CHƯƠNG 1: GIỚI THIỆU VỀ QLRR - PHẠM VI & THUẬT NGỮ

1. Định nghĩa về Rủi ro (Risk)

Rủi ro được hiểu và định nghĩa theo nhiều góc độ khác nhau dựa trên các tiêu chuẩn quốc tế:

2. Quản lý rủi ro (Risk Management)

Quản lý rủi ro là các hoạt động phối hợp để chỉ đạo và kiểm soát một tổ chức liên quan đến rủi ro.

Quy trình tiếp cận quản lý rủi ro

Quy trình này bao gồm các bước áp dụng hệ thống các chính sách, thủ tục và thực hành vào các hoạt động:

  • Truyền đạt và tham vấn.
  • Thiết lập bối cảnh.
  • Xác định, phân tích, đánh giá rủi ro.
  • Xử lý, giám sát và rà soát rủi ro.

3. Các thành phần chính của An toàn thông tin (CIA Triad)

An toàn thông tin là việc bảo tồn ba trụ cột chính:

graph TD A[An toàn thông tin] --> B(Confidentiality - Tính bảo mật) A --> C(Integrity - Tính toàn vẹn) A --> D(Availability - Tính sẵn có) style B fill:#f96,stroke:#333 style C fill:#69f,stroke:#333 style D fill:#9f6,stroke:#333
  • Tính bảo mật (C): Thông tin không được tiết lộ cho cá nhân/tổ chức trái phép. (VD: Encryption, 2FA).
  • Tính toàn vẹn (I): Thông tin chính xác, đầy đủ và không bị chỉnh sửa trái phép mà không bị phát hiện. (VD: Checksum, Version control).
  • Tính sẵn có (A): Thông tin có thể truy cập và sử dụng được ngay khi có yêu cầu bởi người được ủy quyền. (VD: Redundancy, RAID, Backup).

4. Tiêu chí và Ma trận rủi ro

Định lượng rủi ro

Giá trị rủi ro được tính theo tích số: R = Occ x Sev

  • Occ (Occurrence): Khả năng xảy ra (thang đo 1-5 hoặc 1-10).
  • Sev (Severity): Mức độ nghiêm trọng (thang đo 1-5 hoặc 1-10).

Ma trận rủi ro (Risk Matrix)

Dùng để phân loại rủi ro dựa trên màu sắc:

  • 🔴 Đỏ (Rất cao): Không thể chấp nhận, bắt buộc phải giảm thiểu.
  • 🟠 Cam (Cao): Không thể chấp nhận, nên có biện pháp giảm thiểu.
  • 🟡 Vàng (Trung bình): Có thể chấp nhận một phần, có thể triển khai biện pháp giảm thiểu.
  • 🟢 Xanh (Thấp): Có thể chấp nhận, không cần biện pháp giảm thiểu ngay.

5. Các thuật ngữ quan trọng khác

6. Cách đọc tài liệu ISO

Khi đọc các tiêu chuẩn ISO, cần lưu ý các động từ mang tính pháp lý:

  • Shall: Yêu cầu bắt buộc (Requirement).
  • Should: Khuyến nghị (Recommendation).
  • May: Sự cho phép (Permission).
  • Can: Khả năng/Năng lực (Possibility/Capability).

7. Các tình huống minh họa (Case Studies)

BỘ 50 CÂU HỎI TRẮC NGHIỆM ÔN TẬP

Câu 1. Theo tiêu chuẩn ISO 31000:2018, rủi ro (Risk) được định nghĩa là gì?

  • A. Là những thiệt hại về tài chính mà doanh nghiệp phải gánh chịu
  • B. Là tác động của sự bất trắc (hay sự không chắc chắn) lên mục tiêu
  • C. Là tổng hợp các lỗ hổng bảo mật chưa được khắc phục trong hệ thống
  • D. Là xác suất xảy ra một cuộc tấn công mạng vào doanh nghiệp

Câu 2. Trong công thức $Risk = f(e, p, s)$, biến số ‘p’ đại diện cho yếu tố nào?

  • A. Sự kiện tiềm ẩn (Potential event)
  • B. Mức độ nghiêm trọng (Severity)
  • C. Xác suất/Khả năng xảy ra (Probability/Likelihood)
  • D. Tác động tài chính (Profit/Loss)

Câu 3. Rủi ro An toàn thông tin (ATTT) được mô tả là sự kết hợp giữa các yếu tố nào sau đây?

  • A. Mối đe dọa, Điểm yếu và Hệ quả (thiệt hại)
  • B. Hacker, Virus và Người dùng
  • C. Phần cứng, Phần mềm và Mạng máy tính
  • D. Chi phí, Thời gian và Nhân lực

Câu 4. “Các hoạt động phối hợp để chỉ đạo và kiểm soát một tổ chức liên quan đến rủi ro” là định nghĩa của:

  • A. Đánh giá rủi ro (Risk Assessment)
  • B. Quản lý rủi ro (Risk Management)
  • C. Kiểm soát rủi ro (Risk Control)
  • D. Xử lý rủi ro (Risk Treatment)

Câu 5. “CIA triad” là bộ ba trụ cột của ATTT, bao gồm các tính chất nào?

  • A. Confidentiality, Integrity, Accountability
  • B. Confidentiality, Integrity, Availability
  • C. Control, Identification, Authorization
  • D. Cryptography, Intelligence, Access

Câu 6. Một cuộc tấn công làm tê liệt website khiến khách hàng không thể truy cập được là vi phạm tính chất nào?

  • A. Tính bảo mật (Confidentiality)
  • B. Tính toàn vẹn (Integrity)
  • C. Tính sẵn có (Availability)
  • D. Tính xác thực (Authentication)

Câu 7. Việc hacker bí mật sửa đổi số dư tài khoản ngân hàng của người dùng là vi phạm tính chất nào?

  • A. Tính sẵn có (Availability)
  • B. Tính bảo mật (Confidentiality)
  • C. Tính toàn vẹn (Integrity)
  • D. Tính không thể phủ nhận (Non-repudiation)

Câu 8. Mã hóa dữ liệu (Encryption) là biện pháp điển hình để bảo vệ tính chất nào?

  • A. Tính sẵn có (Availability)
  • B. Tính bảo mật (Confidentiality)
  • C. Tính toàn vẹn (Integrity)
  • D. Tính hiệu quả (Efficiency)

Câu 9. Giá trị rủi ro được định lượng theo công thức $R = f(Occ, Sev)$, trong đó ‘Sev’ là gì?

  • A. Khả năng xảy ra (Occurrence)
  • B. Tần suất xuất hiện (Frequency)
  • C. Mức độ nghiêm trọng của thiệt hại (Severity)
  • D. Số lượng tài sản bị ảnh hưởng (Quantity)

Câu 10. “Điều khoản tham chiếu mà theo đó ý nghĩa của rủi ro được đánh giá” được gọi là:

  • A. Ma trận rủi ro (Risk Matrix)
  • B. Tiêu chí rủi ro (Risk Criteria)
  • C. Hồ sơ rủi ro (Risk Profile)
  • D. Danh mục rủi ro (Risk Register)

Câu 11. Trong ma trận rủi ro, các ô được tô màu Đỏ thường đại diện cho mức rủi ro nào?

  • A. Thấp - Có thể chấp nhận
  • B. Trung bình - Cần theo dõi
  • C. Cao/Rất cao - Không thể chấp nhận
  • D. Rủi ro còn lại - Đã xử lý

Câu 12. “Lượng và loại rủi ro mà một tổ chức sẵn sàng chấp nhận để đạt được mục tiêu chiến lược” là:

  • A. Khả năng chịu đựng rủi ro (Risk Tolerance)
  • B. Khẩu vị rủi ro (Risk Appetite)
  • C. Thái độ rủi ro (Risk Attitude)
  • D. Phơi nhiễm rủi ro (Risk Exposure)

Câu 13. Sự khác biệt cơ bản giữa Risk AppetiteRisk Tolerance là gì?

  • A. Risk Appetite là thực tế, Risk Tolerance là lý thuyết
  • B. Risk Tolerance là mức sai lệch thực tế cho phép so với Risk Appetite tiêu chuẩn
  • C. Risk Appetite luôn nhỏ hơn Risk Tolerance
  • D. Không có sự khác biệt giữa hai khái niệm này

Câu 14. Rủi ro còn tồn tại sau khi đã áp dụng các biện pháp xử lý rủi ro được gọi là:

  • A. Rủi ro cố hữu (Inherent Risk)
  • B. Rủi ro tiềm ẩn (Potential Risk)
  • C. Rủi ro còn lại (Residual Risk)
  • D. Rủi ro thứ cấp (Secondary Risk)

Câu 15. “Risk Window” (Cửa sổ rủi ro) được định nghĩa là:

  • A. Một phần mềm dùng để quét virus
  • B. Khoảng thời gian cụ thể mà một rủi ro cụ thể có khả năng xảy ra nhất
  • C. Thời gian nhân viên được phép truy cập vào hệ thống
  • D. Một lỗ hổng trên hệ điều hành Windows

Câu 16. Công thức tính “Mức độ phơi nhiễm rủi ro” (Risk Exposure) định lượng là:

  • A. $Khả năng xảy ra + Tác động tài chính$
  • B. $Khả năng xảy ra \times Tác động tài chính$
  • C. $Tác động tài chính / Khả năng xảy ra$
  • D. $Mức độ nghiêm trọng \times 100%$

Câu 17. Thái độ rủi ro “Risk-averse” mô tả một người hoặc tổ chức:

  • A. Thích mạo hiểm để tìm kiếm lợi nhuận cao
  • B. Không quan tâm đến rủi ro
  • C. Không thích (né tránh) rủi ro, thường rất thận trọng
  • D. Trung lập, chỉ đối phó khi rủi ro xảy ra

Câu 18. Động từ nào trong tài liệu ISO chỉ ra một “Khuyến nghị” (Recommendation)?

  • A. Shall
  • B. May
  • C. Can
  • D. Should

Câu 19. Trong sự cố CrowdStrike (19/07/2024), yếu tố nào được coi là “Sự kiện tiềm ẩn”?

  • A. Hacker tấn công vào máy chủ CrowdStrike
  • B. Bản vá lỗi Falcon có lỗi và được thiết lập tự động cập nhật trên hệ thống khách hàng
  • C. Nhân viên ngân hàng nghỉ việc hàng loạt
  • D. Đường truyền cáp quang biển bị đứt

Câu 20. Theo định nghĩa về “Effect” (Tác động) trong ISO 31000, tác động rủi ro có thể là:

  • A. Luôn luôn là tiêu cực
  • B. Luôn luôn là tích cực
  • C. Tích cực, tiêu cực hoặc cả hai (sai lệch so với dự kiến)
  • D. Chỉ là những thiệt hại về tài sản

Câu 21. “Khả năng một thực thể có thể truy cập và sử dụng thông tin theo yêu cầu” là định nghĩa của:

  • A. Tính sẵn có (Availability)
  • B. Tính bảo mật (Confidentiality)
  • C. Tính toàn vẹn (Integrity)
  • D. Tính xác thực (Authenticity)

Câu 22. Thuật ngữ nào sau đây liên quan chặt chẽ nhất đến việc bảo vệ Tính toàn vẹn (Integrity)?

  • A. Encryption (Mã hóa)
  • B. Checksums (Mã kiểm tra lỗi)
  • C. Redundancy (Dư thừa dữ liệu)
  • D. Failover (Chuyển vùng dự phòng)

Câu 23. “Mức độ phơi nhiễm là mức độ dễ bị tổn thương, và xếp hạng là thước đo mức độ tổn thương đó”. Câu này mô tả mối quan hệ giữa:

  • A. Risk Appetite và Risk Tolerance
  • B. Risk Exposure và Risk Rating
  • C. Risk Source và Risk Event
  • D. Inherent Risk và Residual Risk

Câu 24. “Risk-neutral” là thái độ rủi ro kiểu:

  • A. Chấp nhận rủi ro như một thách thức
  • B. Đối phó với rủi ro một cách khách quan
  • C. Không chú ý đến rủi ro cho đến khi nó trở thành vấn đề
  • D. Luôn lo sợ rủi ro

Câu 25. Trong quản lý rủi ro, “Stakeholder” (Bên liên quan) có thể là:

  • A. Chỉ là khách hàng của doanh nghiệp
  • B. Chỉ là ban giám đốc và cổ đông
  • C. Người hoặc tổ chức có thể ảnh hưởng hoặc bị ảnh hưởng bởi một quyết định/hoạt động
  • D. Chỉ là đội ngũ IT của công ty

Câu 26. “Nguồn rủi ro” (Risk Source) được hiểu là:

  • A. Hậu quả cuối cùng của rủi ro
  • B. Các biện pháp kiểm soát rủi ro
  • C. Yếu tố hoặc thực thể mà tự thân nó hoặc trong sự kết hợp có thể làm phát sinh rủi ro
  • D. Bản báo cáo thống kê rủi ro hàng năm

Câu 27. Câu nào sau đây nói ĐÚNG về rủi ro theo ISO 27001:2013?

  • A. ISO 27001 xét rủi ro cả mặt tích cực lẫn tiêu cực
  • B. ISO 27001 chỉ xét rủi ro ATTT hoàn toàn theo khía cạnh tiêu cực
  • C. ISO 27001 không quan tâm đến rủi ro
  • D. ISO 27001 coi rủi ro là một cơ hội kinh doanh

Câu 28. Hệ quả (Consequence) của một sự kiện rủi ro là:

  • A. Nguyên nhân gây ra sự kiện đó
  • B. Kết quả của một sự kiện ảnh hưởng đến mục tiêu
  • C. Khả năng xảy ra của sự kiện
  • D. Chi phí để ngăn chặn sự kiện

Câu 29. Một người có thái độ “Risk-tolerant” thường:

  • A. Rất nhạy cảm với mọi rủi ro nhỏ
  • B. Không chú ý đến rủi ro cho đến khi nó trở thành vấn đề thực sự
  • C. Luôn tìm cách khai thác rủi ro để trục lợi
  • D. Chủ động lập kế hoạch ứng phó từ sớm

Câu 30. “Hành động được khuyến nghị” cho mức rủi ro màu Cam (Cao) là:

  • A. Không cần có biện pháp giảm rủi ro
  • B. Nên có biện pháp giảm rủi ro (Should be implemented)
  • C. Bắt buộc phải có biện pháp giảm rủi ro (Must be implemented)
  • D. Biện pháp giảm rủi ro có thể có hoặc không tùy ý

Câu 31. Trong câu chuyện “Cửa sắt thang máy”, hành động khách mang chìa khóa đi và không để lại ở chung cư thuộc về yếu tố nào?

  • A. Tăng khả năng xảy ra rủi ro (Likelihood)
  • B. Tăng mức độ nghiêm trọng của hậu quả (Severity)
  • C. Là một biện pháp bảo mật tốt
  • D. Giúp giảm thiểu rủi ro cho khách

Câu 32. Tài liệu ISO 27000:2018 định nghĩa ATTT là việc bảo tồn 3 yếu tố CIA, điều này có nghĩa là:

  • A. Chỉ cần bảo vệ 1 trong 3 yếu tố là đủ
  • B. Phải đảm bảo đồng thời cả 3 yếu tố để thông tin được an toàn
  • C. Tính bảo mật là quan trọng nhất, hai yếu tố còn lại là phụ
  • D. Doanh nghiệp tự chọn yếu tố nào phù hợp để bảo vệ

Câu 33. Một chính sách (Policy) theo ISO 27000:2018 là:

  • A. Một chuỗi các hoạt động kỹ thuật chi tiết
  • B. Tuyên bố về mục tiêu, quy tắc chi phối hoạt động của mọi người trong một bối cảnh nhất định
  • C. Phần mềm thực thi các quy định bảo mật
  • D. Biên bản xử phạt vi phạm hành chính

Câu 34. Sự khác biệt giữa Process (Quy trình) và Procedure (Thủ tục) là gì?

  • A. Process là lý thuyết, Procedure là thực hành
  • B. Process đòi hỏi đầu vào (inputs) để mang lại kết quả, Procedure là cách thức xác định để thực hiện một hoạt động
  • C. Procedure quan trọng hơn Process
  • D. Hai khái niệm này là một, không có sự khác biệt

Câu 35. Trong an ninh mạng, một “Risk Window” ngắn (nhỏ) thể hiện:

  • A. Hệ thống bảo mật yếu kém
  • B. Một chương trình bảo mật mạnh mẽ và chủ động
  • C. Hacker không quan tâm đến hệ thống
  • D. Hệ thống không có lỗ hổng nào

Câu 36. Động từ “Shall” trong tài liệu ISO tương ứng với từ tiếng Việt nào?

  • A. Nên
  • B. Phải (Bắt buộc)
  • C. Có thể
  • D. Được phép

Câu 37. Kết quả của “Risk Evaluation” (Đánh giá rủi ro) giúp tổ chức quyết định điều gì?

  • A. Cách thức lập trình phần mềm
  • B. Quyết định về việc xử lý rủi ro (Risk Treatment)
  • C. Mua sắm thiết bị phần cứng nào
  • D. Đuổi việc nhân viên gây ra rủi ro

Câu 40. “Mức độ phơi nhiễm rủi ro thể hiện khả năng tổn thất được định lượng từ các hoạt động”. Từ quan trọng nhất ở đây là:

  • A. Chất lượng
  • B. Định lượng (Quantitative)
  • C. Cảm tính
  • D. Dự đoán

Câu 41. Động từ “Can” trong tài liệu ISO chỉ ra điều gì?

  • A. Một khuyến nghị chuyên gia
  • B. Một sự cho phép từ quản lý
  • C. Một khả năng hoặc năng lực (Possibility/Capability)
  • D. Một quy định pháp luật

Câu 42. Việc sử dụng RAID hoặc hệ thống dự phòng (Failover) chủ yếu phục vụ cho mục tiêu nào?

  • A. Confidentiality
  • B. Integrity
  • C. Availability
  • D. Non-repudiation

Câu 43. “Performance” theo ISO 27000:2018 được hiểu là:

  • A. Tốc độ của CPU máy chủ
  • B. Kết quả (thành tích) có thể đo lường được
  • C. Thái độ làm việc của nhân viên IT
  • D. Khả năng chịu tải của đường truyền mạng

Câu 44. Tại sao sinh viên được yêu cầu không nên đọc sai tên 6 tài liệu tham khảo ISO?

  • A. Để tránh bị trừ điểm chuyên cần
  • B. Vì việc sử dụng đúng từ khóa (Key word) là cực kỳ quan trọng trong chuyên môn
  • C. Vì các tài liệu đó rất đắt tiền
  • D. Vì đó là quy định của nhà trường

Câu 45. “Khẩu vị rủi ro và Biên độ rủi ro không được phép vượt quá Giới hạn rủi ro”. Đây là nguyên tắc trong việc xác định:

  • A. Risk Appetite
  • B. Risk Tolerance
  • C. Risk Assessment
  • D. Risk Identification

Câu 46. Một rủi ro có xác suất xảy ra là “Possible” (thỉnh thoảng) và tác động là “Major” (lớn) sẽ được xếp hạng là bao nhiêu điểm (theo ma trận 5x5)?

  • A. 8 điểm
  • B. 12 điểm
  • C. 15 điểm
  • D. 20 điểm

Câu 47. Động từ “May” trong ISO dùng để chỉ:

  • A. Một dự báo thời tiết
  • B. Sự cho phép (Permission)
  • C. Sự bắt buộc tuyệt đối
  • D. Sự khuyến khích thực hiện

Câu 48. Hệ quả “Thảm khốc” (Catastrophic) trong ví dụ định lượng về tiền tệ là mức nào?

  • A. < 100 triệu đồng
  • B. 500 triệu - 1 tỷ đồng
  • C. 1 tỷ - 5 tỷ đồng
  • D. ≥ 5 tỷ đồng

Câu 49. Việc triển khai các dự án CNTT gặp rủi ro về tiến độ và chi phí được phân loại vào nhóm rủi ro nào?

  • A. Rủi ro môi trường
  • B. Rủi ro chiến lược
  • C. Rủi ro liên quan đến CNTT
  • D. Rủi ro tuân thủ

Câu 50. Câu nào sau đây mô tả ĐÚNG nhất về quy trình quản lý rủi ro?

  • A. Là việc cài đặt các phần mềm bảo mật mạnh nhất
  • B. Là sự áp dụng hệ thống các chính sách, thủ tục vào hoạt động xác định, phân tích, đánh giá và xử lý rủi ro
  • C. Là việc thuê các chuyên gia bên ngoài về làm thay doanh nghiệp
  • D. Là việc liệt kê tất cả các lỗi của nhân viên trong năm

Hy vọng bộ câu hỏi này giúp bạn ôn tập tốt!