Câu hỏi ôn tập chương 3

Câu 8.

EISP là một chính sách cấp cao phác thảo cách tiếp cận của tổ chức đối với vấn đề
bảo mật thông tin. Nó phục vụ để hướng dẫn phát triển và thực hiện các chính sách
và thủ tục bảo mật chi tiết hơn.

Câu 9.

Bộ phận CNTT thường chịu trách nhiệm quản lý công nghệ, trong khi bộ phận
InfoSec chịu trách nhiệm thực thi các chính sách ảnh hưởng đến việc sử dụng công
nghệ.

Câu 10.

Để duy trì chính sách bảo mật thông tin, chính sách đó cần được xem xét và cập
nhật thường xuyên để phản ánh những thay đổi về công nghệ, hoạt động kinh
doanh và trong bối cảnh mối đe dọa.

Câu 11.

Khung bảo mật cung cấp cách tiếp cận có cấu trúc để thiết kế và triển khai cơ sở hạ
tầng bảo mật. Quản trị an ninh thông tin là khuôn khổ các quy tắc, trách nhiệm và
quy trình hướng dẫn và kiểm soát các hoạt động bảo mật thông tin của tổ chức.
Ban quản lý cấp cao nên lập kế hoạch cho việc đó.

Câu 12.

Quản trị viên bảo mật có thể tìm thấy thông tin về các khung bảo mật đã thiết lập
từ nhiều nguồn khác nhau, bao gồm trang web của các tổ chức tiêu chuẩn như ISO
và NIST cũng như các tổ chức chuyên nghiệp như ISACA và (ISC)²Có hai tổ chức
lớn điều tra các cáo buộc lạm dụng phần mềm: Hiệp hội Công nghiệp Thông tin và
Phần mềm (SIIA) và Liên minh Phần mềm Doanh nghiệp (BSA).

Câu 13.

Bộ tiêu chuẩn ISO 27000 là bộ tiêu chuẩn quốc tế về quản lý bảo mật thông tin. Bộ
này bao gồm các tiêu chuẩn riêng lẻ như ISO 27001 (các yêu cầu đối với hệ thống
quản lý bảo mật thông tin), ISO 27002 (quy tắc thực hành kiểm soát bảo mật thông
tin) và ISO 27005 (quản lý rủi ro bảo mật thông tin), cùng nhiều tiêu chuẩn khác.

Câu 14.

NIST CSRC cung cấp nhiều loại tài liệu, bao gồm các ấn phẩm đặc biệt, hướng
dẫn, khuyến nghị và tài liệu tham khảo, trong đó có thể hỗ trợ sự phát triển của
khung bảo mật.