Q13. What is the ISO 27000 series of standards?

Which individual standards make up the

series?
- Bộ tiêu chuẩn ISO 27000 là mô hình bảo mật được tham khảo rộng rãi nhất trong quy tắc
thực hành công nghệ thông tin cho việc quản lý an toàn thông tin, giúp các tổ chức cải
thiện bảo mật thông tin của họ.
- Bao gồm các tiêu chuẩn riêng biệt: ISO 27001 (các yêu cầu đối với hệ thống quản lý bảo
mật thông tin), ISO 27002 (quy tắc thực hành kiểm soát bảo mật thông tin) và ISO 27005
(quản lý rủi ro bảo mật thông tin), cùng nhiều tiêu chuẩn khác.
Q14. What documents are available from the NIST Computer Security Resource Center
(CSRC), and how can they support the development of a security framework?
- Trung tâm tài nguyên an ninh máy tính của NIST (http://Csrc.nist.gov) cung cấp nhiều
loại tài liệu sẵn có, bao gồm các ấn phẩm đặc biệt (SP) của NIST, Báo cáo liên ngành
(NISTIR) và Ấn phẩm tiêu chuẩn xử lý thông tin liên bang (FIPS PUB) (SP 800-55 Vol.1:
Measurement Guide for Information Security: Volume 1 — Identifying and Selecting
Measures, SP 800-55 Vol.2: Measurement Guide for Information Security: Volume 2 —
Developing an Information Security Measurement Program,…).
- Những tài liệu này cung cấp nhiều thông tin toàn diện về bảo mật máy tính, từ hướng dẫn
và khuyến nghị kỹ thuật đến kết quả nghiên cứu và tiêu chuẩn cho các cơ quan và nhà
thầu liên bang nhằm hỗ trợ phát triển khung bảo mật.
Q15. What Web resources can aid an organization in developing best practices as part of a
security framework?
Các Web có thể cung cấp tài nguyên có giá trị, hỗ trợ tổ chức phát triển các phương pháp
hay nhất như một phần của khuôn khổ bảo mật đó là: trang Web của các tổ chức tiêu chuẩn như
ISO, NIST (http://Csrc.nist.gov), các tổ chức chuyên môn như ISACA, ISC2 (isc2.org) và các
diễn đàn trong ngành như Viện SANS (sans.org), OWASP.
Q16. Briefly describe management, operational, and technical controls, and explain when
each would be applied as part of a security framework.
- Management Controls: Các biện pháp kiểm soát quản lý đặt ra phương hướng và phạm vi
của quy trình bảo mật nhằm cung cấp các hướng dẫn chi tiết về cách thực hiện quy trình
đó, cũng như giải quyết việc thiết kế và triển khai quy trình lập kế hoạch bảo mật và quản
lý quy trình bảo mật. Chúng cũng đề cập đến các đánh giá về quản lý rủi ro và kiểm soát
bảo mật, mô tả sự cần thiết và phạm vi tuân thủ pháp luật, đồng thời đặt ra các hướng dẫn
để duy trì toàn bộ quá trình bảo mật.
- Operational Controls: Kiểm soát hoạt động là chức năng quản lý và lập kế hoạch cấp thấp
hơn, là các thủ tục và cơ chế hàng ngày nhằm bảo vệ tài sản thông tin.
- Kiểm soát kỹ thuật giải quyết các vấn đề về mặt chiến thuật và kỹ thuật liên quan đến
thiết kế và triển khai bảo mật trong tổ chức. Chúng bao gồm những thứ như kiểm soát
truy cập, ID, xác thực,…