
được sử dụng để liên tục cập nhật, hỗ trợ, sửa đổi và phục vụ các ứng dụng và hệ thống liên quan đến một
tài sản thông tin cụ thể,
Chi phí cung cấp thông tin → Gồm chi phí liên quan đến việc cung cấp thông tin qua CSDL, mạng, hệ
thống phần cứng và phần mềm và chi phí cho cơ sở hạ tầng cần thiết để cung cấp quyền truy cập và kiểm
soát thông tin,
Chi phí tạo ra tài sản thông tin → Bao gồm chi phí phát triển phần mềm, thu thập, xử lý dữ
liệu,…,
Chi phí bảo vệ thông tin → Xác định dựa trên giá trị của tài sản thông tin
Câu 10: Chọn phát biểu đúng về rủi ro
a.Rủi ro là thiệt hại, hư hại hoặc sự phá hủy tiềm tảng của một tài sản như là kết quả của một nguy cơ
đang khai thác một tài sản
b.Rủi ro là thiệt hại, hư hại hoặc sự phá hủy tiềm tảng của một tài sản như là kết quả của một nguy cơ
chưa bị khai thác
c.Rủi ro là thiệt hại, hư hại hoặc sự phá hủy tiềm tảng của một tài sản như là kết quả của một điểm yếu
tiềm ẩn
d.Rủi ro là thiệt hại, hư hại hoặc sự phá hủy tiềm tảng của một tài sản như là kết quả của một nguy
cơ đang khai thác một điểm yếu tiềm ẩn
Câu 11: Phương pháp chuẩn so sánh
b.Đo lường sự tương đồng giữa cách tổ chức tiến hành kinh doanh và cách các tổ chức khác kinh doanh
c.Liên quan đến việc tìm kiếm và nghiên cứu các phương pháp được sử dụng trong các tổ chức
khác
d.Sử dụng các tiêu chuẩn để tự xếp hạng so với các tổ chức không tương đồng trong ngành có quy mô
hoặc thị trường tương tự
Câu 12: Yếu tố Không cần xem xét khi định giá tài sản thông tin
a.Chi phí cung cấp thông tin
b. Doanh thu không được tạo ra từ thông tin
c. Giá trị của tài sản trí tuệ
d. Chi phí tạo ra tài sản thông tin
Chi phí của thủ tục kiểm soát KHÔNG bao gồm:
a. Chi phí triển khai gồm chi phí cài đặt, cấu hình, và kiểm tra phần cứng, phần mềm và dịch vụ
b. Chi phí sa thải nhân sự không đáp ứng yêu cầu
c. Chi phí phát triển hoặc mua phần cứng, phần mềm và dịch vụ
d. Chi phí bảo trì bao gồm chi phí nhân công để xác minh và kiểm tra liên tục, duy trì và cập nhật
Câu 13: Kết nối các vấn đề cần cân nhắc trong xác định và sắp xếp ưu tiên đối phó với các nguy cơ
Xác định chi phí cần thiết để phục hồi sau một cuộc tấn công → Đánh giá sơ bộ chi phí để phục hồi hoạt
động nếu một cuộc tấn công làm gián đoạn hoạt động kinh doanh,
Xác định nguy cơ là mối nguy hiểm nhất đối với thông tin của tổ chức → Xếp hạng các nguy cơ
một cách chủ quan theo thứ tự nguy hiểm,
Xác định nguy cơ đòi hỏi chi phí lớn nhất để ngăn chặn → Sắp xếp nguy cơ theo chi phí cần thiết để
ngăn chặn,
lOMoARcPSD|11005917
Xác định nguy cơ gây nguy hiểm cho tài sản của tổ chức trong môi trường nhất định → Cần phân tích các
ví dụ cụ thể về các nguy cơ để xác định nguy cơ cần xử lý
Câu 14:
Tổ chức phải duy trì tính bảo mật, quyền riêng tư và đảm bảo tính toàn vẹn của dữ liệu bằng cách áp dụng
các nguyên tắc .................. (4 từ) để theo kịp sự cạnh tranh.
Answer: quản lý rủi ro
Câu 15: Chọn phát biểu đúng về mức độ chấp nhận rủi ro
a.Bất kỳ sự kiện hoặc hoàn cảnh nào có khả năng ảnh hưởng xấu đến hoạt động và tài sản của tổ chức
b.Bất kỳ rủi ro nào chưa được loại bỏ, thay đổi hoặc lập kế hoạch khi các lỗ hổng bảo mật đã được kiểm
soát tối đa
c.Số lượng và bản chất của rủi ro mà các tổ chức sẵn sàng chấp nhận khi họ đánh giá sự cân đối
giữa an ninh hoàn hảo và khả năng tiếp cận không giới hạn
d.Sự kiện tiềm tàng không mong muốn có thể xảy ra gây thiệt hại cho doanh nghiệp
Câu 15: Chọn phát biểu sai về quản lý dữ liệu đã phân nhóm
a.Tài liệu được phân nhóm phải có ký hiệu thích hợp ở giữa trang
b.Khi mang thông tin đã được phân nhóm ra ngoài tổ chức, thông tin đó cần được để trong túi hoặc bìa
hồ sơ
c.Lưu trữ trong tủ khóa, két sắt hoặc các thiết bị bảo vệ khác cho bản cứng và hệ thống
d.Tất cả thông tin chưa được phân nhóm hoặc công khai phải được đánh dấu rõ ràng
Câu 16:
Đảm bảo có đủ thời gian, tài chính, nhân lực và các nguồn lực khác được phân bổ cho các nhóm an toàn
thông tin và CNTT để đáp ứng nhu cầu bảo mật → Nhà quản trị,
Vai trò lãnh đạo trong giải quyết rủi ro đối với tài sản thông tin → Ủy ban an ninh thông tin,
Cung cấp quan điểm định giá và các nguy cơ cho ban quản lý trong quá trình quản lý rủi ro → Ủy ban
CNTT,
Hiểu tài sản thông tin nào có giá trị nhất → Người sử dụng
Câu 17:
Trong phương pháp chuẩn so sánh thì sự khác biệt trong kết quả (Performance gaps) giữa tổ chức và đối
thủ cạnh tranh cung cấp thông tin chi tiết về các lĩnh vực mà tổ chức cần quan tâm để .................. (2 từ)
các tình trạng bảo mật và phòng thủ của mình
Answer is: cải thiện
Câu 1:
Sơ đồ phân loại dữ liệu (Data classification scheme) là một PP luận kiểm soát truy cập chính thức được
sử dụng để xác định ....................... (4 từ) cho một tài sản thông tin và do đó hạn chế số lượng người có
thể truy cập nó.
→ Mức độ bảo mật
Câu 2: Phát biểu nào không phải là mục tiêu của kiểm kê tài sản thông tin
a.Không có phát biểu KHÔNG đúng
b.Để hiểu những gì tổ chức đang bảo vệ
c.Thiết lập mức độ ưu tiên tương đối của tài sản đối với sự thành công của tổ chức
d.Xác định nơi thông tin được lưu trữ
lOMoARcPSD|11005917

Yêu cầu phân nhóm tài sản thông tin đó là các nhóm tài sản phải toàn diện và ............. (2 từ) lẫn nhau.
→ The correct answer is: phân biệt
Câu 4: Yêu cầu phân nhóm tài sản thông tin là phải cụ thể để có thể dễ hiểu và xác định mức độ ưu tiên:
Hãy chọn một:
Đúng
Sai
Câu 5: Sự không chắc chắn của các ước tính trong tính toán rủi ro xuất hiện KHÔNG do yếu tố nào?
a.Kiến thức không hoàn hảo hoặc không đầy đủ về nguy cơ
b.Những hạn chế về mức độ mà tương lai sẽ giống với quá khứ
c.Sự phụ thuộc đã được nhận biết, có thể dẫn đến các tác động không lường trước được
d.Các lỗ hổng chưa được phát hiện trong công nghệ hoặc sản phẩm
Câu 6:
An toàn thông tin và quản lý rủi ro phải trở thành một phần không thể thiếu của việc ra quyết định kinh
doanh dựa trên cơ sở ..................... (2 từ) tức là cân bằng lợi ích và chi phí
→ The correct answer is: kinh tế
Câu 1: Tần suất tổn thất là
Answer:
c.Việc tính toán khả năng xảy ra một cuộc tấn công cùng với tần suất tấn công để xác định số tổn thất dự
kiến trong một khoảng thời gian xác định
Câu 2: Nội dung nào không thuộc giai đoạn xác định rủi ro
Answer:
d. Đánh giá mức độ tổn thất
Câu 3: Giá trị được tính toán liên quan đến tổn thất có khả năng xảy ra nhất từ một cuộc tấn công là
Answer:
d. Dự báo tổn thất đơn lẻ
Câu 4:Phát biểu nào không phải là mục tiêu của kiểm kê tài sản thông tin
Answer:
c.Thiết lập mức độ ưu tiên tương đối của tài sản đối với sự thành công của tổ chức
Câu 5: Chọn phát biểu đúng về nhân sự tham gia chương trình quản lý rủi ro
Answer:
a.Cộng đồng an toàn thông tin xác định, đánh giá và kiểm soát rủi ro đối với tài sản thông tin
Câu 6:
Các thông tin nội bộ không đáp ứng các tiêu chí cho loại bí mật → Mức độ nội bộ,
Tất cả thông tin đã được nhà quản trị phê duyệt để công bố công khai → Mức độ công khai,
Thông tin “nhạy cảm” hoặc “độc quyền” → Mức độ bảo mật
Câu 1: Đâu không phải là tài sản thông tin
Answer:
a.Trang web của doanh nghiệp
b.Nội dung thông tin
c.Phần cứng
lOMoARcPSD|11005917
d.Tất cả đều là tài sản thông tin

Yêu cầu phân nhóm tài sản thông tin đó là các nhóm tài sản phải toàn diện và ............. (2 từ) lẫn nhau.
The correct answer is: phân biệt
Câu 3: Phương pháp chuẩn so sánh
Answer:
d.Liên quan đến việc tìm kiếm và nghiên cứu các phương pháp được sử dụng trong các tổ chức khác
Sơ đồ phân loại dữ liệu (Data classification scheme) là một PP luận kiểm soát truy cập chính thức được
sử dụng để xác định ....................... (4 từ) cho một tài sản thông tin và do đó hạn chế số lượng người có
thể truy cập nó.
The correct answer is: mức độ bảo mật
Câu 5: Dựa vào tiêu chuẩn đánh giá giá trị thông tin, đơn vị sẽ kết hợp các tài sản thông tin, có điều chỉnh
theo trọng số
Hãy chọn một:
Đúng
Sai
Câu 6:
Chi phí cung cấp thông tin → Gồm chi phí liên quan đến việc cung cấp thông tin qua CSDL, mạng, hệ
thống phần cứng và phần mềm và chi phí cho cơ sở hạ tầng cần thiết để cung cấp quyền truy cập và kiểm
soát thông tin,
Chi phí bảo trì trong quá khứ của tài sản thông tin → Ước tính bằng cách định lượng nguồn nhân lực
được sử dụng để liên tục cập nhật, hỗ trợ, sửa đổi và phục vụ các ứng dụng và hệ thống liên quan đến một
tài sản thông tin cụ thể,
Câu 1: Điền vào công thức sau:
Rủi ro = ................................ x Mức độ tổn thất + Sự không chắc chắn của các ước tính
a.Tỷ lệ thành công của cuộc tấn công (attack success probability)
b. Tổn thất có thể xảy ra (Probable Loss)
c. Tần suất tổn thất
d. Xác suất xảy ra tấn công (likelihood)
2. Chiến lược kiểm soát rủi ro loại bỏ tất cả rủi ro liên quan đến một tài sản thông tin bằng cách loại bỏ nó
khỏi dịch vụ là
a.Chiến lược giảm thiểu
b.Chiến lược né tránh
c.Chiến lược phòng thủ
d.Chiến lược chấp nhận
e.Chiến lược chuyển giao
3. Chiến lược né tránh nhằm loại bỏ hoặc giảm bất cứ phần còn lại nào của rủi ro không kiểm soát được
thông qua việc áp dụng các kiểm soát và bảo vệ bổ sung là
a. Chiến lược phòng thủ

lOMoARcPSD|11005917
b. Chiến lược giảm thiểu

c. Chiến lược né tránh
d. Chiến lược chấp nhận
e. Chiến lược chuyển giao
4. Phải thực thi các chính sách để đảm bảo rằng không có thông tin đã phân loại nào bị vứt bỏ trong thùng
rác hoặc các khu tái chế là:
a. Chính sách bàn làm việc sạch
b. Phân nhóm dữ liệu
c. Phân quyền an ninh
d. Quản lý dữ liệu đã phân nhóm
Kết nối nội dung của từng thành phần trong quản lý rủi ro
Kiểm soát rủi ro -> Thực hiện thủ tục kiểm soát để giảm rủi ro xuống mức chấp nhận
Đánh giá rủi ro -> Đánh giá và đo lường rủi ro để quyết định rủi ro có vượt quá ngưỡng chịu đựng của tổ
chức h
ay không ?
Xác định rủi ro -> Xác định và hiểu về rủi ro DN phải đối mặt, đặc biệt là rủi ro về tài sản thông tin
Kết nối định nghĩa của các tính khả thi trong triển khai thủ tục kiểm soát
Khả thi tổ chức -> Đánh giá sự phù hợp giữa một giải pháp cụ thể với mục tiêu lập kế hoạch chiến lược
của tổ chức
Khả thi chính trị -> Đánh giá mức độ phù hợp của một giải pháp cụ thể trong môi trường chính trị của tổ
chức
Khả thi vận hành -> Đánh giá mức độ phù hợp của một giải pháp cụ thể với văn hóa của tổ chức và mức
độ mà người dùng dự kiến sẽ chấp nhận giải pháp
Khả thi kỹ thuật -> Đánh giá mức độ phù hợp của một giải pháp cụ thể dựa trên cơ sở hạ tầng và nguồn
lực công nghệ hiện tại của tổ chức, bao gồm phần cứng, phần mềm, hệ thống mạng và nhân sự.
Phát biểu nào KHÔNG đúng về bảng nguy cơ - điểm yếu tiềm ẩn - tài sản (TVA)
a. Một cặp tài sản, nguy cơ, và các điểm yếu tiềm ẩn tồn tại giữa chúng
b. Đóng vai trò là điểm khởi đầu cho bước tiếp theo trong quy trình quản lý rủi ro - đánh giá rủi ro
c. Bắt buộc phải có nhiều điểm yếu tiềm ẩn giữa nguy cơ X và tài sản Z
d. Tài liệu xếp hạng so sánh các tài sản tương ứng với các nguy cơ, và dấu hiệu về bất kỳ điểm yếu tiềm
ẩn nào trong các cặp tài sản/nguy cơ
Chiến lược quản lý rủi ro hiệu quả
-> Biết bản thân: Xác định, kiểm tra và hiểu về thông tin và hệ thống hiện hành
Chiến lược chuyển giao rủi ro có thể được thực hiện bằng cách:
a. Thuê ngoài (outsource) các tổ chức khác
b. Tránh các hoạt động kinh doanh gây ra rủi ro không thể Task-based access controls-TBAC
kiểm soát
c. Bắt đầu bằng việc phát hiện sớm một cuộc tấn công đang diễn ra và phản ứng nhanh chóng, hữu hiệu
và hiệu quả.
lOMoARcPSD|11005917
d. Thực hiện kế hoạch phản ứng với sự cố
Điền vào công thức sau:

CBA = ALE(prior) - ALE(post) - ............. (1 từ, là chữ viết tắt bằng tiếng Anh)
The correct answer is: ACS
Phân quyền an ninh
a. Một cấu trúc an ninh nhân sự mà mỗi người sử dụng một tài sản thông tin được chỉ định một cấp
độ phân quyền
b. Tương ứng với sơ đồ phân loại rủi ro là cấu trúc phân quyền an ninh nhân sự
c. Xác định cấp thông tin đã phân loại mà người sử dụng không được quyền truy cập
d. Tất cả đều đúng
Định giá tài sản thông tin nên sử dụng phân tích nhân tố có trọng số
Đúng
CHƯƠNG 5
1. Kiểm soát truy cập tùy ý (Discretionary access controls (DACs))
a. Phần quyền theo quyết định hoặc tùy chọn của người dùng dữ liệu (kiểm soát bởi người dùng)
b.Truy cập hạn chế hoặc giới hạn người, nhóm người có thể truy cập vào tài nguyên
d.Thực hiện theo ủy quyền trung tâm được kiểm soát bởi tổ chức
2. Kết nối đặc điểm của các cơ chế kiểm soát truy cập (Access control mechanisms)
Tôi là người dùng hê ̣ thống → Nhâ ̣n dạng
Đây là những gì tôi có thể làm với hê ̣ thống -> Phân quyền
Bạn có thể theo dõi và giám sát viê ̣c sử dụng hê ̣ thống của tôi → Truy vết
Tôi có thể chứng minh tôi là người dùng hê ̣ thống → Xác thực
3. Phân quyền cho các thành viên trong nhóm: Cấp quyền truy cập vào các tài nguyên dựa trên quyền truy
cập của từng người dùng SAI
4. Điều kiện để Mạng riêng ảo (Virtual private Networks - VPN) đảm bảo an toàn và tin cậy trong môi
trường mạng công cộng
a.Mã hóa (Encryption) dữ liệu đến và đi
b.Xác thực (Authentication) máy tính (remote computer) và người dùng từ xa
c.Đóng gói (Encapsulation) dữ liệu đến và đi

lOMoARcPSD|11005917
5. Kiểm soát truy cập là phương pháp mà hệ thống xác định cách thức CHO PHÉP người dùng vào khu
vực tin cậy của tổ chức, đó là hệ thống thông tin, khu vực hạn chế như phòng máy tính và toàn bộ vị trí
vật lý.
6. Kiểm soát truy cập

a.Kiểm soát truy cập đạt được thông qua các chương trình và pháp luật
b.Tập trung vào các quyền hoặc đặc quyền mà một chủ thể (người dùng hoặc hệ thống) có trên một đối
tượng (tài nguyên/nguồn lực)
c.Phương pháp mà hệ thống xác định cách thức cho phép người dùng vào khu vực không tin cậy của tổ
chức
7. Chính sách an toàn vật lý hướng dẫn người dùng cách sử dụng phù hợp TÀI NGUYÊN máy tính và tài
sản thông tin, bảo vệ sự an toàn trong các hoạt động hàng ngày
8. Hãy chọn phát biểu đúng

a. Các giải pháp kiểm soát về mặt kỹ thuật giúp cải thiện khả năng của đơn vị trong cân bằng các mục
tiêu
b. Một chương trình an toàn thông tin được hoạch định tốt sẽ không cần những kiểm soát về mặt kỹ thuật
c. Các giải pháp kiểm soát về mặt kỹ thuật giúp duy trì tính toàn vẹn của đơn vị
d. Tất cả đều sai
9. Kiểm soát truy câ ̣p bắt buô ̣c (Mandatory access controls - MACs)

a. Thông tin được xếp hạng và tất cả người dùng được xếp hạng để chỉ định mức thông tin họ có thể truy
cập.
b. Tất cả đều đúng
c. Sử dụng các sơ đồ phân loại dữ liệu (data classification schemes), cung cấp cho người dùng và chủ sở
hữu dữ liệu quyền kiểm soát hạn chế vào tài nguyên thông tin.
d. Xếp hạng theo mức độ nhạy cảm và mức độ bảo mật thông tin.
10. Kiểm soát truy cập không tùy ý - Non Discretionary access controls (NDACs)
a. Không phải là dạng kiểm soát truy cập dựa trên mạng lưới (lattice-based access control-LBAC)
b. Thực hiện theo ủy quyền trung tâm được kiểm soát bởi tổ chức
c. Truy cập hạn chế hoặc giới hạn người, nhóm người có thể truy cập vào tài nguyên
d. Phần quyền theo quyết định hoặc tùy chọn của người dùng dữ liệu (kiểm soát bởi người dùng)
11. Role-based access controls - RBAC

a. Quyền gắn với nhiệm vụ, được kế thừa khi người dùng chỉ định nhiệm vụ
b. Được gắn với một công việc hoặc trách nhiệm cụ thể, như: quản trị viên máy in của bộ phận
c. Quyền gắn với vai trò của người dùng, được kế thừa khi người dùng được chỉ định vai trò đó
d. Là kiểm soát truy cập vai trò phụ và cung cấp kiểm soát chi tiết hơn đối với các bước hoặc giai đoạn
liên quan đến vai trò hoặc dự án
12. Cơ chế truy vết (Accountability/ Auditability) đảm bảo rằng tất cả các hành động trên một hệ thống
(được phân quyền hoặc không được phân quyền) có thể được gán cho một DANH TÍNH được xác thực
lOMoARcPSD|11005917
13. Capabilities tables thể hiện từng dòng thuộc tính kết hợp với tất cả các chủ thể
SAI
14. Kết nối các đặc điểm của các Mạng riêng ảo (Virtual private Networks)
Sử dụng các mạch thuê từ một nhà cung cấp dịch vụ và thực hiện chuyển mạch gói
qua các mạch thuê này → VPN đáng tin cậy (Trust VPN/ a legacy VPN),
Sử dụng các giao thức bảo mật như IPSec để mã hóa lưu lượng truyền qua các mạng công cộng không an
toàn như Internet → VPN an toàn (Secure VPN),
Kết hợp cả hai cách trên, cung cấp các đường truyền được mã hóa (như trong VPN an toàn) qua một số
hoặc tất cả mạng VPN đáng tin cậy → VPN lai (hybrid VPN)
15. Nhận dạng (Identification)

a. Thực hiện bằng phương tiện nhật ký hệ thống, nhật ký cơ sở dữ liệu và kiểm toán các hồ sơ.
b. Là quá trình xác minh danh tính của cá nhân hoặc thiết bị đang cố truy cập vào hệ thống, nhằm đảm
bảo chỉ những người dùng hợp pháp mới có thể truy cập vào hệ thống
c. Là một cơ chế mà các thực thể phải cung cấp một mã định danh - identifier (ID) để được hệ thống xác
thực.
d. Là sự thiết lập quyền giữa một thực thể được xác thực và một danh sách các tài sản thông tin và các
mức độ truy cập tương ứng.
16. Kết nối các điều kiện để mạng riêng ảo - VPN đảm bảo an toàn và tin cậy trong môi trường mạng
công cộng
Xác thực và phân quyền người dùng để thực hiện các hành động cụ thể được xác định dựa trên nhận dạng
chính xác và đáng tin cậy của hệ thống và người dùng từ xa → Xác thực (Authentication) máy tính
(remote computer) và người dùng từ xa,
Để giữ riêng tư nội dung dữ liệu khi truyền qua mạng công cộng, nhưng máy khách và máy chủ có thể sử
dụng được → Mã hóa (Encryption) dữ liệu đến và đi,
Giao thức gốc (native protocol) của máy khách được nhúng trong các khung của một giao thức có thể
được định tuyến qua mạng công cộng và có thể sử dụng được bởi môi trường mạng máy chủ → Đóng gói
(Encapsulation) dữ liệu đến và đi
17. Nhận dạng khuôn mặt bằng máy ảnh kỹ thuật số là một dạng của nhận dạng bằng sinh trắc học
ĐÚNG
18. Yêu cầu tất cả những người vào cơ sở phải cung cấp thông tin cụ thể/ thư mời và được hộ tống khi
vào các khu vực hạn chế là thủ tục kiểm soát tránh social engineering ĐÚNG
19. Chọn phát biểu KHÔNG đúng về Kiểm soát truy cập không tùy ý - Nondiscretionary access controls
(NDACs)
a.kiểm soát truy cập dựa trên thuộc tính
b.phân quyền gắn liền với nhiệm vụ và trách nhiệm của một người
c.phân quyền theo từng chủ thể đối với từng đối tượng

lOMoARcPSD|11005917
d.Ví dụ về NDACs người dùng có thể có một ổ cứng chứa thông tin được chia sẻ với đồng nghiệp. Người
dùng này có thể chọn cho phép các đồng nghiệp truy cập bằng cách cung cấp quyền truy cập theo tên
trong chức năng chia sẻ kiểm soát
20. Task-based access controls-TBAC

b. Quyền gắn với nhiệm vụ, được kế thừa khi người dùng chỉ định nhiệm vụ
c.Quyền gắn với vai trò của người dùng, được kế thừa khi người dùng được chỉ định vai trò đó.
d.Được liên kết với các nhiệm vụ mà người dùng thực hiện trong một tổ chức, như: vị trí hoặc phân công
tạm thời như người quản lý dự án
21. Chọn phát biểu KHÔNG đúng về Task-based access controls-TBAC

a.Nhiệm vụ có nhiều chi tiết và ngắn hạn hơn nhiều
b.Phương pháp phân quyền này có ưu điểm: thay vì liên tục phân công và thu hồi các đặc quyền của nhân
viên đến và đi, quản trị viên chỉ cần gán quyền truy cập cho vai trò hoặc nhiệm vụ.
c. Được liên kết với các nhiệm vụ mà người dùng thực hiện trong một tổ chức, như: vị trí hoặc phân công
tạm thời như người quản lý dự án
d. Các kiểm soát này giúp dễ dàng duy trì các hạn chế liên quan đến một vai trò hoặc nhiệm vụ cụ thể,
đặc biệt nếu những người khác nhau thực hiện vai trò hoặc nhiệm vụ.
22. Nhận dạng khuôn mặt bằng máy ảnh kỹ thuật số là một dạng của nhận dạng bằng sinh trắc học?
Đúng
Sai
23. Telecommuting (làm việc từ xa)
a.Nhân viên có thể tránh phải đi lại vất vả và có nhiều thời gian hơn để tập trung vào công việc của họ
b.Một sự sắp xếp công việc trong đó nhân viên làm việc từ một vị trí bên ngoài và kết nối điện tử với thiết
bị của tổ chức.
c.Khi ngày càng có nhiều người trở thành người làm việc từ xa (telecommuters), rủi ro đối với thông tin
luân chuyển qua các kết nối thường không an toàn
24. Kết nối đặc điểm của các dạng tường lửa
Application layer proxy firewalls → Một thiết bị có khả năng hoạt động như một tường lửa và application
layer proxy server,
Packet-filtering firewalls → Thiết bị mạng kiểm tra tiêu đề thông tin của các gói dữ liệu đi vào một mạng
và xác định xem nên từ chối hay cho phép chuyển tiếp đến kết nối mạng tiếp theo dựa trên các quy tắc
cấu hình của nó,
Media access control layer firewalls → Tường lửa được thiết kế hoạt động ở lớp con kiểm soát truy cập
phương tiện của lớp liên kết dữ liệu mạng (Lớp 2).,
Hybrids → Tường lửa kết hợp kết hợp các yếu tố của các loại tường lửa khác: yếu tố
của bộ lọc gói, proxy lớp ứng dụng và tường lửa lớp kiểm soát truy cập phương tiện.
25. Kết nối các đặc điểm của các phương pháp đánh chặn dữ liệu (Interception of Data)
Đánh chặn điện từ (Electromagnetic interception) → Có thể nghe trộm những tín hiệu điện từ -
electromagnetic signals (EM),

lOMoARcPSD|11005917
Đánh chặn truyền dữ liệu (Interception of data transmissions) → Kẻ tấn công truy cập phương tiện truyền
dữ liệu và sử dụng PM do thám để thu thập dữ liệu.,
Quan sát trực tiếp (Direct observation) → Thông tin sẽ dễ bị quan sát ở những nơi không
kiểm soát tốt.
26. Hình học tay (hand geometry) không phải là một dạng của nhận dạng bằng sinh trắc học?
Đúng
Sai
27. Kết nối vai trò của các đối tượng sau trong chương trình an toàn vật lý
Ban quản lý chung → Chịu trách nhiệm an toàn của cơ sở hoạt động (facility) và các chính sách và tiêu
chuẩn để vận hành an toàn,
Quản lý IT và chuyên gia → Chịu trách nhiệm an toàn môi trường và an toàn truy cập tại các vị trí đặt
thiết bị công nghệ và các chính sách, tiêu chuẩn chi phối hoạt động an toàn của thiết bị,
Ban quản lý và các chuyên gia an toàn thông tin → Chịu trách nhiệm đánh giá rủi ro và xem xét các kiểm
soát an toàn vật lý do hai nhóm trên thực hiện.
28. Kiểm soát truy cập vật lý (Physical Access Controls) là các biện pháp quản lý sự di chuyển của mọi
người trong các cơ sở vật chất của tổ chức, kiểm soát quyền truy cập vật lý của họ vào các nguồn lực của
công ty
Đúng
Sai
29. Capabilities tables thể hiện từng dòng thuộc tính kết hợp với tất cả các chủ thể
Đúng
Sai
30. Khả năng chấp nhận sinh trắc học
a.Nên thực hiện các hệ thống nhận dạng bằng sinh trắc học để nhận được sự chấp nhận của người dùng
đối với các kiểm soát sinh trắc học
b.Phải cân bằng giữa khả năng chấp nhận của hệ thống an toàn đối với người dùng và tính hữu hiệu của
nó trong việc duy trì sự an toàn
c.Nhiều hệ thống sinh trắc học có độ tin cậy và hữu hiệu cao được chấp nhận bởi người dùng
31. Xác thực (Authentication)
a.Thực hiện bằng phương tiện nhật ký hệ thống, nhật ký cơ sở dữ liệu và kiểm toán các hồ sơ.
b. Là quá trình xác minh danh tính của cá nhân hoặc thiết bị đang cố truy cập vào hệ thống, nhằm đảm
bảo chỉ những người dùng hợp pháp mới có thể truy cập vào hệ thống
c.Là sự thiết lập quyền giữa một thực thể được xác thực và một danh sách các tài sản thông tin và các
mức độ truy cập tương ứng.
d.Là một cơ chế mà các thực thể phải cung cấp một mã định danh - identifier (ID) để được hệ thống xác
thực.
32. Đặc điểm của phương pháp đánh chặn dữ liệu bằng cách truy cập vào mạng LAN
a.Có thể nghe trộm những tín hiệu điện từ - electromagnetic signals (EM)
c. Yêu cầu một số khoảng cách gần với máy tính hoặc mạng của tổ chức.
d.Đối thủ cạnh tranh có thể dễ dàng đánh chặn (intercept) thông tin quan trọng tại nhà của một nhân viên
33. Thủ tục kiểm soát nên triển khai trong trường hợp tổ chức có thực hiện telecommuting (làm việc từ
xa)

lOMoARcPSD|11005917
a. Nhân viên làm việc từ xa phải phải lưu trữ tất cả dữ liệu trong tủ hồ sơ có khóa và phương tiện trong
khóa két sắt
b. Sử dụng mạng riêng ảo (VPN) để bảo vệ dữ liệu trong quá trình truyền tải vì nhân viên làm việc từ xa
thường lưu trữ dữ liệu văn phòng trên hệ thống tại nhà của họ, trong tủ đựng hồ sơ tại nhà và trên các
phương tiện khác
d. Nhân viên làm việc từ xa phải sử dụng một thiết bị bảo mật với hệ điều hành được cấu hình để yêu cầu
xác thực mật khẩu
34. Trong số các sinh trắc học, đâu KHÔNG phải đặc điểm thường được xem là duy nhất của con người
a.Dấu vân tay
b.Mống mắt
c.Dấu lòng bàn tay
d.Võng mạc mắt
35.
Bị quan sát dữ liệu trực tiếp → Thực hiện các cơ chế an toàn vật lý.,
Bị đánh chặn truyền dữ liệu → Mã hóa thông tin.,
Bị đánh chặn điện từ → Đảm bảo rằng các máy tính được đặt càng xa càng tốt so với chu vi bên ngoài
37. Chọn phát biểu đúng
a.Trong thời kỳ đầu của CNTT, các doanh nghiệp mong muốn ứng dụng CNTT để giành lợi thế cạnh
tranh
b.Trong thời đầu của CNTT, các doanh nghiệp mong muốn ứng dụng CNTT để tránh bất lợi cạnh tranh
c.Trong thời hiện tại của CNTT, các doanh nghiệp mong muốn ứng dụng CNTT để giành lợi thế cạnh
tranh
d.Trong thời kỳ đầu của CNTT, các doanh nghiệp mong muốn ứng dụng CNTT để ngăn chặn sự vượt trội
của đối thủ cạnh tranh
38. Nội dung nào không thuộc giai đoạn kiểm soát rủi ro
a.Lựa chọn chiến lược kiểm soát
b.Chứng minh các thủ tục kiểm soát
c.Lập kế hoạch và tổ chức đánh giá rủi ro
d.Triển khai, theo dõi và đánh giá các kiểm soát rủi ro
39. Chọn phát biểu KHÔNG đúng về nguy hiểm
a.đại diện cho số lượng thiệt hại
b.Có thể sử dụng phương pháp định lượng để xác định nguy hiểm
c.đại diện cho tần suất một cuộc tấn công có thể xảy ra
d.là xác suất của một nguy cơ tấn công tổ chức
40. Nội dung nào không thuộc giai đoạn xác định rủi ro
a.Xác định, kiểm kê và phân loại tài sản
b.Xác định, sắp xếp ưu tiên các nguy cơ
c.Xác định các điểm yếu tiềm ẩn
d.Chứng minh các thủ tục kiểm soát
41. Chiến lược kiểm soát rủi ro cố gắng giảm thiểu tác động của tổn thất do một sự cố, thảm họa hoặc
cuộc tấn công đã xảy ra thông qua lập kế hoạch dự phòng và chuẩn bị hiệu quả là
a.Chiến lược né tránh
lOMoARcPSD|11005917
b.Chiến lược phòng thủ

c.Chiến lược chuyển giao
d.Chiến lược giảm thiểu
42. Nội dung nào không thuộc giai đoạn đánh giá rủi ro
a.Lựa chọn chiến lược kiểm soát
b.Tính toán rủi ro
c.Xác định tần suất tổn thất
d.Đánh giá sự chấp nhận rủi ro
Kết nối các cơ chế kiểm soát truy cập
Nhận dạng (Identification) -> Là một cơ chế mà các thực thể phải cung cấp một mã định danh - idnetifier
(ID) để được hệ thống xác thực
Phân quyền (Authorization) -> Là sự thiết lập quyền giữa một thực thể được xác thực và một danh sách
các tài sản thông tin và các mức độ truy cập tương ứng
Truy vết (Accountability) -> Thực hiện bằng phương tiện nhật ký hệ thống, nhật ký cơ sở dữ liệu và kiểm
toán các hồ sơ
Xác thực (Authentication) -> Là quá trình xác minh danh tính của cá nhân hoặc thiết bị đang cố truy cập
vào hệ thống, nhằm đảm bảo chỉ những người dùng hợp pháp mới có thể truy cập vào hệ thống
Phân quyền cho mỗi người dùng
-> Xác minh từng thực thể và cấp quyền truy cập vào tài nguyên
Tường lửa (Firewalls)

-> Tường lửa là sự kết hợp giữa phần cứng và phần mềm có chức năng lọc hoặc ngăn thông tin cụ thể di
chuyển giữa mạng bên ngoài và mạng bên trong
Mạng riêng ảo (Virtual Private Networks - VPN) được sử dụng để gia tăng an toàn trong kết nối giữa hệ
thống mạng nội bộ của tổ chức với các địa điểm khác
Nhận dạng (Identification)

-> Là một cơ chế mà các thực thể phải cung cấp một mã định danh - identifier (ID) để được hệ thống xác
thực.
Kiểm soát truy cập dựa trên thuộc tính (attribute-based access controls - ABAC) là cách tiếp cận kiểm
soát truy cập do tổ chức chỉ định việc sử dụng các ..................... (2 từ) dựa trên một số thuộc tính của
người dùng hoặc hệ thống.
The correct answer is: đối tượng
Mạng riêng ảo (Virtual private Networks)

a. Một thiết bị có khả năng hoạt động như một tường lửa và application layer proxy server
b. Kết hợp kết hợp các yếu tố của các loại tường lửa khác: yếu tố của bộ lọc gói, proxy lớp ứng dụng và
tường lửa lớp kiểm soát truy cập phương tiện
c. Ẩn nội dung của các thông điệp trên mạng khỏi những người quan sát có quyền truy cập vào mạng
công cộng
d. Một mạng riêng tư không an toàn hơn mạng công cộng

lOMoARcPSD|11005917
Phân quyền cho nhiều hệ thống

a. Hệ thống xác thực và phân quyền trung tâm xác minh danh tính của một thực thể và cấp quyền
b. Cấp quyền truy cập vào các tài nguyên dựa trên quyền truy cập của nhóm
c. So sánh (match) các thực thể được xác thực với danh sách thành viên nhóm
d. Xác minh từng thực thể và cấp quyền truy cập vào tài nguyên
Chứng nhận phân quyền (Authorization credentials)/ phiếu phân quyền (authorization tickets) được cấp
bởi một người có thẩm quyền và được tất cả các hệ thống (2 từ) công nhận
Kiểm soát truy cập bắt buộc (Mandatory access controls - MACs)
a. Theo National Institute of Standards and Technology (NIST)
c. Sử dụng các sơ đồ phân loại dữ liệu (data classification schemes), cung cấp cho người dùng và chủ sở
hữu dữ liệu quyền kiểm soát hạn chế vào tài nguyên thông tin.
d. Là cách tiếp cận kiểm soát truy cập do tổ chức chỉ định việc sử dụng các đối tượng dựa trên một số
thuộc tính của người dùng hoặc hệ thống
Chọn phát biểu đúng về thủ tục kiểm soát nên được áp dụng để ngăn chặn sự đánh chặn dữ liệu bằng cách
truy cập vào mạng LAN
a. Lắp đặt tấm chắn đặc biệt bên trong vỏ CPU và duy trì khoảng cách với hệ thống ống nước và các
thành phần cơ sở hạ tầng khác mang sóng vô tuyến.
b. Nên sử dụng cáp quang; khó kết nối và có khả năng chống va đập tốt hơn
c. Tất cả đầu đúng
d. Xóa thông tin nhạy cảm khỏi văn phòng hoặc được yêu cầu thực hiện an ninh chặt chẽ tại nhà
Access control list (ACL) chi tiết về phân quyền cho người dùng, bao gồm danh sách người dùng truy
cập, ma trận và bảng khả năng
Đúng
CHƯƠNG 7
1. Yêu cầu về năng lực đối với vị trí Security Manager (Quản lý an ninh)
a. Có thể cần thêm kinh nghiệm trong lập kế hoạch kinh doanh liên tục (Business continuity planning)
c. Có năng lực phác thảo các chính sách, chuẩn và hướng dẫn ở cấp thấp và cấp trung
d. Có khả năng quản lý các nhân viên kỹ thuật, bao gồm phân chia nhiệm vụ và giám sát thực hiện nhiệm
vụ của họ
2. Trong Hợp đồng/ thỏa thuận với đối tác kinh doanh cần xác định:
a. Các thông tin gì cần được trao đổi, ở cấp độ nào, với ai
b. Những thông tin không được tiết lộ
c. Tất cả đều đúng
d. Những vấn đề bộc lộ ra và điểm yếu bảo mật (phơi nhiễm- exposure) mà cả 2 bên cùng phải gánh chịu
3. Chief Information Security OÞcer (CISO) - Giám đốc an toàn thông tin
a. Báo cáo cho CIO/VP for IT
b. Báo cáo cho CIO, VP-IT; VP - Administration
c. Là người chịu trách nhiệm tập trung cho an ninh về mặt vật lý (physical information security).
lOMoARcPSD|11005917
d. Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
4. Security Manager (Quản lý an ninh)
a. Phát triển ngân sách an ninh thông tin trên cơ sở quỹ hiện hành
c. Có trách nhiệm cho hoạt động hàng ngày của chương trình an ninh thông tin
d.Là người đại diện truyền thông của đội an ninh thông tin
5. Chọn phát biểu đúng về nhân sự trong thực hiện an toàn thông tin
a. Không điều chỉnh các mô tả công việc và yêu cầu thực hành có sẵn
b. Tích hợp các khái niệm an toàn thông tin vào các lý thuyết quản lý nhân viên trong doanh nghiệp
c. Lập kế hoạch tuyển dụng cho các vị trí định vị hoặc điều chỉnh kế hoạch tuyển dụng
6. Định hướng nghề nghiệp/ Giới thiệu thông tin cần thiết cho nhân sự mới (New Hire Orientation)
a. Gồm các chính sách của tổ chức về việc tuân thủ và sử dụng thông tin, các thỏa thuận về giám sát và
không tiết lộ thông tin; những giới hạn nghiêm ngặt về tạo và sở hữu tài sản thông tin
b. Tất cả đều sai
c. Giới thiệu về văn hóa doanh nghiệp, qui trình, luân chuyển công việc, chính sách, qui trình thủ tục cần
thiết, các yêu cầu an toàn thông tin với nhân sự mới
d. Bao gồm phản ánh việc nhận thức an toàn thông tin và giảm thiểu hành vi gây rủi ro tại nơi làm việc
vào
7. Các lưu ý vấn đề an ninh thông tin trước khi nhân viên thôi việc KHÔNG bao gồm:
a. Hủy bỏ các thẻ từ truy cập mà nhân viên nghỉ việc đã từng sử dụng
b. Gỡ bỏ quyền truy cập tới hệ thống của công ty
c. Gỡ bỏ khỏi nơi làm các ảnh hưởng tác động của người nghỉ việc (VD, lưu trữ hoặc tiêu hủy tập tin liên
quan)
d. Thay khóa tủ
8. Chief Information Security OÞcer (CISO) - Giám đốc an toàn thông tin
a. Có trách nhiệm cho hoạt động hàng ngày của chương trình an ninh thông tin
b. Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
c. Có khả năng quản lý các nhân viên kỹ thuật, bao gồm phân chia nhiệm vụ và giám sát thực hiện nhiệm
vụ của họ
d. Là lãnh đạo của bộ phận an ninh thông tin (the information security department).
9. Đối với các nhân viên tạm thời, đơn vị nên:
a. Chỉ giới hạn những điều cần thiết để họ thực hiện nhiệm vụ
c. Ký kết và đưa các điều khoản yêu cầu công việc và giới hạn trách nhiệm rõ ràng
d. Giám sát trực tiếp quá trình làm và di chuyển của nhóm nhân viên này
10. Thông tin cá nhân của nhân sự an ninh như địa chỉ, điện thoại, mã số thuế, số an sinh xã hội, thông tin
y tế, thông tin gia đình cần được công khai cho mọi nhân viên trong công ty biết để giám sát họ
Sai
11. Đối với nhóm nhân viên tư vấn, tổ chức nên:
a. Không cần sàng lọc và giám sát một cách đặc biệt các di chuyển của những nhân viên tư vấn công nghệ
và tư vấn thông tin

lOMoARcPSD|11005917
b. Hợp đồng cần xác định rõ thông tin và tất cả thiết bị được phép truy cập cũng như những vấn đề không
được tiết lộ về đơn vị
c. Có kế hoạch thực hiện công việc các dịch vu theo hợp đồng
d. Thường là nhân viên thực hiện: bảo vệ; bảo dưỡng, sửa chữa thiết bị; cung cấp các dịch vụ
12. Chọn phát biểu KHÔNG đúng về Security Manager (Quản lý an ninh)
a. Là người chịu trách nhiệm tập trung cho an ninh về mặt vật lý (physical information security).
b. Hoàn thành các nhiệm vụ do CISO xác định và giải quyết các vấn đề do các kỹ thuật viên xác định
c. Có khả năng quản lý các nhân viên kỹ thuật, bao gồm phân chia nhiệm vụ và giám sát thực hiện nhiệm
vụ của họ
d. Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
13. Chọn phát biểu KHÔNG đúng về lời khuyên cho chuyên viên an ninh thông tin chuyên nghiệp
a. Công nghệ có thể cung cấp giải pháp tốt cho một số vấn đề nhưng cũng có thể làm trầm trọng thêm vấn
đề khác
b. Bảo mật thông tin cần minh bạch với người sử dụng
c. Nghề an ninh thông tin là bảo vệ thông tin và khách hàng của tổ chức
d. Luôn nhớ kinh doanh trước công nghệ
14. Chọn phát biểu KHÔNG đúng về lời khuyên cho chuyên viên an ninh thông tin chuyên nghiệp
a. Khi đánh giá vấn đề, xem nguồn gốc vấn đề trước, xác định các nhân tố ảnh hưởng tới vấn đề và chính
sách của tổ chức có thể dẫn tới thiết kế giải pháp độc lập với công nghệ
b. Hãy sử dụng các thuật ngữ chuyên môn khi trao đổi vấn đề
c. Luôn học hỏi/ tự đào tạo kiến thức mới
d. Biết nhiều, nói ít
15.
Kiểm soát kép (two- person control hay Double check)
→ Hai người làm việc tuần tự theo trình tự và hai người cùng xem xét, chấp thuận
công việc của nhau,
Luân chuyển công việc (job/task rotation).
→ Có thể phát hiện việc sử dụng sai hoặc lạm dụng thông tin của người ở vị trí bị
thay thế,
Phân chia trách nhiệm
→ Trong liên quan thực hiện hoạt động kinh tế và tiếp cận và sử dụng dữ liệu
16. Phân chia trách nhiệm
a. Là hai người làm việc tuần tự theo trình tự và hai người cùng xem xét, chấp thuận công việc của nhau.
b. Là nền tảng quan trọng cho bảo vệ tài sản thông tin và ngăn ngừa thất thoát tài chính
c. Các nhân viên đều có thể có những trải nghiệm và đảm nhiệm được nhiều công việc khác nhau
d. Một hình thức có người thay thế tạm công việc nhằm phát hiện những bất thường
17. Phát biểu nào KHÔNG đúng về Chief Information Security OÞcer (CISO) - Giám đốc an toàn thông
tin
a. Phác thảo và chấp thuận các chính sách an ninh thông tin
c. Kiểm tra hệ thống để khám phá những lỗi (faults) an ninh thông tin; khiếm khuyết (Öaws) của công
nghệ, phần mềm, hoạt động của nhân viên và qui trình
d. Xác định vấn đề luân chuyển/tắc nghẽn thông tin thông qua Kiểm tra DL khi chuyển giao và lưu trữ
lOMoARcPSD|11005917
e. Làm việc với CIO về: kế hoạch chiến lược; Phát triển kế hoạch chiến thuật ; làm việc với các nhà quản
lý an ninh về kế hoạch hoạt động
18. Chọn phát biểu KHÔNG đúng về lựa chọn nhân sự cho vị trí an toàn thông tin
a. Các đơn vị thường tìm kiếm các nhân sự có kiến thức chung có bằng cấp về kỹ thuật an ninh thông tin
(a technically qualiÕed information security generalist) cho vị
trí an ninh thông tin nhưng có hiểu biết vững chắc về hoạt động của đơn vị
b. Không có phát biểu KHÔNG đúng
c. Vị trí an toàn thông tin cần những người cân bằng giữa kỹ năng kỹ thuật và các hiểu biết về an ninh
thông tin (p 586)
d. Trong an ninh thông tin, người quá chuyên sâu về 1 lĩnh vực (overspecialistion) sẽ là tốt nhất
19. Security Analyst (phân tích viên an ninh)
a. Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
b. Có thể là CISO và kết hợp thêm trách nhiệm an ninh thông tin về mặt vật lý
c. Có thể là kỹ thuật viên an ninh (security technicians) / kiến trúc sư an ninh/ kỹ sư an ninh có kiến thức
tốt
20. Đối với những vị trí người lao động có thông tin đặc biệt hay rất quan trọng có tính độc quyền thì đơn
vị nên
a. Giới hạn mức độ và phạm vi truy cập thông tin cần thiết cho công việc
b. Yêu cầu nhân viên không được làm cho đối thủ cạnh tranh trong khoảng thời gian bao nhiêu lâu sau khi
nghỉ việc tại công ty
d. Cần phân chia trách nhiệm tiếp cận và sử dụng dữ liệu
21. Đánh giá thành quả nhân viên phải bao gồm phản ánh việc nhận thức an toàn thông tin
và ....................... ( 2 từ hoặc 1 từ) hành vi gây rủi ro tại nơi làm việc vào
The correct answer is: giảm thiểu
22. Ứng viên vị trí an ninh thông tin thường chỉ cần có các kỹ năng CNTT và kinh nghiệm chuyên môn
trong lĩnh vực CNTT khác
- > Sai
23. Kết nối các đối tượng cụ thể của 3 vị trí an toàn thông tin theo nghiên cứu của Schwartz, Erwin,
Weafer, and Briney
Định nghĩa chương trình an toàn thông tin → Các nhà quản lý (managers) an ninh cấp cao,
Xây dựng chương trình an toàn thông tin → Các chuyên gia công nghệ (techies) thực hiện,
Quản trị hệ thống kiểm soát và chương trình an toàn thông tin → Những người quản lý
(administrators)
24. Bắt buộc phải có buổi phỏng vấn/nói chuyện nhắc nhở về các điều khoản/nghĩa vụ của nhân viên sau
khi rời công ty (bị sa thải)
- > Sai
25. Kết nối các công việc của cụ thể trong qui trình thực hiện để tuyển dụng và quản lý nhân sự an toàn
thông tin

lOMoARcPSD|11005917
Ký hợp đồng (an toàn thông tin) tuyển dụng

→ Gồm các chính sách của tổ chức về việc tuân thủ và sử dụng thông tin, các thỏa
thuận về giám sát và không tiết lộ thông tin; những giới hạn nghiêm ngặt về tạo và
sở hữu tài
sản thông tin,
Kiểm tra lý lịch (background check) → Cần tập trung tìm hiểu những hành vi phạm tội trong quá khứ
hoặc những hành vi là tiềm năng cho việc vi phạm sau này của ứng viên,
Phỏng vấn → Quản lý An ninh thông tin cần lưu ý phòng nhân sự những thông tin không nên công bố (vd
những đặc quyền truy cập thông tin v.v..)
26. Bộ phận an toàn thông tin luôn luôn là một thành phần trong bộ phận Công nghệ thông tin trong
doanh nghiệp
- > Sai
27. Đối với các nhân viên tạm thời, đơn vị nên:
a. Chỉ giới hạn những điều cần thiết để họ thực hiện nhiệm vụ
b.Đảm bảo các nhân viên này tuân thủ các thực hành an toàn thông tin
c. Có thể yêu cầu ký các thỏa thuận không tiết lộ và chính sách sử dụng hợp pháp
28. Ký hợp đồng (hợp đồng an toàn thông tin) tuyển dụng
a. Cần nhấn mạnh nhận thức an toàn thông tin, tóm lược và những vấn đề an ninh thông tin: chính sách,
qui trình thủ tục cần thiết, các yêu cầu an toàn thông tin với
nhân sự mới
b.Nhân viên ký hợp đồng này như một cách “tuyên thệ” bằng văn bản đồng ý tuân thủ các chính sách
ràng buộc của tổ chức
d. Cần tập trung tìm hiểu những hành vi phạm tội trong quá khứ hoặc những hành vi là tiềm năng cho
việc vi phạm sau này của ứng viên
29. Kết nối các chiến lược kiểm soát nội bộ đối với nhân sự an ninh thông tin
Chính sách “garden leave - về vườn
→ Công ty trả thêm lương 1 thời gian nào đó sau khi nghỉ làm (VD 30 ngày) và yêu cầu trong thời gian
này nhân viên không đi làm ở công ty mới. Mục đích để nhân viên không có
thông tin cập nhật mới,
Thực hiện kỳ nghỉ bắt buộc với nhân viên
→ Một hình thức có người thay thế tạm công việc nhằm phát hiện những bất
thường.,
Giới hạn mức độ và phạm vi truy cập thông tin cần thiết cho công việc
→ Chỉ được phép truy cập và sử dụng thông tin trên cơ sở những gì cần nhằm đảm bảo không lo ngại về
tính bảo mật, toàn vẹn và tính khả dụng
30. Kết nối nhiệm vụ của từng đối tượng sau trong quá trình xác định trình độ và yêu cầu đối với nhân sự
thực hiện chức năng an toàn thông tin

lOMoARcPSD|11005917
Quản lý cấp cao → Cần hiểu về nhu cầu ngân sách cho an ninh thông tin và việc định vị,
Nhóm quản lý chung → Phải hiểu về các trình độ và yêu cầu về chuyên môn về an toàn thông tin của các
vị trí tuyền dụng,
Nhóm quản lý chung và quản lý CNTT → Cần xác định mức độ phù hợp về các yêu cầu đối với các vai
trò, vị trí của an ninh thông tin, đặc biệt là vai trò của CISO
31. Chief Security Officer (CSO): Giám đốc an ninh

a. Có thể là CISO và kết hợp thêm trách nhiệm an ninh thông tin về mặt vật lý
b. Quản lý toàn bộ chương trình an ninh thông tin
d. Xác định vấn đề luân chuyển/tắc nghẽn thông tin thông qua Kiểm tra DL khi chuyển giao và lưu trữ
32. Nhiệm vụ này KHÔNG phải là của Security Analyst (phân tích viên an ninh)
a. Tất cả đều là nhiệm vụ của Security Analyst (phân tích viên an ninh)
b. Hoàn thành các nhiệm vụ do CISO xác định và giải quyết các vấn đề do các kỹ thuật viên xác định
c. Hợp tác với người quản trị mạng và hệ thống để đảm bảo công nghệ an ninh của doanh nghiệp được
triển khai đúng
d. Thiết lập cấu hình các hệ thống kỹ thuật để kiểm soát truy cập và tấn công tới hệ thống
33. Chọn phát biểu Không đúng về Huấn luyện an ninh gắn với công việc
a.Gỡ bỏ quyền truy cập tới hệ thống của công ty nếu nhân viên bị sa thải
b.Cần tích hợp giáo dục nhận thức an toàn thông tin trong định hướng nghề nghiệp
c. Duy trì thường xuyên và gắn nhận thức an toàn thông tin vào công việc hàng ngày
Mức độ tổn thất là:

a. Số lượng các cuộc tấn công thành công dự kiến sẽ xảy ra trong một khoảng thời gian xác định.
b. Việc tính toán khả năng xảy ra một cuộc tấn công cùng với tần suất tấn công để xác định số tổn thất dự
kiến trong một khoảng thời gian xác định
c. Xác suất mà một điểm yếu tiềm ẩn cụ thể trong một tổ chức sẽ là mục tiêu của một cuộc tấn công
d. Xác định số lượng tài sản thông tin có thể bị mất trong một cuộc tấn công thành công
XEM THÊM
1. Vì mục đích an toàn thông tin, thuật ngữ nào sau đây được sử dụng để mô tả các hệ
thống để sử dụng, lưu trữ và truyền tải thông tin.
a.tài sản (asset)
b.kiểm kê tài sản (inventory)
c.Kiểm soát (controls)
d.các nguy cơ (threats)
Phản hồi
The correct answer is: tài sản (asset)
2. Khả năng một điểm yếu tiềm ẩn trong tổ chức trở thành mục tiêu của một cuộc tấn công,
được gọi là
a.Quản lý rủi ro
b.Xác suất xảy ra
c.Xác định nguy cơ
d.Đánh giá rủi ro
Phản hồi
The correct answer is: Xác suất xảy ra
lOMoARcPSD|11005917
3. Việc áp dụng các biện pháp kiểm soát nhằm giảm rủi ro đối với tài sản thông tin của tổ
chức xuống mức có thể chấp nhận được phân loại là nội dung nào sau đây?
a.kiểm soát rủi ro
b.đánh giá rủi ro
c.quản lý rủi ro
d.xác định rủi ro
Phản hồi
The correct answer is: kiểm soát rủi ro
4. Thuật ngữ nào để mô tả qui trình kiểm tra xem mỗi mối nguy cơ sẽ ảnh hưởng đến tổ
chức như thế nào?
a.Phân loại điểm yếu tiềm ẩn (vulnerability classification)
b.Phân loại dữ liệu (data classification)
c.Đánh giá rủi ro (risk assessment)
d.Đánh giá nguy cơ (threat assessment)
Phản hồi
The correct answer is: Đánh giá nguy cơ (threat assessment)
5. Công đồng nào sau đây thực hiện “phải hỗ trợ quản lý rủi ro bằng cách xây dựng và vận
hành hệ thống thông tin theo cách an toàn”
a.Công nghệ thông tin
b.Tất cả các nhóm trên
c.Quản lý chung và người sử dụng
d.An toàn thông tin
Phản hồi
The correct answer is: Công nghệ thông tin
6. Chiến lược kiểm soát rủi ro nào cố gắng chuyển rủi ro còn lại sang các tài sản khác, quy
trình khác hoặc tổ chức khác.?
a.Transference (chuyển giao)
b.Mitigation (giảm thiểu)
c.Acceptance (chấp nhận)
d.Defense (Phòng thủ)
Phản hồi
The correct answer is: Transference (chuyển giao)
7. Chiến lược kiểm soát rủi ro nào cố gắng giảm ảnh hưởng của một cuộc tấn công thành
công thông qua việc lập kế hoạch dự phòng và chuẩn bị sẵn sàng
a.Mitigation (giảm thiểu)
b.Transference (chuyển giao)
c.Acceptance (chấp nhận)
d.Defense (Phòng thủ)
Phản hồi
The correct answer is: Mitigation (giảm thiểu)
8. Qui trình lớn gồm nhận dạng rủi ro, xác định và chứng minh cho các biện pháp kiểm soát
rủi ro, được gọi là quy trình nào sau đây?
a.đánh giá rủi ro
b.quản lý rủi ro
c.kiểm soát rủi ro
d.xác định rủi ro
Phản hồi
The correct answer is: quản lý rủi ro
9. Công đồng nào sau đây thực hiện “ phải đảm bảo phân bổ đủ nguồn lực cho quá trình
quản lý rủi ro.
a.An toàn thông tin
b.Công nghệ thông tin
c.Quản lý chung và người sử dụng
d.Tất cả các nhóm trên
Phản hồi
The correct answer is: Quản lý chung và người sử dụng
10. Thuật ngữ nào sau đây mô tả quá trình quyết định điểm số cho các yếu tố quan trọng
tùy theo mức độ quan trọng của nó đối với tổ chức?
a.Phân loại dữ liệu
b.Phân loại thành phần tài sản
c.Phân tích nhân tố có trọng số
lOMoARcPSD|11005917
d.Phân nhóm tài sản

Phản hồi
The correct answer is: Phân tích nhân tố có trọng số
11. Chiến lược kiểm soát rủi ro nhằm giảm bất cứ phần còn lại nào của rủi ro không kiểm
soát được thông qua việc áp dụng các kiểm soát và bảo vệ bổ sung.
a.Phòng thủ
b.Giảm thiểu
c.Hủy diệt :
d.Chuyển giao
e.Chấp nhận
The correct answer is: Phòng thủ
12. ……………….có chức năng đảm bảo sự cân bằng giữa bảo mật hệ thống thông tin và
tính hữu ích của nó
a.NHóm/ Cộng đồng quản lý chung và người sử dụng
b.Tất cả các lựa chọn trên
c.NHóm/ Cộng đồng an toàn thông tin
d.NHóm/ Cộng đồng CNTT
The correct answer is: NHóm/ Cộng đồng an toàn thông tin
13. Chiến lược kiểm soát rủi ro bằng việc lựa chọn không làm gì để bảo vệ tài sản và chấp
nhận kết quả nếu điểm yếu tiềm ẩn bị khai thác
a.Phòng thủ
b.Chấp nhận
c.Hủy diệt :
d.Giảm thiểu
e.Chuyển giao
The correct answer is: Chấp nhận
14. Chiến lược kiểm soát rủi ro bằng cách né tránh hay loại các hoạt động tạo các rủi ro
không kiểm soát được
a.Phòng thủ
b.Chấp nhận
c.Hủy diệt
d.Giảm thiểu
e.Chuyển giao
The correct answer is: Hủy diệt
15. Phát biểu nào là SAI
a.Benchmarking là quá trình so sánh các hoạt động của tổ chức với những hoạt động của tổ
chức tương tự hoặc với chuẩn phát triển của ngành để tạo ra kết quả mà tổ chức mình
mong muốn sao chép từ tổ chức khác
b.Thực hành tốt nhất (the best practices) Là cấp độ tối ưu trong thực hiện an toàn thông tin,
là những thực hành tốt nhất hoặc những thực hành được đề nghị
c.Xác định đường cơ sở (Baselining) là một điểm tham chiếu để đo lường, đánh giá một qui
trình hay hoạt động nào đó trong tương lai
d.Đường cơ sở (Baseline) là một điểm tham chiếu để đo lường, đánh giá một qui trình hay
hoạt động nào đó trong tương lai
The correct answer is: Xác định đường cơ sở (Baselining) là một điểm tham chiếu để đo
lường, đánh giá một qui trình hay hoạt động nào đó trong tương lai
16. Phát biểu nào SAI
a.Giai đoạn kiểm soát rủi ro cần thực hiện trước giai đoạn đánh giá rủi ro
b.Sơ đồ phân loại/phân nhóm dữ liệu (data classify scheme) là Một phương pháp luận kiểm
soát truy cập chính thức để phân chia mức bảo mật đối với tài sản thông tin và do đó để hạn
chế số lượng người có thể truy cập vào tài sản đó.
c.Phân quyền an ninh (security clearance): Một cấu trúc an ninh nhân sự mà mỗi người
dùng sử dụng một tài sản thông tin được chỉ định một cấp độ phân quyền
d.Có sự tương ứng giữa sơ đồ phân nhóm dữ liệu và cấu trúc phân quyền an ninh nhân sự
Phản hồi
The correct answer is: Giai đoạn kiểm soát rủi ro cần thực hiện trước giai đoạn đánh giá rủi
ro
17. Phát biểu nào đúng
a.Từ góc nhìn an toàn thông tin, thành phần phần mềm được chia thành 2 loại là hệ điều
hành và thành phần bảo mật

lOMoARcPSD|11005917
b.Mục đích của phân tích nhân tố trọng số là liệt kê các tài sản theo thứ tự quan trọng của
chúng đối với tổ chức.
c.Trong giai đoạn đánh giá rủi ro, rủi ro được tính bằng tần suất tổn thất nhân với mức độ
tổn thất
d.Qui trình thực hiện việc xếp hạng rủi ro hoặc điểm số cho mỗi tài sản thông tin gọi là đánh
giá rủi ro.
The correct answer is: Mục đích của phân tích nhân tố trọng số là liệt kê các tài sản theo thứ
tự quan trọng của chúng đối với tổ chức.
a.Một tổ chức chứng minh rằng họ đã làm những gì mà bất kỳ tổ chức thận trọng nào sẽ
làm trong những trường hợp tương tự và tuân thủ theo luật gọi là thực hành tốt nhất (the
best practice)
b.Tất cả các lựa chọn
c.Tiêu chuẩn chăm sóc theo trách nhiệm là việc đơn vị áp dụng tiêu chuẩn (luật, qui định) và
kiểm soát để đảm bảo duy trì và thực hiện theo đúng luật
d.Chuẩn so sánh (Benchmarks) trong an toàn thông tin gồm2 loại Tiêu chuẩn chăm sóc theo
trách nhiệm và nỗ lực (standards of due care and due diligence) và Thực hành tốt nhất (best
practices)
The correct answer is: Một tổ chức chứng minh rằng họ đã làm những gì mà bất kỳ tổ chức
thận trọng nào sẽ làm trong những trường hợp tương tự và tuân thủ theo luật gọi là thực
hành tốt nhất (the best practice)
19. Phát biểu nào SAI về phân tích lợi ích – chi phí (CBA cost-benefit analysis)
b.Việc so sánh chi phí và lợi ích để giải thích sự hợp lý của KS gọi là
c.Là xác định tổn thất của tài sản trong cuộc tấn công
d.Nó còn gọi là phân tích khả thi kinh tế của việc đánh giá triển khai các biện pháp kiểm soát
và bảo vệ an toàn thông tin
Phản hồi
The correct answer is: Là xác định tổn thất của tài sản trong cuộc tấn công
20. Phát biểu nào Đúng
a.Khả thi vận hành (Operational Feasibility ) là Đánh giá mức độ phù hợp của một giải pháp
cụ thể với văn hóa của tổ chức và mức độ mà người dùng dự kiến sẽ chấp nhận giải pháp.
Nó còn được gọi là khả thi về hành vi
b.Khả thi kỹ thuật (Technical Feasibility ) là Đánh giá mức độ phù hợp của một giải pháp cụ
thể dựa trên cơ sở hạ tầng và nguồn lực công nghệ hiện tại của tổ chức, bao gồm phần
cứng, phần mềm, hệ thống mạng và nhân sự.
d.Khả thi chính trị (Political Feasibility ) là đánh giá mức độ phù hợp của một giải pháp cụ
thể trong môi trường chính trị của tổ chức, ví dụ mối quan hệ trong công việc, mối quan hệ
giữa các bên liên quan
e.Khả thi tổ chức (Organizational Feasibility ) là đánh giá sự phù hợp giữa một giải pháp cụ
thể với mục tiêu lập kế hoạch chiến lược của tổ chức.
The correct answer is: Tất cả đều đúng
21.Tên thường được sử dụng cho khu vực trung gian giữa mạng đáng tin cậy và mạng
không đáng tin cậy là DMZ.
a.Sai
b.Đúng
The correct answer is: Đúng
22.Trong một chương trình bảo mật thông tin, Bảo mật logic (logical security) quan trọng
hơn nhiều so với bảo mật vật lý (physical security)
a.Sai
b.Đúng
The correct answer is: Sai
23.Yếu tố xác thực “cái mà người yêu cầu có” là dựa trên các đặc điểm cá nhân, chẳng hạn
như dấu vân tay, vân tay, địa hình bàn tay, hình học bàn tay hoặc quét võng mạc và mống
mắt.
a.Sai
b.Đúng
24.Cộng đồng lợi ích nào chịu trách nhiệm về an ninh của cơ sở mà tổ chức đang đặt trụ sở
cũng như các chính sách và tiêu chuẩn để vận hành an toàn?
lOMoARcPSD|11005917
a.Quản lý bảo mật thông tin

b.Quản lý chung
c.Kỹ thuật viên CNTT
d.Quản lí IT
The correct answer is: Quản lý chung
25. Lọc gói (Media access control layer firewalls) là lLoại tường lửa nào kiểm tra mọi tiêu đề
gói đến và có thể lọc các gói một cách chọn lọc dựa trên thông tin tiêu đề, chẳng hạn như
địa chỉ đích, địa chỉ nguồn, loại gói và các thông tin quan trọng khác?
a.Đúng
b.Sai
26. Phương pháp một hệ thống xác định có phải người dùng cũng như cách thức họ đang
tiếp cận để vào một khu vực của tổ chức được gọi là ?
a.Thuộc tính (Attribute)
b.Kiểm toán
c.kiểm soát truy cập
d.giải trình (Accountability)
The correct answer is: kiểm soát truy cập
27. Quá trình xác định danh tính có chủ đích của người yêu cầu vào 1 hệ thống được gọi
là?
a.Sinh trắc học
b.Giải trình
c.Xác thực
d.Ủy quyền
The correct answer is: Xác thực
28. Lựa chọn nào cung cấp các hướng dẫn dạng văn bản cho các cá nhân trong giai đoạn
thực hiện an toàn thông tin
a.Phạm vi dự án
b.Kế hoạch dự án
c.Tài nguyên hệ thống
d.Cột mốc (milestone)
The correct answer is: Kế hoạch dự án
29. Lựa chọn nào sau đây là một tài liệu đã hoàn thành hoặc mô-đun chương trình đã hoàn
thành có thể dùng làm điểm khởi đầu cho một nhiệm vụ giai đoạn sau hoặc như một thành
phần trong một dự án đã hoàn thành?
a.Cột Mốc (milestone)
b.Nhiệm vụ và kết quả (deliverable)
c.Kết thúc dự án (project wrap-up)
d.Nguồn lực (resource)
The correct answer is: Nhiệm vụ và kết quả (deliverable)
30. Nội dung nào sau đây là 1 điểm đánh dấu cụ thể trong kế hoạch dự án khi một nhiệm vụ
và các bước hành động của nó đã hoàn thành và có tác động đáng chú ý đến tiến độ của kế
hoạch dự án?
a.Sai lệch trong dự án (project gap)
b.cột mốc (milestone)
c.NHiệm vụ sau (sucessor)
d.Một nguồn (resource)
The correct answer is: cột mốc (milestone)
31. Điều nào sau đây mô tả tốt nhất các tính năng, khả năng, chức năng và mức chất lượng
của dự án, được sử dụng làm cơ sở của kế hoạch dự án?
a.Nguồn lực (resource)
b.Phạm vi dự án (project scope)
c.Đề nghị mời thầu ( request for proposal)
d.Quản lý dự án (project management)
The correct answer is: Phạm vi dự án (project scope)
32. Nội dung nào KHÔNG nằm trong kế hoạch thực hiện an toàn thông tin .
a.Sự chống đối của đơn vị đối với những thay đổi
b.Chiến lược phát triển an toàn thông tin
c.Cân nhắc về quản lý, kỹ thuật, và ngân sách
d.Quản lý dự án;
The correct answer is: Chiến lược phát triển an toàn thông tin
lOMoARcPSD|11005917
33. Phương pháp dùng chứng minh cho sắp xếp thứ tự ưu tiên cho một chương trình thực
hiện an toàn thông tin có sự thay đổi phức tạp. Nó yều cầu những vấn đề đó phải được giải
quyết từ cái chung đến cái cụ thể và tập trung vào các giải pháp có tính hệ thống, thay vì
giải pháp từng vấn đề riêng biệt.
a.Mô hình/ Khuôn mẫu an toàn thông tin (information security framework)
b.Mô hình bull’s eye
c.Kế hoạch chi tiết an toàn thông tin (Blueprint)
d.Quả cầu an toàn thông tin (Spherer of security)
The correct answer is: Mô hình bull’s eye
34. Trong quá trình thực hiện dự án ATTT, nội dung nào KHÔNG nằm trong phạm vi cân
nhắc
a.Văn hóa quản trị thay đổi
b.Vấn đề kỹ thuật
c.Thay đổi tổ chức
The correct answer is: Tất cả đều sai
35. Hãy sắp xếp theo thứ tự các lớp vấn đề cần giải quyết trong mô hình Bull’s eye. (1) Lớp
ứng dụng; (2) lớp hệ thống; (3) Lớp mạng; (4) Lớp chính sách
a.(4); (3); (2); (1)
b.(2); (1); (3); (4)
c.(1); (2); (3); (4)
d.(3); (4); (2); (1)
The correct answer is: (4); (3); (2); (1)
36. Dừng hệ thống cũ và bắt đầu hệ thống mới mà không có bất kỳ sự chồng chéo nào?
a.Chuyển đổi trực tiếp (direct changeover)
b.Kiểm soát hệ thống (system control)
c.Chuyển đổi từng phần (phased implementation)
d.Kiểm soát thay đổi (change control)
The correct answer is: Chuyển đổi trực tiếp (direct changeover)
37. Một phương pháp được sử dụng để quản lý việc sửa đổi các hệ thống trong tổ chức
bằng cách yêu cầu xem xét và phê duyệt chính thức cho mỗi thay đổi?
a.Kiểm soát hệ thống
b.Kiểm soát thay đổi
c.Chuyển đổi từng phần
d.Chuyển đổi gián tiếp
The correct answer is: Kiểm soát thay đổi
38.Phát biểu nào đúng
a.Chính sách hoạt động của doanh nghiệp cần tách biệt hoàn toàn với các khái niệm an
toàn thông tin
b.Phỏng vấn là bước làm đầu tiên trong qui trình tuyển dụng nhân sự an toàn thông tin
c.Nhiều cạm bẫy trong trách nhiệm tuyển dụng nhân viên
d.Tất cả đầu đúng
The correct answer is: Nhiều cạm bẫy trong trách nhiệm tuyển dụng nhân viên
39.Vai trò nào thường được giao nhiệm vụ cấu hình tường lửa, triển khai IDPSs, triển khai
phần mềm bảo mật, chẩn đoán và khắc phục sự cố và phối hợp với quản trị mạng và quản
trị hệ thống để đảm bảo rằng công nghệ bảo mật đang hoạt động để bảo vệ tổ chức?
a.CSO
b.Phân tích viên an ninh (security analyst)
c.Quản lí an ninh (Security manager)
d.Quản lý an ninh vật lý
e.CISO
The correct answer is: Phân tích viên an ninh (security analyst)
40.Thông thường vai trò nào có trách nhiệm cho hoạt động hàng ngày của chương trình an
toàn thông tin?
a.Quản lí an ninh (Security manager)
b.CSO
c.CISO
d.Quản lý an ninh vật lý
e.Phân tích an ninh (security analyst)
The correct answer is: Quản lí an ninh (Security manager)
41.Phát biểu nào SAI
lOMoARcPSD|11005917
a.CISO và CSO cần kết hợp với phòng nhân sự để đưa các yêu cầu an toàn thông tin vào
các hướng dẫn dùng cho việc tuyển dụng nhân sự.
b.Huấn luyện an toàn thông tin chỉ cần được thực hiện trong ngày hội tuyển dụng
c.Tất cả các lựa chọn đều SAI
d.Đánh giá thành quả của nhân viên phải bao gồm cả các nhiệm vụ an toàn thông tin
The correct answer is: Huấn luyện an toàn thông tin chỉ cần được thực hiện trong ngày hội
tuyển dụng
42.Thông thường vai trò nào có trách nhiệm xây dựng định hướng cho bộ phận an toàn
thông tin?
a.Quản lý an ninh vật lý
b.CISO
c.CSO
d.Quản lí an ninh (Security manager)
e.Phân tích an ninh (security analyst)
The correct answer is: CISO
43.Cần thực hiện 5 bước để quản lý cấu hình và thay đổi theo tiêu chuẩn của NIST SP 800-
65
a.Đúng
b.Sai
44.Thuật ngữ nào sau đây mô tả đúng nhất quá trình sửa chữa các điểm yếu bảo mật đã
biết?
a.Giám sát (monitoring)
b.Vá (patching)
c.Kiểm tra thử nghiệm (testing)
d.Cập nhật (updating)
The correct answer is: Vá (patching)
45.Doanh nghiệp cần đánh giá và xem xét Chương trình quản trị an toàn thông tin một cách
thường xuyên để đảm bảo nó hiệu quả vì lý do gì?
a.Môi trường hoạt động liên quan tới an toàn thông tin thường xuyên thay đổi
b.Tất cả các lựa chọn
c.Công nghệ và nguy cơ mới thường xuyên thay đổi
d.Hoạt động kinh doanh trong đơn vị thường xuyên thay đổi
The correct answer is: Tất cả các lựa chọn
46.Thành phần nào của mô hình bảo trì tập trung vào việc xác định, đánh giá các nguy cơ
mới, tác nhân đe dọa và các kiểu tấn công mới ?
a.Giám sát môi trường bên ngoài
b.Sẵn sàng và kiểm tra
c.Lập kế hoạch và đánh giá rủi ro
d.Giám sát môi trường bên trong
e.Đánh giá và khắc phục điểm yếu tiềm ẩn
The correct answer is: Giám sát môi trường bên ngoài
47.Trong mô hình duy trì an ninh, vùng nào dưới đây có mục tiêu chính là theo dõi toàn bộ
chương trình bảo mật thông tin thông qua rà soát kế hoạch ATTT và các rủi ro
a.Đánh giá và khắc phục điểm yếu tiềm ẩn
b.Giám sát môi trường bên ngoài
c.Giám sát môi trường bên trong
d.Lập kế hoạch và đánh giá rủi ro
e.Sẵn sàng và kiểm tra
The correct answer is: Lập kế hoạch và đánh giá rủi ro
48.Thành phần nào của mô hình bảo trì tập trung vào việc xác định, đánh giá và quản lý cấu
hình và trạng thái của tài sản thông tin trong một tổ chức?
a.Giám sát môi trường bên trong
b.Lập kế hoạch và đánh giá rủi ro
c.Sẵn sàng và kiểm tra
d.Giám sát môi trường bên ngoài
The correct answer is: Giám sát môi trường bên trong
49.Thuật ngữ nào để mô tả một cách tiếp cận đánh giá được thiết kế để tìm và lập tài liệu
các điểm yếu tiềm ẩn (vulnerability) có trong mạng công cộng (organization’s public network)
của tổ chức?
lOMoARcPSD|11005917
a.Giám sát bên ngoài (external mornitoring)

b.Đánh giá điểm yếu tiềm ẩn mạng internet (internet vulnerability assessment)
c.Đánh giá điểm yếu tiềm ẩn mạng nội bộ (intranet vulnerability assessment)
d.Phân tích sự khác biệt
The correct answer is: Đánh giá điểm yếu tiềm ẩn mạng internet (internet vulnerability
assessment)
50.Cần thực hiện 5 bước để lập kế hoạch và kiểm soát đầu tư theo tiêu chuẩn của NIST SP
800-65
a.Sai
b.Đúng
51.Việc kết nối trực tiếp của hai hay nhiều hệ thống thông tin để chia sẻ dữ liệu và các
nguồn thông tin khác gọi là
a.Kết nối tài nguyên
b.Kết nối hệ thống
c.Kết nối qui trình
d.Kết nối dữ liệu
The correct answer is: Kết nối hệ thống
52. Thành phần nào của mô hình bảo trì tập trung vào việc đánh giá chính sách và chương
trình ATTT
a.Lập kế hoạch và đánh giá rủi ro
b.Giám sát môi trường bên trong
The correct answer is: Sẵn sàng và kiểm tra
53.Trong mô hình duy trì an ninh, vùng nào dưới đây có mục tiêu chính là xác định các lỗ
hổng cụ thể, lập thành văn bản và các biện pháp khắc phục kịp thời.
a.Lập kế hoạch và đánh giá rủi ro
b.Đánh giá và khắc phục điểm yếu tiềm ẩn
e.Giám sát môi trường bên trong
The correct answer is: Đánh giá và khắc phục điểm yếu tiềm ẩn
54.Xác suất mà một lỗ hổng an toàn thông tin cụ thể trong một đơn vị sẽ là mục tiêu của một
cuộc tấn công được gọi là
axác suất xảy ra tấn công (likelihood)
b.mức độ tổn thất (Loss Magnitude)
c.tần suất tổn thất (Loss Frequency)
d.xác suất thiệt hại (Probable Loss)
55.Loại chính sách nào đề cập đến các lĩnh vực công nghệ cụ thể, yêu cầu cập nhật thường
xuyên và có tuyên bố về quan điểm của tổ chức về một vấn đề cụ thể?
a.chính sách bảo mật thông tin doanh nghiệp (EISP)
b.chính sách bảo mật theo vấn đề cụ thể (ISSP)
c.chính sách bảo mật dành riêng cho hệ thống (SysSP)
d.chính sách dự phòng (CP)
56.Mô hình nào sau đây minh họa rằng mỗi giai đoạn của SDLC bắt đầu với các kết quả và
thông tin thu được từ giai đoạn trước?
a.Mô hình thác nước
b.Mô hình bảo hiểm phần mềm
c.Mô hình REA
d.Mô hình phát triển ứng dụng nhanh
lOMoARcPSD|11005917
57.Khái niệm nào sau đây xác định ranh giới giữa giới hạn bên ngoài về an ninh của một tổ
chức và điểm bắt đầu với môi trường bên ngoài?
a.quả cầu an ninh (sphere of security)
b.vành đai an ninh (security perimeter)
c.lĩnh vực an ninh (security domain )
d.khuôn mẫu an ninh (security framework)
58.Mô hình thu thập dữ liệu _____________ là khi người điều tra loại bỏ nguồn điện và sau
đó sử dụng một tiện ích hoặc thiết bị đặc biệt để tạo bản sao theo từng khu vực bit (bit
sectors) của các ổ đĩa cứng có trong hệ thống.
a.sao chép ảnh đĩa cứng
b.online (trực tuyến)
c. offline (ngoại tuyến)
d.sao lưu đĩa cứng
59.Khi kẻ tấn công hoặc người trong cuộc đáng tin cậy đánh cắp thông tin từ hệ thống máy
tính và yêu cầu bồi thường cho việc trả lại hoặc thỏa thuận không tiết lộ thông tin đó, trường
hợp tấn công này được gọi là:
a.giao dịch nội gián (Insider trading)
b.phần mềm mã hóa đòi tiền chuộc (ransomeware)
c.tống tiền thông tin (Information extortion)
d.tống tiền công nghệ (technology extortion)
60.Vai trò nhân sự phụ trách an toàn thông tin nào chịu trách nhiệm cho hoạt động hàng
ngày của chương trình an toàn thông tin?
a.CISO
b.Quản lý an toàn thông tin (information security manager)
c.CIO
d.Chuyên viên phân tích an toàn thông tin (Security Analyst)
61.Thuật ngữ nào sau đây mô tả đúng nhất đặc điểm kỹ thuật của một mô hình sẽ được
tuân theo trong quá trình thiết kế, lựa chọn và triển khai ban đầu và liên tục của tất cả các
biện pháp kiểm soát bảo mật tiếp theo?
a.bản vẽ thiết kế chi tiết (blueprint)
b.kế hoạch an toàn thông tin (security plan)
c.sổ tay NIST
d.Khuôn mẫu an toàn thông tin (information security framework)
62.Sử dụng cơ chế truy cập đã biết hoặc đã được cài đặt trước đó để truy cập vào một hệ
thống được gọi là cơ chế nào sau đây?
a.phần mềm trojan horses
b.cử
c.tấn công từ chối dịch vụ DOS
d.bom ẩn (hidden boom)
63.Loại an toàn thông tin nào bao gồm bảo vệ các thành phần, kết nối và nội dung mạng và
dữ liệu?
a.An toàn thông tin
b.An toàn mạng máy tính
c.An toàn vật lý

lOMoARcPSD|11005917
d.An toàn truyền thông

64.Trong giai đoạn nào của SDLC theo hướng dẫn của NIST, các hệ thống được áp dụng
và vận hành, các cải tiến và / hoặc sửa đổi đối với hệ thống được phát triển và thử nghiệm,
và phần cứng và / hoặc phần mềm được thêm vào hoặc thay thế?
a.giai đoạn triển khai hệ thống
b.giai đoạn vận hành và bảo trì
c.giai đoạn khởi đầu dự án
d.giai đoạn thực hiện và đánh giá
65.Tên thường được sử dụng cho khu vực trung gian giữa mạng đáng tin cậy và mạng
không đáng tin cậy giữa internet và hệ thống mạng của đơn vị là
a.DMZ
b.AKM
c.CKC
d.DKZ
66.Mục đích của phân tích nhân tố trọng số là liệt kê các tài sản theo thứ tự tầm quan trọng
của chúng đối với tổ chức, đúng hay sai?
a.sai
b.đúng
67.Cộng đồng của nhóm lợi ích (nhóm người dùng) nào chịu trách nhiệm về an ninh môi
trường và quyền truy cập tại các địa điểm thiết bị công nghệ và chịu trách nhiệm đối với các
chính sách và tiêu chuẩn an toàn hoạt động thiết bị?
a.nhóm quản lý chung
b.nhóm quản lý an toàn thông tin
c.đội bảo vệ
d.nhân viên quản lý dữ liệu
68. Để nâng cao nhận thức về an toàn thông tin và thay đổi hành vi tại nơi làm việc, các tổ
chức nên kết hợp các thành phần bảo mật thông tin vào hồ sơ nào của nhân viên?
a.tài liệu tập huấn nhân viên mới
b.hợp đồng lao động
c.quy chế làm việc
d.mô tả công việc, các buổi đào tạo và đánh giá hiệu suất
69. Quá trình kiểm tra xem mỗi mối đe dọa sẽ ảnh hưởng đến tổ chức như thế nào được gọi
là quy trình nào sau đây?
a.đánh giá nguy cơ
b.đánh giá rủi ro
c.phân tích tác động kinh doanh
d.phản ứng với rủi ro
70. Ba nhóm (cộng đồng) người dùng ảnh hưởng đến an toàn thông tin trong doanh nghiệp
là :
a.nhóm quản lý chung, nhóm quản lý công nghệ thông tin và nhóm quản lý an toàn thông tin
b.nhóm điều hành công ty, nhóm quản lý an ninh vật lý và nhóm quản lý an toàn thông tin
c.nhóm quản lý chung, nhóm quản lý hoạt động và nhóm quản lý an toàn thông tin

lOMoARcPSD|11005917
d.nhóm quản lý chung, nhóm quản lý công nghệ thông tin và nhóm bảo mật mạng máy tính
71.Việc tính toán giá trị liên quan đến tổn thất có khả năng xảy ra cao nhất từ một cuộc tấn
công được gọi là:
a.ARO
b.CBA
c.ALE
d.SLE
72.Chiến lược kiểm soát rủi ro nào cố gắng giảm tác động của một cuộc tấn công thành
công thông qua việc lập kế hoạch và chuẩn bị ứng phó rủi ro?
a.né tránh rủi ro
b.phòng thủ rủi ro
c.chia sẻ rủi ro
d.giảm thiểu rủi ro
73. Thuật ngữ được thừa nhận chung cho sự bảo hộ của chính phủ dành cho sở hữu trí tuệ
(văn bản và điện tử) được gọi là thuật ngữ nào sau đây?
a.luật bảo mật máy tính
b.luật hành chánh
c.luật bảo hộ tài sản trí tuệ
d.luật bản quyền
74.Loại kế hoạch nào được đơn vị tiến hành lập để chuẩn bị, phản ứng và phục hồi từ các
sự kiện đe dọa đến sự an toàn của thông tin và tài sản thông tin trong tổ chức, và chuẩn bị
cho việc khôi phục lại các phương thức hoạt động kinh doanh bình thường sau đó?
a.kế hoạch ứng phó sự cố (IRP)
b.Kế hoạch kinh doanh liên tục (BCP)
c.kế hoạch dự phòng (CP)
d.kế hoạch khắc phục thảm họa (DRP)
75. An ninh mạng giải quyết các vấn đề cần thiết để bảo vệ các mục, đối tượng hoặc khu
vực, đúng hay sai?
a.Sai
b.Đúng
76. Loại kế hoạch nào đảm bảo rằng hoạt động kinh doanh quan trọng các chức năng vẫn
tiếp tục nếu một sự cố thảm khốc hoặc thảm họa xảy ra?
a.kế hoạch khắc phục thảm họa (DRP)
b.kế hoạch phục hồi kinh doanh (BRP)
c.kế hoạch dự phòng (CP)
d.kế hoạch kinh doanh liên tục (BCP)
77. Người chịu trách nhiệm lưu trữ, duy trì và bảo vệ dữ liệu là người
a.Sở hữu dữ liệu
b.lưu giữ dữ liệu
c.sử dụng dữ liệu
d.quản lý dữ liệu
78. Nội dung nào sau đây được sử dụng để định hướng cách giải quyết các vấn đề và các
công nghệ được sử dụng trong một tổ chức?
a.tiêu chuẩn ứng dụng CNTT trong doanh nghiệp
b.chính sách về công nghệ thông tin trong doanh nghiệp
c.đạo đức sử dụng CNTT trong DN
d.quản trị CNTT trong doanh nghiệp

lOMoARcPSD|11005917
79. Để đánh giá ảnh hưởng của những thay đổi về an toàn thông tin đối với thực tiễn quản
lý nhân sự của đơn vị, cần tiến hành nghiên cứu nào trước giai đoạn triển khai?
a.nghiên cứu khả thi về vận hành, khả thi về hành vi
b.khả thi về công nghệ
c.khả thi về kinh tế
d.khả thi về tuân thủ
80. Thiết bị khóa sử dụng dấu vân tay, lòng bàn tay, hình học bàn tay; mống mắt và võng
mạc; và trình đọc giọng nói và chữ ký để xác nhận người dùng là ví dụ của:
a.khóa sinh trắc học
b.khóa cơ học
c.khóa không dây
d.khóa thông minh
81. Thuật ngữ nào sau đây mô tả việc áp dụng các kỹ thuật và phương pháp pháp y để bảo
quản, xác định, trích xuất, lập tài liệu và giải thích phương tiện kỹ thuật số để phân tích bằng
chứng và / hoặc nguyên nhân gốc rễ?
a.điều tra gian lận trong kế toán (accounting forensic investigations)
b.Phân tích rủi ro
c.điều tra kỹ thuật số (digital forensics)
d.Truy tố hình sự
82. Hình thức an toàn thông tin nào đề cập đến việc bảo đảm an toàn cho tất cả các
phương tiện truyền thông, công nghệ và nội dung?
a.An toàn mạng máy tính
b.An toàn thông tin
c.An toàn vật lý
d.An toàn truyền thông
83.Tài liệu chi tiết về việc thu thập, lưu trữ, chuyển giao và sở hữu bằng chứng từ hiện
trường vụ án thông qua việc trình bày trước tòa được gọi là:
a. chuỗi bằng chứng (chain of evidence)
b. Phân tích pháp y kỹ thuật số
c. bằng chứng số (digital eviden)
d. bằng chứng tiềm năng (evidentiary material)
84.Thuật ngữ nào sau đây mô tả quá trình ấn định điểm số cho các yếu tố quan trọng, mỗi
yếu tố trong số đó được đơn vị sắp xếp theo mức độ quan trọng?
a.Phân loại dữ liệu
b.Phân loại tài sản thông tin
c.Phân tích nhân tố có trọng số
d.Kiểm kê tài sản thông tin
85. lợi ích (nhóm người dùng) nào chịu trách nhiệm về an ninh của cơ sở mà đơn vị đang
sử dụng cũng như chịu trách nhiệm về các chính sách và tiêu chuẩn để vận hành an toàn?
a. quản lý chung
b. nhóm quản lý an toàn công nghệ thông tin
c. Kỹ thuật viên an toàn thông tin
d. đội bảo vệ
86. Vì mục đích an toàn thông tin, thuật ngữ nào sau đây được sử dụng để mô tả các thành
phần của các hệ thống sử dụng, lưu trữ và truyền tải thông tin?
a.các nguy cơ
b.hàng tồn kho
c.các bằng chứng
lOMoARcPSD|11005917
d.tài sản thông tin

87. Một trong những nền tảng của kiến trúc bảo mật là yêu cầu triển khai bảo mật trong các
lớp. Cách tiếp cận phân lớp này được gọi là phương pháp nào?
a. an toàn vật lý (physical security)
b. kiểm soát dự phòng (redundancy controls)
c. kiểm soát quản lý (managerial controls)
d. phòng thủ sâu (defense in depth)
88. Thuật ngữ nào mô tả tốt nhất một cuộc điều tra và đánh giá các sự kiện bất lợi khác
nhau có thể ảnh hưởng đến tổ chức, bao gồm việc xác định mức độ quan trọng của hệ
thống hoặc tập hợp thông tin đối với các quy trình cốt lõi và các ưu tiên phục hồi của tổ
chức?
a.mốc thời gian phục hồi (RTO)
b.phân tích tác động kinh doanh (BIA)
c.thời gian phục hồi công việc (WRT)
d.phân tích rủi ro (RA)
89. Phương pháp mà hệ thống xác định điều kiện và cách thức cho phép người dùng được
tiếp cận đến khu vực đáng tin cậy hoặc dữ liệu, hệ thống của tổ chức được gọi là
a.khả năng truy vết
b.kiểm soát xác thực
c.kiểm soát truy cập
d.kiểm soát vật lý
90. Nhận dạng rủi ro được thực hiện trong một quy trình lớn hơn nhằm xác định và biện
minh cho các biện pháp kiểm soát rủi ro, được gọi là quy trình nào?
a.kiểm soát rủi ro
b.xác định rủi ro
c.đánh giá rủi ro
d.quản lý rủi ro
91. Một trong những nền tảng của kiến trúc bảo mật là yêu cầu triển khai bảo mật trong các
lớp. Cách tiếp cận phân lớp này được gọi là phương pháp nào?
a.kiểm soát dự phòng (redundancy controls)
b.kiểm soát quản lý (managerial controls)
c.an toàn vật lý (physical security)
d.phòng thủ sâu (defense in depth)
92. Thuật ngữ nào được sử dụng để mô tả chất lượng hoặc trạng thái sở hữu hoặc kiểm
soát thông tin?
a.chiếm hữu (possession)
Possession
b.toàn vẹn (integrity)
c.bảo mật (confidentiality)
d.xác thực (authenticity)1
93. Vị trí nào là nhân viên an toàn thông tin hàng đầu trong tổ chức?
a.CISO
b.ISO
c.CIO
d.CFO
94. Phát biểu nào đúng về Chính sách an toàn đặc thù (Issue-specific security policies –
ISSP)
a.Tổng quan triết lý an toàn TT của tổ chức
b.Là chính sách cung cấp hướng dẫn chi tiết theo mục tiêu để hướng dẫn tất cả các thành
viên của tổ chức sử dụng tài nguyên
c.Là chính sách bảo mật/an toàn cấp cao, là hồ sơ, tài liệu ở cấp điều hành doanh nghiệp
(executy level)

lOMoARcPSD|11005917
95. Khi các dự án được khởi xướng ở các cấp cao nhất của một tổ chức và sau đó được
triển khai đến tất cả các cấp, đây là cách tiếp cận nào?
a.tiếp cận từ dưới lên
b.tiếp cận từ trên xuống
c.tiếp cận tập trung
d.tiếp cận ngang hàng
96. Nếu thông tin có trạng thái là chân thực hoặc nguyên bản và không phải là bịa đặt, thì
nó có đặc điểm của tính xác thực, đúng hay sai?
a.sai
b. đúng
a.An toàn hoặc an ninh mạng là nhằm bảo vệ các thành phần, nội dung của mạng máy tính.
Nó là một nhánh của mạng truyền thông
b.Khai thác (Exploit) là một kỹ thuật được sử dụng để thâm nhập hoặc làm yếu một hệ
thống.
c.Điểm yếu tiềm ẩn chính (Vulnerability) là điểm yếu điểm yếu bảo mật (Exposure)
d.An toàn vật lý là bảo vệ các tài sản vật lý khỏi bị lạm dụng, sử dụng sai mục đích hoặc truy
cập trái phép
98. Đặc tính nào sau đây KHÔNG được xem là đặc tính tạo Giá trị thông tin
a.Bảo mật
b.Tất cả các đặc tính mô tả trên
c.Không có lựa chọn nào là phù hợp
d.Hữu ích
e.Sở hữu
f.Toàn vẹn
99. Bảo vệ tính bảo mật, toàn vẹn, khả dụng của tài sản thông tin ở bất cứ nơi lưu trữ nào,
hoặc trong quá trình truyền tải - thông qua việc áp dụng các chính sách, quá trình đào tạo,
huấn luyện, nâng cao nhận thức cũng như sử dụng công nghệ.
a.An toàn truyền thông
b.An ninh mạng
c.An toàn máy tính
d.An toàn vật lý
e.An toàn thông tin
100. Loại bảo mật hoặc an toàn, an ninh nào nào đề cập đến việc bảo vệ tất cả các phương
tiện truyền thông, công nghệ và nội dung thông tin?
a.An toàn vật lý (Physical security)
b.An ninh mạng (Network security)
c.An toàn thông tin (Information security)
d.An ninh truyền thông (Communicationsn security)
101. Loại bảo mật hoặc an toàn, an ninh nào nào đề cập đến việc bảo vệ các tài sản vật lý
khỏi bị lạm dụng, sử dụng sai mục đích hoặc truy cập trái phép
a.An toàn vật lý (Physical security)
b.An toàn thông tin (Information security)
c.An ninh mạng (Network security)
d.An ninh truyền thông (Communication security)
102. An toàn thông tin bao gồm:
a.Tất cả các lựa chọn trên
b.An ninh mạng.
c.An toàn dữ liệu
d.Quản lý an toàn thông tin
103. Phát biểu nào là đúng
a.Cả A và B (Tất cả các phát biểu trên đều đúng)
b.Vi phạm quyền sở hữu không phải lúc nào cũng dẫn đến vi phạm tính bảo mật.
c.Vi phạm tính bảo mật luôn dẫn đến vi phạm quyền sở hữu
d.Không A, không B (tất cả các phát biểu trên đều sai)
104.Phát biểu nào SAI

lOMoARcPSD|11005917
a.Báo cáo của RAND Corporation 1970 (RAND R 609) được xem là tài liệu đầu tiên cho
việc nghiên cứu an toàn máy tính
b.Quyền sở hữu dữ liệu (ownership) có 3 kiểu bao gồm Người sở hữu dữ liệu (Data
owners); Người sử dụng dữ liệu (Data users); Người bảo quản dữ liệu (Data custodians);
c.MULTICS là hệ thống đầu tiên tích hợp bảo mật vào các chức năng cốt lõi của nó.
d.MULTICS được coi là tiền thân của Internet
105. Kẻ tấn công hoặc người được tin cậy đánh cắp hoặc làm gián đoạn truy cập thông tin
từ một hệ thống máy tính; và đổi lại là yêu cầu 1 khoản bồi thường cho sự truy cập trở lại/
có thông tin để sử dụng hoặc yêu cầu một thỏa thuận không tiết lộ thông tin, được gọi là
a.Cưỡng đoạt thông tin
b.Xâm phạm tài sản trí tuệ
c.Malware hay virut máy tính
d.Phá hoại
106. Các cuộc tấn công này được thiết kế để đánh chặn và thu thập thông tin trong quá trình
chuyển tiếp thông tin
a.Pharming
c.Packet sniffer
d.Man-in-the-middle
e.IP- Spoofing
a.Thu thập thông tin qua vai (shoulder surfing ) Là hành động quan sát bí mật hoặc trực tiếp
về thông tin cá nhân hoặc việc sử dụng hệ thống, không thuộc tấn công có chỉ đích bằng
phần mềm
c.IP Spoofing (Giả mạo địa chỉ IP) Một kỹ thuật để đạt được quyền truy cập trái phép vào
máy tính trong mạng bằng cách sử dụng địa chỉ IP nguồn giả mạo hoặc sửa đổi để tạo ra
nhận thức rằng thư đến từ một máy chủ đáng tin cậy
d.Man-in-the-middle: kẻ tấn công chặn luồng liên lạc và tự chèn mình vào cuộc trò chuyện
để thuyết phục mỗi bên rằng anh ta là đối tác hợp pháp
108. Sao chép, cài đặt hoặc phân phối trái phép phần mềm máy tính có bản quyền là:
a.Malware hay virus máy tính
b.Xâm phạm tài sản trí tuệ
c.Phá hoại
d.Cưỡng đoạt thông tin
a.Tấn công kỹ thuật xã hội (Social Engineering) là qui trình sử dụng các kỹ năng xã hội để
thuyết phục mọi người tiết lộ thông tin xác thực truy cập hoặc thông tin có giá trị khác cho kẻ
tấn công
b.Tin tặc cũng là 1 loại gián điệp hoặc kẻ xâm nhập trái phép
c.Tất cả các lựa chọn trên
d.Người không được phép cố truy cập trái phép vào thông tin mà một tổ chức đang bảo vệ
được gọi là gián điệp hoặc kẻ xâm nhập trái phép
a.Giáo dục là yếu tố quan trọng hàng đầu trong việc nâng cao nhận thức đạo đức
b.Tất cả các lựa chọn đều đúng
c.Phương pháp tốt nhất để ngăn cản các hành vi phi đạo đức và bất hợp pháp là thực thi
luật, chính sách và các kiểm soát kỹ thuật, giáo dục và đào tạo.
d.Nhân viên phải được đào tạo về các hành vi đạo đức được kỳ vọng, đặc biệt trong lĩnh
vực an toàn thông tin
111. Một dạng kỹ thuật xã hội, trong đó kẻ tấn công cung cấp những biểu hiện/hiển thị có vẻ
là giao tiếp hợp pháp (thường là e-mail), nhưng nó chứa mã ẩn hoặc mã nhúng chuyển
hướng câu trả lời đến trang web của bên thứ ba trong nỗ lực trích xuất thông tin cá nhân
hoặc bí mật thông tin
a.Gian lận phí ứng trước (Advance-fee Fraud)
b.Lừa đảo (Phishing)
c.Pharming
112. Tấn công từ chối dịch vụ (DoS):
a.Rất nhiều yêu cầu được đưa ra khiến hệ thống mục tiêu không thể xử lý chúng thành công
cùng với các yêu cầu dịch vụ hợp pháp khác
lOMoARcPSD|11005917
b.Kẻ tấn công gửi một số lượng lớn các yêu cầu kết nối hoặc yêu cầu thông tin đến một
mục tiêu
c.Có thể dẫn đến sự cố hệ thống hoặc đơn thuần là không thể thực hiện các chức năng
thông thường
113. Một dạng nguy cơ tấn công kỹ thuật xã hội (social engineering) thường được tiến hành
qua e-mail, trong đó một tổ chức hoặc một số bên thứ ba cho biết rằng người nhận có thể
nhận một số tiền cao bất hợp lý và chỉ cần một khoản phí tạm ứng nhỏ hoặc thông tin ngân
hàng cá nhân để được chuyển tiền
a.Lừa đảo (Phishing)
b.Pharming
c.Gian lận phí ứng trước (Advance-fee Fraud)
114. Các lớp trong thiết kế và thực hiện An toàn/an ninh thông tin:
a.Công nghệ
b.Chính sách
c.Con người
115. Theo mô hình an toàn NIST SP 800-14, phát biểu nào SAI về nguyên tắc an toàn
a.Hỗ trợ sứ mệnh của tổ chức
b.Hiệu quả về mặt chi phí
c.Không cần đánh giá lại định kỳ
d.Phương pháp toàn diện và tích hợp
116. Nội dung nào sau đây không thuộc lớp “con người” trong tiếp cận nhiều lớp khi thiết kế
và thực hiện an toàn/an ninh thông tin
a.Chương trình nâng cao nhận thức (awareness)
b.Văn hóa (culture)
c.Giáo dục (Education)
d.Huấn luyện/Đào tạo (training)
a.Tiếp cận nhiều lớp trong triển khai an toàn/an gọi là phòng thủ theo chiều sâu
b.Vùng an toàn/an ninh (security domain) chính là vành đai an toàn (security perimeter)
c.Tài sản thông tin bao gồm thông tin có giá trị với tổ chức và hệ thống dùng để lưu trữ, xử
lý và truyền tải thông tin
d.Một trong những nền tảng của kiến trúc an toàn /an ninh là triển khai an toàn/an ninh
thành nhiều lớp
118. Phát biểu nào SAI về đặc điểm của các mục tiêu (objectives) của kế hoạch chiến thuật
(tactical plans)
a.Có thể đạt được
b.Có mục tiêu cụ thể
c.Có thể đo lường được
d.Không có giới hạn thời hạn
119. Kế hoạch nào mang tính định hướng lâu dài mà các đơn vị , bộ phận cần thực hiện
a.Kế hoạch hoạt động (operational plan)
b.Kế hoạch chiến lược (strategic plans)
c.Kế hoạch chiến thuật (Tactical plan)
d.Tất cả các lựa chọn
120. Phát biểu nào SAI về Chính sách an toàn thông tin DN (Enterprise information security
policies – EISP)
a.Hướng dẫn phát triển, triển khai và quản lý chương trình an toàn thông tin
b.Là chính sách cung cấp hướng dẫn chi tiết theo mục tiêu để hướng dẫn tất cả các thành
viên của tổ chức sử dụng tài nguyên
c.là Chính sách an toàn chung hay tổng quát
d.Xác định mục đích, phạm vi, các ràng buộc và khả năng áp dụng chương trình an ninh
của tổ chức
121. Kế hoạch nào tập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1 hoặc
2 năm.
a.Kế hoạch chiến thuật (Tactical plan)
b.kế hoạch chiến lược (strategic plans)
c.Kế hoạch hoạt động (operational plan)
d.Tất cả các lựa chọn

lOMoARcPSD|11005917
122. Phòng thủ sâu là một chiến lược bảo vệ tài sản thông tin, bao gồm sử dụng nhiều lớp
an ninh và loại kiểm soát nào dưới đây?[LNB1]
a.Kiểm soát vận hành
b.Kiểm soát quản lý
c.Kiểm soát kỹ thuật
a.Chương trình giáo dục, huấn luyện và nhận thức về an toàn security education, training,
and awareness (SETA) là một trong những chương trình có thể mang lại nhiều lợi ích nhất
b.SETA giúp xây dựng kiến thức chuyên sâu khi cần thiết để thiết kế, triển khai hoặc vận
hành các chương trình an toàn cho các tổ chức và hệ thống
c.SETA giúp phát triển kỹ năng và kiến thức để người dùng máy tính có thể thực hiện công
việc của họ một cách an toàn hơn
d.Chương trình giáo dục, huấn luyện và nhận thức về an toàn security education, training,
and awareness (SETA) là một biện pháp kiểm soát được thiết kế để giảm các sự cố do nhân
viên vô tình vi phạm an ninh
e.Chương trình nâng cao nhận thức về an toàn là một trong những chương trình được thực
hiện thường xuyên nhất
124.Kế hoạch nào tập trung vào các hoạt động hàng ngày
a.Kế hoạch hoạt động (operational plan)
b.Kế hoạch chiến thuật (Tactical plan)
c.Tất cả các lựa chọn
d.Kế hoạch chiến lược (strategic plans)

Aise Aise

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Aise Aise

Uploaded by

Copyright:

Available Formats

lOMoARcPSD|11005917

Studocu is not sponsored or endorsed by any college or university

c.Tính bảo mật (Confidentiality)

Câu 10: Chọn phát biểu không đúng

a.Mục tiêu của an toàn thông tin

a.Tính xác thực (Authenticity)

c.Tính toàn vẹn (Integrity)

a.Tiếp cận từ trên xuống (top-down approach)

a.Điểm yếu bảo mật (Exposure)

Câu 25: Đoạn văn câu hỏi

d.Những chia sẻ không được bảo vệ (Unprotected shares)

d.chính sách, hệ thống mạng, hệ thống và ứng dụng

Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)

Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)

21.Quản trị công nghệ

25. Điền vào chỗ trống:

Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)

Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)

Giám sát các nhiệm vụ và các bước thực hiện

a.Thông báo của đối tác hoặc đồng nghiệp

b. Hoạt động vào những thời điểm không mong muốn

d.Sự hiện diện của các tài khoản mới

Câu 3: Điền vào chỗ trống:

The correct answer is: thiết kế

The correct answer is:

a.Được quản lý thích hợp thông qua khách hàng

c.Có thể khác biệt với luật pháp

Câu 6: Các kế hoạch dự phòng (CP)

a.Nhân viên có vai trò quan trọng trong việc lập CP

c.CP thuộc nhóm kế hoạch ứng phó sự cố

d.Nên thuê tổ chức chuyên nghiệp thực hiện

Câu 2 Điền vào chỗ trống:

The correct answer is: nhiệm vụ

a.Tất cả đều đúng

The correct answer is:

Câu 5: Kế hoạch chiến thuật (tactical planning)

Câu 6: Cơ chế có thể phát hiện sự cố

b.Mất tính khả dụng

c.Sự hiện diện của các tài khoản mới

d.Thông báo của hacker

The correct answer is: cân bằng

The correct answer is:

Câu 3 Vai trò của bộ phận CNTT

Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)

a.Là thiết lập lại hoạt động tại vị trí mới

Câu 5: Điền vào chỗ trống:

The correct answer is: dài hạn

Đáp án chính xác là "Đúng"

Đáp án chính xác là "Đúng"

d.Sự hiện diện của các tài khoản mới

Hãy chọn một:

Câu 3: Vai trò của bộ phận CNTT

b.Bảo vệ tất cả các tài sản thông tin

b.Có thể khác biệt với luật pháp

c.Được quản lý thích hợp thông qua khách hàng

Câu 5: Điền vào chỗ trống:

Đáp án: nhiệm vụ

Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)

Xác định các biện pháp kiểm soát phòng ngừa:

Phát triển tuyên bố chính sách KH dự phòng (CP):

Xây dựng CP:

Downloaded by ANH CAO THI VAN (anhcao.31211025284@st.ueh.edu.vn)

Kế hoạch hoạt động (operational planning)