CHƯƠNG 1

1. Một trường hợp cụ thể hoặc một thành phần của một mối đe dọa
a. Sự kiện đe dọa (Threat event)
b. Quyền truy cập (Access)
c. Tác nhân đe dọa (Threat agent)
d. Nguồn gốc đe dọa (Threat source)
2. Chọn phát biểu không đúng về bản chất của an toàn thông tin
a. Đặc tính của công nghệ và khoa học máy tính cho thấy tính khoa học của an toàn thông tin
b. Tính không có nguyên mẫu, luôn linh hoạt, luôn sáng tạo trong lĩnh vực bảo mật, sự cân bằng
trong việc vận dụng kiến thức bảo mật, dẫn đến tính khoa học xã hội
c. Tính đa dạng, phức tạp, dẫn đến tính nghệ thật của an toàn thông tin
d. Sự tương tác của con người với hệ thống, hành vi của người dùng tác động đến bảo mật, nhận
thức về rủi ro trong môi trường CNTT cho thấy an toàn thông tin mang tính chất của khoa học xã
hội
3. Một hành động cố ý hoặc vô ý có thể làm hỏng hoặc làm tổn hại đến thông tin và hệ
thống hỗ trợ nó
a. Nguy cơ (Threat)
b. Rủi ro (Risk)
c. Tấn công (Attack)
d. Khai thác (Exploit)
4. Điền vào chỗ trống thuật ngữ thích hợp: SDLC là một phương pháp luận được áp dụng
trong phân tích,.......... (2 từ), thực hiện và vận hành hệ thống
a. tổng hợp
b. vận động
c. đánh giá
d. thiết kế
5. Chọn phát biểu không đúng
a. Hệ thống luôn sẵn sàng để truy cập sẽ dẫn đến nguy cơ bị tấn công
b. An toàn thông tin và khả năng truy cập phải hài hòa và cân xứng
c. Có thể có được an toàn thông tin tuyệt đối, hoàn hảo
d. Nếu cô lập hệ thống để đảm bảm an toàn cao thì không thể truy cập được
6. Người chiu trách nhiệm báo cáo cho CIO, chịu trách nhiệm chính trong vấn đề an toàn
và bảo mật hệ thống thông tin, về việc đánh giá, quản lý và thực hiện an toàn thông tin là:
a. Giám đốc hoạt động (COO - chief operating ocer)
b. Người chịu trách nhiệm về dữ liệu (Data Responsibilities)
c. Giám đốc thông tin (CIO - chief information ocer)
d. Giám đốc an toàn thông tin (CISO - chief information security ocer)
7. Đâu không phải là nhóm người dung ảnh hưởng đến an toàn thông tin (Communities of
Interest)
a. Nhóm người chịu trách nhiệm về dữ liệu
b. Nhóm quản lý chung
c. Nhóm quản lý CNTT
d. Nhóm quản lý an toàn thông tin
8. Cách thức tiếp cận thực hiện an toàn thông tin nào có các đặc điểm sau: “Bắt đầu từ các
hành vi từ cấp dưới nhằm cải thiện an toàn hệ thống và dựa trên kỹ năng và kiến thức của
quản trị viên hệ thống”
a. Tiếp cận theo SDLC (Systems Development Life Cycle)
b. Tiếp cận từ trên xuống (top-down approach)
c. Tiếp cận từ dưới lên (bottom-up approach)
d. Tiếp cận theo SDLC truyền thống tích hợp bảo hiểm phần mềm (Software Assurance)
9. Nhu cầu an toàn máy tính xuất hiện từ lĩnh vực quốc phòng
True
False
10. Bảo vệ thông tin và các yếu tố quan trọng của nó, bao gồm các .............. (2 từ) và phần
cứng dùng để sử dụng, lưu trữ và truyền tải thông tin
Phần mềm
11. Tam giác C.I.A thể hiện tiêu chuẩn công nghiệp về bảo mật máy tính bao gồm 3 đặc
điểm
a. Tính bảo mật, tính toàn vẹn và tính khả dụng
b. Tính bảo mật, tính toàn vẹn và tính tiện ích
c. Tính bảo mật, tính đầy đủ và tính khả dụng
d. Tính chiếm hữu, tính toàn vẹn và tính khả dụng
12. Chất lượng hoặc trạng thái có quyền sở hữu hoặc kiểm soát một số đối tượng hoặc vật
phẩm
a. Tính bảo mật (Condentiality)
b. Chiếm hữu (Possession)
c. Tính khả dụng (Availability)
d. Tính toàn vẹn (Integrity)
13. Một tình trạng hoặc trạng thái bị phơi nhiễm; trong bảo mật thông tin, sự lộ diện tồn
tại khi kẻ tấn công biết được một lỗ hổng
a. Kiểm soát, bảo vệ hoặc biện pháp đối phó (Control, safeguard, or countermeasure)
b. Tấn công (Attack)
c. Điểm yếu bảo mật (Exposure)
d. Điểm yếu tiềm ẩn (Vulnerability)
14. Cách thức tiếp cận thực hiện an toàn thông tin nào có các đặc điểm sau: “Dự án an toàn
thông tin được khởi xướng bởi các nhà quản lý cấp trên, những người ban hành các chính
sách, thủ tục và quy trình; đề xuất các mục tiêu và kết quả mong đợi; và xác định trách
nhiệm cá nhân cho mỗi hành động”
a. Tiếp cận từ dưới lên (bottom-up approach)
b. Tiếp cận theo SDLC (Systems Development Life Cycle)
c. Tiếp cận từ trên xuống (top-down approach)
d. Tiếp cận theo SDLC truyền thống tích hợp bảo hiểm phần mềm (Software Assurance)
15. Chất lượng hoặc trạng thái của thông tin gốc hoặc nguyên bản, thay vì sao chép hoặc
chế tạo
a. Tính toàn vẹn (Integrity)
b. Chiếm hữu (Possession)
c. Tính xác thực (Authenticity)
d. Tính khả dụng (Availability)
16. Tính chất của thông tin cho phép người dùng khi cần truy cập thông tin mà không bị
can thiệp hoặc cản trở và truy xuất thông tin đó ở định dạng bắt buộc
a. Tính bảo mật (Condentiality) b. Tính toàn vẹn (Integrity)
c. Chiếm hữu (Possession) d. Tính khả dụng (Availability)
17. Đâu không phải là cách thức thực hiện SDLC
a. SDLC truyền thống, tích hợp bảo hiểm phần mềm vào quá trình phát triển phần mềm
b. Microsoft ‘s SDL
c. Áp dụng các nguyên tắc thiết kế phần mềm
d. Phương pháp tiếp cận dựa trên các tiêu chuẩn NIST
18. Đâu không phải là lĩnh vực của mô hình an toàn CNSS (khối lập phương McCumber)
a. Trạng thái của thông tin
b. Mục tiêu của an toàn thông tin
c. Thủ tục an toàn thông tin
d. Thành phần của hệ thống thông tin
19. Phát biểu nào đúng về thành phần “con người” trong hệ thống thống tin
a. Mạng máy tính có nhiều nguy cơ, do đó kiểm soát lưu lượng và kiểm soát truy cập là cần thiết.
b. Đào tạo, huấn luyện, giám sát quy trình, đánh giá định kỳ giúp đảm bảo các thủ tục có thể
hoàn thành vai trò của minh.
c. Các chính sách, thủ tục, việc đào tạo, nhận thức đạo đức và sử dụng công nghệ đúng đắn sẽ
giúp hạn chế điểm yếu này
d. Do được lập trình nên phần mềm hàm chứa nhiều nguy cơ, từ lỗi lập trình cho đến sử dụng sai
mục đích.
20. Đâu không phải là các lĩnh vực của an toàn thông tin
a. An toàn máy tính b. Bảo mật dữ liệu
c. Đảm bảo tính toàn vẹn d. An ninh mạng
Exposure: Điểm yếu bảo mật → Một tình trạng hoặc trạng thái bị phơi nhiễm; trong bảo mật
thông tin, sự lộ diện tồn tại khi kẻ tấn công biết được một lỗ hổng.
Loss: Thiệt hại → Tài sản thông tin bị hư hỏng hoặc bị phá hủy, sửa đổi hoặc tiết lộ ngoài ý
muốn hoặc trái phép hoặc bị từ chối sử dụng,
Risk: Rủi ro → Sự kiện tiềm tàng không mong muốn có thể xảy ra gây thiệt hại cho doanh
nghiệp,
Protection prole or security posture: Hồ sơ bảo vệ hoặc thái độ bảo mật → Toàn bộ tập hợp
các biện pháp kiểm soát và bảo vệ, bao gồm chính sách, giáo dục, đào tạo và nâng cao nhận thức
và công nghệ, mà tổ chức thực hiện để bảo vệ tài sản.,
Subjects and objects of attack → Chủ thể tấn công và đối tượng bị tấn công

Asset: Tài sản → Các nguồn lực của doanh nghiệp đang được bảo vệ. Tài sản có thể có hình
thái vật chất hay phi vật chất. Tài sản thông tin là trọng tâm của an toàn thông tin,
Control, safeguard, or countermeasure: Kiểm soát, bảo vệ hoặc biện pháp đối phó → Các
cơ chế, chính sách hoặc quy trình bảo mật có thể chống lại các cuộc tấn công thành công, giảm
thiểu rủi ro, giải quyết các lỗ hổng và cải thiện tính bảo mật trong tổ chức
Exploit: Khai thác → Một kỹ thuật được sử dụng để xâm phạm hệ thống.
Access: Quyền truy cập → Khả năng sử dụng, thao tác, sửa đổi hoặc ảnh hưởng đến chủ thể,
hoặc đối tượng khác của chủ thể hoặc đối tượng
Attack: Tấn công → Một hành động cố ý hoặc vô ý có thể làm hỏng hoặc làm tổn hại đến thông
tin và hệ thống hỗ trợ nó. Tấn công có thể là tấn công chủ động hoặc tấn công bị động; tấn công
trực tiếp hoặc tấn công gián tiếp
Vulnerability → Nhược điểm /điểm yếu tiềm ẩn có sẵn trong hệ thống hoặc trong các hệ thống
phòng thủ
Threat: Nguy cơ hoặc đe dọa → Bất kỳ sự kiện hoặc hoàn cảnh nào có khả năng ảnh hưởng
xấu đến hoạt động và tài sản của tổ chức,
Threat event: Sự kiện đe dọa → Sự kiện xảy ra do tác nhân đe dọa gây ra,
Threat agent: Tác nhân đe dọa → Một trường hợp cụ thể hoặc một thành phần của một mối đe
dọa.,
Threat source: Nguồn gốc đe dọa → Tập hợp các tác nhân đe dọa