:BẢNG HỎI KHẢO SÁT TÌNH HÌNH AT&BM

BẢNG HỎI KHẢO SÁT TÌNH HÌNH AT&BM

(Kèm theo Cơng văn số …… ngày………… của………………………)

PHẦN 1. CÁC THÔNG TIN CƠ BẢN

1. Số lượng máy trạm được sử dụng tại cơ quan: .... ….. chiếc 2. Những loại hệ điều hành được sử dụng cho máy trạm?

Linux

Win 98

Win XP

Win Vista

Khác:……………… 3. Số lượng máy chủ được sử dụng tại cơ quan: .... ….. chiếc

4. Loại hệ điều hành cho máy chủ?

Linux Unix Win NT Win 2003 Win 2008 Khác:…… 5. Loại đường truyền kết nối ra Internet?

Leased Line

ADSL IP động

ADSL IP tĩnh

 Khác:

6. Có vùng DMZ khơng? Nếu có thì những dịch vụ nào sau đây được dùng?

. Mail Server

Web Server

Application Server

Khác:………… 7. Người dùng có được truy cập Internet trong khi làm việc khơng ?

 Có  Khơng

8. Đối tác bên ngồi hoặc khách hàng có được truy cập vào mạng nội bộ của cơ quan thông qua Internet?

 Có  Khơng

9. Cơ quan có dịch vụ ứng dụng tương tự như là một cổng thông tin hoặc một website cho khách hàng hoặc cho đối tác?

 Có  Không

10. Đối tác bên ngồi hoặc khách hàng có được kết nối trực tiếp đến mạng nội bộ của cơ quan, hệ thống trợ giúp cho mục đích truy cập dữ liệu, cập nhật báo cáo, hoặc các thao tác thơng tin khác?

 Có  Không

12. Ngồi những dữ liệu sao lưu, tổ chức có cho phép xử lý những dữ liệu bí mật và độc quyền trên mạng khơng?

 Có  Không  Không biết

13. Hệ thống bảo mật bị làm hại thì nó có ảnh hưởng đến công việc của tổ chức hay không?

 Có  Khơng  Khơng biết

14. Quy trình hoạt động có u cầu lưu trữ dữ liệu, xử lý hoặc được phân phối bởi một bên thứ ba?

 Có  Không  Không biết

15. Tổ chức có xem xét xử lý dữ liệu bởi những ứng dụng nhạy cảm hoặc quan trọng của tổ chức tới hoạt động của khách hang hoặc đối tác khơng?

 Có  Khơng  Không biết

16. Hệ thống mạng của tổ chức có kết nối tới hệ thống mạng của khách hàng, đối tác hoặc bên thứ ba thông qua mạng Internet hoặc đường th riêng khơng?

 Có  Không  Không biết 17. Cơ quan có thường xuyên thay đổi thành phần cơng nghệ chủ yếu khơng?

 Có  Không  Không biết

18. Cơ quan của bạn có thực hiện việc outsource của bất kỳ phần nào trong cơ sở hạ tầng không?

 Có  Khơng  Khơng biết 19. Tổ chức có khả năng mở rộng thêm mạng mới trên hệ thống đã có sẵn khơng?

 Có  Khơng  Khơng biết

20. Tổ chức có cho hạn chế việc truy cập vào hệ thống thông tin bằng user mà dựa trên vai trị của họ khơng?

 Có  Không  Không biết 21. Tổ chức có dịch vụ nào chỉ phục vụ cho người sử dụng nội bộ khơng ?

 Có  Khơng

Nếu có, xin liệt kê hoặc mơ tả các dịch vụ sử dụng: ……………………………… …………………………………………………………………………………………… ……………………………………………………………………………………………

PHẦN 2. HỆ THỐNG AN TOÀN VÀ BẢO MẬT I/ Hệ thống phịng thủ vành đai

 Có  Khơng 2. Firewall có được đặt tại mỗi phịng/ ban khơng?

 Có  Khơng 3. Loại Firewall?

 Có  Không

4. Hãng sản xuất Firewall, version:………………………………………………………………………… 5. Trong tổ chức có sử dụng FileWall cá nhân (hot-base) để bảo vệ máy chủ?

 Có  Khơng

6. Trong tổ chức có sử dụng phần mềm hay phần cứng phát hiện đột nhập trái phép (IDS) khơng?

 Có  Không 7. Kiểu IDS sử dụng trong tổ chức:

Network-based IDS (NIDS)  Host-based IDS (HIDS) 8. Loại IDS?

 Mềm  Cứng

9. Hãng sản suất IDS:…………………………… version:……………………… 10. Chọn giải pháp chống virus được triển khai?

Không triển khai

E-mail servers

Desktops

Servers

Perimeter hosts (gateways, proxies, relays, etc.)

11. Có thể truy cập từ xa tới mạng của tổ chức hay khơng?

 Có  Khơng 12. Những người có quyền truy cập từ xa

 Nhân viên  Đối tác hay khách hàng 13. Có sử dụng mạng VPN cho việc kết nối từ xa khơng?

 Có  Khơng 14. Có sử dụng dịch vu quarantine cho dịch vụ VPN?

 Tokens

 smart cards

 Username/password

 Khác: ……………………………………. 16. Có bao nhiêu Subnet tại tổ chức?....................................................................

17. Có sử dụng các subnet để tách biệt khách hàng và dịch vụ bên ngoài với những tài nguyên của tổ chức hay khơng?

 Có  Khơng

18. Trong tổ chức có chia những máy tính có vai trị và sự phục vụ như nhau vào cùng một phân vùng hay khơng?

 Có  Khơng

19. Có thể kết nối khơng dây (wireless) tới mạng được khơng?

 Có  Khơng

20. Loại kiểm sốt bảo mật nào được sử dụng để bao mật cho mạng không dây?

 Xác thực bằng SSID

 Vơ hiệu hóa chức năng quảng bá số hiệu SSID

 Kích hoạt giao thức bảo mật WEP (Wired Equivalent Privacy)

 Kích hoạt giao thức bảo mật WPA (Wi-Fi Protected Access)

 Kích hoạt chức năng hạn chế truy cập bằng địa chỉ MAC

 Kết nối access point tới mạng bên ngoài bằng Firewall hay bằng một phân vùng từ mạng có dây

II/ Xác thực

21. Chỉ ra phương pháp xác thực được sử dụng cho việc truy cập của người quản trị tới các thiết bị quản lý và các máy tính:

Xác thực đa nhân tố

Khơng có

Mật khẩu đơn giản

Mật khẩu phức tạp

22. Chỉ ra phương pháp xác thực được sử dụng cho mạng nội bộ và truy cập vào các máy tính bởi những người dùng nội bộ:

Xác thực đa nhân tố

Mật khẩu phức tạp

23. Chỉ ra phương pháp xác thực được sử dụng cho kết nối từ xa bởi người dùng:

Xác thực đa nhân tố

Khơng có

Mật khẩu đơn giản

Mật khẩu phức tạp

24. Có thể hay khơng ngăn chặn truy cập tới tài khoản người dùng sau một số lần cố gắng truy cập bị lỗi?

 Có  Khơng

III/ Quản lý và giám sát

25. Tổ chức tự cấu hình hệ thống của mình hay cấu hình bởi nhà cung cấp?

Cấu hình bởi nhân viên của tổ chức

Cấu hình bởi nhà cung cấp

26. Giải pháp nào sau đây được sử dụng trên máy để bàn và máy xách tay?

Phần mềm Firewall cá nhân

Phần mềm phát hiện và diệt Spyware

Phần mềm mã hóa ổ đĩa

Phần mềm kiểm sốt và quản lý từ xa

Bảo vệ màn hình bắng mật khẩu

Modem

27. Trong tổ chức có quy trình phản ứng lại những sự việc vi phạm an ninh xảy ra hay khơng?

 Có  Khơng  Khơng biết

28. Trong tổ chức có chính sách và quy trình thơng báo các vấn đề an tồn hoặc những sự việc vi phạm an ninh xảy ra hay khơng?

 Có  Không  Không biết

IV/ Các ứng dụng

30. Những ứng dụng chính và tài liệu hoạt động quan trọng có được mã hố trong q trình xử lý?

 Có  Khơng  Không biết 31. Việc mã hố được sử dụng cho q trình nào dưới đây:

Việc truyền và lưu trữ dữ liệu

Việc truyền dữ liệu

Lưu trữ dữ liệu

32. Thuật toán mã hoá nào dưới đây được sử dụng?

 Data Encryption Standard (DES)

 Triple DES (3DES)

 RC2, RC4, or RC5

 SHA-1 Hash

 MD5 Hash

 Twofish

 Blowfish

 Thuật toán tự xây dựng

Advanced Encryption Standard (AES4) /Rijndael

 Không biết

V/ Thao tác

33. Có thường xuyên kiểm tra vấn đề an ninh tổ chức khơng?

 Có  Khơng

34. Có đánh giá điểm yếu và kiểm tra bảo mật cho các hệ thống an ninh, các thiết và các dịch vụ khơng?

 Có  Khơng

Nếu có, định kỳ bao nhiêu tháng một lần………………

35. Có thường xuyên thuê các nhà cung cấp dịch vụ đánh giá điểm yếu và thực hiện q trình pentest cho hệ thống khơng?

 Có  Khơng

Nếu có, định kỳ bao nhiêu tháng một lần………………

36. Trong tổ chức có duy trì kế hoạch tiếp tục công việc sau khi xảy ra thảm họa hay khơng?

 Có  Không

37. Chỉ ra loại nào sau đây được sử dụng để triển khai và quản lý những bản vá:

 Windows Automatic Update

 Windows Update website

 Systems Management Server (SMS)

Other patch management solution(s)

 Có  Khơng

39. Tiêu chuẩn bảo vệ thông tin chứa đựng trong file logs:

 Hệ điều hành và chương trình ứng dụng được cấu hình khơng ghi đè các hoạt động

 Log files có thể xoay lại thường xuyên để đảm bảo đủ chỗ trống

 Chỉ có những tài khoản ở mức quản trị mới có quền truy cập vào file log

 Những file log được ghi vào file log trung tâm của máy chủ 40. Tổ chức có xem xét những file log hay khơng?

 Có  Khơng  Khơng biết Nếu có, thường xun xem xét log file ở mức độ nào?

 Theo ngày

 Theo tuần

 Theo tháng

 Khi nào cần

VI/ TRiển khai ISO 27001

41. Tổ chức có dự kiến triển khai tiêu chuẩn ISO 27001

 Có  Sẽ có  Khơng biết