TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG BÁO CÁO KẾT QUẢ NGHIÊN CỨU Đề tài : T2009-27 Quản lý rủi ro an tồn mạng máy tính (Managing computer network security risks) Hà Nội, tháng 12 năm 2009 Báo cáo kết nghiên cứu MỤC LỤC GIỚI THIỆU CHUNG 1.1 Mục đích 1.2 Phạm vi 1.3 Tổng quan đề tài 2 KHẢO SÁT THỰC TRẠNG QUẢN LÝ RỦI RO AN TỒN MẠNG MÁY TÍNH QUY MÔ DƯỚI 100 MÁY 2.1 Mục đích khảo sát 2.2 Nội dung khảo sát 2.3 Kết khảo sát 2.4 Kết luận NGUYÊN TẮC CHUNG VÀ ĐỊNH NGHĨA XUNG QUANH KHÁI NIỆM RỦI RO 3.1 Các khái niệm 3.2 Định nghĩa rủi ro .11 CÁC LỰA CHỌN CƠ BẢN ĐỂ QUẢN LÝ RỦI RO .13 4.1 Quản lý trực tiếp chuyên biệt rủi ro 13 4.2 Quản lý tổng thể gián tiếp nhiều rủi ro 14 4.3 Rủi ro thể loại quản lý 15 NHẬN DẠNG RỦI RO 17 5.1 Nhận dạng tài sản có tính định (hoặc tài sản có tiềm trở thành tài sản có tính định) 17 5.2 Nhận dạng điểm yếu nguy 19 5.3 Nhận dạng kịch rủi ro 20 ƯỚC TÍNH CÁC RỦI RO ĐƯỢC NHẬN DẠNG 22 6.1 Ước tính rủi ro để quản lý chuyên biệt 22 6.2 Ước tính rủi ro để quản lý tổng thể 26 ĐÁNH GIÁ CÁC RỦI RO ĐƯỢC NHẬN DẠNG 29 ©SoICT-HUT ii Báo cáo kết nghiên cứu 7.1 Đánh giá rủi ro để quản lý chuyên biệt .29 7.2 Đánh giá rủi ro để quản lý tổng thể 29 XỬ LÝ RỦI RO 30 8.1 Giảm trực tiếp tình rủi ro nguy kịch 30 8.2 Giảm gián tiếp loại tình rủi ro 31 8.3 Dịch chuyển rủi ro 34 THÔNG BÁO RỦI RO 35 10 ĐÁNH GIÁ VÀ SO SÁNH CÁC PHƯƠNG PHÁP QUẢN LÝ RỦI RO 36 11 KẾT LUẬN 38 11.1 Kết đạt 38 11.2 Hiệu công việc làm .38 11.3 Kiến nghị .39 PHỤ LỤC KHẢO SÁT THỰC TRẠNG QUẢN LÝ RỦI RO AN TỒN MẠNG MÁY TÍNH : KHUNG CÂU HỎI BẮT BUỘC 40 PHỤ LỤC KHẢO SÁT THỰC TRẠNG QUẢN LÝ RỦI RO AN TỒN MẠNG MÁY TÍNH : KHUNG CÂU HỎI TÙY CHỌN 52 ©SoICT-HUT iii Báo cáo kết nghiên cứu DANH SÁCH CÁC HÌNH VẼ HÌNH 4-1: QUẢN LÝ TRỰC TIẾP VÀ CHUYÊN BIỆT TỪNG RỦI RO 13 HÌNH 4-2: QUẢN LÝ TỔNG THỂ VÀ GIÁN TIẾP NHIỀU RỦI RO 15 HÌNH 4-3: TIẾN TRÌNH QUẢN LÝ RỦI RO .16 HÌNH 5-4: CÁCH TIẾP CẬN THỨ NHẤT ĐỂ NHẬN DẠNG RỦI RO .17 HÌNH 5-5: CÁCH TIẾP CẬN THỨ HAI ĐỂ NHẬN DẠNG RỦI RO 18 HÌNH 7-6: CÁC HÀM ĐẶC TẢ MỨC RỦI RO CHẤP NHẬN ĐƯỢC .29 HÌNH 8-7: QUẢN LÝ RỦI RO: GIẢM TRỰC TIẾP CÁC TÌNH HUỐNG RỦI RO DỰA TRÊN CƠ SỞ TRI THỨC 30 HÌNH 8-8: QUẢN LÝ RỦI RO: GIẢM TRỰC TIẾP CÁC TÌNH HUỐNG RỦI RO .31 HÌNH 8-9: CÁC MỨC ĐƯA RA QUYẾT ĐỊNH .32 HÌNH 8-10: SƠ ĐỒ QUẢN LÝ TRỰC TIẾP VÀ CHUYÊN BIỆT TỪNG RỦI RO 33 HÌNH 8-11: SƠ ĐỒ QUẢN LÝ TỔNG THỂ VÀ GIÁN TIẾP CÁC RỦI RO .34 HÌNH 10-12: BẢNG TIÊU CHÍ ĐÁNH GIÁ CÁC PHƯƠNG PHÁP QUẢN LÝ RỦI RO 37 ©SoICT-HUT iv Báo cáo kết nghiên cứu GIỚI THIỆU CHUNG Hiện nay, nhiều quan, tổ chức, doanh nghiệp nhận thức an tồn thơng tin yếu tố định thành công ứng dụng công nghệ thông tin hoạt động họ Đảm bảo an tồn thơng tin khơng đơn việc áp dụng biện pháp kỹ thuật mua sắm trang thiết bị, phần mềm chuyên dụng mà cần có giải pháp tổng thể liên quan đến vấn đề quản lý, nhận thức lực người vận hành, pháp lý, v.v Tuy nhiên thực tế, việc triển khai ứng dụng công nghệ thông tin quan, tổ chức hay doanh nghiệp gặp rủi ro, nguyên nhân chủ yếu do: • Thiếu tài liệu hướng dẫn cụ thể • Năng lực, nhân lực • Kinh phí đầu tư hạn chế Một hướng tiếp cận đại cho phép quan, đơn vị giảm thiểu hiệu ứng khơng mong muốn xảy triển khai biện pháp đảm bảo an tồn thơng tin, biện pháp đảm bảo an toàn mạng quản lý rủi ro Có nhiều phương thức quản lý rủi ro khuyến cáo, phương thức xem xét việc quản lý rủi ro góc độ khác nhau, điều gây nhầm lẫn cho tổ chức, quan hay doanh nghiệp 1.1 Mục đích Mục đích tài liệu nhằm tổng kết kết nghiên cứu cho đề tài nghiên cứu cấp trường mã số 2009-T27: « Quản lý rủi ro an tồn mạng máy tính » (Managing computer network security risks) Nhìn chung, quản lý rủi ro giúp hạn chế giảm thiểu rắc rối thường xẩy thiếu kiểm soát việc áp dụng thủ tục hoạt động, hạn chế quản lý dự báo tiếp cận chưa xác Do đó, tài liệu nhằm hệ thống lại định nghĩa quản lý rủi ro khác nhau, miêu tả giai đoạn q trình quản lý rủi ro giới thiệu thang phân tích cho phương thức quản lý rủi ro Từ đó, khuyến cáo quan, tổ chức, doanh nghiệp nâng cao độ an tồn cho hệ thống mạng cách: • Áp dụng biện pháp quản lý chặt chẽ, khoa học theo hướng giảm thiểu rủi ro xảy triển khai biện pháp đảm bảo an toàn cho mơ hình mạng máy tính • Chủ động xây dựng giải pháp phòng ngừa, giảm thiểu thiệt hại 1.2 Phạm vi Tài liệu trình bày tóm tắt kết nghiên cứu theo Đề cương nghiên cứu đề tài 2009T27 Trên nguyên tắc, quy trình quản lý rủi ro phải có lĩnh vực áp dụng rộng, phải bao quát tất thể loại rủi ro Trong tài liệu này, đề cập đến chuẩn quản lý rủi ro tầm quan trọng chúng lĩnh vực đảm bảo an tồn cho mạng máy tính có quy mơ 100 máy ví dụ đưa khơng nằm ngồi lĩnh vực (có thể ứng dụng cho trung tâm ứng cứu khẩn cấp cố máy tính Việt Nam - VNCERT, môn Công nghệ thông tin Truyền thông, Khoa trường ĐH Bách khoa HN, ) Chúng tơi xin phép khơng bình luận điểm mạnh điểm yếu phương pháp quản lý rủi ro sử dụng chúng công cụ quản lý an tồn thơng tin bối cảnh cụ thể ©SoICT-HUT Báo cáo kết nghiên cứu 1.3 Tổng quan đề tài 1.3.1 Mục tiêu Nâng cao độ an toàn cho hệ thống mạng cách: • • 1.3.2 Áp dụng biện pháp quản lý chặt chẽ, khoa học theo hướng giảm thiểu rủi ro xảy triển khai biện pháp đảm bảo an tồn cho mơ hình mạng máy tính Chủ động xây dựng giải pháp phịng ngừa, giảm thiểu thiệt hại Nội dung • • 1.3.3 Tìm hiểu phân tích trạng cơng tác đảm bảo an toàn mạng số quan đơn vị Việt Nam Xây dựng hướng dẫn quản lý rủi ro cơng tác đảm bảo an tồn cho mơ hình mạng máy tính Kết Sau q trình nghiên cứu, chúng tơi hồn thiện: Tài liệu hướng dẫn quản lý rủi ro công tác đảm bảo an tồn cho mơ hình mạng máy tính có quy mô 100 máy Tài liệu hướng dẫn cách áp dụng phương pháp quản lý rủi ro khác theo trình tự sau đây: Nhận dạng tình rủi ro: Các tiến trình nhận dạng tình rủi ro bao hàm ln việc quản lý rủi ro Chúng định hướng theo chiến lược theo mục tiêu thực thể (cơ quan, tổ chức, doanh nghiệp hay trình phát triển) Trong trường hợp ngược lại, chúng khơng cơng nhận mức độ hoạt động mức độ kỹ thuật Theo cách định hướng này, không tồn phương pháp định nghĩa rủi ro kiểu trung dung Lựa chọn phương thức quản lý rủi ro: Có thể quản lý rủi ro theo hai phương thức sau: i Phân tích tình rủi ro nhận dạng đưa định đặc thù thích nghi với tình cụ thể Phương thức định bao hàm ln tồn qui trình quản lý rủi ro ii Phân tích cách tổng quát tình rủi ro nhằm xác định mục tiêu phương hướng đảm bảo an toàn riêng, điều cho phép giảm thiểu rủi ro nói chung Phương thức khơng sâu vào quản lý trực tiếp rủi ro bao hàm tồn qui trình quản lý rủi ro Phương thức quản lý rủi ro (i) địi hỏi mơ hình cho phép phân tích rủi ro, cịn phương thức quản lý (ii) khơng cần đến mơ Hai phương thức quản lý rủi ro khác dẫn đến bước khác tiến trình quản lý rủi ro Sự khác giai đoạn tiến trình trình bày chi tiết tài liệu Lựa chọn công cụ sở tri thức: Các công cụ phục vụ quản lý rủi ro đa dạng bắt nguồn từ tập nhỏ phương pháp luận hoàn chỉnh, bao gồm: ©SoICT-HUT Báo cáo kết nghiên cứu i Các sở tri thức, kể chuyên gia coi sở tri thức ii Các cơng cụ kiểm tra nghe ngóng iii Các công cụ mô mức độ rủi ro mắc phải dựa biện pháp đảm bảo an toàn chọn iv Các cơng cụ theo dõi ngồi lề, v.v Nên lựa chọn cơng cụ có khả tùy biến hoàn cảnh cụ thể a) Bảng câu hỏi cho phép khảo sát trạng quản lý rủi ro an toàn mạng số quan đơn vị Việt Nam Dựa kết trả lời câu hỏi bảng khảo sát dựa vào hướng dẫn quản lý rủi ro công tác đảm bảo an tồn cho mơ hình mạng máy tính có quy mơ 100 máy, quan, tổ chức, doanh nghiệp đưa biện pháp quản lý chặt chẽ, khoa học theo hướng giảm thiểu rủi ro triển khai biện pháp đảm bảo an tồn cho mơ hình mạng máy tính 1.3.4 Yêu cầu khoa học, kinh tế xã hội • • 1.3.5 o Về mặt khoa học: Quản lý rủi ro an tồn thơng tin hướng tiếp cận đại cho phép quan, đơn vị giảm thiểu hiệu ứng khơng mong muốn xảy triển khai biện pháp đảm bảo an toàn thông tin, biện pháp đảm bảo an toàn mạng Về mặt kinh tế: Hướng tiếp cận cho phép thực thể (đơn vị, quan, ) khống chế cách chủ động rủi ro chấp nhận thực tiễn không thiết phải loại bỏ hoàn toàn rủi ro Tối ưu hóa việc đầu tư kinh phí tính đến vai trò biện pháp quản lý chuyên biệt thực thể nhân lực, quy trình, nhận thức, theo hướng giảm thiểu rủi ro xảy Tiến độ thực kinh phí giai đoạn o STT Nội dung bước (1) (2) Xây dựng đề cương nghiên cứu Tìm hiểu phân tích trạng cơng tác đảm bảo an tồn mạng số quan đơn vị Việt Nam Xây dựng hướng dẫn quản lý rủi ro công tác đảm bảo an tồn cho mơ hình mạng máy tính Tổng hợp hồn thiện báo cáo kết thực đề tài nghiên cứu Hội thảo nghiệm thu ©SoICT-HUT Thời gian thực (3) 3/2009 4/2009 6/2009 4/2009 8/2009 8/2009 11/2009 12/2009 Người thực Kinh phí (4) Vũ Thị Hương Giang, ĐH BK HN (5) Vũ Thị Hương Giang, ĐH BK HN Lê Quốc, ĐH BK HN Phạm Văn Đồng, học viên cao học lớp CNTT 2008 ĐH BK HN Vũ Thị Hương Giang, ĐH BK HN Cao Tuấn Dũng, ĐH BK HN 3.000.000 đồng 4.000.000 đồng Vũ Thị Hương Giang, ĐH BK HN 3.000.000 Nguyễn Văn Duy, học viên cao đồng học lớp CNTT 2009 ĐH BK HN Vũ Thị Hương Giang, ĐH BK HN Báo cáo kết nghiên cứu KHẢO SÁT THỰC TRẠNG QUẢN LÝ RỦI RO AN TỒN MẠNG MÁY TÍNH QUY MƠ DƯỚI 100 MÁY 2.1 Mục đích khảo sát Nhằm đánh giá thực trạng quản lý rủi ro an tồn mạng máy tính tổ chức ứng dụng công nghệ thông tin vào hoạt động kinh doanh Trên sở nghiên cứu tính khả thi xây dựng hướng dẫn quản lý rủi ro cơng tác đảm bảo an tồn cho mơ hình mạng máy tính áp dụng 100 máy 2.2 Nội dung khảo sát Khảo sát thực dựa bảng câu hỏi tập trung vào khía cạnh sau đây: Chính sách an tồn thông tin quan, tổ chức hay doanh nghiệp Các cố an tồn thơng tin Hoạt động đảm bảo an tồn thơng tin Trách nhiệm quyền hạn thực biện pháp đảm bảo an tồn thơng tin Sở hữu tài sản an tồn thơng tin Các dịch vụ tiện ích an tồn thơng tin Các mức độ đảm bảo an tồn thơng tin Theo dõi kiểm kê, ghi chép tài sản Hệ thống phân loại thông tin 10 Phổ biến kiến thức an tồn thơng tin 11 Vành đai an tồn thơng tin 12 Các tiêu chí đánh giá rủi ro an tồn thơng tin 13 Kiểm sốt hệ thống an tồn thơng tin 14 Nhận thức an tồn thơng tin 15 Mức độ cân đối chi phí đảm bảo an tồn thơng tin chi phí hoạt động quan, tổ chức hay doanh nghiệp Bảng câu hỏi khảo sát bao gồm 80 câu hỏi bắt buộc (xem phụ lục : Khung câu hỏi bắt buôc khảo sát thực trạng quản lý rủi ro an toàn mạng máy tính) 60 câu hỏi tùy chọng (xem phụ lục : Khung câu hỏi tùy chọn - khảo sát thực trạng quản lý rủi ro an toàn mạng máy tính) Các câu hỏi tiếp tục bổ sung hoàn thiện nghiên cứu 2.3 Kết khảo sát Các câu trả lời cung cấp nhìn tồn diện cho việc phân tích tồn sách quản lý rủi ro an tồn mạng quan, tổ chức doanh nghiệp (gọi chung thực thể) Mặc dù gần 100% số thực thể khảo sát có kết nối mạng, độ sẵn sàng cho quản lý rủi ro an tồn mạng thực thể cịn mức thấp, nhiều thực thể nhà quản ©SoICT-HUT Báo cáo kết nghiên cứu lý tỏ thờ Điều thể qua việc khảo sát trạng quản lý rủi ro an toàn mạng máy tính sau: Chính sách an tồn thơng tin quan, tổ chức hay doanh nghiệp : nhìn chung quan, tổ chức hay doanh nghiệp khảo sát triển khai biện pháp sách phịng chống thâm nhập, tân cơng qua web, phát tán thư rác, … Tuy nhiên, hâu chưa có hội thảo, phát tài liệu cho người đơn vị sách an tồn chưa có sách rõ ràng việc sử dụng thư điện tử, quản lý kiểm soát thơng tin chia sẻ… người hiểu mục đích, ý nghĩa sách an tồn Các cố an tồn thơng tin: kết khảo sát thể đa dạng cố an tồn thơng tin mà quan, tổ chức hay doanh nghiệp gặp phải Hoạt động đảm bảo an tồn thơng tin: kết khảo sát thể đa dạng hoạt động đảm bảo an tồn thơng tin áp dụng quan, tổ chức hay doanh nghiệp, nhiên hiệu hoạt động chưa rõ ràng Trách nhiệm quyền hạn thực biện pháp đảm bảo an tồn thơng tin: nhìn chung chưa xác định rõ ràng trách nhiệm người quản lý việc đảm bảo an tồn thơng tin, trách nhiệm tất tài sản hoạt động an toàn liên quan, trách nhiệm người sở hữu tài sản thông tin việc phân loại, vai trị trách nhiệm an tồn tài liệu hóa, nhận thức nhân viên trách nhiệm việc khơng gây hại cho cơng ty qua sử dụng email, … Sở hữu tài sản an tồn thơng tin: tài sản thơng tin (tệp liệu, mạng khơng dây, v.v.) tiến trình an tồn có người sở hữu, u cầu an tồn việc bảo vệ thiết bị chung xác định, … Các dịch vụ tiện ích an tồn thơng tin: Các tiện ích giới thiệu sau người quản lý thích hợp thơng qua, vấn đề liên quan đến an tồn thương mại hệ thống văn phòng điện tử xem xét, tiện nghi lựa chọn chưa bị hạn chế đến mục riêng biệt người dùng, có đường truyền riêng chuyên biệt hay mạng để đảm bảo cho nguồn kết nối, chưa có cổng an tồn cài đặt mạng máy tính để kiểm sốt truy cập luồng thông tin, chưa đặt cổng mạng máy tính để lọc luồng thơng tin qua mạng dùng bảng hay quy tắc xác định trước, chưa có tiện nghi tính tốn có sử dụng với mục đích kinh doanh nó, song song với việc quản lý quyền hạn thích hợp, … Các mức độ đảm bảo an tồn thơng tin: Tất mức quyền hạn chưa xác định tài liệu hóa, cần cấp quyền hạn việc sử dụng tiện nghi xử lý thông tin cá nhân thông tin kinh doanh, tài sản chưa xác định rõ ràng, có quyền sở hữu tài sản phân loại an tồn thống tài liệu hóa với vị trí tài sản, thiết bị thẩm định quyền thích hợp chưa sử dụng để kiểm soát truy cập vật lý, nhân viên phát triển có quyền truy cập đến hệ thống sẵn sàng để dùng họ cung cấp mật đặc biệt, mật có thay đổi sau đó, chưa sử dụng đánh giá rủi ro để xác định phương pháp phù hợp việc thẩm định quyền Theo dõi kiểm kê, ghi chép tài sản: Những người dùng chưa yêu cầu ghi chép báo cáo điểm yếu an toàn lập tức, có rút học kinh nghiệm từ ©SoICT-HUT Báo cáo kết nghiên cứu cố xảy để tránh cố hạn chế tác hại tương lai, sử dụng tài nguyên hệ thống dịch vụ máy tính lớn chưa theo dõi, tất lỗi chưa báo cáo đầy đủ hành động sửa chữa thực hiện, tất lỗi báo cáo người dùng vấn đề xử lý thông tin hay hệ thống truyền thông chưa ghi lại, chưa có kiểm sốt đặc biệt thiết lập để bảo vệ liệu truyền qua mạng công cộng, để bảo vệ hệ thống kết nối, chưa có kiểm sốt xác định tất u cầu độ tin cậy, tính tồn vẹn sẵn dùng thông tin dịch vụ mạng, tất quyền truy cập không kiểm tra thường xuyên tính dư thừa ID tài khoản người dùng, mật không lưu giữ hệ thống máy tính theo dạng không bảo vệ, … Hệ thống phân loại thông tin: Chưa phát triển hệ thống phân loại thông tin để xác định mức bảo vệ tương ứng, chưa có lược đồ phân loại thơng tin để nắm bắt nhu cầu kinh doanh chia xẻ hạn chế quyền truy cập đến thông tin, thơng tin dán nhãn dựa vào mức độ quan trọng kinh doanh nó, giản đồ phân loại dễ dàng để hiểu tất nhân viên, chưa có giản đồ phân loại cho phép phân loại theo độ tin cậy, tính toàn vẹn sẵn dùng tài sản, … 10 Phổ biến kiến thức an tồn thơng tin: Các nhân viên người sử dụng bên thứ chưa huấn luyện đầy đủ để sử dụng tiện nghi xử lý thơng tin gói phần mềm cách xác, có nhân viên hiểu cách thức bảo vệ tránh công vào thư điện tử, nhân viên chưa biết cần phải làm để bảo vệ phần đính kèm thư điện tử, người dùng nhận văn quyền truy cập họ, tất người dùng truyền đạt họ không nên chia xẻ mật riêng, tất người dùng am hiểu việc log-off máy tính, phiên hay mạng máy tính phiên làm việc kết thúc, người dùng chưa hướng dẫn để an toàn máy tính cá nhân hay cổng khỏi việc sử dụng trái phép cách khóa mã hay kiểm sốt tương tự, … 11 Vành đai an tồn thơng tin: Vành đai an tồn chưa xác định rõ ràng (phạm vi an toàn rộng hay hẹp, mức độ an tồn cao hay thấp), Mạng máy tính chưa giới hạn thiết lập domain vật lý riêng biệt, … 12 Các tiêu chí đánh giá rủi ro an tồn thơng tin: Chưa sử dụng tiêu chí đánh giá rủi ro để xác định phương pháp phù hợp việc thẩm định quyền, kỹ thuật phương pháp khác chưa xem xét việc thẩm định quyền người dùng, tiêu chí chấp nhận hệ thống thông tin mới, nâng cấp, hay phiên chưa thiết lập, … 13 Kiểm soát hệ thống an tồn thơng tin: Các truy cập đến cổng chẩn đốn chưa kiểm sốt an tồn, cổng vào chưa định cấu hình để lọc đường truyền domain để chặn truy cập trái phép, chuyển đổi địa mạng chưa xem xét để chia tách mạng, để ngăn chặn router mạng truyền thơng tin theo cách khơng kiểm sốt, tất người dùng có định danh (ID) sử dụng riêng tư tất hoạt động theo dõi theo trình tự với người dùng, hệ thống quản lý mật chưa hoạt động hiệu quả, bảo đảm chất lượng mật khẩu, hệ thống quản lý mật khơng hiển thị mật q trình nhập mật khẩu, nhân tố rủi ro sau chưa xem xét độ quan trọng tiến trình ứng dụng, giá trị thông tin liên quan, kinh nghiệm lần hệ ©SoICT-HUT Báo cáo kết nghiên cứu 47 48 49 50 51 52 53 Do these controls address all requirements for confidentiality, integrity and availability of information and services in networks? a) Yes b) Partly c) No d) Not applicable Is the distribution of data kept to the necessary minimum? a) Yes b) Partly c) No d) Not applicable Have all authorisation levels been agreed and documented? a) Yes b) Partly c) No d) Not applicable Have all security requirements for electronic commerce been identified? a) Yes b) Partly c) No d) Not applicable Are all networks used for electronic commerce secured appropriately against network attacks? a) Yes b) Partly c) No d) Not applicable Have all security risks of using electronic mail been assessed? a) Yes b) Partly c) No d) Not applicable Is a clear policy in place regarding the use of electronic mail? a) Yes b) Partly c) No d) Not applicable ©SoICT-HUT Các kiểm sốt xác định tất u cầu độ tin cậy, tính tồn vẹn sẵn dùng thông tin dịch vụ mạng? a) Có b) Một phần c) Khơng d) Không áp dụng Mức độ phân tán liệu giữ mức độ cần thiết tối thiểu? a) Có b) Một phần c) Khơng d) Khơng áp dụng Tất mức cho phép (cấp quyền) chấp thuận tài liệu hóa? a) Có b) Một phần c) Không d) Không áp dụng Tất yêu cầu an toàn thương mại điện tử xác định? a) Có b) Một phần c) Khơng d) Không áp dụng Tất mạng sử dụng thương mại điện tử bảo vệ thích hợp chống lại cơng mạng? a) Có b) Một phần c) Khơng d) Khơng áp dụng Tất rủi ro an toàn việc sử dụng thư điện tử đánh giá? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có sách rõ ràng việc sử dụng thư điện tử? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có Có Có Có Khi sử dụng thư điện tử, không sử dụng … Có 47 Báo cáo kết nghiên cứu 54 55 56 57 58 59 60 Do all employees know how to protect against attacks on electronic mail, e.g viruses, interception? a) Yes b) Partly c) No d) Not applicable Do all employees know what to to protect electronic mail attachments? a) Yes b) Partly c) No d) Not applicable Are guidelines in place on when not to use electronic mail? a) Yes b) Partly c) No d) Not applicable Has the appropriate use of cryptographic techniques to protect email been defined? a) Yes b) Partly c) No d) Not applicable Have the persons being authorised to use the system been identified? a) Yes b) Partly c) No d) Not applicable Have selected facilities been restricted to specific categories of user, as necessary? a) Yes b) Partly c) No d) Not applicable Are procedures and controls in place to protect the exchange of information through the use of voice, facsimile and video communications facilities? a) Yes b) Partly c) No d) Not applicable ©SoICT-HUT Tất nhân viên hiểu cách thức bảo vệ tránh cơng vào thư điện tử? a) Có b) Một phần c) Không d) Không áp dụng Tất nhân viên hiểu cần phải làm để bảo vệ phần đính kèm thư điện tử? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có nguyên tắc không sử dụng thư điện tử? a) Có b) Một phần c) Khơng d) Khơng áp dụng Các kỹ thuật mã hóa thích hợp để bảo vệ email xác định? a) Có b) Một phần c) Không d) Không áp dụng Những người cấp phép sử dụng hệ thống xác định? a) Có b) Một phần c) Khơng d) Khơng áp dụng Các tiện nghi lựa chọn bị hạn chế đến mục riêng biệt người dùng? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có thủ tục kiểm soát để bảo vệ trao đổi thông tin thông qua phương tiện truyền thông hình ảnh âm thanh? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có Dị vi rus phần đính kèm Có Mức độ bảo mật khơng sử dụng thư điện tử Có Các tiện nghi lựa chọn theo nhóm người dùng 48 Báo cáo kết nghiên cứu 61 62 63 64 65 66 67 Are employees advised not to leave sensitive messages on answering machines? a) Yes b) Partly c) No d) Not applicable Have all users received a written statement of their access rights? a) Yes b) Partly c) No d) Not applicable Are all access rights periodically checked for redundant user IDs and accounts, and are those removed, if found? a) Yes b) Partly c) No d) Not applicable Is the use of specified application systems and/or security gateways for external network users enforced? a) Yes b) Partly c) No d) Not applicable Is network access restricted by setting up separate logical domains? a) Yes b) Partly c) No d) Not applicable Is all access that is taking place by remote users subject to authentication? a) Yes b) Partly c) No d) Not applicable Have dedicated private lines or a network user address checking facility been considered to provide assurance of the source of connections? a) Yes b) Partly c) No d) Not applicable ©SoICT-HUT Tất nhân viên cảnh báo không để thông điệp nhạy cảm máy trả lời tự động? a) Có b) Một phần c) Không d) Không áp dụng Tất người dùng nhận văn quyền truy cập họ? a) Có b) Một phần c) Không d) Không áp dụng Tất quyền truy cập thường xuyên kiểm tra tính dư thừa ID tài khoản người dùng, dư thừa gỡ bỏ? a) Có b) Một phần c) Khơng d) Khơng áp dụng Việc sử dụng hệ thống ứng dụng đặc biệt hay cổng an toàn người dùng bên mạng bắt buộc tuân thủ theo quy định? a) Có b) Một phần c) Khơng d) Khơng áp dụng Mạng máy tính giới hạn thiết lập domain vật lý riêng biệt? a) Có b) Một phần c) Không d) Không áp dụng Tất truy cập người dùng từ xa thẩm định quyền? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có Có Cấp phép sử dụng hay khơng Có Có đường truyền riêng chun biệt hay mạng để đảm bảo cho nguồn kết nối? a) Có b) Một phần c) Khơng d) Không áp dụng 49 Báo cáo kết nghiên cứu 68 69 70 71 72 73 74 Have key locks and other means to protect against unauthorised physical access been considered? a) Yes b) Partly c) No d) Not applicable Have the networks been divided into logical domains, e.g organisation internal and external? a) Yes b) Partly c) No d) Not applicable Have secure gateways been installed between the networks to control access and information flow? a) Yes b) Partly c) No d) Not applicable Have the gateways been configured to filter traffic between these domains and to block unauthorized access? a) Yes b) Partly c) No d) Not applicable Have network gateways that filter traffic by means of pre-defined tables or rules been put in place? a) Yes b) Partly c) No d) Not applicable Does the password management system used provide an effective, interactive facility, which ensures quality passwords? a) Yes b) Partly c) No d) Not applicable Does the password management system not display passwords on the screen when being entered? a) Yes b) Partly c) No ©SoICT-HUT Có khóa mã hay biện pháp khác tương tự để bảo vệ chống lại truy cập vật lý trái phép? a) Có b) Một phần c) Không d) Không áp dụng Các mạng chia thành domain vật lý? a) Có b) Một phần c) Khơng d) Khơng áp dụng Các cổng an tồn cài đặt mạng máy tính để kiểm sốt truy cập luồng thơng tin? a) Có b) Một phần c) Khơng d) Khơng áp dụng Các cổng vào định cấu hình để lọc đường truyền domain để chặn truy cập trái phép? a) Có b) Một phần c) Khơng d) Không áp dụng Đã đặt cổng mạng máy tính để lọc luồng thơng tin qua mạng dùng bảng hay quy tắc xác định trước? a) Có b) Một phần c) Khơng d) Khơng áp dụng Hệ thống quản lý mật có đưa hiệu quả, bảo đảm chất lượng mật khẩu? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có Hệ thống quản lý mật khơng hiển thị mật trình nhập mật khẩu? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có 50 Báo cáo kết nghiên cứu d) Not applicable 75 76 77 78 79 80 Is a key management system in place to support the organization’s use of the two types (secret and public) of cryptographic techniques? a) Yes b) Partly c) No d) Not applicable Have management procedures and responsibilities been established to deal with the virus protection on systems, training in their use, reporting and recovering from virus attacks? a) Yes b) Partly c) No d) Not applicable Are appropriate business continuity plans for recovering from virus attacks in place? a) Yes b) Partly c) No d) Not applicable Is all essential business information and software regularly backed up? a) Yes b) Partly c) No d) Not applicable Are a policy and appropriate controls in place to manage information sharing? a) Yes b) Partly c) No d) Not applicable Is it ensured that passwords are never stored on computer system in an unprotected form? a) Yes b) Partly c) No d) Not applicable ©SoICT-HUT Hệ thống quản lý khóa mã tổ chức có hỗ trợ hai kiểu kỹ thuật mã hóa bí mật cơng khai? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có thủ tục quản lý thiết lập trách nhiệm bảo vệ hệ thống khỏi virus, huấn luyện cách sử dụng, báo cáo phục hồi sau cơng virus? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có kế hoạch nghiệp vụ liên tục thích hợp việc phục hồi sau công virus? a) Có b) Một phần c) Khơng d) Khơng áp dụng Tất thông tin kinh doanh cốt yếu phần mềm thường xuyên lưu? a) Có b) Một phần c) Khơng d) Khơng áp dụng Đã có sách kiểm sốt thích hợp việc quản lý thơng tin chia xẻ? a) Có b) Một phần c) Không d) Không áp dụng Mật không lưu giữ hệ thống máy tính theo dạng khơng bảo vệ? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có Có Có Chia xẻ thông tin cho ai, thông tin chia xẻ Có 51 Báo cáo kết nghiên cứu PHỤ LỤC KHẢO SÁT THỰC TRẠNG QUẢN LÝ RỦI RO AN TỒN MẠNG MÁY TÍNH : KHUNG CÂU HỎI TÙY CHỌN Câu hỏi tiếng Anh Câu hỏi tiếng Việt Ví dụ Is one manager appointed to be responsible for all activities related to security? a) Yes b) Partly c) No d) Not applicable Có người quản lý bổ nhiệm để chịu trách nhiệm tất hoạt động liên quan đến việc đảm bảo an tồn? a) Có b) Một phần c) Khơng d) Không áp dụng Các hoạt động như: gửi thư điện tử, tải tài liệu từ mạng … Có Is an information security manager (or a similar role) appointed who is responsibility for security? a) Yes b) Partly c) No d) Not applicable Có người quản lý an tồn thông tin bổ nhiệm để chịu trách nhiệm cho an tồn? a) Có b) Một phần c) Khơng d) Không áp dụng Kiểm tra số kỹ thuật như: tường lửa, phần mềm chống virus, phòng chống thâm nhập … Có Do all users receive appropriate awareness education to understand the importance of security? a) Yes b) Partly c) No d) Not applicable Are past incidents used as information resource in the security policy review process? a) Yes b) Partly c) No d) Not applicable Is the security perimeter clearly defined? a) Yes b) Partly c) No d) Not applicable The walls of solid construction, and all external doors suitably protected against unauthorised access? a) Yes b) Partly c) No d) Not applicable Tất người dùng nhận kiến thức nhận thức thích hợp để hiểu tầm quan trọng an tồn? a) Có b) Một phần c) Không d) Không áp dụng Các cố xảy sử dụng nguồn tài nguyên thơng tin quy trình duyệt sách an tồn? a) Có b) Một phần c) Khơng d) Khơng áp dụng Vành đai an toàn xác định rõ ràng? a) Có b) Một phần c) Khơng d) Khơng áp dụng Tường tất cửa bên bảo vệ thích hợp chống lại truy cập trái phép? a) Có b) Một phần c) Khơng d) Khơng áp dụng Hướng dẫn nhận thức an tồn cho nhân viên Có Dựa vào cố cũ để xem xét sách an tồn Có ©SoICT-HUT Trả lời Đáp án STT Phạm vi an toàn rộng hay hẹp, mức độ an toàn cao hay thấp Tránh tác động phá tường, phá cửa, vào trộm … Có 52 Báo cáo kết nghiên cứu 10 11 Do the physical barriers protect sufficiently against fire and flooding? a) Yes b) Partly c) No d) Not applicable Are appropriate authentication devices used to control physical access? a) Yes b) Partly c) No d) Not applicable Are secure areas designed to avoid damage from fire, water, and from neighbouring premises? a) Yes b) Partly c) No d) Not applicable Have the potential damages resulting from neighbouring premises been considered? a) Yes b) Partly c) No d) Not applicable Are the support functions and equipment, e.g photocopiers, fax machines, sited to avoid unauthorised access and use? a) Yes b) Partly c) No d) Not applicable 12 Are all doors and windows locked when unattended? a) Yes b) Partly c) No d) Not applicable 13 Is all equipment sited to protect against environmental threats and unauthorised access? a) Yes b) Partly c) No d) Not applicable ©SoICT-HUT Chướng ngại vật lý bảo vệ thích đáng chống lại lửa lụt lội? a) Có b) Một phần c) Không d) Không áp dụng Các thiết bị thẩm định quyền thích hợp sử dụng để kiểm sốt truy cập vật lý? a) Có b) Một phần c) Không d) Không áp dụng Các khu vực an toàn thiết kế để tránh phá hủy lửa, nước từ tòa nhà lân cận? a) Có b) Một phần c) Khơng d) Khơng áp dụng Sự thiệt hại tiềm ẩn gây ngơi nhà lân cận xem xét? a) Có b) Một phần c) Không d) Không áp dụng Các chức hỗ trợ thiết bị, ví dụ máy photocopy, máy fax, đặt nơi tránh truy cập sử dụng trái phép? a) Có b) Một phần c) Không d) Không áp dụng Tất cửa cửa sổ khóa khơng ý? a) Có b) Một phần c) Khơng d) Không áp dụng Tất thiết bị đặt chống lại mối đe dọa từ môi trường truy cập trái phép? a) Có b) Một phần c) Không d) Không áp dụng Các thiết bị như: nhận dạng vân tay, nhân viên bảo vệ kiểm tra thẻ … Có Có 53 Báo cáo kết nghiên cứu 14 15 16 17 18 19 20 Are controls in place to protect against environmental threats, e.g fire, water, dust, smoke, rediation, vibration? a) Yes b) Partly c) No d) Not applicable Are the environmental conditions monitored to detect potential problems? a) Yes b) Partly c) No d) Not applicable Has the impact been considered that any disaster happening in the neighbourhood might have? a) Yes b) Partly c) No d) Not applicable Is all equipment protected from power failures and electrical anomalies? a) Yes b) Partly c) No d) Not applicable Is a UPS or a backup generator in place to ensure continuous operation of all facilities? a) Yes b) Partly c) No d) Not applicable Are emergency power switches located to be easily reached in case of an emergency? a) Yes b) Partly c) No d) Not applicable Are power and telecommunications cabling protected from interception and damage? a) Yes b) Partly c) No d) Not applicable ©SoICT-HUT Có kiểm sốt để bảo vệ chống lại mối đe dọa từ môi trường, lửa, nước, bụi, khói, rung động? a) Có b) Một phần c) Không d) Không áp dụng Các điều kiện môi trường theo dõi để dị tìm rủi ro tiềm ẩn? a) Có b) Một phần c) Khơng d) Khơng áp dụng Các tác động xem xét thảm họa vùng lân cận xảy ra? a) Có b) Một phần c) Khơng d) Khơng áp dụng Tất thiết bị bảo vệ khỏi hỏng hóc nguồn điện bất bình thường điện? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có UPS máy phát điện dự phòng để đảm bảo hoạt động liên tục cho tất tiện nghi? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có nguồn điện khẩn dễ dàng chuyển đổi trường hợp khẩn cấp? a) Có b) Một phần c) Khơng d) Không áp dụng Dây cáp nguồn điện thiết bị viễn thơng bảo vệ khỏi hỏng hóc? a) Có b) Một phần c) Khơng d) Khơng áp dụng Các điều kiện môi trường như: độ ẩm, nhiệt độ, ánh sáng … Lường trước tác hại khu vực lân cận xảy cố Có Có Có vỏ bọc tốt chống đứt cáp hay chuột cắn … 54 Báo cáo kết nghiên cứu 21 22 23 24 25 26 27 Is all network cabling protected from unauthorized interception and damage? a) Yes b) Partly c) No d) Not applicable Are all power cables segregated from communications cables? a) Yes b) Partly c) No d) Not applicable Is all equipment correctly maintained, in accordance with the supplier’s recommended service intervals and specifications? a) Yes b) Partly c) No d) Not applicable Is the security provided for off-site equipment equivalent to the security for on-site equipment? a) Yes b) Partly c) No d) Not applicable Are incoming and outgoing mail points and unattended fax and telex machines protected? a) Yes b) Partly c) No d) Not applicable Are photocopiers locked (or protected from unauthorized use in some other way) outside normal working hours? a) Yes b) Partly c) No d) Not applicable Is sensitive or classified information, when printed, cleared from printers immediately? a) Yes b) Partly c) No d) Not applicable ©SoICT-HUT Tất dây cáp mạng bảo vệ khỏi hỏng hóc? a) Có b) Một phần c) Không d) Không áp dụng Tất cáp điện tách khỏi dây cáp viễn thơng? a) Có b) Một phần c) Khơng d) Không áp dụng Tất thiết bị bảo dưỡng phù hợp, theo khuyến cáo nhà cung cấp? a) Có b) Một phần c) Khơng d) Khơng áp dụng An toàn cung cấp cho thiết bị off-site tương đương với thiết bị on-site? a) Có b) Một phần c) Khơng d) Khơng áp dụng Các điểm nhận gửi mail, máy fax máy điện báo bảo vệ? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có Các máy photocopy khóa ngồi làm việc thơng thường? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có Thơng tin nhạy cảm hay thơng tin mật, in, có xóa khỏi máy in lập tức? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có 55 Báo cáo kết nghiên cứu 28 Is it ensured that equipment, information or software cannot be taken off-site without authorization? a) Yes b) Partly c) No d) Not applicable Có chắn thiết bị, thông tin phần mềm không bị đem sử dụng trái phép bên ngồi quan? a) Có b) Một phần c) Không d) Không áp dụng 29 Are procedures in place identifying responsibilities for aborting and recovering from unsuccessful changes? a) Yes b) Partly c) No d) Not applicable Có thủ tục để xác định trách nhiệm việc bỏ qua khôi phục lại từ thay đổi khơng thành cơng? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có sách rõ ràng định thay đổi phần mềm, phần cứng, trang thiết bị … Các thủ tục có bao quát hết tất kiểu tiềm cố an tồn? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có xử lý hết tất cố an toàn như: lỗi hệ thống thông tin, ngừng dịch vụ, từ chối dịch vụ … 30 31 32 33 34 Do these procedures cover all potential types of security incident, e.g information system failures and loss of service, denial of service, errors resulting from incomplete or inaccurate business data, breaches of confidentiality? a) Yes b) Partly c) No d) Not applicable Are development and operational software run on different computer processors, or in different domains or directories, where possible? a) Yes b) Partly c) No d) Not applicable Are procedures in place to obtain and verify all information relating to malicious software, and ensure that warning bulletins are accurate and informative? a) Yes b) Partly c) No d) Not applicable Is the frequency of the back-ups appropriate to the importance of the information? a) Yes b) Partly c) No d) Not applicable Is system documentation stored securely? a) Yes b) Partly ©SoICT-HUT Các phần mềm phát triển phần mềm sẵn sàng hoạt động chạy nhiều vi xử lý khác nhau, hay chạy nhiều domain hay thư mục khác nhau? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có thủ tục để nhận kiểm chứng tất thông tin liên quan đến phần mềm độc hại, khẳng định chắn mục cảnh báo có ích xác? a) Có b) Một phần c) Khơng d) Khơng áp dụng Tính thường xun lưu có thích hợp với mức độ quan trọng thơng tin? a) Có b) Một phần c) Không d) Không áp dụng Tài liệu hệ thống lưu trữ an tồn? a) Có b) Một phần 56 Báo cáo kết nghiên cứu 35 36 37 38 39 40 41 c) No d) Not applicable Do all electronic commerce activities comply with the relevant legislation? a) Yes b) Partly c) No d) Not applicable Are the employees aware of their responsibility not to compromise the company using email? a) Yes b) Partly c) No d) Not applicable Has the appropriate use of cryptographic techniques to protect email been defined? a) Yes b) Partly c) No d) Not applicable Has consideration been given to the security and business implications of interconnecting electronic office systems? a) Yes b) Partly c) No d) Not applicable Have the vulnerabilities of information in office systems been considered? a) Yes b) Partly c) No d) Not applicable Is the status of users identified, for the benefit of other users? a) Yes b) Partly c) No d) Not applicable Are all users aware that they should not share their individual passwords? a) Yes b) Partly c) No d) Not applicable ©SoICT-HUT c) Không d) Không áp dụng Tất hoạt động thương mại điện tử tuân theo luật pháp tương ứng? a) Có b) Một phần c) Khơng d) Không áp dụng Tất nhân viên nhận thức trách nhiệm họ việc không gây hại cho cơng ty qua sử dụng email? a) Có b) Một phần c) Không d) Không áp dụng Các kỹ thuật mã hóa thích hợp để bảo vệ email xác định? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có Có Các vấn đề liên quan đến an toàn thương mại hệ thống văn phòng điện tử tương kết xem xét? a) Có b) Một phần c) Khơng d) Không áp dụng Các điểm yếu thông tin hệ thống văn phòng xem xét? a) Có b) Một phần c) Khơng d) Khơng áp dụng Các trạng thái người sử dụng xác định, lợi ích người dùng khác? a) Có b) Một phần c) Khơng d) Khơng áp dụng Tất người dùng truyền đạt họ không nên chia xẻ mật riêng? a) Có b) Một phần c) Không d) Không áp dụng Các điểm yếu như: sử dụng phần mềm bẻ khóa, virus phá hủy … Có Có 57 Báo cáo kết nghiên cứu 42 43 44 45 46 47 48 Have all security requirements for the protection of unattended equipment been identified? a) Yes b) Partly c) No d) Not applicable Are users advised to log-off computers, sessions or networks when the session is finished, not just switch off the OC or terminal? a) Yes b) Partly c) No d) Not applicable Are users advised to secure PCs or terminals from unauthorized use by a key lock or an equivalent control? a) Yes b) Partly c) No d) Not applicable Is unlimited network roaming prevented? a) Yes b) Partly c) No d) Not applicable Is the use of specified application systems and/or security gateways for external network users enforced? a) Yes b) Partly c) No d) Not applicable Has a risk assesment been used to identify the most appropriate method for authentication? a) Yes b) Partly c) No d) Not applicable Are connections to remote computer systems authenticated? a) Yes b) Partly c) No d) Not applicable ©SoICT-HUT Các yêu cầu an toàn việc bảo vệ thiết bị chung xác định? a) Có b) Một phần c) Khơng d) Không áp dụng Tất người dùng am hiểu việc log-off máy tính, phiên hay mạng máy tính phiên làm việc kết thúc? a) Có b) Một phần c) Không d) Không áp dụng Người dùng hướng dẫn để an tồn máy tính cá nhân hay cổng khỏi việc sử dụng trái phép cách khóa mã hay kiểm sốt tương tự? a) Có b) Một phần c) Khơng d) Khơng áp dụng Ngăn chặn mức không giới hạn mạng máy tính? a) Có b) Một phần c) Khơng d) Không áp dụng Việc sử dụng hệ thống ứng dụng đặc biệt hay cổng an toàn người dùng bên mạng bắt buộc tuân thủ theo quy định? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có sử dụng đánh giá rủi ro để xác định phương pháp phù hợp việc thẩm định quyền? a) Có b) Một phần c) Không d) Không áp dụng Tất kết nối đến hệ thống máy tính từ xa xác thực? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có Một số giới hạn như: tốc độ download, tốc độ upload … Có Cấp phép sử dụng hay không 58 Báo cáo kết nghiên cứu 49 50 51 52 53 54 55 Is any access to diagnostic ports securely controlled? a) Yes b) Partly c) No d) Not applicable Are diagnostic ports protected by an appropriate security mechanism? a) Yes b) Partly c) No d) Not applicable Is there sufficient awareness of the increased risks caused by shared and interconnected networks? a) Yes b) Partly c) No d) Not applicable Have the criteria for segregation of networks also taken account of the relative cost and performance impact? a) Yes b) Partly c) No d) Not applicable Has network address translation been considered for network isolation, and to prevent network routes to propagate in an uncontrolled way? a) Yes b) Partly c) No d) Not applicable Do all users have a unique identifier (user ID) for their personal and sole use so that activities can subsequently be traced to the responsible individual? a) Yes b) Partly c) No d) Not applicable Have different techniques and methods (passwords, cryptographic means, authentication protocols, memory tokes or smart cards, or biometric devices) been considered for user authentication ? a) Yes b) Partly c) No ©SoICT-HUT Bất kỳ truy cập đến cổng chẩn đoán kiểm sốt an tồn? a) Có b) Một phần c) Không d) Không áp dụng Các cổng chẩn đốn bảo vệ kỹ thuật an tồn phù hợp? a) Có b) Một phần c) Khơng d) Khơng áp dụng Người dùng có nhận thức việc tăng rủi ro chia xẻ thông tin tương kết mạng? a) Có b) Một phần c) Khơng d) Khơng áp dụng Các tiêu chí việc chia tách mạng trọng vào giá tác động thực thi? a) Có b) Một phần c) Không d) Không áp dụng Sự chuyển đổi địa mạng xem xét để chia tách mạng, để ngăn chặn router mạng truyền thông tin theo cách không kiểm sốt? a) Có b) Một phần c) Khơng d) Khơng áp dụng Tất người dùng có định danh (ID) sử dụng riêng tư tất hoạt động theo dõi theo trình tự với người dùng? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có Có Có Các kỹ thuật phương pháp khác xem xét việc thẩm định quyền người dùng? a) Có b) Một phần c) Khơng d) Không áp dụng 59 Báo cáo kết nghiên cứu d) Not applicable 56 57 58 59 60 Are the following risk factors considered: the criticality of the application processes, the value, sensitivity or criticality of the information involved, the past experience of system infiltration and misuse and the extent of system interconnection? a) Yes b) Partly c) No d) Not applicable Is equipment available to enable the quick and easy back-up of information on mobile computing facilities? a) Yes b) Partly c) No d) Not applicable Is remote access to business information across public networks only taking place after successful identification and authentication, and with suitable access control mechanisms in place? a) Yes b) Partly c) No d) Not applicable Are mobile computing facilities physically protected against theft, e.g during travelling and when left in hotel rooms, conference centres or meeting places? a) Yes b) Partly c) No d) Not applicable Are all users aware that equipment carrying important, sensitive and/or critical business information should not be left unattended and, where possible, should be physically locked away safely? a) Yes b) Partly c) No d) Not applicable ©SoICT-HUT Các nhân tố rủi ro xem xét: độ quan trọng tiến trình ứng dụng, giá trị thông tin liên quan, kinh nghiệm lần hệ thống bị thâm nhập trước kia, sử dụng không phạm vi hệ thống kết nối với nhau? a) Có b) Một phần c) Khơng d) Khơng áp dụng Có thiết bị sẵn sàng phép lưu thông tin nhanh dễ dàng tiện nghi tính tốn lưu động? a) Có b) Một phần c) Khơng d) Khơng áp dụng Truy cập từ xa tới thông tin thương mại thông qua mạng công cộng cho phép say xác minh thành công, với kỹ thuật kiểm sốt truy cập hợp lý áp dụng? a) Có b) Một phần c) Không d) Không áp dụng Các tiện nghị tính tốn lưu động bảo vệ vật lý chống lại trộm cắp? a) Có b) Một phần c) Không d) Không áp dụng Tất người dùng đếu nhận thức trang thiết bị quan trọng, hay thông tin kinh doanh cốt yếu không nên để không ý, tốt nên khóa an tồn vật lý? a) Có b) Một phần c) Khơng d) Khơng áp dụng Ví dụ như: để tiện nghi phòng khách sạn, trung tâm hội thảo … Có Có 60 ... ĐH BK HN Báo cáo kết nghiên cứu KHẢO SÁT THỰC TRẠNG QUẢN LÝ RỦI RO AN TỒN MẠNG MÁY TÍNH QUY MƠ DƯỚI 100 MÁY 2.1 Mục đích khảo sát Nhằm đánh giá thực trạng quản lý rủi ro an tồn mạng máy tính tổ... quản lý rủi ro an toàn mạng doanh nghiệp mức thấp, nhiều doanh nghiệp nhà quản lý tỏ thờ với việc quản lý rủi ro an toàn mạng 11.1.2 Xây dựng tài liệu hướng dẫn quản lý rủi ro cơng tác đảm bảo an. .. hình mạng máy tính: • Hướng dẫn cụ thể cách quản lý rủi ro an tồn mạng máy tính cho đơn vị (quy mơ 100 máy) • Nâng cao lực đối tượng tham gia vào quy trình quản lý rủi ro an tồn mạng máy tính quan,