series? - Bộ tiêu chuẩn ISO 27000 là mô hình bảo mật được tham khảo rộng rãi nhất trong quy tắc thực hành công nghệ thông tin cho việc quản lý an toàn thông tin, giúp các tổ chức cải thiện bảo mật thông tin của họ. - Bao gồm các tiêu chuẩn riêng biệt: ISO 27001 (các yêu cầu đối với hệ thống quản lý bảo mật thông tin), ISO 27002 (quy tắc thực hành kiểm soát bảo mật thông tin) và ISO 27005 (quản lý rủi ro bảo mật thông tin), cùng nhiều tiêu chuẩn khác. Q14. What documents are available from the NIST Computer Security Resource Center (CSRC), and how can they support the development of a security framework? - Trung tâm tài nguyên an ninh máy tính của NIST (http://Csrc.nist.gov) cung cấp nhiều loại tài liệu sẵn có, bao gồm các ấn phẩm đặc biệt (SP) của NIST, Báo cáo liên ngành (NISTIR) và Ấn phẩm tiêu chuẩn xử lý thông tin liên bang (FIPS PUB) (SP 800-55 Vol.1: Measurement Guide for Information Security: Volume 1 — Identifying and Selecting Measures, SP 800-55 Vol.2: Measurement Guide for Information Security: Volume 2 — Developing an Information Security Measurement Program,…). - Những tài liệu này cung cấp nhiều thông tin toàn diện về bảo mật máy tính, từ hướng dẫn và khuyến nghị kỹ thuật đến kết quả nghiên cứu và tiêu chuẩn cho các cơ quan và nhà thầu liên bang nhằm hỗ trợ phát triển khung bảo mật. Q15. What Web resources can aid an organization in developing best practices as part of a security framework? Các Web có thể cung cấp tài nguyên có giá trị, hỗ trợ tổ chức phát triển các phương pháp hay nhất như một phần của khuôn khổ bảo mật đó là: trang Web của các tổ chức tiêu chuẩn như ISO, NIST (http://Csrc.nist.gov), các tổ chức chuyên môn như ISACA, ISC2 (isc2.org) và các diễn đàn trong ngành như Viện SANS (sans.org), OWASP. Q16. Briefly describe management, operational, and technical controls, and explain when each would be applied as part of a security framework. - Management Controls: Các biện pháp kiểm soát quản lý đặt ra phương hướng và phạm vi của quy trình bảo mật nhằm cung cấp các hướng dẫn chi tiết về cách thực hiện quy trình đó, cũng như giải quyết việc thiết kế và triển khai quy trình lập kế hoạch bảo mật và quản lý quy trình bảo mật. Chúng cũng đề cập đến các đánh giá về quản lý rủi ro và kiểm soát bảo mật, mô tả sự cần thiết và phạm vi tuân thủ pháp luật, đồng thời đặt ra các hướng dẫn để duy trì toàn bộ quá trình bảo mật. - Operational Controls: Kiểm soát hoạt động là chức năng quản lý và lập kế hoạch cấp thấp hơn, là các thủ tục và cơ chế hàng ngày nhằm bảo vệ tài sản thông tin. - Kiểm soát kỹ thuật giải quyết các vấn đề về mặt chiến thuật và kỹ thuật liên quan đến thiết kế và triển khai bảo mật trong tổ chức. Chúng bao gồm những thứ như kiểm soát truy cập, ID, xác thực,…