I.Thông tin chung
01. Tổ chức của quý vị thuộc lĩnh vực nào?
Giáo dục Giải trí Tài chính Tổ chức chính phủ Y tế Sản xuất Bán lẻ Dịch vụ khách sạn Telco/ ISP/ IXP Khác
02. Tổ chức của quý vị có khoảng bao nhiêu nhân viên sử dụng máy tính?
1-50 51 – 300 Trên 300 Không rõ
II.Chi phí đảm bảo ATTT
03. Trong năm 2017 ngân sách danh cho CNTT là bao nhiêu?
<500 triệu Từ 500- 2 tỉ 2 tỉ đến 5 tỉ Trên 5 tỉ
04. Trong năm 2017, chi tiêu cho ATTT của tổ chức tăng hay giảm so với năm trước?
Tăng Giảm Giữ nguyên
III.Về ATTT
05. Tổ chức của quý vị có cán bộ chuyên trách hoặc bán chuyên trách về ATTT không?
Có cán bộ chuyên trách Có cán bộ bán chuyên trách Không
06. Tổ chức của quí vị có dự định thuê ngoài (out-source) các dịch vụ về đảm bảo an toàn thông tin không?
Có Không
Nếu “có” thì vui lòng trả lời các câu sau (đánh dấu vào ô tương ứng):
Dịch vụ phát hiện và phòng chống tấn công Dịch vụ đánh giá điểm yếu an ninh mạng Dịch vụ đánh giá điểm yếu cho web-site Dịch vụ tư vấn hệ thống an toàn thông tin Dịch vụ audit (kiểm tra tuân thủ theo các chuẩn bảo mật) Dịch vụ khác
07. Tổ chức của quí vị thực hiện kiểm tra, đánh giá ATTT theo hình thức nào?
Hình thức thực hiện
Tự thực hiện đánh giá Thuê đơn vị ngoài đánh giá khách quan
Nội dung đánh giá ATTT
Đánh giá hệ thống quản lý (quy trình, nhân lực …) Đánh giá hệ thống kỹ thuật (thiết bị phần cứng, phần mềm) Thử nghiệm xâm nhập hệ thống để tìm ra lỗ hổng (Pentest)
08. Trong triển khai dự án Phát triển ứng dụng CNTT, khi xây dựng hệ thống, quý vị có được tư vấn, thẩm định, thẩm tra riêng về ATTT của hệ thống không ?
Có Không
Nếu “có” thì vui lòng trả lời các câu sau (đánh dấu vào ô tương ứng)
Thẩm định đáp ứng quy trình tư vấn dự án CNTT đã được quy định Có lấy ý kiến của các chuyên gia, tổ chức chuyên nghiệp về ATTT Có tư vấn hay thẩm định của tổ chức/chuyên gia nước ngoài
Nếu trong vòng 1 năm sau khi đưa hệ thống vào sử dụng đã có nhu cầu đầu tư bổ sung để đảm bảo ATTT thì vì lý do nào? (nếu không thì bỏ qua)
Trong thiết kế ban đầu chưa có đủ giải pháp đảm bảo an toàn Thiếu kinh phí cho giải pháp ATTT khi thiết kế Thực hiện theo lộ trình có tính toán trước
09. Theo như quản trị hệ thống của tổ chức quý vị (hay chính là quý vị), tổ chức của quý vị đang sử dụng các công nghệ đảm bảo ATTT nào?
Nhóm bảo vệ dữ liệu bằng mật khẩu, mật mã (8 giải pháp)
Chứng chỉ số, chữ ký số (Digital Certificate, Digital Signature) Mạng riêng ảo VPN Mã hóa Đặt mật khẩu cho tài liệu Công cụ đánh giá tính toàn vẹn của tài liệu Thẻ thông minh, mật khẩu dùng 1 lần (One-time- password) Mật khẩu có thể được sử dụng lại (Reusable password) Hệ thống quản lý mật khẩu đặc quyền
Nhóm kiểm soát truy cập (4 giải pháp)
Kiểm soát truy cập có giao thức mã hoặc xác thực 2 yếu tố Sinh trắc học (Biometrics, ví dụ kiểm tra vân tay, …) Quản lý định danh (Identity Management) Đăng nhập một lần (SSO - Single sign on)
Nhóm kiểm soát truy cập (4 giải pháp)
Hệ thống ngăn chặn DDoS Hệ thống phát hiện xâm nhập (IDS) trên máy chủ Hệ thống phát hiện xâm nhập (IDS/IPS) trong mạng Tường lửa (Firewall) Phần mềm chống virus (Anti-Virus) Tường lửa cho ứng dụng web Hệ thống quản lý chống thất thoát dữ liệu (Data Loss Protection) Lọc nội dung Web Bộ lọc chống thư rác (Anti-Spam) Chống lừa đảo trực tuyến (Anti Fishing) Bảo mật mạng không dây Bảo mật thiết bị di động
Nhóm công cụ dò quét điểm yếu, quản lý bản vá ATTT (3 giải pháp)
Dò quét đánh giá an ninh mạng Dò quét đánh giá an ninh ứng dụng Quản lý bản vá (Patch Management)
Nhóm giải pháp quản lý log-file, sự kiện & sự cố ATTT (2 giải pháp)
Hệ thống quản lý log file (Log Management) Hệ thống quản lý sự kiện an ninh (SIEM- Security Incident & Event Management)
10. Vấn đề khó khăn nhất quý vị gặp phải trong việc thực thi bảo vệ an toàn cho hệ thống thông tin là gì?
Lãnh đạo chưa hỗ trợ đúng mức cần thiết cho ATTT Sự thiếu hiểu biết về an toàn thông tin trong tổ chức Việc nâng cao nhận thức cho người sử dụng về bảo mật máy tính Việc xác định chính xác mức độ ưu tiên của ATTT trong tương quan chung với các vấn đề khác của tổ chức Việc cần thiết áp dụng nguyên tắc quản lý rủi ro (Risk Management principles) Việc cập nhật kịp thời những cách thức tấn công hay những những điểm yếu mới xuất hiện Việc phản ứng nhanh và chính xác khi xảy ra những vụ tấn công máy tính Việc quản lý chặt chẽ cấu hình hệ thống mạng (Configuration Management) Những hệ thống máy tính không được quản lý tốt Các vấn đề khác với các vấn đề nêu trên Khác