Đề cương Quản lý an toàn thông tin

Thôngthường, thủ tục hoặc chính sách bảo mật này được thực thi để nói với con người quản trị, ngườidùng, người vận hành rằng làm thế nào để sử dụng sản phẩm mà vẫn đảm bảo an toàn thông

2 Khái niệm ATTT, Hệ thống TT

An toàn thông tin là bảo vệ thông tin và hệ thống thông tin nói chung khỏi các truy cập trái phép, sửdụng, làm lộ, làm hỏng, chỉnh sửa, ghi chép không được phép…

Hệ thống thông tin được chia thành 3 phần chính: phần cứng, phần mềm và kết nối với mục đíchgiúp cho việc phân loại và áp dụng các chuẩn về an toàn thông tin dễ dàng, thuận lợi nhất Thôngthường, thủ tục hoặc chính sách bảo mật này được thực thi để nói với con người (quản trị, ngườidùng, người vận hành) rằng làm thế nào để sử dụng sản phẩm mà vẫn đảm bảo an toàn thông tincủa cá nhân và trong cả tổ chức

-

Các lĩnh vực an toàn thông tin bao gồm:

- Physical security: Bảo vệ con người, tài sản vật chất, nơi làm việc

- Operation security: Bảo vệ khả năng của tổ chức để quá trình làm việc không bị ngắt hoặc bị tổn thương

- Communications security: Bảo vệ các phương tiện truyền thông, công nghệ thông tin và khả năng

sử dụng các công cụ này để đạt được mục tiêu nào đó

- Network security: Bảo vệ các thiết bị mạng, kết nối dữ liệu của tổ chức,và nội dung cũng như bảo

vệ khả năng sử dụng mạng lưới đó để hoàn thành,chức năng truyền dữ liệu của tổ chức

An ninh thông tin (InfoSec) là bảo vệ thông tin và các đặc điểm quan trọng (tính bảo mật, tính toàn vẹn

và tính khả dụng) bao gồm các hệ thống và phần cứng được sử dụng, việc lưu trữ và truyền tải thông tin thông qua việc áp dụng chính sách, đào tạo và nhận thức chương trình và công nghệ

3 Tam giác CIA?

Tam giác CIA là một trợ giúp trực quan mô tả các đặc điểm quan trọng của thông tin Các bộ phậncấu thành chính của nó là

+ Tính bí mật: để tránh lộ thông tin đến những đối tượng không được xác thực hoặc để lọt vào các hệ thống khác Để bảo vệ bí mật thông tin, một số biện pháp được sử dụng, bao gồm: ● Phânloại thông tin ● Lưu trữ dữ liệu an toàn ● Áp dụng các chính sách an ninh chung ● Giáo dục người quản lý và người dùng cuối ● Mã hóa

+ Tính toàn vẹn: có nghĩa là dữ liệu không thể bị chỉnh sửa,hư hỏng trong quá trình nhập, lưu trữ, trao đổi

+ Tính sẳn sàng: Mọi hệ thống thông tin đều phục vụ mục đích riêng của nó và thông tin phải 1luôn luôn sẵn sàng khi cần thiết Hệ thống có tính sẵn sàng cao hướng đến sự sẵn sàng ở mọi thời điểm, tránh được những rủi ro cả về phần cứng, phần mềm như: sự cố mất điện, hỏng phần cứng, cập nhật, nâng cấp hệ thống…

4 Mô tả mô hình an ninh CNSS ba chiều (dimension)?

Mô hình bảo mật CNSS cho thấy ba chiều chính của ATTT gồm : tính bảo mật, tính toàn vẹn và tínhkhả dụng; chính sách, giáo dục và công nghệ; và lưu trữ, xử lý và truyền tải

5 Sự riêng tư trong ATTT

Thông tin chỉ được sữ dụng cho mục đích mà chủ sỡ hữu của dữ liệu biết

Khi liên quan đến InfoSec (ATTT), định nghĩa về sự riêng tư là "trạng thái không bị quan sát,thu thập,

sữ dụng và lưu trữ trái phép" định nghĩa này tập trung vào dữ liệu và đề cập đến việc thông tinđang được quan sát chỉ bởi các bên được ủy quyền bằng các chính sách có liên quan, bất kể nhữngchính sách đó có thể là gì (do đó không liên quan đến các quyền cá nhân hoặc tự do)

6 Định nghĩa các quy trỉnh ATTT sau: identification – xác thực, authentication - chứng thực, authorization – cấp quyền, and accountability – trách nhiệm giải trình.

+ Định danh (Identification) tức là việc xác định đối tượng đó là ai, là cái gì qua username or ID+ Authentication (chứng thực) nó là quá trình kiểm tra danh tính của người dùng hoặc một hệ thốngMột cách đơn giản quá trình Authentication là đi tìm câu trả lời cho câu hỏi “Bạn là ai?” và xemthông tin đó có đúng hay không Quá trình này rất thông dụng tương tác người dùng thông quaform đăng ký (và nó được xác thực dựa trên tên người dùng và mật khẩu

+ Authorization (uỷ quyền) : đi tìm câu trả lời cho câu hỏi “Bạn được phép làm gì?”Xét về mặt logicthì authorization được thực thi sau khi authentication hoàn thành Điều này có nghĩa là sau khi xácđịnh được danh tính người dùng (authentication), hệ thống sẽ tiếp tục kiểm tra xem người dùng cóthể làm gì trên tài nguyên (url, tập tin, chức năng…) của hệ thống hay còn gọi là phân quyền trên hệthống

+ Tính không thể chối cải (Accountability) xảy ra khi một kiểm soát cung cấp sự đảm bảo rằng mọihoạt động được thực hiện có thể được quy cho một người có tên hoặc quy trình tự động

7 Quản lý và vai trò của người quản lý?

- Quản lý là quá trình đạt được các mục tiêu sử dụng một nguồn nhân lực, tài nguyên nhất định

- Người quản lý: là thành viên của tổ chức được giao nhiệm vụ sắp xếp và quản lý các nguồn lực, điềuphối việc hoàn thành nhiệm vụ và xử lý nhiều vai trò cần thiết để hoàn thành các mục tiêu mongmuốn

- Vai trò người quản lý:

+ Vai trò thông tin - Thu thập, xử lý và sử dụng thông tin có thể ảnh hưởng đến việc hoàn thành mụctiêu

+ Vai trò liên thông - Tương tác với cấp trên, cấp dưới, bên liên quan bên ngoài và các bên khác cóảnh hưởng hoặc bị ảnh hưởng bởi việc hoàn thành nhiệm vụ

+ Vai trò quyết định – Thực hiện lựa chọn từ các phương pháp tiếp cận thay thế và giải quyết xungđột, tình trạng khó khăn hoặc thách thức

8 So sánh Lãnh đạo (leadership) và quản lý (management)

- Giống: cả 2 đều thực hiện vai trò hướng dẫn (guiding) người khác

- Khác

+ Một leader là người có chuyên môn cao, trực tiếp ảnh hưởng đến nhân viên để họ sẵn sàng đạtđược các mục tiêu Người đó được mong đợi sẽ dẫn dắt bằng ví dụ và thể hiện những đặc điểm cánhân mà làm cho người khác phải ham muốn Nói cách khác, lãnh đạo cung cấp mục đích, chỉ đạo

và động cơ cho những người theo đuổi mục tiêu đó

+ người quản lý quản lý các nguồn lực của tổ chức Anh ta tạo ra ngân sách, cho phép chi tiêu, vàthuê nhân viên ( quản lý tốt các vấn đề được giao mà không vi phạm bất cứ điều gì theo đúng lộ trì

cv và k cần có chuyên môn

+ Các nhà quản lý hiệu quả cũng là những nhà lãnh đạo hiệu quả

- Điều gì làm nên 1 good leader:

+ Biết nhược điểm và tự cãi thiện bản thân, Có kĩ thuật và chiến lược thông thạo, Biết chịu trách nhiệm cho những hành động của bản thân, Thực hiện các quyết định đúng đắn và và hợp lý Đặt ví dụ Giữ thông tin cho cấp dưới Phát triển tinh thần trách nhiẹm cho cấp dưới Đảm bảo công việc được hiểu, được giám sác và được hoàn thành Xây dựng team Sữ dụng team tuỳ theo khả năng của họ

+ Đặc điểm của 1 good leader: chịu trách nhiệm, can đảm,quyết đoán,tự lập, biết chịu đựng, nhiệt tình,

sáng tạo,chủ động trong cv,phán quyết,trung thành, có kiến thức, công bằng,có chiến thực, không ít kỉ

- Behavioral của leader : Autoratic : hành động theo định hướng – do as i say ; Democratic ( dân chủ ) hành động theo định hướng bà ít hiểu quả hơn Laissez-faire : tự do hành động và sáng tạo)

9 Những đặc điềm của quản lý ?

POLC

- Planning (lên kế hoạch): là Quá trình xây dựng, sáng tạo và thực hiện các chiến lược để hoàn thànhcác mục tiêu (Chiến lược - xảy ra ở cấp cao nhất của tổ chức ; Chiến thuật - tập trung vào dự án sảnxuất và tích hợp các nguồn lực của tổ chức ; Operational - tập trung vào hoạt động hàng ngày củacác nguồn lực ) -> để thành công phải xác định rõ mục tiêu và mục đích

- Organizing (tổ chức): Chức năng quản lý dành cho việc cấu trúc các nguồn lực để hỗ trợ thực hiệncác mục tiêu (Cần phải xác định: Điều gì được thực hiện theo thứ tự nào, bởi, bằng cách nào và khinào)

- Leading (lãnh đạo): khuyến khích việc thực hiện quy hoạch và tổ chức các chức năng

- Controlling (kiểm soát): là việc giám sát tiến độ hoàn thành và thực hiện các điều chỉnh cần thiết đểđạt được mục tiêu mong muốn

10 Ba loại lên kế hoạch thông thường (general planning) là gì? định nghĩa từng loại.

● Lập kế hoạch chiến lược - Điều này xảy ra ở cấp cao nhất của tổ chức và trong một thời gian dài,thường là năm năm hoặc nhiều hơn

● Lập kế hoạch chiến thuật - Tập trung vào việc lập kế hoạch sản xuất và tích hợp các nguồn lực của

tổ chức ở mức thấp hơn toàn bộ doanh nghiệp và trong một khoảng thời gian trung bình (chẳng hạn

từ 1 đến 5 năm)

● Lập kế hoạch hoạt động - Tập trung vào các hoạt động hằng ngày của các nguồn lực địa phương

và xảy ra trong hiện tại hoặc trong ngắn hạn

11 5 bước của một quy trình giải quyết vấn đề thông thường.

- Bước 1: Nhận biết và xác định vấn đề

- Bước 2: Thu thập dữ kiện và giả định

- Bước 3: Phát triển các giải pháp khả thi

- Bước 4: Phân tích và so sánh các giải pháp khả thi

- Bước 5: Lựa chọn, thực hiện và đánh giá

12 Định nghĩa quản lý dự án (project management) Tại sao việc quản lý dự án được quan tâm đặc biệt trong lĩnh vực ATTT

- Quản lý dự án liên quan đến việc xác định và kiểm soát các nguồn lực được áp dụng cho dự án cũngnhư tính toán tiến độ và điều chỉnh quá trình khi tiến độ đạt được đến mục tiêu

- InfoSec là một quá trình chứ không phải là một dự án Tuy nhiên, mỗi yếu tố của một chương trìnhInfoSec phải được quản lý như là một dự án, ngay cả khi chương trình tổng thể là đang diễn ra liêntục Một dự án khác với quy trình vì đó là hoạt động tạm thời và đang tạo ra sự thay đổi về tổ chức.

13 Tại sao các kỹ năng quản lý dự án lại quan trọng đối với chuyên gia ATTT?

• Thực hiện một phương pháp như SecDLC

• Việc đưa ra một kế hoạch chi tiết về các hoạt động của dự án cung cấp một công cụ tham khảochung

• Xác định trách nhiệm cụ thể cho tất cả các nhân viên liên quan làm giảm sự mơ hồ và cũng làmgiảm sự nhầm lẫn khi các cá nhân được giao cho các dự án mới hoặc khác

• Xác định rõ ràng các ràng buộc của dự án (khung thời gian, ngân sách) và yêu cầu chất lượng tốithiểu làm tăng khả năng dự án sẽ nằm trong các ràng buộc đó

• Thiết lập các biện pháp thực hiện và tạo ra các cột mốc của dự án đơn giản hóa việc giám sát

• Xác định sai lệch về chất lượng, thời gian hoặc ngân sách sớm cho phép điều chỉnh sớm vấn đềnày

14 Làm thế nào đề an ninh thông tin trở thành cả 1 dự án (project) và 1 quy trình (process).

An ninh không phải là một nỗ lực một lần, mà là một quá trình lặp đi lặp lại mà phải được tập trungvào cho ‘cuộc đời’ của hệ điều hành Mục đích là, nếu hệ điều hành hoặc người dùng phát hiện rarằng hệ thống đã bị xâm nhập, một bản cập nhật có thể được bắt đầu và - sau khi khởi động lại - hệthống sẽ được trả về trạng thái tốt đã biết

- Nguyên tắc quản lý ATTT: là 1 phần của team quản lý tổ chức.Các đặc điểm mở rộng:

- Planning : bao gồm mô hình lập kế hoạch infosec : những hoạt động cần thiết để hỗ trợ thiết kết, tạo ra,thực thi chiến lược bảo mật thông tin bao gồm: kết hoạch duy trình hoạt động doanh nghiệp,

kế hoạch phản ứng trước sự cố/thảm hoạ, chính sách , nhân viên, triển khai công nghệ, quản lý rủi ro và những chương trình an tòn bao gồm giáo dục, tập huấn và nhận thức

- Policy: hướng dẫn chung về 1 số hành vi trong tổ chức bao gồm : chính sách bảo mật doanh nghiệp, chính sách an ninh cho từng vấn đề cụ thể và chính sách cụ thể về hệ thống

- Programs: Các chương trình cụ thể quản lý trong IS domain, chương trình SETA, các chương trình khác như chương trình an ninh vật lý, truy cập vật lý, cổng, bảo vệ ?

- Protection: Các quản động quản lý rủi ro, cũng như bảo vệ cơ chế, công nghệ và công cụ

- People: Con người là mối liên kết quan trọng nhất -> SETA

- Project Management: xác định và kiểm soát các nguồn lực để đạt được mục tiêu

CHƯƠNG 2: SECURITY PLANNING

1 Kế hoạc là gì

Kế hoạch là phương tiện có ảnh hưởng lớn trong việc quản lý các nguồn lực trong các tổ chức Nóđòi hỏi phải đưa ra một loạt các hành động để đạt được mục tiêu cụ thể trong một khoảng thời gian

cụ thể và trong việc thực hiện kiểm soát các bước để đạt được mục tiêu đó Kế hoạch cung cấphướng đi cho một tổ chức trong tương lai Nó làm tăng hiệu quả và ngăn ngừa sự lãng phí và nỗ lựctrùng lặp lại (Do những lãnh đạo của tổ chức lựa chọn hướng đi, kế hoạch bắt đầu từ những điềuchung và kết thúc bằng điều cụ thể)

- Thông thường từ quan điểm đạo đức, kinh doanh và triết học và quan điểm của tổ chức

2 Lập kế hoạch chiến lược bao gồm:

- Values Statement – tuyên bố giá trị

- Vision Statement – tuyên bố tầm nhìn

- Mission Statement – tuyến bố sứ mệnh

- Kế hoạch phối hợp cho các đơn vị trực thuộc

3 Những bên liên quan ( kế hoạch bao gồm những đối tượng)

- Liên quan: nhân viên,quản lý,cổ đông,các bên liên quan bên ngoài khác,môi trường vật lý, môitrường chính trị và pháp lý, môi trường cạnh tranhvà môi trường công nghệ

- Khi lập kế hoạch, một tổ chức phải xem xét tất cả các bên liên quan để đánh giá các quyết định quyhoạch đúng và có nguồn lực

4 Tuyên bố giá trị là gì? Tuyên bố tầm nhìn là gì? Tuyên bố nhiệm vụ là gì?

- Tuyên bố giá trị (values statement): tập hợp chính thức các nguyên tắc tổ chức và chất lượng của tổchức sau đó Vd : Ví dụ: cam kết của RWW cam kết, trung thực, toàn vẹn và trách nhiệm xã hội giữacác nhân viên của công ty và cam kết cung cấp các dịch vụ của mình hài hoà với công ty, môi trường

tự nhiên

- Tuyên bố tầm nhìn (vison statement): Là một hình ảnh, tiêu chuẩn, hình tượng độc đáo và lý tưởng trong tương lai, là những điều doanh nghiệp muốn đạt tới hoặc trở thành.vd : Trường Đại học Ngoại thương là trường đại học tự chủ, theo định hướng nghiên cứu, nằm trong nhóm các trường đại học hàng đầu của khu vực.

- Tuyên bố sứ mệnh (mission statement): Là lý do để tổ chức tồn tại Các tổ chức thường thể hiện sứmệnh của mình bằng một "tuyên bố sứ mệnh” xúc tích, ngắn gọn, giải thích tổ chức đó tồn tại đểlàm gì và sẽ làm gì để tồn tại Vd : S ứ mạng của trường Đại học Ngoại thương là đào tạo nhân tài và cung cấp nguồn nhân lực chất lượng cao trong các lĩnh vực kinh tế, kinh doanh, quản trị kinh doanh, tài chính - ngân hàng, luật,

5 Chiến lược là gì?

Chiến lược là tập hợp các quyết định về các mục tiêu dài hạn và các biện pháp, các cách thức, con đường đạt đến các mục tiêu đó

-

- Xây dựng chiến lược chung

- Tạo ra các kế hoạch chiến lược cụ thể cho các bộ phận chính

• Mỗi cấp độ phân chia chuyển chúng đó thành những mục tiêu cụ thể cho những cấp dưới

• Để thực hiện chiến lược rộng này, các nhà quản lý phải xác định trách nhiệm quản lý cá nhân ( CEO tạo ra những chiến lược chung, CISO chịu trách nhiệm cho chiến lược ATTT , CIO chịu trách nhiệm phân lược IT)

 Các mục tiêu chiến lược sau đó được chuyển thành các nhiệm vụ với các mục tiêu cụ thể (specific), có thể đo lường được(measurable), có thể đạt được(achiavable), hợp lý ( reasonably)

và cao về thời gian ( time-bound objective) (SMART) • Kế hoạch chiến lược sau đó bắt đầu chuyển đổi từ các mục tiêu tổng quát sang mục tiêu cụ thể

6 Quản trị InfoSec ( CISO) là gì?

Quản trị InfoSec và CIO đóng vai trò quan trọng trong việc chuyển đổi những chiến lược tổng thểcủa CEO thành kế hoạch An ninh thông tin về chiến thuật và kế hoạch vận hành attt

CSIO tạo ra những kế hoạch ATTT với tần nhìn về tương lai của an ninh ở CTY X, hiểu được nhữnghoạt động cơ bản do cty này thực hiện để đề xuất những giải pháp an ninh phù hợp và xây dựngnhững kế hoạch hành động, ngân sách, báo cáo trạng thái và các phương tiện quản lý hàng đầukhác nhầm cải thiện trạng thái attt hiện có ở cty x

bao gồm tất cả các trách nhiệm giải trình và các phương pháp do ban giám đốc và ban điều hànhquản lý để cung cấp định hướng chiến lược, thiết lập các mục tiêu, đo lường tiến độ đạt được cácmục tiêu đó, xác minh các hoạt động quản lý rủi ro là phù hợp và xác nhận tài sản của tổ chức được

sử dụng đúng

7 Hội đồng quản trị nên đề nghị gì mà để nghị đó như một mục tiêu ATTT của tổ chức?

- Đưa ra một nền văn hoá công nhận sự quan trọng của thông tin và InfoSec đối với tổ chức

- Xác minh rằng đầu tư của quản lý trong InfoSec đúng với các chiến lược của tổ chức và môi trườngrủi ro của tổ chức

- Đảm bảo rằng một chương trình InfoSec toàn diện được xây dựng và triển khai

- Yêu cầu báo cáo từ các lớp quản lý khác nhau về hiệu quả và tính đầy đủ của chương trình InfoSec

8 Năm kết quả cơ bản cần đạt được thông qua quản trị InfoSec là gì?

- Sự kết hợp chiến lược của InfoSec với chiến lược kinh doanh để hỗ trợ các mục tiêu của tổ chức

- Quản lý rủi ro bằng cách thực hiện các biện pháp thích hợp để quản lý và giảm thiểu các mối đe dọađối với các nguồn thông tin

- Quản lý tài nguyên bằng cách sử dụng kiến thức và cơ sở hạ tầng InfoSec hiệu quả và hiệu quả

- Đo lường hiệu quả bằng cách đo lường, giám sát và báo cáo Quản lý InfoSec để đảm bảo đạt đượcmục tiêu về tổ chức

- Phân phối giá trị bằng cách tối ưu hóa các khoản đầu tư của InfoSec để hỗ trợ các mục tiêu của tổchức

9 Mô tả lập kế hoạch chiến lược từ trên xuống Nó khác với kế hoạch chiến lược từ dưới lên như thế nào? Chiến lược nào thường hiệu quả hơn trong việc thực hiện bảo mật trong một tổ chức lớn và đa dạng?

- kế hoạch chiến lược top-down: Cách tiếp cận bảo mật trong đó việc quản lý ‘cấp cao’ (upper) sẽ chỉđạo hoạt động và hỗ trợ và trong đó các nhà quản lý cấp cao cung cấp nguồn lực; đưa ra hướng;ban hành chính sách, thủ tục và quy trình; điều khiển các mục tiêu và kết quả mong đợi của dự án;

và xác định ai là người chịu trách nhiệm về mỗi hành động được yêu cầu

- So sánh:

+top-down: là một phương pháp thiết lập các chính sách an ninh được khởi xướng bởi ban quản lýcấp trên

+bottom-up:: kế hoạch chiến lược được khởi xướng bời những nhân viên cấp độ thấp hơn

- Cái nào phù hợp ý 3: top-down

10 SecSDLC khác SDLS thông thường như thế nào

SecSDLC là một phương pháp tập trung vào bảo mật nó liên quan đến việc xác định các mối đe dọa

và rủi ro cụ thể của người đại diện sau đó nó thiết kế các biện pháp đối phó và kiểm soát cụ thể đểquản lý các rủi ro

11 Mục tiêu chính của SecSDLC là gì? Các bước chính của nó là gì, và các mục tiêu chính của từng bước là gì?

- Mục tiêu chính của SecSDLC là thực hiện việc xác định các rủi ro cụ thể và mối đe dọa mà chúng gây

ra cho công ty SecSDLC cũng quan tâm đến việc thiết kế và thực hiện các kiểm soát cụ thể để chống

lại những rủi ro có thể xảy ra Điều này hàm ý rằng bảo mật thông tin là một chương trình hợp lý tráivới một chuỗi các câu trả lời.

- Các bước chính:

+ Điều tra - Đội ngũ quản lý, nhân viên và chuyên gia tư vấn được tập hợp để điều tra các vấn đề,xác định phạm vi, xác định mục đích và xác định các ràng buộc khác không được đề cập trong chínhsách an ninh doanh nghiệp

Phân tích - Các tài liệu từ giai đoạn điều tra được nghiên cứu

+ Thực hiện - Các giải pháp bảo mật được mua lại, thử nghiệm, triển khai và thử nghiệm lại

+ Bảo trì: Trong khi một mô hình quản lý hệ thống được thiết kế để quản lý và vận hành các hệthống thì một mô hình bảo trì nhằm bổ sung mô hình quản lý hệ thống và tập trung những nỗ lựcbảo trì liên tục cần thiết để giữ cho các hệ thống có thể sử dụng và an toàn

12 Đâu là một mối đe dọa trong bối cảnh InfoSec? 12 loại đe dọa được trình bày trong chương này

là gì?

- Trong bối cảnh an ninh thông tin, mối đe dọa là "một người, một đối tượng hoặc một thực thể khácđại diện cho yếu tố nguy cơ cho sự mất mát hoặc thiệt hại của thông tin hoặc tài sản tổ chức

- 12 loại

 Thỏa thuận đối với sở hữu trí tuệ: Vi phạm bản quyền phần mềm hoặc vi phạm bản quyền khác

 Sự khác biệt về chất lượng dịch vụ từ các nhà cung cấp dịch vụ: Biến động về điện, dữ liệu và cácdịch vụ khác

 Gián điệp hoặc xâm phạm: Truy cập trái phép và / hoặc thu thập dữ liệu

 Thiên tai : cháy, lũ lụt, động đất, sét vv

 Lỗi do con người: tai nạn, sai lầm của nhân viên, không tuân theo chính sách

 Tống tiền thông tin: đe dọa tống tiền về việc tiết lộ thông tin

 Phá hoại: Thiệt hại hoặc phá hủy các hệ thống hoặc thông tin

 Các cuộc tấn công phần mềm: Phần mềm độc hại: virus, sâu, macros, DOS, hoặc script injections

 Các lỗi kỹ thuật phần cứng: Phần cứng bị lỗi

 Lỗi kỹ thuật phần mềm: Bugs, các vấn đề về code, lỗ hổng, backdoor

 Công nghệ lỗi thời hoặc lạc hậu: sữ dụng phần mềm lỗi thời

 Trộm cắp: Lấy thiết bị hoặc thông tin trái phép

13 Sự khác biệt giữa một mối đe dọa (threat) và một cuộc tấn công (attack) là gì?

Các mối đe dọa là những khu vực có khả năng tấn công Một cuộc tấn công là một hành động hoặc

sự kiện khai thác những lỗ hổng đó

14 Làm thế nào một lỗ hổng có thể bị chuyển đổi thành một cuộc tấn công?

Threat agent Back doors, brute force, buffer overflow

15 Tên nào được đưa ra cho một cuộc tấn công mà làm cho việc sử dụng các virus và sâu (worm)? Cái tên được đưa ra cho một cuộc tấn công mà không thực sự gây ra thiệt hại khác hơn là lãng phí thời gian và nguồn lực?

Malicious code (mã code độc hại)

Hoaxes (lừa dối)

16 Những câu hỏi nào có thể được yêu cầu để giúp xác định và phân loại tài sản thông tin? Đâu là câu hỏi quan trọng nhất để hỏi?

(*)Tài sản thông tin nào là quan trọng nhất đối với sự thành công của tổ chức?

Tài sản thông tin nào tạo ra doanh thu nhiều nhất?

Tài sản thông tin nào có lợi nhuận cao nhất?

Tài sản thông tin nào là đắt nhất để thay thế?

Tài sản thông tin nào là đắt nhất để bảo vệ?

17 Tên nào được trao cho quá trình phân loại đánh giá rủi ro so sánh cho từng tài sản thông tin cụ thể? Việc sử dụng đánh giá như vậy là gì?

Risk management and assessment (Quản lý rủi ro và đánh giá)

Quantitatively assess the risk and vulnerability of each asset (Đánh giá định lượng rủi ro và tính dễtổn thương của mỗi tài sản.)

18 Thuật ngữ nào được sử dụng để mô tả việc cung cấp các quy tắc nhằm bảo vệ tài sản thông tin của một tổ chức?

Maintenance model, ISO Management Model, Security Management model, Security ProgramManagement

(Mô hình quản lý, Mô hình quản lý ISO, Mô hình quản lý an ninh, Quản lý Chương trình An ninh)

19 Thuật ngữ nào được sử dụng để mô tả biện pháp kiểm soát nhằm giảm sự cố an ninh giữa các thành viên của tổ chức bằng cách làm quen với các chính sách và thông lệ liên quan một cách liên tục?

SETA program

20 Ba loại điều khiển InfoSec là gì? Mỗi loại được sử dụng như thế nào để giảm rủi ro cho tổ chức?

Managerial Controls – covers strategic planning

Operational Controls – covers operational planning

Technical Controls – covers tactical planning

- Chu trình phát triển hệ thống ( Systems Development life cycle SDLC)

+ SDLC là phương pháp cho thiết kế và thực hiện của hệ thống thông tin Các dự án dựa trên SDLC có thểbắt đầu bởi sự kiện hoặc lên dự án Kết thúc mỗi gian đoạn sẽ có 1 đánh giá xảy ra khi người đánh giá xúc định nếu dự án đó nên tiếp tục, k nên tiếp tục, thuê bên ngoài làm hay hoãn lại

+ Exploit ( khai thác ) : Là kĩ thuật hoặc cơ chế được dùng để khai thác , xâp nhập hệ thống

+ Vulnerability : Lỗ hổng là điểm yếu hay thiếu xót trong ứng dụng, hệ thống hay qui trình Cho phép

kẻ tấn công có thể khai thác để truy cập trái phép vào các tài nguyên của hệ thống, làm tổn hại tới các bên tham gia hệ thống Lỗ hổng có thể nằm trong khâu thiết kế hay việc thực thi, cài đặt, triển khai ứng dụng, hệ thống.

- Quản lý rủi ro• Sử dụng một số được đề nghị cho mỗi loại đe dọa và các phương pháp tấn công liên

quan

• Để quản lý rủi ro, bạn phải xác định và đánh giá giá trị của tài sản thông tin của bạn

• Ðánh giá rủi ro đánh giá mức độ rủi ro so sánh hoặc điểm cho từng tài sản thông tin cụ thể

• Quản lý rủi ro xác định các lỗ hổng trong một hệ thống thông tin của tổ chức và phải cẩn thận trong các bước để đảm bảo tính bí mật, tính toàn vẹn, và tính khả dụng của tất cả các thành phần trong hệ thống thông tin của tổ chức

- Thiết kế trong SecSDLC • Gồm 2 giai đoạn riêng biệt: - Thiết kế logic: các thành viên trong nhóm tạo ra và phát triển một kế hoạch chi tiết về an ninh, và kiểm tra và thực hiện các chính sách chủ chốt

- thiết kế vật lý: các thành viên trong nhóm đánh giá những công nghệ cần thiết để hỗ trợ cho kế hoạch an ninh, tạo ra các giải pháp thay thế và thoả thuận về bản thiết kế cuối cùng

- Mô hình bảo mật : • Các nhà quản lý an ninh thường sử dụng các mô hình bảo mật đã được thiết lập

để thiết kế • Các mô hình bảo mật cung cấp frameworks để đảm bảo rằng tất cả các lĩnh vực an ninh được giải quyết • Các tổ chức có thể điều chỉnh hoặc chấp nhận một framework để đáp ứng nhu cầu bảo mật thông tin của riêng họ

- Chứng nhận

– CISSP: Certified Information Systems Security Professional

– SSCP: Systems Security Certified Practitioner

– GIAC: Global Information Assurance Certification

– SCP: Security Certified Program

– ICSA: International Computer Security Association

– Security +

– CISM: Certified Information Security Manager

ÔN TẬP CHƯƠNG 3 : CONTINGENCY PLANNING

1 Kế hoạch dự phòng là gì ?

- Contingency Planning ( kế hoạch dự phòng) , kế hoạch chuẩn bị,phản ứng,phục hồi cho những sựkiện bất thường, không mong đợi xảy ra nhầm duy trì hoạt động doanh nghiệp và giảm thiểu nhữngchi phí phải bỏ ra để giải quyết những vấn đề không mong muốn Bao gồm 4 thành phần :

 Business impact analysis (BIA) : phân tích hoạt động kinh doanh

 Incident Response Planning (IRP) : Là những quy trình, thủ tục về việc dự đoán, phát hiện và giảmnhẹ tác động của một sự kiện bất ngờ có thể ảnh hưởng đến tài nguyên và tài sản thông tin

 Disaster Recovery Planning (DRP) : kế hoạch chuẩn bị và khôi phục thảm họa kể cả do thiên nhiênhay do con người làm

 Business Continouos Planning (BCP) : Đảm bảo các hoạt động của doanh nghiệp vẫn có thể tiếp tụckhi bị thảm hoạ

• Đảm bảo tính liên tục trong tất cả các quy trình lên kế hoạch dự phòng : Xác định sứ mệnh hoặccác chức năng kinh doanh quan trọng- Xác định các nguồn hỗ trợ các chức năng quan trọng đó- Dựliệu tiềm năng hoặc thảm hoạ- Chọn chiến lược lập kế hoạch dự phòng- Thực hiện chiến lược đượclựa chọn- Kiểm tra và sửa đổi kế hoạch dự phòng

2 Liệt kê quy trình CP gồm bảy bước do NIST đề xuất

1 Tuyên bố Xây dựng chính sách CP chính thức và hướng dẫn cần thiết để xây dựng chính sách dựphòng hiệu quả

2 Thực hiện BIA (phân tích hoạt động kinh doanh) để xác định và ưu tiên những thông tin hệthống và các thành phần quan trọng để hỗ trợ quy trình kinh doanh của tổ chức

3 Xác định các biện pháp phòng ngừa các biện pháp được thực hiện để giảm tác động của biến

cố và tăng tính sẵn có của hệ thống, giảm chi phí phục hồi

4 Tạo chiến lược dự phòng Chiến lược thu hồi cần cẩn thận, đảm bảo rằng hệ thống có thể đượcphục hồi nhanh chóng và hiệu quả sau sự gián đoạn

5 Xây dựng kế hoạch dự phòng Kế hoạch này cần bao gồm các hướng dẫn chi tiết và và thủ tụckhôi phục các thành phần hư hỏng của tổ chức

6 Đảm bảo kiểm thử, đào tạo và thực hiệnkế hoạch Thử nghiệm xác nhận kết quả (khả năngphục hồi của kế hoạch) đào tạo nhân viên và cải thiện kết quả và chuẩn bị tổ chức tổng thể

7 Đảm bảo duy trì kế hoạch, kế hoạch cần đc cập nhật hệ thống và những thay đổi của tổ chức

3 liệt kê và mô tổ các đội trong CP, và vai trò của từng team

1 CPMT (contingency planning management team) team : thu thập thong tin hệ thống của tổ chức

và những mối đe dọa à tổ chức phải đối mặt, thực hiện phân tích hoạt động kinh doanh (BIA),sau đó điều phối các kế hoạch IR, DR, BC Nhân viên team này bao gồm 3 thành phần:

2 Incident response team: nhóm này thực thiện quản lý và thực thi IRP bằng việc phát hiện, đánhgiá và phản ứng các sự cố

3 Disaster Recovery Team: nhóm này thực hiện kế hoạch quản lý và thực hiện kế hoạc DR bằngcách phát hiện , đánh giá và ứng phó với thiên tai và tái thiết các hoạt động ở cấp cơ sở chính

4 Business Continuous team: nhóm này quản lý và thực hiện kế hoạch BC bằng cách thiết lập và bắtđầu hoạt động bên ngoài trong trường hợp có sự cố hoặc thiên tai

4 Liệt kê và mô tả các tiêu chí được sử dụng để xác định liệu một vụ việc thực tế có xảy ra hay không

1 Loss of availability: thông tin hay thông tin hệ thống trở nên không có sẵn

2 Loss of integrity: (tính toàn vẹn) người dùng báo cáo những tệp dữ liệu bị hỏng, file rác hay dữliệu có vẻ khác thường( bị hỏng)

3 Loss of confidentiality : (tính bảo mật) rò rỉ thông tin nhạy cảm, hay thông tin bí mật bị tiết lộ

4 Violation of policy : vi phạm chính sách của tổ chức về giài quyết thông tin hay Infor Sec

5 Violation of law or regulation : phá vỡ luật hay tài sản thông tin của tổ chức

5 Liệt kê và mô tả các bước IR planning:

1 Notification of key personal: sau khi phát hiện xảy ra biến cố, cần thông báo tới những người cólien qua đề giải quyết sự cố : cấp cứu, cứu hỏa, quản lý cấp trên Một danh sách cảnh báo làmột tài liệu có chứa thông tin liên lạc về cá nhân được thông báo trong trường hợp có sự cố

thực sự có 2 cách liên lạc: tuần tự và cấp bậc.danh sách cảnh báo cần được duy trì, kiểm tra vàtập uyện thường xuyên nếu nó vẫn giữ được hiệu quả.

2 Documenting an Incident: tài liệu phải ghi lại who, what, when, where , why và how each actiontrong khi xảy ra biến cố

3 Incident Containment Stratigies: ngăn chặn sự cố và phục hồi các hệ thống bị ảnh hưởng chiếnlược ngăn chặn bao gồm:

- Tắt tài khoản người dùng bị xâm nhập

- Cấu hình lại tường lửa để chặn lưu lượng truy cập có vấn đề

- Tạm tắt tiến trình hoặc ứng dụng bị xâm nhập

- Ngưng ứng dụng hoặc máy chủ đường truyền

- Ngừng tất cả các máy tính và thiết bị mạng

4 Incident Escalation:

Xác định tại thời điểm nào, biến cố sẽ chuyển thành Disaster RECovery, từ đó xác định các côngviệc cần thực hiện trong IRP

5 Recovering from Incident:

- Phát hiện và khắc phục những tổn thương mà biến cố gây ra cho tổ chức hay hệ thống

- Giải quyết, cái đặt, thay thế hay cập nhật nhựng máy tính, server bị dừng hay ảnh hưởng bởi sựbiến cố

- Khôi phục data từ backup, services và processes

- Tiếp tục hệ thống giám sát

- Khôi phục niềm tin của các thành viên trong tổ chức

6 Thi hành luật pháp:

Liệt kê và mô tả các hành động cần được thực hiện trong một lần phản ứng

- Lập hồ sơ và thủ tục cần dùng trong cuộc biến cố và phân công cho cá nhân hay nhóm cụ thể

6 danh sách cảnh báo, thông tin cảnh báo, 2 cách cảnh báo

- Danh sách cảnh báo là danh sách thông tin các cá nhân hay tổ chức được lưu ý khi 1 biến cố thực sựxảy ra

- Thông điệp cảnh báo là mô tả về vụ việc bao gồm đủ thông tin cho mỗi phản hồi, biết đc phần nào

kế hoạch IR mà không ảnh hưởng đến quá trình thông báo

- Có 2 loại cảnh báo: tuần tự và cấp bậc:

 Tuần tự: thông báo cho từng ng 1 trong danh sách cảnh báo, như vậy thì k bị thiếu sót, nhưng tốnthời gian vì chỉ có 1 ng lien lạc tới những ng trong danh sách cảnh báo

 Cấp bậc: gọi cho 1 người, người đó sẽ thông báo cho người được chỉ định, và tiếp tục như thế đếnhết, cách này nhanh hơn, nhưng có thể thiếu sót vì k kiểm soát đc danh sách cảnh báo

7 Liệt kê và mô tả một số chiến lược ngăn chặn đưa ra trong văn bản Về nhiệm vụ nào họ tập trung?

- Một số chiến lược ngăn chặn:

 Tắt tài khoản người dùng bị xâm nhập

 Cấu hình lại tường lửa để chặn lưu lượng truy cập có vấn đề

 Tạm tắt tiến trình hoặc ứng dụng bị xâm nhập

 Ngưng ứng dụng hoặc máy chủ đường truyền

 Ngừng tất cả các máy tính và thiết bị mạng

8 đánh giá thiệt hại là gì, và dùng để làm gì??

- Đánh giá thiệt hại là xác định phạm vi xâm hại tính bảo mật, toàn vẹn,, sẵn sàng của thông tin vàđánh giá thông tin

9 Những tiêu chuẩn nào nên được sử dụng khi xem xét liệu có liên quan đến các cơ quan thi hành luật trong một vụ việc?

*Câu này thấy trên lớp th k nói hay sao mà mình k ấn tượng, nên bỏ qua câu này, vs lại tìm tromsách cũng k biết chỗ nào luôn*

10 Kế hoạch khôi phục thảm hoạ là gì và tại sao lại quan trọng đối với tổ chức?

- disaster recovery plan: khi 1 cuộc biến cố theo thang, thì IR planning k còn có thể giải quyết đc, thìlúc này, kế hoạch khôi phục thiên tai dùng đề đánh giá và khôi phục sự cố sau thiên tai dù là dothiên nhiên hay con người tạo ra

- disaster recovery plan quan trọng vì khi IRP k thẩ khắc phục tình trạng của tổ chức khi có biến cố xảy

ra, thiết lập lại các hoạt động bình thường của tổ chức , thì DRP là kế hoạch cấn thiết, bời chỉ khikhôi phục đc thiên tai thì mới quyết định là tổ chức có thể tiếp tục hoạt đông hay không

11 Liệt kê và mô tả hai thảm hoạ khởi phát nhanh Liệt kê và mô tả một thảm hoạ chậm khởi phát ???

- Rapid-onset disasters: xảy ra bất ngờ, ít cảnh báo trước, ảnh hưởng tới sự sống của con người vàphá hủy sản phẩm, thường xảy ra do thiên nhiên : động đất, lũ lụt, lốc xoáy, …

 Flood: có thể gây thiệt hại cho toàn bộ hệ thống thông tin của tòa nhà hoặc phá hoại 1 phần của hệthống cũng có thể gián đoạn hoạt động bằng cách gián đoạn lối ra vào của tòa nhà chứ toàn bộ or 1phần hệ thống thông tin Có thể giảm nhẹ thiệt hại = bảo hiểm lụ lụt hoặc bảo hiểm gián đoạn kinhdoanh

 Earthquake : (động đất) : gây thiệt hại trực tiếp cho tòa nhà chứa hệ thống thông tin, hoặc giánđoạn hoặt động = cách gián đoạn tiếp cận hệ thống trong tòa nhà, có thể giảm nhẹ thiệt hại = bảohiểm

- Slow-onset disaster: ( khởi phát chậm) xảy ra theo time và dần dần giảm khả năng chịu đựng của 1

tổ chức, nguyên nhận thường: hạn hán, sa mạc hóa, phá rừng, …

 Phá rừng: làm ãnh hưởng tới khí hậu nơi tòa nhà chứa hệ thống, từ đó gián đoạn việc tiếp cận hệthống, ảnh hưởng tới không gian lưu trữ hệ thống

12 kế hoạch duy trì hoạt động của tổ chức và vì sao nó quan trọng

- BCP đảm bảo tổ chức có thể hoạt động khi có thiên tai xảy ra

13 phân tích hoạt động kinh doanh là gì ( BIA)

- BIA là thu thập thông tin, dữ liệu, hoạt động của tổ chức để phân tích, từ đó có thể đưa ra các kếhoạch CONTINGENCY phù hợp

14 tại sao kế hoạch tiếp tục hđ cần được kiểm tra và tập luyện?? (câu mình mình chém đấy nhé!!! Ý

tự đúc kết ra thôi)

- BCP cần được kiểm tra và tập luyện vì khi có sự cố xảy ra leo thang tới mức thảm họa, thì BCP là cơhội để tổ chức có thể khôi phục hoạt động của mình, nếu BCP k phù hợp hay thất bại, nó sẽ ảnhhưởng tới sự tồn tại của hoạt động, bởi khi bị thiên tai, nếu torng time quá lâu mà tổ chức k hoạtđộng lại bình thường thì tổ chức đó có thể xem như bị biến mất

CHƯƠNG 4: Security Policy and Standards

Câu 1: Chính sách an ninh thông tin là gì? Tại sao lại quan trọng cho sự thành công của chương trình InfoSec?

- Chính sách an ninh thông tin là hướng dẫn bằng văn bản do cơ quan quản lý cung cấp để thôngbáo cho nhân viên và những người khác trong môi trường làm việc về những hành vi thích hợp liênquan đến việc sử dụng thông tin và tài sản thông tin Chính sách này được thiết kế để cung cấp cấutrúc tại nơi làm việc và giải thích ý định của quản lý tổ chức trong việc kiểm soát hành vi của nhânviên đối với việc sử dụng thông tin và các nguồn thông tin phù hợp và an toàn Chính sách đượcthiết kế để tạo ra một môi trường làm việc có năng suất, có hiệu quả, tránh những hành độngkhông cần thiết hoặc không thích hợp trong môi trường làm việc

Chính sách là một nền tảng thiết yếu của chương trình Infosec hiệu quả • Sự thành công của mộtchương trình bảo vệ tài nguyên thông tin phụ thuộc vào chính sách tạo ra, và về thái độ quản lý đểđảm bảo thông tin trong các hệ thống tự động

- Chính sáng được tảo ra phải đảm bảo giảm rủi ro,tuân thủ pháp luật và quy định, đảm bảitính liên tục trong hoạt động, toàn vẹn thông tin và bí mật

Câu 2: Trong các biện pháp kiểm soát hoặc biện pháp nào được sử dụng để kiểm soát rủi ro của InfoSec, được coi là ít tốn kém nhất? Chi phí chính của loại hình kiểm soát này là gì?

Chính sách của INFOSEC ít tốn kém, nhưng khó thực thi và thực hiện hơn Thời gian và nỗ lực củanhân viên

Câu 3: Liệt kê và mô tả ba thách thức trong việc định hình chính sách ( những yếu tố cơ bản )

- Chính sách không được mâu thuẩn với pháp luật Chính sách nếu trãi với pháp luật sẽ không đượcxem là có tác dụng thậm chí sẽ vi phạm pháp luật nếu bị truy cứu

- Chính sách phải có giá trị pháp lý khi bị kiện

- Chính sách phải được hỗ trợ và thực hiện đúng

- Đóng góp vào sự thành công của tổ chức

- Liên quan đếnngười dùng cuối và hệ thống thông tin

Câu 4: Liệt kê và mô tả ba hướng dẫn về chính sách hợp lý, theo như Bergeron và Bérubé.

- Tất cả các chính sách phải đóng góp vào sự thành công của tổ chức

- Người quản lý phải đảm bảo chia sẻ trách nhiệm sử dụng đúng hệ thống thông tin

- Người sử dụng cuối của hệ thống thông tin cần được tham gia vào các bước xây dựng chính sách :quá nhiều chính sách hoặc chính sách quá phức tạp có thể làm giảm sự hài lòng của người dùngcuối

Câu 5: Mô tả mô hình bull’s-eye

Policies - lớp bảo vệ đầu tiên

Networks - mối đe dọa đầu tiên về mạng của tổ chức

Systems - máy tính và hệ thống sản xuất

Application- tất cả các ứng dụng hệ thống

Câu 6: Chính sách khác với tiêu chuẩn theo cách nào?

Chính sách là các kế hoạch hoặc các hành động cụ thể nhằm gây ảnh hưởng,quyết định, hành động về 1 vấn đề nào đó.

Tiêu chuẩn là những tuyên bố chi tiết về việc phải làm gì để tuân thủ một chính sách nhất định Việc

sử dụng các tiêu chuẩn là một cách để thực hiện các chính sách

Thực tiễn, thủ tục và hướng dẫn: giải thích cách thức nhân viên tuân thủ chính sách

Câu 9: Chính sách có được coi là tĩnh hoặc động? Những yếu tố nào có thể xác định tình trạng này?

Một chính sách có thể được coi là tĩnh hoặc động dựa vào bối cảnh của nó Các quy tắc và tiêuchuẩn của một chính sách nên được giữ nguyên và duy trì khi chúng được thiết lập, và không đượcuốn cong hoặc bỏ qua để có lợi cho lợi ích cá nhân Mặt khác, các chính sách nên động để họ có thểthay đổi theo thời gian và không trở nên lỗi thời và vô dụng; họ nên tiến triển với công ty và mụctiêu của công ty

Câu 10: Liệt kê và mô tả ba loại chính sách của InfoSec như được mô tả bởi NIST SP 800-14.

- Loại chính sách an ninh thông tin đầu tiên được NIST SP 800-14 mô tả là chính sách an ninh thôngtin doanh nghiệp (EISP) EISP được sử dụng để xác định phạm vi, giai điệu và định hướng chiến lượccho một công ty và tất cả các chủ đề bảo mật bên trong Chính sách này phải trực tiếp phản ánh cácmục tiêu và sứ mệnh của công ty

- Thứ hai là chính sách bảo mật cho từng vấn đề cụ thể (ISSP) ISSP được sử dụng để hướng dẫnnhân viên sử dụng các loại công nghệ cụ thể (như e-mail hoặc sử dụng Internet) Chính sách này nênđược thiết kế cẩn thận để bảo vệ mã đạo đức của công ty, đồng thời cung cấp cho nhân viên mộtdanh sách chi tiết để đảm bảo họ hiểu được chính sách và nó mang lại lợi ích cho công ty như thếnào

- Chính sách cuối cùng là chính sách bảo mật hệ thống cụ thể (SysSP) SysSP nên được thiết kế vàtạo ra để tập trung vào một loại hệ thống cụ thể (như tường lửa) Nó sẽ cung cấp một hướng dẫncho việc thực hiện và các tiêu chuẩn mà theo đó các hệ thống này được cấu hình và duy trì

Câu 11: Mục đích của EISP là gì?

- Thiết lập định hướng chiến lược, phạm vi và tone for nỗ lực của tổ chức ATTT

- Phân công trách nhiệm cho các lĩnh vực khác nhau của infosec

- Hướng dẫn phá triển, thực hiện và quản lý những yêu cầu của chương trình infosec

-

-Các tài liệu EISP cần cung cấp: • Tổng quan về triết lý doanh nghiệp về an ninh • Thông tin về vai tròcủa tổ chức & infosec: - Trách nhiệm bảo mật được chia sẻ bởi tất cả các thành viên của tổ chức -Trách nhiệm bảo mật đối với mỗi vai trò của tổ chức

Các thành phần của EISP

• Tuyên bố về Mục đích: What the policy is for

• Các yếu tố bảo mật công nghệ thông tin: Định nghĩa thông tin infosec

• Nhu cầu bảo mật cntt : nêu lênh tầm quan trọng của infosec trong tổ chức

• Trách nhiệm và Vai ttrò của bảo mật cntt :Xác định cấu trúc tổ chức

• Tham khảo Các tiêu chuẩn và hướng dẫn công nghệ thông tin

Câu 12: Mục đích của ISSP là gì?

Cung cấp hướng dẫn chi tiết và mục tiêu chi tiết để hướng dẫn tổ chức sử dụng an toàn các hệthống công nghệ • Bắt đầu với giới thiệu về triết lý công nghệ cơ bản của tổ chức • Phục vụ nhânviên và tổ chức từ sự thiếu hiệu quả / mơ hồ • Tài liệu về cách kiểm soát hệ thống dựa trên côngnghệ kiểm soát này • Phục vụ cho tổ chức chống lại trách nhiệm pháp lý đối với việc sử dụng hệthống không phù hợp hoặc bất hợp pháp

Câu 13: Mục đích của SysSP là gì?

Một chính sách bảo mật cụ thể cho từng hệ thống được thiết kế để xác định và chi tiết các tiêuchuẩn hoặc thủ tục được sử dụng khi cấu hình hoặc bảo trì các hệ thống

Câu 14: Các giá trị, sứ mệnh và mục tiêu của tổ chức phải được tích hợp vào mức độ nào vào các

văn bản chính sách?

Các giá trị, sứ mệnh và mục tiêu tổ chức phải là một phần trung tâm của bất kỳ văn bản chính sáchnào Mục tiêu của bất kỳ chính sách an ninh nào nên là để hỗ trợ các giá trị tổng thể và mục tiêu củamột tổ chức và cần được thực hiện để giải quyết hành vi của người trong tổ chức theo cách hỗ trợbảo mật thông tin

Câu 15: Liệt kê và mô tả bốn yếu tố cần có trong EISP.

Câu 16: Liệt kê và mô tả ba chức năng mà ISSP phục vụ trong tổ chức

Tuyên bố về Mục đích - chính sách dành cho

Các yếu tố an ninh công nghệ thông tin - Xác định an ninh thông tin

Cần cho An ninh Công nghệ thông tin - Giải thích tầm quan trọng của an ninh thông tin trong tổchức

Trách nhiệm và Vai trò An toàn Công nghệ thông tin - Xác định cấu trúc tổ chức

Câu 17: Cần phải là thành phần đầu tiên của ISSP khi nó được trình bày? Tại sao? Gì phải là thành

phần chính thứ hai? Tại sao?

ISSP nên bắt đầu với một tuyên bố về mục đích phác thảo các mục tiêu của nó, những người chịutrách nhiệm về chính sách vạch ra, và công nghệ mà nó đang được giải quyết Để một chính sách cóhiệu quả, nó phải có một khuôn khổ tổng thể trước khi các bước chi tiết có thể được phác thảo.Nhóm thứ hai cần đề cập đến những người được phép có quyền truy cập vào công nghệ Mức độ an toàn được dựa trên mức độ rủi ro nếu thông tin bị xâm nhập; do đó, điều quan trọng làxác định ai cần quyền truy cập vào một số thông tin hoặc hệ thống nhất định

Câu 18: Liệt kê và mô tả ba cách phổ biến trong đó các tài liệu ISSP được tạo ra và/hoặc quản lý.