Câu hỏi ôn tập chương 4

Câu 8.

Bảng tính TVA kết hợp danh sách các tài sản được ưu tiên và các lỗ hổng của
chúng cũng như danh sách ưu tiên các mối đe dọa mà tổ chức phải đối mặt. Lưới
kết quả cung cấp một phương pháp thuận tiện để kiểm tra "mức độ phơi nhiễm"
của tài sản, cho phép đánh giá lỗ hổng dễ dàng. Bảng tính TVA kết hợp danh sách
các tài sản được ưu tiên và các điểm yếu tìm ẩn của chúng cũng như một danh sách
ưu tiên mối liên kết mà tổ chức phải đối mặt. Kết quả cung cấp một phương pháp
thuận tiện để kiểm tra "mức độ phơi nhiễm" của sản phẩm, cho phép đánh giá lỗ
đơn giản.

Câu 9.

CBA= ALE (pre-control) - ALE (post-control)-ACS

ALE (pre-control) ALE của rủi ro trước khi thực hiện kiểm soát

ALE (post-control) ALE được kiểm tra sau khi việc kiểm soát đã được thực hiện
trong một khoảng thời gian

ACS chi phí bảo vệ hàng năm

Câu 10.

Lợi thế cạnh tranh đề cập đến cách một công ty có thể sản xuất hàng hóa hoặc cung
cấp dịch vụ tốt hơn so với đối thủ cạnh tranh. Nó cho phép một công ty đạt được tỷ
suất lợi nhuận cao hơn và tạo ra giá trị cho công ty và các cổ đông.Lợi thế cạnh
tranh là thứ không thể dễ dàng sao chép và chỉ dành riêng cho một công ty hoặc
doanh nghiệp. Giá trị này được tạo ra trong nội bộ và là điều khiến doanh nghiệp
khác biệt so với đối thủ cạnh tranh.

Những thay đổi kể từ ngày CNTT bắt đầu : Trong những ngày đầu của CNTT, các
tập đoàn chủ yếu sử dụng hệ thống máy tính để đạt được lợi thế rõ ràng trước đối
thủ. Việc thiết lập một mô hình, phương pháp hoặc kỹ thuật kinh doanh ưu việt cho
phép tổ chức cung cấp sản phẩm hoặc dịch vụ tạo ra lợi thế cạnh tranh.Tuy nhiên,
trong môi trường kinh doanh hiện đại, tất cả các đối thủ cạnh tranh đều đã đạt đến
một trình độ nhất định về năng lực công nghệ và khả năng phục hồi. CNTT hiện có
sẵn cho tất cả các tổ chức thực hiện đầu tư, cho phép họ phản ứng nhanh chóng với
những thay đổi trên thị trường. Trong môi trường cạnh tranh cao này, các tổ chức
không thể mong đợi việc triển khai các công nghệ mới sẽ mang lại lợi thế cạnh
tranh so với các tổ chức khác trong ngành.

Bất lợi cạnh tranh đề cập đến tình huống một công ty hoặc tổ chức gặp bất lợi so
với các đối thủ cạnh tranh trên thị trường.Bất lợi cạnh tranh nổi lên như một yếu tố
bởi: Trong môi trường cạnh tranh cao này, các tổ chức không thể mong đợi việc
triển khai các công nghệ mới sẽ mang lại lợi thế cạnh tranh so với các tổ chức khác
trong ngành. Thay vào đó, khái niệm tránh bất lợi trong cạnh tranh – hoạt động để
ngăn chặn việc tụt hậu so với đối thủ – đã xuất hiện. Các tổ chức hỗ trợ CNTT hiệu
quả nhanh chóng tiếp thu các công nghệ mới nổi có liên quan không chỉ để đạt
được hoặc duy trì lợi thế cạnh tranh mà còn tránh mất thị phần do không thể duy trì
các dịch vụ có tính đáp ứng cao theo yêu cầu của các bên liên quan.

Câu 11.

Chiến lược xử lý rủi ro chuyển giao, đôi khi được gọi là chia sẻ rủi ro hoặc đơn
giản là chuyển giao rủi ro, cố gắng chuyển rủi ro sang thực thể khác. Mục tiêu này
có thể đạt được bằng cách xem xét lại cách cung cấp dịch vụ, sửa đổi mô hình triển
khai, thuê ngoài cho các tổ chức khác, mua bảo hiểm hoặc thực hiện hợp đồng dịch
vụ với các nhà cung cấp.Chìa khóa cho chiến lược xử lý rủi ro chuyển giao hiệu
quả là việc thực hiện thỏa thuận cấp độ dịch vụ hiệu quả (SLA). Trong một số
trường hợp, SLA là sự đảm bảo duy nhất rằng tổ chức bên ngoài sẽ triển khai mức
độ bảo mật mà tổ chức khách hàng mong muốn đối với các tài sản thông tin có giá
trị.

Câu 12.

Chiến lược xử lý rủi ro giảm thiểu, đôi khi được gọi là phòng ngừa rủi ro hoặc đơn
giản là giảm thiểu rủi ro, cố gắng ngăn chặn việc khai thác lỗ hổng. Đây là cách
tiếp cận hay được áp dụng và được thực hiện bằng cách bổ sung các biện pháp bảo
vệ. Về bản chất, tổ chức đang cố gắng cải thiện tính bảo mật của tài sản thông tin
bằng cách giảm khả năng hoặc xác xuất xảy ra một cuộc tấn công thành công.

Câu 13.
Rủi ro còn lại - rủi ro mà chưa được bao phủ bởi một trong những biện pháp bảo
vệ.

Câu 14.

Có ba cách tiếp cận phổ biến để thực hiện chiến lược xử lý rủi ro giảm thiểu:

• Áp dụng chính sách—Như đã thảo luận trong Mô-đun 3, việc áp dụng chính sách
cho phép tất cả các cấp quản lý bắt buộc phải luôn tuân thủ các thủ tục nhất định.
Ví dụ: nếu tổ chức cần kiểm soát việc sử dụng mật khẩu chặt chẽ hơn, tổ chức có
thể thực hiện chính sách yêu cầu mật khẩu trên tất cả các hệ thống CNTT. Tuy
nhiên, riêng chính sách có thể không đủ, để quản lý hiệu quả luôn kết hợp những
thay đổi trong chính sách với đào tạo và giáo dục của nhân viên, ứng dụng công
nghệ hoặc cả hai.

• Áp dụng các chương trình giáo dục, đào tạo và nhận thức về an ninh (SETA)—
Đơn giản là truyền đạt những thông tin mới hoặc chính sách sửa đổi cho nhân viên
có thể không đủ để đảm bảo sự tuân thủ. Nhận thức, đào tạo và giáo dục là điều
cần thiết để tạo ra một môi trường tổ chức an toàn hơn và được kiểm soát nhiều
hơn cũng như để đạt được những thay đổi cần thiết trong hành vi của người dùng
cuối.

• Ứng dụng công nghệ—Trong thế giới InfoSec hàng ngày, các biện pháp bảo vệ
và kiểm soát kỹ thuật thường xuyên được áp dụng để giảm thiểu rủi ro một cách
hiệu quả. Ví dụ: quản trị viên tường lửa có thể triển khai các công nghệ tường lửa
và IDPS mới ở đâu và như thế nào chính sách yêu cầu chúng cũng như khi cả hai
quản trị viên đều nhận thức được các yêu cầu và được đào tạo để thực hiện chúng.