Professional Documents
Culture Documents
Trinh 31201024372 - Phạm Nguyễn Kiều: Câu Hỏi
Trinh 31201024372 - Phạm Nguyễn Kiều: Câu Hỏi
Nhà của tôi Các khoá học của tôi AISe/K46KN002/T7A303/01-0323/23 D1ACC50707902/NBL KIỂM TRA MỖI CHƯƠNG
Kiểm tra chương 1
3. Bảo vệ tính bảo mật, toàn vẹn, khả dụng của thông tin ở bất cứ nơi lưu trữ nào, hoặc trong quá trình
truyền tải - thông qua việc áp dụng các chính sách, quá trình đào tạo, huấn luyện, nâng cao nhận thức
a. An toàn vật lý
b. An toàn máy tính
c. An ninh mạng
d. An toàn thông tin
e. An toàn truyền thông
a. An toàn hoặc an ninh mạng là nhằm bảo vệ các thành phần, nội dung của mạng máy tính. Nó là một nhánh
của mạng truyền thông
b. An toàn vật lý là bảo vệ các tài sản vật lý khỏi bị lạm dụng, sử dụng sai mục đích hoặc truy cập trái phép
c. Điểm yếu tiềm ẩn (Vulnerability) là điểm yếu điểm yếu bảo mật (Exposure)
d. Khai thác (Exploit) là một kỹ thuật được sử dụng để thâm nhập hoặc làm yếu một hệ thống.
The correct answer is: Điểm yếu tiềm ẩn (Vulnerability) là điểm yếu điểm yếu bảo mật (Exposure)
a. MULTICS là hệ thống đầu tiên tích hợp bảo mật vào các chức năng cốt lõi của nó.
b. MULTICS được coi là tiền thân của Internet
c. Quyền sở hữu dữ liệu (ownership) bao gồm Người sở hữu dữ liệu (Data owners); Người sử dụng dữ liệu (Data
users); Người bảo quản dữ liệu (Data custodians); Người ủy quyền kiểm soát dữ liệu (Data Trustee)
d. Báo cáo của RAND Corporation 1970 (RAND R 609) được xem là tài liệu đầu tiên cho việc nghiên cứu an toàn
máy tính
The correct answer is: MULTICS được coi là tiền thân của Internet
Câu Hỏi 4 Hoàn thành Đạt điểm 1,00 trên 1,00
The correct answer is: Người sở hữu dữ liệu thường là thành viên của ban quản lý cấp cao
The correct answer is: Mức độ bảo mật phù hợp giúp đảm bảo cân đối hợp lý giữa an toàn thông tinvà truy cập
Câu Hỏi 6 Hoàn thành Đạt điểm 1,00 trên 1,00
8. Loại bảo mật hoặc an toàn, an ninh nào nào đề cập đến việc bảo vệ các tài sản vật lý khỏi bị lạm dụng, sử
dụng sai mục đích hoặc truy cập trái phép
Đặc tính nào sau đây KHÔNG được xem là đặc tính tạo Giá trị thông tin
The correct answer is: Không có lựa chọn nào là phù hợp
Câu Hỏi 8 Hoàn thành Đạt điểm 1,00 trên 1,00
a. Vi phạm quyền sở hữu luôn dẫn đến vi phạm tính bảo mật.
b. Cả A và B
c. Vi phạm tính bảo mật luôn dẫn đến vi phạm quyền sở hữu,
d. Không A, KHông B
The correct answer is: Vi phạm tính bảo mật luôn dẫn đến vi phạm quyền sở hữu,
7. Loại bảo mật hoặc an toàn, an ninh nào nào đề cập đến việc bảo vệ các thành phần, nội dung của mạng
máy tính
a. Cân bằng giữa an toàn và truy cập nhằm đảm bảo sự hợp lý giữa khả năng truy cập và việc hạn chế rủi ro – với
một mức độ bảo mật phù hợp
b. An toàn thông tin sẽ đảm bảo tài sản thông tin của tổ chức an toàn tuyệt đối khỏi những nguy cơ
c. Tấn công chỉ tồn tại khi một hành động cụ thể có thể gây ra tổn thất.
d. Nguy cơ luôn hiện hữu
The correct answer is: An toàn thông tin sẽ đảm bảo tài sản thông tin của tổ chức an toàn tuyệt đối khỏi những
nguy cơ
6. Loại bảo mật hoặc an toàn, an ninh nào đề cập đến việc bảo vệ tất cả các phương tiện truyền thông, công
nghệ và nội dung thông tin?
The correct answer is: An toàn/an ninh truyền thông (Communication security)
Câu Hỏi 13 Hoàn thành Đạt điểm 1,00 trên 1,00
a. Tất cả các thành phần của hệ thống thông tin có yêu cầu an toàn và bảo mật giống nhau
b. Lũ lụt gây ngập phòng máy là tấn công không cố ý
c. “Hệ thống quét vân tay cho phép sinh viên đăng nhập vào xem điểm môn học” là mô tả kiểm soát được ghi vào
ô giao nhau giữa chính sách, toàn vẹn và lưu trữ trong mô hình an toàn thông tin CNSS
d. Tất cả đều đúng
The correct answer is: Lũ lụt gây ngập phòng máy là tấn công không cố ý
1. “Bảo vệ thông tin và các yếu tố quan trọng của nó, bao gồm các hệ thống và phần cứng dùng để sử dụng,
lưu trữ và truyền tải thông tin”, là phát biểu định nghĩa
Thông tin có tính khả dụng sẽ luôn đảm bảo tính bảo mật
a. Sai
b. Đúng
Nhà của tôi Các khoá học của tôi AISe/K46KN002/T7A303/01-0323/23 D1ACC50707902/NBL KIỂM TRA MỖI CHƯƠNG
Kiểm tra chương 2 và 3
Một dạng nguy cơ tấn công kỹ thuật xã hội (social engineering) thường được tiến hành qua e-mail, trong đó
một tổ chức hoặc một số bên thứ ba cho biết rằng người nhận có thể nhận một số tiền cao bất hợp lý và chỉ
cần một khoản phí tạm ứng nhỏ hoặc thông tin ngân hàng cá nhân để được chuyển tiền
The correct answer is: Gian lận phí ứng trước (Advance-fee Fraud)
Câu Hỏi 2 Hoàn thành Đạt điểm 1,00 trên 1,00
The correct answer is: Tất cả các lựa chọn đều đúng
a. Chương trình nâng cao nhận thức về an toàn là chương trình nhằm cung cấp những kiến thức nền tảng và
chuyên sâu về an toàn thông tin
b. SETA giúp phát triển kỹ năng và kiến thức để người dùng máy tính có thể thực hiện công việc của họ một cách
an toàn hơn
c. SETA giúp xây dựng kiến thức chuyên sâu khi cần thiết để thiết kế, triển khai hoặc vận hành các chương trình
an toàn cho các tổ chức và hệ thống
d. Chương trình SETA là một biện pháp kiểm soát giúp giảm các sự cố do nhân viên vô tình vi phạm an ninh
e. Chương trình giáo dục, huấn luyện và nhận thức về an toàn là một trong những chương trình có thể mang lại
nhiều lợi ích nhất
The correct answer is: Chương trình nâng cao nhận thức về an toàn là chương trình nhằm cung cấp những kiến
thức nền tảng và chuyên sâu về an toàn thông tin
Các lớp trong thiết kế và thực hiện An toàn/an ninh thông tin:
a. Con người
b. Chính sách
c. Công nghệ
d. Tất cả đều đúng
Phát biểu nào SAI về Chính sách an toàn thông tin DN (Enterprise information security policies – EISP)
a. Xác định mục đích, phạm vi, các ràng buộc và khả năng áp dụng chương trình an ninh của tổ chức
b. Là chính sách cung cấp hướng dẫn chi tiết theo mục tiêu để hướng dẫn tất cả các thành viên của tổ chức sử
dụng tài nguyên
c. là Chính sách an toàn chung hay tổng quát
d. Hướng dẫn phát triển, triển khai và quản lý chương trình an toàn thông tin
The correct answer is: Là chính sách cung cấp hướng dẫn chi tiết theo mục tiêu để hướng dẫn tất cả các thành
viên của tổ chức sử dụng tài nguyên
Phát biểu nào SAI về đặc điểm của các mục tiêu (objectives) của kế hoạch chiến thuật (tactical plans)
a. Lừa đảo (phishing) là một hình thức của tấn công kỹ thuật xã hội (social Engineering)
b. Gian lận phí ứng trước (Advance-fee Fraud ) là một hình thức của tấn công kỹ thuật xã hội (social Engineering)
c. Qui trình sử dụng các kỹ năng xã hội để thuyết phục mọi người tiết lộ thông tin xác thực truy cập hoặc thông
tin có giá trị khác cho kẻ tấn công là hình thức khai thác điểm yếu bảo mật (expose) của máy móc, thiết bị
d. Qui trình sử dụng các kỹ năng xã hội để thuyết phục người khác tiết lộ thông tin xác thực truy cập hoặc thông
tin có giá trị khác cho kẻ tấn công là một hình thức thao túng hành vi của con người
The correct answer is: Qui trình sử dụng các kỹ năng xã hội để thuyết phục mọi người tiết lộ thông tin xác thực
truy cập hoặc thông tin có giá trị khác cho kẻ tấn công là hình thức khai thác điểm yếu bảo mật (expose) của máy
móc, thiết bị
Sao chép, cài đặt hoặc phân phối trái phép phần mềm máy tính có bản quyền là:
The correct answer is: Xâm phạm tài sản trí tuệ
Câu Hỏi 10 Hoàn thành Đạt điểm 1,00 trên 1,00
Phát biểu nào đúng về Chính sách an toàn đặc thù (Issue-specific security policies – ISSP)
The correct answer is: Là chính sách cung cấp hướng dẫn chi tiết theo mục tiêu để hướng dẫn tất cả các thành
viên của tổ chức sử dụng tài nguyên
a. Kẻ tấn công gửi một số lượng lớn các yêu cầu kết nối hoặc yêu cầu thông tin đến một mục tiêu
b. Có thể dẫn đến sự cố hệ thống hoặc đơn thuần là không thể thực hiện các chức năng thông thường
c. Tất cả đều đúng
d. Rất nhiều yêu cầu được đưa ra khiến hệ thống mục tiêu không thể xử lý chúng thành công cùng với các yêu
cầu dịch vụ hợp pháp khác
The correct answer is: Vành đai an toàn khó phát huy hiệu quả với các tấn công nội bộ từ nhân viên
Phòng thủ sâu là một chiến lược bảo vệ tài sản thông tin, bao gồm sử dụng nhiều lớp an ninh và loại kiểm
soát nào dưới đây?
Công ty A nhận được một thông báo trên hệ thống máy tính rằng mạng của họ đã bị nhiễm phần mềm độc
hại và tập tin khách hàng không thể truy cập được. Công ty sẽ được trao lại quyền kiểm soát nếu chi trả cho
người thông báo $25.000. Tình huống này được phân loại :
a. Tấn công kỹ thuật xã hội (Social Engineering) là qui trình chỉ sử dụng các công nghệ kỹ thuật xâm nhập vào hệ
thống
b. Người không được phép cố truy cập (trái phép) vào thông tin mà một tổ chức đang bảo vệ được gọi là gián điệp
hoặc kẻ xâm nhập trái phép
c. Tất cả các lựa chọn trên
d. Tin tặc cũng là 1 loại gián điệp hoặc kẻ xâm nhập trái phép
The correct answer is: Tấn công kỹ thuật xã hội (Social Engineering) là qui trình chỉ sử dụng các công nghệ kỹ thuật
xâm nhập vào hệ thống
Câu Hỏi 16 Hoàn thành Đạt điểm 1,00 trên 1,00
Kế hoạch nào tập trung vào các hoạt động hàng ngày
Theo mô hình an toàn NIST SP 800-14, phát biểu nào SAI về nguyên tắc an toàn
The correct answer is: Không cần đánh giá lại định kỳ
Câu Hỏi 18 Hoàn thành Đạt điểm 1,00 trên 1,00
a. Pharming là một hình thức lừa đảo nhưng không có yếu tố dụ dỗ liên quan
b. Pharming là sự chuyển hướng 1 cách tự động các lưu lượng truy cập Web (Web traffic) hợp pháp đến một
trang Web bất hợp pháp với mục đích thu thập thông tin cá nhân
c. Spyware, Web bug, cookie theo dõi là các phần mềm để thu thập thông tin về người dùng và báo cáo những
thông tin về người dùng
d. Cách tấn công của Pharming giống hoàn toàn cách tấn công kỹ thuật xã hội (social engineering attack)
The correct answer is: Cách tấn công của Pharming giống hoàn toàn cách tấn công kỹ thuật xã hội (social
engineering attack)
a. Các lớp bảo vệ hoặc kiểm soát cần tồn tại giữa mỗi lớp sử dụng trong kiến trúc an toàn thông tin
b. Trong kiến trúc an toàn thông tin, các lớp sử dụng bao gồm chính sách, công nghệ và huấn luyện đào tạo
c. Tất cả các lựa chọn
d. Các lớp bảo vệ cần phối hợp nhiều loại kiểm soát kết hợp
The correct answer is: Trong kiến trúc an toàn thông tin, các lớp sử dụng bao gồm chính sách, công nghệ và huấn
luyện đào tạo
Câu Hỏi 20 Hoàn thành Đạt điểm 1,00 trên 1,00
Kế hoạch nào tập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1 hoặc 2 năm.
a. Vùng an toàn/an ninh (security domain) chính là vành đai an toàn (security perimeter)
b. Tài sản thông tin bao gồm thông tin có giá trị với tổ chức và hệ thống dùng để lưu trữ, xử lý và truyền tải thông
tin
c. Một trong những nền tảng của kiến trúc an toàn thông tin là triển khai an toàn thành nhiều lớp
d. Tiếp cận nhiều lớp trong triển khai an toàn thông tin gọi là phòng thủ theo chiều sâu
The correct answer is: Vùng an toàn/an ninh (security domain) chính là vành đai an toàn (security perimeter)
Câu Hỏi 22 Hoàn thành Đạt điểm 1,00 trên 1,00
Các cuộc tấn công này được thiết kế để đánh chặn và thu thập thông tin trong quá trình chuyển tiếp thông
tin
Một dạng kỹ thuật xã hội, trong đó kẻ tấn công cung cấp những biểu hiện/hiển thị có vẻ là giao tiếp hợp
pháp (thường là e-mail), nhưng nó chứa mã ẩn hoặc mã nhúng chuyển hướng câu trả lời đến trang web của
bên thứ ba trong nỗ lực trích xuất thông tin cá nhân hoặc bí mật thông tin
Kế hoạch nào mang tính định hướng lâu dài mà các đơn vị , bộ phận cần thực hiện
Nhà của tôi Các khoá học của tôi AISe/K46KN002/T7A303/01-0323/23 D1ACC50707902/NBL KIỂM TRA MỖI CHƯƠNG
Kiểm tra cuối chương 4- Quản lý rủi ro
3. Chiến lược kiểm soát rủi ro nhằm giảm bất cứ phần còn lại nào của rủi ro không kiểm soát được thông
qua việc áp dụng các kiểm soát và bảo vệ bổ sung.
a. Chấp nhận
b. Chuyển giao
c. Né tránh
d. Phòng thủ
7. ……………….có chức năng đảm bảo sự cân bằng giữa bảo mật hệ thống thông tin và tính hữu ích của nó
The correct answer is: NHóm/ Cộng đồng an toàn thông tin
6. Chiến lược kiểm soát rủi ro bằng cách loại các hoạt động tạo các rủi ro không kiểm soát được
a. Chuyển giao
b. Giảm thiểu
c. Né tránh
d. Chấp nhận
Phân loại cách tiếp cận để giảm rủi ro còn lại cho tình huống : “Hướng dẫn cách xây dựng mật khẩu hiệu quả
hơn để khắc phục mât khẩu truy cập được đánh giá là không hiệu quả”
a. Trong quản lý rủi ro, sơ đồ phân loại dữ liệu cần phải toàn diện nghĩa là một tài sản thông tin chỉ nên phù hợp
với một danh mục tài sản
b. Trong quản lý rủi ro, biết mình nghĩa là xác định, kiểm tra và hiểu các mối đe dọa đối với tài sản
c. Tất cả các lựa chọn
d. Kiểm soát rủi ro, còn được gọi là xử lý rủi ro, là việc áp dụng các biện pháp kiểm soát nhằm giảm rủi ro đối với
tài sản thông tin của tổ chức xuống mức có thể chấp nhận được.thông tin của tổ chức.
The correct answer is: Kiểm soát rủi ro, còn được gọi là xử lý rủi ro, là việc áp dụng các biện pháp kiểm soát nhằm
giảm rủi ro đối với tài sản thông tin của tổ chức xuống mức có thể chấp nhận được.thông tin của tổ chức.
a. Trong quản lý rủi ro, mục đích của xếp hạng dựa vào trọng số quan trọng của tài sản là xác định tài sản theo
thứ tự quan trọng của chúng đối với tổ chức.
b. Qui trình thực hiện việc xếp hạng rủi ro hoặc điểm số cho mỗi tài sản thông tin gọi là đánh giá rủi ro.
c. Từ góc nhìn an toàn thông tin, thành phần phần mềm được chia thành 2 loại là hệ điều hành và thành phần
bảo mật
d. Đánh giá rủi ro bao gồm xác định rủi ro (risk identification), phân tích rủi ro (risk analysis), lượng hóa rủi ro (risk
evaluation) và phản ứng rủi ro (risk response)
The correct answer is: Trong quản lý rủi ro, mục đích của xếp hạng dựa vào trọng số quan trọng của tài sản là xác
định tài sản theo thứ tự quan trọng của chúng đối với tổ chức.
Câu Hỏi 7 Hoàn thành Đạt điểm 1,00 trên 1,00
a. Quản lý cấp cao của một tổ chức phải cấu trúc các chức năng CNTT và bảo mật thông tin để bảo vệ tài sản
thông tin của tổ chức.
b. Sơ đồ phân loại/phân nhóm dữ liệu (data classify scheme) là Một phương pháp luận kiểm soát truy cập chính
thức, phân chia mức bảo mật đối với tài sản thông tin và do đó để hạn chế số lượng người có thể truy cập vào
tài sản đó.
c. Giai đoạn kiểm soát rủi ro cần thực hiện trước giai đoạn đánh giá rủi ro
d. Có sự tương ứng giữa sơ đồ phân nhóm dữ liệu và cấu trúc phân quyền an ninh nhân sự
The correct answer is: Giai đoạn kiểm soát rủi ro cần thực hiện trước giai đoạn đánh giá rủi ro
Phát biểu nào SAI liên quan tới bảng TVA ( threat-vulnerability- Asset)
a. Mục tiêu của Bảng TVA ( threat-vulnerability- Asset) là xác định được các đểm yếu tiểm ẩn tương ứng với mỗi
nguy cơ và mỗi tài sản
b. Là bước cuối cùng của qui trình đánh giá rủi ro
c. Là một trong các báo cáo của hồ sơ đánh giá rủi ro
d. Các tài sản và nguy cơ được liệt kê trong bảng theo mức độ ưu tiên giảm dần
The correct answer is: Là bước cuối cùng của qui trình đánh giá rủi ro
Câu Hỏi 9 Hoàn thành Đạt điểm 1,00 trên 1,00
2. Phát biểu nào SAI về phân tích lợi ích – chi phí (CBA cost-benefit analysis)
a. Là xác định tổn thất của tài sản của cuộc tấn công thành công
b. Việc so sánh chi phí và lợi ích để giải thích sự hợp lý của KS
c. Nó còn gọi là phân tích khả thi kinh tế của việc đánh giá triển khai các biện pháp kiểm soát và bảo vệ an toàn
thông tin
d. Tất cả đều sai
The correct answer is: Là xác định tổn thất của tài sản của cuộc tấn công thành công
a. Mức chấp nhận rủi ro (risk tolerance) là Số lượng và bản chất của rủi ro mà tổ chức sẵn sàng chấp nhận khi
xem xét sự đánh đổi giữa bảo mật hoàn hảo và khả năng truy cập không giới hạn
b. Tất cả các lựa chọn
c. Khẩu vị rủi ro (risk appetite) là mức rủi ro mà một tổ chức sẵn sàng chấp nhận đối với một tài sản thông tin cụ
thể.
d. Khẩu vị rủi ro (risk appetite) được xác định ở cấp độ chiến lược
The correct answer is: Khẩu vị rủi ro (risk appetite) được xác định ở cấp độ chiến lược
Câu Hỏi 11 Hoàn thành Đạt điểm 1,00 trên 1,00
a. Phân tích chi phí -lợi ích (CBA) có thể thực hiện trước khi triển khai một thủ tục kiểm soát hoặc sau khi thủ tục
kiểm soát được thực hiện.
b. Ba nhóm cộng đồng có lợi ích liên quan an toàn thông tin có trách nhiệm xác định các tùy chọn kiểm soát nào
có hiệu quả về mặt chi phí cho tổ chức
c. Tất cả các lựa chọn
d. Hiểu bối cảnh (môi trường bên trong và bên ngoài tổ chức) là bước cuối cùng trong qui trình quản lý rủi ro
The correct answer is: Hiểu bối cảnh (môi trường bên trong và bên ngoài tổ chức) là bước cuối cùng trong qui
trình quản lý rủi ro
a. Khả thi kỹ thuật (Technical Feasibility ) là Đánh giá mức độ phù hợp của một giải pháp cụ thể dựa trên cơ sở hạ
tầng và nguồn lực công nghệ hiện tại của tổ chức, bao gồm phần cứng, phần mềm, hệ thống mạng và nhân sự.
b. Khả thi vận hành (Operational Feasibility ) là Đánh giá mức độ phù hợp của một giải pháp cụ thể với văn hóa
của tổ chức và mức độ mà người dùng dự kiến sẽ chấp nhận giải pháp. Nó còn được gọi là khả thi về hành vi
c. Tất cả đều đúng
d. Khả thi tổ chức (Organizational Feasibility ) là đánh giá sự phù hợp giữa một giải pháp cụ thể với mục tiêu lập
kế hoạch chiến lược của tổ chức.
e. Khả thi chính trị (Political Feasibility ) là đánh giá mức độ phù hợp của một giải pháp cụ thể trong môi trường
chính trị của tổ chức, ví dụ mối quan hệ trong công việc, mối quan hệ giữa các bên liên quan
a. Giảm thiểu rủi ro không phải là chiến lược ưu tiên để kiểm soát rủi ro.
b. Khi xác định tầm quan trọng tương đối của từng tài sản thông tin, cần dựa trên tuyên bố về chiến lược tổ chức
để xác định tài sản nào là thiết yếu, là hỗ trợ hay là phụ trợ.
c. Dự báo tổn thất hàng năm (ALE) là giá trị được tính bằng tích số của tỷ lệ tấn công hàng năm (tần suất tấn
công) và dự báo tổn thất đơn lẻ
d. Trong phân tích chi phí-lợi ích, dự báo tổn thất đơn lẻ (SLE) là giá trị được tính toán từ giá trị của tài sản và tỷ lệ
thiệt hại kỳ vọng nếu tấn công thành công
The correct answer is: Giảm thiểu rủi ro không phải là chiến lược ưu tiên để kiểm soát rủi ro.
5. Chiến lược kiểm soát rủi ro bằng việc không làm gì để bảo vệ tài sản và chấp nhận kết quả nếu điểm yếu
tiềm ẩn bị khai thác
a. Chuyển giao
b. Né tránh
c. Giảm thiểu
d. Chấp nhận
Nhà của tôi Các khoá học của tôi AISe/K46KN002/T7A303/01-0323/23 D1ACC50707902/NBL KIỂM TRA MỖI CHƯƠNG
Kiểm tra cuối chương 5 &6
Phát biểu nào đúng về điểm cân bằng chi phí (cost balance point) khi xác định mức độ quan trọng của phục
hồi kinh doanh trong qui trình BIA
a. Là giao điểm của chi phí khôi phục các chức năng kinh doanh hoạt động và chi phí ngưng trệ các chức năng
kinh doanh
b. Chí phí ngưng trệ các chức năng kinh doanh là thiệt ảnh hưởng kinh doanh do ngưng trệ
c. Nó được xác định tùy mức độ yêu cầu khôi phục hoạt động và khả năng tài chính của tổ chức
d. Tất cả đều đúng
The correct answer is: Thời gian ngưng trệ tối đa có thể chấp nhận được (MTD) bằng RPO cộng với WRT
Trong các tình huống sau đây, tình huống nào cần triển khai kế hoạch hoạt động kinh doanh liên tục
a. Một đám cháy bùng phát trong nhà kho và nước cứu hỏa lênh láng nhà kho. Một số máy tính trong kho bị hư
nhưng cuối cùng đám cháy đã được dập tắt.
b. Tin tặc tấn công vào hệ thống và xóa môt số một số tập tin nhưng các tập tin này đã được lưu dự phòng trước
đó và doanh nghiệp đã khôi phục lại nó.
c. Tin tặc tấn công vào hệ thống và xóa môt số một số tập tin quan trọng và các tập tin này chưa được lưu dự
phòng
d. Nhân viên đình công làm hoạt động của công ty gián đoạn trong nhiều ngày
The correct answer is: Nhân viên đình công làm hoạt động của công ty gián đoạn trong nhiều ngày
Nội dung nào KHÔNG nằm trong phân loại kiểm soát truy cập theo “tiêu chuẩn đánh giá hệ thống máy tính
tin cậy” (Trusted Computer System Evaluation Criteria (TCSEC)) của Bộ Quốc Phòng Mỹ (the U.S. Department
of Defense (DoD) :
The correct answer is: Kiểm soát truy cập nhận dạng
Câu Hỏi 6 Hoàn thành Đạt điểm 1,00 trên 1,00
Lựa chọn địa điểm dự phòng có đầy đủ dịch vụ máy tính, đường kết nối truyền thông và vị trí làm việc
a. Hot site
b. Tất cả các lựa chọn
c. Cold site
d. Warm site
a. Các kiểm soát trên cơ sở công nghệ vẫn hiệu quả ngay cả khi kẻ tấn công đạt được tiếp cận vật lý tới tài sản
được kiểm soát
b. Kiểm soát truy cập vật lý quan trọng như kiểm soát truy cập logic
c. An toàn vật lý được thiết kế và triển khai theo nhiều lớp
d. Tổ chức có thể sử dụng mạng riêng ảo (VPN) để bảo vệ dữ liệu truyền tải khi nhân viên làm việc từ xa
The correct answer is: Các kiểm soát trên cơ sở công nghệ vẫn hiệu quả ngay cả khi kẻ tấn công đạt được tiếp cận
vật lý tới tài sản được kiểm soát
Câu Hỏi 8 Hoàn thành Đạt điểm 1,00 trên 1,00
a. Phân loại tường lửa theo: chế độ xử lý, thời đại phát triển hoặc cấu trúc
b. Có 2 hình thức chính của kiểm soát truy cập dựa trên ma trận phân quyền (lattice-based access control-LBAC
gồm kiểm soát truy cập dựa trên vai trò và nhiệm vụ ( Role-based access controls (RBACs) and Task-based
access controls (TBACs)) và kiểm soát truy cập bắt buộc Mandatory access controls (MAC)
c. Kiểm soát truy cập: Là phương pháp mà hệ thống xác định cách thức cho phép người dùng vào khu vực tin cậy
của tổ chức
d. Tất cả đều đúng
Nội dung nào KHÔNG thuộc nguyên tắc hoạt động của một VPN, bất kể công nghệ và giao thức cụ thể đang
được sử dụng:
a. Mã hóa
b. Đóng gói
c. Xác thực
d. Tất cả đều sai
a. Giữ ẩn nội dung của các thông báo mạng khỏi những người quan sát có thể có quyền truy cập vào mạng công
cộng
b. Là một mạng riêng tư, an toàn được vận hành trên một mạng công cộng và không an toàn.
c. Sử dụng cơ sở hạ tầng viễn thông công cộng để tạo phương tiện liên lạc riêng thông qua giao thức đường hầm
và quy trình bảo mật
d. Tất cả đều đúng
Khi thiệt hại lớn, hậu quả lâu dài hơn là khôi phục đơn giản thông tin và tài sản thông tin thì những kế hoạch
nào cần được sử dụng đồng thời với nhau. Các kế hoạch bao gồm : (I) Khắc phục sự cố. (II) Khôi phục sau
thảm họa; (III) Đảm bảo Hoạt động kinh doanh liên tục; (IV) Kế hoạch quản lý khủng hoảng
a. (I) Và (II)
b. Tất cả các lựa chọn
c. (I) Và (III)
d. (II) Và (IV)
e. (I) và (IV)
f. (II) Và (III)
g. (III) Và (IV)
a. Trong cùng 1 cấp độ hoạt động, Lập kế hoạch cần thực hiện trước khi xây dựng chính sách
b. Trong cùng 1 cấp độ hoạt động, Chính sách cần xây dựng làm nền tảng cho lập kế hoạch
c. Tất cả các lựa chọn
The correct answer is: Trong cùng 1 cấp độ hoạt động, Chính sách cần xây dựng làm nền tảng cho lập kế hoạch
Nội dung nào SAI về các cơ chế hoạt động của kiểm soát truy cập
a. Truy vết nhằm đảm bảo rằng tất cả các hành động trên một hệ thống có thể được gán cho một danh tính/định
danh được xác thực.
b. Nhận dạng Là một cơ chế mà các thực thể đã được xác minh phải cung cấp một mã định danh để hệ thống xác
thực.
c. Phân quyền là so sánh phù hợp giữa một thực thể được xác thực với một danh sách các tài sản thông tin và các
mức độ truy cập tương ứng
d. Xác thực là quá trình xác minh tính hợp lệ của mã định danh thực thể (cá nhân hoặc thiết bị) đang cố truy cập
vào hệ thống
The correct answer is: Nhận dạng Là một cơ chế mà các thực thể đã được xác minh phải cung cấp một mã định
danh để hệ thống xác thực.
Câu Hỏi 14 Hoàn thành Đạt điểm 1,00 trên 1,00
a. Đánh chặn dữ liệu qua quan sát trực tiếp bằng cách sử dụng phần mềm do thám để thu thập dữ liệu
b. Các phương pháp đánh chặn dữ liệu gồm đánh chặn truyền dữ liệu, quan sát trực tiếp, đánh chặn điện từ
c. Đánh chặn dữ liệu qua đánh chặn điện từ bằng cách nghe trộm những tín hiệu điện từ
d. Đánh chặn dữ liệu qua đánh chặn truyền dữ liệu bằng cách sử dụng phần mềm do thám để thu thập dữ liệu
The correct answer is: Đánh chặn dữ liệu qua quan sát trực tiếp bằng cách sử dụng phần mềm do thám để thu
thập dữ liệu
Phát biểu nào đúng về Kiểm soát truy cập bắt buộc MAC (Madatory based)
a. Nhân viên đình công làm hoạt động của công ty gián đoạn trong nhiều ngày
b. Một đám cháy bùng phát trong nhà kho và nước cứu hỏa lênh láng nhà kho. Một số máy tính bị hư nhưng cuối
cùng đám cháy đã được dập tắt.
c. Tin tặc tấn công vào hệ thống và xóa môt số một số tập tin quan trọng và các tập tin này chưa được lưu dự
phòng
d. Tin tặc tấn công vào hệ thống và xóa môt số một số tập tin nhưng các tập tin này đã được lưu dự phòng trước
đó và doanh nghiệp đã khôi phục lại nó.
The correct answer is: Tin tặc tấn công vào hệ thống và xóa môt số một số tập tin nhưng các tập tin này đã được
lưu dự phòng trước đó và doanh nghiệp đã khôi phục lại nó.
Phát biểu nào SAI về kiểm soát truy cập dựa trên thuộc tính của đối tượng truy cập ((attribute-based access
controls-ABAC).
a. Là cách tiếp cận kiểm soát truy cập do tổ chức chỉ định việc sử dụng dựa trên một số thuộc tính của người
dùng hoặc hệ thống để điều chỉnh quyền truy cập vào một tập hợp dữ liệu cụ thể
b. Là một cách tiếp cận mới đối với Kiểm soát truy cập dựa trên ma trận phân quyền (lattice-based access
control-LBAC, được đề nghị bởi NIST (the National Institute of Standards and Technology- viện quản lý tiêu
chuẩn và công nghệ quốc gia (của Mỹ ))
c. ABAC thực sự là cách tiếp cận tổng quát đối với các kiểm soát truy cập dựa trên ma trận phân quyền, MAC và
RBAC, vì tất cả chúng đều dựa trên các thuộc tính
d. ABAC là kiểm soát truy cập tùy ý
The correct answer is: ABAC là kiểm soát truy cập tùy ý
Câu Hỏi 18 Hoàn thành Đạt điểm 1,00 trên 1,00
Phát biểu nào SAI về phân tích tác động kinh doanh (BIA)
The correct answer is: BIA giả định là các tấn công chưa thành công
Chuyển tới...
Bài giảng chương 1- Tổng quan an toàn thông tin ►
31181025203 - Đoàn Minh Thư
Nhà của tôi Các khoá học của tôi Khoa Kế toán Bộ môn Hệ thống thông tin kế toán AISe_K44 KN05_Chieu T3_B2_512 Chương 6_kiểm tra LMS1 Kiểm
tra LMS1
Bắt đầu vào lúc Thứ hai, 10 Tháng năm 2021, 10:11 PM
Trạng thái Đã xong
Kết thúc lúc Thứ hai, 10 Tháng năm 2021, 10:18 PM
Thời gian thực hiện 6 phút 5 giây
Điểm 17,00/20,00
Điểm 8,50 trên 10,00 (85%)
a. Phải mô tả cách thức thu thập và thực hiện các thủ tục kiểm soát an toàn cần thiết
b. Hướng dẫn những người tham gia trong giai đoạn thực hiện. Các hướng dẫn này tập trung vào các thay đổi kiểm soát an toàn cần thiết để
cải thiện tính an toàn của phần cứng, phần mềm, quy trình, dữ liệu, và con người
c. được hoàn thành bằng cách thay đổi cấu hình và hoạt động của hệ thống thông tin của đơn vị để làm cho chúng an toàn hơn
d. Được hình thành dựa trên thông tin về các mục tiêu của đơn vị, kiến trúc kỹ thuật, và môi trường an toàn thông tin của đơn vị
Cân nhắc về vấn đề tài chính trong lập kế hoạch thực hiện an toàn thông tin
a. Ngân sách cho an toàn thông tin có thể là một phần trong ngân sách cho CNTT nói chung; hoặc có thể là một ngân sách riêng
b. Đơn vị nên tiến hành triển khai theo giai đoạn hoặc thí điểm, chẳng hạn như đào tạo triển khai cho từng bộ phận tại một thời điểm
c. Việc thực hiện các biện pháp kiểm soát phụ thuộc vào mức độ ưu tiên của các mối đe dọa và giá trị của tài sản thông tin bị đe dọa
d. Giới hạn phạm vi dự án trong một tập hợp các nhiệm vụ có thể quản lý được không có nghĩa là dự án chỉ nên cho phép thay đổi một
thành phần tại một thời điểm. Nhưng một kế hoạch tốt cần xem xét cẩn thận số lượng nhiệm vụ được lên kế hoạch cho cùng một thời
điểm trong một bộ phận
b. có thể chọn thuê ngoài các chức năng an toàn thông tin chuyên biệt hơn
c. không nên thuê tư vấn bên ngoài để kiểm tra thâm nhập và đánh giá chương trình an toàn thông tin
Đối tượng nào nên là người quản lý dự án thực hiện an toàn thông tin?
a. Được hình thành dựa trên thông tin về các mục tiêu của khách hàng
d. Phải mô tả cách thức thu thập và thực hiện các điểm yếu tiềm ẩn
Các đơn vị không nên thuê ngoài các chương trình an toàn thông tin của họ
b. Văn hóa thích nghi có thể được nuôi dưỡng hoặc bị phá hủy bởi cách tiếp cận của ban quản lý
c. Sự hỗ trợ yếu kém từ ban quản lý có thể dẫn đến sự thất bại gần như chắc chắn của dự án.
d. Sự hỗ trợ mạnh mẽ của ban quản lý đối với sự thay đổi cho phép đơn vị nhận ra sự cần thiết của sự thay đổi và tầm quan trọng mang
tính chiến lược của nó
Vấn đề nào KHÔNG cần cân nhắc khi lập kế hoạch thực hiện an toàn thông tin
a. Vấn đề nhân sự
c. Vấn đề về phạm vi
Các chú ý về thời gian và lịch trình trong lập kế hoạch thực hiện an toàn thông tin, KHÔNG bao gồm:
b. Thời gian từ khi đặt hàng đến khi nhận được kiểm soát an ninh
b. hướng dẫn cách thức các bản cập nhật kỹ thuật được phê duyệt và cấp vốn
c. tạo điều kiện cho việc trao đổi thông tin về các tiến bộ kỹ thuật và các vấn đề trong toàn đơn vị
Mô hình Bull’s-Eye
a. không nên sử dụng để đánh giá trình tự các bước được thực hiện để tích hợp các phần của kế hoạch an toàn thông tin vào một kế hoạch
dự án.
b. Bằng cách xem xét kế hoạch chi tiết về an toàn thông tin và tình trạng hiện tại của các nỗ lực an toàn thông tin của đơn vị về bốn lớp
này, những người lập kế hoạch dự án có thể xác định lĩnh vực nào cần mở rộng
c. Cần sử dụng thêm tài nguyên cho các biện pháp kiểm soát khác cho đến khi các chính sách an toàn thông tin, CNTT hợp lý và có thể sử
dụng được phát triển, truyền đạt và thực thi
d. Một vài các nguồn lực phải hướng tới việc đạt được mục tiêu
Vấn đề nào KHÔNG phải là một dự án an toàn thông tin phải giải quyết
a. Quản lý dự án
Kết nối đặc điểm của các chiến lược chuyển đổi thực hiện thủ tục kiếm soát
Chuyển
đổi
Chọn...
trực
tiếp
Chuyển
đổi thí Chọn...
điểm
Vận
hành
Chọn...
song
song
Chuyển
đổi
từng Chọn...
phần
Vận hành song song → liên quan đến việc vận hành hai hệ thống đồng thời,
Chuyển đổi từng phần → liên quan đến việc triển khai có đo lường của hệ thống đã lên kế hoạch
Câu Hỏi 15 Đúng Đạt điểm 1,00 trên 1,00
Cân nhắc về vấn đề tài chính trong lập kế hoạch thực hiện an toàn thông tin
a. Phân tích chi phí-lợi ích (CBA) cần được thực hiện, và phải được xem xét, xác nhận trước khi phát triển kế hoạch dự án
b. Nếu không có nhân viên nào được huấn luyện để cấu hình hệ thống, thì những nhân viên thích hợp phải được huấn luyện hoặc thuê
c. Các ràng buộc về ngân sách có thể ảnh hưởng đến việc xác định các ưu tiên của dự án
d. Khung thời gian tối ưu cho việc huấn luyện thường là từ một đến ba tuần trước khi các chính sách và công nghệ mới đi vào hoạt động
Vấn đề nào KHÔNG cần cân nhắc khi lập kế hoạch thực hiện an toàn thông tin
a. Vấn đề về sự ưu tiên
a. Tăng cường sự phối hợp giữa các nhóm trong đơn vị khi sự thay đổi được lên lịch trình và hoàn thành.
b. Đảm bảo với ban giám đốc rằng tất cả các nhóm đều tuân thủ các chính sách của đơn vị về quản trị công nghệ, mua sắm, kế toán và an
toàn thông tin.
c. Cải thiện chất lượng dịch vụ khi các lỗi tiềm ẩn được loại bỏ và các nhóm làm việc cùng nhau
Giới hạn phạm vi dự án trong một tập hợp các nhiệm vụ có thể quản lý được không có nghĩa là
a. phải xem xét cẩn thận số lượng nhiệm vụ được lên kế hoạch cho những thời điểm khác nhau trong một bộ phận
b. dự án chỉ nên cho phép thay đổi một thành phần tại một thời điểm
d. có thể xung đột với các biện pháp kiểm soát hiện có theo những cách có thể đoán trước
Vấn đề về sự ưu tiên trong lập kế hoạch thực hiện an toàn thông tin
a. Việc hệ thống thông tin bị tấn công cũng là một trong những cơ sở giúp người lập kế hoạch ước tính ngân sách; đồng thời cũng ảnh
hưởng khả năng hỗ trợ ngân sách cho an toàn thông tin từ phía ban quản lý
b. Một thủ tục kiểm soát ít quan trọng hơn có thể được ưu tiên nếu nó giải quyết một nhóm điểm yếu tiềm ẩn cụ thể và cải thiện tình
trạng an toàn của đơn vị ở mức độ cao hơn so với các thủ tục kiểm soát có mức độ ưu tiên cao
c. Khung thời gian tối ưu cho việc huấn luyện thường là từ một đến ba tuần trước khi các chính sách và công nghệ mới đi vào hoạt động
d. Thường có những ràng buộc đối với việc lựa chọn thiết bị và dịch vụ
Lớp ứng dụng trong mô hình Bull’s-Eye bao gồm các ứng dụng đóng gói như các chương trình e-mail và tự động hóa văn phòng, các gói
hoạch định nguồn lực doanh nghiệp (ERP), cũng như phần mềm ................. (2 từ) tùy chỉnh do đơn vị phát triển cho các nhu cầu riêng
Answer:
Bạn đang đăng nhập với tên 31181025203 - Đoàn Minh Thư (Thoát)
31181025203 - Đoàn Minh Thư
Nhà của tôi Các khoá học của tôi Khoa Kế toán Bộ môn Hệ thống thông tin kế toán AISe_K44 KN05_Chieu T3_B2_512
Chương 7_kiểm tra LMS2 Kiểm tra LMS2
Bắt đầu vào lúc Thứ ba, 18 Tháng năm 2021, 10:00 PM
Trạng thái Đã xong
Kết thúc lúc Thứ ba, 18 Tháng năm 2021, 10:05 PM
Thời gian thực hiện 4 phút 59 giây
Điểm 10,00/15,00
Điểm 6,67 trên 10,00 (67%)
Chọn phát biểu KHÔNG đúng về lời khuyên cho chuyên viên an ninh thông tin chuyên nghiệp
a. Nghề an ninh thông tin là bảo vệ thông tin và khách hàng của tổ chức
b. Công nghệ có thể cung cấp giải pháp tốt cho một số vấn đề nhưng cũng có thể làm trầm trọng thêm
vấn đề khác
c. Bảo mật thông tin cần minh bạch với người sử dụng
a. Chỉ giới hạn những điều cần thiết để họ thực hiện nhiệm vụ
b. Giám sát trực tiếp quá trình làm và di chuyển của nhóm nhân viên này
c. Ký kết và đưa các điều khoản yêu cầu công việc và giới hạn trách nhiệm rõ ràng
Chief Information Security Officer (CISO) - Giám đốc an toàn thông tin
a. Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
b. Có khả năng quản lý các nhân viên kỹ thuật, bao gồm phân chia nhiệm vụ và giám sát thực hiện nhiệm
vụ của họ
c. Là lãnh đạo của bộ phận an ninh thông tin (the information security department).
d. Có trách nhiệm cho hoạt động hàng ngày của chương trình an ninh thông tin
Là lãnh đạo của bộ phận an ninh thông tin (the information security department).
Câu Hỏi 4 Đúng Đạt điểm 1,00 trên 1,00
a. Có khả năng quản lý các nhân viên kỹ thuật, bao gồm phân chia nhiệm vụ và giám sát thực hiện nhiệm
vụ của họ
b. Là người chịu trách nhiệm tập trung cho an ninh về mặt vật lý (physical information security).
c. Hoàn thành các nhiệm vụ do CISO xác định và giải quyết các vấn đề do các kỹ thuật viên xác định
d. Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
Là người chịu trách nhiệm tập trung cho an ninh về mặt vật lý (physical information security).
Câu Hỏi 5 Đúng Đạt điểm 1,00 trên 1,00
Chief Information Security Officer (CISO) - Giám đốc an toàn thông tin
d. Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
Đối với những vị trí người lao động có thông tin đặc biệt hay rất quan trọng có tính độc quyền thì đơn vị nên
d. Giới hạn mức độ và phạm vi truy cập thông tin cần thiết cho công việc
Ứng viên vị trí an ninh thông tin thường chỉ cần có các kỹ năng CNTT và kinh nghiệm chuyên môn trong lĩnh
vực CNTT khác
Chọn phát biểu KHÔNG đúng về lựa chọn nhân sự cho vị trí an toàn thông tin
a. Trong an ninh thông tin, người quá chuyên sâu về 1 lĩnh vực (overspecialistion) sẽ là tốt nhất
b. Các đơn vị thường tìm kiếm các nhân sự có kiến thức chung có bằng cấp về kỹ thuật an ninh thông tin (a
technically qualified information security generalist) cho vị trí an ninh thông tin nhưng có hiểu biết vững
chắc về hoạt động của đơn vị
c. Vị trí an toàn thông tin cần những người cân bằng giữa kỹ năng kỹ thuật và các hiểu biết về an ninh
thông tin (p 586)
b. Phát triển ngân sách an ninh thông tin trên cơ sở quỹ hiện hành
c. Có trách nhiệm cho hoạt động hàng ngày của chương trình an ninh thông tin
d. Là người đại diện truyền thông của đội an ninh thông tin
Có trách nhiệm cho hoạt động hàng ngày của chương trình an ninh thông tin
Bộ phận an toàn thông tin luôn luôn là một thành phần trong bộ phận Công nghệ thông tin trong doanh
nghiệp
Chọn phát biểu KHÔNG đúng về lời khuyên cho chuyên viên an ninh thông tin chuyên nghiệp
c. Khi đánh giá vấn đề, xem nguồn gốc vấn đề trước, xác định các nhân tố ảnh hưởng tới vấn đề và chính
sách của tổ chức có thể dẫn tới thiết kế giải pháp độc lập với công nghệ
d. Hãy sử dụng các thuật ngữ chuyên môn khi trao đổi vấn đề
a. Xác định vấn đề luân chuyển/tắc nghẽn thông tin thông qua Kiểm tra DL khi chuyển giao và lưu trữ
b. Có thể là CISO và kết hợp thêm trách nhiệm an ninh thông tin về mặt vật lý
Có thể là CISO và kết hợp thêm trách nhiệm an ninh thông tin về mặt vật lý
,
Tất cả đều đúng
Câu Hỏi 13 Không trả lời Đạt điểm 1,00
Kết nối nhiệm vụ cụ thể của 3 vị trí an toàn thông tin theo nghiên cứu của Schwartz, Erwin, Weafer, and
Briney
Định nghĩa chương trình an toàn thông tin → Mục tiêu Cung cấp chính sách, hoạt động lập kế hoạch; Quản lý
đánh giá rủi ro
Câu Hỏi 14 Không trả lời Đạt điểm 1,00
a. Cần tập trung tìm hiểu những hành vi phạm tội trong quá khứ hoặc những hành vi là tiềm năng cho việc
vi phạm sau này của ứng viên
b. Cần nhấn mạnh nhận thức an toàn thông tin, tóm lược và những vấn đề an ninh thông tin: chính sách,
qui trình thủ tục cần thiết, các yêu cầu an toàn thông tin với nhân sự mới
d. Nhân viên ký hợp đồng này như một cách “tuyên thệ” bằng văn bản đồng ý tuân thủ các chính sách
ràng buộc của tổ chức
a. Có thể là CISO và kết hợp thêm trách nhiệm an ninh thông tin về mặt vật lý
b. Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý các kiểm soát ngân sách
c. Có thể là kỹ thuật viên an ninh (security technicians) / kiến trúc sư an ninh/ kỹ sư an ninh có kiến thức
tốt
Bạn đang đăng nhập với tên 31181025203 - Đoàn Minh Thư (Thoát)
31181025203 - Đoàn Minh Thư
Nhà của tôi Các khoá học của tôi Khoa Kế toán Bộ môn Hệ thống thông tin kế toán AISe_K44 KN05_Chieu T3_B2_512 Chương 5 Question 1
Bắt đầu vào lúc Thứ tư, 12 Tháng năm 2021, 10:06 PM
Trạng thái Đã xong
Kết thúc lúc Thứ tư, 12 Tháng năm 2021, 10:09 PM
Thời gian thực hiện 3 phút 2 giây
Điểm 3,50/5,00
Điểm 7,00 trên 10,00 (70%)
Packet-
filtering Thiết bị mạng kiểm tra tiêu đề thông tin của các gói dữ liệu đi vào một mạng và xác định xem nên từ chối hay cho phép chuyển tiếp đến kết nối mạng tiếp theo dựa
firewalls
Application
layer proxy Một thiết bị có khả năng hoạt động như một tường lửa và application layer proxy server
firewalls
Hybrids Tường lửa kết hợp kết hợp các yếu tố của các loại tường lửa khác: yếu tố của bộ lọc gói, proxy lớp ứng dụng và tường lửa lớp kiểm soát truy cập phương tiện.
Media
access
control Tường lửa được thiết kế hoạt động ở lớp con kiểm soát truy cập phương tiện của lớp liên kết dữ liệu mạng (Lớp 2).
layer
firewalls
Application layer proxy firewalls → Một thiết bị có khả năng hoạt động như một tường lửa và application layer proxy server,
Hybrids → Tường lửa kết hợp kết hợp các yếu tố của các loại tường lửa khác: yếu tố của bộ lọc gói, proxy lớp ứng dụng và tường lửa lớp kiểm soát truy cập phương tiện.,
Media access control layer firewalls → Tường lửa được thiết kế hoạt động ở lớp con kiểm soát truy cập phương tiện của lớp liên kết dữ liệu mạng (Lớp 2).
Câu Hỏi 2 Đúng Đạt điểm 1,00 trên 1,00
Capabilities tables
Thể hiện từng dòng thuộc tính kết hợp với từng chủ thể cụ thể
Task-based access
Quyền gắn với nhiệm vụ, được kế thừa khi người dùng chỉ định nhiệm vụ
controls-TBAC
Bao gồm danh sách người dùng truy cập, ma trận và bảng khả năng
Access control list (ACL)
Capabilities tables → Thể hiện từng dòng thuộc tính kết hợp với từng chủ thể cụ thể,
Task-based access controls-TBAC → Quyền gắn với nhiệm vụ, được kế thừa khi người dùng chỉ định nhiệm vụ,
Role-based access controls - RBAC → Quyền gắn với vai trò của người dùng, được kế thừa khi người dùng được chỉ định vai trò đó,
Kiểm soát truy cập bắt buộc (Mandatory access controls - MACs)
→ Thông tin được xếp hạng và tất cả người dùng được xếp hạng để chỉ định mức thông tin họ có thể truy cập,
Kiểm soát truy cập dựa trên thuộc tính (attribute-based access controls - ABAC)
→ cách tiếp cận kiểm soát truy cập do tổ chức chỉ định việc sử dụng các đối tượng dựa trên một số thuộc tính của người dùng hoặc hệ thống,
Access control list (ACL) → Bao gồm danh sách người dùng truy cập, ma trận và bảng khả năng
Câu Hỏi 3 Đúng Đạt điểm 1,00 trên 1,00
Phân quyền
Là sự thiết lập quyền giữa một thực thể được xác thực và một danh sách các tài sản thông tin và các mức độ truy cập tương ứng
(Authorization)
Nhận dạng
Là một cơ chế mà các thực thể phải cung cấp một mã định danh - identifier (ID) để được hệ thống xác thực
(Identification)
Xác thực là quá trình xác minh danh tính của cá nhân hoặc thiết bị đang cố truy cập vào hệ thống, nhằm đảm bảo chỉ những người dùng hợp pháp mới có thể truy cập v
(Authentication)
Truy vết
Thực hiện bằng phương tiện nhật ký hệ thống, nhật ký cơ sở dữ liệu và kiểm toán các hồ sơ
(Accountability)
Xác thực (Authentication) Đây là những gì tôi có thể làm với hệ thống
VPN lai (hybrid VPN) → kết hợp cả hai cách trên, cung cấp các đường truyền được mã hóa (như trong VPN an toàn) qua một số hoặc tất cả mạng VPN đáng tin cậy,
VPN an toàn (Secure VPN) → sử dụng các giao thức bảo mật như IPSec để mã hóa lưu lượng truyền qua các mạng công cộng không an toàn như Internet
◄ Thảo luận tình huống chương 4 Chuyển tới... Slide chương 5_SV ►
Bạn đang đăng nhập với tên 31181025203 - Đoàn Minh Thư (Thoát)
31181025203 - Đoàn Minh Thư
Nhà của tôi Các khoá học của tôi Khoa Kế toán Bộ môn Hệ thống thông tin kế toán AISe_K44 KN05_Chieu T3_B2_512
Chương 2 Question 1_chương 2
Hãy kết nối các loại nguy cơ và ví dụ về cuộc tấn công tương ứng.
Những tác
động từ thiên Cháy nổ, lũ lụt, động đất, sấm sét
nhiên
Gián điệp
hoặc kẻ xâm
Truy cập trái phép hoặc/ và thu thập dữ liệu trái phép
nhập trái
phép
Trộm Chiếm đoạt bất hợp pháp thiết bị hoặc thông tin
Lỗi phần
Bugs, các vấn đề về mã, lổ hỗng bảo mật chưa được xác định
mềm
Tấn công có
chủ đích
Viruses, worms, macros, từ chối dịch vụ
bằng phần
mềm
Xâm phạm
Ăn cắp bản quyền, vi phạm bản quyền
tài sản trí tuệ
Công nghệ
Công nghệ lạc hậu
lạc hậu
Lỗi phần
Lỗi thiết bị
cứng
Sai lệch về
chất lượng
Các vấn đề liên quan nhà cung cấp dịch vụ Internet (ISP), năng lượng và dịch vụ mạng WAN
dịch vụ bởi
NCC dịch vụ
Cưỡng đoạt
Tống tiền, tiết lộ thông tin
thông tin
Gián điệp hoặc kẻ xâm nhập trái phép → Truy cập trái phép hoặc/ và thu thập dữ liệu trái phép,
Trộm → Chiếm đoạt bất hợp pháp thiết bị hoặc thông tin,
Lỗi phần mềm → Bugs, các vấn đề về mã, lổ hỗng bảo mật chưa được xác định,
Tấn công có chủ đích bằng phần mềm → Viruses, worms, macros, từ chối dịch vụ,
Lỗi con người / sai sót → Tai nạn, lỗi nhân viên,
Phá hoại → Huỷ hoại hệ thống hoặc thông tin,
Xâm phạm tài sản trí tuệ → Ăn cắp bản quyền, vi phạm bản quyền,
Công nghệ lạc hậu → Công nghệ lạc hậu,
Bạn đang đăng nhập với tên 31181025203 - Đoàn Minh Thư (Thoát)
31181025203 - Đoàn Minh Thư
Nhà của tôi Các khoá học của tôi Khoa Kế toán Bộ môn Hệ thống thông tin kế toán AISe_K44 KN05_Chieu T3_B2_512 Chương 3 Question 1_chương 3
Hãy kết nối các yêu cầu về chính sách an toàn thông tin.
Dễ hiểu -
Nhân viên có thể hiểu rõ các yêu cầu và nội dung của chính sách. Các kỹ thuật phổ biến bao gồm các bài kiểm tra trắc nghiệm nhanh và các dạng thức đánh gi
Comprehension
(understanding):
Tuân thủ -
Nhân viên đồng ý tuân thủ chính sách thông qua hành động hoặc khẳng định cam kết.
Compliance
(agreement):
Dễ sử dụng -
Tài liệu phổ biến chính sách ở dạng dễ sử dụng, bao gồm các phiên bản dành cho nhân viên khiếm thị, không thể đọc tiếng Anh. Các kỹ thuật phổ biến là trình
Review
(reading):
Truyền đạt -
Chính sách đã được công bố cần có tính sẵn sàng cho nhân viên tìm hiểu, xem xét, các kênh truyền thông phổ biến bao gồm in ra bản cứng và truyền thông b
Dissemination
(distribution)
Dễ sử dụng - Review (reading): → Tài liệu phổ biến chính sách ở dạng dễ sử dụng, bao gồm các phiên bản dành cho nhân viên khiếm thị, không thể đọc tiếng Anh. Các kỹ thuật
phổ biến là trình bày chính sách bằng tiếng Anh và các ngôn ngữ khác.,
Truyền đạt - Dissemination (distribution) → Chính sách đã được công bố cần có tính sẵn sàng cho nhân viên tìm hiểu, xem xét, các kênh truyền thông phổ biến bao gồm in ra bản
cứng và truyền thông bản điện tử,
Thực thi thống nhất - Uniform enforcement (fairness in application) → Chính sách được thực thi một cách thống nhất, bất kể tình trạng hoặc nhiệm vụ của nhân viên
Bạn đang đăng nhập với tên 31181025203 - Đoàn Minh Thư (Thoát)
31181025203 - Đoàn Minh Thư
Nhà của tôi Các khoá học của tôi Khoa Kế toán Bộ môn Hệ thống thông tin kế toán AISe_K44 KN05_Chieu T3_B2_512 Chương 4 Question 1_chương 4
Bắt đầu vào lúc Thứ ba, 4 Tháng năm 2021, 3:22 PM
Trạng thái Đã xong
Kết thúc lúc Thứ ba, 4 Tháng năm 2021, 3:25 PM
Thời gian thực hiện 3 phút 5 giây
Điểm 8,00 trên 10,00 (80%)
Kết nối các kết hoạch trong chiến lược giảm thiểu rủi ro
Kế
hoạch
khắc
Bao gồm tất cả các bước chuẩn bị cho quá trình khắc phục, các chiến lược để hạn chế thiệt hại trong thảm họa và các bước chi tiết cần tuân theo trong công tác khắc ph
phục
thảm
họa
(DR)
Kế
hoạch
phản
Các hành động mà tổ chức có thể và cần thực hiện trong khi sự cố đang diễn ra
ứng
với sự
cố (IR)
Kế
hoạch
kinh
Bao gồm các bước cần thiết để đảm bảo sự hoạt động liên tục của tổ chức khi phạm vi hoặc quy mô của thảm họa vượt quá khả năng khôi phục hoạt động của kế hoạc
doanh
liên
tục
(BC)
Kế hoạch kinh doanh liên tục (BC) → Bao gồm các bước cần thiết để đảm bảo sự hoạt động liên tục của tổ chức khi phạm vi hoặc quy mô của thảm họa vượt quá khả năng khôi
phục hoạt động của kế hoạch DR, thường là thông qua việc di dời các chức năng kinh doanh quan trọng đến một vị trí thay thế
Câu Hỏi 2 Sai Đạt điểm 0,00 trên 1,00
c. Có thể thực hiện bằng cách thuê ngoài (outsource) các tổ chức khác
d. Có thể thực hiện bằng cách sửa đổi mô hình triển khai
Lựa chọn không thể làm gì hơn để bảo vệ điểm yếu tiềm ẩn dựa trên rủi ro còn lại và mức độ chấp nhận rủi ro của tổ chức là đặc điểm của chiến lược:
b. Chuyển giao
d. Phòng thủ
Tránh các hoạt động kinh doanh gây ra rủi ro không thể kiểm soát là cách thực hiện của chiến lược kiểm soát rủi ro chấp nhận rủi ro
Kết nối định nghĩa của các chiến lược kiểm soát rủi ro
Chiến
lược Chiến lược kiểm soát rủi ro cố gắng chuyển rủi ro sang các tài sản khác, quy trình khác hoặc tổ chức khác
chuyển
giao
Chiến
lược Tổ chức đưa ra quyết định có ý thức là không làm gì để bảo vệ tài sản thông tin khỏi rủi ro và chấp nhận kết quả từ bất kỳ hoạt động khai thác nào.
chấp
nhận
Chiến
lược Chiến lược kiểm soát rủi ro loại bỏ tất cả rủi ro liên quan đến một tài sản thông tin bằng cách loại bỏ nó khỏi dịch vụ.
né
tránh
Chiến
lược Được gọi là chiến lược né tránh nhằm loại bỏ hoặc giảm bất cứ phần còn lại nào của rủi ro không kiểm soát được thông qua việc áp dụng các kiểm soát và bảo vệ bổ su
phòng
thủ
Chiến
lược Chiến lược kiểm soát rủi ro cố gắng giảm thiểu tác động của tổn thất do một sự cố, thảm họa hoặc cuộc tấn công đã xảy ra thông qua lập kế hoạch dự phòng và chuẩn
giảm
thiểu
Chiến lược né tránh → Chiến lược kiểm soát rủi ro loại bỏ tất cả rủi ro liên quan đến một tài sản thông tin bằng cách loại bỏ nó khỏi dịch vụ.,
Chiến lược phòng thủ → Được gọi là chiến lược né tránh nhằm loại bỏ hoặc giảm bất cứ phần còn lại nào của rủi ro không kiểm soát được thông qua việc áp dụng các kiểm soát và
bảo vệ bổ sung,
Chiến lược giảm thiểu → Chiến lược kiểm soát rủi ro cố gắng giảm thiểu tác động của tổn thất do một sự cố, thảm họa hoặc cuộc tấn công đã xảy ra thông qua lập kế hoạch dự
phòng và chuẩn bị hiệu quả
Chiến lược phòng thủ trong kiểm soát rủi ro cố gắng ngăn chặn việc khai thác các điểm yếu tiềm ẩn
Chiến lược kiểm soát rủi ro được thực hiện bằng cách chống lại các nguy cơ, loại bỏ các điểm yếu tiềm ẩn khỏi tài sản, hạn chế quyền truy cập vào tài sản và bổ sung
các biện pháp bảo vệ
a. Phòng thủ
c. Chuyển giao
Chọn phát biểu đúng về chiến lược phòng thủ trong kiểm soát rủi ro
a. Có thể được thực hiện bằng cách suy nghĩ lại cách cung cấp dịch vụ
b. Được thực hiện bằng cách chống lại các rủi ro, loại bỏ các điểm yếu tiềm ẩn khỏi doanh nghiệp
c. Quyết định rằng chức năng, dịch vụ, thông tin hoặc tài sản cụ thể không bù đắp cho chi phí bảo vệ
d. Cố gắng ngăn chặn việc khai thác các điểm yếu tiềm ẩn
Cố gắng ngăn chặn việc khai thác các điểm yếu tiềm ẩn
Kết nối các kết hoạch trong chiến lược giảm thiểu rủi ro
Kế hoạch kinh doanh liên tục (BC) Cho phép tổ chức thực hiện các hành động phối hợp gồm được xác định trước và cụ thể hoặc riêng biệt và mang tính phản ứng.
Kế hoạch khắc phục thảm họa (DR) Là kế hoạch chiến lược dài hạn nhất trong ba kế hoạch.
Kế hoạch phản ứng với sự cố (IR) → Cho phép tổ chức thực hiện các hành động phối hợp gồm được xác định trước và cụ thể hoặc riêng biệt và mang tính phản ứng.,
Kế hoạch khắc phục thảm họa (DR) → Là quy trình phổ biến nhất trong các thủ tục giảm thiểu
Bạn đang đăng nhập với tên 31181025203 - Đoàn Minh Thư (Thoát)
31181025203 - Đoàn Minh Thư
Nhà của tôi Các khoá học của tôi Khoa Kế toán Bộ môn Hệ thống thông tin kế toán AISe_K44 KN05_Chieu T3_B2_512
Chương 3 Question 2_chương 3
Các biện pháp bảo vệ này bao gồm tường lửa, mạng riêng ảo và IDPSs thuộc nhóm các biện pháp kiểm soát
quản lý
Các biện pháp bảo vệ này bao gồm lập kế hoạch phục hồi sau thảm họa và ứng phó sự cố là các biện pháp
kiểm soát quản lý.
Các biện pháp kiểm soát kỹ thuật là các biện pháp bảo vệ an toàn thông tin tập trung vào việc lập kế hoạch
cấp thấp hơn, nhằm giải quyết chức năng an toàn của đơn vị.
Các biện pháp kiểm soát hoạt động được thiết kế bởi các nhà hoạch định chiến lược và được thực hiện bởi
tổ chức quản lý an toàn của đơn vị.
Các biện pháp kiểm soát kỹ thuật là các biện pháp bảo vệ an toàn thông tin tập trung vào việc áp dụng các
công nghệ, hệ thống và quy trình hiện đại để bảo vệ tài sản thông tin.
Các biện pháp bảo vệ này bao gồm quản trị và quản lý rủi ro là các biện pháp kiểm soát quản lý
Các biện pháp kiểm soát quản lý là các biện pháp bảo vệ an toàn thông tin tập trung vào việc lập kế hoạch
hành chính, tổ chức, lãnh đạo và kiểm soát
Bạn đang đăng nhập với tên 31181025203 - Đoàn Minh Thư (Thoát)
31181025203 - Đoàn Minh Thư
Nhà của tôi Các khoá học của tôi Khoa Kế toán Bộ môn Hệ thống thông tin kế toán AISe_K44 KN05_Chieu T3_B2_512
Chương 3 Question 3_chương 3
Hãy điền vào chỗ trống các nội dung của chính sách kế hoạch dự phòng (CP Policy):
Kêu gọi và hướng dẫn lựa chọn các phương án .......... (2 từ) và chiến lược bền vững
Hãy điền vào chỗ trống nội dung của chính sách kế hoạch dự phòng (PC policy)
Xác định những ..... (3 từ) chịu trách nhiệm về hoạt động CP.
Hãy điền vào chỗ trống các nội dung của chính sách kế hoạch dự phòng (CP Policy):
Đặc tả về các ............ (3 từ) của CP sẽ được CPMT thiết kế
Hãy điền vào chỗ trống các nội dung của chính sách kế hoạch dự phòng (CP Policy):
Yêu cầu CPMT đánh giá rủi ro định kỳ và phân tích .......... (2 từ) kinh doanh để xác định và ưu tiên các chức
năng kinh doanh quan trọng
Hãy điền vào chỗ trống nội dung của chính sách kế hoạch dự phòng (PC policy)
Xác định .......... (3 từ) của từng thành viên trong quy trình CP tổng thể
Hãy điền vào chỗ trống các nội dung của chính sách kế hoạch dự phòng (CP Policy):
Giới thiệu về quan điểm ..................... (2 từ) của nhà quản trị cấp cao, giải thích tầm quan trọng của việc lập
kế hoạch dự phòng đối với các hoạt động chiến lược, dài hạn của tổ chức
Answer: Triết lý
Kết nối vai trò của các đối tượng trong CPMT - nhóm quản lý kế hoạch dự phòng (contingency planning
management team)
Trưởng nhóm BC
Giám đốc tiếp thị và dịch vụ
Trưởng nhóm IR
CISO
Trưởng nhóm DR
Quản lý hoạt động kinh doanh
Hãy điền vào chỗ trống nội dung của chính sách dự phòng (CP Policy)
Yêu cầu ............. (2 từ) các kế hoạch khác nhau thường xuyên
Hãy điền vào chỗ trống các nội dung của chính sách kế hoạch dự phòng (CP Policy):
Trình bày phạm vi và ............... (2 từ) của các hoạt động CP (yêu cầu bao gồm tất cả các chức năng và hoạt
động kinh doanh quan trọng)
Hãy điền vào chỗ trống nội dung của chính sách kế hoạch dự phòng (PC policy)
Xác định các quy định và ...... (2 từ) chính ảnh hưởng đến việc lập kế hoạch CP và trình bày tổng quan về mức
độ phù hợp của chúng
Bạn đang đăng nhập với tên 31181025203 - Đoàn Minh Thư (Thoát)
31181025203 - Đoàn Minh Thư
Nhà của tôi Các khoá học của tôi Khoa Kế toán Bộ môn Hệ thống thông tin kế toán AISe_K44 KN05_Chieu T3_B2_512 Chương 1 Quiz 1_chuong 1
Hãy kết nối các thuật ngữ sau với khái niệm tương ứng
Threat: Nguy cơ hoặc đe dọa Bất kỳ sự kiện hoặc hoàn cảnh nào có khả năng ảnh hưởng xấu đến hoạt động và tài sản của tổ chức
Threat source: Nguồn gốc đe dọa Tập hợp các tác nhân đe dọa
Vulnerability Nhược điểm /điểm yếu tiềm ẩn có sẵn trong hệ thống hoặc trong các hệ thống phòng thủ
Threat agent: Tác nhân đe dọa Một trường hợp cụ thể hoặc một thành phần của một mối đe dọa.
Threat event: Sự kiện đe dọa Sự kiện xảy ra do tác nhân đe dọa gây ra
Threat source: Nguồn gốc đe dọa → Tập hợp các tác nhân đe dọa,
Vulnerability → Nhược điểm /điểm yếu tiềm ẩn có sẵn trong hệ thống hoặc trong các hệ thống phòng thủ,
Threat agent: Tác nhân đe dọa → Một trường hợp cụ thể hoặc một thành phần của một mối đe dọa.,
Threat event: Sự kiện đe dọa → Sự kiện xảy ra do tác nhân đe dọa gây ra
Câu Hỏi 2 Đúng Đạt điểm 1,00 trên 1,00
Hãy kết nối các thuật ngữ sau với khái niệm tương ứng
Protection
profile or
security
posture: Toàn bộ tập hợp các biện pháp kiểm soát và bảo vệ, bao gồm chính sách, giáo dục, đào tạo và nâng cao nhận thức và công nghệ, mà tổ chức thực hiện để bảo vệ tà
Hồ sơ bảo
vệ hoặc
thái độ
bảo mật:
Exposure:
Một tình trạng hoặc trạng thái bị phơi nhiễm; trong bảo mật thông tin, sự lộ diện tồn tại khi kẻ tấn công biết được một lỗ hổng.
Điểm yếu
bảo mật
Risk: Rủi Sự kiện tiềm tàng không mong muốn có thể xảy ra gây thiệt hại cho doanh nghiệp
ro
Loss: Tài sản thông tin bị hư hỏng hoặc bị phá hủy, sửa đổi hoặc tiết lộ ngoài ý muốn hoặc trái phép hoặc bị từ chối sử dụng
Thiệt hại
•Subjects
and
Chủ thể tấn công và đối tượng bị tấn công
objects of
attack
Exposure: Điểm yếu bảo mật → Một tình trạng hoặc trạng thái bị phơi nhiễm; trong bảo mật thông tin, sự lộ diện tồn tại khi kẻ tấn công biết được một lỗ hổng.,
Risk: Rủi ro → Sự kiện tiềm tàng không mong muốn có thể xảy ra gây thiệt hại cho doanh nghiệp,
Loss: Thiệt hại → Tài sản thông tin bị hư hỏng hoặc bị phá hủy, sửa đổi hoặc tiết lộ ngoài ý muốn hoặc trái phép hoặc bị từ chối sử dụng,
•Subjects and objects of attack
→ Chủ thể tấn công và đối tượng bị tấn công
Câu Hỏi 3 Đúng Đạt điểm 1,00 trên 1,00
Hãy kết nối các thuật ngữ và khái niệm tương ứng.
Một hành động cố ý hoặc vô ý có thể làm hỏng hoặc làm tổn hại đến thông tin và hệ thống hỗ trợ nó. Tấn công có thể là tấn công chủ động hoặc tấn công bị đ
Attack: Tấn công
Access: Quyền Khả năng sử dụng, thao tác, sửa đổi hoặc ảnh hưởng đến chủ thể, hoặc đối tượng khác của chủ thể hoặc đối tượng
truy cập
Control,
safeguard, or
countermeasure: Các cơ chế, chính sách hoặc quy trình bảo mật có thể chống lại các cuộc tấn công thành công, giảm thiểu rủi ro, giải quyết các lỗ hổng và cải thiện tính bảo mậ
Kiểm soát, bảo
vệ hoặc biện
pháp đối phó
Các nguồn lực của doanh nghiệp đang được bảo vệ. Tài sản có thể có hình thái vật chất hay phi vật chất. Tài sản thông tin là trọng tâm của an toàn thông tin
Asset: Tài sản
Control, safeguard, or countermeasure: Kiểm soát, bảo vệ hoặc biện pháp đối phó → Các cơ chế, chính sách hoặc quy trình bảo mật có thể chống lại các cuộc tấn công thành
công, giảm thiểu rủi ro, giải quyết các lỗ hổng và cải thiện tính bảo mật trong tổ chức,
Asset: Tài sản → Các nguồn lực của doanh nghiệp đang được bảo vệ. Tài sản có thể có hình thái vật chất hay phi vật chất. Tài sản thông tin là trọng tâm của an toàn thông tin,
Exploit: Khai thác → Một kỹ thuật được sử dụng để xâm phạm hệ thống.
◄ Phụ lục_ lịch sử an toàn thông tin Chuyển tới... Slide full_chương 1 ►
Bạn đang đăng nhập với tên 31181025203 - Đoàn Minh Thư (Thoát)
31181025203 - Đoàn Minh Thư
Nhà của tôi Các khoá học của tôi Khoa Kế toán Bộ môn Hệ thống thông tin kế toán AISe_K44 KN05_Chieu T3_B2_512
Chương 1 Quiz_chương 1
Chất lượng hoặc trạng thái có quyền sở hữu hoặc kiểm soát một số đối tượng hoặc vật phẩm
Cách thức tiếp cận thực hiện an toàn thông tin nào có các đặc điểm sau: “Dự án an toàn thông tin được khởi
xướng bởi các nhà quản lý cấp trên, những người ban hành các chính sách, thủ tục và quy trình; đề xuất các
mục tiêu và kết quả mong đợi; và xác định trách nhiệm cá nhân cho mỗi hành động”
c. Tiếp cận theo SDLC truyền thống tích hợp bảo hiểm phần mềm (Software Assurance)
Câu Hỏi 3 Đúng Đạt điểm 1,00 trên 1,00
a. Phương pháp tiếp cận dựa trên các tiêu chuẩn NIST
b. Microsoft ‘s SDL
d. SDLC truyền thống, tích hợp bảo hiểm phần mềm vào quá trình phát triển phần mềm
Nhu cầu an toàn máy tính xuất hiện từ lĩnh vực quốc phòng
Câu Hỏi 5 Đúng Đạt điểm 1,00 trên 1,00
Một hành động cố ý hoặc vô ý có thể làm hỏng hoặc làm tổn hại đến thông tin và hệ thống hỗ trợ nó
a. Nguy cơ (Threat)
d. Rủi ro (Risk)
Điền vào chỗ trống thuật ngữ thích hợp: SDLC là một phương pháp luận được áp dụng trong phân tích,
………. (2 từ), thực hiện và vận hành hệ thống
a. thiết kế
b. vận động
c. đánh giá
d. tổng hợp
◄ Slide full_chương 1 Chuyển tới... Bài tập về nhà_chương 1 ►
Bạn đang đăng nhập với tên 31181025203 - Đoàn Minh Thư (Thoát)
31181025203 - Đoàn Minh Thư
Nhà của tôi Các khoá học của tôi Khoa Kế toán Bộ môn Hệ thống thông tin kế toán AISe_K44 KN05_Chieu T3_B2_512
Chương 2 Quiz_chương 2
Thủ tục kiểm soát nào ít hiệu quả nhất trong đối phó với nguy cơ "sai sót của con người"
b. Ban hành các chính sách hướng dẫn chi tiết về an toàn
Hành vi trộm cắp vật lý không phải là một nguy cơ đối với an toàn thông tin.
Mã đăng ký phần mềm duy nhất kết hợp với thỏa thuận cấp phép người dùng cuối (end-user license
agreement - EULA)
a. Digital watermark
b. Người dùng khi cài đặt phần mềm thường được yêu cầu hoặc thậm chí phải đăng ký tài khoản sử dụng
phần mềm của họ để hoàn thành cài đặt, nhận hỗ trợ kỹ thuật hoặc sử dụng tất cả các tính năng
c. thường xuất hiện trong quá trình cài đặt phần mềm mới, yêu cầu người dùng cho biết rằng họ đã
đọc và đồng ý với các điều kiện sử dụng phần mềm
Sự kết hợp của một số phần mềm và phần cứng sẽ phát hiện ra các lỗi mới
Chọn phát biểu không đúng về nguy cơ "những tác động từ thiên nhiên"
b. Cần phải triển khai các kiểm soát để hạn chế thiệt hại, chuẩn bị các kế hoạch dự phòng để tiếp tục hoạt
động
d. Tổ chức không cho phép cá nhân đặt mật khẩu liên quan thông tin cá nhân hoặc có thể có trong từ
điển mật khẩu
Cuộc tấn công DoS khó chống lại hơn DDoS và hiện không có biện pháp kiểm soát khả thi.
Bạn đang đăng nhập với tên 31181025203 - Đoàn Minh Thư (Thoát)
31181025203 - Đoàn Minh Thư
Nhà của tôi Các khoá học của tôi Khoa Kế toán Bộ môn Hệ thống thông tin kế toán AISe_K44 KN05_Chieu T3_B2_512 Chương 3 Quiz_chương 3
Phát biểu này KHÔNG phải là mục tiêu của quản trị an toàn thông tin.
a. Đo lường thành quả bằng cách đo lường, giám sát và báo cáo các chỉ số quản trị an toàn thông tin để đảm bảo đạt được các mục tiêu của tổ chức
b. Cung cấp giá trị bằng cách tối thiểu hóa các lợi ích an toàn thông tin để hỗ trợ các mục tiêu của tổ chức
c. Quản lý tài nguyên bằng cách sử dụng kiến thức và cơ sở hạ tầng an toàn thông tin một cách hữu hiệu và hiệu quả
d. Liên kết chiến lược của an toàn thông tin với chiến lược kinh doanh để hỗ trợ các mục tiêu của tổ chức
Cung cấp giá trị bằng cách tối thiểu hóa các lợi ích an toàn thông tin để hỗ trợ các mục tiêu của tổ chức
Câu Hỏi 3 Đúng Đạt điểm 1,00 trên 1,00
Kết nối định nghĩa của các khái niệm sau trong chiến lược dự phòng dữ liệu và site
Phục hồi
sau thảm
họa dưới
dạng dịch vụ liên quan đến việc sử dụng các dịch vụ điện toán đám mây như một phần của thỏa thuận dịch vụ với bên thứ ba
(Disaster
Recovery as
a Service -
DRaaS)
Văn phòng
dịch vụ Các hợp đồng có thể được tạo ra một cách cẩn thận với các văn phòng dịch vụ để chỉ định chính xác những gì tổ chức cần mà không cần phải đặt trước các phươn
(Service
Bureaus)
Thỏa thuận
tương trợ quy định rằng các tổ chức tham gia mà không bị ảnh hưởng bởi thảm họa có nghĩa vụ cung cấp các phương tiện, nguồn lực và dịch vụ cần thiết cho đến khi tổ chứ
(Mutual
Agreements)
Chia sẻ thời
cho phép tổ chức duy trì tùy chọn phục hồi sau thảm họa và tính liên tục trong kinh doanh bằng cách chia sẻ chi phí của hot site/warm site/cold site với một hoặc
gian (Time-
shares)
Văn phòng dịch vụ (Service Bureaus) → Các hợp đồng có thể được tạo ra một cách cẩn thận với các văn phòng dịch vụ để chỉ định chính xác những gì tổ chức cần mà không cần
phải đặt trước các phương tiện chuyên dụng,
Thỏa thuận tương trợ (Mutual Agreements) → quy định rằng các tổ chức tham gia mà không bị ảnh hưởng bởi thảm họa có nghĩa vụ cung cấp các phương tiện, nguồn lực và dịch
vụ cần thiết cho đến khi tổ chức tiếp nhận có thể phục hồi sau thảm họa,
Chia sẻ thời gian (Time-shares) → cho phép tổ chức duy trì tùy chọn phục hồi sau thảm họa và tính liên tục trong kinh doanh bằng cách chia sẻ chi phí của hot site/warm site/cold
site với một hoặc nhiều đối tác
Theo NIST SP 800-34, Rev. 1, CPMT tiến hành BIA trong ba giai đoạn gồm:
a. Phát triển kịch bản thành công của tấn công; Đánh giá thiệt hại tiềm ẩn; Phân loại kế hoạch cấp dưới
b. Xác định sứ mệnh/ quy trình kinh doanh và mức độ quan trọng của việc phục hồi; Xác định các yêu cầu về nguồn lực; Xác định các ưu tiên phục hồi cho tài
nguyên hệ thống
c. Nhận dạng mối đe dọa tấn công; Phân tích đơn vị kinh doanh; Phát triển kịch bản thành công của tấn công
Xác định sứ mệnh/ quy trình kinh doanh và mức độ quan trọng của việc phục hồi; Xác định các yêu cầu về nguồn lực; Xác định các ưu tiên phục hồi cho tài nguyên hệ thống
Câu Hỏi 5 Đúng Đạt điểm 1,00 trên 1,00
a. Việc ghi lại sự kiện có thể chứng minh tổ chức đã làm mọi thứ có thể để ngăn chặn sự lây lan của thảm họa nếu phản hồi được đặt ra sau đó
c. Tài liệu về sự cố có thể được sử dụng để chạy mô phỏng trong các buổi huấn luyện trong tương lai
d. Cho phép đơn vị tìm hiểu những gì đã xảy ra, cách sự cố xảy ra và những hành động chưa thực hiện
Không phải mọi doanh nghiệp đều cần một kế hoạch đảm bảo hoạt động liên tục trong kinh doanh
Bạn đang đăng nhập với tên 31181025203 - Đoàn Minh Thư (Thoát)
31181025203 - Đoàn Minh Thư
Nhà của tôi Các khoá học của tôi Khoa Kế toán Bộ môn Hệ thống thông tin kế toán AISe_K44 KN05_Chieu T3_B2_512
Chương 4 Quiz_chương 4
Bắt đầu vào lúc Chủ nhật, 9 Tháng năm 2021, 10:00 PM
Trạng thái Đã xong
Kết thúc lúc Chủ nhật, 9 Tháng năm 2021, 10:03 PM
Thời gian thực hiện 3 phút 1 giây
Điểm 4,80/6,00
Điểm 8,00 trên 10,00 (80%)
Giá trị được tính toán liên quan đến tổn thất có khả năng xảy ra nhất từ một cuộc tấn công là
Phải thực thi các chính sách để đảm bảo rằng không có thông tin đã phân loại nào bị vứt bỏ trong thùng rác
hoặc các khu tái chế là:
Định giá tài sản thông tin nên sử dụng phân tích nhân tố có trọng số
Yêu cầu phân nhóm tài sản thông tin là phải cụ thể để có thể dễ hiểu và xác định mức độ ưu tiên
Kết nối nội dung của từng thành phần trong quản lý rủi ro
Xác
định Xác định và hiểu về rủi ro DN phải đối mặt, đặc biệt là rủi ro về tài sản thông tin
rủi ro
Đánh
giá Đánh giá và đo lường rủi ro để quyết định rủi ro có vượt quá ngưỡng chịu đựng của tổ chức không?
rủi ro
Kiểm
soát Thực hiện thủ tục kiểm soát để giảm rủi ro xuống mức chấp nhận
rủi ro
Sắp xếp trình tự nội dung cần thực hiện trong giai đoạn xác định rủi ro
Phân nhóm, định giá và sắp xếp ưu tiên các tài sản
3
Phân nhóm, định giá và sắp xếp ưu tiên các tài sản
→ 3,
Bạn đang đăng nhập với tên 31181025203 - Đoàn Minh Thư (Thoát)
31181025203 - Đoàn Minh Thư
Nhà của tôi Các khoá học của tôi Khoa Kế toán Bộ môn Hệ thống thông tin kế toán AISe_K44 KN05_Chieu T3_B2_512 Chương 5 Quiz_chương 5
Bắt đầu vào lúc Chủ nhật, 16 Tháng năm 2021, 10:08 PM
Trạng thái Đã xong
Kết thúc lúc Chủ nhật, 16 Tháng năm 2021, 10:11 PM
Thời gian thực hiện 2 phút 48 giây
Điểm 5,00/6,00
Điểm 8,33 trên 10,00 (83%)
Chọn phát biểu KHÔNG đúng về Kiểm soát truy cập không tùy ý - Nondiscretionary access controls (NDACs)
a. phân quyền gắn liền với nhiệm vụ và trách nhiệm của một người
b. Ví dụ về NDACs người dùng có thể có một ổ cứng chứa thông tin được chia sẻ với đồng nghiệp. Người dùng này có thể chọn cho phép các đồng nghiệp truy cập
bằng cách cung cấp quyền truy cập theo tên trong chức năng chia sẻ kiểm soát
d. phân quyền theo từng chủ thể đối với từng đối tượng
Phân quyền cho các thành viên trong nhóm: Cấp quyền truy cập vào các tài nguyên dựa trên quyền truy cập của từng người dùng
Hybrids Tường lửa kết hợp kết hợp các yếu tố của các loại tường lửa khác: yếu tố của bộ lọc gói, proxy lớp ứng dụng và tường lửa lớp kiểm soát truy cập phương tiện.
Application
layer proxy Một thiết bị có khả năng hoạt động như một tường lửa và application layer proxy server
firewalls
Packet-
filtering Thiết bị mạng kiểm tra tiêu đề thông tin của các gói dữ liệu đi vào một mạng và xác định xem nên từ chối hay cho phép chuyển tiếp đến kết nối mạng tiếp theo dựa
firewalls
Media
access
control Tường lửa được thiết kế hoạt động ở lớp con kiểm soát truy cập phương tiện của lớp liên kết dữ liệu mạng (Lớp 2).
layer
firewalls
Application layer proxy firewalls → Một thiết bị có khả năng hoạt động như một tường lửa và application layer proxy server,
Packet-filtering firewalls → Thiết bị mạng kiểm tra tiêu đề thông tin của các gói dữ liệu đi vào một mạng và xác định xem nên từ chối hay cho phép chuyển tiếp đến kết nối mạng
tiếp theo dựa trên các quy tắc cấu hình của nó,
Media access control layer firewalls → Tường lửa được thiết kế hoạt động ở lớp con kiểm soát truy cập phương tiện của lớp liên kết dữ liệu mạng (Lớp 2).
Thủ tục kiểm soát nên triển khai trong trường hợp tổ chức có thực hiện telecommuting (làm việc từ xa)
a. Sử dụng mạng riêng ảo (VPN) để bảo vệ dữ liệu trong quá trình truyền tải vì nhân viên làm việc từ xa thường lưu trữ dữ liệu văn phòng trên hệ thống tại nhà của họ,
trong tủ đựng hồ sơ tại nhà và trên các phương tiện khác
c. Nhân viên làm việc từ xa phải sử dụng một thiết bị bảo mật với hệ điều hành được cấu hình để yêu cầu xác thực mật khẩu
d. Nhân viên làm việc từ xa phải phải lưu trữ tất cả dữ liệu trong tủ hồ sơ có khóa và phương tiện trong khóa két sắt
Đặc điểm của phương pháp đánh chặn dữ liệu bằng cách truy cập vào mạng LAN
a. Yêu cầu một số khoảng cách gần với máy tính hoặc mạng của tổ chức.
b. Đối thủ cạnh tranh có thể dễ dàng đánh chặn (intercept) thông tin quan trọng tại nhà của một nhân viên
c. Có thể nghe trộm những tín hiệu điện từ - electromagnetic signals (EM)
Yêu cầu tất cả những người vào cơ sở phải cung cấp thông tin cụ thể/ thư mời và được hộ tống khi vào các khu vực hạn chế là thủ tục kiểm soát tránh social
engineering
Bạn đang đăng nhập với tên 31181025203 - Đoàn Minh Thư (Thoát)
lOMoARcPSD|18183950
An toàn thông tin kế toán (Trường Đại học Kinh tế Thành phố Hồ Chí Minh)
3. Hành vi sao chép, cài đặt hoặc phân phối trái phép phần mềm máy
tính có bản quyền là
a. Bảo vệ bản quyền
b. Ăn cắp bản quyền
c. Thay đổi quyền phần mềm
d. Chiếm đoạt bản quyền
5. Việc truy cập thông tin nhạy cảm, thường xảy ra tại các thiết bị
đầu cuối máy tính, bàn làm việc, máy ATM, trên xe bus, máy bay, tàu
điện ngầm – nơi mọi người sử dụng điện thoại thông minh, hoặc
những nơi nhân viên có thể truy cập thông tin bí mật là:
a. Cạnh tranh thông tin
b. Cạnh tranh bình đẳng
c. Shoulder surfing
d. Truy cập thông tin
6. Vì sao nhà quản lý cần phải triển khai các kiểm soát để hạn chế
thiệt hại, chuẩn bị các kế hoạch dự phòng để tiếp tục hoạt động bình
thường
a. Công ty có nhiều nguồn lực tài chính
b. Công ty không thể tránh được các loại nguy cơ từ thiên nhiên
c. Đó là chiến lược của công ty
d. Đó là yêu cầu của HĐ quản trị
7. Kẻ tấn công cài phần mềm độc hại vào hệ thống máy chủ nhằm từ
chối quyền truy cập của người dùng, sau đó đề nghị cung cấp mã
khóa để cho phép truy cập lại hệ thống và dữ liệu của người dùng với
một khoản phí thuộc về nguy cơ
a. Tống tiền
b. Cưỡng đoạt thông tin
c. Mailware
d. Ransomware
8. Hacker chỉ tấn công vì mục đích chính trị là một trong các hình
thức phá hoại trực tuyến, được gọi là
a. Jailbreaking
b. Script kiddies
c. Breaking up
d. Hacktivist
9. Back doors là
a. Tấn công từ chối dịch vụ
b. Tấn công phủ đầu
c. Kiểu tấn công có chủ đích bằng phần mềm
d. Một kiểu tấn công vật lý
10. Malware được thiết kế để làm hỏng, phá hủy hoặc từ chối dịch vụ
cho các hệ thống mục tiêu.
a. Đúng
b. Sai
d. Một trong những phương thức lây truyền virus phổ biến nhất là qua
email
14. Sự chuyển hướng của lưu lượng truy cập Web hợp pháp đến một
trang Web bất hợp pháp với mục đích lấy thông tin cá nhân là kỹ
thuật
a. Mass mail
b. Pharming
c. Spoofing
d. Packet sniffer
16. Vì sao các chuyên gia CNTT đóng vai trò lớn trong việc xác định
khi nào hệ thống/ công nghệ lỗi thời?
a. Họ có nhiều trình độ và kinh nghiệm
b. Giúp ít tốn chi phí hơn khi thay thế hệ thống mới
c. Họ là người quản lý hệ thống
d. Giúp hệ thống hoạt động nhanh hơn
17. Hành vi trộm cắp vật lý các tài sản hữu hình dễ bị phát hiện và có
thể được kiểm soát dễ dàng bằng nhiều cách nào:
a. Nhân viên an ninh
b. Hệ thống cảnh báo
c. Khóa cửa
d. Cả 3 đều đúng
18. Các cuộc tấn công trong đó một người chặn luồng liên lạc và tự
chèn mình vào cuộc trò chuyện để thuyết phục mỗi bên rằng anh ta
là đối tác hợp pháp là kỹ thuật
a. Back doors
b. Man-in-the-middle
c. Pharming
d. Spam
19. Mục tiêu của tấn công từ chối dịch vụ (DoS) là:
a) Cấm người dùng hợp pháp truy cập vào các hệ thống đó
b) Phá hủy tài sản hoặc làm hỏng hình ảnh của tổ chức
c) Đòi tiền chuộc
d) Chiếm đoạt tiền của công ty
Nhà của tôi Các khoá học của tôi AISe-K46KN003-T2,4-A303- 01,0323-23D1ACC50707903-NBL Chương 3- Quản lý
ATTT Kiểm tra nhanh chương 3
Loại chính sách nào đề cập đến các lĩnh vực công nghệ cụ thể, yêu cầu cập nhật thường xuyên và có
tuyên bố về quan điểm của tổ chức về một vấn đề cụ thể?
Một trong những nền tảng của kiến trúc an toàn là yêu cầu triển khai an toàn trong các lớp. Cách tiếp
cận phân lớp này được gọi là phương pháp nào sau đây?
Câu Hỏi 3 Hoàn thành Đạt điểm 1,00 trên 1,00
Thuật ngữ nào được sử dụng để mô tả các tuyên bố chi tiết về những việc phải làm để tuân thủ chính
sách?
a. đạo đức
b. chính sách
c. quản trị
d. tiêu chuẩn
Nội dung nào sau đây được sử dụng để định hướng cách giải quyết các vấn đề và các công nghệ được sử
dụng trong một tổ chức?
a. đạo đức
b. tiêu chuẩn
c. quản trị
d. chính sách
Lựa chọn nào sau đây xác định ranh giới giữa giới hạn bên ngoài của an toàn của một tổ chức và nơi bắt
đầu của thế giới bên ngoài?
a. Khung (framework)
b. Khối cầu an toàn (sphere of security)
c. Vùng an toàn (security domain)
d. Vành đai an toàn (security perimeter)
◄
►
◄
lOMoARcPSD|18183950
An toàn thông tin kế toán (Trường Đại học Kinh tế Thành phố Hồ Chí Minh)
Câu H ỏi 1 úng ạ ể
t i m 1,00 trên 1,00
Người chiu trách nhiệm báo cáo cho CIO, chịu trách nhiệm chính trong vấn ề an toàn và bảo mật hệ thống thông tin, về việc ánh giá, quản lý
và th ực hiện an toàn thông tin là:
a.
Giám đốc thông tin (CIO - chief information o cer)
b.
Giám đốc hoạt động (COO - chief operating o cer)
c.
Ng ười chịu trách nhiệm về dữ liệu (Data Responsibilities)
d.
Giám đốc an toàn thông tin (CISO - chief information security o cer)
Giám đốc an toàn thông tin (CISO - chief information security o cer)
Câu H ỏi 2 úng ạ ể
t i m 1,00 trên 1,00
iền vào chỗ trống thuật ngữ thích hợp: SDLC là một phương pháp luận ược áp dụng trong phân tích, ………. (2 từ), thực hiện và vận hành hệ
th ống
a. v ận động
b. thi ết kế
c. t ổng hợp
d. đánh giá
thi ết kế
Câu H ỏi 3 úng ạ ể
t i m 1,00 trên 1,00
Chất lượng hoặc trạng thái của thông tin gốc hoặc nguyên bản, thay vì sao chép hoặc chế tạo
a.
Chiếm hữu (Possession)
b.
Tính toàn v ẹn (Integrity)
c.
Tính kh ả dụng (Availability)
d.
Tính xác th ực (Authenticity)
Câu H ỏi 4 úng ạ ể
t i m 1,00 trên 1,00
hệ thống
Câu H ỏi 5 úng ạ ể
t i m 1,00 trên 1,00
Cách th ức tiếp cận thực hiện an toàn thông tin nào có các ặc iểm sau: <Bắt ầu từ các hành vi từ cấp dưới nhằm cải thiện an toàn hệ thống và
dựa trên kỹ năng và kiến thức của quản trị viên hệ thống=
a.
ếp cận từ trên xuống (top-down approach)
Ti
b.
ếp cận theo SDLC truyền thống tích hợp bảo hiểm phần mềm (Software Assurance)
Ti
c.
ếp cận theo SDLC (Systems Development Life Cycle)
Ti
d.
ếp cận từ dưới lên (bottom-up approach)
Ti
Câu H ỏi 6 úng ạ ể
t i m 1,00 trên 1,00
Người chiu trách nhiệm báo cáo cho CIO, chịu trách nhiệm chính trong vấn ề an toàn và bảo mật hệ thống thông tin, về việc ánh giá, quản lý
và th ực hiện an toàn thông tin là:
a.
Giám đốc thông tin (CIO - chief information o cer)
b.
Ng ười chịu trách nhiệm về dữ liệu (Data Responsibilities)
c.
Giám đốc an toàn thông tin (CISO - chief information security o cer)
d.
Giám đốc hoạt động (COO - chief operating o cer)
Giám đốc an toàn thông tin (CISO - chief information security o cer)