TRẮC NGHIỆM

QUIZ CHƯƠNG 1
Câu Hỏi 1
Một tình trạng hoặc trạng thái bị phơi nhiễm; trong bảo mật thông tin, sự lộ diện tồn
tại khi kẻ tấn công biết được một lỗ hổng
a.Điểm yếu tiềm ẩn (Vulnerability)
b.Điểm yếu bảo mật (Exposure)
c.Kiểm soát, bảo vệ hoặc biện pháp đối phó (Control, safeguard, or countermeasure
d.Tấn công (Attack)
Câu Hỏi 2 Một trường hợp cụ thể hoặc một thành phần của một mối đe dọa
aSự kiện đe dọa (Threat event)
b.Nguồn gốc đe dọa (Threat source)
c.Tác nhân đe dọa (Threat age
d.Quyền truy cập (Access)
Câu Hỏi 3 Chọn phát biểu không đúng về bản chất của an toàn thông tin
a.Sự tương tác của con người với hệ thống, hành vi của người dùng tác động đến bảo mật,
nhận thức về rủi ro trong môi trường CNTT cho thấy an toàn thông tin mang tính chất của
khoa học xã hội
b.Đặc tính của công nghệ và khoa học máy tính cho thấy tính khoa học của an toàn thông
tin
c.Tính đa dạng, phức tạp, dẫn đến tính nghệ thật của an toàn thông tin
d.Tính không có nguyên mẫu, luôn linh hoạt, luôn sáng tạo trong lĩnh vực bảo mật, sự cân
bằng trong việc vận dụng kiến thức bảo mật, dẫn đến tính khoa học xã hội
Câu Hỏi 4 Điền vào chỗ trống thuật ngữ thích hợp: SDLC là một phương pháp
luận được áp dụng trong phân tích, ………. (2 từ), thực hiện và vận hành hệ thống
a.thiết kế
b.đánh giá
c.tổng hợp
d.vận động
Câu Hỏi 5 Người chiu trách nhiệm báo cáo cho CIO, chịu trách nhiệm chính
trong vấn đề an toàn và bảo mật hệ thống thông tin, về việc đánh giá, quản lý và
thực hiện an toàn thông tin là:
a.Người chịu trách nhiệm về dữ liệu (Data Responsibilities)
b.Giám đốc hoạt động (COO - chief operating officer)
c.Giám đốc thông tin (CIO - chief information officer)
d.Giám đốc an toàn thông tin (CISO - chief information security officer)
Câu Hỏi 6 Một hành động cố ý hoặc vô ý có thể làm hỏng hoặc làm tổn hại đến
thông tin và hệ thống hỗ trợ nó
a.Rủi ro (Risk)
b.Nguy cơ (Threat)
c.Khai thác (Exploit)
d.Tấn công (Attack)
LẦN 2
Câu Hỏi1 Chất lượng hoặc trạng thái có quyền sở hữu hoặc kiểm soát một số
đối tượng hoặc vật phẩm
a.Tính toàn vẹn (Integrity)
b.Tính bảo mật (Confidentiality)
c.Tính khả dụng (Availability)
d.Chiếm hữu (Possession)
Câu Hỏi 2ĐúngĐạt điểm 1,00 trên 1,00Đặt cờ
Đoạn văn câu hỏi
Đâu không phải là các lĩnh vực của an toàn thông tin
a.Đảm bảo tính toàn vẹn
b.Bảo mật dữ liệu
c.An toàn máy tính
d.An ninh mạng
Câu Hỏi 3 Chọn phát biểu không đúng
a.Hệ thống luôn sẵn sàng để truy cập sẽ dẫn đến nguy cơ bị tấn công
b.Nếu cô lập hệ thống để đảm bảo an toàn cao thì không thể truy cập được
c.An toàn thông tin và khả năng truy cập phải hài hòa và cân xứng
d.Có thể có được an toàn thông tin tuyệt đối, hoàn hảo
Câu Hỏi 4 Phát biểu nào đúng về thành phần “con người” trong hệ thống
thông tin
a.Mạng máy tính có nhiều nguy cơ, do đó kiểm soát lưu lượng và kiểm soát truy cập là cần
thiết.c.Đào tạo, huấn luyện, giám sát quy trình, đánh giá định kỳ giúp đảm bảo các thủ tục có
thể hoàn thành vai trò của minh.
d.Các chính sách, thủ tục, việc đào tạo, nhận thức đạo đức và sử dụng công nghệ đúng đắn
sẽ giúp hạn chế điểm yếu này
b.Do được lập trình nên phần mềm hàm chứa nhiều nguy cơ, từ lỗi lập trình cho đến sử
dụng sai mục đích.
Câu Hỏi 5 Cách thức tiếp cận thực hiện an toàn thông tin nào có các đặc điểm
sau: “Dự án an toàn thông tin được khởi xướng bởi các nhà quản lý cấp trên, những
người ban hành các chính sách, thủ tục và quy trình; đề xuất các mục tiêu và kết
quả mong đợi; và xác định trách nhiệm cá nhân cho mỗi hành động”
a.Tiếp cận theo SDLC truyền thống tích hợp bảo hiểm phần mềm (Software Assurance)
b.Tiếp cận theo SDLC (Systems Development Life Cycle)
c.Tiếp cận từ dưới lên (bottom-up approach)
d.Tiếp cận từ trên xuống (top-down approach)
Câu Hỏi 6 Cách thức tiếp cận thực hiện an toàn thông tin nào có các đặc điểm
sau: “Bắt đầu từ các hành vi từ cấp dưới nhằm cải thiện an toàn hệ thống và dựa
trên kỹ năng và kiến thức của quản trị viên hệ thống”
a.Tiếp cận từ trên xuống (top-down approach)
b.Tiếp cận theo SDLC truyền thống tích hợp bảo hiểm phần mềm (Software Assurance)
c.Tiếp cận theo SDLC (Systems Development Life Cycle)

d.Tiếp cận từ dưới lên (bottom-up approach)
LẦN 3
Câu Hỏi 1 Đâu không phải là nhóm người dùng ảnh hưởng đến an toàn thông
tin (Communities of Interest)
a.Nhóm quản lý CNTT
b.Nhóm quản lý an toàn thông tin
c.Nhóm quản lý chung
d.Nhóm người chịu trách nhiệm về dữ liệu
Câu Hỏi 2 Tính chất của thông tin cho phép người dùng khi cần truy cập thông
tin mà không bị can thiệp hoặc cản trở và truy xuất thông tin đó ở định dạng bắt
buộc
a.Chiếm hữu (Possession)
b.Tính toàn vẹn (Integrity)
c.Tính bảo mật (Confidentiality)
d.Tính khả dụng (Availability)
Câu Hỏi 3
Đâu không phải là lĩnh vực của mô hình an toàn CNSS (khối lập phương
McCumber)
a.Thủ tục an toàn thông tin
b.Mục tiêu của an toàn thông tin
c.Thành phần của hệ thống thông tin
d.Trạng thái của thông tin
Câu Hỏi 4 Nhu cầu an toàn máy tính xuất hiện từ lĩnh vực quốc phòng
Đúng
Sai
Câu Hỏi 5 Chất lượng hoặc trạng thái của thông tin gốc hoặc nguyên bản, thay
vì sao chép hoặc chế tạo
a.Chiếm hữu (Possession)
b.Tính toàn vẹn (Integrity)
c.Tính xác thực (Authenticity)
d.Tính khả dụng (Availability)
Câu Hỏi 6Tam giác C.I.A thể hiện tiêu chuẩn công nghiệp về bảo mật máy tính
bao gồm 3 đặc điểm
a.Tính bảo mật, tính toàn vẹn và tính tiện ích
b.Tính bảo mật, tính toàn vẹn và tính khả dụng
c.Tính chiếm hữu, tính toàn vẹn và tính khả dụng
d.Tính bảo mật, tính đầy đủ và tính khả dụng
LẦN 4
Câu Hỏi 1Bảo vệ thông tin và các yếu tố
quan trọng của nó, bao gồm các ………….. (2 từ) và phần cứng dùng để sử dụng,
lưu trữ và truyền tải thông tin
Answer text
hệ thống
Câu Hỏi 2 Đâu không phải là cách thức thực hiện SDLC
a.SDLC truyền thống, tích hợp bảo hiểm phần mềm vào quá trình phát triển phần mềm
b.Phương pháp tiếp cận dựa trên các tiêu chuẩn NIST
c.Microsoft ‘s SDL
d.Áp dụng các nguyên tắc thiết kế phần mềm

LẦN 5
Câu Hỏi 1Personally identifiable information (PII) là:
The correct answer is: Thông tin định danh cá nhân
Câu Hỏi 2 CIO là viết tắt của:..................................(3 từ)
The correct answer is: Chief information officer
Câu Hỏi 3 Tính bảo mật là:
The correct answer is: Confidentiality
Câu Hỏi 4Thuật ngữ C.I.A trong C.I.A. triad là:
a.C (confidentiality); I (integrity); A (Authenticity)
b.C (Communications); I (integrity); A (availability)
c. C (confidentiality); I (information); A (availability)
d.C (confidentiality); I (integrity); A (availability)
Câu Hỏi 5 Community of interest là
a.Quyền lợi của công đồng
b.Bảo mật truyền thông
c.Nhóm lợi ích liên quan

d.Lợi ích của cộng đồng
Câu Hỏi 6 Cách tiếp cận nào trái ngược với cách tiếp cận Bottom-up approach (2
hoặc 3 từ)
The correct answer is: Top-down approach
Câu Hỏi 7 Possession là:
The correct answer is: chiếm hữu
Câu Hỏi 8
Availability là tính tiện ích
Hãy chọn một:
Đúng
Sai
Câu Hỏi 9 McCumber Cube là khối lập phương McCumber
Hãy chọn một:
Đúng
Sai
Câu Hỏi 10 Security có thể dịch là an toàn / an ninh / bảo mật (tùy theo bối
cảnh)
Đúng
Sai
LẦN 6
Câu Hỏi 1 Accuracy là:
a.Tính toàn vẹn
b.Độ chính xác
c.Tính khả dụng
d.Tính xác thực
Câu Hỏi 2 Authenticity là:
a.Độ chính xác
b.Tính khả dụng
c.Tính xác thực

d.Chiếm hữu
Câu Hỏi 3 Project team là:
The correct answer is: Đội dự án
Câu Hỏi 4 CISO là viết tắt của:..................................(4 từ)
The correct answer is: Chief information security officer
Câu Hỏi 5 Software assurance (SA) là
a.đảm bảo phần mềm
b.bảo hiểm phần cứng
c.Bảo hiểm phần mềm
d.đảm bảo hệ thống
Câu Hỏi 6 Physical security là
a.An toàn vật lý
b.An toàn thông tin
c.An toàn cơ sở
d.An toàn không gian mạng

Câu Hỏi 8 Communications security là
a.Bảo mật truyền thông
b.An toàn giao tiếp
c.An ninh thông tin
d.Nhóm lợi ích liên quan
Câu Hỏi 10 An toàn máy tính là:
a.Information security
b.Communications security
c.Computer security
d.Network security
QUIZZ CHƯƠNG 2
Câu Hỏi 1 Hãy kết nối các thuật ngữ và khái niệm tương ứng.
The correct answer is:
Access: Quyền truy cập → Khả năng sử dụng, thao tác, sửa đổi hoặc ảnh hưởng đến chủ
thể, hoặc đối tượng khác của chủ thể hoặc đối tượng,
Asset: Tài sản → Các nguồn lực của doanh nghiệp đang được bảo vệ. Tài sản có thể có
hình thái vật chất hay phi vật chất. Tài sản thông tin là trọng tâm của an toàn thông tin,
Exploit: Khai thác → Một kỹ thuật được sử dụng để xâm phạm hệ thống.,
Attack: Tấn công → Một hành động cố ý hoặc vô ý có thể làm hỏng hoặc làm tổn hại đến
thông tin và hệ thống hỗ trợ nó. Tấn công có thể là tấn công chủ động hoặc tấn công bị
động; tấn công trực tiếp hoặc tấn công gián tiếp,
Control, safeguard, or countermeasure: Kiểm soát, bảo vệ hoặc biện pháp đối phó → Các
cơ chế, chính sách hoặc quy trình bảo mật có thể chống lại các cuộc tấn công thành công,
giảm thiểu rủi ro, giải quyết các lỗ hổng và cải thiện tính bảo mật trong tổ chức
Câu Hỏi 2 6 phương thức tấn công của virus và sâu (Attack Replication Vectors)
không bao gồm
a. Malware
b. Những chia sẻ không được bảo vệ (Unprotected shares)
c. Quét và tấn công IP (IP scan and attack)
d. Virus
Câu Hỏi 3SaiĐạt điểm 0,00 trên 1,00Đặt cờ
Phần mềm gián điệp spyware bao gồm các dạng: Web bug, Adware và Bots
Hãy chọn một:
Đúng
Sai
Phản hồi Đáp án chính xác là "Đúng"
Worms là virus có thể tự tái tạo cho đến khi chúng lấp đầy hoàn toàn các tài nguyên
có sẵn, như bộ nhớ, dung lượng ổ cứng và băng thông mạng
Hãy chọn một:
Đúng
Sai
Phản hồi
Đáp án chính xác là "Đúng"
Câu Hỏi 5Không trả lờiĐạt điểm 1,00Đặt cờ

Sâu đa hình (polymorphic worm)/ sâu đa phương thức (multivector worm) sử dụng
…. (1 số) phương thức tấn công để khai thác nhiều lỗ hổng trong các thiết bị hệ
thống thông tin phổ biến
Answer: 6
Phản hồiThe correct answer is: 6
Câu Hỏi 6
Virus không thể lây qua máy tính khác qua phương tiện vật lý
Hãy chọn một:
Đúng
Sai
Phản hồiĐáp án chính xác là "Sai"
Câu Hỏi 7Hãy kết nối các thuật ngữ sau với khái niệm tương ứng
Risk: Rủi ro → Sự kiện tiềm tàng không mong muốn có thể xảy ra gây thiệt hại cho doanh nghiệp,
Protection profile or security posture: Hồ sơ bảo vệ hoặc thái độ bảo mật: → Toàn bộ tập
hợp các biện pháp kiểm soát và bảo vệ, bao gồm chính sách, giáo dục, đào tạo và nâng cao
nhận thức và công nghệ, mà tổ chức thực hiện để bảo vệ tài sản.,
Loss: Thiệt hại → Tài sản thông tin bị hư hỏng hoặc bị phá hủy, sửa đổi hoặc tiết lộ ngoài ý
muốn hoặc trái phép hoặc bị từ chối sử dụng,
Exposure: Điểm yếu bảo mật → Một tình trạng hoặc trạng thái bị phơi nhiễm; trong bảo mật
thông tin, sự lộ diện tồn tại khi kẻ tấn công biết được một lỗ hổng.,
•Subjects and objects of attack→ Chủ thể tấn công và đối tượng bị tấn công
Nguy cơ đa hình là gì (Polymorphic Threats)
a.Là mã/ phần mềm độc hại, bao gồm những tấn công sử dụng phần mềm như tấn công
chuyển hướng và tấn công từ chối dịch vụ.
bLà nguy cơ virus và sâu phát triển, thay đổi kích thước của nó và các đặc điểm bên ngoài
của tập tin để tránh bị phát hiện bởi các chương trình phần mềm chống virus
c.Được sử dụng để quản lý từ xa các thiết bị mạng và máy tính
d.Là công nghệ thường được dùng để triển khai Trojan horse, logic bombs, back doors và
phần mềm gián điệp spyware
Phản hồi
Là nguy cơ virus và sâu phát triển, thay đổi kích thước của nó và các đặc điểm bên ngoài
của tập tin để tránh bị phát hiện bởi các chương trình phần mềm chống virus
Malware được thiết kế để làm hỏng, phá hủy hoặc từ chối dịch vụ cho các hệ thống
mục tiêu. Phát biêu trên đúng hay sai?
Hãy chọn một:
Đúng
Sai
Phản hồi
Câu Hỏi 10 Kết nối các đặc điểm của các phần mềm gián điệp spyware
Bots → Là công nghệ thường được dùng để triển khai Trojan horse, logic bombs, back
doors và phần mềm gián điệp spyware,
Adware → Phần mềm độc hại với mục đích cung cấp tiếp thị và quảng cáo không mong
muốn (bao gồm cửa sổ bật lên và biểu ngữ trên màn hình của người dùng), được thiết kế
để hoạt động ngoài tầm nhìn của người dùng hoặc được kích hoạt bởi hành động dường
như vô hại của,
Cookie theo dõi → Được đặt trên máy tính của người dùng để theo dõi hoạt động của họ
trên các trang Web khác nhau và tạo hồ sơ chi tiết về hành vi của họ, sau đó những thông
tin này có thể được sử dụng trong một cuộc tấn công social engineering hoặc đánh cắp
danh tính,
Web bug → Một đồ họa nhỏ được tham chiếu trong HTML của trang web hoặc email để thu
thập thông tin về người dùng đang xem nội dung
LẦN 2
Đối tượng nào sau đây chịu trách nhiệm hỗ trợ Ban giám đốc trong việc xác định
nhu cầu của tổ chức đối với vấn đề an toàn thông tin.
a.Ban quản lý an toàn thông tin
b.Tất cả đều đúng
c.Ban quản lý CNTT
d.Ban quản lý chung
Phản hồiThe correct answer is:Tất cả đều đúng
Câu Hỏi 2 Kết nối các khái niệm tấn công chặn liên lạc (Communications
Interception Attacks)
Man-in-the-middle → Một nhóm các tấn công trong đó một người chặn luồng liên lạc và tự
chèn mình vào cuộc trò chuyện để thuyết phục mỗi bên rằng anh ta là đối tác hợp pháp,
Pharming → Là sự chuyển hướng của lưu lượng truy cập Web hợp pháp đến một trang
Web bất hợp pháp với mục đích lấy thông tin cá nhân,
Spoofing → Giả mạo địa chỉ IP là một kỹ thuật được sử dụng để truy cập trái phép vào máy
tính, trong đó kẻ xâm nhập sẽ gửi tin nhắn đến máy tính có địa chỉ IP cho biết rằng tin nhắn
đến từ một máy chủ đáng tin cậy,
Packet sniffer → Một chương trình hoặc thiết bị có thể giám sát dữ liệu truyền tải qua mạng
Thuật ngữ “được sử dụng để mô tả phần mềm độc hại thường loại trừ lẫn nhau”
Hãy chọn một:
Đúng
Sai
Phản hồi
Đáp án chính xác là "Sai"

Điền vào chỗ trống:
Một khi kẻ tấn công giành được quyền truy cập vào hệ thống, bước tiếp theo là tăng
các đặc quyền của họ để cố giành ....... (3 từ) hệ thống
Answer:
Phản hồiThe correct answer is: quyền quản trị
Cơ chế kỹ thuật có thể được áp dụng để thực thi luật bản quyền:
a.Information Extortion
b.Script kiddies
c.Escalation of Privileges
d.Embedded code
Phản hồi
The correct answer is:Embedded code
Câu Hỏi 6
Chọn phát biểu không đúng
a.Mỗi tổ chức sẽ ưu tiên đối phó các nguy cơ khác nhau
b.Tấn công có thể liên quan đến nhiều nguy cơ
c.Các tác nhân nguy cơ gây thiệt hại hoặc đánh cắp thông tin hoặc tài sản vật chất của tổ
chức bằng cách sử dụng các hành vi tận dụng lỗ hỗng bảo mật
d.Để ra quyết định về an toàn thông tin, ban quản lý phải tự tìm hiểu về các nguy cơ khác
nhau đối với con người, thiết bị, dữ liệu và hệ thống thông tin của tổ chức
Phản hồi The correct answer is: Để ra quyết định về an toàn thông tin, ban quản lý
phải tự tìm hiểu về các nguy cơ khác nhau đối với con người, thiết bị, dữ liệu và hệ
thống thông tin của tổ chức
LẦN 3
An toàn Cơ sở dữ liệu là:
a.quá trình duy trì tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu được quản lý bởi
b.chương trình an toàn thông tin để bảo vệ khả năng các tính năng hoạt động của hệ thống
không bị nguy hại
c.Tất cả đều sai
d.là điều cần thiết để bảo vệ tính toàn vẹn và giá trị của dữ liệu
Phản hồi
The correct answer is:quá trình duy trì tính bảo mật, tính toàn vẹn và tính khả dụng của dữ
liệu được quản lý bởi

Cuộc tấn công DoS khó chống lại hơn DDoS và hiện không có biện pháp kiểm soát
khả thi.
Hãy chọn một:
Đúng
Sai
Phản hồi
Hành vi trộm cắp vật lý không phải là một nguy cơ đối với an toàn thông tin.
Hãy chọn một:
Đúng
Sai
Phản hồi
Chọn phát biểu không đúng về nâng cấp đặc quyền (Escalation of Privileges)
a.Là một kỹ năng tự thân hoặc sử dụng các công cụ phần mềm
b.Đặc quyền này cho phép kẻ tấn công truy cập thông tin, sửa đổi hệ thống để xem tất cả
thông tin trong đó
c.Đặc quyền này cho phép kẻ tấn công ẩn các hoạt động của chúng bằng cách sửa đổi nhật
ký hệ thống
d.Thường tạo ra các phần mềm tấn công và chia sẻ chúng với những người khác
Phản hồi
The correct answer is:Thường tạo ra các phần mềm tấn công và chia sẻ chúng với những
người khác

Hãy điền vào chỗ trống phát biểu thuật ngữ thích hợp:
CNTT tiếp tục bổ sung khả năng và phương pháp mới cho phép các tổ chức giải
quyết các thách thức quản lý thông tin, tuy nhiên nó cũng mang lại nhiều .......... (3
từ) cho thông tin của tổ chức.
Answer:
Phản hồiThe correct answer is: rủi ro mới
Nguy cơ
a.Tất cả đều sai
b.thể hiện rủi ro tiềm tàng đối với tài sản thông tin
c.chỉ tồn tại khi một hành động cụ thể có thể gây ra tổn thất
d.thể hiện một hành động liên tục gây tổn thất tài sản
Phản hồi
The correct answer is:thể hiện rủi ro tiềm tàng đối với tài sản thông tin
LẦN 4
Hoạt động vi phạm tính bảo mật KHÔNG liên quan đến gián điệp
a.Sử dụng trái phép phần mềm ứng dụng
b.Truy cập thông tin trái phép
c.Gián điệp công nghiệp
d.Shoulder surfing
e.Sử dụng trình duyệt Web để thực hiện nghiên cứu thị trường
Phản hồi
The correct answer is:Sử dụng trái phép phần mềm ứng dụng
Câu Hỏi 2 Kết nối các thuật ngữ sau với khái niệm tương ứng
Phreaker → cá nhân tấn công hệ thống điện thoại công cộng để thực hiện các cuộc gọi
miễn phí hoặc làm gián đoạn dịch vụ,
Tin tặc chuyên nghiệp → Thường là bậc thầy về nhiều kỹ năng,
Script kiddies → Sử dụng phần mềm do chuyên gia viết để khai thác hệ thống,
Cracker → cá nhân bẻ khóa hoặc loại bỏ lớp bảo vệ được thiết kế để ngăn chặn việc sao
chép hoặc sử dụng trái phép
Câu Hỏi 3 Kết nối các thủ tục kiểm soát an toàn CSDL nên được triển khai trong
đơn vị.
Kiểm soát kỹ thuật → dựa trên kiến thức về kiểm soát truy cập, xác thực, bảo mật ứng dụng, sao lưu,
phục hồi, mã hóa và kiểm soát tính toàn vẹn,
Kiểm soát vật lý → gồm sử dụng các trung tâm dữ liệu với cửa có khóa, hệ thống phòng cháy chữa
cháy, giám sát bằng video, và nhân viên bảo vệ,
Kiểm soát quản lý → bao gồm chính sách, thủ tục và các vấn đề quản trị doanh nghiệp

Chọn phát biểu đúng
a.Trộm cắp là loại nguy cơ thường trùng lặp với nguy cơ các cuộc tấn công phần mềm, gián
điệp & xâm nhập, tống tiền thông tin và xâm phạm quyền sở hữu trí tuệ.
b.Các chuyên gia an toàn thông tin đóng vai trò lớn trong việc xác định khi nào hệ thống/
công nghệ lỗi thời
c.Một số lỗi và lỗi phát triển phần cứng dẫn đến phần mềm khó hoặc không thể triển khai
theo cách an toàn
d.Việc sử dụng ngày càng nhiều công nghệ di động làm giảm nguy cơ bị đánh cắp dữ liệu
Phản hồi
The correct answer is:Trộm cắp là loại nguy cơ thường trùng lặp với nguy cơ các
cuộc tấn công phần mềm, gián điệp & xâm nhập, tống tiền thông tin và xâm phạm
quyền sở hữu trí tuệ.
Chọn phát biểu không đúng về nguy cơ "những tác động từ thiên nhiên"
a.Tổ chức không cho phép cá nhân đặt mật khẩu liên quan thông tin cá nhân hoặc có thể có
trong từ điển mật khẩu
b.Cần phải triển khai các kiểm soát để hạn chế thiệt hại, chuẩn bị các kế hoạch dự phòng
để tiếp tục hoạt động
c.Vì không thể chủ động tránh được loại nguy cơ này
d.Tất cả đều đúng
Phản hồi
The correct answer is:Tổ chức không cho phép cá nhân đặt mật khẩu liên quan thông tin cá
nhân hoặc có thể có trong từ điển mật khẩu
Để bảo vệ thông tin, tổ chức cần:
a.Tất cả đều đúng
b.Hiểu rõ bản thân

c.Biết các nguy cơ mà tổ chức không phải đối mặt
d. Hiểu rõ đối thủ
Phản hồi
The correct answer is:Hiểu rõ bản thân
LẦN 5
Tài sản trí tuệ KHÔNG bao gồm:
a. Thương hiệu
b. Phát biểu về sứ mạng, tầm nhìn của đơn vị trên báo cáo thường niên
c. Bằng sáng chế
d. Bí mật thương mại
The correct answer is: Phát biểu về sứ mạng, tầm nhìn của đơn vị trên báo cáo thường niên
Câu Hỏi 2 Kết nối 6 phương thức tấn công của virus và sâu
Quét và tấn công IP (IP scan and attack) →hệ thống bị nhiễm thực hiện quét một loạt các
địa chỉ IP và các cổng dịch vụ, và nhắm đến mục tiêu là một số lỗ hổng mà tin tặc đã biết
hoặc còn sót lại từ các lần khai thác trước đó,
Trình duyệt Web (Web browsing) → Nếu hệ thống bị nhiễm có quyền ghi vào bất kỳ trang
web nào, nó sẽ làm cho tất cả các tập nội dung Web bị lây nhiễm, do đó người dùng duyệt
các trang Web này sẽ bị nhiễm,
Giao thức quản lý mạng đơn giản (Simple Network Management Protocol SNMP) → Được
sử dụng để quản lý từ xa các thiết bị mạng và máy tính,
Virus → lỗi máy tính bị nhiễm sẽ lây nhiễm một số tập lệnh thực thi phổ biến trên tất cả các máy tính
mà nó có thể viết bằng mã virus có thể gây nhiễm trong tương lai,
Mass mail → Bằng cách gửi email bị nhiễm đến các địa chỉ có trong trong sổ địa chỉ, máy bị
nhiễm sẽ làm các máy khác bị nhiễm, những máy mà có chương trình đọc mail tự động hoạt
động và tiếp tục lại nhiễm cho nhiều hệ thống hơn,
Những chia sẻ không được bảo vệ (Unprotected shares) → Sử dụng các lỗ hổng trong hệ
thống tập tin, máy bị lây nhiễm sao chép thành phần virus đến tất cả các vị trí mà nó có thể
tiếp cận
Hãy điền vào chỗ trống:
Việc sử dụng trái phép tài sản trí tuệ dẫn đến ........ (2 từ) an toàn thông tin
Answer:
Phản hồi The correct answer is: nguy cơ
Mã đăng ký phần mềm duy nhất kết hợp với thỏa thuận cấp phép người dùng cuối
(end-user license agreement - EULA)
a. Tất cả đều đúng

b. Người dùng khi cài đặt phần mềm thường được yêu cầu hoặc thậm chí phải đăng ký
tài khoản sử dụng phần mềm của họ để hoàn thành cài đặt, nhận hỗ trợ kỹ thuật
hoặc sử dụng tất cả các tính năng
c. thường xuất hiện trong quá trình cài đặt phần mềm mới, yêu cầu người dùng cho
biết rằng họ đã đọc và đồng ý với các điều kiện sử dụng phần mềm
d. Digital watermark
thường xuất hiện trong quá trình cài đặt phần mềm mới, yêu cầu người dùng cho biết rằng
họ đã đọc và đồng ý với các điều kiện sử dụng phần mềm
Sự kết hợp của một số phần mềm và phần cứng sẽ phát hiện ra các lỗi mới
Hãy chọn một:

Đúng
Sai
Phản hồi
Thủ tục kiểm soát nào ít hiệu quả nhất trong đối phó với nguy cơ "sai sót của con
người"
a. Ban hành các chính sách hướng dẫn chi tiết về an toàn
b. Sao lưu dữ liệu dự phòng
c. Áp dụng các kỹ thuật hỗ trợ
d. Các hoạt động nâng cao nhận thức liên tục
Áp dụng các kỹ thuật hỗ trợ
LẦN 6

jailbreaking là
a. bẻ khóa
b. mã khóa
c. tấn công có chủ đích
d. bom thư
Câu trả lời của bạn đúng
The correct answer is: bẻ khóa
denial-of-service (DoS) attack là:
a. Tấn công hệ thống thông tin

b. Tấn công từ chối dịch vụ phân tán
c. Tấn công từ chối dịch vụ
d. Tấn công từ điển
The correct answer is: Tấn công từ chối dịch vụ

information extortion là cưỡng đoạt thông tin
Hãy chọn một:
Đúng
Sai
Phản hồi
brute force password attack là tấn công hệ thống Brute force
Hãy chọn một:
Đúng
Sai
Phản hồi
downtime là tình huống khi lượng điện cung cấp ở một khu vực ít hơn bình thường
Hãy chọn một:
Đúng
Sai
Phản hồi
Câu Hỏi 6 Xác định cách dịch của các thuật ngữ sau:

cyber activist → tin tặc với mục đích chính trị,
professional hacker → tin tặc chuyên nghiệp,
industrial espionage → gián điệp công nghiệp,
cracker → người bẻ khóa
Câu Hỏi 7Xác định cách dịch của các thuật ngữ sau:
jailbreaking → bẻ khóa,
worm → sâu,
spyware → phần mềm gián điệp,
ransomware → phần mềm máy tính được thiết kế đặc biệt để xác định và mã hóa thông tin
có giá trị trong hệ thống của nạn nhân nhằm tống tiền cho khóa cần thiết để mở khóa mã
hóa
rainbow table là bảng phân quyền
Hãy chọn một:
Đúng
Sai
Phản hồi
Câu Hỏi 9 Kết nối các thuật ngữ sau:
phreaker → người tấn công hệ thống điện thoại công cộng,

script kiddie → tin tặc có kỹ năng hạn chế,
hacktivist → tin tặc với mục đích chính trị,
novice hacker → tin tặc mới
brownout là tình huống khi lượng điện cung cấp ở một khu vực ít hơn bình thường
Hãy chọn một:
Đúng
Sai
Phản hồi

LẦN 7
information extortion là ...............(4 từ)
The correct answer is: cưỡng đoạt thông tin
service level agreement (SLA) là
a. Hiệp ước mức dịch vụ

b. thỏa thuận mức dịch vụ
c. Hiệp ước cung cấp dịch vụ
d. thỏa thuận dịch vụ
thỏa thuận mức dịch vụ

Tài sản trí tuệ là
a. Tất cả đều sai

b. Intellectual Asset (IA)
c. Intelligence property (IP)
d. Intellectual property (IP)
Intellectual property (IP)
virus hoax là
a. Thư rác bằng virus

b. Trò lừa bịp (virus)
c. mã độc
d. nguy cơ đa hình
Trò lừa bịp (virus)
exploit là.................. (2 từ)
The correct answer is: khai thác
non-memory-resident virus là virus cư trú trong bộ nhớ
Hãy chọn một:
Đúng
Sai
Phản hồi
maintenance hook là móc bảo trì
Hãy chọn một:
Đúng
Sai
Phản hồi

ăn cắp bản quyền phần mềm là:
a. polymorphic threat
b. malicious software
c. Intellectual property
d. software piracy
software piracy
advance-fee fraud là:
a. gian lận phí

b. gian lận phí ứng trước
c. sai sót trong phí ứng trước
d. gián đoạn tính khả dụng

gian lận phí ứng trước
trí tuệ cạnh tranh là ................... (2 từ)
The correct answer is: competitive intelligence
QUIZZ CHƯƠNG 3
Câu Hỏi 1Các chính sách về an toàn thông tin trong đơn vị cần:
a. Có thể khác biệt với luật pháp
b. Mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin này sẽ được đặt
trong các tiêu chuẩn, thủ tục và thực hành trong tài liệu hướng dẫn sử dụng và hệ thống của
người dùng)
c. Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
d. Được quản lý thích hợp thông qua khách hàng
Câu Hỏi 2
Mục tiêu của chương trình giáo dục, huấn luyện và nhận thức về an toàn (SETA)
a. Thay thế cho các chương trình giáo dục và huấn luyện chung
b. Tất cả đều đúng
c. Chống lại mối đe dọa liên quan đến lỗi của nhân viên
d. Là một biện pháp kiểm soát được thiết kế để xóa bỏ các sự cố do nhân viên vô tình vi
phạm an ninh.
Câu Hỏi 3
Chương trình an toàn thông tin có 6 chức năng (the six Ps). Phát biểu nào SAI về six Ps:
a. Programs (chương trình)
b. Principle (nguyên tắc)
c. Policy (chính sách)
d. People (con người)
The correct answer is: Principle (nguyên tắc)
Câu Hỏi 4 Kết nối các chính sách an toàn, theo Special Publication (SP) 800-14 của Viện
Tiêu chuẩn và Công nghệ Quốc gia (NIST):
Chính sách an toàn dành riêng cho hệ thống → thường hoạt động như các tiêu chuẩn hoặc
thủ tục được sử dụng khi cấu hình hoặc bảo trì hệ thống,
Chính sách an toàn đặc thù → đề cập đến quan điểm của tổ chức về các lĩnh vực công
nghệ, được cập nhật thường xuyên về các nội dung như E-mail, sử dụng Internet và World
Wide Web,
Chính sách an toàn thông tin doanh nghiệp → xác định mục đích, phạm vi, các ràng buộc và
khả năng áp dụng của chương trình an ninh
Câu Hỏi 5Vai trò của bộ phận CNTT
a. Bảo vệ tất cả các tài sản thông tin
b. Áp dụng các nguyên tắc quản trị công ty vào chức năng bảo mật thông tin
c. Kiểm soát hoặc quản lý các quá trình được sử dụng bởi một nhóm người để hoàn thành
một số mục tiêu
d. Cung cấp thông tin và tài nguyên thông tin một cách hữu hiệu và hiệu quả
The correct answer is: Cung cấp thông tin và tài nguyên thông tin một cách hữu hiệu và hiệu
quả
Câu Hỏi 6 Điền vào chỗ trống:
Từ chiến lược tổng quát (general strategy), đơn vị tiến hành lập kế hoạch chiến lược
(strategic planning): Đề ra phương hướng ....... (2 từ) mà đơn vị và từng bộ phận cần thực
hiện, tập trung nguồn lực hướng đến các mục tiêu (goals)
The correct answer is: dài hạn

LẦN 2
Câu Hỏi 1 Phẩm chất của nhà lãnh đạo an toàn thông tin bao gồm:
a. Quản trị (Governance), Quản lý nguy cơ (Threat management), và Tuân thủ (Compliance)
b. Quản trị (Governance), Quản lý rủi ro (Risk management), và Chính sách (Policy)
c. Kiểm soát (Control), Quản lý rủi ro (Risk management), và Tuân thủ (Compliance)
d. Quản trị (Governance), Quản lý rủi ro (Risk management), và Tuân thủ (Compliance)
Chính sách an toàn đặc thù → Đề cập đến quan điểm của tổ chức về các lĩnh vực công
nghệ, được cập nhật thường xuyên về các nội dung như sử dụng các thiết bị máy tính của
tổ chức tại nhà,
Chính sách an toàn dành riêng cho hệ thống → Có thể bao gồm một tuyên bố về ý định của
người quản lý,
Chính sách an toàn thông tin doanh nghiệp → Tổng quan triết lý của tổ chức về an toàn
Chọn phát biểu đúng về “bảng thiết kế chi tiết về an toàn toàn thông tin” (The Information
Security Blueprint)
a. Được xây dựng dựa trên các kỳ vọng an toàn thông tin của tổ chức
b. Nhóm an toàn phát triển một bảng thiết kế chi tiết với thiết kế được sử dụng để triển khai
chương trình an toàn và được trang bị ý tưởng chung về các thủ tục kiểm soát trong hệ
thống CNTT của tổ chức
c. Nên điều chỉnh hoặc áp dụng một mô hình an toàn thông tin được công nhận rộng rãi bởi
một tổ chức hoặc cơ quan an toàn đã thành lập để lập bảng thiết kế chi tiết về an toàn thông
tin
d. Nhóm an toàn không nên sửa đổi hoặc điều chỉnh mô hình cho phù hợp với đặc thù của
tổ chức trước khi áp dụng
Sau khi đã phát triển tiêu chuẩn và thực hành triển khai an toàn thông tin, tổ chức bắt đầu
phát triển bảng ............ (2 từ) chi tiết về an toàn thông tin
Answer:
The correct answer is: thiết kế
Câu Hỏi 5 Quản trị an toàn thông tin là việc áp dụng các nguyên tắc và thông lệ quản trị
doanh nghiệp vào chức năng an toàn thông tin, nhấn mạnh trách nhiệm của ban giám đốc
và/hoặc quản lý cấp cao đối với việc ......................(2 từ) an toàn thông tin trong tổ chức.
Answer:
The correct answer is: giám sát
Câu Hỏi 6 Nếu bất kỳ chính sách, tiêu chuẩn hoặc thực hành triển khai nào ............. (1 từ)
được hoàn thiện, cần xác định xem có nên tiếp tục phát triển bảng thiết kế chi tiết về an toàn
thông tin hay không
Answer:
The correct answer is: chưa
LẦN 3
Chính sách an Answer 1

toàn thông tin
doanh nghiệp Chọn...Tổng quan triết lý của tổ chức về an toànĐề cập đến quan điểm
của tổ chức về các lĩnh vực công nghệ, được cập nhật thường xuyên
về các nội dung như sử dụng các thiết bị máy tính của tổ chức tại
nhàCó thể bao gồm một tuyên bố về ý định của người quản lý

toàn đặc thù
Chọn...Tổng quan triết lý của tổ chức về an toànĐề cập đến quan điểm
của tổ chức về các lĩnh vực công nghệ, được cập nhật thường xuyên

toàn dành
riêng cho hệ Chọn...Tổng quan triết lý của tổ chức về an toànĐề cập đến quan điểm
thống của tổ chức về các lĩnh vực công nghệ, được cập nhật thường xuyên
Chính sách an toàn thông tin doanh nghiệp → Tổng quan triết lý của tổ chức về an toàn,
tổ chức tại nhà,
Chính sách an toàn dành riêng cho hệ thống → Có thể bao gồm một tuyên bố về ý định của người
quản lý
Bảng thiết kế chi tiết về an toàn thông tin (The Information Security Blueprint) là bản triển
khai chi tiết từ khuôn mẫu an toàn thông tin, chỉ định các ................. (2 từ) và thứ tự hoàn
thành
Answer:
The correct answer is: nhiệm vụ
Câu Hỏi 3 Kế hoạch chiến thuật (tactical planning)
a. Được tạo ra cho các nhà quản lý và nhân viên sử dụng để đơn vị thực hiện nhiệm vụ tác
nghiệp hàng ngày
b. Gom chung các mục tiêu chiến lược thành các mục tiêu liên tục
c. Bao gồm các nhiệm vụ cần thiết cho tất cả các bộ phận liên quan
d. tập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1 hoặc 2 năm
The correct answer is: Tập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1
hoặc 2 năm
Câu Hỏi 4 Các kế hoạch dự phòng (CP)
a. Giúp khôi phục tổ chức về chế độ hoạt động kinh doanh bình thường sau một sự cố
b. Nhân viên có vai trò quan trọng trong việc lập CP
c. CP thuộc nhóm kế hoạch ứng phó sự cố
d. Nên thuê tổ chức chuyên nghiệp thực hiện
The correct answer is: Giúp khôi phục tổ chức về chế độ hoạt động kinh doanh bình thường
sau một sự cố
Câu Hỏi 6 Chương trình an toàn thông tin có 6 chức năng (the six Ps). Phát biểu nào SAI về
six Ps:
a. People (con người)
b. Principle (nguyên tắc)
c. Policy (chính sách)
d. Programs (chương trình)
The correct answer is: Principle (nguyên tắc)
LẦN 4
Câu Hỏi 1 Các chính sách về an toàn thông tin trong đơn vị cần:
a. Mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin này sẽ được đặt
người dùng)
b. Được quản lý thích hợp thông qua khách hàng
c. Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
d. Có thể khác biệt với luật pháp
The correct answer is: Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
Câu Hỏi 2 Quản trị an toàn thông tin là việc áp dụng các nguyên tắc và thông lệ quản trị
doanh nghiệp vào chức năng an toàn thông tin, nhấn mạnh trách nhiệm của ban giám đốc
và/hoặc quản lý cấp cao đối với việc ......................(2 từ) an toàn thông tin trong tổ chức.
Answer:
The correct answer is: giám sát
Câu Hỏi 3 Kế hoạch chiến thuật (tactical planning)
a. Được tạo ra cho các nhà quản lý và nhân viên sử dụng để đơn vị thực hiện nhiệm vụ tác
nghiệp hàng ngày
b. Tập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1 hoặc 2 năm
c. Bao gồm các nhiệm vụ cần thiết cho tất cả các bộ phận liên quan
d. Gom chung các mục tiêu chiến lược thành các mục tiêu liên tục
The correct answer is: Tập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1
hoặc 2 năm
Câu Hỏi 4 Chọn phát biểu đúng về bảng thiết kế chi tiết về an toàn toàn thông tin (The
Information Security Blueprint)
a. Nhóm an toàn không nên sửa đổi hoặc điều chỉnh mô hình cho phù hợp với đặc thù của
tổ chức trước khi áp dụng
b. Được xây dựng dựa trên các kỳ vọng an toàn thông tin của tổ chức
c. Nhóm an toàn phát triển một bảng thiết kế chi tiết với thiết kế được sử dụng để triển khai
chương trình an toàn và được trang bị ý tưởng chung về các thủ tục kiểm soát trong hệ
thống CNTT của tổ chức
d. Nên điều chỉnh hoặc áp dụng một mô hình an toàn thông tin được công nhận rộng rãi bởi
một tổ chức hoặc cơ quan an toàn đã thành lập để lập bảng thiết kế chi tiết về an toàn thông
tin
Câu Hỏi 5 Các kế hoạch dự phòng (CP)
a. CP thuộc nhóm kế hoạch ứng phó sự cố
b. Nên thuê tổ chức chuyên nghiệp thực hiện
c. Nhân viên có vai trò quan trọng trong việc lập CP
d. Giúp khôi phục tổ chức về chế độ hoạt động kinh doanh bình thường sau một sự cố
Từ chiến lược tổng quát (general strategy), đơn vị tiến hành lập kế hoạch chiến lược
(strategic planning): Đề ra phương hướng ....... (2 từ) mà đơn vị và từng bộ phận cần thực
hiện, tập trung nguồn lực hướng đến các mục tiêu (goals)
The correct answer is: dài hạn
LẦN 5
Câu Hỏi 1 Đánh giá lại sau thực hiện khắc phục sự cố (after-action review – AAR)
a. Giải quyết các biện pháp bảo vệ không thể ngăn chặn hoặc hạn chế sự cố, hoặc các
biện pháp bảo vệ không có trong hệ thống ngay từ đầu
b. Khôi phục niềm tin cho các cộng đồng quan tâm của tổ chức, nên công bố một bản ghi
nhớ ngắn nêu rõ sự cố và đảm bảo với mọi người rằng nó đã được kiểm soát với mức thiệt
hại ít nhất có thể
c. Cách tiếp cận này cho phép các thành viên trong nhóm cập nhật kế hoạch IR trong khi
những thay đổi cần thiết vẫn còn mới và lưu rõ trong tâm trí họ
d. Khôi phục dữ liệu từ các bản sao lưu
Câu Hỏi 2 Phát biểu này KHÔNG phải là mục tiêu của quản trị an toàn thông tin.
a. Đo lường thành quả bằng cách đo lường, giám sát và báo cáo các chỉ số quản trị an toàn
thông tin để đảm bảo đạt được các mục tiêu của tổ chức
b. Liên kết chiến lược của an toàn thông tin với chiến lược kinh doanh để hỗ trợ các mục
tiêu của tổ chức
c. Cung cấp giá trị bằng cách tối thiểu hóa các lợi ích an toàn thông tin để hỗ trợ các mục
d. Quản lý tài nguyên bằng cách sử dụng kiến thức và cơ sở hạ tầng an toàn thông tin một
cách hữu hiệu và hiệu quả
Câu Hỏi 3 Đoạn văn câu hỏi
Điền vào chỗ trống về kế hoạch phục hồi sự cố:
Tổ chức phải đánh giá toàn bộ mức độ .............. (2 từ) để xác định cách khôi phục hệ thống
về trạng thái hoạt động đầy đủ
The correct answer is: thiệt hại
Theo mô hình an toàn NIST SP 800-14, các nguyên tắc thực hành về an toàn bao gồm:
a. An toàn là một yếu tố có thể bỏ qua của quản lý hữu hiệu
b. An toàn yêu cầu một phương pháp toàn diện và tích hợp
c. An toàn không cần hiệu quả về mặt chi phí, quan trọng là giảm thiểu được rủi ro
d. An toàn không bị hạn chế bởi các yếu tố xã hội
The correct answer is: An toàn yêu cầu một phương pháp toàn diện và tích hợp
Câu Hỏi 5 Các chính sách về an toàn thông tin trong đơn vị cần:
a. Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
b. Được quản lý thích hợp thông qua khách hàng
c. Có thể khác biệt với luật pháp
d. Mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin này sẽ được đặt
người dùng)
Câu Hỏi 6 Lĩnh vực chính của quản lý khủng hoảng
a. Tất cả đều đúng

b. Kiểm tra danh sách nguy cơ
c. Kiểm tra danh sách tài sản
d. Kiểm tra danh sách cảnh báo
The correct answer is: Kiểm tra danh sách cảnh báo
LẦN 6
Câu Hỏi 1Đúng một phầnĐạt điểm 0,75 trên 1,00Đặt cờ
Kết nối các thuật ngữ sau:
Information Security Answer 1

Program
Chọn...Bảng kế hoạch chi tiết về an toàn thông tinChương trình
an toàn thông tinQuản trị an toàn thông tinVành đai an toàn điện
tử

Blueprint
tử

Governance
tử
Electronic security Answer 4

perimeter
tử
Câu trả lời của bạn đúng một phần.
Bạn đã chọn đúng 3.

Information Security Program → Chương trình an toàn thông tin,
Information Security Blueprint → Bảng kế hoạch chi tiết về an toàn thông tin,
Information Security Governance → Quản trị an toàn thông tin,

Electronic security perimeter → Vành đai an toàn điện tử
Câu Hỏi 2 ISSP là (đáp án bằng tiếng Anh)
Answer:
The correct answer is: Issue-specific security policies
Câu Hỏi 3 Enterprise information security policies được viết tắt là
The correct answer is: EISP
Câu Hỏi 4 Đoạn văn câu hỏi
Thuật ngữ quản trị an toàn thông tin trong tiếng Anh là:
a. Information Security Governance
b. Information Security Framework
c. Information Security Management
d. Information Security Model
Câu Hỏi 5Chính sách an toàn đặc thù là
a. ISSP
b. ISSB
c. EISP
d. SysSP
Câu Hỏi 6
"Strategic plan" differs with "Strategic planning"
Hãy chọn một:
Đúng
Sai
Câu Hỏi 7 Physical security perimeter là
a. Vành đai an toàn điện tử
b. Vành đai an toàn không gian
c. Vành đai an toàn hệ thống
d. Vành đai an toàn vật lý

Vành đai an toàn vật lý
Câu Hỏi 8 Phẩm chất lãnh đạo an toàn thông tin là
a. Information Security Ethic
b. Information Security Leadership
c. Information Security Manager
d. Information Security Leade
Câu Hỏi 9 Chương trình giáo dục, huấn luyện, nâng cao nhận thức về an toàn được viết tắt
trong tiếng Anh là: SETA
Câu Hỏi 10 Chính sách an toàn thông tin doanh nghiệp là ISSP
Hãy chọn một:
Đúng
Sai
CHƯƠNG 4
LẦN 1
Câu Hỏi 1

Phương pháp chuẩn so sánh
a. Liên quan đến việc tìm kiếm và nghiên cứu các phương pháp được sử dụng trong
các tổ chức khác
b. Sử dụng các tiêu chuẩn để tự xếp hạng so với các tổ chức không tương đồng trong
ngành có quy mô hoặc thị trường tương tự
c. Đo lường sự tương đồng giữa cách tổ chức tiến hành kinh doanh và cách các tổ
chức khác kinh doanh
d. Tất cả đều saikhác
Câu Hỏi 2 Mức độ tổn thất là:
a. Xác định số lượng tài sản thông tin có thể bị mất trong một cuộc tấn công thành công
b. Việc tính toán khả năng xảy ra một cuộc tấn công cùng với tần suất tấn công để xác
định số tổn thất dự kiến trong một khoảng thời gian xác định
c. Số lượng các cuộc tấn công thành công dự kiến sẽ xảy ra trong một khoảng thời
gian xác định.
d. Xác suất mà một điểm yếu tiềm ẩn cụ thể trong một tổ chức sẽ là mục tiêu của một
cuộc tấn công
Câu Hỏi 3 Chiến lược chuyển giao rủi ro có thể được thực hiện bằng cách:
a. Thực hiện kế hoạch phản ứng với sự cố

b. Bắt đầu bằng việc phát hiện sớm một cuộc tấn công đang diễn ra và phản ứng
nhanh chóng, hữu hiệu và hiệu quả.
c. Tránh các hoạt động kinh doanh gây ra rủi ro không thể kiểm soát
d. Thuê ngoài (outsource) các tổ chức khác
Câu Hỏi 4 Phát biểu nào KHÔNG đúng về bảng nguy cơ – điểm yếu tiềm ẩn – tài
sản (TVA)
a. Tài liệu xếp hạng so sánh các tài sản tương ứng với các nguy cơ, và dấu hiệu về
bất kỳ điểm yếu tiềm ẩn nào trong các cặp tài sản/ nguy cơ
b. Bắt buộc phải có nhiều điểm yếu tiềm ẩn giữa nguy cơ X và tài sản Z
c. Đóng vai trò là điểm khởi đầu cho bước tiếp theo trong quy trình quản lý rủi ro —
đánh giá rủi ro
d. Một cặp tài sản, nguy cơ, và các điểm yếu tiềm ẩn tồn tại giữa chúng
An toàn thông tin và quản lý rủi ro phải trở thành một phần không thể thiếu của việc
ra quyết định kinh doanh dựa trên cơ sở .......kinh tế.............. (2 từ) tức là cân bằng
lợi ích và chi phí
Câu Hỏi 6 Nội dung nào không thuộc giai đoạn kiểm soát rủi ro
a. Triển khai, theo dõi và đánh giá các kiểm soát rủi ro
b. Lựa chọn chiến lược kiểm soát
c. Lập kế hoạch và tổ chức đánh giá rủi ro
d. Chứng minh các thủ tục kiểm soát
LẦN 2
Câu Hỏi 1 Nội dung nào không thuộc giai đoạn xác định rủi ro
a. Xác định, sắp xếp ưu tiên các nguy cơ

b. Chứng minh các thủ tục kiểm soát
c. Xác định, kiểm kê và phân loại tài sản
d. Xác định các điểm yếu tiềm ẩn
Câu Hỏi 2Điền vào chỗ trống:
Yêu cầu phân nhóm tài sản thông tin đó là các nhóm tài sản phải toàn diện
và ....phân biệt (2 từ) lẫn nhau.
Câu Hỏi Phải thực thi các chính sách để đảm bảo rằng không có thông tin đã
phân loại nào bị vứt bỏ trong thùng rác hoặc các khu tái chế là:
a. Phân quyền an ninh

b. Quản lý dữ liệu đã phân nhóm
c. Chính sách bàn làm việc sạch
d. Phân nhóm dữ liệu
Câu Hỏi 4 Phương pháp thực hành tốt nhất là các quy trình hoặc thủ tục thực
hành tốt nhất dưới dạng văn bản đã được chứng minh là có ................... (2 từ) hoặc
đã được một người/ tổ chức đáng tin cậy đề xuất
The correct answer is: hiệu quả
Câu Hỏi 5 Phát biểu nào không phải là mục tiêu của kiểm kê tài sản thông tin
a. Không có phát biểu KHÔNG đúng

b. Để hiểu những gì tổ chức đang bảo vệ
c. Thiết lập mức độ ưu tiên tương đối của tài sản đối với sự thành công của tổ chức
d. Xác định nơi thông tin được lưu trữ
Câu Hỏi 6 Tổ chức phải duy trì tính bảo mật, quyền riêng tư và đảm bảo tính
toàn vẹn của dữ liệu bằng cách áp dụng các nguyên tắc .................. (4 từ) để theo
kịp sự cạnh tranh.
The correct answer is: quản lý rủi ro
LẦN 3
Câu Hỏi 1 Chọn phát biểu đúng về nhân sự tham gia chương trình quản lý rủi ro
a. Cộng đồng an toàn thông tin đóng vai trò phụ trong hỗ trợ chương trình quản lý rủi ro
b. Cộng đồng CNTT cân bằng tính hữu ích và bảo mật của HTTT
c. Cộng đồng an toàn thông tin hỗ trợ chương trình quản lý rủi ro
d. Cộng đồng an toàn thông tin xác định, đánh giá và kiểm soát rủi ro đối với tài sản
thông tin
Câu Hỏi 2Điền vào công thức sau:
Rủi ro = ................................ x Mức độ tổn thất + Sự không chắc chắn của các ước
tính
a. Tỷ lệ thành công của cuộc tấn công (attack success probability)
b. Tổn thất có thể xảy ra (Probable Loss)
c. Tần suất tổn thất
d. Xác suất xảy ra tấn công (likelihood)
Câu Hỏi 3 Sự không chắc chắn của các ước tính trong tính toán rủi ro xuất hiện
KHÔNG do yếu tố nào?
a. Những hạn chế về mức độ mà tương lai sẽ giống với quá khứ
b. Kiến thức không hoàn hảo hoặc không đầy đủ về nguy cơ
c. Sự phụ thuộc đã được nhận biết, có thể dẫn đến các tác động không lường trước
được -> sự phụ thuộc chưa được nhận biết
d. Các lỗ hổng chưa được phát hiện trong công nghệ hoặc sản phẩm
Câu Hỏi 4 Tần suất tổn thất là:
a. Số lượng các cuộc tấn công thành công dự kiến sẽ xảy ra trong một khoảng thời
gian xác định.
b. Việc tính toán khả năng xảy ra một cuộc tấn công cùng với tần suất tấn công để xác
định số tổn thất dự kiến trong một khoảng thời gian xác định
c. Xác định số lượng tài sản thông tin có thể bị mất trong một cuộc tấn công thành công
d. Xác suất mà một điểm yếu tiềm ẩn cụ thể trong một tổ chức sẽ là mục tiêu của một
cuộc tấn công
Nội dung nào không thuộc giai đoạn xác định rủi ro
a. Đánh giá mức độ tổn thất

b. Lập kế hoạch và tổ chức quy trình
c. Phân nhóm, định giá và sắp xếp ưu tiên các tài sản
d. Xác định, sắp xếp ưu tiên các nguy cơ
Câu Hỏi 6 Mô tả cấu trúc của bảng nguy cơ – điểm yếu tiềm ẩn – tài sản (TVA)
Cột Answer 1
Chọn...Thể hiện tài sản thông tin
Dòn Answer 2
g
Chọn...Thể hiện các nguy cơ
Lưới Answer 3
kết
quả
Chọn...Thể hiện điểm yếu bảo mật (exposure) của tài sản và cho phép đánh
giá điểm yếu tiềm ẩn
Phản hồi
Cột → Thể hiện tài sản thông tin,
Dòng → Thể hiện các nguy cơ,
Lưới kết quả → Thể hiện điểm yếu bảo mật (exposure) của tài sản và cho phép đánh giá
điểm yếu tiềm ẩn
LẦN 4
Câu Hỏi 1 Yếu tố Không cần xem xét khi định giá tài sản thông tin
a. Chi phí cung cấp thông tin

b. Doanh thu không được tạo ra từ thông tin
c. Chi phí tạo ra tài sản thông tin
d. Giá trị của tài sản trí tuệ
Câu Hỏi 2 Chọn phát biểu đúng
a. Trong thời kỳ đầu của CNTT, các doanh nghiệp mong muốn ứng dụng CNTT để
ngăn chặn sự vượt trội của đối thủ cạnh tranh
b. Trong thời đầu của CNTT, các doanh nghiệp mong muốn ứng dụng CNTT để tránh
bất lợi cạnh tranh
c. Trong thời kỳ đầu của CNTT, các doanh nghiệp mong muốn ứng dụng CNTT để
giành lợi thế cạnh tranh
d. Trong thời hiện tại của CNTT, các doanh nghiệp mong muốn ứng dụng CNTT để
giành lợi thế cạnh tranh
Câu Hỏi 3 Chiến lược kiểm soát rủi ro cố gắng giảm thiểu tác động của tổn thất
do một sự cố, thảm họa hoặc cuộc tấn công đã xảy ra thông qua lập kế hoạch dự
phòng và chuẩn bị hiệu quả là
a. Chiến lược phòng thủ

b. Chiến lược chuyển giao
c. Chiến lược né tránh
d. Chiến lược giảm thiểu
e. Chiến lược chấp nhận
Yêu cầu phân nhóm tài sản thông tin là phải cụ thể để có thể dễ hiểu và xác định
mức độ ưu tiên
Hãy chọn một:

Đúng
Sai
Tích của dự báo tổn thất đơn lẻ và tỷ lệ xuất hiện hàng năm là
a. Dự báo tổn thất hàng năm

b. Tỷ lệ xuất hiện hàng năm
c. Tỷ lệ thiệt hại kỳ vọng
d. Dự báo tổn thất đơn lẻ
Sơ đồ phân loại dữ liệu (Data classification scheme) là một PP luận kiểm soát truy
cập chính thức được sử dụng để xác định ....................... (4 từ) cho một tài sản
thông tin và do đó hạn chế số lượng người có thể truy cập nó.
The correct answer is: mức độ bảo mật

LẦN 5
Câu Hỏi 1
Chọn phát biểu đúng
a. Chìa khóa cho tổ chức là tìm ra sự cân bằng trong việc ra quyết định và phân tích
tính khả thi nhằm đảm bảo rằng mức độ chấp nhận rủi ro của tổ chức dựa trên kinh
nghiệm và thực tế
b. Tất cả đều đúng
c. Mục tiêu của an ninh thông tin là giảm rủi ro còn lại bằng 0
d. Rủi ro còn lại bị ảnh hưởng bởi mức độ chấp nhận rủi ro
Chìa khóa cho tổ chức là tìm ra sự cân bằng trong việc ra quyết định và phân tích tính khả
thi nhằm đảm bảo rằng mức độ chấp nhận rủi ro của tổ chức dựa trên kinh nghiệm và thực
tế
Kết nối các dữ liệu theo phân nhóm dữ liệu
Tất cả thông tin đã được nhà quản trị phê duyệt để công bố Answer 1
Chọn...Mức độ công khai
công khai
Các thông tin nội bộ không đáp ứng các tiêu chí cho loại bí Answer 2
mật
Chọn...Mức độ nội bộ
Thông tin “nhạy cảm” hoặc “độc quyền” Answer 3
Chọn...Mức độ bảo mật
Phản hồi
Tất cả thông tin đã được nhà quản trị phê duyệt để công bố công khai → Mức độ công khai,
Các thông tin nội bộ không đáp ứng các tiêu chí cho loại bí mật → Mức độ nội bộ,
Thông tin “nhạy cảm” hoặc “độc quyền” → Mức độ bảo mật
Nếu Rủi ro còn lại > mức độ chấp nhận rủi ro thì
a. Chuyển sang giai đoạn kiểm soát rủi ro sau và tiếp tục theo dõi và đánh giá các biện
pháp kiểm soát và tài sản
b. Phải thực hiện chiến lược chấp nhận rủi ro
c. Tất cả đều đúng
d. Phải tìm kiếm các chiến lược bổ sung để giảm thiểu rủi ro hơn nữa
Phải tìm kiếm các chiến lược bổ sung để giảm thiểu rủi ro hơn nữa
Câu Hỏi 4Đúng một phầnĐạt điểm 0,33 trên 1,00Đặt cờ
Kết nối định nghĩa của các khái niệm sau:
Sự kiện tiềm tàng không mong muốn có thể xảy ra gây thiệt Answer 1
hại cho doanh nghiệp
Chọn...Rủi ro
Bất kỳ sự kiện hoặc hoàn cảnh nào có khả năng ảnh hưởng Answer 2
xấu đến hoạt động và tài sản của tổ chức
Chọn...Nguy cơ
Nhược điểm có sẵn trong hệ thống hoặc trong các hệ thống Answer 3
phòng thủ
Chọn...Điểm yếu tiềm

ẩn
Phản hồi
Sự kiện tiềm tàng không mong muốn có thể xảy ra gây thiệt hại cho doanh nghiệp → Rủi ro,
Bất kỳ sự kiện hoặc hoàn cảnh nào có khả năng ảnh hưởng xấu đến hoạt động và tài sản
của tổ chức → Nguy cơ,
Nhược điểm có sẵn trong hệ thống hoặc trong các hệ thống phòng thủ → Điểm yếu tiềm ẩn
Câu Hỏi 5
Chọn phát biểu KHÔNG đúng về nguy hiểm
a. đại diện cho số lượng thiệt hại

b. là xác suất của một nguy cơ tấn công tổ chức
c. đại diện cho tần suất một cuộc tấn công có thể xảy ra
d. Có thể sử dụng phương pháp định lượng để xác định nguy hiểm
Câu Hỏi 6

Đánh giá các nguy cơ đối với tài sản thông tin, bao gồm xác định các tiềm ẩn làm
gia tăng ............... (2 từ) đối với tổ chức.
The correct answer is: nguy hiểm
LẦN 6
Vulnerability là nguy cơ
Hãy chọn một:
Đúng
Sai
Phản hồi

Bảng nguy cơ – điểm yếu tiềm ẩn – tài sản
a. Tolerance-vulnerabilities-assets (TVA) worksheet

b. Threats-vulnerabilities-assets (TVA) worksheet
c. Threats-vulnerabilities-Agent (TVA) worksheet
d. Threats-value-assets (TVA) worksheet
Phản hồi
Threats-vulnerabilities-assets (TVA) worksheet
Chiến lược kiểm soát: chuyển giao rủi ro là
a. Defense risk control strategy

b. Acceptance risk control strategy
c. Termination risk control strategy
d. Transference risk control strategy
Phản hồi
Transference risk control strategy
Kết nôi các khái niệm
Annualized loss expectancy - ALE Answer 1
Chọn...Dự báo tổn thất hàng năm
Dự báo tổn thất đơn lẻ Answer 2
Chọn...Single loss expectancy
Chi phí thường niên của biện pháp bảo vệ Answer 3
Chọn...Annualized cost of a safeguard -

ACS
lPhân tích lợi ích – chi phí Answer 4
Chọn...Cost-Benefit Analysis (CBA)
Phản hồi
Annualized loss expectancy - ALE → Dự báo tổn thất hàng năm,
Dự báo tổn thất đơn lẻ → Single loss expectancy - SLE,
Chi phí thường niên của biện pháp bảo vệ → Annualized cost of a safeguard - ACS,
Phân tích lợi ích – chi phí → Cost-Benefit Analysis (CBA)

Rủi ro còn lại là ..............(1 word) risk
Answer:
Phản hồi
The correct answer is: residual
Tỷ lệ thành công của cuộc tấn công là
a. Annualized cost of a safeguard

b. Annualized rate of occurrence
c. Annualized loss expectancy
d. Attack Success Probability
Phản hồi

Attack Success Probability
QUIZZ CHƯƠNG 5
CHƯƠNG 5
Câu Hỏi 1
Đúng
Đạt điểm 1,00 trên 1,00
Đặt cờ
Lập kế hoạch ứng phó sự cố (Incident response planning)
a.Chuẩn bị cho tổ chức để thiết lập lại/ di dời các hoạt động kinh doanh quan trọng bị ảnh
hưởng trong thời gian xảy ra thảm họa đến hoạt động tại site chính.
b.Bao gồm việc xác định, phân loại sự cố và ứng phó với nó
c.Sau khi có kế hoạch ứng phó sự cố và khắc phục hậu quả sau thảm họa, tổ chức cần xem
xét việc tìm kiếm các phương tiện tạm thời để hỗ trợ khả năng tiếp tục tồn tại của mình
trong thảm họa
d.Là quá trình chuẩn bị cho một tổ chức xử lý thảm họa và phục hồi sau thảm họa (thảm
họa do tự nhiên / con người)
Phản hồi
The correct answer is: Bao gồm việc xác định, phân loại sự cố và ứng phó với nó
Câu Hỏi 2
Đúng
Đặt cờ
Các nhà lập kế hoạch nên xác định điểm tối ưu cho việc khôi phục hệ thống thông
tin để đáp ứng nhu cầu khôi phục do BIA yêu cầu đồng thời ............... (2 từ) giữa chi
phí tổn thất do hệ thống không hoạt động với chi phí tài nguyên cần thiết để khôi
phục hệ thống
Answer:
Phản hồi The correct answer is: cân bằng
Câu Hỏi 3
Đúng
Đặt cờ
Việc áp dụng các nguyên tắc quản trị công ty vào chức năng bảo mật thông tin là:
a.Lập kế hoạch chiến thuật
b.Lập kế hoạch chiến lược
c.Lập kế hoạch hoạt động
d.Quản trị an toàn thông tin

Phản hồi
The correct answer is: Quản trị an toàn thông tin

Câu Hỏi 4
Không trả lời
Đạt điểm 1,00
Đặt cờ
Quản trị an toàn thông tin bao gồm tất cả các trách nhiệm giải trình và các phương
pháp do hội đồng quản trị và ban quản lý điều hành đảm nhận để cung cấp định
hướng ....... (2 từ)
Answer:
Phản hồi :The correct answer is: chiến lược
Câu Hỏi 5
Đúng

Đặt cờ
Lĩnh vực chính của quản lý khủng hoảng
a.Kiểm tra danh sách tài sản
c.Kiểm tra danh sách nguy cơ
d.Kiểm tra danh sách cảnh báo

Phản hồi
The correct answer is: Kiểm tra danh sách cảnh báo
Câu Hỏi 6
Đúng
Đặt cờ
Kết nối các chính sách an toàn, theo Special Publication (SP) 800-14 của Viện Tiêu
chuẩn và Công nghệ Quốc gia (NIST):
Chính sách an toàn thông tin doanh nghiệp → Tổng quan triết lý của tổ chức về an toàn,
Chính sách an toàn dành riêng cho hệ thống → Có thể bao gồm một tuyên bố về ý định của
người quản lý,
tổ chức tại nhà
LẦN 2
Câu Hỏi 1
Đúng
Đặt cờ
Sắp xếp thứ tự hợp lý trong tiến trình lập kế hoạch dự phòng
Tạo chiến lược dự phòng
Đảm bảo duy trì kế hoạch
Xây dựng kế hoạch dự phòng (CP)
Tiến hành thực hiện phân tích tác động kinh doanh (business impact analysis-BIA)
Đảm bảo kế hoạch kiểm tra, huấn luyện và luyện tập
Phát triển tuyên bố chính sách CP
Xác định các biện pháp kiểm soát phòng ngừa

Phản hồi
→ 4,
→ 7,
→ 5,
→ 2,
→ 6,
→ 1,
→3
Câu Hỏi 2
Đúng

Đặt cờ
Xác định sứ mệnh/ quy trình kinh doanh và mức độ quan trọng của việc phục hồi
trong BIA
a.Xác định nguồn lực nào cần thiết để khôi phục các quy trình và tài sản có liên quan sau
khi đã tạo ra danh sách ưu tiên cho các sứ mệnh và quy trình kinh doanh của mình
b.Mỗi bộ phận, đơn vị hoặc bộ phận kinh doanh phải được đánh giá độc lập để xác định
mức độ quan trọng của các chức năng của nó đối với toàn bộ tổ chức
c.Nên xác định, phân loại và ưu tiên các tài sản thông tin của mình, đặt nhãn phân loại trên
mỗi kho lưu trữ thông tin để hiểu rõ hơn giá trị của nó và ưu tiên bảo vệ nó
d.Xác định và mô tả các nguồn lực liên quan cần thiết để cung cấp hoặc hỗ trợ cho mỗi quá
trình và tài sản thông tin được xác định trong giai đoạn BIA
Phản hồi
The correct answer is: Mỗi bộ phận, đơn vị hoặc bộ phận kinh doanh phải được đánh giá
độc lập để xác định mức độ quan trọng của các chức năng của nó đối với toàn bộ tổ chức
Câu Hỏi 3
Kết nối các hoạt động trong tiến trình lập kế hoạch dự phòng
→ Giúp xác định và ưu tiên các hệ thống thông tin và các thành phần quan trọng để hỗ trợ
sứ mệnh / quy trình kinh doanh của tổ chức,
→ Các biện pháp được thực hiện để giảm ảnh hưởng của sự gián đoạn hệ thống,
→ Các chiến lược khôi phục kỹ lưỡng đảm bảo rằng hệ thống có thể được phục hồi nhanh
chóng và hiệu quả sau sự cố,
→ Một chính sách chính thức cung cấp thẩm quyền và hướng dẫn cần thiết để phát triển
một kế hoạch dự phòng hiệu quả
Câu Hỏi 4
Không trả lời
Đạt điểm 1,00
Đặt cờ
Kết nối các chức năng của quản trị an toàn thông tin với các đối tượng chịu trách
nhiệm trong đơn vị:
Giám sát tình hình an ninh tổng thể của công ty (chịu Answer 1 Chọn... Nhà quản
trách nhiệm trước hội đồng quản trị) ;ý cấp trung CEO CIO
Nhân viên
Phản ứng với các vi phạm an toàn thông tin (điều tra, Answer 2 Chọn... Nhà quản
giảm nhẹ, kiện tụng) ;ý cấp trung CEO CIO
Nhân viên
Thực hiện chính sách; báo cáo các điểm yếu tiềm ẩn và Answer 3 Chọn... Nhà quản
các vi phạm an toàn thông tin ;ý cấp trung CEO CIO
Nhân viên
Truyền đạt các chính sách, chương trình (đào tạo) Answer 4 Chọn... Nhà quản
;ý cấp trung CEO CIO
Nhân viên
Phản hồi
Giám sát tình hình an ninh tổng thể của công ty (chịu trách nhiệm trước hội đồng quản trị) →
CEO,
Phản ứng với các vi phạm an toàn thông tin (điều tra, giảm nhẹ, kiện tụng) → CIO,
Thực hiện chính sách; báo cáo các điểm yếu tiềm ẩn và các vi phạm an toàn thông tin →
Nhân viên,
Truyền đạt các chính sách, chương trình (đào tạo) → Nhà quản ;ý cấp trung
Câu Hỏi 5
Sai
Đặt cờ
Theo mô hình an toàn NIST SP 800-14, các nguyên tắc thực hành về an toàn bao
gồm:
a.An toàn là một yếu tố có thể bỏ qua của quản lý hữu hiệu
b.An toàn không bị hạn chế bởi các yếu tố xã hội
c.An toàn yêu cầu một phương pháp toàn diện và tích hợp
d.An toàn không cần hiệu quả về mặt chi phí, quan trọng là giảm thiểu được rủi ro
Phản hồi
The correct answer is: An toàn yêu cầu một phương pháp toàn diện và tích hợp
Câu Hỏi 6
Sai
Đặt cờ
Các kế hoạch dự phòng (CP)
a.CP thuộc nhóm kế hoạch ứng phó sự cố
b.Giúp khôi phục tổ chức về chế độ hoạt động kinh doanh bình thường sau một sự cố
c.Nhân viên có vai trò quan trọng trong việc lập CP
d.Nên thuê tổ chức chuyên nghiệp thực hiện

Phản hồi The correct answer is:
Giúp khôi phục tổ chức về chế độ hoạt động kinh doanh bình thường sau một sự cố
LẦN 3
Câu Hỏi 1
Không trả lời
Đạt điểm 1,00
Đặt cờ

pháp do hội đồng quản trị và ban quản lý điều hành đảm nhận để cung cấp đo lường
sự ......... (2 từ) đối với các mục tiêu
Answer:
Phản hồi The correct answer is: tiến bộ
Câu Hỏi 2
Đúng
Đặt cờ
Phát biểu này KHÔNG phải là mục tiêu của quản trị an toàn thông tin.
a.Cung cấp giá trị bằng cách tối thiểu hóa các lợi ích an toàn thông tin để hỗ trợ các mục
b.Liên kết chiến lược của an toàn thông tin với chiến lược kinh doanh để hỗ trợ các mục tiêu
của tổ chức
c.Quản lý tài nguyên bằng cách sử dụng kiến thức và cơ sở hạ tầng an toàn thông tin một
cách hữu hiệu và hiệu quả
d.Đo lường thành quả bằng cách đo lường, giám sát và báo cáo các chỉ số quản trị an toàn
thông tin để đảm bảo đạt được các mục tiêu của tổ chức.
Cung cấp giá trị bằng cách tối thiểu hóa các lợi ích an toàn thông tin để hỗ trợ các mục tiêu
của tổ chức
Câu Hỏi 3
Sai
Đặt cờ
Các chính sách về an toàn thông tin trong đơn vị cần:
a.Mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin này sẽ được đặt
người dùng)
b.Có thể khác biệt với luật pháp

c.Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công ngh
d.Được quản lý thích hợp thông qua khách hàng

Phản hồi
Câu Hỏi 4
Phân biệt Hot sites, Warm sites và Cold sites
Cold sites → Chỉ cung cấp các dịch vụ và cơ sở vật chất thô sơ, không có phần cứng máy
tính hoặc thiết bị ngoại vi nào được cung cấp,
Hot sites → Là một cơ sở máy tính được cấu hình đầy đủ với tất cả các dịch vụ, liên kết
thông tin liên lạc và hoạt động ở góc độ vật lý, bao gồm cả hệ thống sưởi và điều hòa không
khí,
Warm sites → thường bao gồm thiết bị máy tính và thiết bị ngoại vi với máy chủ, nhưng không phải
máy trạm khách (client workstations).
Câu Hỏi 5
Kết nối mục đích của các kế hoạch dự phòng (CP)
Lập kế hoạch đảm bảo hoạt động liên tục trong kinh doanh (business continuity planning -
BCP)
→ Thiết lập các chức năng kinh doanh quan trọng tại một địa điểm (site) thay thế,
Lập kế hoạch ứng phó sự cố (incident response planning - IRP)
→ Tập trung vào ứng phó ngay lập tức,
Lập kế hoạch phục hồi sau thảm họa (disaster recovery planning - DRP)
→ Tập trung vào việc khôi phục các hệ thống trở về tình trạng ban đầu sau khi thiên tai xảy
ra
Câu Hỏi 6
Sai
Đặt cờ
Nguyên nhân cần tài liệu hóa sự cố

a.Tài liệu về sự cố có thể được sử dụng để chạy mô phỏng trong các buổi huấn luyện trong
tương lai
b.Cho phép đơn vị tìm hiểu những gì đã xảy ra, cách sự cố xảy ra và những hành động
chưa thực hiện
c.Tất cả đều đúng
d.Việc ghi lại sự kiện có thể chứng minh tổ chức đã làm mọi thứ có thể để ngăn chặn sự lây
lan của thảm họa nếu phản hồi được đặt ra sau đó
Phản hồi
Tài liệu về sự cố có thể được sử dụng để chạy mô phỏng trong các buổi huấn luyện trong
tương lai
LẦN 4
Câu Hỏi 1
→ Kế hoạch phải là một tài liệu cần được cập nhật thường xuyên theo các cải tiến hệ thống
và thay đổi của đơn vị,
Xây dựng CP
→ CP cần có hướng dẫn chi tiết và các thủ tục để phục hồi các cơ sở đơn vị bị sự cố,
→ Kiểm tra xác nhận khả năng phục hồi, huấn luyện nhân sự chuẩn bị cho kế hoạch phục
hồi để kích hoạt kế hoạch và thực hiện kế hoạch, xác định các lỗ hổng trong kế hoạch
Câu Hỏi 2
Kết nối định nghĩa của các khái niệm sau trong chiến lược dự phòng dữ liệu và site
Phục hồi sau thảm họa dưới dạng dịch vụ (Disaster Recovery as a Service - DRaaS) → liên
quan đến việc sử dụng các dịch vụ điện toán đám mây như một phần của thỏa thuận dịch
vụ với bên thứ ba,
Chia sẻ thời gian (Time-shares) → cho phép tổ chức duy trì tùy chọn phục hồi sau thảm họa
và tính liên tục trong kinh doanh bằng cách chia sẻ chi phí của hot site/warm site/cold site
với một hoặc nhiều đối tác,
Văn phòng dịch vụ (Service Bureaus) → Các hợp đồng có thể được tạo ra một cách cẩn
thận với các văn phòng dịch vụ để chỉ định chính xác những gì tổ chức cần mà không cần
phải đặt trước các phương tiện chuyên dụng,
Thỏa thuận tương trợ (Mutual Agreements) → quy định rằng các tổ chức tham gia mà
không bị ảnh hưởng bởi thảm họa có nghĩa vụ cung cấp các phương tiện, nguồn lực và dịch
vụ cần thiết cho đến khi tổ chức tiếp nhận có thể phục hồi sau thảm họa
Câu Hỏi 3
Kết nối các thành viên trong nhóm quản lý kế hoạch dự phòng (CPMT) với nhiệm vụ
tương ứngThe correct answer is:
Nhà quản lý cấp cao
→ ỗ trợ, thúc đẩy và xác nhận các phát hiện của dự án (CIO/CEO),
Các thành viên trong nhóm
→ Là người quản lý hoặc đại diện từ các bộ phận khác nhau: kinh doanh, công nghệ thông
tin và an toàn thông tin,
Người quản lý dự án
→ Người quản lý cấp trung hoặc thậm chí là CISO phải lãnh đạo dự án và đảm bảo sử dụng
một quy trình lập kế hoạch hợp lý, phát triển một kế hoạch dự án hoàn chỉnh, hữu ích và các
nguồn lực được quản lý cẩn thận để đạt được các mục tiêu của dự án
Câu Hỏi 4
Đúng
Đặt cờ

BIA giả định các biện pháp kiểm soát đã bị bỏ qua/không thành công/không hiệu
quả; giả định cuộc tấn công .................. (3 từ)
Answer:The correct answer is: đã thành công
Câu Hỏi 5
Đặt cờ
pháp do hội đồng quản trị và ban quản lý điều hành đảm nhận để cung cấp xác nhận
rằng tài sản của tổ chức được sử dụng ...... (2 từ)
Answer:
Phản hồi The correct answer is: đúng cách
Câu Hỏi 6
Kết nối các chương trình giáo dục, huấn luyện và nhận thức về an toàn (SETA) Phản
hồi
Huấn luyện an toàn → Cung cấp cho nhân viên thông tin chi tiết và hướng dẫn thực hành để
chuẩn bị cho họ thực hiện nhiệm vụ một cách an toàn,
Giáo dục an toàn → nhân viên được khuyến khích tham dự các khóa học về giáo dục
thường xuyên từ các cơ sở giáo dục đại học,
Nhận thức về an toàn → Được thiết kế để giữ an toàn thông tin được đặt lên hàng đầu trong
tâm trí người dùng
CHƯƠNG 6
LẦN 1 Câu Hỏi 1 Kết nối các điều kiện để mạng riêng ảo - VPN đảm bảo an toàn
và tin cậy trong môi trường mạng công cộng
Xác thực và phân quyền người dùng để thực hiện các hành động cụ thể được xác định dựa
trên nhận dạng chính xác và đáng tin cậy của hệ thống và người dùng từ xa → Xác thực
(Authentication) máy tính (remote computer) và người dùng từ xa,
Để giữ riêng tư nội dung dữ liệu khi truyền qua mạng công cộng, nhưng máy khách và máy
chủ có thể sử dụng được → Mã hóa (Encryption) dữ liệu đến và đi,
Giao thức gốc (native protocol) của máy khách được nhúng trong các khung của một giao
thức có thể được định tuyến qua mạng công cộng và có thể sử dụng được bởi môi trường
mạng máy chủ → Đóng gói (Encapsulation) dữ liệu đến và đi
Câu Hỏi 2
Phân quyền cho mỗi người dùng
a.Xác minh từng thực thể và cấp quyền truy cập vào tài nguyên
b.Hệ thống xác thực và phân quyền trung tâm xác minh danh tính của một thực thể và cấp
quyền
c.Cấp quyền truy cập vào các tài nguyên dựa trên quyền truy cập của nhóm
d.So sánh (match) các thực thể được xác thực với danh sách thành viên nhóm
Câu Hỏi 3
Các chính sách về an toàn thông tin trong đơn vị cần:
a.Có thể khác biệt với luật pháp
b.Được quản lý thích hợp thông qua khách hàng
c.Mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin này sẽ được đặt
người dùng)
d.Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
Câu Hỏi 4
Đánh giá lại sau thực hiện khắc phục sự cố (after-action review – AAR)
a.Khôi phục niềm tin cho các cộng đồng quan tâm của tổ chức, nên công bố một bản ghi
nhớ ngắn nêu rõ sự cố và đảm bảo với mọi người rằng nó đã được kiểm soát với mức thiệt
hại ít nhất có thể
b.Giải quyết các biện pháp bảo vệ không thể ngăn chặn hoặc hạn chế sự cố, hoặc các biện
pháp bảo vệ không có trong hệ thống ngay từ đầu
c.Khôi phục dữ liệu từ các bản sao lưu
d.Cách tiếp cận này cho phép các thành viên trong nhóm cập nhật kế hoạch IR trong khi
những thay đổi cần thiết vẫn còn mới và lưu rõ trong tâm trí họ
Câu Hỏi 5
Trong số các sinh trắc học, đâu KHÔNG phải đặc điểm thường được xem là
duy nhất của con người
a.Dấu lòng bàn tay
b.Dấu vân tay
c.Mống mắt
d.Võng mạc mắt

Câu Hỏi 6
Sắp xếp thứ tự hợp lý trong tiến trình lập kế hoạch dự phòng
Tạo chiến lược dự phòng Answer 1 Chọn...

7312654
Đảm bảo duy trì kế hoạch Answer 2 Chọn...

7312654
Xây dựng kế hoạch dự phòng (CP) Answer 3 Chọn...

7312654
Tiến hành thực hiện phân tích tác động kinh doanh (business Answer 4 Chọn...
impact analysis-BIA) 7312654
Đảm bảo kế hoạch kiểm tra, huấn luyện và luyện tập Answer 5 Chọn...
7312654
Xác định các biện pháp kiểm soát phòng ngừa Answer 6 Chọn...
7312654
Phát triển tuyên bố chính sách CP Answer 7 Chọn...

7312654
Phản hồi
→ 4,
→ 7,
→ 5,
→ 2,
→ 6,
→ 3,
→1
LẦN 2
Câu Hỏi 1
→ Kiểm tra xác nhận khả năng phục hồi, huấn luyện nhân sự chuẩn bị cho kế hoạch phục
hồi để kích hoạt kế hoạch và thực hiện kế hoạch, xác định các lỗ hổng trong kế hoạch,
Xây dựng CP
→ CP cần có hướng dẫn chi tiết và các thủ tục để phục hồi các cơ sở đơn vị bị sự cố,
→ Kế hoạch phải là một tài liệu cần được cập nhật thường xuyên theo các cải tiến hệ thống
và thay đổi của đơn vị
Câu Hỏi 2
Chính sách an toàn vật lý hướng dẫn người dùng cách sử dụng phù
hợp ..................... (2 từ) máy tính và tài sản thông tin, bảo vệ sự an toàn trong các
hoạt động hàng ngày
Answer: The correct answer is: tài nguyên
Câu Hỏi 3
Kết nối các chính sách an toàn, theo Special Publication (SP) 800-14 của Viện Tiêu
chuẩn và Công nghệ Quốc gia (NIST):
Chính sách an toàn thông tin doanh nghiệp → xác định mục đích, phạm vi, các ràng buộc và
khả năng áp dụng của chương trình an ninh,
Chính sách an toàn đặc thù → đề cập đến quan điểm của tổ chức về các lĩnh vực công
nghệ, được cập nhật thường xuyên về các nội dung như E-mail, sử dụng Internet và World
Wide Web,
Chính sách an toàn dành riêng cho hệ thống → thường hoạt động như các tiêu chuẩn hoặc
thủ tục được sử dụng khi cấu hình hoặc bảo trì hệ thống
Câu Hỏi 4
Chọn phát biểu đúng về thủ tục kiểm soát nên được áp dụng để ngăn chặn sự đánh
chặn dữ liệu bằng cách truy cập vào mạng LAN
a.Nên sử dụng cáp quang; khó kết nối và có khả năng chống va đập tốt hơn
b.Lắp đặt tấm chắn đặc biệt bên trong vỏ CPU và duy trì khoảng cách với hệ thống ống
nước và các thành phần cơ sở hạ tầng khác mang sóng vô tuyến.
c.Xóa thông tin nhạy cảm khỏi văn phòng hoặc được yêu cầu thực hiện an ninh chặt chẽ tại
nhà.
d.Tất cả đầu đúng

Câu Hỏi 5
Các kế hoạch dự phòng (CP)
a.Giúp khôi phục tổ chức về chế độ hoạt động kinh doanh bình thường sau một sự cố
b.Nên thuê tổ chức chuyên nghiệp thực hiện
c.Nhân viên có vai trò quan trọng trong việc lập CP
d.CP thuộc nhóm kế hoạch ứng phó sự cố

Câu Hỏi 6
Kết nối các chức năng của quản trị an toàn thông tin với các đối tượng chịu trách
nhiệm trong đơn vị:
Phản ứng với các vi phạm an toàn thông tin (điều tra, Answer 1 Chọn... Nhà
giảm nhẹ, kiện tụng) quản ;ý cấp trung CIO CEO
Nhân viên
Truyền đạt các chính sách, chương trình (đào tạo) Answer 2 Chọn... Nhà
quản ;ý cấp trung CIO CEO
Nhân viên
Thực hiện chính sách; báo cáo các điểm yếu tiềm ẩn và Answer 3 Chọn... Nhà
các vi phạm an toàn thông tin quản ;ý cấp trung CIO CEO
Nhân viên
Giám sát tình hình an ninh tổng thể của công ty (chịu Answer 4 Chọn... Nhà
trách nhiệm trước hội đồng quản trị) quản ;ý cấp trung CIO CEO
Nhân viên
Phản hồi
Phản ứng với các vi phạm an toàn thông tin (điều tra, giảm nhẹ, kiện tụng) → CIO,
Truyền đạt các chính sách, chương trình (đào tạo) → Nhà quản ;ý cấp trung,
Thực hiện chính sách; báo cáo các điểm yếu tiềm ẩn và các vi phạm an toàn thông tin →
Nhân viên,
Giám sát tình hình an ninh tổng thể của công ty (chịu trách nhiệm trước hội đồng quản trị) →
CEO
LẦN 3
Câu Hỏi 1
Tường lửa (Firewalls)
a.Ẩn nội dung của các thông điệp trên mạng khỏi những người quan sát có quyền truy cập
vào mạng công cộng
b.Tường lửa là sự kết hợp giữa phần cứng và phần mềm có chức năng lọc hoặc ngăn
thông tin cụ thể di chuyển giữa mạng bên ngoài và mạng bên trong
c.Tất cả đều sai
d.Là sự triển khai của công nghệ mã hóa, mạng dữ liệu riêng sử dụng cơ sở hạ tầng viễn
thông công cộng để tạo phương tiện liên lạc riêng thông qua giao thức đường hầm
(tunneling protocol) kết hợp với quy trình bảo mật.
Câu Hỏi 2
Đặc điểm của phương pháp đánh chặn dữ liệu bằng cách truy cập vào mạng LAN
b.Có thể nghe trộm những tín hiệu điện từ - electromagnetic signals (EM)
c.Đối thủ cạnh tranh có thể dễ dàng đánh chặn (intercept) thông tin quan trọng tại nhà của
một nhân viên
d.Yêu cầu một số khoảng cách gần với máy tính hoặc mạng của tổ chức.
Câu Hỏi 3
Thủ tục kiểm soát nên triển khai trong trường hợp tổ chức có thực hiện
telecommuting (làm việc từ xa)
b.Nhân viên làm việc từ xa phải sử dụng một thiết bị bảo mật với hệ điều hành được cấu
hình để yêu cầu xác thực mật khẩu
c.Sử dụng mạng riêng ảo (VPN) để bảo vệ dữ liệu trong quá trình truyền tải vì nhân viên
làm việc từ xa thường lưu trữ dữ liệu văn phòng trên hệ thống tại nhà của họ, trong tủ đựng
hồ sơ tại nhà và trên các phương tiện khác
d.Nhân viên làm việc từ xa phải phải lưu trữ tất cả dữ liệu trong tủ hồ sơ có khóa và phương
tiện trong khóa két sắt
Câu Hỏi 4
Mạng riêng ảo (Virtual private Networks - VPN) được sử dụng để gia tăng an toàn
trong kết nối giữa hệ thống .................... (3 từ) của tổ chức với các địa điểm khác
The correct answer is: mạng nội bộ
Câu Hỏi 5
Phát Answer 1 Chọn... Một chính sách chính thức cung cấp thẩm quyền và hướng
triển dẫn cần thiết để phát triển một kế hoạch dự phòng hiệu quả Các biện pháp được
tuyên thực hiện để giảm ảnh hưởng của sự gián đoạn hệ thống Giúp xác định và ưu
bố tiên các hệ thống thông tin và các thành phần quan trọng để hỗ trợ sứ mệnh /
chính quy trình kinh doanh của tổ chức Các chiến lược khôi phục kỹ lưỡng đảm bảo
sách rằng hệ thống có thể được phục hồi nhanh chóng và hiệu quả sau sự cố
CP
Tiến Answer 2 Chọn... Một chính sách chính thức cung cấp thẩm quyền và hướng
hành dẫn cần thiết để phát triển một kế hoạch dự phòng hiệu quả Các biện pháp được
thực thực hiện để giảm ảnh hưởng của sự gián đoạn hệ thống Giúp xác định và ưu
hiện tiên các hệ thống thông tin và các thành phần quan trọng để hỗ trợ sứ mệnh /
phân quy trình kinh doanh của tổ chức Các chiến lược khôi phục kỹ lưỡng đảm bảo
tích rằng hệ thống có thể được phục hồi nhanh chóng và hiệu quả sau sự cố
tác
động
kinh
doan
h
(busi
ness
impa
ct
analy
sis-
BIA)
Xác Answer 3 Chọn... Một chính sách chính thức cung cấp thẩm quyền và hướng
định dẫn cần thiết để phát triển một kế hoạch dự phòng hiệu quả Các biện pháp được
các thực hiện để giảm ảnh hưởng của sự gián đoạn hệ thống Giúp xác định và ưu
biện tiên các hệ thống thông tin và các thành phần quan trọng để hỗ trợ sứ mệnh /
pháp quy trình kinh doanh của tổ chức Các chiến lược khôi phục kỹ lưỡng đảm bảo
kiểm rằng hệ thống có thể được phục hồi nhanh chóng và hiệu quả sau sự cố
soát
phòn
g
ngừa
Tạo Answer 4 Chọn... Một chính sách chính thức cung cấp thẩm quyền và hướng
chiến dẫn cần thiết để phát triển một kế hoạch dự phòng hiệu quả Các biện pháp được
lược thực hiện để giảm ảnh hưởng của sự gián đoạn hệ thống Giúp xác định và ưu
dự tiên các hệ thống thông tin và các thành phần quan trọng để hỗ trợ sứ mệnh /
phòn quy trình kinh doanh của tổ chức Các chiến lược khôi phục kỹ lưỡng đảm bảo
g rằng hệ thống có thể được phục hồi nhanh chóng và hiệu quả sau sự cố
Phản hồi
→ Một chính sách chính thức cung cấp thẩm quyền và hướng dẫn cần thiết để phát triển
một kế hoạch dự phòng hiệu quả,
→ Giúp xác định và ưu tiên các hệ thống thông tin và các thành phần quan trọng để hỗ trợ
sứ mệnh / quy trình kinh doanh của tổ chức,
→ Các biện pháp được thực hiện để giảm ảnh hưởng của sự gián đoạn hệ thống,
chóng và hiệu quả sau sự cố
Câu Hỏi 6
Kiểm soát truy cập bắt buộc (Mandatory access controls - MACs)
a.Theo National Institute of Standards and Technology (NIST)
b.Sử dụng các sơ đồ phân loại dữ liệu (data classification schemes), cung cấp cho người
dùng và chủ sở hữu dữ liệu quyền kiểm soát hạn chế vào tài nguyên thông tin.
c.Là cách tiếp cận kiểm soát truy cập do tổ chức chỉ định việc sử dụng các đối tượng dựa
trên một số thuộc tính của người dùng hoặc hệ thống
LẦN 4
Câu Hỏi 1
Access control list (ACL) chi tiết về phân quyền cho người dùng, bao gồm danh sách
người dùng truy cập, ma trận và bảng khả năng.
Đúng
Sai
Câu Hỏi 2
Yêu cầu tất cả những người vào cơ sở phải cung cấp thông tin cụ thể/ thư mời và
được hộ tống khi vào các khu vực hạn chế là thủ tục kiểm soát tránh social
engineering
Đúng
Sai
Câu Hỏi 3
Theo mô hình an toàn NIST SP 800-14, các nguyên tắc thực hành về an toàn bao
gồm:
a.An toàn không bị hạn chế bởi các yếu tố xã hội
b.An toàn yêu cầu một phương pháp toàn diện và tích hợp
c.An toàn không cần hiệu quả về mặt chi phí, quan trọng là giảm thiểu được rủi ro
d.An toàn là một yếu tố có thể bỏ qua của quản lý hữu hiệu
Câu Hỏi 4
Kết nối các đặc điểm của các Mạng riêng ảo (Virtual private Networks)
Sử dụng các giao thức bảo mật như Answer 1 Chọn... VPN đáng tin cậy (Trust
IPSec để mã hóa lưu lượng truyền qua VPN/ a legacy VPN) VPN lai (hybrid
các mạng công cộng không an toàn như VPN) VPN an toàn (Secure VPN)
Internet
Kết hợp cả hai cách trên, cung cấp các Answer 2 Chọn... VPN đáng tin cậy (Trust
đường truyền được mã hóa (như trong VPN/ a legacy VPN) VPN lai (hybrid
VPN an toàn) qua một số hoặc tất cả VPN) VPN an toàn (Secure VPN)
mạng VPN đáng tin cậy
Sử dụng các mạch thuê từ một nhà cung Answer 3 Chọn... VPN đáng tin cậy (Trust
cấp dịch vụ và thực hiện chuyển mạch VPN/ a legacy VPN) VPN lai (hybrid
gói qua các mạch thuê này VPN) VPN an toàn (Secure VPN)
Phản hồi
Sử dụng các giao thức bảo mật như IPSec để mã hóa lưu lượng truyền qua các mạng công
cộng không an toàn như Internet → VPN an toàn (Secure VPN),
Kết hợp cả hai cách trên, cung cấp các đường truyền được mã hóa (như trong VPN an
toàn) qua một số hoặc tất cả mạng VPN đáng tin cậy → VPN lai (hybrid VPN),
Sử dụng các mạch thuê từ một nhà cung cấp dịch vụ và thực hiện chuyển mạch gói qua các
mạch thuê này → VPN đáng tin cậy (Trust VPN/ a legacy VPN)
Câu Hỏi 5
Kiểm soát truy cập bắt buộc (Mandatory access controls - MACs)
a.Xếp hạng theo mức độ nhạy cảm và mức độ bảo mật thông tin.
c.Thông tin được xếp hạng và tất cả người dùng được xếp hạng để chỉ định mức thông tin
họ có thể truy cập.
d.Sử dụng các sơ đồ phân loại dữ liệu (data classification schemes), cung cấp cho người
dùng và chủ sở hữu dữ liệu quyền kiểm soát hạn chế vào tài nguyên thông tin.
Câu Hỏi 6
Capabilities tables thể hiện từng dòng thuộc tính kết hợp với tất cả các chủ thể
Đúng Sai
CHƯƠNG 7
Câu Hỏi 1: Chọn phát biểu Không đúng về Huấn luyện an ninh gắn với
công việc
a.
Duy trì thường xuyên và gắn nhận thức an toàn thông tin vào công việc hàng ngày
b.
Cần tích hợp giáo dục nhận thức an toàn thông tin trong định hướng nghề nghiệp
c.
Tất cả đều đúng
d.
Gỡ bỏ quyền truy cập tới hệ thống của công ty nếu nhân viên bị sa thải
Câu Hỏi 2: Bộ phận an toàn thông tin luôn luôn là một thành phần
trong bộ phận Công nghệ thông tin trong doanh nghiệp
Hãy chọn một:
Đúng
Sai
Câu Hỏi 3: Đánh giá thành quả nhân viên phải bao gồm phản ánh việc
nhận thức an toàn thông tin và ....................... ( 2 từ hoặc 1 từ) hành vi
gây rủi ro tại nơi làm việc vào
Answer:
Phản hồi
The correct answer is: giảm thiểu
Câu Hỏi 4: Phân chia trách nhiệm
a.
Là nền tảng quan trọng cho bảo vệ tài sản thông tin và ngăn ngừa thất thoát tài chính
b.
Là hai người làm việc tuần tự theo trình tự và hai người cùng xem xét, chấp thuận công việc
của nhau.
c.
Một hình thức có người thay thế tạm công việc nhằm phát hiện những bất thường
d.
Các nhân viên đều có thể có những trải nghiệm và đảm nhiệm được nhiều công việc khác
nhau
Câu Hỏi 5: Yêu cầu về năng lực đối với vị trí Security Manager (Quản
lý an ninh)
a.
Có thể cần thêm kinh nghiệm trong lập kế hoạch kinh doanh liên tục (Business continuity
planning)
b.
c.
Có khả năng quản lý các nhân viên kỹ thuật, bao gồm phân chia nhiệm vụ và giám sát thực
hiện nhiệm vụ của họ
d.
Có năng lực phác thảo các chính sách, chuẩn và hướng dẫn ở cấp thấp và cấp trung
Câu Hỏi 6: Security Analyst (phân tích viên an ninh)
a.
Có thể là CISO và kết hợp thêm trách nhiệm an ninh thông tin về mặt vật lý
b.

c.
Có thể là kỹ thuật viên an ninh (security technicians) / kiến trúc sư an ninh/ kỹ sư an ninh có
kiến thức tốt
d.
Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
Câu Hỏi 7: Chọn phát biểu KHÔNG đúng về Security Manager (Quản lý an
ninh)
a.
b.
Hoàn thành các nhiệm vụ do CISO xác định và giải quyết các vấn đề do các kỹ thuật viên
xác định
c.
d.
Là người chịu trách nhiệm tập trung cho an ninh về mặt vật lý (physical information security).
Câu Hỏi 8: Chief Information Security Officer (CISO) - Giám đốc an
toàn thông tin
a.
b.
c.
Có trách nhiệm cho hoạt động hàng ngày của chương trình an ninh thông tin
d.
Là lãnh đạo của bộ phận an ninh thông tin (the information security department).
Câu Hỏi 9: Chief Security Officer (CSO): Giám đốc an ninh
a.
b.
Xác định vấn đề luân chuyển/tắc nghẽn thông tin thông qua Kiểm tra DL khi chuyển giao và
lưu trữ
c.
Quản lý toàn bộ chương trình an ninh thông tin
d.
Câu Hỏi 10: Security Analyst (phân tích viên an ninh)
a.
Có thể là kỹ thuật viên an ninh (security technicians) / kiến trúc sư an ninh/ kỹ sư an ninh có
kiến thức tốt
b.

c.
d.
Câu Hỏi 11: Chọn phát biếu đúng về nhân sự trong thực hiện an toàn
thông tin
a.
Không điều chỉnh các mô tả công việc và yêu cầu thực hành có sẵn
b.
Tích hợp các khái niệm an toàn thông tin vào các lý thuyết quản lý nhân viên trong doanh
nghiệp
c.
d.
Lập kế hoạch tuyển dụng cho các vị trí định vị hoặc điều chỉnh kế hoạch tuyển dụng
Câu Hỏi 12: Chọn phát biểu KHÔNG đúng về lựa chọn nhân sự cho vị
trí an toàn thông tin
a.
Không có phát biểu KHÔNG đúng
b.
Các đơn vị thường tìm kiếm các nhân sự có kiến thức chung có bằng cấp về kỹ thuật an
ninh thông tin (a technically qualified information security generalist) cho vị trí an ninh thông
tin nhưng có hiểu biết vững chắc về hoạt động của đơn vị
c.
Vị trí an toàn thông tin cần những người cân bằng giữa kỹ năng kỹ thuật và các hiểu biết về
an ninh thông tin (p 586)
d.
Trong an ninh thông tin, người quá chuyên sâu về 1 lĩnh vực (overspecialistion) sẽ là tốt
nhất
Câu Hỏi 13: Kết nối các công việc của cụ thể trong qui trình thực hiện
để tuyển dụng và quản lý nhân sự an toàn thông tin
Phỏn Answer 1 Chọn... Cần tập trung tìm hiểu những hành vi phạm tội trong quá khứ
g vấn hoặc những hành vi là tiềm năng cho việc vi phạm sau này của ứng viên Gồm
các chính sách của tổ chức về việc tuân thủ và sử dụng thông tin, các thỏa thuận
về giám sát và không tiết lộ thông tin; những giới hạn nghiêm ngặt về tạo và sở
hữu tài sản thông tin Quản lý An ninh thông tin cần lưu ý phòng nhân sự những
thông tin không nên công bố (vd những đặc quyền truy cập thông tin v.v..)
Ký Answer 2 Chọn... Cần tập trung tìm hiểu những hành vi phạm tội trong quá khứ
hợp hoặc những hành vi là tiềm năng cho việc vi phạm sau này của ứng viên Gồm
đồng các chính sách của tổ chức về việc tuân thủ và sử dụng thông tin, các thỏa thuận
(an về giám sát và không tiết lộ thông tin; những giới hạn nghiêm ngặt về tạo và sở
toàn hữu tài sản thông tin Quản lý An ninh thông tin cần lưu ý phòng nhân sự những
thôn thông tin không nên công bố (vd những đặc quyền truy cập thông tin v.v..)
g tin)
tuyể
n
dụng
Kiể Answer 3 Chọn... Cần tập trung tìm hiểu những hành vi phạm tội trong quá khứ
m tra hoặc những hành vi là tiềm năng cho việc vi phạm sau này của ứng viên Gồm
lý các chính sách của tổ chức về việc tuân thủ và sử dụng thông tin, các thỏa thuận
lịch về giám sát và không tiết lộ thông tin; những giới hạn nghiêm ngặt về tạo và sở
(bac hữu tài sản thông tin Quản lý An ninh thông tin cần lưu ý phòng nhân sự những
kgro thông tin không nên công bố (vd những đặc quyền truy cập thông tin v.v..)
und
chec
k)
Phản hồi
Phỏng vấn → Quản lý An ninh thông tin cần lưu ý phòng nhân sự những thông tin không
nên công bố (vd những đặc quyền truy cập thông tin v.v..),
Ký hợp đồng (an toàn thông tin) tuyển dụng
→ Gồm các chính sách của tổ chức về việc tuân thủ và sử dụng thông tin, các thỏa thuận về giám sát
và không tiết lộ thông tin; những giới hạn nghiêm ngặt về tạo và sở hữu tài sản thông tin,
Kiểm tra lý lịch (background check) → Cần tập trung tìm hiểu những hành vi phạm tội trong
quá khứ hoặc những hành vi là tiềm năng cho việc vi phạm sau này của ứng viên
Câu Hỏi 14: Chọn phát biểu KHÔNG đúng về lời khuyên cho chuyên
viên an ninh thông tin chuyên nghiệp
a.
Luôn học hỏi/ tự đào tạo kiến thức mới
b.
Khi đánh giá vấn đề, xem nguồn gốc vấn đề trước, xác định các nhân tố ảnh hưởng tới vấn
đề và chính sách của tổ chức có thể dẫn tới thiết kế giải pháp độc lập với công nghệ
c.
Biết nhiều, nói ít
d.
Hãy sử dụng các thuật ngữ chuyên môn khi trao đổi vấn đề
Phản hồi
Hãy sử dụng các thuật ngữ chuyên môn khi trao đổi vấn đề
Câu Hỏi 15: Kết nối các chiến lược kiểm soát nội bộ đối với nhân sự
an ninh thông tin
Kiểm Answer 1 Chọn... Có thể phát hiện việc sử dụng sai hoặc lạm dụng thông tin
soát của người ở vị trí bị thay thế Hai người làm việc tuần tự theo trình tự và hai
kép người cùng xem xét, chấp thuận công việc của nhau Trong liên quan thực hiện
(two- hoạt động kinh tế và tiếp cận và sử dụng dữ liệu
person
control
hay
Double
check)
Phân Answer 2 Chọn... Có thể phát hiện việc sử dụng sai hoặc lạm dụng thông tin
chia của người ở vị trí bị thay thế Hai người làm việc tuần tự theo trình tự và hai
trách người cùng xem xét, chấp thuận công việc của nhau Trong liên quan thực hiện
nhiệm hoạt động kinh tế và tiếp cận và sử dụng dữ liệu
Luân Answer 3 Chọn... Có thể phát hiện việc sử dụng sai hoặc lạm dụng thông tin
chuyển của người ở vị trí bị thay thế Hai người làm việc tuần tự theo trình tự và hai
công người cùng xem xét, chấp thuận công việc của nhau Trong liên quan thực hiện
việc hoạt động kinh tế và tiếp cận và sử dụng dữ liệu
(job/ta
sk
rotatio
n).
Phản hồi
Kiểm soát kép (two- person control hay Double check)
→ Hai người làm việc tuần tự theo trình tự và hai người cùng xem xét, chấp thuận công việc của
nhau,
Phân chia trách nhiệm
→ Trong liên quan thực hiện hoạt động kinh tế và tiếp cận và sử dụng dữ liệu,
Luân chuyển công việc (job/task rotation).
→ Có thể phát hiện việc sử dụng sai hoặc lạm dụng thông tin của người ở vị trí bị thay thế
LẦN 2
Câu Hỏi 1: Ứng viên vị trí an ninh thông tin thường chỉ cần có các kỹ
năng CNTT và kinh nghiệm chuyên môn trong lĩnh vực CNTT khác
Hãy chọn một:
Đúng
Sai
Câu Hỏi 2: Kết nối các đối tượng cụ thể của 3 vị trí an toàn thông tin
theo nghiên cứu của Schwartz, Erwin, Weafer, and Briney
Xây dựng chương trình an toàn Answer 1 Chọn... Các nhà quản lý (managers)
thông tin an ninh cấp cao Những người quản lý
(administrators) Các chuyên gia công nghệ
(techies) thực hiện
Định nghĩa chương trình an toàn Answer 2 Chọn... Các nhà quản lý (managers)
thông tin an ninh cấp cao Những người quản lý
Quản trị hệ thống kiểm soát và Answer 3 Chọn... Các nhà quản lý (managers)
chương trình an toàn thông tin an ninh cấp cao Những người quản lý
Phản hồi
Xây dựng chương trình an toàn thông tin → Các chuyên gia công nghệ (techies) thực hiện,
Định nghĩa chương trình an toàn thông tin → Các nhà quản lý (managers) an ninh cấp cao,
Quản trị hệ thống kiểm soát và chương trình an toàn thông tin → Những người quản lý
(administrators)
Câu Hỏi 3: Trong Hợp đồng/ thỏa thuận với đối tác kinh doanh cần xác
định:
a.
Những thông tin không được tiết lộ
b.
Các thông tin gì cần được trao đổi, ở cấp độ nào, với ai
c.
d.
Những vấn đề bộc lộ ra và điểm yếu bảo mật (phơi nhiễm- exposure) mà cả 2 bên cùng
phải gánh chịu
Câu Hỏi 4: Đối với những vị trí người lao động có thông tin đặc biệt
hay rất quan trọng có tính độc quyền thì đơn vị nên
a.
Cần phân chia trách nhiệm tiếp cận và sử dụng dữ liệu
b.
Giới hạn mức độ và phạm vi truy cập thông tin cần thiết cho công việc
c.
Yêu cầu nhân viên không được làm cho đối thủ cạnh tranh trong khoảng thời gian bao nhiêu
lâu sau khi nghỉ việc tại công ty
d.
Câu Hỏi 5: Security Manager (Quản lý an ninh)
a.
Là người đại diện truyền thông của đội an ninh thông tin
b.
c.
d.
Phát triển ngân sách an ninh thông tin trên cơ sở quỹ hiện hành
Câu Hỏi 6: Phát biểu nào KHÔNG đúng về Chief Information Security Officer
(CISO) - Giám đốc an toàn thông tin
a.
Kiểm tra hệ thống để khám phá những lỗi (faults) an ninh thông tin; khiếm khuyết (flaws) của
công nghệ, phần mềm, hoạt động của nhân viên và qui trình
b.
c.
Làm việc với CIO về: kế hoạch chiến lược; Phát triển kế hoạch chiến thuật ; làm việc với
các nhà quản lý an ninh về kế hoạch hoạt động
d.
Phác thảo và chấp thuận các chính sách an ninh thông tin
e.
Xác định vấn đề luân chuyển/tắc nghẽn thông tin thông qua Kiểm tra DL khi chuyển giao và
lưu trữ
Phản hồi

toàn thông tin
a.
b.
Báo cáo cho CIO, VP-IT; VP - Administration
c.
Là người chịu trách nhiệm tập trung cho an ninh về mặt vật lý (physical information security).
d.
Báo cáo cho CIO/VP for IT
Phản hồi
Báo cáo cho CIO/VP for IT

toàn thông tin
a.
Là lãnh đạo của bộ phận an ninh thông tin (the information security department).
b.
c.
d.
Câu Hỏi 9: Ký hợp đồng (hợp đồng an toàn thông tin) tuyển dụng
a.
b.
Cần tập trung tìm hiểu những hành vi phạm tội trong quá khứ hoặc những hành vi là tiềm
năng cho việc vi phạm sau này của ứng viên
c.
Cần nhấn mạnh nhận thức an toàn thông tin, tóm lược và những vấn đề an ninh thông tin:
chính sách, qui trình thủ tục cần thiết, các yêu cầu an toàn thông tin với nhân sự mới
d.
Nhân viên ký hợp đồng này như một cách “tuyên thệ” bằng văn bản đồng ý tuân thủ các
chính sách ràng buộc của tổ chức
Phản hồi
Nhân viên ký hợp đồng này như một cách “tuyên thệ” bằng văn bản đồng ý tuân thủ các
chính sách ràng buộc của tổ chức
Câu Hỏi 10: Ứng viên vị trí an ninh thông tin thường chỉ cần có các kỹ
năng CNTT và kinh nghiệm chuyên môn trong lĩnh vực CNTT khác
Hãy chọn một:
Đúng
Sai
Câu Hỏi 11: Đối với những vị trí người lao động có thông tin đặc biệt
hay rất quan trọng có tính độc quyền thì đơn vị nên
a.
b.
c.
Giới hạn mức độ và phạm vi truy cập thông tin cần thiết cho công việc
d.
Cần phân chia trách nhiệm tiếp cận và sử dụng dữ liệu

Phản hồi
Câu Hỏi 12: Thông tin cá nhân của nhân sự an ninh như địa chỉ, điện
thoại, mã số thuế, số an sinh xã hội, thông tin y tế, thông tin gia đình
cần được công khai cho mọi nhân viên trong công ty biết để giám sát
họ
Hãy chọn một:
Đúng
Sai
Câu Hỏi 13: Kết nối nhiệm vụ cụ thể của 3 vị trí an toàn thông tin theo
nghiên cứu của Schwartz, Erwin, Weafer, and Briney
Định nghĩa Answer 1 Chọn... Tạo các giải pháp kỹ thuật an ninh để bảo vệ phần
chương mềm, hệ thống và mạng Mục tiêu Cung cấp chính sách, hoạt động lập
trình an toàn kế hoạch; Quản lý đánh giá rủi ro Cung cấp các giám sát hệ thống hàng
thông tin ngày
Xây dựng Answer 2 Chọn... Tạo các giải pháp kỹ thuật an ninh để bảo vệ phần
chương mềm, hệ thống và mạng Mục tiêu Cung cấp chính sách, hoạt động lập
trình an toàn kế hoạch; Quản lý đánh giá rủi ro Cung cấp các giám sát hệ thống hàng
thông tin ngày
Quản trị hệ Answer 3 Chọn... Tạo các giải pháp kỹ thuật an ninh để bảo vệ phần
thống kiểm mềm, hệ thống và mạng Mục tiêu Cung cấp chính sách, hoạt động lập
soát và kế hoạch; Quản lý đánh giá rủi ro Cung cấp các giám sát hệ thống hàng
chương ngày
trình an toàn
thông tin
Phản hồi
Định nghĩa chương trình an toàn thông tin → Mục tiêu Cung cấp chính sách, hoạt động lập
kế hoạch; Quản lý đánh giá rủi ro,
Xây dựng chương trình an toàn thông tin → Tạo các giải pháp kỹ thuật an ninh để bảo vệ
phần mềm, hệ thống và mạng,
Quản trị hệ thống kiểm soát và chương trình an toàn thông tin → Cung cấp các giám sát hệ thống
hàng ngày
Câu Hỏi 14: Đối với các nhân viên tạm thời, đơn vị nên:
a.
Đảm bảo các nhân viên này tuân thủ các thực hành an toàn thông tin
b.
c.
Chỉ giới hạn những điều cần thiết để họ thực hiện nhiệm vụ
d.
Có thể yêu cầu ký các thỏa thuận không tiết lộ và chính sách sử dụng hợp pháp
Câu Hỏi 15: Kết nối các công việc của cụ thể trong qui trình thực hiện để
tuyển dụng và quản lý nhân sự an toàn thông tin
Phỏn Answer 1 Chọn... Gồm các chính sách của tổ chức về việc tuân thủ và sử dụng
g vấn thông tin, các thỏa thuận về giám sát và không tiết lộ thông tin; những giới hạn
nghiêm ngặt về tạo và sở hữu tài sản thông tin Cần tập trung tìm hiểu những
hành vi phạm tội trong quá khứ hoặc những hành vi là tiềm năng cho việc vi
phạm sau này của ứng viên Quản lý An ninh thông tin cần lưu ý phòng nhân sự
những thông tin không nên công bố (vd những đặc quyền truy cập thông tin
v.v..)
Ký Answer 2 Chọn... Gồm các chính sách của tổ chức về việc tuân thủ và sử dụng
hợp thông tin, các thỏa thuận về giám sát và không tiết lộ thông tin; những giới hạn
đồng nghiêm ngặt về tạo và sở hữu tài sản thông tin Cần tập trung tìm hiểu những
(an hành vi phạm tội trong quá khứ hoặc những hành vi là tiềm năng cho việc vi
toàn phạm sau này của ứng viên Quản lý An ninh thông tin cần lưu ý phòng nhân sự
thôn những thông tin không nên công bố (vd những đặc quyền truy cập thông tin
g tin) v.v..)
tuyể
n
dụng
Kiể Answer 3 Chọn... Gồm các chính sách của tổ chức về việc tuân thủ và sử dụng
m tra thông tin, các thỏa thuận về giám sát và không tiết lộ thông tin; những giới hạn
lý nghiêm ngặt về tạo và sở hữu tài sản thông tin Cần tập trung tìm hiểu những
lịch hành vi phạm tội trong quá khứ hoặc những hành vi là tiềm năng cho việc vi
(bac phạm sau này của ứng viên Quản lý An ninh thông tin cần lưu ý phòng nhân sự
kgro những thông tin không nên công bố (vd những đặc quyền truy cập thông tin
und v.v..)
chec
k)
Phản hồi
Phỏng vấn → Quản lý An ninh thông tin cần lưu ý phòng nhân sự những thông tin không
nên công bố (vd những đặc quyền truy cập thông tin v.v..),
Ký hợp đồng (an toàn thông tin) tuyển dụng
→ Gồm các chính sách của tổ chức về việc tuân thủ và sử dụng thông tin, các thỏa thuận về giám sát
và không tiết lộ thông tin; những giới hạn nghiêm ngặt về tạo và sở hữu tài sản thông tin,
Kiểm tra lý lịch (background check) → Cần tập trung tìm hiểu những hành vi phạm tội trong
quá khứ hoặc những hành vi là tiềm năng cho việc vi phạm sau này của ứng viên
CHƯƠNG 8
CHƯƠNG 8
LẦN 1
Câu Hỏi 1
Đúng
Đặt cờ
Bằng cách quản lý quá trình thay đổi, đơn vị có thể:
a.
Tất cả đều sai
b. Tăng cường sự phối hợp giữa các nhóm trong đơn vị khi sự thay đổi được lên lịch trình
và hoàn thành
c.
thay đổi quy trình để giải quyết xung đột và gián đoạn có thể được tạo ra bởi sự thay đổi
d.
Cải thiện vấn đề mục tiêu về sự thay đổi trong toàn đơn vị.
Phản hồi
Tăng cường sự phối hợp giữa các nhóm trong đơn vị khi sự thay đổi được lên lịch trình và
hoàn thành
Câu Hỏ
Việc lập kế hoạch cho giai đoạn thực hiện liên quan đến việc tạo ra một kế hoạch dự
án chi tiết, và ......... chuyển giao........ (2 từ) cho người quản lý dự án hoặc người điều
hành dự án
Câu Hỏi 3 Sau khi có sự đảm bảo rằng các chính sách được áp dụng, mạng an
toàn và hệ thống an toàn, cần chuyển sang đánh giá và khắc phục tính an toàn của
các ứng dụng của đơn vị.
Hãy chọn một:
Đúng
Câu Hỏi 4
Đúng
Thường có những ràng buộc đối với việc lựa chọn thiết bị và dịch vụ. Những ràng
buộc này có thể hạn chế những công nghệ nào có thể mua sắm.
Hãy chọn một:
Đúng
Sai
Phản hồi
Câu Hỏi 5
Đúng
Đặt cờ
Bảng phân chia công việc (Work Breakdown Structure - WBS)
a.
Chia nhỏ kế hoạch dự án thành những nhiệm vụ chính (major tasks)
b.
Cần tiến hành phân tích thiết sót
c.
Xác định các vấn đề về mặt tài chính của khách hàng
d.
Nó được quản lý bằng cách sử dụng một quy trình được gọi là phân tích thiếu sót nhằm
đảm bảo rằng tiến độ được đo lường định kỳ
Câu Hỏi 6ỏi
Mỗi đơn vị phải tìm ra lãnh đạo dự án phù hợp nhất với nhu cầu cụ thể của mình
cũng như phù hợp với đặc điểm của văn hóa đơn vị
Hãy chọn một:
Đúng
Sai
Phản hồi
Câu Hỏi 7
Đúng
Đặt cờ
Một dự án thành công đòi hỏi một đơn vị phải có khả năng .................. (2 từ) với
những thay đổi được đề xuất.
thích ứng
Câu Hỏi 8
Kế hoạch chi tiết (blueprint) về an toàn thông tin
a.
Hướng dẫn những người tham gia trong giai đoạn thực hiện. Các hướng dẫn này tập trung
vào các thay đổi kiểm soát an toàn cần thiết để cải thiện tính an toàn của phần cứng, phần
mềm, quy trình, dữ liệu, và con người
b.
được hoàn thành bằng cách thay đổi cấu hình và hoạt động của hệ thống thông tin của đơn
vị để làm cho chúng an toàn hơn
c.
Phải mô tả cách thức thu thập và thực hiện các thủ tục kiểm soát an toàn cần thiết
d.Được hình thành dựa trên thông tin về các mục tiêu của đơn vị, kiến trúc kỹ thuật, và môi
trường an toàn thông tin của đơn vị
Các đại diện chính từ các nhóm người dùng sẽ là thành viên của quá trình phát triển
dự án.
Hãy chọn một:
Đúng
Sai
Câu Hỏi 10
Quản trị công nghệ
a.hướng dẫn tần suất cập nhật các hệ thống kỹ thuật
b.hướng dẫn cách thức các bản cập nhật kỹ thuật được phê duyệt và cấp vốn
c.tạo điều kiện cho việc trao đổi thông tin về các tiến bộ kỹ thuật và các vấn đề trong toàn
đơn vị
Câu Hỏi 11
Kết nối các nội dung trong các nhiệm vụ chính của kế hoạch dự án
Ước tính chi phí không được vốn hóa → một số khoản chi phí liên quan đến dự án có thể
được xem là chi phí phi vốn,
Xác định sự phụ thuộc giữa các nhiệm vụ → nên lưu ý về sự phụ thuộc của các nhiệm vụ
hoặc các bước thực hiện khác nhau, bao gồm cả các nhiệm vụ trước và sau.,
Ngày bắt đầu và ngày kết thúc → Không nên xác định trước quá nhiều ngày cho quá nhiều
nhiệm vụ,
Công việc cần hoàn thành → cần dán nhãn và cung cấp mô tả kỹ lưỡng cho nhiệm vụ
Câu Hỏi 12
Vấn đề về sự ưu tiên trong lập kế hoạch thực hiện an toàn thông tin
a.
Thường có những ràng buộc đối với việc lựa chọn thiết bị và dịch vụ
b.
Việc hệ thống thông tin bị tấn công cũng là một trong những cơ sở giúp người lập kế hoạch
ước tính ngân sách; đồng thời cũng ảnh hưởng khả năng hỗ trợ ngân sách cho an toàn
thông tin từ phía ban quản lý
c.
Khung thời gian tối ưu cho việc huấn luyện thường là từ một đến ba tuần trước khi các
chính sách và công nghệ mới đi vào hoạt động
d.
Một thủ tục kiểm soát ít quan trọng hơn có thể được ưu tiên nếu nó giải quyết một nhóm
điểm yếu tiềm ẩn cụ thể và cải thiện tình trạng an toàn của đơn vị ở mức độ cao hơn so với
các thủ tục kiểm soát có mức độ ưu tiên cao
Câu Hỏi 13 Kết quả phân tích thiếu sót cho thấy cần thực hiện các hành
động khắc phục khi:
a.Có sai sót trong ước tính
c.Nhân viên không ủng hộ
d.Thành quả thấp hơn đối thủ cạnh tranh

Phản hồi
Có sai sót trong ước tính
Câu Hỏi 14
Nguyên tắc lập bảng phân chia công việc (Work Breakdown Structure - WBS) là một
nhiệm vụ hoặc nhiệm vụ chi tiết trở thành một bước thực hiện khi nó có thể
được ................... (2 từ) bởi một người hoặc một bộ kỹ năng và có một kết quả riêng
biệt
Answer:
Phản hồi
The correct answer is: hoàn thành
Câu Hỏi 15
Cân nhắc về vấn đề tài chính trong lập kế hoạch thực hiện an toàn thông tin
a.
Đơn vị nên tiến hành triển khai theo giai đoạn hoặc thí điểm, chẳng hạn như đào tạo triển
khai cho từng bộ phận tại một thời điểm
b.
Việc thực hiện các biện pháp kiểm soát phụ thuộc vào mức độ ưu tiên của các mối đe dọa
và giá trị của tài sản thông tin bị đe dọa
c.Ngân sách cho an toàn thông tin có thể là một phần trong ngân sách cho CNTT nói chung;
hoặc có thể là một ngân sách riêng
d.
Giới hạn phạm vi dự án trong một tập hợp các nhiệm vụ có thể quản lý được không có
nghĩa là dự án chỉ nên cho phép thay đổi một thành phần tại một thời điểm. Nhưng một kế
hoạch tốt cần xem xét cẩn thận số lượng nhiệm vụ được lên kế hoạch cho cùng một thời
điểm trong một bộ phận
Câu Hỏi 1
Đúng một phần
Đặt cờ
Các bước chính trong việc thực hiện kế hoạch dự án:
Giám sát các nhiệm vụ và các bước thực hiện → 2,

Kết thúc dự án → 3,
Lập kế hoạch dự án → 1
Câu Hỏi 2
Đúng
Đặt cờ Vấn đề nào KHÔNG cần cân nhắc khi lập kế hoạch thực hiện an toàn thông
tin
a. Vấn đề tính khả thi về mặt tổ chức
b.Vấn đề mua sắm
c.Vấn đề về sự ưu tiên
d.Vấn đề người không phải là nhân viên
Câu Hỏi 3
Bốn lớp của mô hình Bull’s-Eye bao gồm
a.
phần mềm, hệ thống mạng, hệ thống và ứng dụng
b.
chính sách, con người, hệ thống và ứng dụng
c.
chính sách, hệ thống mạng, hệ thống và ứng dụng
d.
chính sách, hệ thống mạng, phần cứng và ứng dụng
Phản hồi
chính sách, hệ thống mạng, hệ thống và ứng dụng
Câu Hỏi 4
Phát triển văn hóa hỗ trợ thay đổi

a. Sự hỗ trợ mạnh mẽ của ban quản lý đối với sự thay đổi cho phép đơn vị nhận ra sự
cần thiết của sự thay đổi và tầm quan trọng mang tính chiến lược của nó
b. Văn hóa thích nghi có thể được nuôi dưỡng hoặc bị phá hủy bởi cách tiếp cận của
ban quản lý
c. Tất cả đều đúng
d. Sự hỗ trợ yếu kém từ ban quản lý có thể dẫn đến sự thất bại gần như chắc chắn của dự
án.
Phản hồi
Câu Hỏi 5
Đối tượng nào nên là người quản lý dự án thực hiện an toàn thông tin?
a.Cộng đồng CNTT
b. Nhà quản trị
c.
Nhà cung cấp và khách hàng
d.
Người sử dụng hệ thống
Phản hồi
Cộng đồng CNTT
Câu Hỏi 6
Đúng
Đặt cờ
Kết nối đặc điểm của các chiến lược chuyển đổi thực hiện thủ tục kiếm soát
Chuyển đổi từng phần → hỉ một phần của hệ thống được triển khai và phổ biến trong một
đơn vị trước khi phần tiếp theo được thực hiện nhằm giúp người dùng có cơ hội làm quen
với nó và giải quyết các vấn đề khi chúng phát sinh,
Vận hành song song → có thể củng cố an toàn thông tin của đơn vị bằng cách cho phép hệ
thống cũ phục vụ như một hệ thống dự phòng nếu hệ thống mới bị lỗi hoặc bị xâm phạm,
Chuyển đổi thí điểm → giúp ngăn chặn những vấn đề với hệ thống mới ảnh hưởng đáng kể
vào hoạt động của đơn vị nói chung,
Chuyển đổi trực tiếp → Hạn chế chính của phương pháp này là nếu hệ thống mới bị lỗi
hoặc cần sửa đổi, người dùng có thể không có dịch vụ trong khi các lỗi của hệ thống được
khắc phục
Câu Hỏi 7
Chiến lược giảm sự chống đối ngay từ đầu
a.
b.
phải thông báo cho nhân viên về dự án sau khi dự án hoàn thành
c.
có thể được cải thiện thông qua một quy trình ba bước trong đó các nhà quản lý dự án giao
tiếp, huấn luyện và kỷ luật
d. là cải thiện sự tương tác giữa các thành viên bị ảnh hưởng của đơn vị và những
người lập kế hoạch dự án trong giai đoạn đầu của một dự án cải thiện an toàn thông
tin
là cải thiện sự tương tác giữa các thành viên bị ảnh hưởng của đơn vị và những người lập
kế hoạch dự án trong giai đoạn đầu của một dự án cải thiện an toàn thông tin
Câu Hỏi 8
Giới hạn phạm vi dự án trong một tập hợp các nhiệm vụ có thể quản lý được không
có nghĩa là
a.
phải xem xét cẩn thận số lượng nhiệm vụ được lên kế hoạch cho những thời điểm khác
nhau trong một bộ phận
b. dự án chỉ nên cho phép thay đổi một thành phần tại một thời điểm
c.
có thể xung đột với các biện pháp kiểm soát hiện có theo những cách có thể đoán trước
d.
Phản hồi
dự án chỉ nên cho phép thay đổi một thành phần tại một thời điểm
Câu Hỏi 9
Đúng
Đặt cờ
Thuê ngoài dịch vụ an toàn thông tin
a. có thể chọn thuê ngoài các chức năng an toàn thông tin chuyên biệt hơn
b.
Tất cả đều sai
c.
không nên thuê tư vấn bên ngoài để kiểm tra thâm nhập và đánh giá chương trình an toàn
thông tin
d.
không nên thuê ngoài các chức năng giám sát mạng
Câu Hỏi 10
Bằng cách quản lý quá trình thay đổi, đơn vị có thể:
a.
Tăng cường sự phối hợp giữa các nhóm trong đơn vị khi sự thay đổi được lên lịch trình và
hoàn thành.
b.
c.
Đảm bảo với ban giám đốc rằng tất cả các nhóm đều tuân thủ các chính sách của đơn vị về
quản trị công nghệ, mua sắm, kế toán và an toàn thông tin
d.
Cải thiện chất lượng dịch vụ khi các lỗi tiềm ẩn được loại bỏ và các nhóm làm việc cùng
nhau
Câu Hỏi 11
Chọn phát biểu KHÔNG đúng về quản lý dự án thực hiện an toàn thông tin
a.
yêu cầu người quản lý dự án được đào tạo
b.
nên tìm kiếm sự hỗ trợ của chuyên gia
c.
đòi hỏi một tập hợp các kỹ năng đặc biệt và sự hiểu biết thấu đáo về một khối kiến thức
chuyên ngành rộng lớn
d.
yêu cầu sự tham gia của tất cả người sử dụng thông tin
Phản hồi
yêu cầu sự tham gia của tất cả người sử dụng thông tin
Câu Hỏi 12
Vấn đề về huấn luyện và truyền đạt trong kế hoạch thực hiện an toàn thông tin
a.Các công nghệ mới đôi khi đòi hỏi các chính sách mới, đào tạo và huấn luyện nhân viên
b.Quy mô của đơn vị và hoạt động kinh doanh bình thường không có thể ngăn cản một
chương trình huấn luyện lớn về các quy trình hoặc công nghệ an toàn mới
c.Phạm vi dự án cần được xem xét cẩn thận. Trên cơ sở mục tiêu của dự án, phạm vi càng
nhỏ càng tốt
d.Đơn vị nên tiến hành triển khai theo giai đoạn hoặc thí điểm, chẳng hạn như đào tạo triển
khai cho từng bộ phận tại một thời điểm
Câu Hỏi 13
Sai
Đặt cờ
Phát biểu KHÔNG đúng về lớp chính sách trong mô hình Bull’s-Eye
a.
có thể sử dụng chính sách để làm rõ những gì đơn vị đang cố gắng hoàn thành
b.
là nền tảng của tất cả các chương trình an toàn thông tin hiệu quả
c.
nó cho phép tất cả các thành phần an toàn thông tin khác hoạt động chính xác
d.
bao gồm việc cung cấp xác thực và ủy quyền cần thiết khi cho phép người dùng kết nối qua
mạng công cộng với hệ thống của đơn vị
Phản hồi
bao gồm việc cung cấp xác thực và ủy quyền cần thiết khi cho phép người dùng kết nối qua
mạng công cộng với hệ thống của đơn vị
Câu Hỏi 14
Nếu chất lượng của sản phẩm có thể giao không tương xứng
a.
b.
Phải chấm dứt dự án trước hạn
c.
nên bổ sung thêm nguồn lực về thời gian làm việc và tài chính hoặc giảm chất lượng hoặc
số lượng sản phẩm hoàn thành
d.
phải bổ sung thêm nguồn lực về thời gian hoặc tài chính hoặc mất nhiều thời gian hơn để
hoàn thành nhiệm vụ
Câu Hỏi 15
Kế hoạch dự án (project plan)
a.
Được chuyển đổi từ kế hoạch chi tiết về an toàn thông tin
b.
Được hình thành dựa trên thông tin về các mục tiêu của khách hàng
c.
Phải mô tả cách thức thu thập và thực hiện các điểm yếu tiềm ẩn
d.
Không đòi hỏi quản lý dự án
Phản hồi
Được chuyển đổi từ kế hoạch chi tiết về an toàn thông tin

TRẮC NGHIỆM

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

TRẮC NGHIỆM

Uploaded by

Copyright:

Available Formats

QUIZ CHƯƠNG 1

a.Điểm yếu tiềm ẩn (Vulnerability)

b.Điểm yếu bảo mật (Exposure)

d.Tấn công (Attack)

aSự kiện đe dọa (Threat event)

b.Nguồn gốc đe dọa (Threat source)

c.Tác nhân đe dọa (Threat age

d.Quyền truy cập (Access)

a.Người chịu trách nhiệm về dữ liệu (Data Responsibilities)

b.Giám đốc hoạt động (COO - chief operating officer)

c.Giám đốc thông tin (CIO - chief information officer)

c.Khai thác (Exploit)

d.Tấn công (Attack)

a.Tính toàn vẹn (Integrity)

b.Tính bảo mật (Confidentiality)

c.Tính khả dụng (Availability)

d.Chiếm hữu (Possession)

Câu Hỏi 2ĐúngĐạt điểm 1,00 trên 1,00Đặt cờ

Đoạn văn câu hỏi

b.Bảo mật dữ liệu

c.An toàn máy tính

d.An ninh mạng

Câu Hỏi 3 Chọn phát biểu không đúng

b.Tiếp cận theo SDLC (Systems Development Life Cycle)

c.Tiếp cận từ dưới lên (bottom-up approach)

d.Tiếp cận từ trên xuống (top-down approach)

a.Tiếp cận từ trên xuống (top-down approach)

c.Tiếp cận theo SDLC (Systems Development Life Cycle)

a.Nhóm quản lý CNTT

b.Nhóm quản lý an toàn thông tin

c.Nhóm quản lý chung

d.Nhóm người chịu trách nhiệm về dữ liệu

a.Chiếm hữu (Possession)

b.Tính toàn vẹn (Integrity)

c.Tính bảo mật (Confidentiality)

d.Tính khả dụng (Availability)

b.Mục tiêu của an toàn thông tin

c.Thành phần của hệ thống thông tin

d.Trạng thái của thông tin

a.Chiếm hữu (Possession)

b.Tính toàn vẹn (Integrity)

c.Tính xác thực (Authenticity)

d.Tính khả dụng (Availability)

b.Tính bảo mật, tính toàn vẹn và tính khả dụng

c.Tính chiếm hữu, tính toàn vẹn và tính khả dụng

d.Tính bảo mật, tính đầy đủ và tính khả dụng

d.Áp dụng các nguyên tắc thiết kế phần mềm

The correct answer is: Thông tin định danh cá nhân

Câu Hỏi 2 CIO là viết tắt của:..................................(3 từ)

The correct answer is: Chief information officer

Câu Hỏi 3 Tính bảo mật là:

The correct answer is: Confidentiality

Câu Hỏi 4Thuật ngữ C.I.A trong C.I.A. triad là:

a.C (confidentiality); I (integrity); A (Authenticity)

b.C (Communications); I (integrity); A (availability)

c. C (confidentiality); I (information); A (availability)

d.C (confidentiality); I (integrity); A (availability)

Câu Hỏi 5 Community of interest là

a.Quyền lợi của công đồng

b.Bảo mật truyền thông

c.Nhóm lợi ích liên quan

The correct answer is: Top-down approach

Câu Hỏi 7 Possession là:

The correct answer is: chiếm hữu