Xin chào mọi người, lâu lâu Blog Thao Phạm quay lại cùng các bạn ôn thi cuối kỳ. Bài viết này, mình có chia sẻ tới các bạn đề cương ôn tập môn Quản lý An toàn thông tin. Với lượng câu hỏi lý thuyết khá nhiều, mình đã đọc và tóm tắt từ slide của thầy để hoàn thiện tập đề cương với hơn 30 câu hỏi.
Dưới đây là một phần trả lời trong đề cương
PHÁP LUẬT VÀ CHÍNH SÁCH
Câu 1: Khái niệm về an toàn thông tin
An toàn thông tin là hoạt động nhằm đảm bảo an toàn cho các tài nguyên thông tin và việc thực hiện các hoạt động bình thường của cơ quan:
Câu 2: Khái niệm: Tài sản, tấn công, biện pháp, rủi ro, đe dọa
- Tài sản (Asset): là những thứ (có giá trị) thuộc sở hữu của cơ quan/ tổ chức muốn được bảo vệ. Có thể là thứ cụ thể như CSDL hoặc trừu tượng như tên tuổi (danh tiếng)
- Tấn công (Attack): hành động lợi dụng lỗ hổng để xâm hại, ăn trộm, trung ra, làm hỏng hay phát tán, hay sửa đổi trái phép một tài sản.
- Biện pháp đối phó: Các phương pháp nhằm giảm bớt (giảm hậu quả) của các lỗ hổng. Biện pháp đối phó có thể thuần túy logic như áp dụng chính sách hay có thể là phần cứng như tường lửa
- Rủi ro: (rick)
- Khả năng sự kiện không mong muốn xảy ra thương ám chỉ đến các tổn thất có thể có.
- Thường được đối phó bằng việc triển khai các công cụ kiểm tra giám sát; chuyển cho bên thứ ba như bảo hiểm; giảm nhẹ tổn thất do mất mát bằng lập kế hoạch đối phó với bất ngờ.
- Rủi ro thặng dư là rủi ro còn lại sau khi mọi biện pháp thận trọng đã được thực thi.
- rủi ro chấp nhận được là rủi ro mà cơ quan/tổ chức chấp nhận sau khi đã hoàn tất chương trình quản lý rủi ro.
- Đe doạ (threat)
- Phân loại các vấn đề có thể xảy ra cho tài sản của cơ quan tổ chức.
- Đe dọa là các hành động chưa xảy ra nhưng khái niệm xả ra của chúng có thể thấy được.
PHÁP LUẬT VÀ CHÍNH SÁCH
Câu 1: Khái niệm về an toàn thông tin
An toàn thông tin là hoạt động nhằm đảm bảo an toàn cho các tài nguyên thông tin và việc thực hiện các hoạt động bình thường của cơ quan:
Câu 2: Khái niệm: Tài sản, tấn công, biện pháp, rủi ro, đe dọa
- Tài sản (Asset): là những thứ (có giá trị) thuộc sở hữu của cơ quan/ tổ chức muốn được bảo vệ. Có thể là thứ cụ thể như CSDL hoặc trừu tượng như tên tuổi (danh tiếng)
- Tấn công (Attack): hành động lợi dụng lỗ hổng để xâm hại, ăn trộm, trung ra, làm hỏng hay phát tán, hay sửa đổi trái phép một tài sản.
- Biện pháp đối phó: Các phương pháp nhằm giảm bớt (giảm hậu quả) của các lỗ hổng. Biện pháp đối phó có thể thuần túy logic như áp dụng chính sách hay có thể là phần cứng như tường lửa
- Rủi ro: (rick)
- Khả năng sự kiện không mong muốn xảy ra thương ám chỉ đến các tổn thất có thể có.
- Thường được đối phó bằng việc triển khai các công cụ kiểm tra giám sát; chuyển cho bên thứ ba như bảo hiểm; giảm nhẹ tổn thất do mất mát bằng lập kế hoạch đối phó với bất ngờ.
- Rủi ro thặng dư là rủi ro còn lại sau khi mọi biện pháp thận trọng đã được thực thi.
- rủi ro chấp nhận được là rủi ro mà cơ quan/tổ chức chấp nhận sau khi đã hoàn tất chương trình quản lý rủi ro.
- Đe doạ (threat)
- Phân loại các vấn đề có thể xảy ra cho tài sản của cơ quan tổ chức.
- Đe dọa là các hành động chưa xảy ra nhưng khái niệm xả ra của chúng có thể thấy được.
>>> Đọc thêm: Tổng hợp ngân hàng câu hỏi, slide ôn tập các môn học
Câu 3: Khái niệm về quản trị, chính sách, luật pháp về an toàn thông tin
- Quản trị:
- Bao gồm các yêu cầu và các hành động cụ thể để đảm bảo sự tuân thủ chính sách, quy trình. tiêu chuẩn và hướng dẫn của cơ quan/tổ chức.
- Việc quản trị tốt mang lại sự tin tưởng và sự tự tin về mọi người tuân theo các quy định đã được xây dựng.
- Chính sách:
- Mô tả các kiểm soát, hành động, quy trình cần được thực hiện cho hệ thống thông tin của cơ quan/ tổ chức.
- Cần bao phủ các mối đe dọa tới hệ thống bao gồm cả con người, thông tin và tài sản cụ thể.
- Luật pháp về attt
- Là người hoạt động trong lĩnh vực an toàn thông tin, điều quan trọng là hiểu được vai trò ảnh hưởng của luật pháp và các quy định cũng như việc tuân thủ các yêu cầu này.
- Các yêu cầu và quy định tác động như: Bảo vệ hoạt động của cơ quan/tổ chức; Thiết kế hệ thống và các ứng dụng mới; Quyết định thời hạn lưu giữ dữ liệu; mã hóa dữ liệu nhạy cảm;...
Câu 4: Mối tương quan giữa đạo đức, chính sách và luật pháp an toàn thông tin
- Tương quan giữa đạo đức - luật pháp:
- Luật pháp là các quy định bắt buộc hay cấm một số hành vi nhất định; chúng được xây dựng dựa trên đạo đức các định cách hành vi chấp nhận được trong xã hội. Luật pháp thương đi kèm với các cơ quan quyền lực pháp lý.
- Đạo đức được hình thành dựa trên các tập tục văn hóa: thái độ đạo đức hay thói quen của một nhóm cụ thể.
- Tương quan giữa chính sách - luật pháp:
- Các chuyên gia an toàn thông tin duy trì an ninh thông qua việc thiết lập và thực thi các chính sách. Đó là các hướng dẫn về các hành vi được và không được chấp nhận tại nơi làm việc. Chính sách đóng vai trò như luật pháp tại nơi làm việc.
- Sự khác biệt giữa luật và chính sách là nhân viên có thể không biết về chính sách của cơ quan. Lỗi này có thể chấp nhận được.
Câu 5: Các tiêu chuẩn của chính sách
- Phổ biến (phân phát): mọi người trong cơ quan đều có thể đọc và xem xét các chính sách phù hợp.
- Đánh giá (đọc): Cơ quan cần phân phát các tài liệu theo dạng dễ hiểu dễ đọc cho mọi đối tượng nhân viên: tài liệu bằng nhiều ngôn ngữ
- Nhận thức (hiểu): Mỗi nhân viên đều hiểu các yêu cầu và nội dung của các chính sách.
- Chấp thuật (đồng ý): Đảm bảo các nhân viên đồng ý tuân thủ chính sách bằng hành động hay xác nhận.
- Thi hành nhất quán: Cơ quan cần đảm bảo chính sách được thực thi nhất quán bất kể tình trạng hay công việc của nhân viên.
Các bạn có thể download tại đây: (cập nhật ngày 13/12/2017 - Còn cập nhật)
Một số câu hỏi mình chưa hoàn thiện và đang trong quá trình nghiên cứu, mình sẽ cập nhật sớm nhất. Mong các bạn luôn ghé thăm Blog Thao Phạm của mình và nhận nhiều ý kiến đóng góp để cùng ôn thi tốt nhé. Chúc các bạn có một mùa thi thành công!
0 Comments