lOMoARcPSD| 58412604
CHƯƠNG 1: GIỚI THIỆU VỀ AN TOÀN THÔNG TIN
1) Liệt kê các tài sản thông tin của tổ chức.
Tài sản thông tin của tổ chức có thể bao gồm:
Dữ liệu: Cơ sở dữ liệu khách hàng, báo cáo tài chính, mã nguồn phần
mềm.
Hệ thống phần cứng: Máy chủ, thiết b lưu trữ, thiết bị mạng.
Hệ thống phần mềm: Hđiều hành, ứng dụng, hệ thống quản d
liu.
Nhân sự: Nhân viên và kiến thức của họ.
Dịch vụ: H thống email, website, dịch vụ điện toán đám mây.
2) An toàn thông tin gì? Những biện pháp thiết yếu nào được sử dụng để bảo vệ thông
tinvà hệ thống thông tin khỏi nguy hiểm?
An toàn thông tin việc bảo vệ thông tin hệ thống thông tin khỏi các mối đe dọa nhằm
đảm bảo tính bảo mật, toàn vẹn và sẵn sàng của thông tin.
Biện pháp bảo vệ:
Kỹ thuật: Mã hóa, firewall, IDS/IPS, sao lưu dữ liu.
Quản lý: Chính sách bảo mật, kiểm soát truy cập.
Nhận thức: Đào tạo nhân viên, kiểm tra bảo mật định kỳ.
3) Liệt kê và mô tả các thành phần của an toàn thông tin.
Tính bảo mật (Confidentiality): Đảm bảo chỉ những người được y
quyền mới có thể truy cập thông tin.
Tính toàn vẹn (Integrity): Đảm bảo thông tin không bị thay đổi hoặc hư
hỏng mà không có sự cho phép.
Tính sẵn sàng (Availability): Đảm bảo thông tin thể truy cập sử
dụng khi cần thiết.
4) Một số khái niệm cơ bản
Tính riêng (Privacy): Kiểm soát cách thông tin nhân được thu
thập, lưu trữ và sử dụng.
Định danh (Identification): Xác định danh tính của người dùng hoặc hệ
thng.
Xác thực (Authentication): Xác nhận danh tính của một thực thể.
lOMoARcPSD| 58412604
Cấp quyền (Authorization): Xác định quyền truy cập vào tài nguyên của
người dùng.
Trách nhiệm giải trình (Accountability): Theo dõi ghi lại hành động
của người dùng.
5) Các mối đe dọa, lỗ hổng, tấn công vào hệ thống máy tính và mạng.
Mối đe dọa: Tấn công mạng, mã độc, lỗi phần mềm, nhân viên nội bộ.
Lỗ hổng: Lỗi lập trình, cấu hình sai, thiết bị lỗi thời.
Tấn công: Phishing, DoS/DDoS, tấn công brute-force.
6) Quản lý an toàn thông tin là gì? Liệt kê các nhiệm v chính của quản lý an toàn thông tin.
Quản an toàn thông tin là quá trình lập kế hoạch, thực hiện và kiểm soát các biện pháp bo
mật để bảo vệ tài sản thông tin.
Nhiệm vụ chính:
Xác định và đánh giá rủi ro.
Phát triển chính sách và quy trình bảo mật.
Đào tạo và nâng cao nhận thức bảo mật.
Kiểm tra và giám sát hệ thng.
CHƯƠNG 2: XÂY DỰNG KẾ HOẠCH AN TOÀN THÔNG TIN
1) Lập kế hoạch là gì? Vai trò và mục tiêu chính của lập kế hoạch.
Lập kế hoạch là quá trình thiết lập các mục tiêu và phương pháp để đạt được chúng.
Vai trò: Định hướng, đảm bo tài nguyên được sử dụng hiệu quả, giảm thiểu rủi ro.
Mục tiêu: Bảo vệ tài sản thông tin, duy trì hoạt động liên tục, tuân thủ quy định.
2) Các bên liên quan chính trong tổ chức tham gia vào quá trình lập kế hoạch an toàn là ai?
Ban giám đốc.
Nhóm CNTT và bảo mật.
Người dùng cuối.
Nhà cung cấp dịch vụ bảo mật.
3) Tiền đề của lập kế hoạch là gì?
Hiểu rõ tài sản thông tin cần bảo vệ.
lOMoARcPSD| 58412604
Đánh giá rủi ro và xác định mối đe dọa.
Tuân thủ quy định và tiêu chuẩn bảo mật.
4) Lập kế hoạch chiến lược là gì?
Là quá trình xác định mục tiêu dài hạn và phương pháp để đạt được chúng.
5) Ba cấp độ lập kế hoạch phổ biến là gì?
Chiến lược (dài hạn, cấp cao).
Chiến thuật (trung hạn, cụ th hóa chiến lược).
Tác nghiệp (ngắn hạn, hướng dẫn thực thi).
6) Nêu các thành phần cơ bản của một kế hoạch chiến lược cấp tổ chức.
Mục tiêu bảo mật.
Chính sách và quy trình.
Kế hoạch ứng phó sự cố.
Đào tạo và nhận thức bảo mật.
7) Mô tả lập kế hoạch chiến lược từ trên xuống.
Từ trên xuống (Top-down): Lãnh đạo xác định mục tiêu, nhân viên thực
hin.
Từ ới lên (Bottom-up): Nhân viên đề xuất, lãnh đạo xem xét và phê
duyt.
Hiệu quả hơn: Cách tiếp cận từ trên xuống phù hợp với tổ chức lớn.
8) Phương pháp vòng đời phát triển hệ thống (SDLC) là gì?
Là quá trình phát triển phần mềm gồm các bước: Phân tích, thiết kế, triển khai, bảo trì.
9) Phương pháp vòng đời phát triển hệ thống an toàn (SecSDLC) là gì?
Là SDLC có tích hợp các yếu tố bảo mật ngay từ đầu để đảm bo an toàn hệ thống.
10) Các bước chính trong hình SDLC waterfall dành cho triển khai chương trình ATTT
làgì?
Điều tra.
Phân tích.
Thiết kế logic.
Thiết kế vật lý.
lOMoARcPSD| 58412604
Triển khai.
Bảo trì và thay đổi.
CHƯƠNG 3: CHÍNH SÁCH AN TOÀN THÔNG TIN
ới đây là câu trả lời dựa trên nội dung của slide chương 3:
1. Chính sách an toàn thông tin là gì? Tại sao nó lại quan trọng?
Chính sách an toàn thông tin (ATTT) tập hợp các quy tắc, ớng dẫn
và tiêu chuẩn giúp bảo vệ thông tin trong tổ chức.
Nó quan trọng vì đm bảo tính bảo mật, tính toàn vẹn và tính sẵn sàng
của thông tin, giúp tchức tuân thủ quy định pháp lý, giảm thiểu rủi ro nâng cao
nhận thức về bảo mật .
2. Quy tắc cơ bản khi xây dựng chính sách
Xác định mục tiêu rõ ràng
Tuân thủ quy định pháp luật
Phù hợp với chiến lược và quy trình của tổ chức
Có thể thực thi và giám sát
Cập nhật và duy trì thường xuyên .
3. Ba loại chính sách bảo mật theo NIST SP 800-14
Chính sách ATTT doanh nghiệp (EISP)
Chính sách ATTT cho vấn đề cụ thể (ISSP) • Chính sách ATTT
cho hệ thống cụ thể (SysSP) .
4. EISP là gì?
EISP chính sách an toàn thông tin cấp cao, quy định định hướng
chung về ATTT trong tổ chức, do ban lãnh đạo phê duyệt .
5. Thành phần của EISP
Tuyên bố về cam kết bảo mật
Phạm vi áp dụng
Vai trò và trách nhiệm
Cấu trúc chính sách
Quản lý và duy trì .
6. ISSP là gì?
lOMoARcPSD| 58412604
ISSP là chính sách ATTT tập trung vào các vấn đề cụ thể như sử dụng
Internet, email, phần mềm độc hại .
7. Mục tiêu của một ISSP hiệu quả
Xác định rõ ràng quy tắc và hướng dẫn
Đảm bảo nhân viên hiểu và tuân thủ
Giúp quản lý kiểm soát rủi ro .
8. Ba đặc điểm chính của ISSP
Tập trung vào một vấn đề cụ th
Có thể áp dụng cho toàn bộ tổ chức
Được cập nhật thường xuyên .
9. Lĩnh vực phổ biến cần có ISSP
Sử dụng email
Quản lý mật khẩu
Chính sách BYOD (Bring Your Own Device)
Quản lý quyền truy cập
Sao lưu và phục hồi dữ liệu .
10. Thành phần của ISSP điển hình
Giới thiệu và mục tiêu
Phạm vi áp dụng
Quy tắc và trách nhiệm
Cơ chế kiểm soát và thực thi
Quản lý và cập nhật .
11. Ba cách tiếp cận để xây dựng ISSP
Cách tiếp cận tập trung: Do bộ phận ATTT quản lý toàn bộ
Cách tiếp cận phân tán: Từng bộ phận t quản theo hướng dẫn
chung
Cách tiếp cận lai: Kết hợp hai cách trên .
12. SysSP là gì? Thành phần của SysSP
lOMoARcPSD| 58412604
SysSP chính sách bảo mật dành riêng cho hệ thống cụ thể, giúp định
ớng việc triển khai và vận hành công nghệ .
13. Hai nhóm tài liệu chính của SysSP
Chính sách SysSP hướng dẫn quản lý
Chính sách SysSP thông số kỹ thuật .
14. Sáu giai đoạn xây dựng và triển khai chính sách
Xây dựng (soạn thảo và phê duyệt)
Phân phối
Đọc
Hiểu
Tuân thủ
Thực thi đồng bộ .
15 & 16. Mẫu chính sách ATTT EISP & ISSP
Bạn thtìm các mẫu trên Internet so sánh với khung trình bày trong
chương này.
Nếu cần mẫu chính sách cụ thể, hãy cung cấp thông tin về tchức để xây
dựng ISSP phù hợp.

Preview text:

lOMoAR cPSD| 58412604
CHƯƠNG 1: GIỚI THIỆU VỀ AN TOÀN THÔNG TIN
1) Liệt kê các tài sản thông tin của tổ chức.
Tài sản thông tin của tổ chức có thể bao gồm: •
Dữ liệu: Cơ sở dữ liệu khách hàng, báo cáo tài chính, mã nguồn phần mềm. •
Hệ thống phần cứng: Máy chủ, thiết bị lưu trữ, thiết bị mạng. •
Hệ thống phần mềm: Hệ điều hành, ứng dụng, hệ thống quản lý dữ liệu. •
Nhân sự: Nhân viên và kiến thức của họ. •
Dịch vụ: Hệ thống email, website, dịch vụ điện toán đám mây.
2) An toàn thông tin là gì? Những biện pháp thiết yếu nào được sử dụng để bảo vệ thông
tinvà hệ thống thông tin khỏi nguy hiểm?
An toàn thông tin là việc bảo vệ thông tin và hệ thống thông tin khỏi các mối đe dọa nhằm
đảm bảo tính bảo mật, toàn vẹn và sẵn sàng của thông tin. Biện pháp bảo vệ: •
Kỹ thuật: Mã hóa, firewall, IDS/IPS, sao lưu dữ liệu. •
Quản lý: Chính sách bảo mật, kiểm soát truy cập. •
Nhận thức: Đào tạo nhân viên, kiểm tra bảo mật định kỳ.
3) Liệt kê và mô tả các thành phần của an toàn thông tin. •
Tính bảo mật (Confidentiality): Đảm bảo chỉ những người được ủy
quyền mới có thể truy cập thông tin. •
Tính toàn vẹn (Integrity): Đảm bảo thông tin không bị thay đổi hoặc hư
hỏng mà không có sự cho phép. •
Tính sẵn sàng (Availability): Đảm bảo thông tin có thể truy cập và sử dụng khi cần thiết.
4) Một số khái niệm cơ bản •
Tính riêng tư (Privacy): Kiểm soát cách thông tin cá nhân được thu
thập, lưu trữ và sử dụng. •
Định danh (Identification): Xác định danh tính của người dùng hoặc hệ thống. •
Xác thực (Authentication): Xác nhận danh tính của một thực thể. lOMoAR cPSD| 58412604 •
Cấp quyền (Authorization): Xác định quyền truy cập vào tài nguyên của người dùng. •
Trách nhiệm giải trình (Accountability): Theo dõi và ghi lại hành động của người dùng.
5) Các mối đe dọa, lỗ hổng, tấn công vào hệ thống máy tính và mạng. •
Mối đe dọa: Tấn công mạng, mã độc, lỗi phần mềm, nhân viên nội bộ. •
Lỗ hổng: Lỗi lập trình, cấu hình sai, thiết bị lỗi thời. •
Tấn công: Phishing, DoS/DDoS, tấn công brute-force.
6) Quản lý an toàn thông tin là gì? Liệt kê các nhiệm vụ chính của quản lý an toàn thông tin.
Quản lý an toàn thông tin là quá trình lập kế hoạch, thực hiện và kiểm soát các biện pháp bảo
mật để bảo vệ tài sản thông tin. Nhiệm vụ chính: •
Xác định và đánh giá rủi ro. •
Phát triển chính sách và quy trình bảo mật. •
Đào tạo và nâng cao nhận thức bảo mật. •
Kiểm tra và giám sát hệ thống.
CHƯƠNG 2: XÂY DỰNG KẾ HOẠCH AN TOÀN THÔNG TIN
1) Lập kế hoạch là gì? Vai trò và mục tiêu chính của lập kế hoạch.
Lập kế hoạch là quá trình thiết lập các mục tiêu và phương pháp để đạt được chúng.
Vai trò: Định hướng, đảm bảo tài nguyên được sử dụng hiệu quả, giảm thiểu rủi ro.
Mục tiêu: Bảo vệ tài sản thông tin, duy trì hoạt động liên tục, tuân thủ quy định.
2) Các bên liên quan chính trong tổ chức tham gia vào quá trình lập kế hoạch an toàn là ai? • Ban giám đốc. • Nhóm CNTT và bảo mật. • Người dùng cuối. •
Nhà cung cấp dịch vụ bảo mật.
3) Tiền đề của lập kế hoạch là gì? •
Hiểu rõ tài sản thông tin cần bảo vệ. lOMoAR cPSD| 58412604 •
Đánh giá rủi ro và xác định mối đe dọa. •
Tuân thủ quy định và tiêu chuẩn bảo mật.
4) Lập kế hoạch chiến lược là gì?
Là quá trình xác định mục tiêu dài hạn và phương pháp để đạt được chúng.
5) Ba cấp độ lập kế hoạch phổ biến là gì? •
Chiến lược (dài hạn, cấp cao). •
Chiến thuật (trung hạn, cụ thể hóa chiến lược). •
Tác nghiệp (ngắn hạn, hướng dẫn thực thi).
6) Nêu các thành phần cơ bản của một kế hoạch chiến lược cấp tổ chức. • Mục tiêu bảo mật. • Chính sách và quy trình. •
Kế hoạch ứng phó sự cố. •
Đào tạo và nhận thức bảo mật.
7) Mô tả lập kế hoạch chiến lược từ trên xuống. •
Từ trên xuống (Top-down): Lãnh đạo xác định mục tiêu, nhân viên thực hiện. •
Từ dưới lên (Bottom-up): Nhân viên đề xuất, lãnh đạo xem xét và phê duyệt. •
Hiệu quả hơn: Cách tiếp cận từ trên xuống phù hợp với tổ chức lớn.
8) Phương pháp vòng đời phát triển hệ thống (SDLC) là gì?
Là quá trình phát triển phần mềm gồm các bước: Phân tích, thiết kế, triển khai, bảo trì.
9) Phương pháp vòng đời phát triển hệ thống an toàn (SecSDLC) là gì?
Là SDLC có tích hợp các yếu tố bảo mật ngay từ đầu để đảm bảo an toàn hệ thống. 10)
Các bước chính trong mô hình SDLC waterfall dành cho triển khai chương trình ATTT làgì? • Điều tra. • Phân tích. • Thiết kế logic. • Thiết kế vật lý. lOMoAR cPSD| 58412604 • Triển khai. • Bảo trì và thay đổi.
CHƯƠNG 3: CHÍNH SÁCH AN TOÀN THÔNG TIN
Dưới đây là câu trả lời dựa trên nội dung của slide chương 3: 1.
Chính sách an toàn thông tin là gì? Tại sao nó lại quan trọng? •
Chính sách an toàn thông tin (ATTT) là tập hợp các quy tắc, hướng dẫn
và tiêu chuẩn giúp bảo vệ thông tin trong tổ chức. •
Nó quan trọng vì đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn sàng
của thông tin, giúp tổ chức tuân thủ quy định pháp lý, giảm thiểu rủi ro và nâng cao
nhận thức về bảo mật . 2.
Quy tắc cơ bản khi xây dựng chính sách •
Xác định mục tiêu rõ ràng •
Tuân thủ quy định pháp luật •
Phù hợp với chiến lược và quy trình của tổ chức •
Có thể thực thi và giám sát •
Cập nhật và duy trì thường xuyên . 3.
Ba loại chính sách bảo mật theo NIST SP 800-14 •
Chính sách ATTT doanh nghiệp (EISP) •
Chính sách ATTT cho vấn đề cụ thể (ISSP) • Chính sách ATTT
cho hệ thống cụ thể (SysSP) . 4. EISP là gì? •
EISP là chính sách an toàn thông tin cấp cao, quy định định hướng
chung về ATTT trong tổ chức, do ban lãnh đạo phê duyệt . 5. Thành phần của EISP •
Tuyên bố về cam kết bảo mật • Phạm vi áp dụng • Vai trò và trách nhiệm • Cấu trúc chính sách • Quản lý và duy trì . 6. ISSP là gì? lOMoAR cPSD| 58412604 •
ISSP là chính sách ATTT tập trung vào các vấn đề cụ thể như sử dụng
Internet, email, phần mềm độc hại . 7.
Mục tiêu của một ISSP hiệu quả •
Xác định rõ ràng quy tắc và hướng dẫn •
Đảm bảo nhân viên hiểu và tuân thủ •
Giúp quản lý kiểm soát rủi ro . 8.
Ba đặc điểm chính của ISSP •
Tập trung vào một vấn đề cụ thể •
Có thể áp dụng cho toàn bộ tổ chức •
Được cập nhật thường xuyên . 9.
Lĩnh vực phổ biến cần có ISSP • Sử dụng email • Quản lý mật khẩu •
Chính sách BYOD (Bring Your Own Device) • Quản lý quyền truy cập •
Sao lưu và phục hồi dữ liệu . 10.
Thành phần của ISSP điển hình •
Giới thiệu và mục tiêu • Phạm vi áp dụng • Quy tắc và trách nhiệm •
Cơ chế kiểm soát và thực thi • Quản lý và cập nhật . 11.
Ba cách tiếp cận để xây dựng ISSP •
Cách tiếp cận tập trung: Do bộ phận ATTT quản lý toàn bộ •
Cách tiếp cận phân tán: Từng bộ phận tự quản lý theo hướng dẫn chung •
Cách tiếp cận lai: Kết hợp hai cách trên . 12.
SysSP là gì? Thành phần của SysSP lOMoAR cPSD| 58412604 •
SysSP là chính sách bảo mật dành riêng cho hệ thống cụ thể, giúp định
hướng việc triển khai và vận hành công nghệ . 13.
Hai nhóm tài liệu chính của SysSP •
Chính sách SysSP hướng dẫn quản lý •
Chính sách SysSP thông số kỹ thuật . 14.
Sáu giai đoạn xây dựng và triển khai chính sách •
Xây dựng (soạn thảo và phê duyệt) • Phân phối • Đọc • Hiểu • Tuân thủ • Thực thi đồng bộ .
15 & 16. Mẫu chính sách ATTT EISP & ISSP •
Bạn có thể tìm các mẫu trên Internet và so sánh với khung trình bày trong chương này. •
Nếu cần mẫu chính sách cụ thể, hãy cung cấp thông tin về tổ chức để xây dựng ISSP phù hợp.