Bảng câu hỏi điều tra tổng hợp tình hình an toàn thông tin
Trang 1BẢNG CÂU HỎI ĐIỀU TRA TỔNG HỢP TÌNH HÌNH
AN TOÀN THÔNG TIN (ATTT) PHẦN 1: THÔNG TIN CHUNG
I THÔNG TIN VỀ ĐƠN VỊ ĐƯỢC KHẢO SÁT:
1 Tên đơn vị: ……… ………… ………….……
2 Địa chỉ:
3 Điện thoại:………
II THÔNG TIN VỀ CÁN BỘ ĐIỀN PHIẾU KHẢO SÁT: 1 Họ và tên:………
2 Chức vụ:………
3 Bộ phận công tác:………
4 Điện thoại:……….…
5 Email:………
PHẦN 2: HIỆN TRẠNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN
I Số liệu thống kê về phần mềm bản quyền tại các đơn vị:
ST
T Tên thiết bị
Số lượng Phần mềm có bản quyền Phần mềm nguồn mở Phần mềm
tự do, miễn phí khác
Có bản quyền bản quyềnKhông
Nhu cầu trong thời gian tới
Hiện đang
sử dụng
Nhu cầu trong thời gian tới
I Máy chủ
1 Hệ điều hành
2 Hệ quản trị cơ sở dữ
liệu
3 Phần mền máy chủ
ứng dụng(application
server, web server,
email server,
groupware)
4 Phần mềm an ninh,
bảo mật, công cụ
quản trị mạng
5 Phần mềm khác
II Máy trạm
1 Hệ điều hành
2 Microsoft office 2003
3 Microsoft office 2007
4 Phần mềm văn phòng
khác
5 Phần mềm quản trị cơ
sở dữ liệu (nếu có)
6 Phần mềm công cụ
và ứng dụng khác
Trang 2(trình duyệt web,
antivirus, từ điển, bộ
gõ tiếng việt….)
7 Phần mềm khác
III Máy sách tay
1 Hệ điều hành
2 Microsoft office 2003
3 Microsoft office 2007
4 Phần mềm văn phòng
khác
5 Phần mềm hệ quản trị
cơ sở dữ liệu (nếu có)
6 Phần mềm công cụ
và ứng dụng khác
(trình duyệt web,
antivirus, từ điển, bộ
gõ tiếng việt….)
7 Phần mềm khác
Ghi chú:
(1) Số máy tính hiện đang cài đặt và sử dụng phần mềm do mua bản quyền mà có;
(2) Số máy tính hiện đang cài đặt và sử dụng phần mềm thương mại có yêu cầu bản quyền nhưng không mua bản quyền mà cài đặt, sử dụng phần mềm bẻ khóa;
(3) Số máy tính có nhu cầu cài đặt và sử dụng phần mềm do mua bản quyền mà có trong thời gian tới;
(4) Số máy tính hiện đang cài đặt cà sử dụng phần mềm nguồn mở;
(5) Số máy tính có nhu cầu cài đặt và sử dụng phần mềm nguồn mở trong thời gian tới;
(6) Số máy tính hiện đang cài đặt và sử dụng phần mềm (không phải phần mềm nguồn mở) được chủ sở hữu công bố cho sử dụng tự do, miễn phí;
II: Nhận thức về ATTT
1 Hệ thống của quý vị đã từng bị tấn công mạng (Cyber Attack) hay không (tính từ
1/2011)?
Không biết
Không bị tấn công
Có bị tấn công nhưng không rõ số lần
Có bị tấn công và được theo dõi đầy đủ
Chú ý : Tấn công mạng được nói đến trong Bản điều tra này có nghĩa là hành động từ trong
hay ngoài tổ chức CỐ Ý PHÁ HOẠI làm suy yếu tính nguyên vẹn, bảo mật, tính khả dụng
của dữ liệu, chương trình, hệ thống, hoặc khả năng lưu chuyển thông tin trong một hay nhiều máy tính Các ví dụ tấn công được liệt kê ở câu hỏi dưới.
2 Các tấn công mà cơ quan/tổ chức của quý vị gặp phải kể từ tháng 1 năm 2011 (Có thể lựa chọn tất cả những mục thích hợp)
Sự xâm nhập hệ thống từ người bên ngoài vào mạng bên trong
Sự xâm nhập hệ thống từ những người bên ngoài nhưng nắm rõ bên
trong (ví dụ: do nhân viên cũ còn giữ mật khẩu, …)
Trang 3Xâm nhập hệ thống bởi người trong tổ chức (ví dụ: từ máy để bàn bên
trong mạng xâm nhập trái phép vào máy chủ, …)
Hệ thống nhiễm phải trojan hay rootkit1 (những mã độc hại - malware2
không tự lây lan được)
Hệ thống nhiễm phải virus hay worm (những mã độc hại - malware tự
lây lan)
Các kiểu tấn công làm suy giảm hiệu năng mạng (ví dụ: dò quét (scan)
mạng với cường độ cao gây quá tải)
Tấn công từ chối dịch vụ (DOS)
Thay đổi diện mạo, nội dung website (trang chủ)
Phá hoại dữ liệu hay hệ thống (ví dụ: cố tình xóa dữ liệu quan trọng, …)
Không gặp phải tấn công nào
3 Theo quý vị những động cơ nào được nghi ngờ là nguyên nhân gây ra những hành động trên (có thể lựa chọn tất cả những mục thích hợp)
Không có động cơ rõ ràng (ví dụ: kẻ tấn công tình cờ tìm thấy điểm yếu
và khai thác nó)
Nhằm chiếm dụng tài nguyên hệ thống để dẫn tới những cuộc tấn công
nặc danh
Nhằm thể hiện kĩ năng tấn công
Phá hoại hệ thống có chủ đích
Thù hằn cá nhân (ví dụ: nhân viên hoặc người ngoài có thù hằn cá nhân)
Nhằm tạo lợi thế cạnh tranh thương mại (ví dụ: tình báo công nghiệp)
Chiếm đoạt tài nguyên hệ thống của cơ quan để sử dụng cho mục đích
cá nhân
Tạo nguồn thu tài chính bất hợp pháp
Không rõ động cơ
4 Hệ thống của quý vị có khả năng ghi nhận các hành vi thử tấn công (kể cả chưa thành
công) hay không?
Không
Có
Nếu câu trên trả lời là “có” thì hệ thống của quý vị có thể
phát hiện địa chỉ IP của những hành vi đó không?
Không Có
5 Các IP đó xuất hiện từ đâu nhiều hơn?
Nước ngoài
Trong nước
Không rõ
III Bảo vệ hệ thống IT:
1 Rookit: là một phần mềm giúp tin tặc khai thác lỗi bảo mật đoạt quyền truy cập điều khiển ở cấp độ nhà quản trị trên các hệ thống bị tấn công (định nghĩa trên wikipedia tiếng việt không được chuẩn)
2 Malware: là các phần mềm làm sai chức năng chương trình ứng dụng gồm: virus, spyware, và trojan
Trang 46 Tổ chức của quý vị có quy trình thao tác chuẩn (Standard operating procedures) để phản
hồi lại những cuộc tấn công máy tính hay không ?
Có
Không
Không rõ
7 Nếu chưa có quy trình trên, quý vị có ý định hay kế hoạch xây dựng nó không ?
Không
Có
Trong vòng 3 tháng tới
Trong vòng 6 tháng tới
Trong vòng 12 tháng tới
Chưa rõ
8 Nếu tổ chức của quý vị bị tấn công máy tính, quý vị sẽ thông báo tin này đến ai? (chọn tất cả các mục nào có thể)
Trong nội bộ phòng/trung tâm tin học
Lãnh đạo cấp cao tổ chức
Cơ quan cấp trên của tổ chức (nếu có)
Các tổ chức hỗ trợ xử lý sự cố mất ATTT (vd: VNCERT)
Cơ quan pháp luật (Công an, …)
Không thông báo
9 Thường thì sau bao lâu quý vị sẽ thông báo thông tin này?
Ngay lập tức
Ngay trong ngày
Trong vòng 1 tuần
10 Những lần bị tấn công máy tính mà đơn vị đã báo cáo cho cơ quan hữu trách chiếm bao nhiêu phần trăm trong tổng số những lần bị tấn công?
76% - 100%
51% - 75%
26% - 50%
1% - 25%
0%
11 Nếu quý vị chọn là không thông báo thông tin bị tấn công máy tính hoặc bất kỳ loại hình tội phạm máy tính nào cho các cơ quan chức năng, lý do quan trọng nhất là gì?
Gây tiếng xấu cho tổ chức
Ảnh hưởng lợi thế cạnh tranh
Sự thiếu quan tâm của cơ quan pháp luật
Không nghĩ rằng thủ phạm sẽ bị bắt
Giải quyết dân sự là tốt nhất
Không định dạng được rõ ràng thủ phạm tấn công (vd: worm…)
Sự việc không nghiêm trọng tới mức phải thông báo
Lý do khác (Vui lòng nêu rõ)
Trang 512 Để đề phòng các trường hợp thiệt hại do bị tấn công máy tính, Tổ chức của quý vị có sử
dụng một hình thức mua bảo hiểm nào không?
IV Biện pháp kỹ thuật thông dụng nhất:
13 Theo như quản trị hệ thống của tổ chức quý vị (hay chính là quý vị), tổ chức của quý vị đang sử dụng các công nghệ đảm bảo ATTT nào?
Bộ lọc chống thư rác (Anti-Spam)
Phần mềm chống virus (Anti-Virus)
Chứng chỉ số, chữ ký số (Digital Certificate, Digital Signature)
Mạng riêng ảo VPN3
Mã hoá (Encryption)
Đặt mật khẩu cho tài liệu
Hệ thống phát hiện xâm nhập (IDS) trên máy chủ
Hệ thống phát hiện xâm nhập (IDS/IPS) trong mạng
Tường lửa (Firewall)
Công cụ đánh giá tính toàn vẹn của tài liệu
Sinh trắc học (Biometrics, ví dụ kiểm tra vân tay, …)
Thẻ thông minh, mật khẩu dùng 1 lần (One-time-password (OTP), …)
Mật khẩu có thể được sử dụng lại (Reusable password)
Kiểm soát truy cập (Access Control, ví dụ thẻ ra vào phòng máy chủ, …)
Lọc nội dung Web
Hệ thống quản lý log file (Log Management)
Hệ thống quản lý sự kiện an ninh (SIEM- Security Incident & Event
Management)
Hệ thống quản lý mật khẩu đặc quyền
Hệ thống quản lý chống thất thoát dữ liệu (Data Loss Protection)
Quản lý định danh (Identity Management)
Dò quét đánh giá an ninh mạng
Dò quét đánh giá an ninh ứng dụng
Quản lý bản vá (Patch Management)
Khác
Những phương pháp khác ( chưa được nêu trên)
14 Tổ chức của quý vị đang sử dụng thiết bị firewall của hãng nào?
Check Point
Cisco
Fortinet
Juniper
Khác
Không sử dụng
3 Mạng riêng ảo VPN: viết tắt cho Virtual Private Network) là một mạng dành riêng để kết nối các máy tính của các công ty , tập đoàn hay các tổ chức với nhau thông qua mạng Internet công cộng.
Trang 615 Tổ chức của quý vị sử dụng các hệ thống phòng chống xâm nhập (IPS hoặc IDP) của
hãng nào?
Check Point
Cisco
IBM-ISS
Juniper
Tiping Point
Khác
Không sử dụng
16 Tổ chức của quý vị đang sử dụng phần mềm diệt virus của hãng nào?
AVG
Avira
BitDefender
BKAV
CMC Internet Security
Kasperky
McAfee
Panda
Sophos
Symantec
Trend Micro
Khác
17 Các máy tính trong mạng lan của đơn vị có được đặt lịch quét virus:
khi khởi động máy hàng ngày hàng tuần
hàng tháng không bao giờ khác……
18 Để theo dõi các sự kiện an ninh mạng đã xảy ra thì một trong những kỹ thuật là sử dụng log file Tổ chức của quý vị có sử dụng hình thức log files 4 nào không?
Không
Có
Log file của hệ điều hành
Log file của các thiết bị mạng
Log file của ứng dụng
Log file của các phần mềm, thiết bị an toàn mạng
Khác
19 Log file truy cập được giữ lại trong bao nhiêu lâu?
Được lưu trữ/ Không bị ghi đè
Ghi đè lên bản cũ nhất khi kích thước log file tới hạn
Hơn 60 ngày
21-60 ngày
14-20 ngày
7-13 ngày
Trang 73-6 ngày
Không rõ
Khác (vui lòng nêu ra)
20 Tổ chức của quý vị có tuân theo hoặc có ý định tuân theo những chỉ dẫn của các chuẩn ATTT nào dưói đây không?
Không
Có
ISO/IEC 270015
Cobit6
HiPAA7
PCI8
Common Criteria9
Khác
21 Trong thời gian tới, tổ chức của quí vị có dự kiến triển khai Hệ thống quản lý an toàn
thông tin (ISMS) theo ISO/IEC 27001 không:
Không có kế hoạch
Chỉ triển khai ISMS và tuân thủ ISO/IEC 27001
Triển khai ISMS và tuân thủ ISO/IEC 27001 và lấy chứng nhận ISO/IEC
27001
22 Tổ chức của quý vị có Quy chế về ATTT (Security Policy) chưa? (đã được lãnh đạo phê
duyệt và đưa vào áp dụng)
Có
Chưa có:
+ Sẽ xây dựng Quy chế trong thời gian tới
+ Chưa có ý định xây dựng Quy chế này
23 Tổ chức của quí vị có dự định thuê ngoài (out-source) các dịch vụ về đảm bảo an toàn
thông tin không:
Không
Có:
+ Dịch vụ phát hiện và phòng chống virus máy tính
+ Dịch vụ đánh giá điểm yếu an ninh mạng
+ Dịch vụ đánh giá điểm yếu cho web-site
+ Dịch vụ tư vấn hệ thống an toàn thông tin
+ Dịch vụ theo dõi an toàn, an ninh mạng
+ Dịch vụ khác
5 ISO/IEC 27001: tiêu chuẩn đánh giá quản lý chất lượng và hệ thống an toàn an ninh thông tin doanh nghiệp do
tổ chức DAS/UKAS vương quốc Anh cấp
6CobiT có mục tiêu kiểm soát về thông tin và công nghệ liên quan
7 HIPAA: quy tắc bảo mật HIPAA tạo ra tiêu chuẩn quốc gia để bảo vệ các hồ sơ sức khỏe cá nhân và cung cấp
cho kiểm soát thông tin đó
8PCI: là viết tắt cho Peripheral Component Interconnect, mà là một thuật ngữ được sử dụng để mô tả một
giao diện kết nối phổ biến để gắn các thiết bị ngoại vi máy tính với một bo mạch chủ của máy tính, bảng mạch
chính.
9 Common Criteria là một tiêu chuẩn quốc tế (IEC 15408) xác nhận bảo mật máy tính và đã phát triển có tầm
quan trọng rộng rãi
Trang 824 Cơ quan quý vị sử dụng thiết bị lưu trữ nào ?
Ổ cứng máy chủ, máy cá nhân
(DAS - Direct Attached Storage)
Ổ cứng cắm ngoài, USB Flash,
Thiết bị lưu trữ chuyên dụng NAS
(Network Attached Storage), SAN
(Storage Area Network)
Thiết bị khác:
25 Dữ liệu số ở cơ quan quý vị được bảo quản như thế nào ?
Lưu trữ trên các thiết bị online Lưu trữ trên các thiết bị lưu trữ ngoài Bảo quản trong các thiết bị lưu trữ
chuyên dụng hoặc kho lưu trữ chuyên
dụng
Hình thức bảo quản khác:
26 Việc sao lưu để bảo quản ở cơ quan quý vị được thực hiện như thế nào ?
Hàng tháng Khác (Ghi rõ):
27 Đơn vị có Website không: Có không
Nếu có:
Ai là người nắm giữ tài khoản đăng nhập Website:
Quản trị mạng Văn thư Chánh Văn phòng khác
Đơn vị có cập nhật thông tin thường xuyên, chính xác, rà soát phát hiện các sai sót trên website: Có không
Đơn vị có cử cán bộ tham gia các khóa đào tạo về kỹ năng vận hành và quản trị các website: Có không
28 Đơn vị có máy chủ: Có không
Nếu có:
Có cài dịch vụ Domain: Có không
Các máy client trong mạng lan có Join vào Domain: Có không
29 Đơn vị có máy tính dùng riêng cho soạn thảo văn bản mật không:
Nếu có:
Máy tính soạn thảo văn bản mật có được kết nối internet:
Trang 9 Ai là người quản lý máy tính dùng để soạn thảo văn bản mật đó:
Vị trí địa lý của máy tính dùng để soạn thảo văn bản mật:
Gần của sổ
Gần của ra vào
Được giám sát nghiêm ngặt (có lực lượng trực bảo vệ ngoài giờ hành chính) Đặt tại phòng riêng, hạn chế người ra vào
30 Đơn vị có hệ thống, thiết bị phòng cháy chữa cháy:
Nếu có:
Vị trí đặt phương tiện, thiết bị phòng cháy chữa cháy:
Trong phòng lưu trữ thông tin (phòng máy chủ, kho lưu trữ )
Tại văn phòng cơ quan
Tại phòng bảo vệ
Gần hệ thống điện tập trung
Đơn vị có hệ thống báo cháy:
31 Đơn vị có sử dụng các phần mềm khóa máy tính, khóa ổ cứng, khóa thư mục:
Nếu có:
Liệt kê các phần mềm đơn vị dùng:
………
Hiện trạng bản quyền của các phần mềm:
Phần mềm có bản quyền
Phần mềm miễn phí
Phần mềm bản quyền nhưng được crack
32 Đơn vị có sử dụng phần mềm xóa dữ liệu hay không (phần mềm xóa dữ liệu hoàn toàn, không thể khôi phục dữ liệu bằng các phần mềm phục hồi dữ liệu)
Nếu có:
Liệt kê các phần mềm quý vị sử dụng:
33 Hệ điều hành windows có được update các bản vá lỗi không:
Nếu có:
Các hình thức được sử dụng:
Trang 10Update trực tiếp trên mạng (thông qua phần mềm hỗ trợ của Microsoft)
Download bản update từ 1 máy nối mạng rồi copy trên các máy cần update
V Đào tạo nhân lực:
34 Tổ chức của quý vị có kế hoạch đào tạo về ATTT không ?
Có
Không
35 Tổ chức của quý vị cần đào tạo theo các nội dung nào dưới đây
Cần ngay
Trong vòng 1 năm
Trong nhiều năm
Cơ bản
Đảm bảo ATTT cho dữ liệu và phần mềm ứng
dụng
Đảm bảo ATTT cho dịch vụ cung cấp cho người
sử dụng, khách hàng
Phòng chống các phần mềm độc hại (malware)
Đảm bảo ATTT cho hệ thống mạng nội bộ
Quản lý
Quản lý ATTT cho tổ chức
Xây dựng chính sách đảm bảo ATTT
Phối hợp ứng cứu sự cố ATTT
36 Hình thức đào tạo nào là phù hợp nhất đối với tổ chức của quý vị
Tập trung
2 – 3 ngày
4 -5 ngày
Trên 5 ngày
Không tập trung
1 buổi/ngày
2 – 3 buổi/tuần
37 Vấn đề khó khăn nhất quý vị gặp phải trong việc thực thi bảo vệ an toàn cho hệ thống thông tin là gì?
Lãnh đạo chưa hỗ trợ đúng mức cần thiết cho ATTT
Sự thiếu hiểu biết về an toàn thông tin trong tổ chức
Việc nâng cao nhận thức cho người sử dụng về bảo mật máy tính
Việc xác định chính xác mức độ ưu tiên của ATTT trong tương quan chung
với các vấn đề khác của tổ chức
Việc cần thiết áp dụng nguyên tắc quản lý rủi ro (Risk Management principles)
Việc cập nhật kịp thời những cách thức tấn công hay những những điểm yếu
mới xuất hiện
Việc phản ứng nhanh và chính xác khi xảy ra những vụ tấn công máy tính
Việc quản lý chặt chẽ cấu hình hệ thống mạng (Configuration Management)
Những hệ thống máy tính không được quản lý tốt
Trang 11Các vấn đề khác với các vấn đề nêu trên
Khác (chưa được liệt kê)
Người Lập bảng
(ký, ghi rõ họ tên)
Lãnh đạo đơn vị
(ký, ghi rõ họ tên và đóng dấu)
