1.

Phương pháp mà hệ thống xác định điều kiện và cách

thức cho phép người dùng được tiếp cận đến khu vực đáng
tin cậy hoặc dữ liệu, hệ thống của tổ chức được gọi là
a.kiểm soát vật lý
b.khả năng truy vết
c.kiểm soát truy cập
d.kiểm soát xác thực
2.Vị trí nào là nhân viên an toàn thông tin hàng đầu trong tổ
chức?
a.CFO
b.ISO
c.CIOO
d.CISO
3. Xác suất mà một lỗ hổng an toàn thông tin cụ thể trong
một đơn vị sẽ là mục tiêu của một cuộc tấn công được gọi là
a.xác suất thiệt hại (Probable Loss)
b.mức độ tổn thất (Loss Magnitude)
c.tần suất tổn thất (Loss Frequency)
d.xác suất xảy ra tấn công (likelihood)
4. Phương án nào sử dụng chiến lược chuyển đổi liên quan
đến việc dừng hệ thống cũ và bắt đầu hệ thống mới mà
không có bất kỳ sự chồng chéo nào?
a.chuyển đổi từng giai đoạn
b.chuyển đổi thí điểm
c.chuyển đổi tạm thời
d.chuyển đổi trực tiếp
5.Cộng đồng lợi ích (nhóm người dùng) nào chịu trách
nhiệm về an ninh của cơ sở mà đơn vị đang sử dụng cũng
như chịu trách nhiệm về các chính sách và tiêu chuẩn để vận
hành an toàn?
a.quản lý chung
b.Kỹ thuật viên an toàn thông tin
c.nhóm quản lý an toàn công nghệ thông tin
d.đội bảo vệ
6.Để nâng cao nhận thức về an toàn thông tin và thay đổi
hành vi tại nơi làm việc, các tổ chức nên kết hợp các thành
phần bảo mật thông tin vào hồ sơ nào của nhân viên?
a.mô tả công việc, các buổi đào tạo và đánh giá hiệu suất
b.quy chế làm việc
c.tài liệu tập huấn nhân viên mới
d.hợp đồng lao động
7.Quá trình kiểm tra xem mỗi mối đe dọa sẽ ảnh hưởng đến
tổ chức như thế nào được gọi là quy trình nào sau đây?
a.đánh giá nguy cơ
b.phân tích tác động kinh doanh
c.đánh giá rủi ro
d.phản ứng với rủi ro
8.Một trong những nền tảng của kiến trúc bảo mật là yêu
cầu triển khai bảo mật trong các lớp. Cách tiếp cận phân lớp
này được gọi là phương pháp nào?
a.an toàn vật lý (physical security)
b.kiểm soát dự phòng (redundancy controls)
c.kiểm soát quản lý (managerial controls)
d.phòng thủ sâu (defense in depth)
9.Thuật ngữ được thừa nhận chung cho sự bảo hộ của chính
phủ dành cho sở hữu trí tuệ (văn bản và điện tử) được gọi là
thuật ngữ nào sau đây?
a.luật hành chánh
b.luật bảo hộ tài sản trí tuệ
c.luật bảo mật máy tính
d.luật bản quyền
10. Nếu thông tin có trạng thái là chân thực hoặc nguyên
bản và không phải là bịa đặt, thì nó có đặc điểm của tính xác
thực, đúng hay sai?
a.sai
b.đúng
11.Mục đích của phân tích nhân tố trọng số là liệt kê các tài
sản theo thứ tự tầm quan trọng của chúng đối với tổ chức,
đúng hay sai?
a.đúng
b.sai
12.Loại an toàn thông tin nào bao gồm bảo vệ các thành
phần, kết nối và nội dung mạng và dữ liệu?
a.An toàn mạng máy tính
b.An toàn truyền thông
c.An toàn thông tin
d.An toàn vật lý
13.Sử dụng cơ chế truy cập đã biết hoặc đã được cài đặt
trước đó để truy cập vào một hệ thống được gọi là cơ chế
nào sau đây?
a.tấn công từ chối dịch vụ DOS
b.cửa sau (back door)
c.bom ẩn (hidden boom)
d.phần mềm trojan horses
14.Chiến lược kiểm soát rủi ro nào cố gắng giảm tác động
của một cuộc tấn công thành công thông qua việc lập kế
hoạch và chuẩn bị ứng phó rủi ro?
a.né tránh rủi ro
b.phòng thủ rủi ro
c.chia sẻ rủi ro
d.giảm thiểu rủi ro
15.Tên thường được sử dụng cho khu vực trung gian giữa
mạng đáng tin cậy và mạng không đáng tin cậy giữa internet
và hệ thống mạng của đơn vị là
a.DKZ
b.AKM
c.CKC
d.DMZ
16.Khi kẻ tấn công hoặc người trong cuộc đáng tin cậy đánh
cắp thông tin từ hệ thống máy tính và yêu cầu bồi thường
cho việc trả lại hoặc thỏa thuận không tiết lộ thông tin đó,
trường hợp tấn công này được gọi là:
a.phần mềm mã hóa đòi tiền chuộc (ransomware)
b.tống tiền thông tin (Information extortion)
c.giao dịch nội gián (Insider trading)
d.tống tiền công nghệ (technology extortion)
17. Thuật ngữ nào sau đây mô tả đúng nhất quá trình sửa
chữa các lỗ hổng đã biết
a. thử nghiệm phần mềm
b.nâng cấp phần mềm
c.vá (patch)
d.cập nhật phần mềm
18.Thuật ngữ nào sau đây mô tả quá trình ấn định điểm số
cho các yếu tố quan trọng, mỗi yếu tố trong số đó được đơn
vị sắp xếp theo mức độ quan trọng?
a.Phân loại dữ liệu
b.Phân tích nhân tố có trọng số
c.Kiểm kê tài sản thông tin
d.Phân loại tài sản thông tin
19. Vai trò nhân sự phụ trách an toàn thông tin nào chịu
trách nhiệm cho hoạt động hàng ngày của chương trình an
toàn thông tin?
a.CISO
b.Chuyên viên phân tích an toàn thông tin (Security Analyst)
c.Quản lý an toàn thông tin (information security manager)
d.CIO
20. Thuật ngữ nào sau đây mô tả việc áp dụng các kỹ thuật
và phương pháp pháp y để bảo quản, xác định, trích xuất,
lập tài liệu và giải thích phương tiện kỹ thuật số để phân tích
bằng chứng và / hoặc nguyên nhân gốc rễ?
a.Truy tố hình sự
b.Phân tích rủi ro
c.điều tra gian lận trong kế toán (accounting forensic
investigations)
d.điều tra kỹ thuật số (digital forensics)
21. Thuật ngữ nào mô tả tốt nhất một cuộc điều tra và đánh
giá các sự kiện bất lợi khác nhau có thể ảnh hưởng đến tổ
chức, bao gồm việc xác định mức độ quan trọng của hệ
thống hoặc tập hợp thông tin đối với các quy trình cốt lõi và
các ưu tiên phục hồi của tổ chức?
a.phân tích tác động kinh doanh (BIA)
b.thời gian phục hồi công việc (WRT)
c.mốc thời gian phục hồi (RTO)
d.phân tích rủi ro (RA)
22. Nhận dạng rủi ro được thực hiện trong một quy trình
lớn hơn nhằm xác định và biện minh cho các biện pháp kiểm
soát rủi ro, được gọi là quy trình nào?
a.kiểm soát rủi ro
b.quản lý rủi ro
c.đánh giá rủi ro
d.xác định rủi ro
23. Loại an toàn thông tin nào bao gồm bảo vệ các thành
phần, kết nối và nội dung mạng và dữ liệu?
a.An toàn truyền thông
b.An toàn mạng máy tính
c.An toàn vật lý
d.An toàn thông tin
24. Ba nhóm (cộng đồng) người dùng ảnh hưởng đến an toàn
thông tin trong doanh nghiệp là :
a.nhóm điều hành công ty, nhóm quản lý an ninh vật lý và nhóm
quản lý an toàn thông tin
b.nhóm quản lý chung, nhóm quản lý công nghệ thông tin và
nhóm bảo mật mạng máy tính
c.nhóm quản lý chung, nhóm quản lý công nghệ thông tin và
nhóm quản lý an toàn thông tin
d.nhóm quản lý chung, nhóm quản lý hoạt động và nhóm quản
lý an toàn thông tin
25. Để đánh giá ảnh hưởng của những thay đổi về an toàn
thông tin đối với thực tiễn quản lý nhân sự của đơn vị, cần
tiến hành nghiên cứu nào trước giai đoạn triển khai?
a.khả thi về tuân thủ
b.khả thi về kinh tế
c.khả thi về công nghệ
d.nghiên cứu khả thi về vận hành, khả thi về hành vi
26.Vì mục đích an toàn thông tin, thuật ngữ nào sau đây
được sử dụng để mô tả các thành phần của các hệ thống sử
dụng, lưu trữ và truyền tải thông tin?
a.hàng tồn kho
b.tài sản thông tin
c.các nguy cơ
d.các bằng chứng
27. An ninh mạng giải quyết các vấn đề cần thiết để bảo vệ
các mục, đối tượng hoặc khu vực, đúng hay sai?
a.Sai
b.Đúng
28. Loại kế hoạch nào đảm bảo rằng hoạt động kinh doanh
quan trọng các chức năng vẫn tiếp tục nếu một sự cố thảm
khốc hoặc thảm họa xảy ra?
a.kế hoạch phục hồi kinh doanh (BRP)
b.kế hoạch khắc phục thảm họa (DRP)
c.kế hoạch kinh doanh liên tục (BCP)
d.kế hoạch dự phòng (CP)
29. Khái niệm nào sau đây xác định ranh giới giữa giới hạn
bên ngoài về an ninh của một tổ chức và điểm bắt đầu với
môi trường bên ngoài?
a.lĩnh vực an ninh (security domain )
b.khuôn mẫu an ninh (security framework)
c.vành đai an ninh (security perimeter)
d.quả cầu an ninh (sphere of security)
30. Khi các dự án được khởi xướng ở các cấp cao nhất của
một tổ chức và sau đó được triển khai đến tất cả các cấp,
đây là cách tiếp cận nào?
a.tiếp cận ngang hàng
b.tiếp cận từ trên xuống
c.tiếp cận tập trung
d.tiếp cận từ dưới lên
31. Tài liệu chi tiết về việc thu thập, lưu trữ, chuyển giao và
sở hữu bằng chứng từ hiện trường vụ án thông qua việc
trình bày trước tòa được gọi là:
a.bằng chứng tiềm năng (evidentiary material)
b.Phân tích pháp y kỹ thuật số
c.bằng chứng số (digital eviden)
d.chuỗi bằng chứng (chain of evidence)
32. An ninh mạng giải quyết các vấn đề cần thiết để bảo vệ
các mục, đối tượng hoặc khu vực, đúng hay sai?
a.Sai
b.Đúng
33. Mô hình thu thập dữ liệu _____________ là khi người
điều tra loại bỏ nguồn điện và sau đó sử dụng một tiện ích
hoặc thiết bị đặc biệt để tạo bản sao theo từng khu vực bit
(bit sectors) của các ổ đĩa cứng có trong hệ thống.
a.online (trực tuyến)
b.sao chép ảnh đĩa cứng
c.offline (ngoại tuyến)
a.lưu gid.sao lưu đĩa cứng
34 .Người chịu trách nhiệm lưu trữ, duy trì và bảo vệ dữ liệu
là người
A/Lưu trữ dữ liệu
b.quản lý dữ liệu
c.sử dụng dữ liệu
d.sở hữu dữ liệu
35. Thuật ngữ nào mô tả tốt nhất một cuộc điều tra và đánh
giá các sự kiện bất lợi khác nhau có thể ảnh hưởng đến tổ
chức, bao gồm việc xác định mức độ quan trọng của hệ
thống hoặc tập hợp thông tin đối với các quy trình cốt lõi và
các ưu tiên phục hồi của tổ chức?
a.phân tích tác động kinh doanh (BIA)
b.phân tích rủi ro (RA)
c.mốc thời gian phục hồi (RTO)
d.thời gian phục hồi công việc (WRT)
36.Thuật ngữ nào sau đây mô tả việc áp dụng các kỹ thuật
và phương pháp pháp y để bảo quản, xác định, trích xuất,
lập tài liệu và giải thích phương tiện kỹ thuật số để phân tích
bằng chứng và / hoặc nguyên nhân gốc rễ?
a.Phân tích rủi ro
b.Truy tố hình sự
c.điều tra kỹ thuật số (digital forensics)
d.điều tra gian lận trong kế toán (accounting forensic
investigations)
37.Thuật ngữ nào được sử dụng để mô tả chất lượng hoặc
trạng thái sở hữu hoặc kiểm soát thông tin?
a.toàn vẹn (integrity)
b.xác thực (authenticity)
c.chiếm hữu (possession)
d.bảo mật (confidentiality)
38. Khi các dự án được khởi xướng ở các cấp cao nhất của
một tổ chức và sau đó được triển khai đến tất cả các cấp,
đây là cách tiếp cận nào?
a.tiếp cận từ trên xuống
b.tiếp cận tập trung
c.tiếp cận ngang hàng
d.tiếp cận từ dưới lên
39.Trong giai đoạn nào của SDLC theo hướng dẫn của
NIST, các hệ thống được áp dụng và vận hành, các cải tiến
và / hoặc sửa đổi đối với hệ thống được phát triển và thử
nghiệm, và phần cứng và / hoặc phần mềm được thêm vào
hoặc thay thế?
a.giai đoạn triển khai hệ thống
b.giai đoạn thực hiện và đánh giá
c.giai đoạn vận hành và bảo trì
d.giai đoạn khởi đầu dự án
40.Việc tính toán giá trị liên quan đến tổn thất có khả năng
xảy ra cao nhất từ một cuộc tấn công được gọi là:
a.ARO
b.CBA
c.ALE
d.SLE
41 .Loại chính sách nào đề cập đến các lĩnh vực công nghệ
cụ thể, yêu cầu cập nhật thường xuyên và có tuyên bố về
quan điểm của tổ chức về một vấn đề cụ thể?
a.chính sách bảo mật thông tin doanh nghiệp (EISP)
b.chính sách dự phòng (CP)
c.chính sách bảo mật dành riêng cho hệ thống (SysSP)
d.chính sách bảo mật theo vấn đề cụ thể (ISSP)
42.Mô hình nào sau đây minh họa rằng mỗi giai đoạn của
SDLC bắt đầu với các kết quả và thông tin thu được từ giai
đoạn trước?
a.Mô hình REA
b.Mô hình phát triển ứng dụng nhanh
c.Mô hình thác nước
d.Mô hình bảo hiểm phần mềm
43. Hình thức an toàn thông tin nào đề cập đến việc bảo đảm
an toàn cho tất cả các phương tiện truyền thông, công nghệ
và nội dung?
a.An toàn truyền thông
b.An toàn thông tin
c.An toàn vật lý
d.An toàn mạng máy tính
44.Loại kế hoạch nào được đơn vị tiến hành lập để chuẩn bị,
phản ứng và phục hồi từ các sự kiện đe dọa đến sự an toàn
của thông tin và tài sản thông tin trong tổ chức, và chuẩn bị
cho việc khôi phục lại các phương thức hoạt động kinh
doanh bình thường sau đó?
a.Kế hoạch kinh doanh liên tục (BCP)
b.kế hoạch ứng phó sự cố (IRP)
c.kế hoạch khắc phục thảm họa (DRP)
d.kế hoạch dự phòng (CP)
45. Nội dung nào sau đây được sử dụng để định hướng cách
giải quyết các vấn đề và các công nghệ được sử dụng trong
một tổ chức?
a.tiêu chuẩn ứng dụng CNTT trong doanh nghiệp
b.chính sách về công nghệ thông tin trong doanh nghiệp
c.đạo đức sử dụng CNTT trong DN
d.quản trị CNTT trong doanh nghiệp
46. Việc áp dụng các biện pháp kiểm soát nhằm giảm rủi ro
đối với tài sản thông tin của tổ chức xuống mức có thể chấp
nhận được được gọi là biện pháp nào sau đây?
a.kiểm soát rủi ro
b.xác định rủi ro
c.đánh giá rủi ro
d.phân tích rủi ro
47.Cộng đồng của nhóm lợi ích (nhóm người dùng) nào chịu
trách nhiệm về an ninh môi trường và quyền truy cập tại các
địa điểm thiết bị công nghệ và chịu trách nhiệm đối với các
chính sách và tiêu chuẩn an toàn hoạt động thiết bị?
a.nhóm quản lý chung
b.nhân viên quản lý dữ liệu
c.nhóm quản lý an toàn thông tin
d.đội bảo vệ
48.Chiến lược kiểm soát rủi ro nào cố gắng chuyển rủi ro
còn lại sang các tài sản khác, quy trình khác hoặc tổ chức
khác?
a.chia sẻ rủi ro
b.né tránh rủi ro
c.phòng thủ rủi ro
d.giảm thiểu rủi ro
49.Thuật ngữ nào sau đây mô tả đúng nhất quá trình sửa
chữa các lỗ hổng đã biết?
a.cập nhật phần mềm
b.thử nghiệm phần mềm
c.nâng cấp phần mềm
d.vá (patch)
50.Thuật ngữ nào sau đây mô tả đúng nhất đặc điểm kỹ
thuật của một mô hình sẽ được tuân theo trong quá trình
thiết kế, lựa chọn và triển khai ban đầu và liên tục của tất cả
các biện pháp kiểm soát bảo mật tiếp theo?
a.bản vẽ thiết kế chi tiết (blueprint)
b.sổ tay NIST
c.Khuôn mẫu an toàn thông tin (information security
framework)
d.kế hoạch an toàn thông tin (security plan)
51.Thuật ngữ nào sau đây mô tả quá trình ấn định điểm số
cho các yếu tố quan trọng, mỗi yếu tố trong số đó được đơn
vị sắp xếp theo mức độ quan trọng?
a.Phân loại tài sản thông tin
b.Kiểm kê tài sản thông tin
c.Phân loại dữ liệu
d.Phân tích nhân tố có trọng số
52. Thiết bị khóa sử dụng dấu vân tay, lòng bàn tay, hình
học bàn tay; mống mắt và võng mạc; và trình đọc giọng nói
và chữ ký để xác nhận người dùng là ví dụ của:
a.khóa thông minh
b.khóa sinh trắc học
c.khóa cơ học
d.khóa không dây
1.Xác suất mà một lỗ hổng an toàn thông tin cụ thể trong
một đơn vị sẽ là mục tiêu của một cuộc tấn công được gọi là
a.xác suất xảy ra tấn công (likelihood)
b.mức độ tổn thất (Loss Magnitude)
c.tần suất tổn thất (Loss Frequency)
d.xác suất thiệt hại (Probable Loss)
2.Loại chính sách nào đề cập đến các lĩnh vực công nghệ cụ
thể, yêu cầu cập nhật thường xuyên và có tuyên bố về quan
điểm của tổ chức về một vấn đề cụ thể?
a.chính sách bảo mật thông tin doanh nghiệp (EISP)
b.chính sách bảo mật theo vấn đề cụ thể (ISSP)
c.chính sách bảo mật dành riêng cho hệ thống (SysSP)
d.chính sách dự phòng (CP)
3.Mô hình nào sau đây minh họa rằng mỗi giai đoạn của
SDLC bắt đầu với các kết quả và thông tin thu được từ giai
đoạn trước?
a.Mô hình thác nước
b.Mô hình bảo hiểm phần mềm
c.Mô hình REA
d.Mô hình phát triển ứng dụng nhanh
4.Khái niệm nào sau đây xác định ranh giới giữa giới hạn
bên ngoài về an ninh của một tổ chức và điểm bắt đầu với
môi trường bên ngoài?
a.quả cầu an ninh (sphere of security)
b.vành đai an ninh (security perimeter)
c.lĩnh vực an ninh (security domain )
d.khuôn mẫu an ninh (security framework)
5.Mô hình thu thập dữ liệu _____________ là khi người điều
tra loại bỏ nguồn điện và sau đó sử dụng một tiện ích hoặc
thiết bị đặc biệt để tạo bản sao theo từng khu vực bit (bit
sectors) của các ổ đĩa cứng có trong hệ thống.
a.sao chép ảnh đĩa cứng
b.online (trực tuyến)
c. offline (ngoại tuyến)
d.sao lưu đĩa cứng
6.Khi kẻ tấn công hoặc người trong cuộc đáng tin cậy đánh
cắp thông tin từ hệ thống máy tính và yêu cầu bồi thường
cho việc trả lại hoặc thỏa thuận không tiết lộ thông tin đó,
trường hợp tấn công này được gọi là:
a.giao dịch nội gián (Insider trading)
b.phần mềm mã hóa đòi tiền chuộc (ransomeware)
c.tống tiền thông tin (Information extortion)
d.tống tiền công nghệ (technology extortion)
7.Phương án nào sử dụng chiến lược chuyển đổi liên quan
đến việc dừng hệ thống cũ và bắt đầu hệ thống mới mà
không có bất kỳ sự chồng chéo nào?
a.chuyển đổi từng giai đoạn
b.chuyển đổi tạm thời
c.chuyển đổi thí điểm
d.chuyển đổi trực tiếp
8.Vai trò nhân sự phụ trách an toàn thông tin nào chịu trách
nhiệm cho hoạt động hàng ngày của chương trình an toàn
thông tin?
a.CISO
b.Quản lý an toàn thông tin (information security manager)
c.CIO
d.Chuyên viên phân tích an toàn thông tin (Security Analyst)
9.Thuật ngữ nào được sử dụng để mô tả chất lượng hoặc
trạng thái sở hữu hoặc kiểm soát thông tin?
a.xác thực (authenticity)
b.toàn vẹn (integrity)
c.chiếm hữu (possession)
d.bảo mật (confidentiality)
10.Thuật ngữ nào sau đây mô tả đúng nhất đặc điểm kỹ
thuật của một mô hình sẽ được tuân theo trong quá trình
thiết kế, lựa chọn và triển khai ban đầu và liên tục của tất cả
các biện pháp kiểm soát bảo mật tiếp theo?
a.bản vẽ thiết kế chi tiết (blueprint)
b.kế hoạch an toàn thông tin (security plan)
c.sổ tay NIST
d.Khuôn mẫu an toàn thông tin (information security
framework)
11.Sử dụng cơ chế truy cập đã biết hoặc đã được cài đặt
trước đó để truy cập vào một hệ thống được gọi là cơ chế
nào sau đây?
a.phần mềm trojan horses
b.cửa sau (back door)
c.tấn công từ chối dịch vụ DOS
d.bom ẩn (hidden boom)
12.Chiến lược kiểm soát rủi ro nào cố gắng chuyển rủi ro
còn lại sang các tài sản khác, quy trình khác hoặc tổ chức
khác?
a.chia sẻ rủi ro
b.né tránh rủi ro
c.giảm thiểu rủi ro
d.phòng thủ rủi ro
13.Loại an toàn thông tin nào bao gồm bảo vệ các thành
phần, kết nối và nội dung mạng và dữ liệu?
a.An toàn thông tin
b.An toàn mạng máy tính
c.An toàn vật lý
d.An toàn truyền thông
14.Trong giai đoạn nào của SDLC theo hướng dẫn của
NIST, các hệ thống được áp dụng và vận hành, các cải tiến
và / hoặc sửa đổi đối với hệ thống được phát triển và thử
nghiệm, và phần cứng và / hoặc phần mềm được thêm vào
hoặc thay thế?
a.giai đoạn triển khai hệ thống
b.giai đoạn vận hành và bảo trì
c.giai đoạn khởi đầu dự án
d.giai đoạn thực hiện và đánh giá
15.Tên thường được sử dụng cho khu vực trung gian giữa
mạng đáng tin cậy và mạng không đáng tin cậy giữa internet
và hệ thống mạng của đơn vị là
a.
DMZ
b.
AKM
c.
CKC
d.
DKZ
16.Mục đích của phân tích nhân tố trọng số là liệt kê các tài sản
theo thứ tự tầm quan trọng của chúng đối với tổ chức, đúng hay
sai?
a.
sai
b.
đúng
17.Cộng đồng của nhóm lợi ích (nhóm người dùng) nào chịu
trách nhiệm về an ninh môi trường và quyền truy cập tại các
địa điểm thiết bị công nghệ và chịu trách nhiệm đối với các
chính sách và tiêu chuẩn an toàn hoạt động thiết bị?
a.nhóm quản lý chung
b.nhóm quản lý an toàn thông tin
c.đội bảo vệ
d.nhân viên quản lý dữ liệu
19. Để nâng cao nhận thức về an toàn thông tin và thay đổi
hành vi tại nơi làm việc, các tổ chức nên kết hợp các thành
phần bảo mật thông tin vào hồ sơ nào của nhân viên?
a.tài liệu tập huấn nhân viên mới
b.hợp đồng lao động
c.quy chế làm việc
d.mô tả công việc, các buổi đào tạo và đánh giá hiệu suất
20. Quá trình kiểm tra xem mỗi mối đe dọa sẽ ảnh hưởng
đến tổ chức như thế nào được gọi là quy trình nào sau đây?
a.đánh giá nguy cơ
b.đánh giá rủi ro
c.phân tích tác động kinh doanh
d.phản ứng với rủi ro
21. Ba nhóm (cộng đồng) người dùng ảnh hưởng đến an toàn
thông tin trong doanh nghiệp là :
a.nhóm quản lý chung, nhóm quản lý công nghệ thông tin và
nhóm quản lý an toàn thông tin
b.nhóm điều hành công ty, nhóm quản lý an ninh vật lý và nhóm
quản lý an toàn thông tinmột
c.nhóm quản lý chung, nhóm quản lý hoạt động và nhóm quản
lý an toàn thông tin
d.nhóm quản lý chung, nhóm quản lý công nghệ thông tin và
nhóm bảo mật mạng máy tính
22. Nhận dạng rủi ro được thực hiện trong một quy trình
lớn hơn nhằm xác định và biện minh cho các biện pháp kiểm
soát rủi ro, được gọi là quy trình nào?
a.ARO
b.CBA
c.ALE
d.SLE
23.Chiến lược kiểm soát rủi ro nào cố gắng giảm tác động
của một cuộc tấn công thành công thông qua việc lập kế
hoạch và chuẩn bị ứng phó rủi ro?
a.né tránh rủi ro
b.phòng thủ rủi ro
c.chia sẻ rủi ro
d.giảm thiểu rủi ro
24. Thuật ngữ được thừa nhận chung cho sự bảo hộ của
chính phủ dành cho sở hữu trí tuệ (văn bản và điện tử) được
gọi là thuật ngữ nào sau đây?
a.luật bảo mật máy tính
b.luật hành chánh
c.luật bảo hộ tài sản trí tuệ
d.luật bản quyền
25.Loại kế hoạch nào được đơn vị tiến hành lập để chuẩn bị,
phản ứng và phục hồi từ các sự kiện đe dọa đến sự an toàn
của thông tin và tài sản thông tin trong tổ chức, và chuẩn bị
cho việc khôi phục lại các phương thức hoạt động kinh
doanh bình thường sau đó?
a.kế hoạch ứng phó sự cố (IRP)
b.Kế hoạch kinh doanh liên tục (BCP)
c.kế hoạch dự phòng (CP)
d.kế hoạch khấc phục thảm họa (DRP)

26. An ninh mạng giải quyết các vấn đề cần thiết để bảo vệ các
mục, đối tượng hoặc khu vực, đúng hay sai?
a.f
Sai
b.
Đúng
27. Loại kế hoạch nào đảm bảo rằng hoạt động kinh doanh quan
trọng các chức năng vẫn tiếp tục nếu một sự cố thảm khốc hoặc
thảm họa xảy ra?
a.
kế hoạch khắc phục thảm họa (DRP)
b.
kế hoạch phục hồi kinh doanh (BRP)
c.
kế hoạch dự phòng (CP)
d.
kế hoạch kinh doanh liên tục (BCP)
28. Người chịu trách nhiệm lưu trữ, duy trì và bảo vệ dữ liệu là
người
a.
Sở hữu dữ liệu
b.
lưu giữ dữ liệu
c.
sử dụng dữ liệu
d.
quản lý dữ liệu

29. Nội dung nào sau đây được sử dụng để định hướng cách giải
quyết các vấn đề và các công nghệ được sử dụng trong một tổ
chức?
a.
tiêu chuẩn ứng dụng CNTT trong doanh nghiệp
b.
chính sách về công nghệ thông tin trong doanh nghiệp
c.
đạo đức sử dụng CNTT trong DN
d.
quản trị CNTT trong doanh nghiệp
30. Để đánh giá ảnh hưởng của những thay đổi về an toàn
thông tin đối với thực tiễn quản lý nhân sự của đơn vị, cần
tiến hành nghiên cứu nào trước giai đoạn triển khai?
a.
nghiên cứu khả thi về vận hành, khả thi về hành vi
b.
khả thi về công nghệ
c.
khả thi về kinh tế
d.
khả thi về tuân thủ
31. Thiết bị khóa sử dụng dấu vân tay, lòng bàn tay, hình học
bàn tay; mống mắt và võng mạc; và trình đọc giọng nói và chữ
ký để xác nhận người dùng là ví dụ của:
a.
khóa sinh trắc học
b.
khóa cơ học
c.
khóa không dây
d.
khóa thông minh
33. Thuật ngữ nào sau đây mô tả việc áp dụng các kỹ thuật và
phương pháp pháp y để bảo quản, xác định, trích xuất, lập tài
liệu và giải thích phương tiện kỹ thuật số để phân tích bằng
chứng và / hoặc nguyên nhân gốc rễ?
a.
điều tra gian lận trong kế toán (accounting forensic
investigations)
b.
Phân tích rủi ro
c.
điều tra kỹ thuật số (digital forensics)
d.
Truy tố hình sự
34. Việc áp dụng các biện pháp kiểm soát nhằm giảm rủi ro đối
với tài sản thông tin của tổ chức xuống mức có thể chấp nhận
được được gọi là biện pháp nào sau đây?
a.
kiểm soát rủi ro
b.
đánh giá rủi ro
c.
xác định rủi ro
d.
phân tích rủi ro
35. Hình thức an toàn thông tin nào đề cập đến việc bảo đảm an
toàn cho tất cả các phương tiện truyền thông, công nghệ và nội
dung?
a.
An toàn mạng máy tính
b.
An toàn thông tin
c.
An toàn vật lý
d.
An toàn truyền thông
37.Tài liệu chi tiết về việc thu thập, lưu trữ, chuyển giao và sở
hữu bằng chứng từ hiện trường vụ án thông qua việc trình bày
trước tòa được gọi là:
a. chuỗi bằng chứng (chain of evidence)
b. Phân tích pháp y kỹ thuật số
c. bằng chứng số (digital eviden)
d. bằng chứng tiềm năng (evidentiary material)
38.Thuật ngữ nào sau đây mô tả quá trình ấn định điểm số cho
các yếu tố quan trọng, mỗi yếu tố trong số đó được đơn vị sắp
xếp theo mức độ quan trọng?
a.
Phân loại dữ liệu
b.
Phân loại tài sản thông tin
c.
Phân tích nhân tố có trọng số
d.
Kiểm kê tài sản thông tin
39. lợi ích (nhóm người dùng) nào chịu trách nhiệm về an ninh
của cơ sở mà đơn vị đang sử dụng cũng như chịu trách nhiệm về
các chính sách và tiêu chuẩn để vận hành an toàn?
a. quản lý chung
b. nhóm quản lý an toàn công nghệ thông tin
c. Kỹ thuật viên an toàn thông tin
d. đội bảo vệ
.40. Xác suất mà một lỗ hổng an toàn thông tin cụ thể trong một
đơn vị sẽ là mục tiêu của một cuộc tấn công được gọi là
a.
xác suất thiệt hại (Probable Loss)
b.
xác suất xảy ra tấn công (likelihood)
c.
mức độ tổn thất (Loss Magnitude)
d.
tần suất tổn thất (Loss Frequency)
41. Vì mục đích an toàn thông tin, thuật ngữ nào sau đây được
sử dụng để mô tả các thành phần của các hệ thống sử dụng, lưu
trữ và truyền tải thông tin?
a.
các nguy cơ
b.
hàng tồn kho
c.
các bằng chứng
d.
tài sản thông tin
42. Một trong những nền tảng của kiến trúc bảo mật là yêu cầu
triển khai bảo mật trong các lớp. Cách tiếp cận phân lớp này
được gọi là phương pháp nào?
a. an toàn vật lý (physical security)
b. kiểm soát dự phòng (redundancy controls)
c. kiểm soát quản lý (managerial controls)
d. phòng thủ sâu (defense in depth)
43. Thuật ngữ nào mô tả tốt nhất một cuộc điều tra và đánh giá
các sự kiện bất lợi khác nhau có thể ảnh hưởng đến tổ chức, bao
gồm việc xác định mức độ quan trọng của hệ thống hoặc tập hợp
thông tin đối với các quy trình cốt lõi và các ưu tiên phục hồi
của tổ chức?
a.
mốc thời gian phục hồi (RTO)
b.
phân tích tác động kinh doanh (BIA)
c.
thời gian phục hồi công việc (WRT)
d.
phân tích rủi ro (RA)

44. Phương pháp mà hệ thống xác định điều kiện và cách thức
cho phép người dùng được tiếp cận đến khu vực đáng tin cậy
hoặc dữ liệu, hệ thống của tổ chức được gọi là
a.
khả năng truy vết
b.
kiểm soát xác thực
c.
kiểm soát truy cập
d.
kiểm soát vật lý
45. Nhận dạng rủi ro được thực hiện trong một quy trình lớn hơn
nhằm xác định và biện minh cho các biện pháp kiểm soát rủi ro,
được gọi là quy trình nào?

a.
kiểm soát rủi ro
b.
xác định rủi ro
c.
đ
ánh giá rủi ro
d.
quản lý rủi ro
46. Một trong những nền tảng của kiến trúc bảo mật là yêu cầu
triển khai bảo mật trong các lớp. Cách tiếp cận phân lớp này
được gọi là phương pháp nào?
a.
kiểm soát dự phòng (redundancy controls)
b.
kiểm soát quản lý (managerial controls)
c.
an toàn vật lý (physical security)
d.
phòng thủ sâu (defense in depth)
47. Thuật ngữ nào sau đây mô tả đúng nhất đặc điểm kỹ thuật
của một mô hình sẽ được tuân theo trong quá trình thiết kế, lựa
chọn và triển khai ban đầu và liên tục của tất cả các biện pháp
kiểm soát bảo mật tiếp theo?
a.
sổ tay NIST
b.
Khuôn mẫu an toàn thông tin (information security framework)
c.
bản vẽ thiết kế chi tiết (blueprint)
d.
kế hoạch an toàn thông tin (security plan)
48. Thuật ngữ nào được sử dụng để mô tả chất lượng hoặc trạng
thái sở hữu hoặc kiểm soát thông tin?
a.
chiếm hữu (possession)
Possession

b.
toàn vẹn (integrity)

c.
bảo mật (confidentiality)

d.
xác thực (authenticity)1

49. Vị trí nào là nhân viên an toàn thông tin hàng đầu trong tổ
chức?
a.
CISO
b.
ISO
c.
CIO

d.
CFO
50. Hình thức an toàn thông tin nào đề cập đến việc bảo đảm an
toàn cho tất cả các phương tiện truyền thông, công nghệ và nội
dung?
a.
An toàn truyền thông
b.
An toàn thông tin
c.
An toàn mạng máy tính
d.An toàn vật lý
51. Vì mục đích an toàn thông tin, thuật ngữ nào sau đây được
sử dụng để mô tả các thành phần của các hệ thống sử dụng, lưu
trữ và truyền tải thông tin?
a.
các bằng chứng
b.
các nguy cơ
c.
hàng tồn kho
d.
tài sản thông tin
52. Thuật ngữ nào sau đây mô tả quá trình ấn định điểm số cho
các yếu tố quan trọng, mỗi yếu tố trong số đó được đơn vị sắp
xếp theo mức độ quan trọng?
a.
Phân loại tài sản thông tin
b.
Phân tích nhân tố có trọng số
c.
Phân loại dữ liệu
d.
Kiểm kê tài sản thông tin
53. An ninh mạng giải quyết các vấn đề cần thiết để bảo vệ các
mục, đối tượng hoặc khu vực, đúng hay sai?
a.
Sai
b.
Đúng
54. Để đánh giá ảnh hưởng của những thay đổi về an toàn thông
tin đối với thực tiễn quản lý nhân sự của đơn vị, cần tiến hành
nghiên cứu nào trước giai đoạn triển khai?
a.
khả thi về công nghệ
b.
khả thi về tuân thủ
c.
khả thi về kinh tế
d.
nghiên cứu khả thi về vận hành, khả thi về hành vi
55. Vì mục đích an toàn thông tin, thuật ngữ nào sau đây được
sử dụng để mô tả các thành phần của các hệ thống sử dụng, lưu
trữ và truyền tải thông tin?
a.
các bằng chứng
b.
các nguy cơ
c.
hàng tồn kho

d.
tài sản thông tin

56. Thuật ngữ nào sau đây mô tả đúng nhất quá trình sửa chữa
các lỗ hổng đã biết?
a.
vá (patch)
b.
thử nghiệm phần mềm
c.
cập nhật phần mềm
d.
nâng cấp phần mềm
57. Khi các dự án được khởi xướng ở các cấp cao nhất của một
tổ chức và sau đó được triển khai đến tất cả các cấp, đây là cách
tiếp cận nào?
a.
tiếp cận từ dưới lên
b.
tiếp cận từ trên xuống
c.
tiếp cận tập trung
d.
tiếp cận ngang hàng

58. Hình thức an toàn thông tin nào đề cập đến việc bảo đảm an
toàn cho tất cả các phương tiện truyền thông, công nghệ và nội
dung?
a.
An toàn truyền thông
b.
An toàn thông tin
c.
An toàn mạng máy tính
d.
An toàn vật lý
59. Vị trí nào là nhân viên an toàn thông tin hàng đầu trong tổ
chức?
a.
CISO
b.
ISO
c.
CIO
d.
CFO
60.Thuật ngữ nào được sử dụng để mô tả chất lượng hoặc trạng
thái sở hữu hoặc kiểm soát thông tin?
a.
chiếm hữu (possession)
Possession

b.
toàn vẹn (integrity)

c.
bảo mật (confidentiality)

d.
xác thực (authenticity)
61. Việc tính toán giá trị liên quan đến tổn thất có khả năng xảy
ra cao nhất từ một cuộc tấn công được gọi là:
a.
ARO
b.
CBA
c.
SLE
d.
ALE

62. Nếu thông tin có trạng thái là chân thực hoặc nguyên bản và
không phải là bịa đặt, thì nó có đặc điểm của tính xác thực, đúng
hay sai?
a.sai
b.đúng
63. Nhận dạng rủi ro được thực hiện trong một quy trình lớn hơn
nhằm xác định và biện minh cho các biện pháp kiểm soát rủi ro,
được gọi là quy trình nào?
a.
quản lý rủi ro
b.
xác định rủi ro
c.
kiểm soát rủi ro
d.
đánh giá rủi ro