Professional Documents
Culture Documents
TRẮC NGHIỆM
TRẮC NGHIỆM
Câu Hỏi 1
Một tình trạng hoặc trạng thái bị phơi nhiễm; trong bảo mật thông tin, sự lộ diện tồn
tại khi kẻ tấn công biết được một lỗ hổng
c.Kiểm soát, bảo vệ hoặc biện pháp đối phó (Control, safeguard, or countermeasure
Câu Hỏi 2 Một trường hợp cụ thể hoặc một thành phần của một mối đe dọa
Câu Hỏi 3 Chọn phát biểu không đúng về bản chất của an toàn thông tin
a.Sự tương tác của con người với hệ thống, hành vi của người dùng tác động đến bảo mật,
nhận thức về rủi ro trong môi trường CNTT cho thấy an toàn thông tin mang tính chất của
khoa học xã hội
b.Đặc tính của công nghệ và khoa học máy tính cho thấy tính khoa học của an toàn thông
tin
c.Tính đa dạng, phức tạp, dẫn đến tính nghệ thật của an toàn thông tin
d.Tính không có nguyên mẫu, luôn linh hoạt, luôn sáng tạo trong lĩnh vực bảo mật, sự cân
bằng trong việc vận dụng kiến thức bảo mật, dẫn đến tính khoa học xã hội
Câu Hỏi 4 Điền vào chỗ trống thuật ngữ thích hợp: SDLC là một phương pháp
luận được áp dụng trong phân tích, ………. (2 từ), thực hiện và vận hành hệ thống
a.thiết kế
b.đánh giá
c.tổng hợp
d.vận động
Câu Hỏi 5 Người chiu trách nhiệm báo cáo cho CIO, chịu trách nhiệm chính
trong vấn đề an toàn và bảo mật hệ thống thông tin, về việc đánh giá, quản lý và
thực hiện an toàn thông tin là:
d.Giám đốc an toàn thông tin (CISO - chief information security officer)
Câu Hỏi 6 Một hành động cố ý hoặc vô ý có thể làm hỏng hoặc làm tổn hại đến
thông tin và hệ thống hỗ trợ nó
a.Rủi ro (Risk)
b.Nguy cơ (Threat)
LẦN 2
Câu Hỏi1 Chất lượng hoặc trạng thái có quyền sở hữu hoặc kiểm soát một số
đối tượng hoặc vật phẩm
Đâu không phải là các lĩnh vực của an toàn thông tin
a.Đảm bảo tính toàn vẹn
a.Hệ thống luôn sẵn sàng để truy cập sẽ dẫn đến nguy cơ bị tấn công
b.Nếu cô lập hệ thống để đảm bảo an toàn cao thì không thể truy cập được
c.An toàn thông tin và khả năng truy cập phải hài hòa và cân xứng
d.Có thể có được an toàn thông tin tuyệt đối, hoàn hảo
Câu Hỏi 4 Phát biểu nào đúng về thành phần “con người” trong hệ thống
thông tin
a.Mạng máy tính có nhiều nguy cơ, do đó kiểm soát lưu lượng và kiểm soát truy cập là cần
thiết.c.Đào tạo, huấn luyện, giám sát quy trình, đánh giá định kỳ giúp đảm bảo các thủ tục có
thể hoàn thành vai trò của minh.
d.Các chính sách, thủ tục, việc đào tạo, nhận thức đạo đức và sử dụng công nghệ đúng đắn
sẽ giúp hạn chế điểm yếu này
b.Do được lập trình nên phần mềm hàm chứa nhiều nguy cơ, từ lỗi lập trình cho đến sử
dụng sai mục đích.
Câu Hỏi 5 Cách thức tiếp cận thực hiện an toàn thông tin nào có các đặc điểm
sau: “Dự án an toàn thông tin được khởi xướng bởi các nhà quản lý cấp trên, những
người ban hành các chính sách, thủ tục và quy trình; đề xuất các mục tiêu và kết
quả mong đợi; và xác định trách nhiệm cá nhân cho mỗi hành động”
a.Tiếp cận theo SDLC truyền thống tích hợp bảo hiểm phần mềm (Software Assurance)
Câu Hỏi 6 Cách thức tiếp cận thực hiện an toàn thông tin nào có các đặc điểm
sau: “Bắt đầu từ các hành vi từ cấp dưới nhằm cải thiện an toàn hệ thống và dựa
trên kỹ năng và kiến thức của quản trị viên hệ thống”
b.Tiếp cận theo SDLC truyền thống tích hợp bảo hiểm phần mềm (Software Assurance)
LẦN 3
Câu Hỏi 1 Đâu không phải là nhóm người dùng ảnh hưởng đến an toàn thông
tin (Communities of Interest)
Câu Hỏi 2 Tính chất của thông tin cho phép người dùng khi cần truy cập thông
tin mà không bị can thiệp hoặc cản trở và truy xuất thông tin đó ở định dạng bắt
buộc
Câu Hỏi 3
Đâu không phải là lĩnh vực của mô hình an toàn CNSS (khối lập phương
McCumber)
a.Thủ tục an toàn thông tin
Câu Hỏi 4 Nhu cầu an toàn máy tính xuất hiện từ lĩnh vực quốc phòng
Đúng
Sai
Câu Hỏi 5 Chất lượng hoặc trạng thái của thông tin gốc hoặc nguyên bản, thay
vì sao chép hoặc chế tạo
Câu Hỏi 6Tam giác C.I.A thể hiện tiêu chuẩn công nghiệp về bảo mật máy tính
bao gồm 3 đặc điểm
a.Tính bảo mật, tính toàn vẹn và tính tiện ích
LẦN 4
Câu Hỏi 1Bảo vệ thông tin và các yếu tố
quan trọng của nó, bao gồm các ………….. (2 từ) và phần cứng dùng để sử dụng,
lưu trữ và truyền tải thông tin
Answer text
hệ thống
Câu Hỏi 2 Đâu không phải là cách thức thực hiện SDLC
a.SDLC truyền thống, tích hợp bảo hiểm phần mềm vào quá trình phát triển phần mềm
b.Phương pháp tiếp cận dựa trên các tiêu chuẩn NIST
c.Microsoft ‘s SDL
Câu Hỏi 6 Cách tiếp cận nào trái ngược với cách tiếp cận Bottom-up approach (2
hoặc 3 từ)
Câu Hỏi 8
Đúng
Sai
Đúng
Sai
Câu Hỏi 10 Security có thể dịch là an toàn / an ninh / bảo mật (tùy theo bối
cảnh)
Đúng
Sai
LẦN 6
Câu Hỏi 1 Accuracy là:
c.An toàn cơ sở
a.Information security
b.Communications security
c.Computer security
d.Network security
QUIZZ CHƯƠNG 2
Câu Hỏi 1 Hãy kết nối các thuật ngữ và khái niệm tương ứng.
Access: Quyền truy cập → Khả năng sử dụng, thao tác, sửa đổi hoặc ảnh hưởng đến chủ
thể, hoặc đối tượng khác của chủ thể hoặc đối tượng,
Asset: Tài sản → Các nguồn lực của doanh nghiệp đang được bảo vệ. Tài sản có thể có
hình thái vật chất hay phi vật chất. Tài sản thông tin là trọng tâm của an toàn thông tin,
Exploit: Khai thác → Một kỹ thuật được sử dụng để xâm phạm hệ thống.,
Attack: Tấn công → Một hành động cố ý hoặc vô ý có thể làm hỏng hoặc làm tổn hại đến
thông tin và hệ thống hỗ trợ nó. Tấn công có thể là tấn công chủ động hoặc tấn công bị
động; tấn công trực tiếp hoặc tấn công gián tiếp,
Control, safeguard, or countermeasure: Kiểm soát, bảo vệ hoặc biện pháp đối phó → Các
cơ chế, chính sách hoặc quy trình bảo mật có thể chống lại các cuộc tấn công thành công,
giảm thiểu rủi ro, giải quyết các lỗ hổng và cải thiện tính bảo mật trong tổ chức
Câu Hỏi 2 6 phương thức tấn công của virus và sâu (Attack Replication Vectors)
không bao gồm
a. Malware
b. Những chia sẻ không được bảo vệ (Unprotected shares)
c. Quét và tấn công IP (IP scan and attack)
d. Virus
Phần mềm gián điệp spyware bao gồm các dạng: Web bug, Adware và Bots
Hãy chọn một:
Đúng
Sai
Worms là virus có thể tự tái tạo cho đến khi chúng lấp đầy hoàn toàn các tài nguyên
có sẵn, như bộ nhớ, dung lượng ổ cứng và băng thông mạng
Đúng
Sai
Phản hồi
Sâu đa hình (polymorphic worm)/ sâu đa phương thức (multivector worm) sử dụng
…. (1 số) phương thức tấn công để khai thác nhiều lỗ hổng trong các thiết bị hệ
thống thông tin phổ biến
Answer: 6
Câu Hỏi 6
Virus không thể lây qua máy tính khác qua phương tiện vật lý
Đúng
Sai
Câu Hỏi 7Hãy kết nối các thuật ngữ sau với khái niệm tương ứng
The correct answer is:
Risk: Rủi ro → Sự kiện tiềm tàng không mong muốn có thể xảy ra gây thiệt hại cho doanh nghiệp,
Protection profile or security posture: Hồ sơ bảo vệ hoặc thái độ bảo mật: → Toàn bộ tập
hợp các biện pháp kiểm soát và bảo vệ, bao gồm chính sách, giáo dục, đào tạo và nâng cao
nhận thức và công nghệ, mà tổ chức thực hiện để bảo vệ tài sản.,
Loss: Thiệt hại → Tài sản thông tin bị hư hỏng hoặc bị phá hủy, sửa đổi hoặc tiết lộ ngoài ý
muốn hoặc trái phép hoặc bị từ chối sử dụng,
Exposure: Điểm yếu bảo mật → Một tình trạng hoặc trạng thái bị phơi nhiễm; trong bảo mật
thông tin, sự lộ diện tồn tại khi kẻ tấn công biết được một lỗ hổng.,
•Subjects and objects of attack→ Chủ thể tấn công và đối tượng bị tấn công
a.Là mã/ phần mềm độc hại, bao gồm những tấn công sử dụng phần mềm như tấn công
chuyển hướng và tấn công từ chối dịch vụ.
bLà nguy cơ virus và sâu phát triển, thay đổi kích thước của nó và các đặc điểm bên ngoài
của tập tin để tránh bị phát hiện bởi các chương trình phần mềm chống virus
d.Là công nghệ thường được dùng để triển khai Trojan horse, logic bombs, back doors và
phần mềm gián điệp spyware
Phản hồi
Là nguy cơ virus và sâu phát triển, thay đổi kích thước của nó và các đặc điểm bên ngoài
của tập tin để tránh bị phát hiện bởi các chương trình phần mềm chống virus
Malware được thiết kế để làm hỏng, phá hủy hoặc từ chối dịch vụ cho các hệ thống
mục tiêu. Phát biêu trên đúng hay sai?
Hãy chọn một:
Đúng
Sai
Phản hồi
Câu Hỏi 10 Kết nối các đặc điểm của các phần mềm gián điệp spyware
Bots → Là công nghệ thường được dùng để triển khai Trojan horse, logic bombs, back
doors và phần mềm gián điệp spyware,
Adware → Phần mềm độc hại với mục đích cung cấp tiếp thị và quảng cáo không mong
muốn (bao gồm cửa sổ bật lên và biểu ngữ trên màn hình của người dùng), được thiết kế
để hoạt động ngoài tầm nhìn của người dùng hoặc được kích hoạt bởi hành động dường
như vô hại của,
Cookie theo dõi → Được đặt trên máy tính của người dùng để theo dõi hoạt động của họ
trên các trang Web khác nhau và tạo hồ sơ chi tiết về hành vi của họ, sau đó những thông
tin này có thể được sử dụng trong một cuộc tấn công social engineering hoặc đánh cắp
danh tính,
Web bug → Một đồ họa nhỏ được tham chiếu trong HTML của trang web hoặc email để thu
thập thông tin về người dùng đang xem nội dung
LẦN 2
Câu Hỏi 1ĐúngĐạt điểm 1,00 trên 1,00Đặt cờ
Đối tượng nào sau đây chịu trách nhiệm hỗ trợ Ban giám đốc trong việc xác định
nhu cầu của tổ chức đối với vấn đề an toàn thông tin.
Câu Hỏi 2 Kết nối các khái niệm tấn công chặn liên lạc (Communications
Interception Attacks)
Man-in-the-middle → Một nhóm các tấn công trong đó một người chặn luồng liên lạc và tự
chèn mình vào cuộc trò chuyện để thuyết phục mỗi bên rằng anh ta là đối tác hợp pháp,
Pharming → Là sự chuyển hướng của lưu lượng truy cập Web hợp pháp đến một trang
Web bất hợp pháp với mục đích lấy thông tin cá nhân,
Spoofing → Giả mạo địa chỉ IP là một kỹ thuật được sử dụng để truy cập trái phép vào máy
tính, trong đó kẻ xâm nhập sẽ gửi tin nhắn đến máy tính có địa chỉ IP cho biết rằng tin nhắn
đến từ một máy chủ đáng tin cậy,
Packet sniffer → Một chương trình hoặc thiết bị có thể giám sát dữ liệu truyền tải qua mạng
Thuật ngữ “được sử dụng để mô tả phần mềm độc hại thường loại trừ lẫn nhau”
Đúng
Sai
Phản hồi
Một khi kẻ tấn công giành được quyền truy cập vào hệ thống, bước tiếp theo là tăng
các đặc quyền của họ để cố giành ....... (3 từ) hệ thống
Answer:
Cơ chế kỹ thuật có thể được áp dụng để thực thi luật bản quyền:
a.Information Extortion
b.Script kiddies
c.Escalation of Privileges
d.Embedded code
Phản hồi
Câu Hỏi 6
c.Các tác nhân nguy cơ gây thiệt hại hoặc đánh cắp thông tin hoặc tài sản vật chất của tổ
chức bằng cách sử dụng các hành vi tận dụng lỗ hỗng bảo mật
d.Để ra quyết định về an toàn thông tin, ban quản lý phải tự tìm hiểu về các nguy cơ khác
nhau đối với con người, thiết bị, dữ liệu và hệ thống thông tin của tổ chức
Phản hồi The correct answer is: Để ra quyết định về an toàn thông tin, ban quản lý
phải tự tìm hiểu về các nguy cơ khác nhau đối với con người, thiết bị, dữ liệu và hệ
thống thông tin của tổ chức
LẦN 3
Câu Hỏi 1Không trả lờiĐạt điểm 1,00Đặt cờ
a.quá trình duy trì tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu được quản lý bởi
b.chương trình an toàn thông tin để bảo vệ khả năng các tính năng hoạt động của hệ thống
không bị nguy hại
d.là điều cần thiết để bảo vệ tính toàn vẹn và giá trị của dữ liệu
Phản hồi
The correct answer is:quá trình duy trì tính bảo mật, tính toàn vẹn và tính khả dụng của dữ
liệu được quản lý bởi
Đúng
Sai
Phản hồi
Hành vi trộm cắp vật lý không phải là một nguy cơ đối với an toàn thông tin.
Đúng
Sai
Phản hồi
Đáp án chính xác là "Sai"
Chọn phát biểu không đúng về nâng cấp đặc quyền (Escalation of Privileges)
a.Là một kỹ năng tự thân hoặc sử dụng các công cụ phần mềm
b.Đặc quyền này cho phép kẻ tấn công truy cập thông tin, sửa đổi hệ thống để xem tất cả
thông tin trong đó
c.Đặc quyền này cho phép kẻ tấn công ẩn các hoạt động của chúng bằng cách sửa đổi nhật
ký hệ thống
d.Thường tạo ra các phần mềm tấn công và chia sẻ chúng với những người khác
Phản hồi
The correct answer is:Thường tạo ra các phần mềm tấn công và chia sẻ chúng với những
người khác
CNTT tiếp tục bổ sung khả năng và phương pháp mới cho phép các tổ chức giải
quyết các thách thức quản lý thông tin, tuy nhiên nó cũng mang lại nhiều .......... (3
từ) cho thông tin của tổ chức.
Answer:
Nguy cơ
b.thể hiện rủi ro tiềm tàng đối với tài sản thông tin
c.chỉ tồn tại khi một hành động cụ thể có thể gây ra tổn thất
d.thể hiện một hành động liên tục gây tổn thất tài sản
Phản hồi
The correct answer is:thể hiện rủi ro tiềm tàng đối với tài sản thông tin
LẦN 4
Câu Hỏi 1SaiĐạt điểm 0,00 trên 1,00Đặt cờ
Hoạt động vi phạm tính bảo mật KHÔNG liên quan đến gián điệp
d.Shoulder surfing
e.Sử dụng trình duyệt Web để thực hiện nghiên cứu thị trường
Phản hồi
The correct answer is:Sử dụng trái phép phần mềm ứng dụng
Câu Hỏi 2 Kết nối các thuật ngữ sau với khái niệm tương ứng
Phreaker → cá nhân tấn công hệ thống điện thoại công cộng để thực hiện các cuộc gọi
miễn phí hoặc làm gián đoạn dịch vụ,
Script kiddies → Sử dụng phần mềm do chuyên gia viết để khai thác hệ thống,
Cracker → cá nhân bẻ khóa hoặc loại bỏ lớp bảo vệ được thiết kế để ngăn chặn việc sao
chép hoặc sử dụng trái phép
Câu Hỏi 3 Kết nối các thủ tục kiểm soát an toàn CSDL nên được triển khai trong
đơn vị.
Kiểm soát kỹ thuật → dựa trên kiến thức về kiểm soát truy cập, xác thực, bảo mật ứng dụng, sao lưu,
phục hồi, mã hóa và kiểm soát tính toàn vẹn,
Kiểm soát vật lý → gồm sử dụng các trung tâm dữ liệu với cửa có khóa, hệ thống phòng cháy chữa
cháy, giám sát bằng video, và nhân viên bảo vệ,
Kiểm soát quản lý → bao gồm chính sách, thủ tục và các vấn đề quản trị doanh nghiệp
a.Trộm cắp là loại nguy cơ thường trùng lặp với nguy cơ các cuộc tấn công phần mềm, gián
điệp & xâm nhập, tống tiền thông tin và xâm phạm quyền sở hữu trí tuệ.
b.Các chuyên gia an toàn thông tin đóng vai trò lớn trong việc xác định khi nào hệ thống/
công nghệ lỗi thời
c.Một số lỗi và lỗi phát triển phần cứng dẫn đến phần mềm khó hoặc không thể triển khai
theo cách an toàn
d.Việc sử dụng ngày càng nhiều công nghệ di động làm giảm nguy cơ bị đánh cắp dữ liệu
Phản hồi
The correct answer is:Trộm cắp là loại nguy cơ thường trùng lặp với nguy cơ các
cuộc tấn công phần mềm, gián điệp & xâm nhập, tống tiền thông tin và xâm phạm
quyền sở hữu trí tuệ.
Chọn phát biểu không đúng về nguy cơ "những tác động từ thiên nhiên"
a.Tổ chức không cho phép cá nhân đặt mật khẩu liên quan thông tin cá nhân hoặc có thể có
trong từ điển mật khẩu
b.Cần phải triển khai các kiểm soát để hạn chế thiệt hại, chuẩn bị các kế hoạch dự phòng
để tiếp tục hoạt động
c.Vì không thể chủ động tránh được loại nguy cơ này
Phản hồi
The correct answer is:Tổ chức không cho phép cá nhân đặt mật khẩu liên quan thông tin cá
nhân hoặc có thể có trong từ điển mật khẩu
Phản hồi
LẦN 5
Câu Hỏi 1ĐúngĐạt điểm 1,00 trên 1,00Đặt cờ
a. Thương hiệu
b. Phát biểu về sứ mạng, tầm nhìn của đơn vị trên báo cáo thường niên
c. Bằng sáng chế
d. Bí mật thương mại
The correct answer is: Phát biểu về sứ mạng, tầm nhìn của đơn vị trên báo cáo thường niên
Câu Hỏi 2 Kết nối 6 phương thức tấn công của virus và sâu
Quét và tấn công IP (IP scan and attack) →hệ thống bị nhiễm thực hiện quét một loạt các
địa chỉ IP và các cổng dịch vụ, và nhắm đến mục tiêu là một số lỗ hổng mà tin tặc đã biết
hoặc còn sót lại từ các lần khai thác trước đó,
Trình duyệt Web (Web browsing) → Nếu hệ thống bị nhiễm có quyền ghi vào bất kỳ trang
web nào, nó sẽ làm cho tất cả các tập nội dung Web bị lây nhiễm, do đó người dùng duyệt
các trang Web này sẽ bị nhiễm,
Giao thức quản lý mạng đơn giản (Simple Network Management Protocol SNMP) → Được
sử dụng để quản lý từ xa các thiết bị mạng và máy tính,
Virus → lỗi máy tính bị nhiễm sẽ lây nhiễm một số tập lệnh thực thi phổ biến trên tất cả các máy tính
mà nó có thể viết bằng mã virus có thể gây nhiễm trong tương lai,
Mass mail → Bằng cách gửi email bị nhiễm đến các địa chỉ có trong trong sổ địa chỉ, máy bị
nhiễm sẽ làm các máy khác bị nhiễm, những máy mà có chương trình đọc mail tự động hoạt
động và tiếp tục lại nhiễm cho nhiều hệ thống hơn,
Những chia sẻ không được bảo vệ (Unprotected shares) → Sử dụng các lỗ hổng trong hệ
thống tập tin, máy bị lây nhiễm sao chép thành phần virus đến tất cả các vị trí mà nó có thể
tiếp cận
Việc sử dụng trái phép tài sản trí tuệ dẫn đến ........ (2 từ) an toàn thông tin
Answer:
Phản hồi The correct answer is: nguy cơ
Mã đăng ký phần mềm duy nhất kết hợp với thỏa thuận cấp phép người dùng cuối
(end-user license agreement - EULA)
thường xuất hiện trong quá trình cài đặt phần mềm mới, yêu cầu người dùng cho biết rằng
họ đã đọc và đồng ý với các điều kiện sử dụng phần mềm
Sự kết hợp của một số phần mềm và phần cứng sẽ phát hiện ra các lỗi mới
Sai
Phản hồi
Thủ tục kiểm soát nào ít hiệu quả nhất trong đối phó với nguy cơ "sai sót của con
người"
a. Ban hành các chính sách hướng dẫn chi tiết về an toàn
b. Sao lưu dữ liệu dự phòng
c. Áp dụng các kỹ thuật hỗ trợ
d. Các hoạt động nâng cao nhận thức liên tục
LẦN 6
Câu Hỏi 1ĐúngĐạt điểm 1,00 trên 1,00Đặt cờ
a. bẻ khóa
b. mã khóa
c. tấn công có chủ đích
d. bom thư
Đúng
Sai
Phản hồi
Đúng
Sai
Phản hồi
downtime là tình huống khi lượng điện cung cấp ở một khu vực ít hơn bình thường
Đúng
Sai
Phản hồi
Câu Hỏi 6 Xác định cách dịch của các thuật ngữ sau:
Câu Hỏi 7Xác định cách dịch của các thuật ngữ sau:
jailbreaking → bẻ khóa,
worm → sâu,
ransomware → phần mềm máy tính được thiết kế đặc biệt để xác định và mã hóa thông tin
có giá trị trong hệ thống của nạn nhân nhằm tống tiền cho khóa cần thiết để mở khóa mã
hóa
Câu Hỏi 8ĐúngĐạt điểm 1,00 trên 1,00Đặt cờ
Đúng
Sai
Phản hồi
brownout là tình huống khi lượng điện cung cấp ở một khu vực ít hơn bình thường
Đúng
Sai
Phản hồi
virus hoax là
Đúng
Sai
Phản hồi
Đúng
Sai
Phản hồi
a. polymorphic threat
b. malicious software
c. Intellectual property
d. software piracy
software piracy
QUIZZ CHƯƠNG 3
Câu Hỏi 1Các chính sách về an toàn thông tin trong đơn vị cần:
b. Mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin này sẽ được đặt
trong các tiêu chuẩn, thủ tục và thực hành trong tài liệu hướng dẫn sử dụng và hệ thống của
người dùng)
c. Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
Câu Hỏi 2
Mục tiêu của chương trình giáo dục, huấn luyện và nhận thức về an toàn (SETA)
a. Thay thế cho các chương trình giáo dục và huấn luyện chung
c. Chống lại mối đe dọa liên quan đến lỗi của nhân viên
d. Là một biện pháp kiểm soát được thiết kế để xóa bỏ các sự cố do nhân viên vô tình vi
phạm an ninh.
Câu Hỏi 3
Chương trình an toàn thông tin có 6 chức năng (the six Ps). Phát biểu nào SAI về six Ps:
Câu Hỏi 4 Kết nối các chính sách an toàn, theo Special Publication (SP) 800-14 của Viện
Tiêu chuẩn và Công nghệ Quốc gia (NIST):
Chính sách an toàn dành riêng cho hệ thống → thường hoạt động như các tiêu chuẩn hoặc
thủ tục được sử dụng khi cấu hình hoặc bảo trì hệ thống,
Chính sách an toàn đặc thù → đề cập đến quan điểm của tổ chức về các lĩnh vực công
nghệ, được cập nhật thường xuyên về các nội dung như E-mail, sử dụng Internet và World
Wide Web,
Chính sách an toàn thông tin doanh nghiệp → xác định mục đích, phạm vi, các ràng buộc và
khả năng áp dụng của chương trình an ninh
b. Áp dụng các nguyên tắc quản trị công ty vào chức năng bảo mật thông tin
c. Kiểm soát hoặc quản lý các quá trình được sử dụng bởi một nhóm người để hoàn thành
một số mục tiêu
d. Cung cấp thông tin và tài nguyên thông tin một cách hữu hiệu và hiệu quả
The correct answer is: Cung cấp thông tin và tài nguyên thông tin một cách hữu hiệu và hiệu
quả
Từ chiến lược tổng quát (general strategy), đơn vị tiến hành lập kế hoạch chiến lược
(strategic planning): Đề ra phương hướng ....... (2 từ) mà đơn vị và từng bộ phận cần thực
hiện, tập trung nguồn lực hướng đến các mục tiêu (goals)
Câu Hỏi 1 Phẩm chất của nhà lãnh đạo an toàn thông tin bao gồm:
a. Quản trị (Governance), Quản lý nguy cơ (Threat management), và Tuân thủ (Compliance)
b. Quản trị (Governance), Quản lý rủi ro (Risk management), và Chính sách (Policy)
c. Kiểm soát (Control), Quản lý rủi ro (Risk management), và Tuân thủ (Compliance)
d. Quản trị (Governance), Quản lý rủi ro (Risk management), và Tuân thủ (Compliance)
Câu Hỏi 2 Kết nối các chính sách an toàn, theo Special Publication (SP) 800-14 của Viện
Tiêu chuẩn và Công nghệ Quốc gia (NIST):
Chính sách an toàn đặc thù → Đề cập đến quan điểm của tổ chức về các lĩnh vực công
nghệ, được cập nhật thường xuyên về các nội dung như sử dụng các thiết bị máy tính của
tổ chức tại nhà,
Chính sách an toàn dành riêng cho hệ thống → Có thể bao gồm một tuyên bố về ý định của
người quản lý,
Chính sách an toàn thông tin doanh nghiệp → Tổng quan triết lý của tổ chức về an toàn
Chọn phát biểu đúng về “bảng thiết kế chi tiết về an toàn toàn thông tin” (The Information
Security Blueprint)
a. Được xây dựng dựa trên các kỳ vọng an toàn thông tin của tổ chức
b. Nhóm an toàn phát triển một bảng thiết kế chi tiết với thiết kế được sử dụng để triển khai
chương trình an toàn và được trang bị ý tưởng chung về các thủ tục kiểm soát trong hệ
thống CNTT của tổ chức
c. Nên điều chỉnh hoặc áp dụng một mô hình an toàn thông tin được công nhận rộng rãi bởi
một tổ chức hoặc cơ quan an toàn đã thành lập để lập bảng thiết kế chi tiết về an toàn thông
tin
d. Nhóm an toàn không nên sửa đổi hoặc điều chỉnh mô hình cho phù hợp với đặc thù của
tổ chức trước khi áp dụng
Sau khi đã phát triển tiêu chuẩn và thực hành triển khai an toàn thông tin, tổ chức bắt đầu
phát triển bảng ............ (2 từ) chi tiết về an toàn thông tin
Answer:
Câu Hỏi 5 Quản trị an toàn thông tin là việc áp dụng các nguyên tắc và thông lệ quản trị
doanh nghiệp vào chức năng an toàn thông tin, nhấn mạnh trách nhiệm của ban giám đốc
và/hoặc quản lý cấp cao đối với việc ......................(2 từ) an toàn thông tin trong tổ chức.
Answer:
Câu Hỏi 6 Nếu bất kỳ chính sách, tiêu chuẩn hoặc thực hành triển khai nào ............. (1 từ)
được hoàn thiện, cần xác định xem có nên tiếp tục phát triển bảng thiết kế chi tiết về an toàn
thông tin hay không
Answer:
LẦN 3
Câu Hỏi 1 Kết nối các chính sách an toàn, theo Special Publication (SP) 800-14 của Viện
Tiêu chuẩn và Công nghệ Quốc gia (NIST):
Chính sách an toàn thông tin doanh nghiệp → Tổng quan triết lý của tổ chức về an toàn,
Chính sách an toàn đặc thù → Đề cập đến quan điểm của tổ chức về các lĩnh vực công
nghệ, được cập nhật thường xuyên về các nội dung như sử dụng các thiết bị máy tính của
tổ chức tại nhà,
Chính sách an toàn dành riêng cho hệ thống → Có thể bao gồm một tuyên bố về ý định của người
quản lý
Bảng thiết kế chi tiết về an toàn thông tin (The Information Security Blueprint) là bản triển
khai chi tiết từ khuôn mẫu an toàn thông tin, chỉ định các ................. (2 từ) và thứ tự hoàn
thành
Answer:
a. Được tạo ra cho các nhà quản lý và nhân viên sử dụng để đơn vị thực hiện nhiệm vụ tác
nghiệp hàng ngày
b. Gom chung các mục tiêu chiến lược thành các mục tiêu liên tục
c. Bao gồm các nhiệm vụ cần thiết cho tất cả các bộ phận liên quan
d. tập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1 hoặc 2 năm
The correct answer is: Tập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1
hoặc 2 năm
a. Giúp khôi phục tổ chức về chế độ hoạt động kinh doanh bình thường sau một sự cố
The correct answer is: Giúp khôi phục tổ chức về chế độ hoạt động kinh doanh bình thường
sau một sự cố
Câu Hỏi 6 Chương trình an toàn thông tin có 6 chức năng (the six Ps). Phát biểu nào SAI về
six Ps:
LẦN 4
Câu Hỏi 1 Các chính sách về an toàn thông tin trong đơn vị cần:
a. Mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin này sẽ được đặt
trong các tiêu chuẩn, thủ tục và thực hành trong tài liệu hướng dẫn sử dụng và hệ thống của
người dùng)
c. Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
The correct answer is: Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
Câu Hỏi 2 Quản trị an toàn thông tin là việc áp dụng các nguyên tắc và thông lệ quản trị
doanh nghiệp vào chức năng an toàn thông tin, nhấn mạnh trách nhiệm của ban giám đốc
và/hoặc quản lý cấp cao đối với việc ......................(2 từ) an toàn thông tin trong tổ chức.
Answer:
a. Được tạo ra cho các nhà quản lý và nhân viên sử dụng để đơn vị thực hiện nhiệm vụ tác
nghiệp hàng ngày
b. Tập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1 hoặc 2 năm
c. Bao gồm các nhiệm vụ cần thiết cho tất cả các bộ phận liên quan
d. Gom chung các mục tiêu chiến lược thành các mục tiêu liên tục
The correct answer is: Tập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1
hoặc 2 năm
Câu Hỏi 4 Chọn phát biểu đúng về bảng thiết kế chi tiết về an toàn toàn thông tin (The
Information Security Blueprint)
a. Nhóm an toàn không nên sửa đổi hoặc điều chỉnh mô hình cho phù hợp với đặc thù của
tổ chức trước khi áp dụng
b. Được xây dựng dựa trên các kỳ vọng an toàn thông tin của tổ chức
c. Nhóm an toàn phát triển một bảng thiết kế chi tiết với thiết kế được sử dụng để triển khai
chương trình an toàn và được trang bị ý tưởng chung về các thủ tục kiểm soát trong hệ
thống CNTT của tổ chức
d. Nên điều chỉnh hoặc áp dụng một mô hình an toàn thông tin được công nhận rộng rãi bởi
một tổ chức hoặc cơ quan an toàn đã thành lập để lập bảng thiết kế chi tiết về an toàn thông
tin
d. Giúp khôi phục tổ chức về chế độ hoạt động kinh doanh bình thường sau một sự cố
Từ chiến lược tổng quát (general strategy), đơn vị tiến hành lập kế hoạch chiến lược
(strategic planning): Đề ra phương hướng ....... (2 từ) mà đơn vị và từng bộ phận cần thực
hiện, tập trung nguồn lực hướng đến các mục tiêu (goals)
LẦN 5
Câu Hỏi 1 Đánh giá lại sau thực hiện khắc phục sự cố (after-action review – AAR)
a. Giải quyết các biện pháp bảo vệ không thể ngăn chặn hoặc hạn chế sự cố, hoặc các
biện pháp bảo vệ không có trong hệ thống ngay từ đầu
b. Khôi phục niềm tin cho các cộng đồng quan tâm của tổ chức, nên công bố một bản ghi
nhớ ngắn nêu rõ sự cố và đảm bảo với mọi người rằng nó đã được kiểm soát với mức thiệt
hại ít nhất có thể
c. Cách tiếp cận này cho phép các thành viên trong nhóm cập nhật kế hoạch IR trong khi
những thay đổi cần thiết vẫn còn mới và lưu rõ trong tâm trí họ
Câu Hỏi 2 Phát biểu này KHÔNG phải là mục tiêu của quản trị an toàn thông tin.
a. Đo lường thành quả bằng cách đo lường, giám sát và báo cáo các chỉ số quản trị an toàn
thông tin để đảm bảo đạt được các mục tiêu của tổ chức
b. Liên kết chiến lược của an toàn thông tin với chiến lược kinh doanh để hỗ trợ các mục
tiêu của tổ chức
c. Cung cấp giá trị bằng cách tối thiểu hóa các lợi ích an toàn thông tin để hỗ trợ các mục
tiêu của tổ chức
d. Quản lý tài nguyên bằng cách sử dụng kiến thức và cơ sở hạ tầng an toàn thông tin một
cách hữu hiệu và hiệu quả
Tổ chức phải đánh giá toàn bộ mức độ .............. (2 từ) để xác định cách khôi phục hệ thống
về trạng thái hoạt động đầy đủ
Theo mô hình an toàn NIST SP 800-14, các nguyên tắc thực hành về an toàn bao gồm:
b. An toàn yêu cầu một phương pháp toàn diện và tích hợp
c. An toàn không cần hiệu quả về mặt chi phí, quan trọng là giảm thiểu được rủi ro
The correct answer is: An toàn yêu cầu một phương pháp toàn diện và tích hợp
Câu Hỏi 5 Các chính sách về an toàn thông tin trong đơn vị cần:
a. Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
d. Mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin này sẽ được đặt
trong các tiêu chuẩn, thủ tục và thực hành trong tài liệu hướng dẫn sử dụng và hệ thống của
người dùng)
The correct answer is: Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
The correct answer is: Kiểm tra danh sách cảnh báo
LẦN 6
Information Security Blueprint → Bảng kế hoạch chi tiết về an toàn thông tin,
Answer:
Thuật ngữ quản trị an toàn thông tin trong tiếng Anh là:
a. ISSP
b. ISSB
c. EISP
d. SysSP
Câu Hỏi 6
Đúng
Sai
Câu Hỏi 9 Chương trình giáo dục, huấn luyện, nâng cao nhận thức về an toàn được viết tắt
trong tiếng Anh là: SETA
Câu Hỏi 10 Chính sách an toàn thông tin doanh nghiệp là ISSP
Đúng
Sai
CHƯƠNG 4
LẦN 1
Câu Hỏi 1
a. Liên quan đến việc tìm kiếm và nghiên cứu các phương pháp được sử dụng trong
các tổ chức khác
b. Sử dụng các tiêu chuẩn để tự xếp hạng so với các tổ chức không tương đồng trong
ngành có quy mô hoặc thị trường tương tự
c. Đo lường sự tương đồng giữa cách tổ chức tiến hành kinh doanh và cách các tổ
chức khác kinh doanh
d. Tất cả đều saikhác
a. Xác định số lượng tài sản thông tin có thể bị mất trong một cuộc tấn công thành công
b. Việc tính toán khả năng xảy ra một cuộc tấn công cùng với tần suất tấn công để xác
định số tổn thất dự kiến trong một khoảng thời gian xác định
c. Số lượng các cuộc tấn công thành công dự kiến sẽ xảy ra trong một khoảng thời
gian xác định.
d. Xác suất mà một điểm yếu tiềm ẩn cụ thể trong một tổ chức sẽ là mục tiêu của một
cuộc tấn công
Câu Hỏi 3 Chiến lược chuyển giao rủi ro có thể được thực hiện bằng cách:
Câu Hỏi 4 Phát biểu nào KHÔNG đúng về bảng nguy cơ – điểm yếu tiềm ẩn – tài
sản (TVA)
a. Tài liệu xếp hạng so sánh các tài sản tương ứng với các nguy cơ, và dấu hiệu về
bất kỳ điểm yếu tiềm ẩn nào trong các cặp tài sản/ nguy cơ
b. Bắt buộc phải có nhiều điểm yếu tiềm ẩn giữa nguy cơ X và tài sản Z
c. Đóng vai trò là điểm khởi đầu cho bước tiếp theo trong quy trình quản lý rủi ro —
đánh giá rủi ro
d. Một cặp tài sản, nguy cơ, và các điểm yếu tiềm ẩn tồn tại giữa chúng
Câu Hỏi 5 Điền vào chỗ trống:
An toàn thông tin và quản lý rủi ro phải trở thành một phần không thể thiếu của việc
ra quyết định kinh doanh dựa trên cơ sở .......kinh tế.............. (2 từ) tức là cân bằng
lợi ích và chi phí
Câu Hỏi 6 Nội dung nào không thuộc giai đoạn kiểm soát rủi ro
a. Triển khai, theo dõi và đánh giá các kiểm soát rủi ro
b. Lựa chọn chiến lược kiểm soát
c. Lập kế hoạch và tổ chức đánh giá rủi ro
d. Chứng minh các thủ tục kiểm soát
LẦN 2
Câu Hỏi 1 Nội dung nào không thuộc giai đoạn xác định rủi ro
Yêu cầu phân nhóm tài sản thông tin đó là các nhóm tài sản phải toàn diện
và ....phân biệt (2 từ) lẫn nhau.
Câu Hỏi Phải thực thi các chính sách để đảm bảo rằng không có thông tin đã
phân loại nào bị vứt bỏ trong thùng rác hoặc các khu tái chế là:
Câu Hỏi 5 Phát biểu nào không phải là mục tiêu của kiểm kê tài sản thông tin
Câu Hỏi 6 Tổ chức phải duy trì tính bảo mật, quyền riêng tư và đảm bảo tính
toàn vẹn của dữ liệu bằng cách áp dụng các nguyên tắc .................. (4 từ) để theo
kịp sự cạnh tranh.
LẦN 3
Câu Hỏi 1 Chọn phát biểu đúng về nhân sự tham gia chương trình quản lý rủi ro
a. Cộng đồng an toàn thông tin đóng vai trò phụ trong hỗ trợ chương trình quản lý rủi ro
b. Cộng đồng CNTT cân bằng tính hữu ích và bảo mật của HTTT
c. Cộng đồng an toàn thông tin hỗ trợ chương trình quản lý rủi ro
d. Cộng đồng an toàn thông tin xác định, đánh giá và kiểm soát rủi ro đối với tài sản
thông tin
Rủi ro = ................................ x Mức độ tổn thất + Sự không chắc chắn của các ước
tính
a. Tỷ lệ thành công của cuộc tấn công (attack success probability)
b. Tổn thất có thể xảy ra (Probable Loss)
c. Tần suất tổn thất
d. Xác suất xảy ra tấn công (likelihood)
Câu Hỏi 3 Sự không chắc chắn của các ước tính trong tính toán rủi ro xuất hiện
KHÔNG do yếu tố nào?
a. Những hạn chế về mức độ mà tương lai sẽ giống với quá khứ
b. Kiến thức không hoàn hảo hoặc không đầy đủ về nguy cơ
c. Sự phụ thuộc đã được nhận biết, có thể dẫn đến các tác động không lường trước
được -> sự phụ thuộc chưa được nhận biết
d. Các lỗ hổng chưa được phát hiện trong công nghệ hoặc sản phẩm
a. Số lượng các cuộc tấn công thành công dự kiến sẽ xảy ra trong một khoảng thời
gian xác định.
b. Việc tính toán khả năng xảy ra một cuộc tấn công cùng với tần suất tấn công để xác
định số tổn thất dự kiến trong một khoảng thời gian xác định
c. Xác định số lượng tài sản thông tin có thể bị mất trong một cuộc tấn công thành công
d. Xác suất mà một điểm yếu tiềm ẩn cụ thể trong một tổ chức sẽ là mục tiêu của một
cuộc tấn công
Nội dung nào không thuộc giai đoạn xác định rủi ro
Cột Answer 1
Dòn Answer 2
g
Lưới Answer 3
kết
quả
Chọn...Thể hiện điểm yếu bảo mật (exposure) của tài sản và cho phép đánh
giá điểm yếu tiềm ẩn
Phản hồi
Lưới kết quả → Thể hiện điểm yếu bảo mật (exposure) của tài sản và cho phép đánh giá
điểm yếu tiềm ẩn
LẦN 4
Câu Hỏi 1 Yếu tố Không cần xem xét khi định giá tài sản thông tin
a. Trong thời kỳ đầu của CNTT, các doanh nghiệp mong muốn ứng dụng CNTT để
ngăn chặn sự vượt trội của đối thủ cạnh tranh
b. Trong thời đầu của CNTT, các doanh nghiệp mong muốn ứng dụng CNTT để tránh
bất lợi cạnh tranh
c. Trong thời kỳ đầu của CNTT, các doanh nghiệp mong muốn ứng dụng CNTT để
giành lợi thế cạnh tranh
d. Trong thời hiện tại của CNTT, các doanh nghiệp mong muốn ứng dụng CNTT để
giành lợi thế cạnh tranh
Câu Hỏi 3 Chiến lược kiểm soát rủi ro cố gắng giảm thiểu tác động của tổn thất
do một sự cố, thảm họa hoặc cuộc tấn công đã xảy ra thông qua lập kế hoạch dự
phòng và chuẩn bị hiệu quả là
Yêu cầu phân nhóm tài sản thông tin là phải cụ thể để có thể dễ hiểu và xác định
mức độ ưu tiên
Sai
Tích của dự báo tổn thất đơn lẻ và tỷ lệ xuất hiện hàng năm là
Sơ đồ phân loại dữ liệu (Data classification scheme) là một PP luận kiểm soát truy
cập chính thức được sử dụng để xác định ....................... (4 từ) cho một tài sản
thông tin và do đó hạn chế số lượng người có thể truy cập nó.
a. Chìa khóa cho tổ chức là tìm ra sự cân bằng trong việc ra quyết định và phân tích
tính khả thi nhằm đảm bảo rằng mức độ chấp nhận rủi ro của tổ chức dựa trên kinh
nghiệm và thực tế
b. Tất cả đều đúng
c. Mục tiêu của an ninh thông tin là giảm rủi ro còn lại bằng 0
d. Rủi ro còn lại bị ảnh hưởng bởi mức độ chấp nhận rủi ro
Chìa khóa cho tổ chức là tìm ra sự cân bằng trong việc ra quyết định và phân tích tính khả
thi nhằm đảm bảo rằng mức độ chấp nhận rủi ro của tổ chức dựa trên kinh nghiệm và thực
tế
Tất cả thông tin đã được nhà quản trị phê duyệt để công bố Answer 1
Chọn...Mức độ công khai
công khai
Các thông tin nội bộ không đáp ứng các tiêu chí cho loại bí Answer 2
mật
Chọn...Mức độ nội bộ
Phản hồi
Tất cả thông tin đã được nhà quản trị phê duyệt để công bố công khai → Mức độ công khai,
Các thông tin nội bộ không đáp ứng các tiêu chí cho loại bí mật → Mức độ nội bộ,
Thông tin “nhạy cảm” hoặc “độc quyền” → Mức độ bảo mật
Nếu Rủi ro còn lại > mức độ chấp nhận rủi ro thì
a. Chuyển sang giai đoạn kiểm soát rủi ro sau và tiếp tục theo dõi và đánh giá các biện
pháp kiểm soát và tài sản
b. Phải thực hiện chiến lược chấp nhận rủi ro
c. Tất cả đều đúng
d. Phải tìm kiếm các chiến lược bổ sung để giảm thiểu rủi ro hơn nữa
Phải tìm kiếm các chiến lược bổ sung để giảm thiểu rủi ro hơn nữa
Sự kiện tiềm tàng không mong muốn có thể xảy ra gây thiệt Answer 1
hại cho doanh nghiệp
Chọn...Rủi ro
Bất kỳ sự kiện hoặc hoàn cảnh nào có khả năng ảnh hưởng Answer 2
xấu đến hoạt động và tài sản của tổ chức
Chọn...Nguy cơ
Nhược điểm có sẵn trong hệ thống hoặc trong các hệ thống Answer 3
phòng thủ
Sự kiện tiềm tàng không mong muốn có thể xảy ra gây thiệt hại cho doanh nghiệp → Rủi ro,
Bất kỳ sự kiện hoặc hoàn cảnh nào có khả năng ảnh hưởng xấu đến hoạt động và tài sản
của tổ chức → Nguy cơ,
Nhược điểm có sẵn trong hệ thống hoặc trong các hệ thống phòng thủ → Điểm yếu tiềm ẩn
Câu Hỏi 5
Câu Hỏi 6
LẦN 6
Câu Hỏi 1ĐúngĐạt điểm 1,00 trên 1,00Đặt cờ
Vulnerability là nguy cơ
Đúng
Sai
Phản hồi
Phản hồi
Phản hồi
Chi phí thường niên của biện pháp bảo vệ → Annualized cost of a safeguard - ACS,
Answer:
Phản hồi
Phản hồi
QUIZZ CHƯƠNG 5
CHƯƠNG 5
Câu Hỏi 1
Đúng
Đặt cờ
Đoạn văn câu hỏi
a.Chuẩn bị cho tổ chức để thiết lập lại/ di dời các hoạt động kinh doanh quan trọng bị ảnh
hưởng trong thời gian xảy ra thảm họa đến hoạt động tại site chính.
b.Bao gồm việc xác định, phân loại sự cố và ứng phó với nó
c.Sau khi có kế hoạch ứng phó sự cố và khắc phục hậu quả sau thảm họa, tổ chức cần xem
xét việc tìm kiếm các phương tiện tạm thời để hỗ trợ khả năng tiếp tục tồn tại của mình
trong thảm họa
d.Là quá trình chuẩn bị cho một tổ chức xử lý thảm họa và phục hồi sau thảm họa (thảm
họa do tự nhiên / con người)
Phản hồi
The correct answer is: Bao gồm việc xác định, phân loại sự cố và ứng phó với nó
Câu Hỏi 2
Đúng
Đặt cờ
Đoạn văn câu hỏi
Các nhà lập kế hoạch nên xác định điểm tối ưu cho việc khôi phục hệ thống thông
tin để đáp ứng nhu cầu khôi phục do BIA yêu cầu đồng thời ............... (2 từ) giữa chi
phí tổn thất do hệ thống không hoạt động với chi phí tài nguyên cần thiết để khôi
phục hệ thống
Answer:
Câu Hỏi 3
Đúng
Đặt cờ
Đoạn văn câu hỏi
Việc áp dụng các nguyên tắc quản trị công ty vào chức năng bảo mật thông tin là:
Đặt cờ
Đoạn văn câu hỏi
Quản trị an toàn thông tin bao gồm tất cả các trách nhiệm giải trình và các phương
pháp do hội đồng quản trị và ban quản lý điều hành đảm nhận để cung cấp định
hướng ....... (2 từ)
Answer:
Câu Hỏi 5
Đúng
The correct answer is: Kiểm tra danh sách cảnh báo
Câu Hỏi 6
Đúng
Đặt cờ
Đoạn văn câu hỏi
Kết nối các chính sách an toàn, theo Special Publication (SP) 800-14 của Viện Tiêu
chuẩn và Công nghệ Quốc gia (NIST):
Chính sách an toàn thông tin doanh nghiệp → Tổng quan triết lý của tổ chức về an toàn,
Chính sách an toàn dành riêng cho hệ thống → Có thể bao gồm một tuyên bố về ý định của
người quản lý,
Chính sách an toàn đặc thù → Đề cập đến quan điểm của tổ chức về các lĩnh vực công
nghệ, được cập nhật thường xuyên về các nội dung như sử dụng các thiết bị máy tính của
tổ chức tại nhà
LẦN 2
Câu Hỏi 1
Đúng
Đặt cờ
Đoạn văn câu hỏi
Sắp xếp thứ tự hợp lý trong tiến trình lập kế hoạch dự phòng
Tạo chiến lược dự phòng
Tiến hành thực hiện phân tích tác động kinh doanh (business impact analysis-BIA)
→ 4,
→ 7,
→ 5,
Tiến hành thực hiện phân tích tác động kinh doanh (business impact analysis-BIA)
→ 2,
→ 6,
→ 1,
→3
Câu Hỏi 2
Đúng
Xác định sứ mệnh/ quy trình kinh doanh và mức độ quan trọng của việc phục hồi
trong BIA
a.Xác định nguồn lực nào cần thiết để khôi phục các quy trình và tài sản có liên quan sau
khi đã tạo ra danh sách ưu tiên cho các sứ mệnh và quy trình kinh doanh của mình
b.Mỗi bộ phận, đơn vị hoặc bộ phận kinh doanh phải được đánh giá độc lập để xác định
mức độ quan trọng của các chức năng của nó đối với toàn bộ tổ chức
c.Nên xác định, phân loại và ưu tiên các tài sản thông tin của mình, đặt nhãn phân loại trên
mỗi kho lưu trữ thông tin để hiểu rõ hơn giá trị của nó và ưu tiên bảo vệ nó
d.Xác định và mô tả các nguồn lực liên quan cần thiết để cung cấp hoặc hỗ trợ cho mỗi quá
trình và tài sản thông tin được xác định trong giai đoạn BIA
Phản hồi
The correct answer is: Mỗi bộ phận, đơn vị hoặc bộ phận kinh doanh phải được đánh giá
độc lập để xác định mức độ quan trọng của các chức năng của nó đối với toàn bộ tổ chức
Câu Hỏi 3
Kết nối các hoạt động trong tiến trình lập kế hoạch dự phòng
Tiến hành thực hiện phân tích tác động kinh doanh (business impact analysis-BIA)
→ Giúp xác định và ưu tiên các hệ thống thông tin và các thành phần quan trọng để hỗ trợ
sứ mệnh / quy trình kinh doanh của tổ chức,
→ Các biện pháp được thực hiện để giảm ảnh hưởng của sự gián đoạn hệ thống,
→ Các chiến lược khôi phục kỹ lưỡng đảm bảo rằng hệ thống có thể được phục hồi nhanh
chóng và hiệu quả sau sự cố,
→ Một chính sách chính thức cung cấp thẩm quyền và hướng dẫn cần thiết để phát triển
một kế hoạch dự phòng hiệu quả
Câu Hỏi 4
Không trả lời
Đặt cờ
Đoạn văn câu hỏi
Kết nối các chức năng của quản trị an toàn thông tin với các đối tượng chịu trách
nhiệm trong đơn vị:
Giám sát tình hình an ninh tổng thể của công ty (chịu Answer 1 Chọn... Nhà quản
trách nhiệm trước hội đồng quản trị) ;ý cấp trung CEO CIO
Nhân viên
Phản ứng với các vi phạm an toàn thông tin (điều tra, Answer 2 Chọn... Nhà quản
giảm nhẹ, kiện tụng) ;ý cấp trung CEO CIO
Nhân viên
Thực hiện chính sách; báo cáo các điểm yếu tiềm ẩn và Answer 3 Chọn... Nhà quản
các vi phạm an toàn thông tin ;ý cấp trung CEO CIO
Nhân viên
Truyền đạt các chính sách, chương trình (đào tạo) Answer 4 Chọn... Nhà quản
;ý cấp trung CEO CIO
Nhân viên
Phản hồi
Giám sát tình hình an ninh tổng thể của công ty (chịu trách nhiệm trước hội đồng quản trị) →
CEO,
Phản ứng với các vi phạm an toàn thông tin (điều tra, giảm nhẹ, kiện tụng) → CIO,
Thực hiện chính sách; báo cáo các điểm yếu tiềm ẩn và các vi phạm an toàn thông tin →
Nhân viên,
Truyền đạt các chính sách, chương trình (đào tạo) → Nhà quản ;ý cấp trung
Câu Hỏi 5
Sai
Đặt cờ
Đoạn văn câu hỏi
Theo mô hình an toàn NIST SP 800-14, các nguyên tắc thực hành về an toàn bao
gồm:
a.An toàn là một yếu tố có thể bỏ qua của quản lý hữu hiệu
c.An toàn yêu cầu một phương pháp toàn diện và tích hợp
d.An toàn không cần hiệu quả về mặt chi phí, quan trọng là giảm thiểu được rủi ro
Phản hồi
The correct answer is: An toàn yêu cầu một phương pháp toàn diện và tích hợp
Câu Hỏi 6
Sai
Đặt cờ
Đoạn văn câu hỏi
b.Giúp khôi phục tổ chức về chế độ hoạt động kinh doanh bình thường sau một sự cố
Giúp khôi phục tổ chức về chế độ hoạt động kinh doanh bình thường sau một sự cố
LẦN 3
Câu Hỏi 1
Đặt cờ
Đoạn văn câu hỏi
Answer:
Câu Hỏi 2
Đúng
Đặt cờ
Đoạn văn câu hỏi
Phát biểu này KHÔNG phải là mục tiêu của quản trị an toàn thông tin.
a.Cung cấp giá trị bằng cách tối thiểu hóa các lợi ích an toàn thông tin để hỗ trợ các mục
tiêu của tổ chức
b.Liên kết chiến lược của an toàn thông tin với chiến lược kinh doanh để hỗ trợ các mục tiêu
của tổ chức
c.Quản lý tài nguyên bằng cách sử dụng kiến thức và cơ sở hạ tầng an toàn thông tin một
cách hữu hiệu và hiệu quả
d.Đo lường thành quả bằng cách đo lường, giám sát và báo cáo các chỉ số quản trị an toàn
thông tin để đảm bảo đạt được các mục tiêu của tổ chức.
Cung cấp giá trị bằng cách tối thiểu hóa các lợi ích an toàn thông tin để hỗ trợ các mục tiêu
của tổ chức
Câu Hỏi 3
Sai
Đặt cờ
Đoạn văn câu hỏi
a.Mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin này sẽ được đặt
trong các tiêu chuẩn, thủ tục và thực hành trong tài liệu hướng dẫn sử dụng và hệ thống của
người dùng)
The correct answer is: Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
Câu Hỏi 4
Cold sites → Chỉ cung cấp các dịch vụ và cơ sở vật chất thô sơ, không có phần cứng máy
tính hoặc thiết bị ngoại vi nào được cung cấp,
Hot sites → Là một cơ sở máy tính được cấu hình đầy đủ với tất cả các dịch vụ, liên kết
thông tin liên lạc và hoạt động ở góc độ vật lý, bao gồm cả hệ thống sưởi và điều hòa không
khí,
Warm sites → thường bao gồm thiết bị máy tính và thiết bị ngoại vi với máy chủ, nhưng không phải
máy trạm khách (client workstations).
Câu Hỏi 5
Lập kế hoạch đảm bảo hoạt động liên tục trong kinh doanh (business continuity planning -
BCP)
→ Thiết lập các chức năng kinh doanh quan trọng tại một địa điểm (site) thay thế,
Lập kế hoạch phục hồi sau thảm họa (disaster recovery planning - DRP)
→ Tập trung vào việc khôi phục các hệ thống trở về tình trạng ban đầu sau khi thiên tai xảy
ra
Câu Hỏi 6
Sai
Đặt cờ
Đoạn văn câu hỏi
b.Cho phép đơn vị tìm hiểu những gì đã xảy ra, cách sự cố xảy ra và những hành động
chưa thực hiện
d.Việc ghi lại sự kiện có thể chứng minh tổ chức đã làm mọi thứ có thể để ngăn chặn sự lây
lan của thảm họa nếu phản hồi được đặt ra sau đó
Phản hồi
Tài liệu về sự cố có thể được sử dụng để chạy mô phỏng trong các buổi huấn luyện trong
tương lai
LẦN 4
Câu Hỏi 1
Kết nối các hoạt động trong tiến trình lập kế hoạch dự phòng
→ Kế hoạch phải là một tài liệu cần được cập nhật thường xuyên theo các cải tiến hệ thống
và thay đổi của đơn vị,
→ Các chiến lược khôi phục kỹ lưỡng đảm bảo rằng hệ thống có thể được phục hồi nhanh
chóng và hiệu quả sau sự cố,
Xây dựng CP
→ CP cần có hướng dẫn chi tiết và các thủ tục để phục hồi các cơ sở đơn vị bị sự cố,
→ Kiểm tra xác nhận khả năng phục hồi, huấn luyện nhân sự chuẩn bị cho kế hoạch phục
hồi để kích hoạt kế hoạch và thực hiện kế hoạch, xác định các lỗ hổng trong kế hoạch
Câu Hỏi 2
Kết nối định nghĩa của các khái niệm sau trong chiến lược dự phòng dữ liệu và site
Phục hồi sau thảm họa dưới dạng dịch vụ (Disaster Recovery as a Service - DRaaS) → liên
quan đến việc sử dụng các dịch vụ điện toán đám mây như một phần của thỏa thuận dịch
vụ với bên thứ ba,
Chia sẻ thời gian (Time-shares) → cho phép tổ chức duy trì tùy chọn phục hồi sau thảm họa
và tính liên tục trong kinh doanh bằng cách chia sẻ chi phí của hot site/warm site/cold site
với một hoặc nhiều đối tác,
Văn phòng dịch vụ (Service Bureaus) → Các hợp đồng có thể được tạo ra một cách cẩn
thận với các văn phòng dịch vụ để chỉ định chính xác những gì tổ chức cần mà không cần
phải đặt trước các phương tiện chuyên dụng,
Thỏa thuận tương trợ (Mutual Agreements) → quy định rằng các tổ chức tham gia mà
không bị ảnh hưởng bởi thảm họa có nghĩa vụ cung cấp các phương tiện, nguồn lực và dịch
vụ cần thiết cho đến khi tổ chức tiếp nhận có thể phục hồi sau thảm họa
Câu Hỏi 3
Kết nối các thành viên trong nhóm quản lý kế hoạch dự phòng (CPMT) với nhiệm vụ
tương ứngThe correct answer is:
→ ỗ trợ, thúc đẩy và xác nhận các phát hiện của dự án (CIO/CEO),
→ Là người quản lý hoặc đại diện từ các bộ phận khác nhau: kinh doanh, công nghệ thông
tin và an toàn thông tin,
Người quản lý dự án
→ Người quản lý cấp trung hoặc thậm chí là CISO phải lãnh đạo dự án và đảm bảo sử dụng
một quy trình lập kế hoạch hợp lý, phát triển một kế hoạch dự án hoàn chỉnh, hữu ích và các
nguồn lực được quản lý cẩn thận để đạt được các mục tiêu của dự án
Câu Hỏi 4
Đúng
Đặt cờ
Đoạn văn câu hỏi
Câu Hỏi 5
Đặt cờ
Đoạn văn câu hỏi
Quản trị an toàn thông tin bao gồm tất cả các trách nhiệm giải trình và các phương
pháp do hội đồng quản trị và ban quản lý điều hành đảm nhận để cung cấp xác nhận
rằng tài sản của tổ chức được sử dụng ...... (2 từ)
Answer:
Câu Hỏi 6
Kết nối các chương trình giáo dục, huấn luyện và nhận thức về an toàn (SETA) Phản
hồi
Huấn luyện an toàn → Cung cấp cho nhân viên thông tin chi tiết và hướng dẫn thực hành để
chuẩn bị cho họ thực hiện nhiệm vụ một cách an toàn,
Giáo dục an toàn → nhân viên được khuyến khích tham dự các khóa học về giáo dục
thường xuyên từ các cơ sở giáo dục đại học,
Nhận thức về an toàn → Được thiết kế để giữ an toàn thông tin được đặt lên hàng đầu trong
tâm trí người dùng
CHƯƠNG 6
LẦN 1 Câu Hỏi 1 Kết nối các điều kiện để mạng riêng ảo - VPN đảm bảo an toàn
và tin cậy trong môi trường mạng công cộng
Xác thực và phân quyền người dùng để thực hiện các hành động cụ thể được xác định dựa
trên nhận dạng chính xác và đáng tin cậy của hệ thống và người dùng từ xa → Xác thực
(Authentication) máy tính (remote computer) và người dùng từ xa,
Để giữ riêng tư nội dung dữ liệu khi truyền qua mạng công cộng, nhưng máy khách và máy
chủ có thể sử dụng được → Mã hóa (Encryption) dữ liệu đến và đi,
Giao thức gốc (native protocol) của máy khách được nhúng trong các khung của một giao
thức có thể được định tuyến qua mạng công cộng và có thể sử dụng được bởi môi trường
mạng máy chủ → Đóng gói (Encapsulation) dữ liệu đến và đi
Câu Hỏi 2
Đoạn văn câu hỏi
a.Xác minh từng thực thể và cấp quyền truy cập vào tài nguyên
b.Hệ thống xác thực và phân quyền trung tâm xác minh danh tính của một thực thể và cấp
quyền
c.Cấp quyền truy cập vào các tài nguyên dựa trên quyền truy cập của nhóm
d.So sánh (match) các thực thể được xác thực với danh sách thành viên nhóm
Câu Hỏi 3
Đoạn văn câu hỏi
c.Mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin này sẽ được đặt
trong các tiêu chuẩn, thủ tục và thực hành trong tài liệu hướng dẫn sử dụng và hệ thống của
người dùng)
d.Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
Câu Hỏi 4
Đoạn văn câu hỏi
Đánh giá lại sau thực hiện khắc phục sự cố (after-action review – AAR)
a.Khôi phục niềm tin cho các cộng đồng quan tâm của tổ chức, nên công bố một bản ghi
nhớ ngắn nêu rõ sự cố và đảm bảo với mọi người rằng nó đã được kiểm soát với mức thiệt
hại ít nhất có thể
b.Giải quyết các biện pháp bảo vệ không thể ngăn chặn hoặc hạn chế sự cố, hoặc các biện
pháp bảo vệ không có trong hệ thống ngay từ đầu
d.Cách tiếp cận này cho phép các thành viên trong nhóm cập nhật kế hoạch IR trong khi
những thay đổi cần thiết vẫn còn mới và lưu rõ trong tâm trí họ
Câu Hỏi 5
Trong số các sinh trắc học, đâu KHÔNG phải đặc điểm thường được xem là
duy nhất của con người
a.Dấu lòng bàn tay
c.Mống mắt
Sắp xếp thứ tự hợp lý trong tiến trình lập kế hoạch dự phòng
Tiến hành thực hiện phân tích tác động kinh doanh (business Answer 4 Chọn...
impact analysis-BIA) 7312654
Đảm bảo kế hoạch kiểm tra, huấn luyện và luyện tập Answer 5 Chọn...
7312654
Xác định các biện pháp kiểm soát phòng ngừa Answer 6 Chọn...
7312654
→ 4,
→ 7,
→ 5,
Tiến hành thực hiện phân tích tác động kinh doanh (business impact analysis-BIA)
→ 2,
→ 6,
→ 3,
→1
LẦN 2
Câu Hỏi 1
Đoạn văn câu hỏi
Kết nối các hoạt động trong tiến trình lập kế hoạch dự phòng
→ Kiểm tra xác nhận khả năng phục hồi, huấn luyện nhân sự chuẩn bị cho kế hoạch phục
hồi để kích hoạt kế hoạch và thực hiện kế hoạch, xác định các lỗ hổng trong kế hoạch,
→ Các chiến lược khôi phục kỹ lưỡng đảm bảo rằng hệ thống có thể được phục hồi nhanh
chóng và hiệu quả sau sự cố,
Xây dựng CP
→ CP cần có hướng dẫn chi tiết và các thủ tục để phục hồi các cơ sở đơn vị bị sự cố,
→ Kế hoạch phải là một tài liệu cần được cập nhật thường xuyên theo các cải tiến hệ thống
và thay đổi của đơn vị
Câu Hỏi 2
Chính sách an toàn vật lý hướng dẫn người dùng cách sử dụng phù
hợp ..................... (2 từ) máy tính và tài sản thông tin, bảo vệ sự an toàn trong các
hoạt động hàng ngày
Câu Hỏi 3
Kết nối các chính sách an toàn, theo Special Publication (SP) 800-14 của Viện Tiêu
chuẩn và Công nghệ Quốc gia (NIST):
Chính sách an toàn thông tin doanh nghiệp → xác định mục đích, phạm vi, các ràng buộc và
khả năng áp dụng của chương trình an ninh,
Chính sách an toàn đặc thù → đề cập đến quan điểm của tổ chức về các lĩnh vực công
nghệ, được cập nhật thường xuyên về các nội dung như E-mail, sử dụng Internet và World
Wide Web,
Chính sách an toàn dành riêng cho hệ thống → thường hoạt động như các tiêu chuẩn hoặc
thủ tục được sử dụng khi cấu hình hoặc bảo trì hệ thống
Câu Hỏi 4
Đoạn văn câu hỏi
Chọn phát biểu đúng về thủ tục kiểm soát nên được áp dụng để ngăn chặn sự đánh
chặn dữ liệu bằng cách truy cập vào mạng LAN
a.Nên sử dụng cáp quang; khó kết nối và có khả năng chống va đập tốt hơn
b.Lắp đặt tấm chắn đặc biệt bên trong vỏ CPU và duy trì khoảng cách với hệ thống ống
nước và các thành phần cơ sở hạ tầng khác mang sóng vô tuyến.
c.Xóa thông tin nhạy cảm khỏi văn phòng hoặc được yêu cầu thực hiện an ninh chặt chẽ tại
nhà.
a.Giúp khôi phục tổ chức về chế độ hoạt động kinh doanh bình thường sau một sự cố
Kết nối các chức năng của quản trị an toàn thông tin với các đối tượng chịu trách
nhiệm trong đơn vị:
Phản ứng với các vi phạm an toàn thông tin (điều tra, Answer 1 Chọn... Nhà
giảm nhẹ, kiện tụng) quản ;ý cấp trung CIO CEO
Nhân viên
Truyền đạt các chính sách, chương trình (đào tạo) Answer 2 Chọn... Nhà
quản ;ý cấp trung CIO CEO
Nhân viên
Thực hiện chính sách; báo cáo các điểm yếu tiềm ẩn và Answer 3 Chọn... Nhà
các vi phạm an toàn thông tin quản ;ý cấp trung CIO CEO
Nhân viên
Giám sát tình hình an ninh tổng thể của công ty (chịu Answer 4 Chọn... Nhà
trách nhiệm trước hội đồng quản trị) quản ;ý cấp trung CIO CEO
Nhân viên
Phản hồi
Phản ứng với các vi phạm an toàn thông tin (điều tra, giảm nhẹ, kiện tụng) → CIO,
Truyền đạt các chính sách, chương trình (đào tạo) → Nhà quản ;ý cấp trung,
Thực hiện chính sách; báo cáo các điểm yếu tiềm ẩn và các vi phạm an toàn thông tin →
Nhân viên,
Giám sát tình hình an ninh tổng thể của công ty (chịu trách nhiệm trước hội đồng quản trị) →
CEO
LẦN 3
Câu Hỏi 1
a.Ẩn nội dung của các thông điệp trên mạng khỏi những người quan sát có quyền truy cập
vào mạng công cộng
b.Tường lửa là sự kết hợp giữa phần cứng và phần mềm có chức năng lọc hoặc ngăn
thông tin cụ thể di chuyển giữa mạng bên ngoài và mạng bên trong
d.Là sự triển khai của công nghệ mã hóa, mạng dữ liệu riêng sử dụng cơ sở hạ tầng viễn
thông công cộng để tạo phương tiện liên lạc riêng thông qua giao thức đường hầm
(tunneling protocol) kết hợp với quy trình bảo mật.
Câu Hỏi 2
Đặc điểm của phương pháp đánh chặn dữ liệu bằng cách truy cập vào mạng LAN
b.Có thể nghe trộm những tín hiệu điện từ - electromagnetic signals (EM)
c.Đối thủ cạnh tranh có thể dễ dàng đánh chặn (intercept) thông tin quan trọng tại nhà của
một nhân viên
d.Yêu cầu một số khoảng cách gần với máy tính hoặc mạng của tổ chức.
Câu Hỏi 3
Thủ tục kiểm soát nên triển khai trong trường hợp tổ chức có thực hiện
telecommuting (làm việc từ xa)
b.Nhân viên làm việc từ xa phải sử dụng một thiết bị bảo mật với hệ điều hành được cấu
hình để yêu cầu xác thực mật khẩu
c.Sử dụng mạng riêng ảo (VPN) để bảo vệ dữ liệu trong quá trình truyền tải vì nhân viên
làm việc từ xa thường lưu trữ dữ liệu văn phòng trên hệ thống tại nhà của họ, trong tủ đựng
hồ sơ tại nhà và trên các phương tiện khác
d.Nhân viên làm việc từ xa phải phải lưu trữ tất cả dữ liệu trong tủ hồ sơ có khóa và phương
tiện trong khóa két sắt
Câu Hỏi 4
Mạng riêng ảo (Virtual private Networks - VPN) được sử dụng để gia tăng an toàn
trong kết nối giữa hệ thống .................... (3 từ) của tổ chức với các địa điểm khác
Câu Hỏi 5
Kết nối các hoạt động trong tiến trình lập kế hoạch dự phòng
Phát Answer 1 Chọn... Một chính sách chính thức cung cấp thẩm quyền và hướng
triển dẫn cần thiết để phát triển một kế hoạch dự phòng hiệu quả Các biện pháp được
tuyên thực hiện để giảm ảnh hưởng của sự gián đoạn hệ thống Giúp xác định và ưu
bố tiên các hệ thống thông tin và các thành phần quan trọng để hỗ trợ sứ mệnh /
chính quy trình kinh doanh của tổ chức Các chiến lược khôi phục kỹ lưỡng đảm bảo
sách rằng hệ thống có thể được phục hồi nhanh chóng và hiệu quả sau sự cố
CP
Tiến Answer 2 Chọn... Một chính sách chính thức cung cấp thẩm quyền và hướng
hành dẫn cần thiết để phát triển một kế hoạch dự phòng hiệu quả Các biện pháp được
thực thực hiện để giảm ảnh hưởng của sự gián đoạn hệ thống Giúp xác định và ưu
hiện tiên các hệ thống thông tin và các thành phần quan trọng để hỗ trợ sứ mệnh /
phân quy trình kinh doanh của tổ chức Các chiến lược khôi phục kỹ lưỡng đảm bảo
tích rằng hệ thống có thể được phục hồi nhanh chóng và hiệu quả sau sự cố
tác
động
kinh
doan
h
(busi
ness
impa
ct
analy
sis-
BIA)
Xác Answer 3 Chọn... Một chính sách chính thức cung cấp thẩm quyền và hướng
định dẫn cần thiết để phát triển một kế hoạch dự phòng hiệu quả Các biện pháp được
các thực hiện để giảm ảnh hưởng của sự gián đoạn hệ thống Giúp xác định và ưu
biện tiên các hệ thống thông tin và các thành phần quan trọng để hỗ trợ sứ mệnh /
pháp quy trình kinh doanh của tổ chức Các chiến lược khôi phục kỹ lưỡng đảm bảo
kiểm rằng hệ thống có thể được phục hồi nhanh chóng và hiệu quả sau sự cố
soát
phòn
g
ngừa
Tạo Answer 4 Chọn... Một chính sách chính thức cung cấp thẩm quyền và hướng
chiến dẫn cần thiết để phát triển một kế hoạch dự phòng hiệu quả Các biện pháp được
lược thực hiện để giảm ảnh hưởng của sự gián đoạn hệ thống Giúp xác định và ưu
dự tiên các hệ thống thông tin và các thành phần quan trọng để hỗ trợ sứ mệnh /
phòn quy trình kinh doanh của tổ chức Các chiến lược khôi phục kỹ lưỡng đảm bảo
g rằng hệ thống có thể được phục hồi nhanh chóng và hiệu quả sau sự cố
Phản hồi
→ Một chính sách chính thức cung cấp thẩm quyền và hướng dẫn cần thiết để phát triển
một kế hoạch dự phòng hiệu quả,
Tiến hành thực hiện phân tích tác động kinh doanh (business impact analysis-BIA)
→ Giúp xác định và ưu tiên các hệ thống thông tin và các thành phần quan trọng để hỗ trợ
sứ mệnh / quy trình kinh doanh của tổ chức,
→ Các biện pháp được thực hiện để giảm ảnh hưởng của sự gián đoạn hệ thống,
→ Các chiến lược khôi phục kỹ lưỡng đảm bảo rằng hệ thống có thể được phục hồi nhanh
chóng và hiệu quả sau sự cố
Câu Hỏi 6
Kiểm soát truy cập bắt buộc (Mandatory access controls - MACs)
b.Sử dụng các sơ đồ phân loại dữ liệu (data classification schemes), cung cấp cho người
dùng và chủ sở hữu dữ liệu quyền kiểm soát hạn chế vào tài nguyên thông tin.
c.Là cách tiếp cận kiểm soát truy cập do tổ chức chỉ định việc sử dụng các đối tượng dựa
trên một số thuộc tính của người dùng hoặc hệ thống
LẦN 4
Câu Hỏi 1
Access control list (ACL) chi tiết về phân quyền cho người dùng, bao gồm danh sách
người dùng truy cập, ma trận và bảng khả năng.
Đúng
Sai
Câu Hỏi 2
Yêu cầu tất cả những người vào cơ sở phải cung cấp thông tin cụ thể/ thư mời và
được hộ tống khi vào các khu vực hạn chế là thủ tục kiểm soát tránh social
engineering
Đúng
Sai
Câu Hỏi 3
Theo mô hình an toàn NIST SP 800-14, các nguyên tắc thực hành về an toàn bao
gồm:
b.An toàn yêu cầu một phương pháp toàn diện và tích hợp
c.An toàn không cần hiệu quả về mặt chi phí, quan trọng là giảm thiểu được rủi ro
d.An toàn là một yếu tố có thể bỏ qua của quản lý hữu hiệu
Câu Hỏi 4
Kết nối các đặc điểm của các Mạng riêng ảo (Virtual private Networks)
Sử dụng các giao thức bảo mật như Answer 1 Chọn... VPN đáng tin cậy (Trust
IPSec để mã hóa lưu lượng truyền qua VPN/ a legacy VPN) VPN lai (hybrid
các mạng công cộng không an toàn như VPN) VPN an toàn (Secure VPN)
Internet
Kết hợp cả hai cách trên, cung cấp các Answer 2 Chọn... VPN đáng tin cậy (Trust
đường truyền được mã hóa (như trong VPN/ a legacy VPN) VPN lai (hybrid
VPN an toàn) qua một số hoặc tất cả VPN) VPN an toàn (Secure VPN)
mạng VPN đáng tin cậy
Sử dụng các mạch thuê từ một nhà cung Answer 3 Chọn... VPN đáng tin cậy (Trust
cấp dịch vụ và thực hiện chuyển mạch VPN/ a legacy VPN) VPN lai (hybrid
gói qua các mạch thuê này VPN) VPN an toàn (Secure VPN)
Phản hồi
Sử dụng các giao thức bảo mật như IPSec để mã hóa lưu lượng truyền qua các mạng công
cộng không an toàn như Internet → VPN an toàn (Secure VPN),
Kết hợp cả hai cách trên, cung cấp các đường truyền được mã hóa (như trong VPN an
toàn) qua một số hoặc tất cả mạng VPN đáng tin cậy → VPN lai (hybrid VPN),
Sử dụng các mạch thuê từ một nhà cung cấp dịch vụ và thực hiện chuyển mạch gói qua các
mạch thuê này → VPN đáng tin cậy (Trust VPN/ a legacy VPN)
Câu Hỏi 5
Kiểm soát truy cập bắt buộc (Mandatory access controls - MACs)
a.Xếp hạng theo mức độ nhạy cảm và mức độ bảo mật thông tin.
c.Thông tin được xếp hạng và tất cả người dùng được xếp hạng để chỉ định mức thông tin
họ có thể truy cập.
d.Sử dụng các sơ đồ phân loại dữ liệu (data classification schemes), cung cấp cho người
dùng và chủ sở hữu dữ liệu quyền kiểm soát hạn chế vào tài nguyên thông tin.
Câu Hỏi 6
Capabilities tables thể hiện từng dòng thuộc tính kết hợp với tất cả các chủ thể
Đúng Sai
CHƯƠNG 7
Câu Hỏi 1: Chọn phát biểu Không đúng về Huấn luyện an ninh gắn với
công việc
a.
Duy trì thường xuyên và gắn nhận thức an toàn thông tin vào công việc hàng ngày
b.
Cần tích hợp giáo dục nhận thức an toàn thông tin trong định hướng nghề nghiệp
c.
d.
Gỡ bỏ quyền truy cập tới hệ thống của công ty nếu nhân viên bị sa thải
Câu Hỏi 2: Bộ phận an toàn thông tin luôn luôn là một thành phần
trong bộ phận Công nghệ thông tin trong doanh nghiệp
Đúng
Sai
Câu Hỏi 3: Đánh giá thành quả nhân viên phải bao gồm phản ánh việc
nhận thức an toàn thông tin và ....................... ( 2 từ hoặc 1 từ) hành vi
gây rủi ro tại nơi làm việc vào
Answer:
Phản hồi
a.
Là nền tảng quan trọng cho bảo vệ tài sản thông tin và ngăn ngừa thất thoát tài chính
b.
Là hai người làm việc tuần tự theo trình tự và hai người cùng xem xét, chấp thuận công việc
của nhau.
c.
Một hình thức có người thay thế tạm công việc nhằm phát hiện những bất thường
d.
Các nhân viên đều có thể có những trải nghiệm và đảm nhiệm được nhiều công việc khác
nhau
Câu Hỏi 5: Yêu cầu về năng lực đối với vị trí Security Manager (Quản
lý an ninh)
a.
Có thể cần thêm kinh nghiệm trong lập kế hoạch kinh doanh liên tục (Business continuity
planning)
b.
c.
Có khả năng quản lý các nhân viên kỹ thuật, bao gồm phân chia nhiệm vụ và giám sát thực
hiện nhiệm vụ của họ
d.
Có năng lực phác thảo các chính sách, chuẩn và hướng dẫn ở cấp thấp và cấp trung
a.
Có thể là CISO và kết hợp thêm trách nhiệm an ninh thông tin về mặt vật lý
b.
Có thể là kỹ thuật viên an ninh (security technicians) / kiến trúc sư an ninh/ kỹ sư an ninh có
kiến thức tốt
d.
Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
Câu Hỏi 7: Chọn phát biểu KHÔNG đúng về Security Manager (Quản lý an
ninh)
a.
Có khả năng quản lý các nhân viên kỹ thuật, bao gồm phân chia nhiệm vụ và giám sát thực
hiện nhiệm vụ của họ
b.
Hoàn thành các nhiệm vụ do CISO xác định và giải quyết các vấn đề do các kỹ thuật viên
xác định
c.
Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
d.
Là người chịu trách nhiệm tập trung cho an ninh về mặt vật lý (physical information security).
Câu Hỏi 8: Chief Information Security Officer (CISO) - Giám đốc an
toàn thông tin
a.
Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
b.
Có khả năng quản lý các nhân viên kỹ thuật, bao gồm phân chia nhiệm vụ và giám sát thực
hiện nhiệm vụ của họ
c.
Có trách nhiệm cho hoạt động hàng ngày của chương trình an ninh thông tin
d.
Là lãnh đạo của bộ phận an ninh thông tin (the information security department).
a.
Có thể là CISO và kết hợp thêm trách nhiệm an ninh thông tin về mặt vật lý
b.
Xác định vấn đề luân chuyển/tắc nghẽn thông tin thông qua Kiểm tra DL khi chuyển giao và
lưu trữ
c.
d.
a.
Có thể là kỹ thuật viên an ninh (security technicians) / kiến trúc sư an ninh/ kỹ sư an ninh có
kiến thức tốt
b.
Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
d.
Có thể là CISO và kết hợp thêm trách nhiệm an ninh thông tin về mặt vật lý
Câu Hỏi 11: Chọn phát biếu đúng về nhân sự trong thực hiện an toàn
thông tin
a.
Không điều chỉnh các mô tả công việc và yêu cầu thực hành có sẵn
b.
Tích hợp các khái niệm an toàn thông tin vào các lý thuyết quản lý nhân viên trong doanh
nghiệp
c.
d.
Lập kế hoạch tuyển dụng cho các vị trí định vị hoặc điều chỉnh kế hoạch tuyển dụng
Câu Hỏi 12: Chọn phát biểu KHÔNG đúng về lựa chọn nhân sự cho vị
trí an toàn thông tin
a.
b.
Các đơn vị thường tìm kiếm các nhân sự có kiến thức chung có bằng cấp về kỹ thuật an
ninh thông tin (a technically qualified information security generalist) cho vị trí an ninh thông
tin nhưng có hiểu biết vững chắc về hoạt động của đơn vị
c.
Vị trí an toàn thông tin cần những người cân bằng giữa kỹ năng kỹ thuật và các hiểu biết về
an ninh thông tin (p 586)
d.
Trong an ninh thông tin, người quá chuyên sâu về 1 lĩnh vực (overspecialistion) sẽ là tốt
nhất
Câu Hỏi 13: Kết nối các công việc của cụ thể trong qui trình thực hiện
để tuyển dụng và quản lý nhân sự an toàn thông tin
Phỏn Answer 1 Chọn... Cần tập trung tìm hiểu những hành vi phạm tội trong quá khứ
g vấn hoặc những hành vi là tiềm năng cho việc vi phạm sau này của ứng viên Gồm
các chính sách của tổ chức về việc tuân thủ và sử dụng thông tin, các thỏa thuận
về giám sát và không tiết lộ thông tin; những giới hạn nghiêm ngặt về tạo và sở
hữu tài sản thông tin Quản lý An ninh thông tin cần lưu ý phòng nhân sự những
thông tin không nên công bố (vd những đặc quyền truy cập thông tin v.v..)
Ký Answer 2 Chọn... Cần tập trung tìm hiểu những hành vi phạm tội trong quá khứ
hợp hoặc những hành vi là tiềm năng cho việc vi phạm sau này của ứng viên Gồm
đồng các chính sách của tổ chức về việc tuân thủ và sử dụng thông tin, các thỏa thuận
(an về giám sát và không tiết lộ thông tin; những giới hạn nghiêm ngặt về tạo và sở
toàn hữu tài sản thông tin Quản lý An ninh thông tin cần lưu ý phòng nhân sự những
thôn thông tin không nên công bố (vd những đặc quyền truy cập thông tin v.v..)
g tin)
tuyể
n
dụng
Kiể Answer 3 Chọn... Cần tập trung tìm hiểu những hành vi phạm tội trong quá khứ
m tra hoặc những hành vi là tiềm năng cho việc vi phạm sau này của ứng viên Gồm
lý các chính sách của tổ chức về việc tuân thủ và sử dụng thông tin, các thỏa thuận
lịch về giám sát và không tiết lộ thông tin; những giới hạn nghiêm ngặt về tạo và sở
(bac hữu tài sản thông tin Quản lý An ninh thông tin cần lưu ý phòng nhân sự những
kgro thông tin không nên công bố (vd những đặc quyền truy cập thông tin v.v..)
und
chec
k)
Phản hồi
Phỏng vấn → Quản lý An ninh thông tin cần lưu ý phòng nhân sự những thông tin không
nên công bố (vd những đặc quyền truy cập thông tin v.v..),
→ Gồm các chính sách của tổ chức về việc tuân thủ và sử dụng thông tin, các thỏa thuận về giám sát
và không tiết lộ thông tin; những giới hạn nghiêm ngặt về tạo và sở hữu tài sản thông tin,
Kiểm tra lý lịch (background check) → Cần tập trung tìm hiểu những hành vi phạm tội trong
quá khứ hoặc những hành vi là tiềm năng cho việc vi phạm sau này của ứng viên
Câu Hỏi 14: Chọn phát biểu KHÔNG đúng về lời khuyên cho chuyên
viên an ninh thông tin chuyên nghiệp
a.
b.
Khi đánh giá vấn đề, xem nguồn gốc vấn đề trước, xác định các nhân tố ảnh hưởng tới vấn
đề và chính sách của tổ chức có thể dẫn tới thiết kế giải pháp độc lập với công nghệ
c.
d.
Hãy sử dụng các thuật ngữ chuyên môn khi trao đổi vấn đề
Phản hồi
Hãy sử dụng các thuật ngữ chuyên môn khi trao đổi vấn đề
Câu Hỏi 15: Kết nối các chiến lược kiểm soát nội bộ đối với nhân sự
an ninh thông tin
Kiểm Answer 1 Chọn... Có thể phát hiện việc sử dụng sai hoặc lạm dụng thông tin
soát của người ở vị trí bị thay thế Hai người làm việc tuần tự theo trình tự và hai
kép người cùng xem xét, chấp thuận công việc của nhau Trong liên quan thực hiện
(two- hoạt động kinh tế và tiếp cận và sử dụng dữ liệu
person
control
hay
Double
check)
Phân Answer 2 Chọn... Có thể phát hiện việc sử dụng sai hoặc lạm dụng thông tin
chia của người ở vị trí bị thay thế Hai người làm việc tuần tự theo trình tự và hai
trách người cùng xem xét, chấp thuận công việc của nhau Trong liên quan thực hiện
nhiệm hoạt động kinh tế và tiếp cận và sử dụng dữ liệu
Luân Answer 3 Chọn... Có thể phát hiện việc sử dụng sai hoặc lạm dụng thông tin
chuyển của người ở vị trí bị thay thế Hai người làm việc tuần tự theo trình tự và hai
công người cùng xem xét, chấp thuận công việc của nhau Trong liên quan thực hiện
việc hoạt động kinh tế và tiếp cận và sử dụng dữ liệu
(job/ta
sk
rotatio
n).
Phản hồi
→ Hai người làm việc tuần tự theo trình tự và hai người cùng xem xét, chấp thuận công việc của
nhau,
→ Trong liên quan thực hiện hoạt động kinh tế và tiếp cận và sử dụng dữ liệu,
→ Có thể phát hiện việc sử dụng sai hoặc lạm dụng thông tin của người ở vị trí bị thay thế
LẦN 2
Câu Hỏi 1: Ứng viên vị trí an ninh thông tin thường chỉ cần có các kỹ
năng CNTT và kinh nghiệm chuyên môn trong lĩnh vực CNTT khác
Đúng
Sai
Câu Hỏi 2: Kết nối các đối tượng cụ thể của 3 vị trí an toàn thông tin
theo nghiên cứu của Schwartz, Erwin, Weafer, and Briney
Xây dựng chương trình an toàn Answer 1 Chọn... Các nhà quản lý (managers)
thông tin an ninh cấp cao Những người quản lý
(administrators) Các chuyên gia công nghệ
(techies) thực hiện
Định nghĩa chương trình an toàn Answer 2 Chọn... Các nhà quản lý (managers)
thông tin an ninh cấp cao Những người quản lý
(administrators) Các chuyên gia công nghệ
(techies) thực hiện
Quản trị hệ thống kiểm soát và Answer 3 Chọn... Các nhà quản lý (managers)
chương trình an toàn thông tin an ninh cấp cao Những người quản lý
(administrators) Các chuyên gia công nghệ
(techies) thực hiện
Phản hồi
Xây dựng chương trình an toàn thông tin → Các chuyên gia công nghệ (techies) thực hiện,
Định nghĩa chương trình an toàn thông tin → Các nhà quản lý (managers) an ninh cấp cao,
Quản trị hệ thống kiểm soát và chương trình an toàn thông tin → Những người quản lý
(administrators)
Câu Hỏi 3: Trong Hợp đồng/ thỏa thuận với đối tác kinh doanh cần xác
định:
a.
b.
Các thông tin gì cần được trao đổi, ở cấp độ nào, với ai
c.
d.
Những vấn đề bộc lộ ra và điểm yếu bảo mật (phơi nhiễm- exposure) mà cả 2 bên cùng
phải gánh chịu
Câu Hỏi 4: Đối với những vị trí người lao động có thông tin đặc biệt
hay rất quan trọng có tính độc quyền thì đơn vị nên
a.
b.
Giới hạn mức độ và phạm vi truy cập thông tin cần thiết cho công việc
c.
Yêu cầu nhân viên không được làm cho đối thủ cạnh tranh trong khoảng thời gian bao nhiêu
lâu sau khi nghỉ việc tại công ty
d.
a.
Là người đại diện truyền thông của đội an ninh thông tin
b.
Có trách nhiệm cho hoạt động hàng ngày của chương trình an ninh thông tin
c.
d.
Phát triển ngân sách an ninh thông tin trên cơ sở quỹ hiện hành
Câu Hỏi 6: Phát biểu nào KHÔNG đúng về Chief Information Security Officer
(CISO) - Giám đốc an toàn thông tin
a.
Kiểm tra hệ thống để khám phá những lỗi (faults) an ninh thông tin; khiếm khuyết (flaws) của
công nghệ, phần mềm, hoạt động của nhân viên và qui trình
b.
c.
Làm việc với CIO về: kế hoạch chiến lược; Phát triển kế hoạch chiến thuật ; làm việc với
các nhà quản lý an ninh về kế hoạch hoạt động
d.
Phác thảo và chấp thuận các chính sách an ninh thông tin
e.
Xác định vấn đề luân chuyển/tắc nghẽn thông tin thông qua Kiểm tra DL khi chuyển giao và
lưu trữ
Phản hồi
a.
Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
b.
c.
Là người chịu trách nhiệm tập trung cho an ninh về mặt vật lý (physical information security).
d.
Phản hồi
a.
Là lãnh đạo của bộ phận an ninh thông tin (the information security department).
b.
Có trách nhiệm cho hoạt động hàng ngày của chương trình an ninh thông tin
c.
Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
d.
Có khả năng quản lý các nhân viên kỹ thuật, bao gồm phân chia nhiệm vụ và giám sát thực
hiện nhiệm vụ của họ
Câu Hỏi 9: Ký hợp đồng (hợp đồng an toàn thông tin) tuyển dụng
a.
b.
Cần tập trung tìm hiểu những hành vi phạm tội trong quá khứ hoặc những hành vi là tiềm
năng cho việc vi phạm sau này của ứng viên
c.
Cần nhấn mạnh nhận thức an toàn thông tin, tóm lược và những vấn đề an ninh thông tin:
chính sách, qui trình thủ tục cần thiết, các yêu cầu an toàn thông tin với nhân sự mới
d.
Nhân viên ký hợp đồng này như một cách “tuyên thệ” bằng văn bản đồng ý tuân thủ các
chính sách ràng buộc của tổ chức
Phản hồi
Nhân viên ký hợp đồng này như một cách “tuyên thệ” bằng văn bản đồng ý tuân thủ các
chính sách ràng buộc của tổ chức
Câu Hỏi 10: Ứng viên vị trí an ninh thông tin thường chỉ cần có các kỹ
năng CNTT và kinh nghiệm chuyên môn trong lĩnh vực CNTT khác
Đúng
Sai
Câu Hỏi 11: Đối với những vị trí người lao động có thông tin đặc biệt
hay rất quan trọng có tính độc quyền thì đơn vị nên
a.
b.
Yêu cầu nhân viên không được làm cho đối thủ cạnh tranh trong khoảng thời gian bao nhiêu
lâu sau khi nghỉ việc tại công ty
c.
Giới hạn mức độ và phạm vi truy cập thông tin cần thiết cho công việc
d.
Yêu cầu nhân viên không được làm cho đối thủ cạnh tranh trong khoảng thời gian bao nhiêu
lâu sau khi nghỉ việc tại công ty
Câu Hỏi 12: Thông tin cá nhân của nhân sự an ninh như địa chỉ, điện
thoại, mã số thuế, số an sinh xã hội, thông tin y tế, thông tin gia đình
cần được công khai cho mọi nhân viên trong công ty biết để giám sát
họ
Đúng
Sai
Câu Hỏi 13: Kết nối nhiệm vụ cụ thể của 3 vị trí an toàn thông tin theo
nghiên cứu của Schwartz, Erwin, Weafer, and Briney
Định nghĩa Answer 1 Chọn... Tạo các giải pháp kỹ thuật an ninh để bảo vệ phần
chương mềm, hệ thống và mạng Mục tiêu Cung cấp chính sách, hoạt động lập
trình an toàn kế hoạch; Quản lý đánh giá rủi ro Cung cấp các giám sát hệ thống hàng
thông tin ngày
Xây dựng Answer 2 Chọn... Tạo các giải pháp kỹ thuật an ninh để bảo vệ phần
chương mềm, hệ thống và mạng Mục tiêu Cung cấp chính sách, hoạt động lập
trình an toàn kế hoạch; Quản lý đánh giá rủi ro Cung cấp các giám sát hệ thống hàng
thông tin ngày
Quản trị hệ Answer 3 Chọn... Tạo các giải pháp kỹ thuật an ninh để bảo vệ phần
thống kiểm mềm, hệ thống và mạng Mục tiêu Cung cấp chính sách, hoạt động lập
soát và kế hoạch; Quản lý đánh giá rủi ro Cung cấp các giám sát hệ thống hàng
chương ngày
trình an toàn
thông tin
Phản hồi
Định nghĩa chương trình an toàn thông tin → Mục tiêu Cung cấp chính sách, hoạt động lập
kế hoạch; Quản lý đánh giá rủi ro,
Xây dựng chương trình an toàn thông tin → Tạo các giải pháp kỹ thuật an ninh để bảo vệ
phần mềm, hệ thống và mạng,
Quản trị hệ thống kiểm soát và chương trình an toàn thông tin → Cung cấp các giám sát hệ thống
hàng ngày
Câu Hỏi 14: Đối với các nhân viên tạm thời, đơn vị nên:
a.
Đảm bảo các nhân viên này tuân thủ các thực hành an toàn thông tin
b.
c.
Chỉ giới hạn những điều cần thiết để họ thực hiện nhiệm vụ
d.
Có thể yêu cầu ký các thỏa thuận không tiết lộ và chính sách sử dụng hợp pháp
Câu Hỏi 15: Kết nối các công việc của cụ thể trong qui trình thực hiện để
tuyển dụng và quản lý nhân sự an toàn thông tin
Phỏn Answer 1 Chọn... Gồm các chính sách của tổ chức về việc tuân thủ và sử dụng
g vấn thông tin, các thỏa thuận về giám sát và không tiết lộ thông tin; những giới hạn
nghiêm ngặt về tạo và sở hữu tài sản thông tin Cần tập trung tìm hiểu những
hành vi phạm tội trong quá khứ hoặc những hành vi là tiềm năng cho việc vi
phạm sau này của ứng viên Quản lý An ninh thông tin cần lưu ý phòng nhân sự
những thông tin không nên công bố (vd những đặc quyền truy cập thông tin
v.v..)
Ký Answer 2 Chọn... Gồm các chính sách của tổ chức về việc tuân thủ và sử dụng
hợp thông tin, các thỏa thuận về giám sát và không tiết lộ thông tin; những giới hạn
đồng nghiêm ngặt về tạo và sở hữu tài sản thông tin Cần tập trung tìm hiểu những
(an hành vi phạm tội trong quá khứ hoặc những hành vi là tiềm năng cho việc vi
toàn phạm sau này của ứng viên Quản lý An ninh thông tin cần lưu ý phòng nhân sự
thôn những thông tin không nên công bố (vd những đặc quyền truy cập thông tin
g tin) v.v..)
tuyể
n
dụng
Kiể Answer 3 Chọn... Gồm các chính sách của tổ chức về việc tuân thủ và sử dụng
m tra thông tin, các thỏa thuận về giám sát và không tiết lộ thông tin; những giới hạn
lý nghiêm ngặt về tạo và sở hữu tài sản thông tin Cần tập trung tìm hiểu những
lịch hành vi phạm tội trong quá khứ hoặc những hành vi là tiềm năng cho việc vi
(bac phạm sau này của ứng viên Quản lý An ninh thông tin cần lưu ý phòng nhân sự
kgro những thông tin không nên công bố (vd những đặc quyền truy cập thông tin
und v.v..)
chec
k)
Phản hồi
Phỏng vấn → Quản lý An ninh thông tin cần lưu ý phòng nhân sự những thông tin không
nên công bố (vd những đặc quyền truy cập thông tin v.v..),
→ Gồm các chính sách của tổ chức về việc tuân thủ và sử dụng thông tin, các thỏa thuận về giám sát
và không tiết lộ thông tin; những giới hạn nghiêm ngặt về tạo và sở hữu tài sản thông tin,
Kiểm tra lý lịch (background check) → Cần tập trung tìm hiểu những hành vi phạm tội trong
quá khứ hoặc những hành vi là tiềm năng cho việc vi phạm sau này của ứng viên
CHƯƠNG 8
CHƯƠNG 8
LẦN 1
Câu Hỏi 1
Đúng
Đặt cờ
Đoạn văn câu hỏi
a.
b. Tăng cường sự phối hợp giữa các nhóm trong đơn vị khi sự thay đổi được lên lịch trình
và hoàn thành
c.
thay đổi quy trình để giải quyết xung đột và gián đoạn có thể được tạo ra bởi sự thay đổi
d.
Cải thiện vấn đề mục tiêu về sự thay đổi trong toàn đơn vị.
Phản hồi
Tăng cường sự phối hợp giữa các nhóm trong đơn vị khi sự thay đổi được lên lịch trình và
hoàn thành
Câu Hỏ
Việc lập kế hoạch cho giai đoạn thực hiện liên quan đến việc tạo ra một kế hoạch dự
án chi tiết, và ......... chuyển giao........ (2 từ) cho người quản lý dự án hoặc người điều
hành dự án
Câu Hỏi 3 Sau khi có sự đảm bảo rằng các chính sách được áp dụng, mạng an
toàn và hệ thống an toàn, cần chuyển sang đánh giá và khắc phục tính an toàn của
các ứng dụng của đơn vị.
Đúng
Câu Hỏi 4
Đúng
Thường có những ràng buộc đối với việc lựa chọn thiết bị và dịch vụ. Những ràng
buộc này có thể hạn chế những công nghệ nào có thể mua sắm.
Đúng
Sai
Phản hồi
Câu Hỏi 5
Đúng
Đặt cờ
Đoạn văn câu hỏi
a.
b.
c.
Xác định các vấn đề về mặt tài chính của khách hàng
d.
Nó được quản lý bằng cách sử dụng một quy trình được gọi là phân tích thiếu sót nhằm
đảm bảo rằng tiến độ được đo lường định kỳ
Mỗi đơn vị phải tìm ra lãnh đạo dự án phù hợp nhất với nhu cầu cụ thể của mình
cũng như phù hợp với đặc điểm của văn hóa đơn vị
Đúng
Sai
Phản hồi
Câu Hỏi 7
Đúng
Đặt cờ
Đoạn văn câu hỏi
Một dự án thành công đòi hỏi một đơn vị phải có khả năng .................. (2 từ) với
những thay đổi được đề xuất.
thích ứng
Câu Hỏi 8
a.
Hướng dẫn những người tham gia trong giai đoạn thực hiện. Các hướng dẫn này tập trung
vào các thay đổi kiểm soát an toàn cần thiết để cải thiện tính an toàn của phần cứng, phần
mềm, quy trình, dữ liệu, và con người
b.
được hoàn thành bằng cách thay đổi cấu hình và hoạt động của hệ thống thông tin của đơn
vị để làm cho chúng an toàn hơn
c.
Phải mô tả cách thức thu thập và thực hiện các thủ tục kiểm soát an toàn cần thiết
d.Được hình thành dựa trên thông tin về các mục tiêu của đơn vị, kiến trúc kỹ thuật, và môi
trường an toàn thông tin của đơn vị
Các đại diện chính từ các nhóm người dùng sẽ là thành viên của quá trình phát triển
dự án.
Đúng
Sai
Câu Hỏi 10
b.hướng dẫn cách thức các bản cập nhật kỹ thuật được phê duyệt và cấp vốn
c.tạo điều kiện cho việc trao đổi thông tin về các tiến bộ kỹ thuật và các vấn đề trong toàn
đơn vị
Câu Hỏi 11
Kết nối các nội dung trong các nhiệm vụ chính của kế hoạch dự án
Ước tính chi phí không được vốn hóa → một số khoản chi phí liên quan đến dự án có thể
được xem là chi phí phi vốn,
Xác định sự phụ thuộc giữa các nhiệm vụ → nên lưu ý về sự phụ thuộc của các nhiệm vụ
hoặc các bước thực hiện khác nhau, bao gồm cả các nhiệm vụ trước và sau.,
Ngày bắt đầu và ngày kết thúc → Không nên xác định trước quá nhiều ngày cho quá nhiều
nhiệm vụ,
Công việc cần hoàn thành → cần dán nhãn và cung cấp mô tả kỹ lưỡng cho nhiệm vụ
Câu Hỏi 12
Vấn đề về sự ưu tiên trong lập kế hoạch thực hiện an toàn thông tin
a.
Thường có những ràng buộc đối với việc lựa chọn thiết bị và dịch vụ
b.
Việc hệ thống thông tin bị tấn công cũng là một trong những cơ sở giúp người lập kế hoạch
ước tính ngân sách; đồng thời cũng ảnh hưởng khả năng hỗ trợ ngân sách cho an toàn
thông tin từ phía ban quản lý
c.
Khung thời gian tối ưu cho việc huấn luyện thường là từ một đến ba tuần trước khi các
chính sách và công nghệ mới đi vào hoạt động
d.
Một thủ tục kiểm soát ít quan trọng hơn có thể được ưu tiên nếu nó giải quyết một nhóm
điểm yếu tiềm ẩn cụ thể và cải thiện tình trạng an toàn của đơn vị ở mức độ cao hơn so với
các thủ tục kiểm soát có mức độ ưu tiên cao
Câu Hỏi 13 Kết quả phân tích thiếu sót cho thấy cần thực hiện các hành
động khắc phục khi:
Câu Hỏi 14
Nguyên tắc lập bảng phân chia công việc (Work Breakdown Structure - WBS) là một
nhiệm vụ hoặc nhiệm vụ chi tiết trở thành một bước thực hiện khi nó có thể
được ................... (2 từ) bởi một người hoặc một bộ kỹ năng và có một kết quả riêng
biệt
Answer:
Phản hồi
Câu Hỏi 15
Cân nhắc về vấn đề tài chính trong lập kế hoạch thực hiện an toàn thông tin
a.
Đơn vị nên tiến hành triển khai theo giai đoạn hoặc thí điểm, chẳng hạn như đào tạo triển
khai cho từng bộ phận tại một thời điểm
b.
Việc thực hiện các biện pháp kiểm soát phụ thuộc vào mức độ ưu tiên của các mối đe dọa
và giá trị của tài sản thông tin bị đe dọa
c.Ngân sách cho an toàn thông tin có thể là một phần trong ngân sách cho CNTT nói chung;
hoặc có thể là một ngân sách riêng
d.
Giới hạn phạm vi dự án trong một tập hợp các nhiệm vụ có thể quản lý được không có
nghĩa là dự án chỉ nên cho phép thay đổi một thành phần tại một thời điểm. Nhưng một kế
hoạch tốt cần xem xét cẩn thận số lượng nhiệm vụ được lên kế hoạch cho cùng một thời
điểm trong một bộ phận
Câu Hỏi 1
Đặt cờ
Đoạn văn câu hỏi
Lập kế hoạch dự án → 1
Câu Hỏi 2
Đúng
Đặt cờ Vấn đề nào KHÔNG cần cân nhắc khi lập kế hoạch thực hiện an toàn thông
tin
c.Vấn đề về sự ưu tiên
Câu Hỏi 3
a.
b.
c.
d.
Phản hồi
Câu Hỏi 4
d. Sự hỗ trợ yếu kém từ ban quản lý có thể dẫn đến sự thất bại gần như chắc chắn của dự
án.
Phản hồi
Câu Hỏi 5
Đối tượng nào nên là người quản lý dự án thực hiện an toàn thông tin?
c.
d.
Phản hồi
Câu Hỏi 6
Đúng
Đặt cờ
Đoạn văn câu hỏi
Kết nối đặc điểm của các chiến lược chuyển đổi thực hiện thủ tục kiếm soát
Chuyển đổi từng phần → hỉ một phần của hệ thống được triển khai và phổ biến trong một
đơn vị trước khi phần tiếp theo được thực hiện nhằm giúp người dùng có cơ hội làm quen
với nó và giải quyết các vấn đề khi chúng phát sinh,
Vận hành song song → có thể củng cố an toàn thông tin của đơn vị bằng cách cho phép hệ
thống cũ phục vụ như một hệ thống dự phòng nếu hệ thống mới bị lỗi hoặc bị xâm phạm,
Chuyển đổi thí điểm → giúp ngăn chặn những vấn đề với hệ thống mới ảnh hưởng đáng kể
vào hoạt động của đơn vị nói chung,
Chuyển đổi trực tiếp → Hạn chế chính của phương pháp này là nếu hệ thống mới bị lỗi
hoặc cần sửa đổi, người dùng có thể không có dịch vụ trong khi các lỗi của hệ thống được
khắc phục
Câu Hỏi 7
a.
b.
phải thông báo cho nhân viên về dự án sau khi dự án hoàn thành
c.
có thể được cải thiện thông qua một quy trình ba bước trong đó các nhà quản lý dự án giao
tiếp, huấn luyện và kỷ luật
d. là cải thiện sự tương tác giữa các thành viên bị ảnh hưởng của đơn vị và những
người lập kế hoạch dự án trong giai đoạn đầu của một dự án cải thiện an toàn thông
tin
là cải thiện sự tương tác giữa các thành viên bị ảnh hưởng của đơn vị và những người lập
kế hoạch dự án trong giai đoạn đầu của một dự án cải thiện an toàn thông tin
Câu Hỏi 8
Giới hạn phạm vi dự án trong một tập hợp các nhiệm vụ có thể quản lý được không
có nghĩa là
a.
phải xem xét cẩn thận số lượng nhiệm vụ được lên kế hoạch cho những thời điểm khác
nhau trong một bộ phận
b. dự án chỉ nên cho phép thay đổi một thành phần tại một thời điểm
c.
có thể xung đột với các biện pháp kiểm soát hiện có theo những cách có thể đoán trước
d.
Phản hồi
dự án chỉ nên cho phép thay đổi một thành phần tại một thời điểm
Câu Hỏi 9
Đúng
Đặt cờ
Đoạn văn câu hỏi
a. có thể chọn thuê ngoài các chức năng an toàn thông tin chuyên biệt hơn
b.
c.
không nên thuê tư vấn bên ngoài để kiểm tra thâm nhập và đánh giá chương trình an toàn
thông tin
d.
không nên thuê ngoài các chức năng giám sát mạng
Câu Hỏi 10
a.
Tăng cường sự phối hợp giữa các nhóm trong đơn vị khi sự thay đổi được lên lịch trình và
hoàn thành.
b.
c.
Đảm bảo với ban giám đốc rằng tất cả các nhóm đều tuân thủ các chính sách của đơn vị về
quản trị công nghệ, mua sắm, kế toán và an toàn thông tin
d.
Cải thiện chất lượng dịch vụ khi các lỗi tiềm ẩn được loại bỏ và các nhóm làm việc cùng
nhau
Câu Hỏi 11
Chọn phát biểu KHÔNG đúng về quản lý dự án thực hiện an toàn thông tin
a.
b.
c.
đòi hỏi một tập hợp các kỹ năng đặc biệt và sự hiểu biết thấu đáo về một khối kiến thức
chuyên ngành rộng lớn
d.
yêu cầu sự tham gia của tất cả người sử dụng thông tin
Phản hồi
yêu cầu sự tham gia của tất cả người sử dụng thông tin
Câu Hỏi 12
Vấn đề về huấn luyện và truyền đạt trong kế hoạch thực hiện an toàn thông tin
a.Các công nghệ mới đôi khi đòi hỏi các chính sách mới, đào tạo và huấn luyện nhân viên
b.Quy mô của đơn vị và hoạt động kinh doanh bình thường không có thể ngăn cản một
chương trình huấn luyện lớn về các quy trình hoặc công nghệ an toàn mới
c.Phạm vi dự án cần được xem xét cẩn thận. Trên cơ sở mục tiêu của dự án, phạm vi càng
nhỏ càng tốt
d.Đơn vị nên tiến hành triển khai theo giai đoạn hoặc thí điểm, chẳng hạn như đào tạo triển
khai cho từng bộ phận tại một thời điểm
Câu Hỏi 13
Sai
Đặt cờ
Đoạn văn câu hỏi
Phát biểu KHÔNG đúng về lớp chính sách trong mô hình Bull’s-Eye
a.
có thể sử dụng chính sách để làm rõ những gì đơn vị đang cố gắng hoàn thành
b.
là nền tảng của tất cả các chương trình an toàn thông tin hiệu quả
c.
nó cho phép tất cả các thành phần an toàn thông tin khác hoạt động chính xác
d.
bao gồm việc cung cấp xác thực và ủy quyền cần thiết khi cho phép người dùng kết nối qua
mạng công cộng với hệ thống của đơn vị
Phản hồi
bao gồm việc cung cấp xác thực và ủy quyền cần thiết khi cho phép người dùng kết nối qua
mạng công cộng với hệ thống của đơn vị
Câu Hỏi 14
Nếu chất lượng của sản phẩm có thể giao không tương xứng
a.
b.
c.
nên bổ sung thêm nguồn lực về thời gian làm việc và tài chính hoặc giảm chất lượng hoặc
số lượng sản phẩm hoàn thành
d.
phải bổ sung thêm nguồn lực về thời gian hoặc tài chính hoặc mất nhiều thời gian hơn để
hoàn thành nhiệm vụ
Câu Hỏi 15
a.
b.
Được hình thành dựa trên thông tin về các mục tiêu của khách hàng
c.
Phải mô tả cách thức thu thập và thực hiện các điểm yếu tiềm ẩn
d.
Phản hồi