Loại hình tấn công Kinh tế quốc tế | Trường Đại học Kinh tế – Luật, Đại học Quốc gia Thành phố Hồ Chí Minh

lOMoAR cPSD| 46090862
Câu Hỏi 1: Phát biểu nào đúng về đặc điểm của các mục đích (objectives) trong kế hoạch
chiến thuật (tactical plans) A. Có mục tiêu cụ thể
B. Có giới hạn thời hạn
C. Có thể đo lường được
D. Tất cả đều đúng
E. Có thể đạt được
Câu Hỏi 2: Vai trò và trách nhiệm của các nhóm có lợi ích liên quan với an toàn thông tin
là hoàn toàn giống nhau A. Đúng B. sai
Câu Hỏi 3: Theo cách tiếp cận của Bull’s eye model, các vấn đề phải được giải quyết từ
cái chung đến cái cụ thể và tập trung vào các giải pháp có tính hệ thống A. Đúng B. sai
Câu Hỏi 4: Phát biểu nào SAI về mô hình duy trì an toàn thông tin
A. Đánh giá và khắc phục điểm yếu tiềm ẩn tập trung vào Mạng công cộng (Internet), mạng
nội bộ (intranet), Các nền tảng và Hệ thống kết nối không dây (wireless)
B. Không có lựa chọn nào
C. Giám sát môi trường bên ngoài là tập trung vào việc đánh giá các nguy cơ bên ngoài đối
với tài sản thông tin của tổ chức
D. Giám sát môi trường bên trong tập trung vào việc xác định, đánh giá và quản lý cấu
hìnhvà trạng thái của tài sản thông tin trong tổ chức.
Câu Hỏi 5: Qui trình xác định rủi ro, đánh giá mức độ của nó và thực hiện các bước để
giảm nó xuống mức có thể chấp nhận được. A. Kiểm soát rủi ro B. Tất cả đều đúng C. Quản lý rủi ro D. Đánh giá rủi ro
Câu Hỏi 6: Theo mô hình Bull’eye, trình tự Chính sách—mạng – hệ thống - ứng dụng
dùng để sắp xếp ưu tiên một chương trình thay đổi phức tạp hoặc đánh giá vấn đề A. Đúng B. Sai
Câu Hỏi 7: Phát biểu nào đúng về thiết kế kiến trúc an toàn lOMoAR cPSD| 46090862
A. Nguyên tắc thiết kế an toàn thông tin là phòng thủ sâu, nghĩa là gồm nhiều tầng lớp bảo vệ
B. Tất cả đều đúng
C. Giữa mỗi lớp của tài sản thông tin cần tồn tại một lớp biện pháp bảo vệ (hay còn gọi là lớp kiểm soát an toàn
thông tin) để ngăn ngừa truy cập từ lớp ngoài vào lớp trong
D. Các Biện pháp “chính sách và luật pháp”, “giáo dục và huấn luyện” là những biện pháp
bảo vệ được đặt giữa con người và thông tin.
Câu Hỏi 8: Chiến lược kiểm soát rủi ro bằng cách lập kế hoạch dự phòng và chuẩn bị
hiệu quả để phát hiện sớm một cuộc tấn công đang diễn ra và phản ứng lại nhanh chóng, A. Giảm thiểu B. Chấp nhận C. Hủy diệt : D. Chuyển giao E. Phòng thủ
Câu Hỏi 9: Anh Bình nhận được email tự xưng là cơ quan cảnh sát với thông báo là sử
dụng đường dẫn vào 1 trang web để khai báo thông tin cá nhân, thông tin tài khoản ngân
hàng để cơ quan an ninh kiểm tra xem liệu anh có tham gia vào môt tổ chức buôn lậu hay
không. Anh làm theo hướng dẫn và kết quả là anh bị mất 1 số tiền lớn trong tài khoản.
Điều tra sau đó chỉ ra trang web này hoàn toàn là bất hợp pháp. Đây là ví dụ điển hình của nguy cơ gì? A. Tất cả đều đúng B. Lừa đảo (Phishing) C. Pharming
D. Gian lận phí ứng trước (Advance-fee Fraud)
Câu Hỏi 10: Phát biểu nào SAI
A. Chính sách an toàn thông tin làm nền tảng cho việc lập kế hoạch an toàn thông tin
B. Chính sách an toàn thông tin DN (Enterprise information security policies – EISP) là
Chính sách an toàn tổng quát
C. Kế hoạch an toàn thông tin làm nền tảng cho chính sách an toàn thông tin
D. Chính sách an toàn đặc thù (Issue-speciíc security policies – ISSP) Là chính sách cung
cấp hướng dẫn chi tiết theo mục tiêu để hướng dẫn tất cả các thành viên của tổ chức sử dụng tài nguyên
Câu Hỏi 11: Phát biểu nào SAI về thiết kế kiến trúc an toàn
A. Các lớp tài sản thông tin cần phải bảo vệ từ ngoài vào trong (theo hình cầu an toàn
trong thiết kế kiến trúc an toàn thông tin) là : Thông tin, hệ thống, mạng nội bộ,
mạng công cộng internet
B. Các lớp kiểm soát gồm: chính sách (P); Con người (P) và công nghệ (T) lOMoAR cPSD| 46090862
C. MỖi lớp bảo vệ cần có nhiều kiểm soát và hoạt động bảo vệ cụ thể
D. Các thành viên của tổ chức phải trở thành một lực lượng bảo vệ được đào tạo, thực hiện
và duy trì hiệu quả, nếu không họ cũng sẽ gây ra mối đe dọa đối với thông tin.
Câu Hỏi 12: Xác định mức độ tài sản thông tin của tổ chức gặp rủi ro A. Đánh giá rủi ro- sai B. Phân tích rủi ro C. Kiểm soát rủi ro
D. Tất cả các lựa chọn E. Quản lý rủi ro
Câu Hỏi 13: Phát biểu nào SAI
A. TRưởng bộ phận công nghệ thông tin là CIO (Giám đốc thông tin)
B. CIO thuộc cấp điều hành của doanh nghiệp ( C-level)
C. CISO và CSO thuộc cấp điều hành của doanh nghiệp (C-level)
D. TRưởng bộ phận an toàn thông tin có thể là CISO (Giám đốc an toàn thông tin) hoặc
CSO (Phụ trách an toàn về
trang thiết bị, cơ sở hạ tầng của doanh nghiệp)
Câu Hỏi 14: Phát biểu nào SAI
A. Các đội ứng phó (sự cố; thảm họa; khủng hoảng) được thành lập trực tiếp bởi các đội
lậpkế hoạch (sự cố; thảm họa; khủng hoảng)
B. Tất cả các lựa chọn
C. Đội quản lý lập kế hoạch dự phòng (CPMT) gồm có giám đốc an toàn an ninh
(CISO) và các nhân sự quản lý công nghệ thông tin, nhân sự an toàn thông tin.
D. Đội quản lý lập kế hoạch dự phòng (CPMT), tuỳ theo tình hình thực tế, thành lập các
Đội kế hoạch ứng phó sự cố (IRPT) hoặc Đội lập kế họach phục hồi sau thảm
họa(DRPT) hoặc Đội lập kế hoặc quản lý khủng hoảng (CMPT)
Câu Hỏi 15: Phát biểu nào là SAI
A. Phương pháp tiếp cận thực hiện an toàn thông tin từ trên xuống thường có khả năng thành công cao
B. An toàn cơ sở dữ liệu tập trung vào đánh giá và bảo vệ thông tin được lưu trữ trong kho
dữ liệu (batabase management systems) và phương tiện lưu trữ (storage madia).
C. Tài sản thông tin là thông tin có giá trị đối với tổ chức và các hệ thống lưu trữ, xử lý và truyền thông tin
D. Phương pháp thiết lập chính sách và thực hành trong giai đoạn “Thực hiện an toàn
thông tin” được bắt đầu từ hành vi của cấp dưới được gọi là tiếp cận từ trên xuống
Câu Hỏi 16: Phát biểu nào đúng về bảng phân chia công việc (work breakdown structure WBS) lOMoAR cPSD| 46090862
A. Là công cụ đơn giản hỗ trợ việc lập kế hoạch dự án
B. Bảng này cần mô tả và sắp xếp các nhiệm vụ, người tham gia thực hiện, thời gian bắt
đầu kết thúc công việc, số lượng nỗ lực cần thiết, chi phí vốn hóa và không vốn hóa ước
tính cho nhiệm vụ và sự phụ thuộc giữa các nhiệm vụ
C. Tất cả đều đúng
D. Chia nhỏ nhiệm vụ dự án thành các nhiệm vụ chính
Câu Hỏi 17: Các loại mạng riêng ảo (VPN) A. VPN an toàn (secure VPN)
B. Tất cả đều đúng C. VPN lai (hybrid VPN)
D. VPN đáng tin cậy (Trust VPN
Câu Hỏi 18: Kế hoạch chiến lược
A. tập trung vào các chủ trương ngắn hạn sẽ hoàn thành trong vòng 1 hoặc 2 năm. B. Tất cả đều đúng
C. tập trung vào các hoạt động hàng ngày
D. Có tính định hướng lâu dài cho các đơn vị , bộ phận
Câu Hỏi 19: Phát biểu nào đúng
A. Mô hình an toàn CNSS còn gọi là khối lập phương Mc Cumber gồm 27 khối tương ứng
với 27 cách tiếp cận thiết kế an toàn thông tin
B. An toàn dữ liệu là bảo vệ dữ liệu trong quá trình chuyển giao, xử lý, lưu trữ
C. Tất cả đều đúng
D. “Chỉ cho phép sinh viên của lớp được truy cập vào hệ thống LMS của lớp để xem thông
tin giảng dạy do giảng viên đưa lên”là mô tả phạm vi: “ Bảo mật- chính sách- lưu trữ”
Câu Hỏi 20: Nội dung nào dưới đây thuộc phân tích tác động kinh doanh (BIA) do đội
quản lý kế hoạch dự phòng (CPMT) tiến hành:
A. Tất cả các lựa chọn đều đúng
B. Xác định các ưu tiên phục hồi cho nguồn lực/tài nguyên hệ thống
C. Xác định các yêu cầu đối với nguồn lực/tài nguyên liên quan tới nhiệm vụ/qui trình
D. Xác định nhiệm vụ hoặc quy trình kinh doanh và mức độ quan trọng của việc phục hồi
Câu Hỏi 21: Trang Web có giá trị 5.000.000$. Theo thống kê, tỷ lệ tấn công trang web là 1
lần/1 tháng và khả năng làm hỏng trang web là 10% . Xác suất dự kiến của một cuộc tấn
công là bao nhiêu (ARO)? Dự báo tổn thất đơn lẻ (SLE) của trang Web và Dự báo tổn
thất hàng năm (ALE) của trang Web là bao nhiêu A. 1- 500.000$-500.000$
B. 12- 500.000$- 6.000.000$ C. 6- 500.000$-6.000.000$ D. 52- 50.000$- 8.000.000$ lOMoAR cPSD| 46090862
Câu Hỏi 22: Hãy xác định rủi ro liên quan tới dữ liệu trong hệ thống máy chủ (server) của đơn
vị như sau: Theo dự đoán từ các thống kê trước, xác suất tấn công hệ thống là 20%/năm và khả
năng thành công là 30%. Giá trị của hệ thống máy chủ được đánh giá mức 80 trên thang điểm
100. Nếu tấn công thành công thì ước tính 80% dữ liệu sẽ bị mất hoặc bị tổn hại. Giả sử, các
ước tính về dữ liệu giả định chính xác đến 95%. A. 4,032 B. 4,3 C. 5,25 D. 6, 07
Câu Hỏi 23: Có bao nhiêu hình thức chính của kiểm soát truy cập dựa trên ma trận phân quyền
(lattice-based access control-LBAC ) A. 3 B. 4 C. 2 Loại D. 1
Câu Hỏi 24: Các loại kiểm soát trong mỗi lớp kiểm soát hay lớp bảo vệ
A. Tất cả đều đúng
B. Kiểm soát quản lý C. Kiểm soát vận hành D. Kiểm soát kỹ thuật
Câu Hỏi 25: Câu phát biểu nào SAI
A. Nhận thức và đào tạo huấn luyện giúp đạt được việc tuân thủ chương trình an toàn thôngtin
B. Theo dõi sự tuân thủ chương trình an toàn thông tin bằng cách dựa vào thông tin thực
hiện trong cơ sở và tham chiếu nó với các tiêu chuẩn đã được thiết lập
C. Các tài liệu về nhận thức và huấn luyện không cần phản ánh các thay đổi chính
sách an ninh khi có các thay đổi môi trường của tổ chức D. Tất cả đều sai
Câu Hỏi 26: Phát biểu nào đúng về kế hoạch chi tiết an toàn thông tin
A. Tất cả đều đúng
B. Kế hoạch chi tiết an toàn thông tin của doanh nghiệp là một mô hình an toàn thông tin
C. Có thể lấy nguyên mẫu hoặc điều chỉnh từ mô hình an toàn thông tin hay khuôn mẫu an toàn thông tin
D. Là cơ sở cho thiết kế, lựa chọn và triền khai một chương trình an toàn thông tin
Câu Hỏi 27: Phát biểu nào đúng liên quan tuyển dụng nhân viên vào các vị trí an toàn thông tin lOMoAR cPSD| 46090862
A. Có thể tham gia vào lĩnh vực an toàn thông tin nếu họ làm việc trên các phần mềm và qui trình bảo mật thông
tin thường xuyên hơn các nhiệm vụ công nghệ thông tin truyền thống
B. Để tuyển dụng nhân sự cho vị trí an toàn thông tin, đa phần, các đơn vị tìm kiếm những người có kiến thức
chung, có bằng cấp kỹ thuật về an ninh thông tin và có hiểu biết chắc chắn về hoạt động của doanh nghiệp
C. Tất cả đầu đúng
D. Các ứng viên cho vị trí an toàn thông tin cần hiểu các giải pháp kinh doanh, bao gồm giải pháp dựa trên công
nghệ được áp dụng để giải quyết các vấn đề an ninh thông tin cụ thể
Câu Hỏi 28: Phát biểu nào SAI
A. Vi phạm quyền sở hữu luôn dẫn đến vi phạm tính bảo mật
B. Vi phạm tính bảo mật luôn dẫn đến vi phạm quyền sở hữu
Câu Hỏi 29: Phát biểu nào đúng
A. Qui trình thực hiện việc xếp hạng rủi ro hoặc điểm số cho mỗi tài sản thông tin gọi là đánh giá rủi ro.
B. Từ góc nhìn an toàn thông tin, thành phần phần mềm được chia thành 2 loại là hệ điều
hành và thành phần bảo mật
C. Mục đích của phân tích nhân tố trọng số là liệt kê các tài sản theo thứ tự quan
trọng của chúng đối với tổ chức.
D. Công thức tính rủi ro trong giai đoạn đánh giá rủi ro: Rủi ro bằng tần suất tổn thất nhân
với mức độ tổn thất
Câu Hỏi 30: Chiến lược kiểm soát rủi ro bằng cách mua bảo hiểm, hoặc chuyển hoạt động
liên quan rủi ro sang các tài sản khác, quy trình khác A. Hủy diệt : B. Phòng thủ C. Chuyển giao D. Giảm thiểu E. Chấp nhận
Câu Hỏi 31: Nội dung nào thuộc nguyên tắc hoạt động của một mạng riêng ảo (VPN) , bất
kể công nghệ và giao thức cụ thể đang được sử dụng: A. Đóng gói B. Mã hóa C. Xác thực lOMoAR cPSD| 46090862
D. Tất cả đều đúng
Câu Hỏi 32: Chị Chi nhận được thông báo từ 1 người tự xưng là nhân viên phục vụ mặt
đất cảng hàng không thông báo là muốn nhận được thùng quà được gửi từ ông AAA (là 1
người quen qua mạng và báo đã gửi thùng quà tương đương giá trị 10.000$ ) thì chị nộp
phạt 100$ do 1 số vi phạm trong hàng hóa và giấy tờ giao nhận. Đây là ví dụ điển hình
của kiểu gian lận gì?
A. Gian lận phí ứng trước (Advance-fee Fraud) B. Pharming
C. Tất cả đều đúng
D. Cưỡng đoạt thông tin
E. Lừa đảo (Phishing)
Câu Hỏi 33: Phát biểu nào SAI
A. Không thể có được an toàn thông tin tuyệt đối, hoàn hảo B. Cả A và B C. Không A, không B
D. Cân bằng giữa an toàn và truy cập nhằm đảm bảo sự hợp lý giữa khả năng truy cập và
việc hạn chế rủi ro – với một mức độ bảo mật phù hợp
Câu Hỏi 34: Phát biểu nào đúng
A. Kiểm soát truy cập tùy ý được thực hiện theo quyết định hoặc tùy chọn của người dùng
dữ liệu, được kiểm soát bởi người dùng dữ liệu
B. Kiểm soát truy cập không tùy ý được thực hiện theo ủy quyền trung tâm, được kiểm
soátbởi tổ chức và dựa trên ma trận phân quyền
C. Tất cả các lựa chọn đều đúng
D. Kiểm soát truy cập không tùy ý gồm kiểm soát truy cập dựa trên vai trò và nhiệm vụ (
Role-based access controls (RBACs) and Task-based access controls (TBACs)) và
kiểm soát truy cập bắt buộc Mandatory access controls (MAC)
E. Tất cả các lựa chọn đều sai
Câu Hỏi 35: Tập trung vào việc đánh giá các nguy cơ bên ngoài đối với tài sản thông tin
của tổ chức và Chuyển những dữ liệu này vào cơ sở dữ liệu về rủi ro, nguy cơ/mối đe dọa
và tấn công. Phát biểu trên mô tả thành phần nào trong mô hình duy trì an toàn thông tin
A. Tất cả các lựa chọn
B. Giám sát môi trường bên trong
C. Giám sát môi trường bên ngoài
D. Lập kế hoạch và đánh giá rủi ro
Câu Hỏi 36: Phát biểu nào đúng liên quan tới các thuật ngữ: Lập kế hoạch dự phòng
(CP); Lập kế hoạch phản ứng với sự cố (IRP); Lập kế hoạch phục hồi sau thảm họa
(DRP); Lập kế hoạch đảm bảo hoạt động kinh doanh liên tục (BCP). lOMoAR cPSD| 46090862
A. DRP bao gồm IRP, CP và BCP
B. BCP bao gồm IRP, DRP và CP
C. IRP bao gồm CP, DRP và BCP
D. CP bao gồm IRP, DRP và BCP
Câu Hỏi 37: Phát biểu nào đúng về kiểm soát an toàn vật lý
A. Tất cả các lựa chọn
B. các biện pháp quản lý sự di chuyển của mọi người trong các cơ sở vật chất của tổ chức,
kiểm soát quyền truy cập vật lý của họ vào các nguồn lực của công ty.
C. Ban quản lý chung thuộc nhóm lợi ích liên quan : Chịu trách nhiệm an toàn của cơ sở
hoạt động (facility) và các chính sách và tiêu chuẩn để vận hành an toàn
D. Sử dụng các công nghệ kiểm soát như sinh trắc học, thẻ thông minh và thẻ khóa hỗ trợ
không dây (wirelessenabled keycards)
Câu Hỏi 38: Ai nên có trách nhiệm lập kế hoach chiến lược an toàn thông tin
A. Phụ trách an toàn về trang thiết bị, cơ sở hạ tầng của doanh nghiệp (CSO)
B. Phân tích an toàn thông tin (Information Security Analyst)
C. Giám đốc an toàn thông tin (CISO)
D. Quản lý an toàn thông tin (Information Security Manager)
Câu Hỏi 39: Phát biểu nào đúng
A. Để duy trì một cơ sở làm việc an toàn, tất cả các nhân viên hợp đồng ngắn hạn nên được
giám sát di chuyển từ phòng này sang phòng khác, cũng như ra vào cơ sở
B. Lời khuyên Bảo mật thông tin cần minh bạch với người sử dụng” cho người an ninh
thông tin chuyên nghiệp ngụ ý là: các hành động bảo vệ thông tin không được can thiệp
vào hành động của người sử dụng (trừ 1 số trường hợp nhỏ)
C. Quản lý an ninh (security managers) hoàn thành các nhiệm vụ được xác định bởi CISO
xác định và giải quyết các vấn đề do các kỹ thuật viên xác định
D. Một tổ chức nên tích hợp giáo dục nhận thức an toàn thông tin vào nội dung định hướng
công việc một cách thường xuyên với nhân sự mới
E. Tất cả đều đúng
Câu Hỏi 40: Nội dung nào KHÔNG nằm trong phân loại kiểm soát truy cập theo “tiêu
chuẩn đánh giá hệ thống máy tính tin cậy” (Trusted Computer System Evaluation
Criteria (TCSEC)) của Bộ Quốc Phòng Mỹ (the U.S. Department of Defense (DoD) :
A. Kiểm soát truy cập nhận dạng
B. Kiểm soát truy cập tùy ý
C. Kiểm soát truy cập không tùy ý
Câu Hỏi 41: Phát biểu nào SAI lOMoAR cPSD| 46090862
A. An toàn truyền thông là Bảo vệ thông tin và các hệ thống và phần cứng dùng để sử
dụng, lưu trữ và truyền tải thông tin”
B. An toàn thông tin bao gồm quản lý an toàn thông tin, An toàn dữ liệu, An ninh mạng
C. Người sở hữu dữ liệu (Data owners); Người sử dụng dữ liệu (Data users); Người bảo
quản dữ liệu (Data custodians) là các kiểu của Quyền sở hữu dữ liệu (ownership)
D. An toàn mạng là nhằm bảo vệ các thành phần, nội dung của mạng máy tính
Câu Hỏi 42: Kế hoạch chi tiết an toàn thông tin gồm các nội dung
A. Chương trình huấn luyện và giáo dục B. Kiểm soát công nghệ C. Triển khai chính sách
D. Quản lý chính sách 1 cách liên tục
E. Bảo dưỡng, duy trì chương trình
F. Tất cả các lựa chọn
Câu Hỏi 43: Phát biểu nào đúng về phân tích thiếu sót trong quá trình giám sát thực hiện dự án
A. Tất cả đều đúng
B. Khi xảy ra sai lệch đáng kể, hành động khắc phục được thực hiện để đưa nhiệm vụ sai
lệch trở lại tuân thủ kế hoạch dự án
C. Phân tích thiếu sót là so sánh các kết quả đạt được với các kết quả mong đợi
D. Thực hiện một quy trình phân tích thiếu sót nhằm đảm bảo rằng tiến độ của dự án được đo lường định kỳ.
Câu Hỏi 44: “Ransomware là một loại phần mềm độc hại, sau khi lây nhiễm vào máy
tính, mã hóa hoặc chặn truy cập dữ liệu trên đĩa và sau đó thông báo cho nạn nhân về
khả năng khôi phục chúng. Tất nhiên, không miễn phí và cần phải chuyển tiền vào tài
khoản được chỉ định”. Mô tả trên là ví dụ tiêu biểu của kiểu nguy cơ nào dưới đây:
A. Cưỡng đoạt thông tin
B. Lừa đảo (Phishing)
C. Gian lận phí ứng trước (Advance-fee Fraud) D. Pharming
Câu Hỏi 45: Loại tấn công nào phù hợp với mô tả sau: Tấn công bắt nguồn từ hệ thống
hoặc nguồn lực bị suy yếu hoặc bị xâm nhập. A. Tấn công chủ động
B. Tấn công gián tiếp
C. Tấn công trực tiếp D. Tấn công không cố ý
Câu Hỏi 46: Tấn công từ chối dịch vụ (DoS): lOMoAR cPSD| 46090862
A. Kẻ tấn công gửi một số lượng lớn các yêu cầu kết nối hoặc yêu cầu thông tin đến một mục tiêu
B. Rất nhiều yêu cầu được đưa ra khiến hệ thống mục tiêu không thể xử lý yêu cầu thành
công cùng với các yêu cầu dịch vụ hợp pháp khác
C. Tất cả đều đúng
D. Có thể dẫn đến sự cố hệ thống hoặc đơn thuần là không thể thực hiện các chức năng thông thường
Câu Hỏi 47: Phát biểu nào đúng
A. IP Spooíng (Giả mạo địa chỉ IP) Một kỹ thuật để đạt được quyền truy cập trái phép vào
máy tính trong mạng bằng cách sử dụng địa chỉ IP nguồn giả mạo hoặc sửa đổi để tạo ra
nhận thức rằng thư đến từ một máy chủ đáng tin cậy
B. Thu thập thông tin qua vai (shoulder suríng ) Là hành động quan sát bí mật hoặc trực
tiếp về thông tin cá nhân hoặc việc sử dụng hệ thống, không thuộc tấn công có chỉ đích bằng phần mềm
C. Tất cả đều đúng
D. Man-in-the-middle: kẻ tấn công chặn luồng liên lạc và tự chèn mình vào cuộc trò chuyện
để thuyết phục mỗi bên rằng anh ta là đối tác hợp pháp
Câu Hỏi 48: Loại tấn công nào phù hợp với mô tả sau: Tấn công bắt nguồn từ bản thân
nguy cơ của hệ thống A. Tấn công chủ động B. Tấn công gián tiếp
C. Tấn công trực tiếp
D. Tấn công không cố ý
Câu Hỏi 49: Việc áp dụng các biện pháp để giảm rủi ro xuống mức có thể chấp nhận được
đối với tài sản thông tin của tổ chức A. Quản lý rủi ro
B. Kiểm soát hay Xử lý rủi ro (risk control/risk treatment)
C. Tất cả đều đúng D. Đánh giá rủi ro
Câu Hỏi 50: Kẻ tấn công sử dụng rất nhiều hệ thống bị xâm nhập để tạo ra các lệnh gửi
tới máy tính mục tiêu trong cùng một thời điểm. Kết quả là máy tính mục tiêu bị rối loạn,
không thể thực thi các lệnh hoạt động. Đây là kiểu tấn công
A. Từ chối dịch vụ (DoS) B. Tất cả đều đúng
C. Từ chối dịch vụ phân tán (DDoS)
51. Phát biểu nào SAI
a. Xác định đường cơ sở (baselining). Là qui trình xác định đường cơ sở lOMoAR cPSD| 46090862
b. Đường cơ sở (Baseline) là một điểm tham chiếu để đo lường, đánh giá một qui trình hay
hoạtđộng nào đó trong tương lai. Nó có thể là thông tin được chọn về một hoạt động nào đó
c. Mục tiêu của xác định đường cơ sở là xác định điểm tham chiếu làm nền tảng cho việc thực
hiện phương pháp chuẩn so sánh trong nội bộ
d. Th ự c hi ệ n xác đ ị nh đư ờ ng cơ s ở là không c ầ n thi ế t trong qu ả n lý r ủ i ro theo phương
pháp chu ẩ n so sánh và th ự c hành t ố t
52. Phát biểu nào đúng về cách tiếp cận để thực hiện điều tra kỹ thuật
a. Bảo vệ và quên đi (hay còn gọi vá (patch) và tiếp tục) tập trung vào việc phát hiện và
phân tích các sự kiện để xác định cách chúng xảy ra và để ngăn chặn việc tái diễn b. Không lựa chọn nào đúng
c. Bắt giữ và truy tố (theo đuổi và truy tố) tập trung vào việc xác định và bắt giữ các bên có trách nhiệm
d. Tất cả đều đúng
53. Phát biểu nào SAI về thực hành tốt nhất trong quản lý rủi ro
a. Một tổ chức chứng minh rằng họ đã làm những gì mà bất kỳ tổ chức thận trọng nào sẽ làm
trong những trường hợp tương tự và tuân thủ theo luật gọi là thực hành tốt nhất (the best practice) b. B và C
c. Là những thực hành tốt nhất hoặc những thực hành được đề nghị cho tổ chức
d. Đơn vị áp dụng thực hành tốt nhất luôn luôn là đơn vị tốt nhất trong mọi phạm vi hoạt độnge. A và B
a.xác suất xảy ra tấn công (likelihood)
2.Loại chính sách nào đề cập đến các lĩnh vực công nghệ cụ thể, yêu cầu cập
nhật thường xuyên và có tuyên bố về quan điểm của tổ chức về một vấn đề cụ thể?
a.chính sách bảo mật thông tin doanh nghiệp (EISP)
b.chính sách bảo mật theo vấn đề cụ thể (ISSP)
3.Mô hình nào sau đây minh họa rằng mỗi giai đoạn của SDLC bắt đầu với các kết
quả và thông tin thu được từ giai đoạn trước?
a.Mô hình thác nước