8. Kết quả có thể xảy ra của một rủi ro đã được xác định và phân tích trong quy trình quản lý rủi ro là gì?

Chấp nhận, tránh né, giảm thiểu, chuyển giao

Chấp nhận, tránh né, giảm nhẹ, chuyển nhượng, dư thừa

Chấp nhận, loại bỏ, giảm thiểu, chuyển giao

Chấp nhận, tránh né, loại bỏ, giảm thiểu, chuyển giao

10. Một tổ chức gần đây đã gặp sự cố bảo mật trong đó một nhân viên đã làm rò rỉ thông tin quan trọng thông qua nhà cung cấp dịch vụ lưu trữ dựa trên đám mây không được phê duyệt. Nhân viên nói rằng cô ấy “không biết” rằng việc lưu trữ dữ liệu của công ty trong các dịch vụ dựa trên đám mây chưa được phê duyệt là vi phạm chính sách. Kiểm soát hành chính tốt nhất để ngăn chặn loại sự kiện này trong tương lai là gì?

Yêu cầu nhân viên xác nhận việc tuân thủ chính sách bảo mật hàng năm bằng văn bản

Triển khai GPO để chặn việc sử dụng thiết bị lưu trữ dung lượng lớn USB

Triển khai hệ thống giám sát và bảo vệ các tài nguyên được lưu trên các dịch vụ đám mây (CASB)

Triển khai hệ thống ngăn chặn dữ liệu rò rỉ (DLP) dựa trên điểm cuối

11. Bộ phận nhân sự của một công ty đa quốc gia lớn đang lên kế hoạch hợp nhất các hệ thống thông tin nhân sự (HRIS) của mình trên một nền tảng duy nhất. Làm thế nào để chức năng bảo mật thông tin có thể điều chỉnh chiến lược của mình cho sự phát triển này?

Chức năng quản lý truy cập và nhận dạng có thể được tích hợp với HRIS toàn cầu mới.

Các nhà thầu và công nhân tạm thời có thể được quản lý trong HRIS toàn cầu mới

Người lao động ở tất cả các quốc gia có thể thừa nhận việc tuân thủ chính sách bảo mật thông tin

12. Các tiêu chí liên quan đến bảo mật quan trọng nhất để phân loại hệ thống là gì?

Độ nhạy cảm của dữ liệu và mức độ quan trọng trong hoạt động

Mức độ quan trọng trong hoạt động

Độ nhạy cảm của dữ liệu

13. Giải pháp tốt nhất để bảo vệ ứng dụng SaaS khỏi cuộc tấn công lớp 7 là gì?

Trình môi giới bảo mật truy cập đám mây

Bảo vệ chống phần mềm độc hại nâng cao

14. Cách hiệu quả nhất để xác nhận việc tuân thủ tổng thể chính sách bảo mật là gì?

Phỏng vấn người quản lý quy trình và kiểm tra hồ sơ hoạt động

Xem lại điểm kiểm tra từ các câu hỏi đào tạo nâng cao nhận thức bảo mật

Gửi bảng câu hỏi cho người quản lý quy trình và yêu cầu họ đính kèm bằng chứng

Thực hiện kiểm thử xâm nhập các hệ thống và ứng dụng chính, đồng thời quét mã nguồn nếu có

15. Kiểm soát nào có thể cải thiện tốt bảo mật phần mềm trong phần mềm với tư cách là một tổ chức dịch vụ hiện đang trải qua các cuộc kiểm thử xâm nhập hằng quý đối với phần mềm SaaS của mình?

Thực hiện SAST (static application security testing) như một phần của quy trình xây dựng phần mềm

Thử nghiệm thâm nhập hằng tháng

Quét ứng dụng web hằng ngày của môi trường sản xuất

16. Trong một tổ chức phần mềm đa quốc gia, cách tốt nhất để sử dụng cho chính sách bảo mật liên quan đến kiểm tra lý lịch?

Trước khi tuyển dụng, tất cả người lao động, dù là nhân viên, nhà thầu hay chuyên gia tư vấn, đều phải trải qua các cuộc điều tra lý lịch nếu luật pháp cho phép.

Trước khi tuyển dụng, tất cả nhân viên phải trải qua quá trình điều tra lý lịch nếu được pháp luật cho phép

Trước khi tuyển dụng và hàng năm sau đó, tất cả nhân viên phải trải qua các cuộc điều tra lý lịch.

Trước khi tuyển dụng, tất cả người lao động, dù là nhân viên, nhà thầu hay chuyên gia tư vấn, đều phải trải qua quá trình điều tra lý lịch.

17. Trong một tổ chức có văn hóa bảo mật đã được thiết lập, một số nhân viên phàn nàn về thời gian cần thiết để trải qua khóa đào tạo nâng cao nhận thức kéo dài 8 giờ hàng năm, cho rằng họ đã thành thạo về chủ đề này và tổ chức sẽ được hưởng lợi nhiều hơn nếu họ tiếp tục thực hiện các nhiệm vụ của mình. Cách tiếp cận tốt nhất để giải quyết vấn đề này là gì?

Cho phép nhân viên bỏ qua các chủ đề đào tạo nhân cao nhận thức bảo mật nếu lần đầu tiên họ vượt qua các bài kiểm tra về các chủ đề đó.

Yêu cầu tất cả nhân viên phải trải qua đào tạo vì nó được yêu cầu bởi chính sách.

Cho phép nhân viên bỏ qua khóa đào tạo nâng cao nhận thức về bảo mật nếu họ đạt điểm kiểm tra tốt trong những năm trước.

Cho phép những nhân viên đó bỏ qua khóa đào tạo nâng cao nhận thức về bảo mật.

18. Một kiến trúc sư bảo mật đang tìm cách cải thiện khả năng phòng thủ chuyên sâu để chống lại phần mềm tống tiền . Tổ chức của anh sử dụng phần mềm chống phần mềm độc hại tiên tiến trên tất cả các thiết bị đầu cuối và phần mềm chống virus trên các máy chủ email của mình. Các thiết bị đầu cuối cũng có khả năng IPS và hoạt động khi điểm cuối là tại chỗ hoặc từ xa. Anh ấy nên xem xét những giải pháp nào khác để cải thiện khả năng phòng thủ chống lại mã độc tống tiền?

Lọc thư rác và thư lừa đảo

Giám sát tính toàn vẹn của tệp

19. Ban giám đốc của một công ty sản xuất đã yêu cầu CISO báo cáo mô tả tình trạng chương trình an ninh mạng của tổ chức. Cách nào sau đây là cách tốt nhất để CISO thực hiện yêu cầu này?

Gửi bản đánh giá rủi ro gần đây nhất cho các thành viên hội động quản trị.

Gửi bài kiểm thử xâm nhập gần đây nhất cho các thành viên hội đồng quản trị

Gửi bản đăng ký rủi ro cho các thành viên hội đồng quản trị

Gặp gỡ hội đồng quản trị tại cuộc họp theo lịch trình tiếp theo, cung cấp thông tin về tình trạng của chương trình an ninh mạng và trả lời các câu hỏi của các thành viên hội đồng quản trị

20. CISO trong một tổ chức 1000 nhân viên muốn triển khai chức năng giám sát an ninh 24/7/365. Hiện tại không có hoạt động CNTT 24/7 trong tổ chức. Đâu là lựa chọn tốt nhất để CISO triển khai chức năng giám sát an ninh 24/7/365?

Thuê ngoài giám sát bảo mật cho nhà cung cấp dịch vụ bảo mật được quản lý (MSSP) chuyên giám sát sự kiện bảo mật.

Tăng cường nhân sự chức năng giám sát sự kiện an ninh 24/7/365 với đội ngũ nhân viên thường trực toàn thời gian.

Nhân viên thiết lập chức năng giám sát sự kiện bảo mật và hoạt động CNTT 24/7/365 với đội ngũ nhân viên toàn thời gian cố định

Triển khai nền tảng giám sát sự kiện bảo mật và gửi các sự kiện đến nhân viên 5x8 hiện có (nhân viên làm việc 5 ngày/tuần, 8h/ngày) sau giờ làm việc.

23. Cách tiếp cận tốt nhất trong hầu hết các tổ chức để đảm bảo rằng nhân viên an ninh mạng luôn cập nhật kiến thức và kỹ năng của họ là gì?

Cung cấp ít nhất một tuần đào tạo chính thức mỗi năm

Xây dựng một thư viện sách về các chủ đề bảo mật khác nhau mà nhân viên an ninh có thể xem và đọc.

Cung cấp ít nhất một tháng đào tạo chính thức mỗi năm

Nhân viên bảo vệ có thể tự học và không cần hỗ trợ từ tổ chức

24. Trưởng nhóm bảo mật tại một nhà bán lẻ trực tuyến toàn cầu đang phát triển một kế hoạch phân loại hệ thống. Các hệ thống được phân loại là Cao, Trung bình hoặc Thấp, tùy thuộc vào mức độ quan trọng của hoạt động, độ nhạy của dữ liệu và mức độ tiếp xúc với các mối đe dọa. Trong một môi trường nhất định, các máy chủ hỗ trợ (chẳng hạn như máy chủ DNS, máy chủ thời gian) máy chủ sản xuất Cao, Trung bình và Thấp nên được phân loại như thế nào?

Các máy chủ hỗ trợ nên được phân loại cùng cấp với các máy chủ cấp cao nhất mà chúng hỗ trợ.

Các máy chủ hỗ trợ nên được phân loại là Thấp, vì chúng không thực hiện các giao dịch quan trọng cũng như không chứa dữ liệu nhạy cảm

Các máy chủ hỗ trợ phải được phân loại là Cao vì một số máy chủ mà chúng hỗ trợ là Cao

Các máy chủ hỗ trợ nên được phân loại cùng cấp với các máy chủ cấp thấp nhất mà chúng hỗ trợ.

25. Mục đích của việc phát triển nội dung nâng cao nhận thức bảo mật dưới nhiều hình thức là gì?

Thừa nhận rằng người khác nhau có cách học và nhận thức khác nhau

Để nhân viên bớt nhàm chán khi chỉ có một hình thức nhắn tin

Để cung cấp các thông báo bất ngờ mà người dùng ít có khả năng nhận thấy

Để tối đa hóa giá trị của việc cấp phép nội dung đào tạo nâng cao nhận thức bảo mật

26. Mục tiêu chính của chiến lược quản lý rủi ro là?

Xác định những rủi ro đáng tin cậy và giảm chúng xuống mức có thể chấp nhận được.

Xác định khẩu vị rủi ro của tổ chức

Xác định những rủi ro đáng tin cậy và chuyển chung cho một bên bên ngoài

Loại bỏ rủi ro đáng tin cậy

27. Một tổ chức đã thuê một CISO mới để thực hiện các cải tiến chiến lược cho chương trình bảo mật thông tin. Là một trong những nhiệm vụ quan trọng đầu tiên của cô ấy, CISO mới sẽ viết tài liệu điều lệ chương trình mô tả chương trình bảo mật của tổ chức, vai trò và trách nhiệm chính, quy trình kinh doanh chính và mối quan hệ với các bên liên quan chính của doanh nghiệp và các bên bên ngoài. Cách tiếp cận tốt nhất để xây dựng tài liệu điều lệ này là gì?

Đầu tiên, xác định và phỏng vấn các bên liên quan chính của doanh nghiệp để hiệu nhu cầu và mối quan tâm về rủi ro mạng của họ

Xây dựng tài liệu điều lệ dựa trên thông lệ tốt nhất về bảo mật thông tin

Phát triển tài liệu điều lệ dựa trên ISO/IEC 27001

Phát triển tài liệu điều lệ dựa trên các thông lệ tốt nhất của ngành

28. Một CISO của một công ty sản xuất, đã xác định được một rủi ro mới liên quan đến an ninh mạng đối với doanh nghiệp và đang thảo luận riêng với giám đốc rủi ro (CSO). CRO đã yêu cầu anh ấy không đưa rủi ro này vào sổ đăng ký rủi ro . Điều này thể hiện hình thức xử lý rủi ro nào?

Đây không phải là xử lý rủi ro, mà là tránh hoàn toàn việc quản lý rủi ro

Đây là chuyển giao rủi ro, vì tổ chức đã ngầm chuyển giao rủi ro này cho bảo hiểm.

Đây là sự chấp nhận rủi ro, vì tổ chức đang chấp nhận rủi ro như vốn có

Đây là tránh rủi ro, trong đó tổ chức chọn tránh rủi ro hoàn toàn

29. Những khía cạnh nào của đánh giá truy cập bảo mật là tốt nhất trong báo cáo cho quản lý cấp cao ?

Số trường hợp ngoại lệ được xác định trong quá trình đánh giá quyền truy cập bảo mật

Số lượng tài khoản được xem xét trong quá trình đánh giá quyền truy cập bảo mật

Số lượng quá trình đánh giá quyền truy cập bảo mật đã hoàn thành

30. Tổ chức cần hiểu rõ hơn liệu khung kiểm soát của mình có bảo vệ tổ chức một cách đầy đủ khỏi các mối nguy hiện đã biết và chưa biết hay không? Loại đánh giá nào sẽ tiết lộ điều này tốt nhất?

Kiểm soát đánh giá rủi ro

Kiểm soát đánh giá khoảng cách

Kiểm soát đánh giá trưởng thành

32. Điều nào sau đây là cách tiếp nhận tốt nhất về “tình trạng của chương trình an ninh” đối với hội đồng quản trị?

Bản trình chiếu ngắn trình bày các chỉ số rủi ro chính, thành tích và sự cố

Phần tóm tắt tổng quan của đánh giá rủi ro doanh nghiệp

Tóm tắt tổng quan và chi tiết từ đánh giá rủi ro doanh nghiệp

Sổ làm việc chi tiết chứa số liệu thống kê và số liệu trong 12 tháng qua

33. X là giám đốc an ninh trong một công ty sản xuất lớn. Công ty chủ yếu sử dụng các sản phẩm của Microsoft, Cisco và Oracle. X đăng ký nhận các bản tin bảo mật từ ba nhà cung cấp này. Câu nào sau đây mô tả đúng nhất về tính đầy đủ của các nguồn tư vấn này?

X cũng nên đăng ký các nguồn bảo mật không phải của các nhà cung cấp như US-CERT và InfraGard

X nên ngừng cung cấp các nguồn của nhà cung cấp và đăng ký các nguồn bảo mật không phải của các nhà cung cấp như US-CERT và InfraGard

Các nguồn tư vấn bảo mật của X là đầy đủ

X nên tập trung vào việc tìm kiếm mối đe dọa trong dark web.

34. Mục đích của chương trình nâng cao nhận thức bảo mật là gì?

Giúp nhân viên phát triển khả năng phán đoán tốt hơn khi xử lý thông tin công ty

Thông báo cho nhân viên về chính sách bảo mật

Giúp nhân viên hiểu cách sử dụng máy tính phù hợp

Đáp ứng các yêu cầu tuân thủ đối với PCI-DSS và SOX

35. Nhà cung cấp SaaS thực hiện kiểm thử xâm nhập trên các dịch vụ của mình mỗi năm một lần và nhiều phát hiện được xác định mỗi lần. CISO của tổ chức muốn thực hiện các thay đổi để cải thiện kết quả kiểm tra xâm nhập. CISO nên đề xuất tất cả các thay đổi ngoại trừ thay đổi nào?

Thêm các yêu cầu về bảo mật và quyền riêng tư vào SDLC

Giới thiệu đào tạo viết mã an toàn cho tất cả các nhà phát triển phần mềm

Thêm đánh giá bảo mật của tất cả các thay đổi phần mềm được đề xuất vào SDLC

Tăng tần suất kiểm thử xâm nhập từ hàng năm lên hàng quý

36. Làm cách nào để chuyển một thống kê về quét bảo mật, thành một số liệu có ý nghĩa đối với quản lý cấp cao?

Thể hiện số liệu theo thuật ngữ kinh doanh và kết quả kinh doanh tiềm năng

Tránh sử dụng thuật ngữ kỹ thuật

Hiển thị số liệu trên trang tổng quan dễ xem

Mô tả số liệu thống kê trong một bài tường thuật tóm tắt

37. CISO của một tổ chức đã kiểm tra số liệu thống kê và đã xác định rằng tổ chức phát triển phần mềm của tổ chức đang tạo ra ngày càng nhiều lỗ hổng bảo mật nghiêm trọng. Biện pháp kiểm soát mới nào sẽ hiệu quả nhất để đảm bảo rằng các hệ thống sản xuất không có các lỗ hổng này?

Thực hiện quét bảo mật trong quá trình xây dựng phần mềm và yêu cầu không tồn tại các lỗ hổng nghiêm trọng hoặc cấp cao trong phần mềm được đưa vào sản xuất.

Quản lý đào tạo mã an toàn cho tất cả các nhà phát triển mỗi năm một lần.

Thực hiện một hệ thống ngăn chặn xâm nhập

38. Tổ chức CNTT của một công ty đã quyết định triển khai cổng thông tin đăng nhập một lần (SSO) trong năm tới. Những cân nhắc quan trọng nhất liên quan đến bảo mật cần được đưa vào kế hoạch trước cho cổng SSO là gì?

Tích hợp SAML (tiêu chuẩn dựa trên XML để xác thực người dùng trên các miền Internet) với các ứng dụng

Chất lượng mật khẩu và đặt lại mật khẩu

39. Mục đích của thử nghiệm lừa đảo là gì?

Xác định số lượng nhân viên có thể bị lừa bởi tin nhắn lừa đảo

Xác định có bao nhiêu tin nhắn lừa đảo thực tế vượt qua hệ thống phòng thủ chống lừa đảo

Xác định xem có thể xác nhận các liên kết trong tin nhắn lừa đảo hay không

Xác nhận xem tin nhắn lừa đảo có thể vượt qua kiểm soát lừa đảo hay không

40. Một tổ chức thực hiện thử nghiệm lừa đảo hàng tháng. Trong năm qua tỷ lệ nhấp chuột trung bình đã thay đổi từ 42% xuống 14%. Kết luận gì có thể được rút ra từ xu hướng này?

Người dùng cuối ít có khả năng nhấp vào các tin nhắn lừa đảo thực sự

Tin nhắn lừa đảo có nhiều khả năng đến được hộp thư đến của người dùng cuối hơn

Tin nhắn lừa đảo ít có khả năng đến được hộp thư đến của người dùng cuối hơn.

Người dùng cuối có nhiều khả năng sẽ nhấp vào các thư lừa đảo thực tế hơn.

41. Bộ phận kiểm toán nội bộ của một công ty đại chúng gần đây đã kiểm tra các biện pháp kiểm soát chính trong quy trình quản lý lỗ hổng và phát hiện ra rằng biện pháp kiểm soát “Máy chủ sản xuất sẽ được vá trong vòng 30 ngày kể từ khi nhận các bản vá lỗi quan trọng” không thành công 30% thời gian. Kiểm toán nội bộ nên phát hiện điều gì?

Việc kiểm soát không hiệu quả và cần được điều chỉnh

Nên thay đổi thời gian kiểm soát từ 30 ngày thành 21 ngày

Nên thay đổi thời gian kiểm soát từ 30 ngày thành 45 ngày

Cần có một biện pháp kiểm soát mới để quản lý lỗ hổng

43. Người quản lý bảo mật tại một nhà bán lẻ trực tuyến nhỏ, gần đây đã biết về Quy định bảo vệ dữ liệu chung của châu Âu (GDPR). Công ty có khách hàng trên toàn thế giới. Họ đã thuê ngoài các chức năng danh mục, chấp nhận đơn đặt hàng và thanh toán trực tuyến của mình cho một nền tảng thương mại điện tử dựa trên đám mây. Người quản lý bảo mật không biết về bất kì nỗ lực nào mà nhà bán lẻ có thể đã thực hiện để tuân thủ GDPR. Anh ấy nên làm gì về điều này?

Hãy hỏi quản lý cấp cao hoặc bộ phận pháp lý về vấn đề này

Không có gì, vì nền tảng thương mại điện tử dựa trên đám mây bắt buộc phải tuân thủ GDPR

Liên hệ với nền tảng thương mại điện tử dựa trên đám mây và xác nhận việc tuân thủ GFPR

Giả định rằng tổ chức tuân thủ GDPR

44. Một tổ chức đã thuê ngoài hầu hết các ứng dụng kinh doanh và hoạt động CNTT của mình cho các nhà cung cấp phần mềm dưới dạng dịch vụ (SaaS) và các nhà cung cấp dịch vụ khác. Hiện tại, tổ chức không có danh sách tổng thể của các nhà cung cấp dịch vụ. Thay vào đó, các bộ phận CNTT, pháp lý, mua sắm và bảo mật có các danh sách riêng biệt không thống nhất. Bước đầu tiên nên diễn ra là gì?

Tạo danh sách tổng thể các nhà cung cấp dịch vụ từ các danh sách từ CNTT, pháp lý, mua sắm và bảo mật

Phát triển một chính sách yêu cầu nhóm pháp lý xem xét tất cả các hợp đồng với tất cả các nhà cung cấp dịch vụ mới

Triển khai hệ thống môi giới bảo mật truy cập đám mây (CASB) để khám phá những nhà cung cấp dịch vụ khác đang sử dụng

Xây dựng chính sách yêu cầu nhóm bảo mật đánh giá tất cả các nhà cung cấp dịch vụ mới

45. Phương pháp tốt nhất để xác định liệu nhân viên có hiểu chính sách bảo mật thông tin của tổ chức hay không?

Kết hợp các câu đố vào đào tạo nâng cao nhận thức bảo mật

Phân phối các bản sao của chính sách bảo mật thông tin cho nhân viên

Yêu cầu nhân viên đọc chính sách bảo mật thông tin

Yêu cầu nhân viên xác nhận chính sách bảo mật thông tin bằng văn bản

46. Chỉ số dựa trên bảo mật nào sau đây có nhiều khả năng cung cấp giá trị nhất khi được báo cáo cho ban quản lý?

Phần trăm máy chủ hỗ trợ sản xuất đã được vá trong SLA

Số tin nhắn lừa đảo bị chặn mỗi tháng

Số gói tin tường lửa loại bỏ trên mỗi máy chủ mỗi ngày

Số người đã hoàn thành khóa đào tạo nhận thức về bảo mật

47. Một tổ chức được yêu cầu, thông qua một thỏa thuận pháp lý, để thực hiện đánh giá hoạt động tài khoản. Điều nào sau đây xác định đúng nhất việc xem xét hoạt động tài khoản?

Đánh giá để xem liệu người dùng có đăng nhập vào tài khoản của họ trong một khoảng thời gian cụ thể hay không

Đánh giá để xem mức độ bận rộn của người dùng khi họ đăng nhập vào tài khoản của họ

Đánh giá để xem tần suất người dùng đăng nhập vào tài khoản của họ

Đánh giá để xem có bao nhiêu thay đổi đối với tài khoản của người dùng được thực hiện trong một khoảng thời gian

48. Một CISO mới trong một công ty sản xuất đã phát triển số liệu thống kê và số liệu về các hệ thống điều khiển công nghiệp hỗ trợ sản xuất tự động và đã phát hiện rằng hơn ⅓ hệ điều hành không được hỗ trợ trong nhiều năm do phần mềm ICS không hỗ trợ các phiên bản điều hành mới hơn hệ thống và các phiên bản mới hơn của phần mềm ICS không có sẵn. Làm thế nào tình huống này nên được mô tả cho quản lý cấp cao?

Tổ chức cần cách ly và bảo vệ các hệ thống kiểm soát công nghiệp của mình

Tổ chức cần yêu cầu các nhà cung cấp ICS của mình hỗ trợ các hệ điều hành hiện đại

Tổ chức cần thuê ngoài ICS của mình cho nhà cung cấp đám mây ICS

Tổ chức cần đẩy mạnh và hiện đại hóa các hệ thống kiểm soát công nghiệp của mình.

49. Bộ phận kiểm toán nội bộ trong một tổ chức gần đây đã kiểm tra kiểm soát “Tài khoản người dùng của nhân viên bị chấm dứt hợp đồng sẽ bị khóa hoặc xóa trong vòng 48 giờ sau khi chấm dứt hợp đồng” và nhận thấy rằng tài khoản người dùng của nhân viên bị chấm dứt hợp đồng không bị khóa hoặc xóa với tỷ lệ lên tới 20%. Kiểm toán nội bộ nên đưa ra khuyến nghị gì?

Thêm một kiểm soát bù mới để xem xét hàng tháng các tài khoản người dùng đã chấm dứt

Không cần thay đổi vì 20% là tỷ lệ thất bại có thể chấp nhận được

Thêm nhân viên vào nhóm quản lý tài khoản người dùng.

50. X đã làm việc trong Công ty Telco trong nhiều năm và hiện là CISO. Trong nhiều năm, X đã nhận ra rằng bộ phận kỹ thuật liên hệ với bên bảo mật thông tin ngay trước khi phát hành các sản phẩm và tính năng mới để có thêm bảo mật vào lúc cuối. Bây giờ X là CISO, giải pháp lâu dài tốt nhất cho vấn đề này là gì?

Giới thiệu bảo mật ở các bước khái niệm, yêu cầu và thiết kế trong quy trình phát triển sản phẩm

Không có vấn đề gì cần khắc phục: kỹ thuật nên liên hệ với bộ phận bảo mật trước khi phát hành sản phẩm để bổ sung các biện pháp kiểm soát bảo mật cần thiết

Đào tạo kỹ sư sử dụng các công cụ quét lỗ hổng để họ có thể tự tìm và sửa lỗ hổng

Thêm các yêu cầu bảo mật vào các yêu cầu khác được phát triển trong các dự án phát triển sản phẩm

51. Một quản lý bảo mật tại một nhà bán lẻ trực tuyến nhỏ đang hoàn thành bảng câu hỏi tự đánh giá về việc tuân thủ PCI-DSS. Khi nghiên cứu bảng câu hỏi, anh ấy đã lưu ý rằng tổ chức của mình không tuân thủ tất cả các yêu cầu. Không có kiểm toán viên nào sẽ xác minh tính chính xác của bảng câu hỏi. Cách hành động tốt nhất của anh ấy là gì?

Hoàn thành mẫu đơn một cách trung thực và nộp cho cơ quan chức năng

Đánh dấu từng biện pháp kiểm soát là tuân thủ và thông báo cho quản lý cấp cao rằng anh ta phải trung thực trong lần đệ trình tiếp theo

Hoàn thành mẫu đơn một cách trung thực và nộp cho cơ quan chức năng

Đánh dấu từng biện pháp kiểm soát là tuân thủ và nộp cho cơ quan có thẩm quyền

QLATTT

University

•

105 Qs

Similar activities

HIRAGANA ĐẠI CHIẾN

University

•

100 Qs

Triết Học Mác-Lênin

University

•

109 Qs

Ôn Thi Pháp Luật

University

•

101 Qs

SÓCNEEEE

University

•

100 Qs

Câu Hỏi Trắc Nghiệm Lịch Sử 12

University

•

106 Qs

Quiz về Đạo đức trong Kinh doanh

University

•

105 Qs

Ôn Tập Chủ Nghĩa Xã Hội Khoa Học

University

•

106 Qs

BÀI KIỂM TRA TUẦN SHCD NĂM 2025-2026 DÀNH CHO SV NĂM THỨ 2

University

•

103 Qs

QLATTT

Quiz

•

Other

•

University

•

Practice Problem

•

Medium

Đức Đinh

Used 40+ times

FREE Resource

105 questions

Show all answers

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

1. CISO của một công ty phần mềm đang chuẩn bị báo cáo cho ban giám đốc trước cuộc họp hội đồng quản trị sắp tới. Phương pháp tốt nhất để anh ấy gửi báo cáo này cho các thành viên hội đồng quản trị là gì?

A. Gửi báo cáo một cách an toàn cho các thành viên hội đồng quản trị trước cuộc họp hội đồng quản trị, sau đó xem xét và thảo luận về báo cáo tại cuộc họp hội đồng quản trị

A. Báo cáo trực tiếp cho các thành viên hội đồng quản trị trong cuộc họp hội đồng quản trị

A. Gửi báo cáo qua email cho các thành viên hội đồng quản tr

A. Gửi báo cáo qua email cho các thành viên hội đồng quản trị

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

2. Chứng chỉ nào được công nhận về kiến thức và kinh nghiệm kiểm định hệ thống thông tin và bảo vệ hệ thống thông tin?

CISSP

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

3. Tất cả những điều sau đây là lợi thế khi thuê ngoài chức năng kiểm toán an toàn thông tin, ngoại trừ điều nào?

Tránh tuyển dụng và giữ chân nhân tài

Tiết kiệm chi phí của nhà thầu so với nhân viên toàn thời gian

Tiết kiệm chi phí đào tạo và phát triển chuyên môn

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

4. Một tổ chức trải qua thử nghiệm lừa đảo hàng quý để xem mức độ thành thạo của lực lượng lao động trong việc phát hiện thư lừa đảo. Cách tiếp cận tốt nhất để thực hiện đối với những cá nhân không phát hiện được thư lừa đảo thử nghiệm và nhấp vào nội dung của chúng là gì?

Yêu cầu họ trải qua đào tạo tăng cường

Đăng tên của họ lên “bức tường xấu hổ” như một cách để đảm bảo rằng nhân viên sẽ làm việc chăm chỉ hơn để phát hiện chính xác các thư lừa đảo

Yêu cầu họ viết một bài luận ngắn về nguy cơ của tin nhắn lừa đảo

Xóa quyền truy cập của họ trong một thời gian ngắn

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

5. Phát biểu nào sau đây về tuân thủ PCI-DSS là đúng?

Người bán xử lý ít hơn 15.000 giao dịch thẻ tín dụng không bắt buộc phải gửi chứng nhận tuân thủ (AOC)

Các nhà cung cấp dịch vụ không bắt buộc phải nộp chứng nhận tuân thủ (AOC) hằng năm.

Chỉ những tổ chức lưu trữ, chuyển nhượng hoặc xử lý hơn 6 triệu số thẻ tín dụng mới phải thực hiện kiểm tra PCI hằng năm.

Tất cả các tổ chức lưu trữ, chuyển nhượng hoặc xử lý dữ liệu thẻ tín dụng đều phải gửi chứng nhận tuân thủ (AOC) hằng năm.

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

6. Một trong những mục tiêu trong chiến lược dài hạn cho chương trình bảo mật thông tin của tổ chức, nêu rõ ràng nỗ lực phối hợp nhằm cải thiện việc phát triển phần mềm sẽ được cải thiện. Cách tiếp cận nào sau đây sẽ kém hiệu quả nhất trong việc đạt được mục tiêu này?

Triển khai tường lửa ứng dụng web (WAF) và hệ thống ngăn chặn xâm nhập (IPS) để bảo vệ ứng dụng khỏi bị tấn công

Ban hành chính sách quy định rằng các gói phát hành phần mềm mới không thể được phát hành cho đến khi các lỗ hổng nghiêm trọng và cấp cao được khắc phục

Ban hành các ưu đãi bồi thường tài chính cho các nhà phát triển dựa trên việc giảm các lỗi bảo mật

Cung cấp đào tạo phát triển an toàn bắt buộc cho tất cả các nhà phát triển phần mềm

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

7. X là CISO mới trong một tổ chức chăm sóc sức khỏe. Trong quá trình phát triển chiến lược, X nhận thấy các quản trị viên hệ thống CNTT áp dụng các bản vá bảo mật khi nhóm bảo mật gửi cho họ báo cáo quét lỗ hổng hằng quý. Thay đổi hiệu quả nhất có thể được thực hiện trong quá trình quản lý lỗ hổng để làm cho nó trở nên chủ động hơn thay vì chỉ phản ứng là gì?

Chạy báo cáo quét lỗ hổng hằng tháng thay vì hằng quý.

Không cần thay đổi vì quá trình này đã hoạt động bình thường

Yêu cầu quản trị viên hệ thống CNTT chạy quét lỗ hổng bảo mật trên hệ thống của chính họ

Sửa đổi quy trình vá lỗi để đảm bảo các bản vá được áp dụng theo lịch trình quy trình xác định dựa trên rủi ro của lỗ hổng. Tận dụng quy trình quét hàng quý dưới dạng đảm bảo chất lượng.

Create a free account and access millions of resources

Create resources

Host any resource

Get auto-graded reports

Continue with Google

Continue with Email

Continue with Classlink

Continue with Clever

or continue with

Microsoft

Apple

Others

Already have an account?

Similar Resources on Wayground

100 questions

201 đến 300 triết

Quiz

•

University

100 questions

Tin Học ứng dụng

Quiz

•

University

110 questions

Câu hỏi về Marketing 1

Quiz

•

University

100 questions

Ôn Tập Kế Toán Thuế

Quiz

•

University

100 questions

Trắc nghiệm Kinh tế Vĩ mô

Quiz

•

University

100 questions

Gdtt

Quiz

•

University

100 questions

100 câu tiếp bệnh học (2)

Quiz

•

University

101 questions

giáo dục chính trị

Quiz

•

12th Grade - University

Popular Resources on Wayground

10 questions

Honoring the Significance of Veterans Day

Interactive video

•

6th - 10th Grade

9 questions

FOREST Community of Caring

Lesson

•

1st - 5th Grade

10 questions

Exploring Veterans Day: Facts and Celebrations for Kids

Interactive video

•

6th - 10th Grade

19 questions

Veterans Day

Quiz

•

5th Grade

14 questions

General Technology Use Quiz

Quiz

•

8th Grade

25 questions

Multiplication Facts

Quiz

•

5th Grade

15 questions

Circuits, Light Energy, and Forces

Quiz

•

5th Grade

19 questions

Thanksgiving Trivia

Quiz

•

6th Grade

Discover more resources for Other

20 questions

Definite and Indefinite Articles in Spanish (Avancemos)

Quiz

•

8th Grade - University

7 questions

Force and Motion

Interactive video

•

4th Grade - University

9 questions

Principles of the United States Constitution

Interactive video

•

University

18 questions

Realidades 2 2A reflexivos

Quiz

•

7th Grade - University

10 questions

Dichotomous Key

Quiz

•

KG - University

25 questions

Integer Operations

Quiz

•

KG - University

7 questions

What Is Narrative Writing?

Interactive video

•

4th Grade - University

20 questions

SER vs ESTAR

Quiz

•

7th Grade - University

QLATTT

105 questions

1. CISO của một công ty phần mềm đang chuẩn bị báo cáo cho ban giám đốc trước cuộc họp hội đồng quản trị sắp tới. Phương pháp tốt nhất để anh ấy gửi báo cáo này cho các thành viên hội đồng quản trị là gì?

2. Chứng chỉ nào được công nhận về kiến thức và kinh nghiệm kiểm định hệ thống thông tin và bảo vệ hệ thống thông tin?

3. Tất cả những điều sau đây là lợi thế khi thuê ngoài chức năng kiểm toán an toàn thông tin, ngoại trừ điều nào?

5. Phát biểu nào sau đây về tuân thủ PCI-DSS là đúng?

8. Kết quả có thể xảy ra của một rủi ro đã được xác định và phân tích trong quy trình quản lý rủi ro là gì?

9. Tất cả các hoạt động sau đây là đầu vào điển hình cho quy trình quản lý rủi ro, ngoại trừ hoạt động nào?

Create a free account and access millions of resources

Similar Resources on Wayground

Popular Resources on Wayground

Discover more resources for Other