KIỂM TRA QUÁ TRÌNH AN TOÀN THÔNG TIN KẾ TOÁN

Nhóm số .N07.

Họ tên thành viên:

Lê Vũ Huyền Trang (nhóm trưởng) ,ND :Phần C và check A&D ,%:100% ,STT 41

Họ tên thành viên:

Lê Thị Thu Hiền ,ND :Phần A&D và check C ,%:100% ,STT 11

Họ tên thành viên:

Nguyễn Thị Diệu Linh ,ND :Phần B và check A&D ,%:100% ,STT 21

Họ tên thành viên:

Nguyễn Hoàng Hạnh Trúc ,ND :Phần A&D và check B ,%: 100% ,STT 49-

Nhóm đã làm việc online với nhau qua công cụ: Google docs.

Minh chứng:
Phần A. (2,5 điểm) In đậm đáp án đúng duy nhất
1. Using a known or previously installed access mechanism is known as which of the
following?
a. hidden bomb
b. vector
c. spoof
d. back door
2. Which of the following is used to direct how issues should be addressed and
technologies used in an organization?
a. policies
b. standards
c. ethics
d. governance
3. Which term is used to describe detailed statements of what must be done to comply
with policy?
a. policies
b. standards
c. ethics
d. governance
4. What type of policy addresses specific areas of technology, requires frequent updates,
and contains a statement on the organization’s position on a specific issue?
a. enterprise information security policy (EISP)
b. systems-specific security policy (SysSP)
c. automated policy (AP)
d. issue-specific security policy (ISSP)
5. As indicated earlier, one of the foundations of security architectures is the
requirement to implement security in layers. This layered approach is referred to as
which of the following?
a. managerial controls
b. security domain
c. redundancy
d. defense in depth
6. What type of planning is conducted by the organization to prepare for, react to, and
recover from events that threaten the security of information and information assets in
the organization, and the subsequent restoration to normal modes of business
operations.
a. business continuity planning (BCP)
b. contingency planning (CP)
c. contingency planning (CP)business resumption planning (BRP)
d. disaster recovery planning (DRP)
7. Which type of planning is used for the identification, classification, response, and
recovery from an incident?
a. business continuity planning (BCP)
b. contingency planning (CP)
c. business resumption planning (BRP)
d. disaster recovery planning (DRP)
8. Which term best describes an investigation and assessment of the various adverse
events that can affect the organization, which includes a determination of how critical
a system or set of information is to the organization’s core processes and recovery
priorities?
a. recovery time objective (RTO)
b. work recovery time (WRT)
c. business impact analysis (BIA)
d. recovery point objective (RPO)
9. Which type of planning ensures that critical business functions continue if a
catastrophic incident or disaster occurs.?
a. business continuity planning (BCP)
 b. contingency planning (CP)
c. business resumption planning (BRP)
d. disaster recovery planning (DRP)
10. Risk identification is performed within a larger process of identifying and justifying
risk controls, which is called which of the following?
a. risk assessment
b. risk management
c. risk control
d. risk identification
11. The application of controls that reduce the risks to an organization’s information
assets to an acceptable level is known as which of the following?
a. risk assessment
b. risk management
c. risk control
d. risk identification
12. For information security purposes, which of the following terms is used to describe
the systems that use, store, and transmit information.

a. inventory
b. threats
c. controls
d. assets
13. The probability that a specific vulnerability within an organization will be the target
of an attack is known as which of the following?
a. probability
b. manageability
c. likelihood
d. practability

14. The calculation of the value associated with the most likely loss from an attack is
called which of the following?
a. ARO
b. ALE
c. CBA
d. SLE
15. The method by which systems determine whether and how to admit a user into a
trusted area of the organization is known as which of the following?
a. attribute
b. accountability
c. access control
d. auditability
16. What term is used to describe the process of validating a supplicant’s purported
identity?
 a. accountability
b. authentication
c. authorization
d. biometrics
17. Which of the following positions is typically the top information security employee in
the organization?

a. CISO

b. CEH
c. Security manager
d. CSO
18. Which of the following information security roles is accountable for the day-to-day
operation of the information security program?

a. CISO
b. security analyst
c. security manager
d. CSO
19. Which of the information security roles is usually tasked with configuring firewalls,
deploying IDSs, implementing security software, diagnosing and troubleshooting
problems, and coordinating with systems and network administrators to ensure that
security technology is operating to protect the organization?

a. security analyst
b. CIO
c. Security manager
d. physical security manager
20. Which of the following is the application of forensics techniques and methodologies
to the preservation, identification, extraction, documentation, and interpretation of
digital media for evidentiary and/or root-cause analysis?
a. digital forensics
b. digital analysis
c. computer forensics
d. media analysis

Phần B. (2,5 điểm) Điền ký tự vào cột 2

Back door 1-E A. The direct, covert observation of individual information or

system use

Hacktivist 2-F B. The process of using social skills to convince people to reveal
access credentials or other valuable information to the attacker
Rooting 3-C C. Escalating privileges to gain administrator-level control over a
computer system (including smartphones)

Pharming 4-D D. The redirection of legitimate Web to illegitimate Web sites with
the intent to collect personal information

Shoulder surfing 5-A E. A malware payload that provides access to a system by

bypassing normal access controls

Social engineering 6-B F. A hacker who seeks to interfere with or disrupt systems to
protest the operations, policies, or actions of an organization or
government agency

Bull’s-eye model 7-R G. Access controls that are implemented by a central authority

Incident 8-H H. An adverse event that could result in loss of an information

asset or assets, but does not currently threaten the viability of the
entire organization

Annualized rate of 9-K I. An adverse event that could threaten the viability of the entire
occurrence (ARO) organization. A disaster may either escalate from an incident or be
initially classified as a disaster

Task-based access 10-Q J. The point in time prior to a disruption or system outage to which
control (TBAC) mission/business process data can be recovered after an outage
(given the most recent backup copy of the data)

Attribute-based access 11-T K. In a cost-benefit analysis, the expected frequency of an attack,

control (ABAC) expressed on a per-year basis

Recovery time objective12-M L. The calculation of the likelihood of an attack coupled with the
(RTO) attack frequency to determine the expected number of losses within
a specified time range

Loss frequency 13-L M. The maximum amount of time that a system resource can
remain unavailable before there is an unacceptable impact on other
system resources, supported mission/business processes, and the
MTD

Annualized loss 14-S N. Also known as event loss magnitude, the combination of an
expectancy (ALE) asset’s value and the percentage of it that might be lost in an attack

Disaster 15-I O. An example of a nondiscretionary control where privileges are

tied to the role a user performs in an organization, and are inherited
when a user is assigned to that role. Roles are considered more
persistent than tasks
Recovery point 16-J P. Access controls that are implemented at the discretion or option
objective (RPO) of the data user

Discretionary access 17-P Q. An example of a nondiscretionary control where privileges are

controls (DACs) tied to a task a user performs in an organization and are inherited
when a user is assigned to that task. Tasks are considered more
temporary than roles

Loss magnitude 18-N R. A method for prioritizing a program of complex change; it

requires that issues be addressed from the general to the specific
and focuses on systematic solutions instead of individual problems

Role-based access 19-O S. In a cost-benefit analysis, the product of the annualized rate of
control (RBAC) occurrence and single loss expectancy

Nondiscretionary access20-G T. An access control approach whereby the organization specifies

controls (NDACs) the use of objects based on some attribute of the user or system

Phần C. (1 điểm) Tính rủi ro tài sản thông tin A và B. Ghi rõ công thức tính ở phần Notes
Items A B Notes

Likelihood 10% 20% Rủi ro tài sản = Tần suất tổn thất x Thiệt
hại kì vọng + Sự không chắc chắn của ước
Loss Frequency 10% 16% tính.
Probable Loss 60% 40% = (Xác suất xảy ra tấn công x Tỷ lệ thành
công của cuộc tấn công)x(Giá trị tài sản x
Uncertainty 30% 10%
Tổn thất có thể xảy ra) + Sự không chắc
Attack Success Probability 100% 80% chắn của các ước tính.
Rủi ro A
Asset Value 25 30
=(10%*100%)*(25*60%)+30%=1.8
Loss Magnitude 15 12
Rủi ro B
Risk? 1.8 2.02
=(20%*80%)*(30*40%)+10%=2.02

Phần D. (4 điểm)
Nhóm hãy giới thiệu khái quát về Luật an toàn thông tin mạng và Luật an ninh mạng. Trình bày
tóm lược các nội dung nhóm có thể vận dụng liên quan đến môn học từ các luật này, có thể vận
dụng thêm Luật dân sự, Luật hình sự nếu cần thiết.
Bài làm
Luật an ninh mạng:
 - Luật được Quốc hội nước Cộng hòa XHCN Việt Nam khóa XIV, kỳ họp thứ 5 thông
qua ngày 12/6/2018
- Ngày có hiệu lực thi hành: 1/1/ 2019.
- Là quy định về hoạt động bảo vệ an ninh quốc gia và bảo đảm trật tự, an toàn xã hội
trên không gian mạng; trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan.
- Luật an ninh mạng gồm 7 chương, 43 điều, Luật an ninh mạng sẽ quy định cụ thể về
việc bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia;
biện pháp phòng ngừa, xử lý các hành vi xâm phạm an ninh mạng; các lực lượng trực
tiếp tham gia vào việc bảo vệ an ninh mạng; trách nhiệm của các cơ quan, tổ chức và
các cá nhân và các điều khoản thi hành của Luật an ninh mạng.
- Ban soạn thảo: Bộ công an Việt Nam, Bộ quốc phòng Việt Nam, Bộ kế hoạch và đầu
tư Việt Nam, Bộ công thương Việt Nam
- Ban hành: Quốc Hội
Luật An ninh thông tin mạng:
- Luật được Quốc hội nước Cộng hòa XHCN Việt Nam khóa XIII, kỳ họp thứ 10 thông
qua ngày 19/11/2015
- Ngày có hiệu lực thi hành: 1/7/2016
- Là căn cứ pháp lý đầy đủ nhất từ trước đến nay tại Việt Nam nhằm bảo vệ lợi ích cá
nhân, tổ chức, doanh nghiệp và quốc gia trên không gian mạng.
- Luật an toàn thông tin mạng gồm 8 chương, 54 điều, quy định về những nguyên tắc
chung về bảo đảm an toàn thông tin mạng, quyền và trách nhiệm cá nhân của cơ quan,
tổ chức, cá nhân trong việc bảo đảm an toàn thông tin mạng; mật mã dân sự; tiêu
chuẩn; quy chuẩn kỹ thuật về an toàn thông tin mạng; kinh doanh trong lĩnh vực an
toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng; quản lý nhà
nước về an toàn thông tin mạng
- Áp dụng đối với cơ quan, tổ chức, cá nhân Việt Nam, tổ chức, cá nhân nước ngoài
trực tiếp tham gia hoặc có liên quan đến hoạt động an toàn thông tin mạng tại Việt
Nam.
- Ban hành: Quốc Hội
Nội dung nhóm có thể vận dụng liên quan đến môn học từ các luật này đó là hiểu sâu hơn
về quyền, nghĩa vụ và trách nhiệm của bản thân về an toàn thông tin trong bối cảnh CMCN4.0
hiện nay. Biết được nguyên nhân gây ra những nguy cơ, những rủi ro và biết cách để kiểm soát
nó. Điều quan trọng là nâng cao nhận thức và trang bị những kỹ năng cơ bản để có thể đảm bảo
an toàn thông tin của bất kỳ tổ chức hay doanh nghiệp nào sau này mỗi thành viên của nhóm
làm việc cho họ.
Theo các luật này và môn học hướng dẫn, một cá nhân có thể gây ảnh hưởng cho đến rất nhiều
người trong hệ thống mạng, vì thế mỗi cá nhân nên hiểu được lý do tại sao phải lập các chính
sách, biết được các nguy cơ mà tổ chức có thể đối mặt, lập những kế hoạch ứng phó rủi ro, hiểu
được tại sao phải tuân thủ tại sao phải nâng cao nhận thức và phải được đặt lên hàng đầu trong
tâm trí để có thể hành động đúng đắn, nhận biết được thông tin nào cần bảo vệ. Khi ở trong một
tổ chức, người dùng bắt buộc phải tuân thủ các chính sách, nếu không sẽ dẫn đến các nguy cơ,
rủi ro ảnh hưởng đến an toàn. thông tin của doanh nghiệp và sự cố xảy ra có thể cấu thành tình
huống vi phạm pháp luật.
Thông qua Luật, có thể thấy Môn học An toàn thông tin kế toán làm cho người học nhận thức
được vấn đề an toàn thông tin và an ninh mạng trong hoạt động kế toán kiểm toán, tài chính
trong thời đại hiện nay là vô cùng quan trọng, nó liên quan đến doanh nghiệp nghĩa là liên quan
đến nền kinh tế. Ít nhất an toàn thông tin kế toán có thể đảm bảo được nền kinh tế quốc gia, tạo
sự yên tâm và bảo vệ quyền lợi của người sử dụng. Vì thế nên người học cần hiểu rõ môi
trường, cách vận hành hệ thống thông tin, từ đó có những nhận thức và hành động đúng đắn.