Module 3: Information Security Management

1. How do the InfoSec management team’s goals and objectives differ from
those of the IT and general management communities?
 The InfoSec management team’s goals and objectives differ from those of the
IT and general management communities in that the InfoSec management
team is focused on the secure operation of the organization.
 The InfoSec management team’s goals and objectives may be contrary (trái
ngược) to or require resolution (cần có giải pháp phù hợp) with the goals of
the IT management team.
 The primary focus of the IT group is to ensure the effective and efficient
processing of information, whereas the primary focus of the InfoSec group is
to ensure the confidentiality, integrity, and availability of information.

2. What is included in the InfoSec planning model?

 Included in the InfoSec planning model are activities necessary to support the
design, creation, and implementation of InfoSec strategies within the planning
environments of all organizational units, including IT.

3. List and briefly describe the general categories of information security policy.
In InfoSec, there are three general policy categories, which are discussed in
greater detail later in this module:
• Enterprise information security policy (EISP) — Developed within the context of
the strategic IT plan, this sets the tone for the InfoSec department and the InfoSec
climate across the organization. The CISO typically drafts the program policy,
which is usually supported and signed by the CIO or the CEO.
• Issue-specific security policies (ISSPs) — These are sets of rules that define
acceptable behavior within a specific organizational resource, such as e-mail or
Internet usage.
• Systems-specific policies (SysSPs) — A merger of technical and managerial
intent, SysSPs include both the managerial guidance for the implementation of a
technology as well as the technical specifications for its configuration.
4. Briefly describe strategic planning.
 The process of defining and specifying the long-term direction (strategy) to
be taken by an organization, and the allocation and acquisition of resources
needed to pursue this effort.
 Strategic planning sets the long-term direction to be taken by the
organization and each of its component parts. Strategic planning should
guide organizational efforts and focus resources toward specific, clearly
defined goals. After an organization develops a general strategy, it generates
an overall strategic plan by extending that general strategy into plans for
major divisions. Each level of each division then translates those plan
objectives into more specific objectives for the level below. To execute this
broad strategy, the executive team must first define individual
responsibilities.
 Từ chiến lược tổng quát (general strategy), đơn vị tiến hành lập kế hoạch
chiến lược (strategic planning):đề ra phương hướng dài hạn mà đơn vị và
từng bộ phận cần thực hiện, tập trung nguồn lực hướng đến các mục tiêu
(goals).

5. List and briefly describe the levels of planning.

 Tactical planning: The actions taken by management to specify the
intermediate goals and objectives of the organization in order to obtain
specified strategic goals, followed by estimates and schedules for the
allocation of resources necessary to achieve those goals and objectives.
Kế hoạch chiến thuật (tactical planning) tập trung vào các chủ trương ngắn
hạn sẽ hoàn thành trong vòng 1 hoặc 2 năm; bao gồm kế hoạch dự án và tài
liệu lập kế hoạch mua sắm nguồn lực; cần được lập ngân sách, phân bổ nguồn
lực và nhân sự khi tiến hành. Quá trình lập kế hoạch chiến thuật chia nhỏ mỗi
mục tiêu chiến lược thành các mục tiêu liên tục (incremental objectives). Mỗi
mục tiêu này phải cụ thể, có thời hạn trong vòng một năm kể từ ngày bắt đầu
kế hoạch. Giám đốc an toàn thông tin (CISO) và các nhà quản lý an toàn sử
dụng kế hoạch chiến thuật để tổ chức, sắp xếp thứ tự ưu tiên và thu thập các
nguồn lực cần thiết hỗ trợ cho việc lập kế hoạch chiến lược (strategic plans).
 Operational planning: The actions taken by management to specify the short-
term goals and objectives of the organization in order to obtain specified
tactical goals, followed by estimates and schedules for the allocation of
resources necessary to achieve those goals and objectives.
Bắt nguồn từ kế hoạch chiến thuật, kế hoạch hoạt động (operational planning)
được tạo ra cho các nhà quản lý và nhân viên sử dụng để đơn vị thực hiện
nhiệm vụ tác nghiệp hàng ngày. Một kế hoạch hoạt động bao gồm các nhiệm
vụ cần thiết cho tất cả các bộ phận liên quan cũng như các yêu cầu liên lạc và
báo cáo, các cuộc họp hàng tuần, báo cáo tiến độ và các nhiệm vụ liên quan
khác. Thông tin liên lạc và phản hồi thường xuyên từ các nhóm tới các nhà
quản lý dự án, trưởng nhóm, các cấp quản lý khác, … sẽ giúp quá trình lập kế
hoạch quản lý dễ dàng hơn và thành công hơn.

6. What is governance in the context of information security management?

 Governance: The set of responsibilities and practices exercised by the board
and executive management with the goal of providing strategic direction,
ensuring that objectives are achieved, ascertaining that risks are managed
appropriately, and verifying that the enterprise’s resources are used
responsibly.
 Quản trị bao gồm toàn bộ chức năng kiểm soát hoặc quản lý các quá trình
được sử dụng bởi một nhóm người để hoàn thành một số mục tiêu, thể hiện
chức năng kiểm soát chiến lược của ban lãnh đạo cấp cao, được thiết kế để
đảm bảo đưa ra các quyết định chiến lược thận trọng và có hiểu biết vì lợi ích
tốt nhất của tổ chức.

7. What are the differences between a policy, a standard, and a practice? Where
would each be used?

Policy: Instructions that dictate certain behavior within an organization.

The initial statement of intent is the policy.

Standard: A detailed statement of what must be done to comply with policy,

sometimes viewed as the rules governing policy compliance.
The standard provides specifics to help employees comply with the policy.

Practices: Examples of actions that illustrate compliance with policies.

The practice identifies other reputable organizations and agencies that offer
recommendations the organization may have adopted or adapted.

8. What is an EISP, and what purpose does it serve?

An enterprise information security policy (EISP) is also known as a general
security policy, organizational security policy, IT security policy, or information
security policy. The EISP is an executive-level document, usually drafted by or in
cooperation with the organization’s chief information officer. This policy is usually
two to 10 pages long and shapes the philosophy of security in the IT environment.
The EISP usually needs to be modified only when there is a change in the strategic
direction of the organization.

The purposes:
 Guides the development, implementation, and management of the security
program.
 Sets out the requirements that must be met by the information security
blueprint.
 Xác định mục đích, phạm vi, các ràng buộc và khả năng áp dụng của chương
trình an ninh.
 Phân công trách nhiệm đối với các lĩnh vực an toàn khác nhau, bao gồm quản
trị hệ thống, duy trì các chính sách an toàn thông tin, thực hành và trách
nhiệm của người dùng.
 Giải quyết vấn đề tuân thủ pháp luật.

9. Who is ultimately responsible for managing a technology? Who is responsible

for enforcing policy that affects the use of a technology?
 Users are ultimately responsible for managing a technology.
 Policy administrator is responsible for enforcing policy that affects the use of
technology.
10. What is needed for an information security policy to remain viable?
 To remain viable, security policies must have a responsible manager, a
schedule of reviews, a method for making recommendations for reviews, and
a policy issuance and revision date.

11. How can a security framework assist in the design and implementation of a
security infrastructure? What is information security governance? Who in the
organization should plan for it?
 Information security framework: In information security, a specification of a
model to be followed during the design, selection, and initial and ongoing
implementation of all subsequent security controls, including information
security policies, security education and training programs, and technological
controls.
 Information security governance: The application of the principles and
practices of corporate governance to the information security function,
emphasizing the responsibility of the board of directors and/or senior
management for the oversight of information security in the organization.
Quản trị an toàn thông tin: việc áp dụng các nguyên tắc và thông lệ quản trị
doanh nghiệp vào chức năng an toàn thông tin, nhấn mạnh trách nhiệm của
ban giám đốc và/hoặc quản lý cấp cao đối với việc giám sát an toàn thông tin
trong tổ chức.

12. Where can a security administrator find information on established security

frameworks?
Standards organizations: ISO 27000 Series and NIST Security Models.
Professional organizations: ISACA and IAPSC.
Professional societies: Technology Manager’s Forum and Information Security
Forum.

13. What is the ISO 27000 series of standards? Which individual standards make
up the series?
One of the most widely referenced security models is Information Technology—
Code of Practice for Information Security Management.
ISO 27000 là một loạt các tiêu chuẩn cung cấp khuôn khổ toàn cầu để quản lý an
ninh thông tin theo phương pháp tốt nhất. Còn được gọi là bộ tiêu chuẩn ISO
27000, nó tập trung chủ yếu vào công nghệ thông tin, kỹ thuật bảo mật và hệ
thống quản lý bảo mật thông tin.
ISO 27000 cung cấp cách tiếp cận có hệ thống để quản lý rủi ro nhằm giải quyết ba
trụ cột về bảo mật thông tin: Con người, Quy trình và Công nghệ. Bao gồm 46 tiêu
chuẩn riêng lẻ, nó cung cấp phần giới thiệu về bộ tiêu chuẩn cũng như các thuật
ngữ và định nghĩa chính.
ISO 27001 is the central standard in the ISO 27000 series because it contains the
implementation guidelines for an Information Security Management System
(ISMS).
ISO/IEC 27002:2013 gives guidelines for organizational information security
standards and information security management practices, including the
selection, implementation, and management of controls, taking into
consideration the organization’s information security risk environment(s).
ISO 27014:2013: là bộ tiêu chuẩn ISO 27000 về Quản trị an toàn thông tin, cung
cấp gợi ý đánh giá về chương trình quản trị an toàn thông tin, gồm sáu nguyên tắc
quản trị an toàn thông tin "định hướng hành động" cấp cao.

14. What documents are available from the NIST Computer Security Resource
Center (CSRC), and how can they support the development of a security
framework?
 The following NIST documents can assist in the design of a security
framework:
 SP 800-12, Rev. 1: “An Introduction to Information Security”.
 SP 800-18, Rev. 1: “Guide for Developing Security Plans for Federal
Information Systems”.
 SP 800-30, Rev. 1: “Guide for Conducting Risk Assessments”.
 SP 800-37, Rev. 2: “Risk Management Framework for Information Systems
and Organizations: A System Life Cycle Approach for Security and Privacy”.
  SP 800-39: “Managing Information Security Risk: Organization, Mission,
and Information System View”.
 SP 800-50: “Building an Information Technology Security Awareness and
Training Program”.
 SP 800-55, Rev. 1: “Performance Measurement Guide for Information
Security”.
 SP 800-100: “Information Security Handbook: A Guide for Managers”.

 The NIST CSRC provides a wide range of documents, including special

publications, guidelines, recommendations, and reference materials, which
can support the development of a security framework.

15. What Web resources can aid an organization in developing best practices as
part of a security framework?
 Technology Manager’s Forum (www.techforum.com)
 Information Security Forum (www.securityforum.org)
 Information Systems Audit and Control Association (www.isaca.org)
 International Association of Professional Security Consultants (www.iapsc.org)
 SearchSecurity.com
 NIST’s Computer Resources Center

16. Briefly describe management, operational, and technical controls, and

explain when each would be applied as part of a security framework.
Các biện pháp kiểm soát quản lý: Các biện pháp bảo vệ an toàn thông tin tập
trung vào việc lập kế hoạch hành chính, tổ chức, lãnh đạo và kiểm soát; được
thiết kế bởi các nhà hoạch định chiến lược và được thực hiện bởi tổ chức quản lý
an toàn của đơn vị. Các biện pháp bảo vệ này bao gồm quản trị và quản lý rủi ro.
Các biện pháp kiểm soát hoạt động: Các biện pháp bảo vệ an toàn thông tin tập
trung vào việc lập kế hoạch cấp thấp hơn, nhằm giải quyết chức năng an toàn của
đơn vị. Các biện pháp bảo vệ này bao gồm lập kế hoạch phục hồi sau thảm họa và
ứng phó sự cố.
Các biện pháp kiểm soát kỹ thuật: Các biện pháp bảo vệ an toàn thông tin tập
trung vào việc áp dụng các công nghệ, hệ thống và quy trình hiện đại để bảo vệ tài
sản thông tin. Các biện pháp bảo vệ này bao gồm tường lửa, mạng riêng ảo và
IDPSs.

17. What is defense in depth?

Nguyên lý cơ bản của kiến trúc an toàn là việc triển khai an toàn theo lớp.
Để đạt được khả năng phòng thủ sâu, một tổ chức phải thiết lập nhiều lớp kiểm
soát an ninh và các biện pháp bảo vệ, có thể được tổ chức thành chính sách, đào
tạo, giáo dục và công nghệ.
Dự phòng (Redundancy) có thể được triển khai tại một số điểm trong toàn bộ
kiến trúc an toàn.

18. Define and briefly explain the SETA program and what it is used for.
Khi tổ chức đã xác định các chính sách hướng dẫn chương trình an toàn và chọn
mô hình an toàn tổng thể bằng cách tạo / điều chỉnh bảng kế hoạch chi tiết tương
ứng → triển khai chương trình giáo dục, huấn luyện và nâng cao nhận thức về
an toàn (security education, training, and awareness - SETA).
SETA do CISO phụ trách và là một biện pháp kiểm soát được thiết kế để giảm các
sự cố do nhân viên vô tình vi phạm an ninh.
Lỗi của nhân viên là một trong những mối đe dọa hàng đầu đối với tài sản thông
tin, do đó, phát triển chương trình SETA để chống lại mối đe dọa này là cần thiết.
SETA được thiết kế để bổ sung cho các chương trình giáo dục và huấn luyện
chung mà nhiều tổ chức sử dụng để huấn luyện nhân viên về an toàn thông tin.

19. What is the purpose of the SETA program?

Mục đích của SETA là tăng cường an toàn bằng cách thực hiện những điều sau:
• Nâng cao nhận thức về sự cần thiết phải bảo vệ tài nguyên hệ thống.
• Phát triển kỹ năng và kiến thức để người dùng máy tính có thể thực hiện công
việc của họ một cách an toàn hơn.
 • Xây dựng kiến thức chuyên sâu khi cần thiết để thiết kế, triển khai hoặc vận
hành các chương trình an toàn cho các tổ chức và hệ thống.

20. What is security training?

 Huấn luyện an toàn cung cấp cho nhân viên thông tin chi tiết và hướng dẫn
thực hành để chuẩn bị cho họ thực hiện nhiệm vụ một cách an toàn.
 Các lựa chọn thay thế cho các chương trình huấn luyện chính thức là các hội
nghị và chương trình huấn luyện trong ngành được cung cấp thông qua các cơ
quan chuyên môn như SANS (www.sans.org), ISC2 (www.isc2.org) và ISSA
(www.issa.org). Nhiều chương trình trong số này phù hợp với các chuyên gia
an toàn thông tin hơn so với người dùng bình thường vì khá thiên về khía
cạnh kỹ thuật.
 Một số tài nguyên để thực hiện các chương trình SETA cung cấp hỗ trợ dưới
dạng các chủ đề và cấu trúc mẫu cho các lớp bảo mật. Đối với các tổ chức,
Trung tâm Tài nguyên An ninh Máy tính tại NIST cung cấp miễn phí một số tài
liệu hữu ích trong lĩnh vực này (http://csrc.nist.gov).

21. What is a security awareness program?

 Chương trình nâng cao nhận thức về an toàn là một trong những chương
trình ít được thực hiện thường xuyên nhất nhưng mang lại nhiều lợi ích nhất
trong một tổ chức, được thiết kế để giữ an toàn thông tin được đặt lên hàng
đầu trong tâm trí người dùng.
 Nếu chương trình này không được triển khai tích cực, nhân viên có thể bắt
đầu bỏ qua các vấn đề an toàn và nguy cơ có thể phát sinh với an toàn thông
tin của tổ chức.
 Các chương trình nâng cao nhận thức không cần phải phức tạp hoặc tốn kém
chi phí, chỉ cần được sử dụng thường xuyên để nhắc nhở nhân viên về an
toàn.
 Bản tin an toàn là phương pháp tiết kiệm chi phí nhất để phổ biến thông tin
cho nhân viên, giữ ý tưởng về an toàn thông tin trong tâm trí người dùng và
kích thích người dùng quan tâm đến an toàn.
 Moudle 4: Risk Management
1. What is risk management?
 Risk management: The process of identifying risk, assessing its relative
magnitude, and taking steps to reduce it to an acceptable level.
2. According to Sun Tzu, what two things must be achieved to secure
information assets successfully?
 As Sun Tzu stated, the organization must know itself to understand the risk
to its information assets and where that risk resides.
 Know yourself: identify, examine, and understand the information assets
and systems currently in place, and their vulnerabilities.
 Know the enemy: identify, examine, and understand the threats facing the
organization’s information assets.
3. Which community of interest usually takes the lead in information asset risk
management? Which community of interest usually provides the resources
used when undertaking information asset risk management?
1. Cộng đồng an ninh thông tin:
• Hiểu rõ nhất về các nguy cơ gây rủi ro cho DN.
• Vai trò lãnh đạo trong giải quyết rủi ro đối với tài sản thông tin.
• Xây dựng các hệ thống an toàn và vận hành hệ thống an toàn.
2. Nhà quản lý
• Phát hiện sớm và phản hồi các nguy cơ.
• Đảm bảo có đủ thời gian, tài chính, nhân lực và các nguồn lực khác cho các
nhóm an toàn thông tin và CNTT để đáp ứng nhu cầu bảo mật.
3. Người sử dụng
• Phát hiện sớm và phản hồi các nguy cơ.
• Hiểu giá trị của hệ thống và dữ liệu đối với tổ chức.
• Hiểu tài sản thông tin nào có giá trị nhất.
 4. Cộng đồng CNTT
• Xây dựng và vận hành các hệ thống an toàn
• Cung cấp quan điểm định giá và các nguy cơ cho ban quản lý trong quá trình
quản lý rủi ro.
4. In risk management strategies, why must periodic reviews be a part of the
process?
5. What value would an automated asset inventory system have for the risk
identification process?