Môn: An toàn thông tin kế toán Giảng viên: Nguyễn Hữu Bình

Nhóm 15:
- Đặng Thị Thanh Hoa
- Nguyễn Thúy Hoài
- Nghiêm Phong Hoan
- Nguyễn Ngọc Khánh Vy.
MODULE 3
REVIEW QUESTIONS

1. Mục tiêu và mục tiêu của nhóm quản lý InfoSec khác với mục tiêu của cộng đồng
quản lý chung và CNTT như thế nào?
- Là một phần của nhóm quản lý của tổ chức, nhóm quản lý InfoSec hoạt động giống
như tất cả các nhóm quản lý khác các đơn vị.
- Tuy nhiên, mục tiêu và mục tiêu của nhóm quản lý InfoSec khác với mục tiêu của
cộng đồng CNTT và quản lý chung ở chỗ nhóm quản lý InfoSec tập trung vào hoạt động an
toàn của tổ chức.
- Trên thực tế, một số mục tiêu và mục tiêu của nhóm quản lý InfoSec có thể trái ngược
hoặc yêu cầu giải quyết các mục tiêu của nhóm quản lý CNTT, vì trọng tâm chính của nhóm
CNTT là đảm bảo xử lý thông tin hiệu quả và hiệu quả, trong khi mục tiêu chính là Trọng
tâm của nhóm InfoSec là đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin.
- Về bản chất, bảo mật sẽ làm chậm luồng thông tin vào, qua và ra khỏi một tổ chức khi
thông tin được xác thực, xác minh và đánh giá theo các tiêu chỉ bảo mật.
2. Mô hình lập kế hoạch InfoSec bao gồm những gì?
Mô hình lập kế hoạch InfoSec bao gồm các hoạt động cần thiết để hỗ trợ thiết kế, tạo và
triển khai các chiến lược InfoSec trong môi trường lập kế hoạch của tất cả các đơn vị tổ
chức, bao gồm cả CNTT.
3. Liệt kê và mô tả ngắn gọn các loại chính sách bảo mật thông tin chung.
Trong InfoSec, có ba loại chính sách chung, sẽ được thảo luận chi tiết hơn ở phần sau
của mô-đun này:
• Chính sách bảo mật thông tin doanh nghiệp (EISP) – Được phát triển trong bối cảnh kế
hoạch chiến lược CNTT, điều này đặt ra quan điểm chung cho bộ phận InfoSec và môi
trường InfoSec trong toàn tổ chức. CISO thường soạn thảo chính sách chương trình, thường
được CIO hoặc Giám đốc điều hành hỗ trợ và ký.

1
Môn: An toàn thông tin kế toán Giảng viên: Nguyễn Hữu Bình
• Chính sách bảo mật dành riêng cho vấn đề (ISSP) - Đây là bộ quy tắc xác định hành vi
có thể chấp nhận được trong một nguồn tài nguyên tổ chức cụ thể, chẳng hạn như sử dụng
e-mail hoặc Internet.
• Chính sách dành riêng cho hệ thống (SysSP)-Là sự hợp nhất giữa mục đích kỹ thuật và
quản lý, SysSP bao gồm cả hướng dẫn quản lý để triển khai công nghệ cũng như các thông
số kỹ thuật cho cấu hình của nó.
4. Mô tả ngắn gọn việc lập hoạch định chiến lược.
- Hoạch định chiến lược là tập hợp quá trình nghiên cứu, phân tích, lên kế hoạch và quyết
định các hướng đi chiến lược nhằm đạt được mục tiêu của doanh nghiệp.
- Vai trò của hoạch định chiến lược:
1. Xác định mục tiêu, định hướng rõ ràng
2. Vận hành tối ưu
3. Nắm bắt thông tin vĩ mô rõ ràng
4. Nâng cao tinh thần đội ngũ
5. Liệt kê và mô tả ngắn gọn các cấp độ lập kế hoạch.
- Quy hoạch chiến lược: Đặt ra mục tiêu và chiến lược dài hạn.
- Quy hoạch chiến thuật: Xây dựng các hành động ngắn hạn để đạt được mục tiêu chiến
lược.
- Quy hoạch tác nghiệp: Thực hiện các hoạt động hàng ngày để thực hiện các kế hoạch
chiến thuật
6. Quản trị trong bối cảnh quản lý an ninh thông tin là gì?
Việc quản lý an ninh mạng mô tả các biện pháp kiểm soát cần thiết triển khai để đảm bảo
quản lý được các rủi ro về mất, lạm dụng, lộ bí mật hay hư hỏng các thông tin và tài sản hạ
tầng thông tin của cơ quan/tổ chức. Hệ thống quản lý an ninh mạng là một phần của hệ thống
quản lý, dựa trên các tiếp cận rủi ro kinh doanh/công việc để thiết lập, triển khai, vận hành,
giám sát, xem xét, duy trì và cải thiện an toàn thông tin.
Toàn bộ công việc quản lý an toàn thỉnh thoảng cần phải được đánh giá và kiểm
chứng.Vấn đề an toàn không nên và không thể chỉ coi là nhiệm vụ chuyên biệt của CNTT.
Vấn đề an toàn ảnh hưởng tới mọi khía cạnh của cơ quan/tổ chức, do vậy nhân viên CNTT
không thể xử lý hết được.

2
Môn: An toàn thông tin kế toán Giảng viên: Nguyễn Hữu Bình
Các nguyên tắc cơ bản trong quản lý an toàn thông tin:
 Xây dựng các chức năng an toàn hướng tới mục tiêu, nhiệm vụ, kết quả và chiến
 lược của cơ quan/tổ chức
 Xây dựng các quy trình tổ chức
 Xây dựng vai trò và trách nhiệm với an toàn
 Xây dựng khung kiểm tra/kiểm soát
 Cần mẫn và cẩn trọng thích đáng
7. Sự khác biệt giữa chính sách, tiêu chuẩn và thực hành là gì? Mỗi cái sẽ được sử
dụng ở đâu?
- Chính sách: các hướng dẫ chỉ ra những hành vi nhất định trong một tổ chức
- Tiêu chuẩn: Một tuyên bố chi tiết về những gì phải làm để tuan thủ chính chính, đôi khi
được xem như các quy tắc quản lý việc tuân thủ chính sách.
- Thực hành: ví dụ về các hành động minh họa việc tuân thủ chính sách.
8. EISP là gì và nó phục vụ mục đích gì?
- EISP là tên viết tắt của chương trình bảo mật thông tin doanh nghiệp. Là chính sách an toàn
tổng thể, chính sách an toàn của tổ chức. Là sản phẩm ở cấp độ điều hành, do CIO phác thảo
hoặc tham gia soạn thảo.
- EISP hướng dẫn phát triển, triển khai và quản lý chương trình bảo mật. Nó đặt ra những
yêu cầu mà thông tin phải đáp ứng kế hoạch an ninh. Nó xác định mục đích, phạm vi, các
ràng buộc và khả năng áp dụng của chương trình bảo mật. Nó cũng phân công trách nhiệm
đối với các lĩnh vực bảo mật khác nhau, bao gồm quản trị hệ thống, duy trì các chính sách
bảo mật thông tin cũng như các hoạt động và trách nhiệm của người dùng. Cuối cùng, nó đề
cập đến việc tuân thủ pháp luật. Theo NIST, EISP thường giải quyết vấn đề tuân thủ ở hai
lĩnh vực:
• Tuân thủ chung để đảm bảo rằng tổ chức đáp ứng các yêu cầu thiết lập chương trình và
phân công trách
nhiệm trong đó cho các thành phần tổ chức khác nhau
• Việc áp dụng các hình phạt và biện pháp kỷ luật cụ thể
9. Ai chịu trách nhiệm cuối cùng về việc quản lý công nghệ? Ai chịu trách nhiệm thực
thi chính sách ảnh hưởng đến việc sử dụng công nghệ?

3
Môn: An toàn thông tin kế toán Giảng viên: Nguyễn Hữu Bình
- Trách nhiệm quản lý công nghệ thuộc về tổ chức hoặc cá nhân sở hữu hoặc vận hành
công nghệ, tùy theo quy mô và phạm vi của công nghệ.
- Trách nhiệm thực thi các chính sách liên quan đến sử dụng công nghệ thường do bộ
phận CNTT hoặc nhóm quản trị công nghệ của tổ chức đảm nhận. Họ tạo, thực hiện
các chính sách và đảm bảo nhân viên tuân thủ, xử lý vi phạm khi cần.
10. Điều gì cần thiết để một chính sách bảo mật thông tin có thể tồn tại được?
Chính sách bảo mật (Privacy Policy), là một tài liệu giải thích cách một doanh nghiệp
hoặc tổ chức thu thập – lưu trữ – quản lý – sử dụng – chia sẻ thông tin của người dùng, đối
tác, hoặc nhân viên. Chính sách bảo mật phải thỏa mãn các yêu cầu về bảo mật thông tin của
người dùng.
Một chính sách bảo mật minh bạch thường có đầy đủ các yếu tố sau:
 Những thông tin cá nhân mà tổ chức thu thập
 Mục đích của việc thu thập thông tin trên
 Cách tổ chức sử dụng thông tin
 Những thông tin đó được chia sẻ như thế nào?
 Các đối tác được chia sẻ thông tin
 Quyền lựa chọn cho người dùng
 Các thông tin khác
11. Khung bảo mật có thể hỗ trợ như thế nào trong việc thiết kế và triển khai cơ sở hạ
tầng bảo mật? Quản trị an ninh thông tin là gì? Ai trong tổ chức nên lập kế hoạch cho
việc đó?
- Khung bảo mật cung cấp cách tiếp cận có cấu trúc để thiết kế và triển khai cơ sở hạ
tầng bảo mật. Nó bao gồm các hướng dẫn, phương pháp hay nhất và biện pháp kiểm
soát, giúp tổ chức xác định và giải quyết các rủi ro bảo mật hiệu quả. Bằng cách tuân
thủ khung bảo mật, tổ chức có thể đảm bảo rằng các biện pháp bảo mật của mình phù
hợp với các tiêu chuẩn ngành và yêu cầu pháp lý.
- Quản trị an ninh thông tin đề cập đến các quy trình và cấu trúc mà tổ chức thiết lập để
quản lý và bảo vệ tài sản thông tin của mình. Điều này bao gồm việc xác định vai trò
và trách nhiệm, thiết lập các chính sách và thủ tục, cũng như thực hiện các biện pháp
kiểm soát để đảm bảo tính bảo mật, toàn vẹn và sẵn có của thông tin. Quản trị an ninh

4
Môn: An toàn thông tin kế toán Giảng viên: Nguyễn Hữu Bình
thông tin là một khía cạnh quan trọng của quản trị tổ chức cần được lên kế hoạch và
thực hiện.

12. Quản trị viên bảo mật có thể tìm thông tin về các khuôn khổ bảo mật đã thiết lập ở
đâu?
 Trang web chính thức: Nhiều khung bảo mật có trang web chính thức nơi quản trị
viên có thể truy cập thông tin, tài nguyên và tài liệu chi tiết.
 Ấn phẩm ngành: Quản trị viên bảo mật có thể tham khảo các ấn phẩm ngành, sách
trắng và tạp chí để có phân tích chuyên sâu và so sánh các khung bảo mật khác nhau.
 Các tổ chức chuyên nghiệp: Các tổ chức như ISACA, (ISC)² và CompTIA cung cấp
tài nguyên và hướng dẫn về khung bảo mật thông qua trang web, ấn phẩm và sự kiện
của họ.
 Tài liệu của nhà cung cấp: Thông tin về khung bảo mật thường có thể được tìm thấy
trong tài liệu do các nhà cung cấp giải pháp bảo mật cung cấp khi họ điều chỉnh sản
phẩm của mình phù hợp với các khung đã thiết lập.
 Diễn đàn và cộng đồng trực tuyến: Tham gia vào các diễn đàn và cộng đồng trực
tuyến tập trung vào bảo mật có thể cung cấp những hiểu biết sâu sắc và kinh nghiệm
thực tế về các khung bảo mật khác nhau.
 Chương trình đào tạo và chứng nhận: Quản trị viên bảo mật có thể đăng ký tham
gia các chương trình đào tạo và chứng nhận do các tổ chức được công nhận cung cấp
để có được kiến thức toàn diện về khung bảo mật.
Bằng cách tận dụng các tài nguyên này, quản trị viên bảo mật trong lĩnh vực an toàn hệ thống
thông tin kế toán có thể được thông tin về các khung bảo mật đã thiết lập và đưa ra quyết
định sáng suốt về việc triển khai chúng.

13. Bộ tiêu chuẩn ISO 27000 là gì? Những tiêu chuẩn con nào tạo nên bộ tiêu chuẩn?
Bộ tiêu chuẩn ISO 27000 là một hệ thống gồm các tiêu chuẩn con dùng để quản lý rủi ro
liên quan đến những loại thông tin khác nhau như dữ liệu khách hàng, sỡ hữu trí tuệ, hệ
thống tài chính và dữ liệu cá nhân.

5
Môn: An toàn thông tin kế toán Giảng viên: Nguyễn Hữu Bình
Những tiêu chuẩn con tạo nên ISO 27000 là:
+ ISO/IEC 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ)
+ ISO/IEC 27001:2005 các yêu cầu đối với hệ thống quản lý an toàn thông tin
+ ISO/IEC 27002:2007 qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin một
các toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất
+ ISO/IEC 27003:2007 các hướng dẫn áp dụng
+ ISO/IEC 27004:2007 đo lường và định lượng hệ thống quản lý an toàn thông tin để giúp
cho việc đo lường hiệu lực của việc áp dụng ISMS
+ ISO/IEC 27005 quản lý rủi ro an toàn thông tin
+ ISO/IEC 27006 hướng dẫn cho dịch vụ khôi phục thông tin sau thảm hoạ của công nghệ
thông tin và viễn thông.
+ ISO/IEC 27001:2013 các yêu cầu đối với hệ thống quản lý an toàn thông tin (phiên bản
mới được chính thức ban hành ngày 25/9/2013
14. Những tài liệu nào có sẵn từ Trung tâm tài nguyên bảo mật máy tính NIST (CSRC)
và chúng có thể hỗ trợ phát triển khung bảo mật như thế nào?
NIST Trung tâm Tài nguyên Bảo mật Máy tính (CSRC) cung cấp nhiều tài liệu và tài nguyên
hỗ trợ phát triển khung bảo mật trong lĩnh vực an toàn hệ thống thông tin kế toán. Một số tài
liệu chính có sẵn từ NIST CSRC bao gồm:
 Ấn phẩm đặc biệt (SP): Cung cấp hướng dẫn chuyên sâu về các chủ đề bảo mật khác
nhau, chẳng hạn như quản lý rủi ro, khuôn khổ an ninh mạng và kiểm soát bảo mật.
 Báo cáo nội bộ/liên cơ quan của NIST (NISTIR): Chứa các kết quả nghiên cứu,
khuyến nghị và các phương pháp hay nhất liên quan đến an ninh mạng.
 Tiêu chuẩn xử lý thông tin liên bang (FIPS): Các tiêu chuẩn và hướng dẫn dành cho
các cơ quan liên bang tại Hoa Kỳ, bao gồm nhiều khía cạnh khác nhau của bảo mật
thông tin.
 Nguyên tắc và Bộ công cụ: CSRC cung cấp các nguyên tắc và bộ công cụ để thực hiện
các biện pháp bảo mật, chẳng hạn như tiêu chuẩn mật mã và danh sách kiểm tra cấu hình
bảo mật.
Những tài liệu này hỗ trợ phát triển khung bảo mật bằng cách cung cấp hướng dẫn chính
thức, các biện pháp thực hành tốt nhất và tiêu chuẩn mà các tổ chức có thể sử dụng làm nền
6
Môn: An toàn thông tin kế toán Giảng viên: Nguyễn Hữu Bình
tảng cho các chương trình bảo mật của mình. Chúng cung cấp thông tin về quản lý rủi ro,
kiểm soát bảo mật, mã hóa và các khía cạnh thiết yếu khác của an ninh mạng, giúp các tổ
chức thiết lập các khuôn khổ bảo mật mạnh mẽ và hiệu quả trong lĩnh vực an toàn hệ thống
thông tin kế toán.
15. Những tài nguyên Web nào có thể hỗ trợ tổ chức phát triển các phương pháp hay
nhất như một phần của khuôn khổ bảo mật?
Các tổ chức có thể sử dụng nhiều tài nguyên web khác nhau để phát triển các phương pháp
hay nhất như một phần của khuôn khổ bảo mật trong lĩnh vực an toàn hệ thống thông tin kế
toán. Một số tài nguyên có giá trị bao gồm:
 Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST): NIST cung cấp các hướng dẫn,
tiêu chuẩn và phương pháp thực hành tốt nhất về bảo mật thông tin, chẳng hạn như bộ
Ấn bản Đặc biệt 800 của NIST.
 Dự án Bảo mật Ứng dụng Web Mở (OWASP): OWASP cung cấp các tài nguyên và
công cụ để cải thiện bảo mật phần mềm, bao gồm các hướng dẫn về thực hành mã hóa
an toàn và quản lý lỗ hổng.
 Viện SANS: SANS cung cấp nhiều tài nguyên bảo mật, bao gồm sách trắng, webcast
và tài liệu đào tạo về các biện pháp thực hành tốt nhất về an ninh mạng.
 Hiệp hội Kiểm toán và Kiểm soát Hệ thống Thông tin (ISACA): ISACA cung cấp
các khuôn khổ như COBIT và các tài nguyên để quản trị CNTT, quản lý rủi ro và an
ninh mạng.
 Blog và diễn đàn bảo mật: Tham gia vào các blog và diễn đàn bảo mật có thể cung
cấp thông tin chi tiết về xu hướng hiện tại, các phương pháp hay nhất và trải nghiệm
thực tế được chia sẻ bởi các chuyên gia bảo mật.
 Tài liệu dành cho nhà cung cấp: Nhiều nhà cung cấp công nghệ xuất bản các hướng
dẫn và biện pháp bảo mật tốt nhất cho sản phẩm và dịch vụ của họ, những tài liệu này
có thể có giá trị đối với các tổ chức sử dụng giải pháp của họ.
Bằng cách tận dụng các tài nguyên web này, các tổ chức có thể cập nhật về các xu hướng bảo
mật mới nhất, truy cập các nguyên tắc thực hành tốt nhất và nâng cao khuôn khổ bảo mật của
họ trong lĩnh vực an toàn hệ thống thông tin kế toán.

7
Môn: An toàn thông tin kế toán Giảng viên: Nguyễn Hữu Bình
16. Mô tả ngắn gọn các biện pháp kiểm soát quản lý, vận hành và kỹ thuật, đồng thời
giải thích thời điểm áp dụng từng biện pháp kiểm soát như một phần của khuôn khổ
bảo mật?
 Kiểm soát quản lý: Đây là các chính sách và thủ tục do ban quản lý thiết lập để định
hướng các nỗ lực bảo mật tổng thể của tổ chức. Các biện pháp kiểm soát này bao gồm
chính sách bảo mật, quản lý rủi ro, đào tạo nâng cao nhận thức về bảo mật và giám sát
tuân thủ. Chúng được áp dụng ở cấp độ chiến lược để đảm bảo rằng các mục tiêu bảo mật
phù hợp với mục tiêu kinh doanh và yêu cầu pháp lý.
 Kiểm soát vận hành: Đây là các quy trình và thực tiễn hỗ trợ việc thực hiện các chính
sách và thủ tục bảo mật. Các biện pháp kiểm soát vận hành bao gồm kiểm soát truy cập,
quản lý thay đổi, ứng phó sự cố và lập kế hoạch kinh doanh liên tục. Chúng được áp dụng
ở cấp độ chiến thuật để đảm bảo rằng các biện pháp bảo mật được thực hiện hiệu quả
trong các hoạt động hàng ngày.
 Kiểm soát kỹ thuật: Đây là các công nghệ và cơ chế bảo mật được sử dụng để bảo vệ dữ
liệu và hệ thống CNTT của tổ chức. Các biện pháp kiểm soát kỹ thuật bao gồm tường lửa,
mã hóa, hệ thống phát hiện xâm nhập và phần mềm chống vi-rút.
Chúng được áp dụng ở cấp độ hoạt động để bảo vệ cơ sở hạ tầng và dữ liệu của tổ chức khỏi
các mối đe dọa mạng và truy cập trái phép. Trong khuôn khổ bảo mật, các biện pháp kiểm
soát quản lý đặt ra phương hướng và mức độ ưu tiên, các biện pháp kiểm soát vận hành
chuyển những điều này thành hành động, và các biện pháp kiểm soát kỹ thuật cung cấp các
công cụ và cơ chế để thực thi các biện pháp bảo mật. Mỗi loại kiểm soát đều cần thiết để đảm
bảo một trạng thái bảo mật toàn diện trong hệ thống thông tin kế toán.
17. Phòng thủ theo chiều sâu là gì?
Phòng thủ theo chiều sâu là một phương cách phòng thủ mà trong đó bên phòng ngự
tăng bề dày của tuyến phòng ngự với ý định sẵn sàng nhượng bộ diện tích trận địa để đổi lấy
khả năng hấp thụ sức đột phá, hãm dần tốc độ đột phá của đối phương, và cuối cùng chặn
mũi đột phá khi đã bị mài mòn. Bằng cách này, bên tấn công bị đặt vào vị thế phải rải sức ra
trên một đoạn đường, và nếu đoạn đường đủ dài khiến việc tiếp vận trở nên căng thẳng, thì
đà tiến của bên tấn công suy giảm theo. Khi đó, bằng các hoạt động phản công vào các điểm
yếu trên đường tiếp vận, bên phòng ngự có nhiều cơ may tiêu hao dần bên tấn công, buộc
8
Môn: An toàn thông tin kế toán Giảng viên: Nguyễn Hữu Bình
bên tấn công phải rút về vị trí có thể che được các điểm yếu của mình hoặc phải đối mặt với
nguy cơ bị cắt vào sườn đội hình và bị bao vây.

18. Xác định và giải thích ngắn gọn chương trình SETA và nó được dùng để làm gì?
Khi tổ chức đã xác định các chính sách hướng dẫn chương trình an toàn và chọn mô hình
an toàn tổng thể bằng cách tạo, điều chỉnh bảng kế hoạch chi tiết tương ứng, bước tiếp theo
cần triển khai chương trình giáo dục, huấn luyện và nâng cao nhận thức về an toàn, hay còn
gọi là chương trình SETA).
Chương trình SETA phải do giám đốc an toàn thông tin (CISO) phụ trách và là một biện
pháp kiểm soát được thiết kế để giảm các sự cố do nhân viên vô tình vi phạm an ninh. Lỗi
của nhân viên là một trong những mối đe dọa hàng đầu đối với tài sản thông tin, do đó, phát
triển chương trình SETA để chống lại mối đe dọa này là cần thiết.
SETA được thiết kế để bổ sung cho các chương trình giáo dục và huấn luyện chung mà
nhiều tổ chức sử dụng để huấn luyện nhân viên về an ninh mạng.
19.Mục đích của chương trình SETA là gì?
- Nâng cao nhận thức về sự cần thiết phải bảo vệ tài nguyên hệ thống
- Phát triền kỹ năng và kiến thức để người dùng máy tính có thể thực hiện công việc của
mình một cách an toàn hơn
- Xây dựng kiến thức chuyên sâu cần thiết để thiết kế, triển khai hoặc vận hành các
chương trình bảo mật cho các tổ chức và hệ thống.
20. Đào tạo an ninh là gì?
- Đào tạo về an ninh cung cấp cho nhân viên thông tin chi tiết và hướng dẫn thực hành
để chuẩn bị cho họ thực hiện nhiệm vụ của mình một cách an toàn. Quản lý an ninh thông tin
có thể phát triển chương trình đào tạo nội bộ tùy chỉnh hoặc thuê ngoài chương trình đào tạo.
21. Chương trình nâng cao nhận thức về an ninh là gì?
- Chương trình nâng cao nhận thức về bảo mật an ninh là một trong những chương trình
ít được triển khai thường xuyên nhất nhưng có lợi nhất trong một tổ chức. Một chương trình
nâng cao nhận thức về bảo mật được thiết kế để luôn đặt vấn đề bảo mật thông tin lên hàng
đầu trong tâm trí người dùng. Những chương trình này không cần phải phức tạp hoặc đắt
tiền. Các chương trình tốt có thể bao gồm các bản tin, áp phích bảo, video, bảng thông báo,

9
Môn: An toàn thông tin kế toán Giảng viên: Nguyễn Hữu Bình
tờ rơi và đồ lặt vặt. Đồ trang sức có thể bao gồm các khẩu hiệu bảo mật được in trên miếng
lót chuột, cốc cà phê, áo phông, bút hoặc bất kỳ đồ vật nào thường được sử dụng trong ngày
làm việc để nhắc nhở nhân viên về vấn đề an ninh. Ngoài ra, một chương trình nâng cao nhận
thức về bảo mật tốt cần có một người tận tâm, sẵn sàng đầu tư thời gian và công sức để
quảng bá chương trình và một người ủng hộ sẵn sàng cung cấp hỗ trợ tài chính cần thiết.

------------------------------------------------HẾT----------------------------------------------------------

10