Những chính sách an toàn thông tin nào ở nơi làm việc cần nắm rõ

1. Những cộng đồng trong lĩnh vực ATTT- Cộng đồng ATTT: chịu trách nhiệm bảo vệ tổ chức khỏi các mối đe dọa, cộng đồng này bao gồm cácnhà quản lý và các chuyên gia có trách nhiệm công việc trọng tâm là bảo mật thông tin- Cộng đồng CNTT: bao gồm các chuyên gia CNTT thông thường (ko phải ATTT), những người này hỗtrợ các mục tiêu kinh doanh bằng cách cung cấp các kỹ thuật CNTT- Cộng đồng doanh nghiệp nói chung: xác định chính sách và phân bổ nguồn lực, bào gồm các nhàquản lý là chuyên gia ko thuộc CNTT.2. Khái niệm ATTT, Hệ thống TTAn toàn thông tin là bảo vệ thông tin và hệ thống thông tin nói chung khỏi các truy cập trái phép, sửdụng, làm lộ, làm hỏng, chỉnh sửa, ghi chép không được phép…Hệ thống thông tin được chia thành 3 phần chính: phần cứng, phần mềm và kết nối với mục đíchgiúp cho việc phân loại và áp dụng các chuẩn về an toàn thông tin dễ dàng, thuận lợi nhất. Thôngthường, thủ tục hoặc chính sách bảo mật này được thực thi để nói với con người (quản trị, ngườidùng, người vận hành) rằng làm thế nào để sử dụng sản phẩm mà vẫn đảm bảo an toàn thông tincủa cá nhân và trong cả tổ chức.--Các lĩnh vực an toàn thông tin bao gồm:-Physical security: Bảo vệ con người, tài sản vật chất, nơi làm việc...Operation security: Bảo vệ khả năng của tổ chức để quá trình làm việc không bị ngắt hoặc bị tổnthương.Communications security: Bảo vệ các phương tiện truyền thông, công nghệ thông tin và khả năngsử dụng các công cụ này để đạt được mục tiêu nào đó.Network security: Bảo vệ các thiết bị mạng, kết nối dữ liệu của tổ chức,và nội dung cũng như bảovệ khả năng sử dụng mạng lưới đó để hoàn thành,chức năng truyền dữ liệu của tổ chức.An ninh thông tin (InfoSec) là bảo vệ thông tin và các đặc điểm quan trọng (tính bảo mật, tính toàn vẹnvà tính khả dụng) bao gồm các hệ thống và phần cứng được sử dụng, việc lưu trữ và truyền tải thôngtin thông qua việc áp dụng chính sách, đào tạo và nhận thức chương trình và công nghệ.3. Tam giác CIA?Tam giác CIA là một trợ giúp trực quan mô tả các đặc điểm quan trọng của thông tin. Các bộ phậncấu thành chính của nó là+ Tính bí mật: để tránh lộ thông tin đến những đối tượng không được xác thực hoặc để lọt vàocác hệ thống khác. Để bảo vệ bí mật thông tin, một số biện pháp được sử dụng, bao gồm: ● Phânloại thông tin ● Lưu trữ dữ liệu an toàn ● Áp dụng các chính sách an ninh chung ● Giáo dụcngười quản lý và người dùng cuối ● Mã hóa+ Tính toàn vẹn: có nghĩa là dữ liệu không thể bị chỉnh sửa,hư hỏng trong quá trình nhập, lưutrữ, trao đổi.+ Tính sẳn sàng: Mọi hệ thống thông tin đều phục vụ mục đích riêng của nó và thông tin phải1luôn luôn sẵn sàng khi cần thiết. Hệ thống có tính sẵn sàng cao hướng đến sự sẵn sàng ở mọithời điểm, tránh được những rủi ro cả về phần cứng, phần mềm như: sự cố mất điện, hỏng phầncứng, cập nhật, nâng cấp hệ thống…4. Mô tả mô hình an ninh CNSS ba chiều (dimension)?5.6.7.--8.-Mô hình bảo mật CNSS cho thấy ba chiều chính của ATTT gồm : tính bảo mật, tính toàn vẹn và tínhkhả dụng; chính sách, giáo dục và công nghệ; và lưu trữ, xử lý và truyền tảiSự riêng tư trong ATTTThông tin chỉ được sữ dụng cho mục đích mà chủ sỡ hữu của dữ liệu biết.Khi liên quan đến InfoSec (ATTT), định nghĩa về sự riêng tư là "trạng thái không bị quan sát,thu thập,sữ dụng và lưu trữ trái phép". định nghĩa này tập trung vào dữ liệu và đề cập đến việc thông tinđang được quan sát chỉ bởi các bên được ủy quyền bằng các chính sách có liên quan, bất kể nhữngchính sách đó có thể là gì (do đó không liên quan đến các quyền cá nhân hoặc tự do)Định nghĩa các quy trỉnh ATTT sau: identification – xác thực, authentication - chứng thực,authorization – cấp quyền, and accountability – trách nhiệm giải trình.+ Định danh (Identification) tức là việc xác định đối tượng đó là ai, là cái gì qua username or ID+ Authentication (chứng thực) nó là quá trình kiểm tra danh tính của người dùng hoặc một hệ thốngMột cách đơn giản quá trình Authentication là đi tìm câu trả lời cho câu hỏi “Bạn là ai?” và xemthông tin đó có đúng hay không. Quá trình này rất thông dụng tương tác người dùng thông quaform đăng ký (và nó được xác thực dựa trên tên người dùng và mật khẩu .+ Authorization (uỷ quyền) : đi tìm câu trả lời cho câu hỏi “Bạn được phép làm gì?”Xét về mặt logicthì authorization được thực thi sau khi authentication hoàn thành. Điều này có nghĩa là sau khi xácđịnh được danh tính người dùng (authentication), hệ thống sẽ tiếp tục kiểm tra xem người dùng cóthể làm gì trên tài nguyên (url, tập tin, chức năng…) của hệ thống hay còn gọi là phân quyền trên hệthống.+ Tính không thể chối cải (Accountability) xảy ra khi một kiểm soát cung cấp sự đảm bảo rằng mọihoạt động được thực hiện có thể được quy cho một người có tên hoặc quy trình tự độngQuản lý và vai trò của người quản lý?Quản lý là quá trình đạt được các mục tiêu sử dụng một nguồn nhân lực, tài nguyên nhất địnhNgười quản lý: là thành viên của tổ chức được giao nhiệm vụ sắp xếp và quản lý các nguồn lực, điềuphối việc hoàn thành nhiệm vụ và xử lý nhiều vai trò cần thiết để hoàn thành các mục tiêu mongmuốnVai trò người quản lý:+ Vai trò thông tin - Thu thập, xử lý và sử dụng thông tin có thể ảnh hưởng đến việc hoàn thành mụctiêu+ Vai trò liên thông - Tương tác với cấp trên, cấp dưới, bên liên quan bên ngoài và các bên khác cóảnh hưởng hoặc bị ảnh hưởng bởi việc hoàn thành nhiệm vụ+ Vai trò quyết định – Thực hiện lựa chọn từ các phương pháp tiếp cận thay thế và giải quyết xungđột, tình trạng khó khăn hoặc thách thứcSo sánh Lãnh đạo (leadership) và quản lý (management)Giống: cả 2 đều thực hiện vai trò hướng dẫn (guiding) người khácKhác+ Một leader là người có chuyên môn cao, trực tiếp ảnh hưởng đến nhân viên để họ sẵn sàng đạtđược các mục tiêu. Người đó được mong đợi sẽ dẫn dắt bằng ví dụ và thể hiện những đặc điểm cánhân mà làm cho người khác phải ham muốn. Nói cách khác, lãnh đạo cung cấp mục đích, chỉ đạovà động cơ cho những người theo đuổi mục tiêu đó.+ người quản lý quản lý các nguồn lực của tổ chức. Anh ta tạo ra ngân sách, cho phép chi tiêu, vàthuê nhân viên. ( quản lý tốt các vấn đề được giao mà không vi phạm bất cứ điều gì theo đúng lộ trìcv và k cần có chuyên môn+ Các nhà quản lý hiệu quả cũng là những nhà lãnh đạo hiệu quả.-------------------- ------------------- Điều gì làm nên 1 good leader:+ Biết nhược điểm và tự cãi thiện bản thân, Có kĩ thuật và chiến lược thông thạo, Biết chịu trách nhiệmcho những hành động của bản thân, Thực hiện các quyết định đúng đắn và và hợp lý. Đặt ví dụ. Giữthông tin cho cấp dưới. Phát triển tinh thần trách nhiẹm cho cấp dưới. Đảm bảo công việc được hiểu,được giám sác và được hoàn thành. Xây dựng team. Sữ dụng team tuỳ theo khả năng của họ.+ Đặc điểm của 1 good leader: chịu trách nhiệm, can đảm,quyết đoán,tự lập, biết chịu đựng, nhiệt tình,sáng tạo,chủ động trong cv,phán quyết,trung thành, có kiến thức, công bằng,có chiến thực, không ít kỉ.Behavioral của leader : Autoratic : hành động theo định hướng – do as i say ; Democratic( dân chủ ) hành động theo định hướng bà ít hiểu quả hơn. Laissez-faire : tự do hành động vàsáng tạo)9. Những đặc điềm của quản lý ?POLC- Planning (lên kế hoạch): là Quá trình xây dựng, sáng tạo và thực hiện các chiến lược để hoàn thànhcác mục tiêu. (Chiến lược - xảy ra ở cấp cao nhất của tổ chức ; Chiến thuật - tập trung vào dự án sảnxuất và tích hợp các nguồn lực của tổ chức ; Operational - tập trung vào hoạt động hàng ngày của cácnguồn lực ) -> để thành công phải xác định rõ mục tiêu và mục đích- Organizing (tổ chức): Chức năng quản lý dành cho việc cấu trúc các nguồn lực để hỗ trợ thực hiệncác mục tiêu. (Cần phải xác định: Điều gì được thực hiện theo thứ tự nào, bởi, bằng cách nào và khinào)- Leading (lãnh đạo): khuyến khích việc thực hiện quy hoạch và tổ chức các chức năng.- Controlling (kiểm soát): là việc giám sát tiến độ hoàn thành và thực hiện các điều chỉnh cần thiết đểđạt được mục tiêu mong muốn.10. Ba loại lên kế hoạch thông thường (general planning) là gì? định nghĩa từng loại.● Lập kế hoạch chiến lược - Điều này xảy ra ở cấp cao nhất của tổ chức và trong một thời gian dài,thường là năm năm hoặc nhiều hơn.● Lập kế hoạch chiến thuật - Tập trung vào việc lập kế hoạch sản xuất và tích hợp các nguồn lực củatổ chức ở mức thấp hơn toàn bộ doanh nghiệp và trong một khoảng thời gian trung bình (chẳng hạntừ 1 đến 5 năm).● Lập kế hoạch hoạt động - Tập trung vào các hoạt động hằng ngày của các nguồn lực địa phương vàxảy ra trong hiện tại hoặc trong ngắn hạn.11. 5 bước của một quy trình giải quyết vấn đề thông thường.- Bước 1: Nhận biết và xác định vấn đề- Bước 2: Thu thập dữ kiện và giả định- Bước 3: Phát triển các giải pháp khả thi- Bước 4: Phân tích và so sánh các giải pháp khả thi- Bước 5: Lựa chọn, thực hiện và đánh giá.12. Định nghĩa quản lý dự án (project management). Tại sao việc quản lý dự án được quan tâm đặcbiệt trong lĩnh vực ATTT- Quản lý dự án liên quan đến việc xác định và kiểm soát các nguồn lực được áp dụng cho dự án cũngnhư tính toán tiến độ và điều chỉnh quá trình khi tiến độ đạt được đến mục tiêu.- InfoSec là một quá trình chứ không phải là một dự án. Tuy nhiên, mỗi yếu tố của một chương trìnhInfoSec phải được quản lý như là một dự án, ngay cả khi chương trình tổng thể là đang diễn ra liêntục. Một dự án khác với quy trình vì đó là hoạt động tạm thời và đang tạo ra sự thay đổi về tổ chức.13. Tại sao các kỹ năng quản lý dự án lại quan trọng đối với chuyên gia ATTT?-• Thực hiện một phương pháp như SecDLC• Việc đưa ra một kế hoạch chi tiết về các hoạt động của dự án cung cấp một công cụ tham khảochung.• Xác định trách nhiệm cụ thể cho tất cả các nhân viên liên quan làm giảm sự mơ hồ và cũng làmgiảm sự nhầm lẫn khi các cá nhân được giao cho các dự án mới hoặc khác• Xác định rõ ràng các ràng buộc của dự án (khung thời gian, ngân sách) và yêu cầu chất lượng tốithiểu làm tăng khả năng dự án sẽ nằm trong các ràng buộc đó.• Thiết lập các biện pháp thực hiện và tạo ra các cột mốc của dự án đơn giản hóa việc giám sát• Xác định sai lệch về chất lượng, thời gian hoặc ngân sách sớm cho phép điều chỉnh sớm vấn đềnày.14. Làm thế nào đề an ninh thông tin trở thành cả 1 dự án (project) và 1 quy trình (process).An ninh không phải là một nỗ lực một lần, mà là một quá trình lặp đi lặp lại mà phải được tập trungvào cho ‘cuộc đời’ của hệ điều hành. Mục đích là, nếu hệ điều hành hoặc người dùng phát hiện rarằng hệ thống đã bị xâm nhập, một bản cập nhật có thể được bắt đầu và - sau khi khởi động lại - hệthống sẽ được trả về trạng thái tốt đã biết- Nguyên tắc quản lý ATTT: là 1 phần của team quản lý tổ chức.Các đặc điểm mở rộng:Planning : bao gồm mô hình lập kế hoạch infosec : những hoạt động cần thiết để hỗ trợ thiết kết,tạo ra,thực thi chiến lược bảo mật thông tin bao gồm: kết hoạch duy trình hoạt động doanh nghiệp, kếhoạch phản ứng trước sự cố/thảm hoạ, chính sách , nhân viên, triển khai công nghệ, quản lý rủi ro vànhững chương trình an tòn bao gồm giáo dục, tập huấn và nhận thức.- Policy: hướng dẫn chung về 1 số hành vi trong tổ chức bao gồm : chính sách bảo mật doanh nghiệp,chính sách an ninh cho từng vấn đề cụ thể và chính sách cụ thể về hệ thống.- Programs: Các chương trình cụ thể quản lý trong IS domain, chương trình SETA, các chương trình khácnhư chương trình an ninh vật lý, truy cập vật lý, cổng, bảo vệ.... ?- Protection: Các quản động quản lý rủi ro, cũng như bảo vệ cơ chế, công nghệ và công cụ.- People: Con người là mối liên kết quan trọng nhất -> SETA- Project Management: xác định và kiểm soát các nguồn lực để đạt được mục tiêuCHƯƠNG 2: SECURITY PLANNING1. Kế hoạc là gìKế hoạch là phương tiện có ảnh hưởng lớn trong việc quản lý các nguồn lực trong các tổ chức. Nóđòi hỏi phải đưa ra một loạt các hành động để đạt được mục tiêu cụ thể trong một khoảng thời giancụ thể và trong việc thực hiện kiểm soát các bước để đạt được mục tiêu đó. Kế hoạch cung cấphướng đi cho một tổ chức trong tương lai. Nó làm tăng hiệu quả và ngăn ngừa sự lãng phí và nỗ lựctrùng lặp lại. (Do những lãnh đạo của tổ chức lựa chọn hướng đi, kế hoạch bắt đầu từ những điềuchung và kết thúc bằng điều cụ thể)Thông thường từ quan điểm đạo đức, kinh doanh và triết học và quan điểm của tổ chức.Lập kế hoạch chiến lược bao gồm:Values Statement – tuyên bố giá trịVision Statement – tuyên bố tầm nhìnMission Statement – tuyến bố sứ mệnhKế hoạch phối hợp cho các đơn vị trực thuộcNhững bên liên quan ( kế hoạch bao gồm những đối tượng)Liên quan: nhân viên,quản lý,cổ đông,các bên liên quan bên ngoài khác,môi trường vật lý, môitrường chính trị và pháp lý, môi trường cạnh tranhvà môi trường công nghệ- Khi lập kế hoạch, một tổ chức phải xem xét tất cả các bên liên quan để đánh giá các quyết định quyhoạch đúng và có nguồn lực4. Tuyên bố giá trị là gì? Tuyên bố tầm nhìn là gì? Tuyên bố nhiệm vụ là gì?- Tuyên bố giá trị (values statement): tập hợp chính thức các nguyên tắc tổ chức và chất lượng của tổchức sau đó. Vd : Ví dụ: cam kết của RWW cam kết, trung thực, toàn vẹn và trách nhiệm xã hội giữacác nhân viên của công ty và cam kết cung cấp các dịch vụ của mình hài hoà với công ty, môi trườngtự nhiên.- Tuyên bố tầm nhìn (vison statement): Là một hình  ảnh, tiêu chuẩn, hình tượng độc đáo và lý tưởng2.3.-trong tương lai, là những điều doanh nghiệp muốn đạt tới hoặc trở  thành.vd :  Trường Đại học Ngoạithương là trường đại học tự chủ, theo định hướng nghiên cứu, nằm trong nhóm các trường đại họchàng đầu của khu vực.-Tuyên bố sứ mệnh (mission statement): Là lý do để tổ chức tồn tại. Các tổ chức thường thể hiện sứmệnh của mình bằng một "tuyên bố sứ mệnh” xúc tích, ngắn gọn, giải thích tổ chức đó tồn tại đểlàm gì và sẽ làm gì để tồn tại. Vd : Sứ mạng của trường Đại học Ngoại thương là đào tạo nhân tài vàcung cấp nguồn nhân lực chất lượng cao trong các lĩnh vực kinh tế, kinh doanh, quản trị  kinhdoanh, tài chính ­ ngân hàng, luật,5. Chiến lược là gì?Chiến lược là tập hợp các quyết định về các mục tiêu dài hạn và các biện pháp, các cách thức, conđường đạt đến các mục tiêu đó.---------------------------- Xây dựng chiến lược chung- Tạo ra các kế hoạch chiến lược cụ thể cho các bộ phận chính• Mỗi cấp độ phân chia chuyển chúng đó thành những mục tiêu cụ thể cho những cấp dưới• Để thực hiện chiến lược rộng này, các nhà quản lý phải xác định trách nhiệm quản lý cá nhân.( CEO tạo ra những chiến lược chung, CISO chịu trách nhiệm cho chiến lược ATTT , CIO chịu tráchnhiệm phân lược IT) Các mục tiêu chiến lược sau đó được chuyển thành các nhiệm vụ với các mục tiêu cụ thể(specific), có thể đo lường được(measurable), có thể đạt được(achiavable), hợp lý ( reasonably)và cao về thời gian ( time-bound objective) (SMART) • Kế hoạch chiến lược sau đó bắt đầuchuyển đổi từ các mục tiêu tổng quát sang mục tiêu cụ thể6. Quản trị InfoSec ( CISO) là gì?Quản trị InfoSec và CIO đóng vai trò quan trọng trong việc chuyển đổi những chiến lược tổng thểcủa CEO thành kế hoạch An ninh thông tin về chiến thuật và kế hoạch vận hành attt.CSIO tạo ra những kế hoạch ATTT với tần nhìn về tương lai của an ninh ở CTY X, hiểu được nhữnghoạt động cơ bản do cty này thực hiện để đề xuất những giải pháp an ninh phù hợp và xây dựngnhững kế hoạch hành động, ngân sách, báo cáo trạng thái và các phương tiện quản lý hàng đầu khácnhầm cải thiện trạng thái attt hiện có ở cty xbao gồm tất cả các trách nhiệm giải trình và các phương pháp do ban giám đốc và ban điều hànhquản lý để cung cấp định hướng chiến lược, thiết lập các mục tiêu, đo lường tiến độ đạt được cácmục tiêu đó, xác minh các hoạt động quản lý rủi ro là phù hợp và xác nhận tài sản của tổ chức đượcsử dụng đúng7. Hội đồng quản trị nên đề nghị gì mà để nghị đó như một mục tiêu ATTT của tổ chức?- Đưa ra một nền văn hoá công nhận sự quan trọng của thông tin và InfoSec đối với tổ chức- Xác minh rằng đầu tư của quản lý trong InfoSec đúng với các chiến lược của tổ chức và môi trườngrủi ro của tổ chức- Đảm bảo rằng một chương trình InfoSec toàn diện được xây dựng và triển khai- Yêu cầu báo cáo từ các lớp quản lý khác nhau về hiệu quả và tính đầy đủ của chương trình InfoSec8. Năm kết quả cơ bản cần đạt được thông qua quản trị InfoSec là gì?- Sự kết hợp chiến lược của InfoSec với chiến lược kinh doanh để hỗ trợ các mục tiêu của tổ chức- Quản lý rủi ro bằng cách thực hiện các biện pháp thích hợp để quản lý và giảm thiểu các mối đe dọađối với các nguồn thông tin- Quản lý tài nguyên bằng cách sử dụng kiến thức và cơ sở hạ tầng InfoSec hiệu quả và hiệu quả- Đo lường hiệu quả bằng cách đo lường, giám sát và báo cáo Quản lý InfoSec để đảm bảo đạt đượcmục tiêu về tổ chức- Phân phối giá trị bằng cách tối ưu hóa các khoản đầu tư của InfoSec để hỗ trợ các mục tiêu của tổchức9. Mô tả lập kế hoạch chiến lược từ trên xuống. Nó khác với kế hoạch chiến lược từ dưới lên nhưthế nào? Chiến lược nào thường hiệu quả hơn trong việc thực hiện bảo mật trong một tổ chứclớn và đa dạng?- kế hoạch chiến lược top-down: Cách tiếp cận bảo mật trong đó việc quản lý ‘cấp cao’ (upper) sẽ chỉđạo hoạt động và hỗ trợ và trong đó các nhà quản lý cấp cao cung cấp nguồn lực; đưa ra hướng; banhành chính sách, thủ tục và quy trình; điều khiển các mục tiêu và kết quả mong đợi của dự án; vàxác định ai là người chịu trách nhiệm về mỗi hành động được yêu cầu.- So sánh:+top-down: là một phương pháp thiết lập các chính sách an ninh được khởi xướng bởi ban quản lýcấp trên+bottom-up:: kế hoạch chiến lược được khởi xướng bời những nhân viên cấp độ thấp hơn- Cái nào phù hợp ý 3: top-down10. SecSDLC khác SDLS thông thường như thế nàoSecSDLC là một phương pháp tập trung vào bảo mật. nó liên quan đến việc xác định các mối đe dọavà rủi ro cụ thể của người đại diện. sau đó nó thiết kế các biện pháp đối phó và kiểm soát cụ thể đểquản lý các rủi ro.11. Mục tiêu chính của SecSDLC là gì? Các bước chính của nó là gì, và các mục tiêu chính của từngbước là gì?- Mục tiêu chính của SecSDLC là thực hiện việc xác định các rủi ro cụ thể và mối đe dọa mà chúng gâyra cho công ty. SecSDLC cũng quan tâm đến việc thiết kế và thực hiện các kiểm soát cụ thể để chốnglại những rủi ro có thể xảy ra. Điều này hàm ý rằng bảo mật thông tin là một chương trình hợp lý tráivới một chuỗi các câu trả lời.- Các bước chính:+ Điều tra - Đội ngũ quản lý, nhân viên và chuyên gia tư vấn được tập hợp để điều tra các vấn đề, xácđịnh phạm vi, xác định mục đích và xác định các ràng buộc khác không được đề cập trong chính sáchan ninh doanh nghiệpPhân tích - Các tài liệu từ giai đoạn điều tra được nghiên cứu.+ Thiết kế Thiết kế hợp lý - Các thành viên trong nhóm tạo và phát triển kế hoạch chi tiết về an ninh, và nghiêncứu và thực hiện các chính sách chủ chốt ảnh hưởng đến các quyết định sau này.Thiết kế vật lý - Các thành viên trong nhóm đánh giá công nghệ cần thiết để hỗ trợ kế hoạch an toàn,tạo ra các giải pháp thay thế và đồng ý với quyết định cuối cùng.+ Thực hiện - Các giải pháp bảo mật được mua lại, thử nghiệm, triển khai và thử nghiệm lại.+ Bảo trì: Trong khi một mô hình quản lý hệ thống được thiết kế để quản lý và vận hành các hệthống thì một mô hình bảo trì nhằm bổ sung mô hình quản lý hệ thống và tập trung những nỗ lựcbảo trì liên tục cần thiết để giữ cho các hệ thống có thể sử dụng và an toàn.12. Đâu là một mối đe dọa trong bối cảnh InfoSec? 12 loại đe dọa được trình bày trong chương nàylà gì?- Trong bối cảnh an ninh thông tin, mối đe dọa là "một người, một đối tượng hoặc một thực thể khácđại diện cho yếu tố nguy cơ cho sự mất mát hoặc thiệt hại của thông tin hoặc tài sản tổ chức.- 12 loại Thỏa thuận đối với sở hữu trí tuệ: Vi phạm bản quyền phần mềm hoặc vi phạm bản quyền khác Sự khác biệt về chất lượng dịch vụ từ các nhà cung cấp dịch vụ: Biến động về điện, dữ liệu và cácdịch vụ khác Gián điệp hoặc xâm phạm: Truy cập trái phép và / hoặc thu thập dữ liệu Thiên tai : cháy, lũ lụt, động đất, sét vv Lỗi do con người: tai nạn, sai lầm của nhân viên, không tuân theo chính sách Tống tiền thông tin: đe dọa tống tiền về việc tiết lộ thông tin. Phá hoại: Thiệt hại hoặc phá hủy các hệ thống hoặc thông tin Các cuộc tấn công phần mềm: Phần mềm độc hại: virus, sâu, macros, DOS, hoặc script injections Các lỗi kỹ thuật phần cứng: Phần cứng bị lỗi Lỗi kỹ thuật phần mềm: Bugs, các vấn đề về code, lỗ hổng, backdoor Công nghệ lỗi thời hoặc lạc hậu: sữ dụng phần mềm lỗi thời Trộm cắp: Lấy thiết bị hoặc thông tin trái phép13. Sự khác biệt giữa một mối đe dọa (threat) và một cuộc tấn công (attack) là gì?Các mối đe dọa là những khu vực có khả năng tấn công Một cuộc tấn công là một hành động hoặcsự kiện khai thác những lỗ hổng đó.14. Làm thế nào một lỗ hổng có thể bị chuyển đổi thành một cuộc tấn công?Threat agent. Back doors, brute force, buffer overflow15. Tên nào được đưa ra cho một cuộc tấn công mà làm cho việc sử dụng các virus và sâu (worm)?Cái tên được đưa ra cho một cuộc tấn công mà không thực sự gây ra thiệt hại khác hơn là lãng phíthời gian và nguồn lực?Malicious code (mã code độc hại)Hoaxes (lừa dối)16. Những câu hỏi nào có thể được yêu cầu để giúp xác định và phân loại tài sản thông tin? Đâu làcâu hỏi quan trọng nhất để hỏi?(*)Tài sản thông tin nào là quan trọng nhất đối với sự thành công của tổ chức?Tài sản thông tin nào tạo ra doanh thu nhiều nhất?Tài sản thông tin nào có lợi nhuận cao nhất?Tài sản thông tin nào là đắt nhất để thay thế?Tài sản thông tin nào là đắt nhất để bảo vệ?17. Tên nào được trao cho quá trình phân loại đánh giá rủi ro so sánh cho từng tài sản thông tin cụthể? Việc sử dụng đánh giá như vậy là gì?Risk management and assessment (Quản lý rủi ro và đánh giá)Quantitatively assess the risk and vulnerability of each asset. (Đánh giá định lượng rủi ro và tính dễtổn thương của mỗi tài sản.)18. Thuật ngữ nào được sử dụng để mô tả việc cung cấp các quy tắc nhằm bảo vệ tài sản thông tincủa một tổ chức?Maintenance model, ISO Management Model, Security Management model, Security ProgramManagement(Mô hình quản lý, Mô hình quản lý ISO, Mô hình quản lý an ninh, Quản lý Chương trình An ninh)19. Thuật ngữ nào được sử dụng để mô tả biện pháp kiểm soát nhằm giảm sự cố an ninh giữa cácthành viên của tổ chức bằng cách làm quen với các chính sách và thông lệ liên quan một cách liêntục?SETA program20. Ba loại điều khiển InfoSec là gì? Mỗi loại được sử dụng như thế nào để giảm rủi ro cho tổ chức?Managerial Controls – covers strategic planningOperational Controls – covers operational planningTechnical Controls – covers tactical planning- Chu trình phát triển hệ thống ( Systems Development life cycle SDLC)+ SDLC là phương pháp cho thiết kế và thực hiện của hệ thống thông tin. Các dự án dựa trên SDLC có thểbắt đầu bởi sự kiện hoặc lên dự án. Kết thúc mỗi gian đoạn sẽ có 1 đánh giá xảy ra khi người đánh giáxúc định nếu dự án đó nên tiếp tục, k nên tiếp tục, thuê bên ngoài làm hay hoãn lại.+ SDLC gồm :+ Điều tra ; Phân tích; Thiết kế logic;Thiết kế vật lý; Thực thiện và Duy trì- Các thuật ngữ:+ Attack: là hành động có chủ ý nhầm khai thác 1 lỗ hỏng để đạt được quyền kiểm soát trong hệthống được thực hiện để làm hư hỏng hệ thống, đánh cấp tài sản thông tin hoặc vật lý của tổ chức+ Exploit ( khai thác ) : Là kĩ thuật hoặc cơ chế được dùng để khai thác , xâp nhập hệ thống+ Vulnerability : Lỗ hổng là điểm yếu hay thiếu xót trong ứng dụng, hệ thống hay qui trình. Cho phép kẻ tấn công có thể khai thác để truy cập trái phép vào các tài nguyên của hệ thống, làm tổn hại tới các bên tham gia hệ thống. Lỗ hổng có thể nằm trong khâu thiết kế hay việc thực thi, cài đặt, triển khai ứng dụng, hệ thống.- Quản lý rủi ro• Sử dụng một số được đề nghị cho mỗi loại đe dọa và các phương pháp tấn công liênquan• Để quản lý rủi ro, bạn phải xác định và đánh giá giá trị của tài sản thông tin của bạn• Ðánh giá rủi ro đánh giá mức độ rủi ro so sánh hoặc điểm cho từng tài sản thông tin cụ thể• Quản lý rủi ro xác định các lỗ hổng trong một hệ thống thông tin của tổ chức và phải cẩn thận trong cácbước để đảm bảo tính bí mật, tính toàn vẹn, và tính khả dụng của tất cả các thành phần trong hệ thốngthông tin của tổ chức- Thiết kế trong SecSDLC • Gồm 2 giai đoạn riêng biệt: - Thiết kế logic: các thành viên trong nhómtạo ra và phát triển một kế hoạch chi tiết về an ninh, và kiểm tra và thực hiện các chính sách chủ chốt- thiết kế vật lý: các thành viên trong nhóm đánh giá những công nghệ cần thiết để hỗ trợ cho kếhoạch an ninh, tạo ra các giải pháp thay thế và thoả thuận về bản thiết kế cuối cùng.- Mô hình bảo mật : • Các nhà quản lý an ninh thường sử dụng các mô hình bảo mật đã được thiết lậpđể thiết kế • Các mô hình bảo mật cung cấp frameworks để đảm bảo rằng tất cả các lĩnh vực an ninhđược giải quyết • Các tổ chức có thể điều chỉnh hoặc chấp nhận một framework để đáp ứng nhu cầubảo mật thông tin của riêng họ.- Chứng nhận– CISSP: Certified Information Systems Security Professional– SSCP: Systems Security Certified Practitioner– GIAC: Global Information Assurance Certification– SCP: Security Certified Program– ICSA: International Computer Security Association– Security +– CISM: Certified Information Security ManagerÔN TẬP CHƯƠNG 3 : CONTINGENCY PLANNING1. Kế hoạch dự phòng là gì ?-Contingency Planning ( kế hoạch dự phòng) , kế hoạch chuẩn bị,phản ứng,phục hồi cho những sựkiện bất thường, không mong đợi xảy ra nhầm duy trì hoạt động doanh nghiệp và giảm thiểu nhữngchi phí phải bỏ ra để giải quyết những vấn đề không mong muốn. Bao gồm 4 thành phần :Business impact analysis (BIA) : phân tích hoạt động kinh doanh Incident Response Planning (IRP) : Là những quy trình, thủ tục về việc dự đoán, phát hiện và giảmnhẹ tác động của một sự kiện bất ngờ có thể ảnh hưởng đến tài nguyên và tài sản thông tin.Disaster Recovery Planning (DRP) : kế hoạch chuẩn bị và khôi phục thảm họa kể cả do thiên nhiênhay do con người làm.Business Continouos Planning (BCP) : Đảm bảo các hoạt động của doanh nghiệp vẫn có thể tiếp tụckhi bị thảm hoạ.• Đảm bảo tính liên tục trong tất cả các quy trình lên kế hoạch dự phòng : Xác định sứ mệnh hoặccác chức năng kinh doanh quan trọng- Xác định các nguồn hỗ trợ các chức năng quan trọng đó- Dựliệu tiềm năng hoặc thảm hoạ- Chọn chiến lược lập kế hoạch dự phòng- Thực hiện chiến lược đượclựa chọn- Kiểm tra và sửa đổi kế hoạch dự phòng2. Liệt kê quy trình CP gồm bảy bước do NIST đề xuất1. Tuyên bố Xây dựng chính sách CP chính thức và hướng dẫn cần thiết để xây dựng chính sách dựphòng hiệu quả2. Thực hiện BIA (phân tích hoạt động kinh doanh) để xác định và ưu tiên những thông tin hệthống và các thành phần quan trọng để hỗ trợ quy trình kinh doanh của tổ chức.3. Xác định các biện pháp phòng ngừa. các biện pháp được thực hiện để giảm tác động của biếncố và tăng tính sẵn có của hệ thống, giảm chi phí phục hồi4. Tạo chiến lược dự phòng. Chiến lược thu hồi cần cẩn thận, đảm bảo rằng hệ thống có thể đượcphục hồi nhanh chóng và hiệu quả sau sự gián đoạn5. Xây dựng kế hoạch dự phòng. Kế hoạch này cần bao gồm các hướng dẫn chi tiết và và thủ tụckhôi phục các thành phần hư hỏng của tổ chức.6. Đảm bảo kiểm thử, đào tạo và thực hiệnkế hoạch. Thử nghiệm xác nhận kết quả (khả năngphục hồi của kế hoạch) đào tạo nhân viên và cải thiện kết quả và chuẩn bị tổ chức tổng thể7. Đảm bảo duy trì kế hoạch, kế hoạch cần đc cập nhật hệ thống và những thay đổi của tổ chức.3. liệt kê và mô tổ các đội trong CP, và vai trò của từng team1. CPMT (contingency planning management team) team : thu thập thong tin hệ thống của tổ chứcvà những mối đe dọa à tổ chức phải đối mặt, thực hiện phân tích hoạt động kinh doanh (BIA), sauđó điều phối các kế hoạch IR, DR, BC. Nhân viên team này bao gồm 3 thành phần:2. Incident response team: nhóm này thực thiện quản lý và thực thi IRP bằng việc phát hiện, đánhgiá và phản ứng các sự cố.3. Disaster Recovery Team: nhóm này thực hiện kế hoạch quản lý và thực hiện kế hoạc DR bằng cáchphát hiện , đánh giá và ứng phó với thiên tai và tái thiết các hoạt động ở cấp cơ sở chính.4. Business Continuous team: nhóm này quản lý và thực hiện kế hoạch BC bằng cách thiết lập và bắtđầu hoạt động bên ngoài trong trường hợp có sự cố hoặc thiên tai4. Liệt kê và mô tả các tiêu chí được sử dụng để xác định liệu một vụ việc thực tế có xảy ra haykhông1. Loss of availability: thông tin hay thông tin hệ thống trở nên không có sẵn2. Loss of integrity: (tính toàn vẹn) người dùng báo cáo những tệp dữ liệu bị hỏng, file rác hay dữliệu có vẻ khác thường( bị hỏng)3. Loss of confidentiality : (tính bảo mật) rò rỉ thông tin nhạy cảm, hay thông tin bí mật bị tiết lộ4. Violation of policy : vi phạm chính sách của tổ chức về giài quyết thông tin hay Infor Sec5. Violation of law or regulation : phá vỡ luật hay tài sản thông tin của tổ chức5. Liệt kê và mô tả các bước IR planning:1. Notification of key personal: sau khi phát hiện xảy ra biến cố, cần thông báo tới những người cólien qua đề giải quyết sự cố : cấp cứu, cứu hỏa, quản lý cấp trên. Một danh sách cảnh báo làmột tài liệu có chứa thông tin liên lạc về cá nhân được thông báo trong trường hợp có sự cốthực sự. có 2 cách liên lạc: tuần tự và cấp bậc.danh sách cảnh báo cần được duy trì, kiểm tra vàtập uyện thường xuyên nếu nó vẫn giữ được hiệu quả.2. Documenting an Incident: tài liệu phải ghi lại who, what, when, where , why và how each actiontrong khi xảy ra biến cố.3. Incident Containment Stratigies: ngăn chặn sự cố và phục hồi các hệ thống bị ảnh hưởng. chiếnlược ngăn chặn bao gồm:-Tắt tài khoản người dùng bị xâm nhập-Cấu hình lại tường lửa để chặn lưu lượng truy cập có vấn đề-Tạm tắt tiến trình hoặc ứng dụng bị xâm nhập-Ngưng ứng dụng hoặc máy chủ đường truyền-Ngừng tất cả các máy tính và thiết bị mạng4. Incident Escalation:Xác định tại thời điểm nào, biến cố sẽ chuyển thành Disaster RECovery, từ đó xác định các côngviệc cần thực hiện trong IRP5. Recovering from Incident:-Phát hiện và khắc phục những tổn thương mà biến cố gây ra cho tổ chức hay hệ thống.-Giải quyết, cái đặt, thay thế hay cập nhật nhựng máy tính, server bị dừng hay ảnh hưởng bởi sựbiến cố-Khôi phục data từ backup, services và processes-Tiếp tục hệ thống giám sát-Khôi phục niềm tin của các thành viên trong tổ chức.6. Thi hành luật pháp:Liệt kê và mô tả các hành động cần được thực hiện trong một lần phản ứng-Lập hồ sơ và thủ tục cần dùng trong cuộc biến cố và phân công cho cá nhân hay nhóm cụ thể.6. danh sách cảnh báo, thông tin cảnh báo, 2 cách cảnh báo-Danh sách cảnh báo là danh sách thông tin các cá nhân hay tổ chức được lưu ý khi 1 biến cố thực sựxảy ra-Thông điệp cảnh báo là mô tả về vụ việc bao gồm đủ thông tin cho mỗi phản hồi, biết đc phần nàokế hoạch IR mà không ảnh hưởng đến quá trình thông báo.-Có 2 loại cảnh báo: tuần tự và cấp bậc:Tuần tự: thông báo cho từng ng 1 trong danh sách cảnh báo, như vậy thì k bị thiếu sót, nhưng tốnthời gian vì chỉ có 1 ng lien lạc tới những ng trong danh sách cảnh báoCấp bậc: gọi cho 1 người, người đó sẽ thông báo cho người được chỉ định, và tiếp tục như thế đếnhết, cách này nhanh hơn, nhưng có thể thiếu sót vì k kiểm soát đc danh sách cảnh báo7. Liệt kê và mô tả một số chiến lược ngăn chặn đưa ra trong văn bản. Về nhiệm vụ nào họ tậptrung?-Một số chiến lược ngăn chặn:Tắt tài khoản người dùng bị xâm nhậpCấu hình lại tường lửa để chặn lưu lượng truy cập có vấn đềTạm tắt tiến trình hoặc ứng dụng bị xâm nhậpNgưng ứng dụng hoặc máy chủ đường truyềnNgừng tất cả các máy tính và thiết bị mạng8. đánh giá thiệt hại là gì, và dùng để làm gì??-Đánh giá thiệt hại là xác định phạm vi xâm hại tính bảo mật, toàn vẹn,, sẵn sàng của thông tin vàđánh giá thông tin .9. Những tiêu chuẩn nào nên được sử dụng khi xem xét liệu có liên quan đến các cơ quan thi hànhluật trong một vụ việc?*Câu này thấy trên lớp th k nói hay sao mà mình k ấn tượng, nên bỏ qua câu này, vs lại tìm tromsách cũng k biết chỗ nào luôn*10. Kế hoạch khôi phục thảm hoạ là gì và tại sao lại quan trọng đối với tổ chức?-disaster recovery plan: khi 1 cuộc biến cố theo thang, thì IR planning k còn có thể giải quyết đc, thìlúc này, kế hoạch khôi phục thiên tai dùng đề đánh giá và khôi phục sự cố sau thiên tai dù là do thiênnhiên hay con người tạo ra.-disaster recovery plan quan trọng vì khi IRP k thẩ khắc phục tình trạng của tổ chức khi có biến cố xảyra, thiết lập lại các hoạt động bình thường của tổ chức , thì DRP là kế hoạch cấn thiết, bời chỉ khikhôi phục đc thiên tai thì mới quyết định là tổ chức có thể tiếp tục hoạt đông hay không11. Liệt kê và mô tả hai thảm hoạ khởi phát nhanh. Liệt kê và mô tả một thảm hoạ chậm khởiphát ???-Rapid-onset disasters: xảy ra bất ngờ, ít cảnh báo trước, ảnh hưởng tới sự sống của con người vàphá hủy sản phẩm, thường xảy ra do thiên nhiên : động đất, lũ lụt, lốc xoáy, …Flood: có thể gây thiệt hại cho toàn bộ hệ thống thông tin của tòa nhà hoặc phá hoại 1 phần của hệthống. cũng có thể gián đoạn hoạt động bằng cách gián đoạn lối ra vào của tòa nhà chứ toàn bộ or 1phần hệ thống thông tin. Có thể giảm nhẹ thiệt hại = bảo hiểm lụ lụt hoặc bảo hiểm gián đoạn kinhdoanh.Earthquake : (động đất) : gây thiệt hại trực tiếp cho tòa nhà chứa hệ thống thông tin, hoặc giánđoạn hoặt động = cách gián đoạn tiếp cận hệ thống trong tòa nhà, có thể giảm nhẹ thiệt hại = bảohiểm.-Slow-onset disaster: ( khởi phát chậm) xảy ra theo time và dần dần giảm khả năng chịu đựng của 1tổ chức, nguyên nhận thường: hạn hán, sa mạc hóa, phá rừng, …Phá rừng: làm ãnh hưởng tới khí hậu nơi tòa nhà chứa hệ thống, từ đó gián đoạn việc tiếp cận hệthống, ảnh hưởng tới không gian lưu trữ hệ thống.12. kế hoạch duy trì hoạt động của tổ chức và vì sao nó quan trọng-BCP đảm bảo tổ chức có thể hoạt động khi có thiên tai xảy ra.13. phân tích hoạt động kinh doanh là gì ( BIA)-BIA là thu thập thông tin, dữ liệu, hoạt động của tổ chức để phân tích, từ đó có thể đưa ra các kếhoạch CONTINGENCY phù hợp.14. tại sao kế hoạch tiếp tục hđ cần được kiểm tra và tập luyện?? (câu mình mình chém đấy nhé!!! Ýtự đúc kết ra thôi)-BCP cần được kiểm tra và tập luyện vì khi có sự cố xảy ra leo thang tới mức thảm họa, thì BCP là cơhội để tổ chức có thể khôi phục hoạt động của mình, nếu BCP k phù hợp hay thất bại, nó sẽ ảnhhưởng tới sự tồn tại của hoạt động, bởi khi bị thiên tai, nếu torng time quá lâu mà tổ chức k hoạtđộng lại bình thường thì tổ chức đó có thể xem như bị biến mất.CHƯƠNG 4: Security Policy and StandardsCâu 1: Chính sách an ninh thông tin là gì? Tại sao lại quan trọng cho sự thành công của chươngtrình InfoSec?- Chính sách an ninh thông tin là hướng dẫn bằng văn bản do cơ quan quản lý cung cấp để thôngbáo cho nhân viên và những người khác trong môi trường làm việc về những hành vi thích hợp liênquan đến việc sử dụng thông tin và tài sản thông tin. Chính sách này được thiết kế để cung cấp cấutrúc tại nơi làm việc và giải thích ý định của quản lý tổ chức trong việc kiểm soát hành vi của nhânviên đối với việc sử dụng thông tin và các nguồn thông tin phù hợp và an toàn. Chính sách đượcthiết kế để tạo ra một môi trường làm việc có năng suất, có hiệu quả, tránh những hành độngkhông cần thiết hoặc không thích hợp trong môi trường làm việc.Chính sách là một nền tảng thiết yếu của chương trình Infosec hiệu quả • Sự thành công của mộtchương trình bảo vệ tài nguyên thông tin phụ thuộc vào chính sách tạo ra, và về thái độ quản lý đểđảm bảo thông tin trong các hệ thống tự động.-Chính sáng được tảo ra phải đảm bảo giảm rủi ro,tuân thủ pháp luật và quy định, đảm bảitính liên tục trong hoạt động, toàn vẹn thông tin và bí mật.Câu 2: Trong các biện pháp kiểm soát hoặc biện pháp nào được sử dụng để kiểm soát rủi ro củaInfoSec, được coi là ít tốn kém nhất? Chi phí chính của loại hình kiểm soát này là gì?Chính sách của INFOSEC ít tốn kém, nhưng khó thực thi và thực hiện hơn. Thời gian và nỗ lực củanhân viên.Câu 3: Liệt kê và mô tả ba thách thức trong việc định hình chính sách ( những yếu tố cơ bản ).- Chính sách không được mâu thuẩn với pháp luật. Chính sách nếu trãi với pháp luật sẽ không đượcxem là có tác dụng thậm chí sẽ vi phạm pháp luật nếu bị truy cứu .- Chính sách phải có giá trị pháp lý khi bị kiện.- Chính sách phải được hỗ trợ và thực hiện đúng.- Đóng góp vào sự thành công của tổ chức- Liên quan đếnngười dùng cuối và hệ thống thông tinCâu 4: Liệt kê và mô tả ba hướng dẫn về chính sách hợp lý, theo như Bergeron và Bérubé.- Tất cả các chính sách phải đóng góp vào sự thành công của tổ chức- Người quản lý phải đảm bảo chia sẻ trách nhiệm sử dụng đúng hệ thống thông tin- Người sử dụng cuối của hệ thống thông tin cần được tham gia vào các bước xây dựng chính sách :quá nhiều chính sách hoặc chính sách quá phức tạp có thể làm giảm sự hài lòng của người dùngcuối.Câu 5: Mô tả mô hình bull’s-eye.Policies - lớp bảo vệ đầu tiênNetworks - mối đe dọa đầu tiên về mạng của tổ chứcSystems - máy tính và hệ thống sản xuấtApplication- tất cả các ứng dụng hệ thốngCâu 6: Chính sách khác với tiêu chuẩn theo cách nào?Chính sách là các kế hoạch hoặc các hành động cụ thể nhằm gây ảnh hưởng,quyết định, hànhđộng.. về 1 vấn đề nào đó.Tiêu chuẩn là những tuyên bố chi tiết về việc phải làm gì để tuân thủ một chính sách nhất định. Việcsử dụng các tiêu chuẩn là một cách để thực hiện các chính sáchThực tiễn, thủ tục và hướng dẫn: giải thích cách thức nhân viên tuân thủ chính sáchCâu 9: Chính sách có được coi là tĩnh hoặc động? Những yếu tố nào có thể xác định tình trạng này?Một chính sách có thể được coi là tĩnh hoặc động dựa vào bối cảnh của nó. Các quy tắc và tiêuchuẩn của một chính sách nên được giữ nguyên và duy trì khi chúng được thiết lập, và không đượcuốn cong hoặc bỏ qua để có lợi cho lợi ích cá nhân. Mặt khác, các chính sách nên động để họ có thểthay đổi theo thời gian và không trở nên lỗi thời và vô dụng; họ nên tiến triển với công ty và mụctiêu của công ty.Câu 10: Liệt kê và mô tả ba loại chính sách của InfoSec như được mô tả bởi NIST SP 800-14.- Loại chính sách an ninh thông tin đầu tiên được NIST SP 800-14 mô tả là chính sách an ninh thôngtin doanh nghiệp (EISP). EISP được sử dụng để xác định phạm vi, giai điệu và định hướng chiến lượccho một công ty và tất cả các chủ đề bảo mật bên trong. Chính sách này phải trực tiếp phản ánh cácmục tiêu và sứ mệnh của công ty.- Thứ hai là chính sách bảo mật cho từng vấn đề cụ thể (ISSP). ISSP được sử dụng để hướng dẫnnhân viên sử dụng các loại công nghệ cụ thể (như e-mail hoặc sử dụng Internet). Chính sách này nênđược thiết kế cẩn thận để bảo vệ mã đạo đức của công ty, đồng thời cung cấp cho nhân viên mộtdanh sách chi tiết để đảm bảo họ hiểu được chính sách và nó mang lại lợi ích cho công ty như thếnào.- Chính sách cuối cùng là chính sách bảo mật hệ thống cụ thể (SysSP). SysSP nên được thiết kế và tạora để tập trung vào một loại hệ thống cụ thể (như tường lửa). Nó sẽ cung cấp một hướng dẫn choviệc thực hiện và các tiêu chuẩn mà theo đó các hệ thống này được cấu hình và duy trì.Câu 11: Mục đích của EISP là gì?-Thiết lập định hướng chiến lược, phạm vi và tone for nỗ lực của tổ chức ATTTPhân công trách nhiệm cho các lĩnh vực khác nhau của infosecHướng dẫn phá triển, thực hiện và quản lý những yêu cầu của chương trình infosec.-----------------Các tài liệu EISP cần cung cấp: • Tổng quan về triết lý doanh nghiệp về an ninh • Thông tin về vai tròcủa tổ chức & infosec: - Trách nhiệm bảo mật được chia sẻ bởi tất cả các thành viên của tổ chức Trách nhiệm bảo mật đối với mỗi vai trò của tổ chức.Các thành phần của EISP• Tuyên bố về Mục đích: What the policy is for• Các yếu tố bảo mật công nghệ thông tin: Định nghĩa thông tin infosec• Nhu cầu bảo mật cntt : nêu lênh tầm quan trọng của infosec trong tổ chức• Trách nhiệm và Vai ttrò của bảo mật cntt :Xác định cấu trúc tổ chức• Tham khảo Các tiêu chuẩn và hướng dẫn công nghệ thông tinCâu 12: Mục đích của ISSP là gì?Cung cấp hướng dẫn chi tiết và mục tiêu chi tiết để hướng dẫn tổ chức sử dụng an toàn các hệthống công nghệ • Bắt đầu với giới thiệu về triết lý công nghệ cơ bản của tổ chức • Phục vụ nhânviên và tổ chức từ sự thiếu hiệu quả / mơ hồ • Tài liệu về cách kiểm soát hệ thống dựa trên côngnghệ kiểm soát này • Phục vụ cho tổ chức chống lại trách nhiệm pháp lý đối với việc sử dụng hệthống không phù hợp hoặc bất hợp phápCâu 13: Mục đích của SysSP là gì?Một chính sách bảo mật cụ thể cho từng hệ thống được thiết kế để xác định và chi tiết các tiêuchuẩn hoặc thủ tục được sử dụng khi cấu hình hoặc bảo trì các hệ thống.Câu 14: Các giá trị, sứ mệnh và mục tiêu của tổ chức phải được tích hợp vào mức độ nào vào cácvăn bản chính sách?Các giá trị, sứ mệnh và mục tiêu tổ chức phải là một phần trung tâm của bất kỳ văn bản chính sáchnào. Mục tiêu của bất kỳ chính sách an ninh nào nên là để hỗ trợ các giá trị tổng thể và mục tiêu củamột tổ chức và cần được thực hiện để giải quyết hành vi của người trong tổ chức theo cách hỗ trợbảo mật thông tin.Câu 15: Liệt kê và mô tả bốn yếu tố cần có trong EISP.Câu 16: Liệt kê và mô tả ba chức năng mà ISSP phục vụ trong tổ chứcTuyên bố về Mục đích - chính sách dành choCác yếu tố an ninh công nghệ thông tin - Xác định an ninh thông tinCần cho An ninh Công nghệ thông tin - Giải thích tầm quan trọng của an ninh thông tin trong tổ chứcTrách nhiệm và Vai trò An toàn Công nghệ thông tin - Xác định cấu trúc tổ chứcCâu 17: Cần phải là thành phần đầu tiên của ISSP khi nó được trình bày? Tại sao? Gì phải là thànhphần chính thứ hai? Tại sao?ISSP nên bắt đầu với một tuyên bố về mục đích phác thảo các mục tiêu của nó, những người chịutrách nhiệm về chính sách vạch ra, và công nghệ mà nó đang được giải quyết. Để một chính sách cóhiệu quả, nó phải có một khuôn khổ tổng thể trước khi các bước chi tiết có thể được phác thảo.Nhóm thứ hai cần đề cập đến những người được phép có quyền truy cập vào công nghệ.Mức độ an toàn được dựa trên mức độ rủi ro nếu thông tin bị xâm nhập; do đó, điều quan trọng làxác định ai cần quyền truy cập vào một số thông tin hoặc hệ thống nhất định.Câu 18: Liệt kê và mô tả ba cách phổ biến trong đó các tài liệu ISSP được tạo ra và/hoặc quản lý.Chính sách có thể được tạo ra để quản lý một vấn đề cụ thể, chẳng hạn như sử dụng Internet tại nơilàm việc. Các chính sách có thể được tạo ra với mục đích bao gồm tất cả các vấn đề, đưa ra chínhsách rộng và rộng hơn để thực hiện và thực thi. Các chính sách có thể được viết bằng cách tiếp cậnmô đun, cho phép họ tập trung chủ đề chi tiết để giải quyết các vấn đề trong một bộ phận có tráchnhiệm trong khi vẫn cho phép các thủ tục do trung tâm quản lý và chủ đề bảo hiểm.Câu 19: Liệt kê và mô tả hai nhóm tài liệu chung được bao gồm trong hầu hết các tài liệu SysSP.Hai loại tài liệu bao gồm trong chính sách hệ thống cụ thể là:- Hướng dẫn quản lý để hướng dẫn thực hiện và cấu hình của công nghệ và giải quyết các hành vicủa người sử dụng để đảm bảo sự an toàn của thông tin.- Các đặc điểm kỹ thuật, có mục đích là tạo ra một chính sách quản lý để chuyển đổi mục đích quảnlý để kiểm soát kỹ thuật thành một cách tiếp cận kỹ thuật thực thi.Câu 20: Liệt kê và mô tả ba cách tiếp cận để phát triển chính sách trình bày trong chương này. Theoý kiến của bạn, phù hợp nhất để sử dụng bởi một tổ chức nhỏ hơn và tại sao? Nếu tổ chức mục tiêulớn hơn nhiều, cách tiếp cận nào sẽ phù hợp hơn và tại sao?Ba cách tiếp cận chính sách là chính sách an ninh thông tin doanh nghiệp, chính sách bảo mật cụ thểcho từng vấn đề và chính sách dành riêng cho hệ thống. EISP có phạm vi rộng, bao gồm và xác địnhcác lĩnh vực trách nhiệm và thực hiện lớn. ISSP được thiết kế theo ý định của tổ chức về cách sửdụng một hệ thống dựa trên công nghệ nào đó. Chính sách hệ thống cụ thể được viết nhiều hơnnhư một tiêu chuẩn và thủ tục được sử dụng trong cấu hình của một hệ thống. Một tổ chức lớn sẽcần một chính sách được viết theo các dòng của EISP để bao quát tất cả các hệ thống khác nhau vànhu cầu bảo mật thông tin. Ví dụ, nhà thầu chính phủ có thể có một chính sách rất chi tiết để bảo vệthông tin bí mật khi nó được yêu cầu bởi khách hàng, chính phủ liên bang. Một công ty nhỏ hơn, nóirằng một nhà hàng, chỉ có thể cần một hệ thống để giúp theo dõi việc bán hàng, hàng tồn kho và hồsơ lao động hàng ngày. Tất cả các hồ sơ này có thể được bảo mật, nhưng có thể dễ dàng được xử lýbởi một chính sách như SysSP.CHƯƠNG 5: PHÁT TRIỂN CHƯƠNG TRÌNH BẢO MẬTCâu 1: Chương trình InfoSec là gì?- Chương trình InfoSec (Information Security): Mô tả cấu trúc và tổ chức của một nỗ lực có chứa rủi ro đối với tàisản thông tin của cơ quan... Nó là một bộ quy tắc về các chính sách, thủ tục, hướng dẫn, tiêu chuẩn về an ninhthông tin nhằm cung cấp lộ trình thực tiễn cho việc kiểm soát quản lý an ninh thông tin.Câu 2: Những chức năng (yếu tố) nào cấu thành một chương trình InfoSec hoàn chỉnh?- Risk Management, Risk Assessment, Systems Testing, Policy, Legal Assessment, Incident Response, Planning,Measurement, Compliance, Centralized Authentication, Systems Security Administration, Training, NetworkSecurity Administration, Vulnerability Assessment.Câu 3: Yếu tố quyết định cấu trúc một chương trình InforSec- Văn hóa của tổ chức (cơ quan), Quy mô, Ngân sách cho nhân sự bảo mật, Ngân sách vốn dành cho vấn đề anninh.Câu 4: Quy mô điển hình của nhân viên an ninh trong một tỏ chức nhỏ/trung bình/lớn/rất lớn?-Tổ chức nhỏ:- Tổ chức trung bình:- Tổ chức lớn- Tổ chức rất lớn:Câu 5: Một tổ chức có thể đặt đơn vị bảo mật thông tin ở đâu? Nơi nào nên và không nên?- Một số đề nghị bao gồm các phòng: IT, Security, Administrative Services, Insurance and Risk Management,Strategy and Planning, Legal Department , Internal Audit, Help Desk, Accounting and Finance through IT, HumanResources, Facilities Management, Operations- Nên: IT, Administrative Services, Insurance and Risk Management, Legal department, or Operations- Không nên: Security, Internal auditing, Help desk, Accounting and finance, Human resources, Facilitiesmanagement.Câu 6: 4 lĩnh vực được phân chia trong InfoSec dựa theo chức năng?- Lĩnh vực được thực hiện bởi đơn vị kinh doanh phi công nghệ, bên ngoài CNTT: pháp lý, đào tạo- Lĩnh vực được thực hiện bởi nhóm công nghệ thông tin nhưng không thuộc an ninh thông tin: Quản trị mạng/hệthống- Lĩnh vực được thực hiện bởi bộ phận an ninh thông tin điển hình như phòng dịch vụ khách hàng: Đánh giá rủi ro;thử nghiệm hệ thống; ứng phó sự cố- Lĩnh vực được thực hiện bộ phận an ninh thông tin điển hình như compliance: Chính sách, complianceCâu 7: Các vai trò giả định của một chuyên gia an ninh thông tin?- Trường phòng an ninh thông tin (CISO), Kĩ thuật viên an ninh, Quản lý an ninh, Quản trị viên an ninh và phân tích,Nhân viên an ninh.Câu 8: 3 lĩnh vực trong chương trình SETA?- Giáo dục an ninh, Đào tạo an ninh, Nhận thức an ninhCâu 9: Điều gì ảnh hưởng đến hiệu quả của một chương trình đào tạo?- Chương trình đào tạo phải được điều chỉnh phù hợp với người tiếp cận và cách thức truyền tải nội dung đếnngười tiếp cận kiến thức.Câu 10: Một số cách để thực hiện một chương trình nâng cao nhận thức?- Thông qua tờ rơi, bản tin, video, áp phích quảng cáo, bài giảng, hội nghị, webste, (trinkets security)..Câu 11: Vị trí của InforSec trong một tổ chức:- Trong một tổ chức lớn, InforSec thường đặt trong bộ phận IT, điều hành bởi CISO hoặc trưởng điều hành bộphận hay CIO. Về bản chất thì chương trình InforSec thường trái với một tiêu của bộ phận IT hoặc là toàn thể.- Xảy ra mâu thuẫn giữa các mục tiêu của CIO/CISO- Thách thức của 1 chương trình InforSec là thiết kế cấu trúc report như thế nào để đạt được một cấu trúc cânbằng.Câu 12: Phân loại các vị trí trong chương trình InforSec điển hình:- Những người xác định: cung cấp các chính sách, hướng dẫn và tiêu chuẩn. Họ là những người tư vấn và đánh giárủi ro, người phát triển sản phẩm và kiến trúc kỹ thuật. Đây là những người có kiến thức rộng nhưng thườngkhông có chiều sâu.- Những người xây dựng: Họ là những người tạo ra và cài đặt các giải pháp bảo mật.- Những người quản lý: những người điều hành và quản lý công cụ bảo mật, chức năng giám sát an ninh, thườngxuyên nâng cao cải tiến phần mềm.Câu 13: Mục tiêu của SETA?- Nhầm nâng cao chất lượng an ninh bằng cách:+ Xây dựng hệ thống kiến thức chuyên sâu cần thiết để thiết kế, vận hành chương trình an ninh cho tổ chức và hệthống.+ Phát triển kĩ năng cũng như kiến thức để người dùng máy tính sử dụng một hệ thống IT an toàn thực hiện côngviệc của họ.+ Nâng cao nhận thức sự quan trọng của việc bảo vệ tài nguyên hệ thống.-So sánh:Đặc tínhLevelNhận thứcDạy cho NV biếtbảo mật là gì và cầnlàm gì trước 1 tìnhhuống nào đóCung cấp thông tincơ bảnTranningĐạo tạo các kĩ năngvà năng lực để ứngphó trước 1 vấn đềCung cấp chi tiếthơn về những điềucần làm trước 1EducationDạy cho người trong tổ chức hiểu sâu tạisao cần phải chuẩn bị những phản ứngtrước rủi ro? Làm bằng cách nào và làm gìtrước 1 mối đe doạCung cấp nền tảng và kiến thức sâu rộngđể có cái nhìn sâu sắc về vấn đề và cảithiện chính sách, vấn đềPhương pháp dạyVideo,Poster,Đạotạo không chínhthứcĐánh giáThời gianTrắc nghiệmNgắn hạnmối đe doạĐạo tạo chínhthức,workshop,pracetice,giảiquyết vấn đềGìi3 quyết vấn đềNgay lập tứcHướng dẫn về lý thuyết, kiến thức nềntảng, bàn luận thảo luận về những kiếnthức chuyên sâu, hội thảo, những cuộcthảo luậnTiểu luậnDày hạnChương 8: Quản lý rủi ro: Xác định và đánh giá rủi ro1.Quản lý rủi ro là gì?- Là quá trình xác định những lỗ hỏng trong hệ thống thông tin của tổ chức và thực hiện các bước để đảm bảorằng những thiệt hại do nó gây ra ở 1 mức độ có thể chấp nhận được đối với 1 tổ chức nào đó.2.Các lĩnh vực quan trọng cần quan tâm trong việc quản lý rủi ro:- Xác định tài sản thông tin của tổ chức như người dùng, dữ liệu, phần cứng, phần mềm, các yếu tố về mạng ( IP,MAC, thiết bị mạng...)...- Phân loại tài sản [vd thiết bị mạng ( router switch hub) , thiết bị bảo vệ ( tường lửa,proxy) ... hay phân loại theomức đô nhạy cảm và bảo mật của thông tin chẳng hạn thông tin được công khai, sữ dụng trong nội bộ hoặcthông tin bí mật]- Đánh giá giá trị của tài sản theo tầm quan trọng của tài sản đó ( tài sản nào ảnh hưởng đến doanh thu nhất? Tàisản nào đắt nhất, tài sản nào giữ nhiều thông tin quan trọng và nhạy cảm nhất ... )3.Tại sao phải xác định rủi ro, thông qua danh sách tài sản và những lỗ hỏng của chúng, quá trình quản lý rủi rocó quan trọng hay không ?- Nó giúp xác định các lĩnh vực rủi ro còn thiếu sót hoặc không cần thiết được. Việc này giúp cải thiện trạng tháian toàn chung trong tổ chức và rút ngắn được thời gian và mang lại tính hiệu quả cho việc quản lý rủi ro. Đây làmột quá trình quan trọng để đảm bảo những thông tin được bảo mật và giảm thiểu những thiệt hại khônglường trước được.4.Theo Sun Tzu, cần phải đạt được hai điều gì để giữ an toàn cho tài sản thông tin?- Knowing our environment xác định, kiểm tra và hiểu về tài sản thông tin và cách thức chúng được lưu trữ, đượctruyền đi và được xử lý.- Knowing the enemy : xác định những mối đe doạ đến tài sản thông tin của tổ chức và bảo mật thông tin tài sảncủa tổ chức5.Ai chịu trách nhiệm trong việc quản lý rủi ro của một tổ chức:- Bộ phận an toàn thông tin, Bộ phận IT và người quản lý đều giữ vai trò quan trọng trong việc đảm bảo an toàncho những thông tin nhạy cảm. Trong đó Bộ phận an toàn thông tin là bộ phận trực tiếp chịu trách nhiệm nàydưới sự kiểm soát của 2 bộ phận còn lại.- ------------------------Trách nhiệm đối quản lý rủi ro• Tất cả các cộng đồng quan tâm phải làm việc cùng nhau:- Đánh giá kiểm soát rủi ro; Xác định lựa chọn kiểm soát nào có hiệu quả về chi phí; Mua hoặc cài đặt những kiểmsoát thích hợp;Giám sát các quy trình để đảm bảo rằng kiểm soát vẫn còn có hiệu lực; Xác định rủi ro;Đánh giá rủiro;Tóm tắt kết quả------------Kiểm soát truy cập: Kiểm soát 1 cách đặc biệt những truy cập cho phép người dùng vào 1 khu vực đáng tin cậynào đó của tổ chức. Các khu vực này có thể bao gồm hệ thống thông tin, các khu vực hạn chế về vật lý như phòngmáy tính thậm chí là toàn bộ tổ chức. Qúa trình này được kết hợp với chính sách, chương trình và kĩ thuậtCác loại : Mandatory Access Control , Access Control Matrix, Access Control List, Capabilities6.Trong các chiến lược quản lý rủi ro, tại sao kiểm tra định kỳ là một phần của quá trình này?- Nó được sử dụng như một kiểm tra & cân bằng hệ thống để đảm bảo hệ thống hoạt động tốt hoặc nếu có vấnđề có thể khắc phục một cách nhanh chóng.7.Tại sao các thành phần mạng cần được kiểm tra nhiều hơn từ quan điểm an ninh thông tin so với quan điểmphát triển hệ thống?- Bởi vì các thành phần mạng là nơi dễ dàng khai thác thông tin ngay cả bên trong và bên ngoài hệ thống, nó giữvai trò quan trọng trong việc đảm bảo thông tin nội bộ không được khai thác hoặc bị gửi ra ngoài hệ thống.8.Thuộc tính thông tin nào ít khi hoặc không bao giờ được áp dụng cho phần tử phần mềm? - Các địa chỉ IP9.Thuộc tính thông tin nào thường có giá trị lớn đối với thiết bị mạng khi DHCP không được sử dụng? - Địa chỉMAC10.Khi lập hồ sơ thủ tục, tại sao nó rất hữu ích để biết nơi mà các phiên bản điện tử (electronic versions)được lưu trữ?- Người dùng được ủy quyền phải có khả năng dễ dàng định vị các tài liệu có giá trị đối với họ. Phiên bản điện tửcho phép bạn chỉnh sửa hoặc sao chép các tài liệu thủ tục quan trọng để phân phối. Ngoài ra, bạn có thể cậpnhật chúng vào một thời gian sau nếu thủ tục được sửa đổi.11.Điều gì là quan trọng hơn đối với kế hoạch phân loại tài sản thông tin?– Mỗi tài sản chỉ được xếp trong 1 loại ( độc nhất ) và tất cả các tài sản đều được phân loại (toàn diện)12.Sự khác biệt giữa khả năng tạo ra doanh thu và khả năng tạo ra lợi nhuận của một tài sản là gì?- Tài sản tạo doanh thu nghĩa là tài sản đang đóng vai trò lớn nhất, vai trò quan trọng nhất trong sản phẩm hoặcdịch vụ chính của tổ chức. Một tài sản tạo ra lợi nhuận liên quan trực tiếp đến một sản phẩm hoặc dịch vụ chínhmà tổ chức đang bán.13.Một chương trình phân loại dữ liệu nên bao gồm bao nhiêu loại? Tại sao?- Tuỳ vào nhu cầu khác nhau của mỗi tổ chức. Một số tổ chức như quân đội sử dụng các chương trình phức tạp,trong khi một số khác sử dụng ít hơn khoảng 3-5. Do số lượng tài sản khác nhau nên việc phân loại cũng trở nênkhác nhau.14.Có bao nhiêu loại mối đe dọa được liệt kê trong chương này?- 12 mối đe doạ. Cố ý tấn công phần mềm và lỗi kỹ thuật phần mềm hoặc lỗi. Virus và sâu làm tràn mạng côngcộng. Hàng nghìn vụ tấn công BotNet diễn ra hàng ngày. Với sự phát triển mã nguồn mở và triển khai phần mềmngày càng nhiều, lỗi và lỗi phần mềm đang tạo ra một mối đe dọa an ninh ngày càng tăng.15.Các lỗ hổng bảo mật là gì?- Đó là những lỗi, lỗ hỏng có thể khai thác để tấn công một tài sản thông tin; thường là một lỗ hổng hoặc điểmyếu trong một tài sản thông tin, quy trình, thiết kế, hoặc kiểm soát an ninh có thể là vô tình hoặc nhằm mục đíchvi phạm an ninh.16.Mô tả bảng tính TVA. Cái này được dùng để làm gì?- Đây là điểm khởi đầu cho việc đánh giá rủi ro. Sau khi danh sách mối đe dọa / lỗ hổng tài sản được thực hiện,hai danh sách được kết hợp để tạo ra một biểu đồ hai chiều cung cấp phương pháp thuận tiện hoặc kiểm tramức độ tiếp xúc của tài sản, cho phép đánh giá dễ bị tổn thương đơn giản.17.Kiểm tra công thức rủi ro đơn giản nhất và công thức rủi ro được trình bày trong chương này. Có các côngthức khác không và nếu có, khi nào chúng được sử dụng?- Các công thức khác sẽ tồn tại trong tương lai sau khi các mối đe dọa mới được tạo ra và rủi ro tiến triển. Côngthức phải phù hợp với từng mối đe dọa mới và giảm thiểu rủi ro cho phù hợp.LECTURE 8: RISK MANAGENMENT: CONTROL RISK1. What is competitive advantage? How has it changed in the years since the IT industry began?(Lợi thế cạnh tranh là gì? Nó đã thay đổi như thế nào trong những năm qua kể từ khi ngành côngnghiệp công nghệ thông tin bắt đầu?)-Lợi thế cạnh tranh là mô hình, phương pháp, hoặc kĩ thuật của 1 doang nghiệp được thiết lập ra đểdoanh nghiệp tạo ra những sản phẩm, dịch vụ vượt trội trong 1 số lĩnh vực hay quyết định.-Ngành công nghệ thông tin ra đời từ mô hình lợi thế cạnh tranh. Ngành CNTT có sẵn , hầu hết các tổchức đều đầu tư CNTT để doanh nghiệp của mình có thể phản ứng nhanh với các thay đổi trên thitrường (hòa nhập nhanh)2. What is competitive disadvantage? Why has it emerged as a factor?(bất lợi cạnh tranh là gì, tại sao nó nổi lên như 1 nhận tố??)-Bất lợi cạnh tranh: tổ chức bị tụt hậu, làm tổ chức không hấp thụ các công nghệ mới của thị trường,-Bất lợi về cạnh tranh khiến các tổ chức k những k duy trì lợi thế, mà còn làm ảnh hưởng tới thị trườngcủa mình, k thề duy trì các dịch vụ hiện tại của doanh nghiệp.3. What are the five risk control strategies presented in this chapter?( 5 chiến lược kiểm soát rủi ro là gì??)4.-Phòng thủ : áp dụng biện pháp bảo vệ để loại bỏ hoặc giảm thiểu rủi ro không kiểm soát được-Chuyển (transferal) : chuyển rủi ro sang các khu vực khác hoặc cho các thực thể bên ngoài-Giảm nhẹ: Giảm ảnh hưởng đến tài sản thông tin nếu kẻ tấn công khai thác một lỗ hổng thành công-Chấp nhận: Hiểu được hậu quả của việc chọn lưa để loại nguy cơ không kiểm soát được, và sau đó xácđịnh đúng rủi ro mà mình không có khả năng kiểm soát-Chấm dứt: loại bỏ hoặc ngưng tài sản thông tin từ hoạt động của tô chức.mô tả chiến lược phòng thủCó 3 phương pháp phổ biến:5.-Áp dụng chính sách: điều này cho phép các mức quản lý phải tuân theo chỉ định( chính sách)-Áp dụng đào tạo và giáo dục: thông tin chính sách mới hay sửa đổi chính sách đối với nhân viện có thểkhông đầy đủ để nhân viện thực hiện theo. Vì thế, đào tạo và giáo dục là điều cấn thiết để tạo ra mộtmôi trường tổ chức an toàn và kiểm soát hơn và để đạt được những thay đổi cần thiết trong hành vicủa end-users.-Thực hiện công nghệ: đối với InfoSec, kiểm soát kỹ thuật và các biện pháp tự vệ thường được yêu cầuđể giảm rủi ro hiệu quảmô tả chiến lược chuyển đổiMục tiêu này có thể được thực hiện bằng cách xem xét lại cách cung cấp dịch vụ, sửa đổi mô hình triểnkhai, thuê các tổ chức bên ngoài, mua bảo hiểm hoặc thực hiện các hợp đồng dịch vụ với nhà cung cấp6.mô tả chiến lược giảm nhẹChiến lược này là kiêm soát để giảm rủi ro bằng việc lập ra các kế hoạch và chuẩn bị cho những thiệt hạigây ra bởi sự cố hoặc thiên tai. Bao gồm 3 kế hoạch ( Incident Response, Disaster Recovery, BusinessContinuity)7. miêu tả chiến lược chấp nhậnquyết định không làm gì để bảo vệ tài sản thông tin khỏi rủi ro và chấp nhận kết quả từ bất kỳ sự khai thácnào. Nếu tổn thất nằm trong phạm vi tổn thất mà tổ chức có thể chấp nhận hoặc - nếu lợi ích của kẻ tấncông chi phí ít hơn dự kiến của cuộc tấn công8. Describe residual risk. (mô tả rủi ro còn sót lại )Là rủi ro không được loại bỏ hoàn toàn hoặc thay đổi hay lên kế hoạch.Khi một lỗ hổng tồn tại: Khi một lỗ hổng tồn tại: - Thực hiện kiểm soát an ninh để giảm nguy cơ bị tổnthương - Khi lỗ hỏng có thể được khai thác: kiểm soát theo lớp để giảm thiểu rủi ro hoặc ngăn ngừa sựxuất hiện - Khi lợi ích được của kẻ tấn công lớn hơn chi phí của tấn công: - Áp dụng các biện pháp bảo vệđể tăng chi phí của kẻ tấn công, hoặc giảm lợi ích của sự tấn công của người tấn công, sử dụng các kiểmsoát kỹ thuật hoặc quản lý • Khi có khả năng mất mát đáng kể : - Áp dụng các kiểm soát đã thiết kế đểhạn chế mức độ tấn công, do đó giảm khả năng mất mátMột khi chiến lược kiểm soát được lựa chọn và thực hiện, các kiểm soát cần được theo dõi và đo lườngliên tục để xác định hiệu quả của chúng và để duy trì ước tính liên tục về nguy cơ còn lại.Các kiểm soát có thể là 1 trong 4 loại:- Control function: Preventive controls : dừng các nỗ lực để khai thác lỗ hỏng bằng cách thực thi những-chính sách an ninh của tổ chưc hoặc sữ dụng quy trình kĩ thuật và 1 số phương tiện kỹ thuậ ; Detectivecontrol : Cảnh báo về những vi phạm nguyên tắc bảo mật, chính sách hoặc khai thác lỗ hỏng. Sữ dụngcác kỹ thuật như phát hiện xâm nhập,giám sát cấu hìnhArchitectural layor : 1 vài kiểm sáot được áp dụng 1 hoặc nhiều layer của kiến trúc kỹ thuật của tổchức. Các lớp này có thể bao gồm : Các chính sách về tổ chức, mạng bên ngoài và extrenerts ,Demilitarized zones , Mạng nội bộ , các thiết bị nối mạng, hệ thống và ứng dụng..Strategy layer: Việc kiểm soát đôi khi được phân theo loại rủi ro: tránh,giảm nhẹ, chuyển đổi.Infomation Security Principle( nguyên tắc ) : Kiểm soát rủi ro hoạt động trong 1 hay nhiều nguyên tắcchung về ATTT được chấp nhận như : Bảo mật, toàn vẹn,khả dụng, xác thực, uỷ quyền. K thể chối bỏ,riêng tư.9. What four types of controls or applications can be used to avoid risk?(4 loại kiểm soát hay ứng dụng có thể được sử dụng đề tránh rủi ro)-Control function, Architectural Layer, Strategy Layer, and Information Security Principle.( chức năng điều khiển, lớp kiến trúc, lớp chiến lược, nguyên tắc an toàn thông tin).10. Describe how outsourcing can be used for risk transference.( mô thả cách outsouring có thể được sử dụng để chuyển rủi ro)Gia công phần mềm có thể được sử dụng để chuyển giao rủi ro khi một tổ chức chọn thuê một ISP hoặcmột tổ chức tư vấn để cung cấp sản phẩm và dịch vụ cho họ như mua và cấu hình máy chủ, thuêwebmaster, quản trị hệ thống web và thậm chí các chuyên gia bảo mật chuyên biệt. Điều này cho phép tổchức chuyển rủi ro liên quan đến việc quản lý các hệ thống phức tạp này cho một tổ chức khác có kinh