Trang chủ Đề thi 32115

Trắc nghiệm ôn tập chương 20-Hệ thống thông tin quản lý NEU

Củng cố kiến thức Chương 20 (HTTT Quản lý NEU) với 40 câu trắc nghiệm chuyên sâu. Ôn tập về an toàn thông tin, tội phạm điện tử, quản trị rủi ro, BCP, kiểm soát HTTT và đạo đức PAPA.

Từ khoá: Hệ thống thông tin quản lý Trắc nghiệm Hệ thống thông tin quản lý HTTT Quản lý MIS NEU Đại học Kinh tế Quốc dân Chương 20 An toàn hệ thống thông tin Bảo mật thông tin Đạo đức xã hội PAPA Tội phạm điện tử Kiểm soát HTTT Quản trị rủi ro thông tin BCP Ôn thi MIS NEU

Số câu hỏi: 80 câuSố mã đề: 2 đềThời gian: 1 giờ 30 phút

417,537 lượt xem 32,117 lượt làm bài

Xem trước nội dung
Câu 1: 0.25 điểm
Đâu là sự khác biệt cơ bản nhất giữa Hacker (mũ trắng) và Cracker (mũ đen)?
A.  
Mục đích thâm nhập (Hacker tìm điểm yếu để vá lỗi, Cracker thâm nhập để phá hoại hoặc trục lợi).
B.  
Trình độ kỹ thuật (Hacker luôn có trình độ cao hơn Cracker).
C.  
Công cụ sử dụng (Hacker chỉ dùng phần mềm mã nguồn mở, Cracker dùng phần mềm độc quyền).
D.  
Phạm vi tấn công (Hacker chỉ tấn công mạng nội bộ, Cracker chỉ tấn công mạng Internet).
Câu 2: 0.25 điểm
Biện pháp kiểm soát nào sau đây thuộc nhóm "Kiểm soát ứng dụng" (Application Controls) thay vì "Kiểm soát tổng thể" (General Controls)?
A.  
Chính sách phân chia trách nhiệm và công việc cho toàn bộ nhân viên IT.
B.  
Một kỹ thuật kiểm tra tính hợp lệ đảm bảo rằng trường "Số lượng" trong đơn đặt hàng phải là số dương.
C.  
Quy định về việc sao lưu dữ liệu (backup) cho tất cả các máy chủ của công ty.
D.  
Kiểm soát việc sử dụng phần mềm hệ thống và ngăn chặn cài đặt trái phép trên toàn tổ chức.
Câu 3: 0.25 điểm
Bước đầu tiên trong quy trình Quản trị rủi ro thông tin (Information Risk Management) của một tổ chức là gì?
A.  
Phát triển và thực thi các thủ tục an toàn thông tin để bảo vệ tài sản.
B.  
Mua bảo hiểm rủi ro thông tin để thực hiện chiến lược "Chuyển giao rủi ro".
C.  
Xác định các tài sản thông tin quan trọng của tổ chức cùng giá trị của các thông tin đó.
D.  
Xác định mức độ nhạy cảm của các tài sản thông tin (tổ chức có thể duy trì hoạt động bao lâu nếu không có tài sản đó).
Câu 4: 0.25 điểm
Trong mô hình đạo đức thông tin PAPA của Mason, chữ "A" cuối cùng (Accessibility) đề cập đến vấn đề gì?
A.  
Ai sở hữu thông tin và giá trị của thông tin đó trong trao đổi là bao nhiêu?
B.  
Ai chịu trách nhiệm về tính xác thực, tin cậy và chính xác của thông tin?
C.  
Thông tin nào về cá nhân mà họ phải bộc lộ ra cho những người khác?
D.  
Thông tin nào mà một người hay một tổ chức được quyền hoặc đặc quyền thu được, và với điều kiện nào?
Câu 5: 0.25 điểm
Một kẻ tấn công gọi điện cho nhân viên phòng nhân sự, giả làm chuyên viên IT và yêu cầu cung cấp mật khẩu để "nâng cấp hệ thống". Kỹ thuật tấn công này được gọi là gì?
A.  
Social engineering (Tấn công phi kỹ thuật/Tạo quan hệ).
B.  
Spyware (Phần mềm gián điệp).
C.  
Trojan Horse (Ngựa thành Troa).
D.  
Denial of Service (Tấn công từ chối dịch vụ).
Câu 6: 0.25 điểm
Một công ty quyết định chấp nhận rủi ro về việc hệ thống email nội bộ có thể bị gián đoạn trong thời gian ngắn và không triển khai biện pháp bảo vệ nào vì chi phí bảo vệ cao hơn thiệt hại ước tính. Chiến lược quản trị rủi ro này là gì?
A.  
Giảm nhẹ rủi ro (Risk Mitigation).
B.  
Chấp nhận rủi ro (Risk Acceptance).
C.  
Chuyển giao rủi ro (Risk Transfer).
D.  
Né tránh rủi ro (Risk Avoidance).
Câu 7: 0.25 điểm
Đâu KHÔNG phải là một trong bốn nguyên tắc đạo đức cơ bản của việc triển khai công nghệ được nêu trong giáo trình?
A.  
Sự ưng thuận (Những người bị ảnh hưởng phải hiểu và chấp nhận rủi ro).
B.  
Sự cân đối (Cái tốt đạt được phải lớn hơn sự tổn hại).
C.  
Lợi nhuận tối đa (Công nghệ phải được triển khai để tối đa hóa lợi nhuận cho cổ đông).
D.  
Lợi lộc và thua thiệt (Lợi lộc và thua thiệt phải được phân phối công bằng).
Câu 8: 0.25 điểm
Một siêu thị lắp đặt hệ thống máy tính để giám sát năng suất của nhân viên thu ngân (số lượng mặt hàng quét mỗi phút, thời gian nghỉ giữa các giao dịch). Vấn đề đạo đức xã hội nào đang được đề cập đến?
A.  
Ảnh hưởng của CNTT đến tính cách con người (phi nhân tính hóa).
B.  
Vấn đề bảo mật thông tin cá nhân (Privacy) của khách hàng.
C.  
Tác động của CNTT đến cơ hội việc làm (tự động hóa).
D.  
Giám sát người lao động bằng máy tính và điều kiện làm việc.
Câu 9: 0.25 điểm
Khi một nhân viên cũ (đã nghỉ việc) sử dụng tài khoản vẫn còn hiệu lực của mình để truy cập và xóa dữ liệu quan trọng của công ty, đây được xếp vào loại nguy cơ nào?
A.  
Nguy cơ có chủ định, tấn công từ bên trong.
B.  
Nguy cơ không có chủ định, lỗi của bản thân hệ thống.
C.  
Nguy cơ không có chủ định, lỗi tại con người (quản trị hệ thống).
D.  
Nguy cơ có chủ định, tấn công từ bên ngoài (Cracker).
Câu 10: 0.25 điểm
Một nhân viên tải về một phần mềm chỉnh sửa ảnh miễn phí. Khi cài đặt, phần mềm này bí mật cài thêm một chương trình khác có khả năng ghi lại toàn bộ thao tác gõ phím của người dùng. Chương trình bí mật này là gì?
A.  
Firewall (Tường lửa).
B.  
Spyware (Phần mềm gián điệp) hoặc Trojan Horse.
C.  
Proxy Server (Máy chủ Proxy).
D.  
VPN (Mạng riêng ảo).
Câu 11: 0.25 điểm
Một công ty quyết định rằng việc thiết lập các quy tắc về mật khẩu (độ dài, độ phức tạp, tần suất thay đổi) cho TẤT CẢ nhân viên trong tổ chức là cần thiết. Biện pháp kiểm soát này thuộc loại nào?
A.  
Kiểm soát đầu ra (Output control).
B.  
Kiểm soát xử lý (Processing control).
C.  
Kiểm soát tổng thể (General control).
D.  
Kiểm soát ứng dụng (Application control).
Câu 12: 0.25 điểm
Tác động của CNTT đến việc làm được mô tả là gì?
A.  
Chỉ làm giảm cơ hội việc làm do tự động hóa các công việc thủ công.
B.  
Chỉ tạo ra các việc làm mới trong lĩnh vực bảo trì phần cứng.
C.  
Không ảnh hưởng đến số lượng việc làm, chỉ thay đổi cách thức làm việc.
D.  
Vừa giảm cơ hội việc làm (do tự động hóa) vừa tạo ra các việc làm mới (thường đòi hỏi kỹ năng cao hơn).
Câu 13: 0.25 điểm
"Chính sách an toàn thông tin" (Information Security Policy) của một tổ chức phải có đặc điểm quan trọng nào?
A.  
Phải được văn bản hóa (bằng văn bản viết).
B.  
Chỉ cần sự đồng ý miệng của Giám đốc điều hành (CEO).
C.  
Chỉ cần phổ biến cho bộ phận IT, không cần cho các nhân viên khác.
D.  
Phải được giữ bí mật tuyệt đối, không nhân viên nào được đọc.
Câu 14: 0.25 điểm
Khi một ngân hàng xây dựng một trung tâm dữ liệu dự phòng ở một tỉnh khác để đảm bảo hoạt động không bị gián đoạn nếu trụ sở chính gặp hỏa hoạn, họ đang thực hiện một phần của kế hoạch nào?
A.  
Quản trị dữ liệu điện tử (ERM).
B.  
Lập kế hoạch duy trì hoạt động liên tục của tổ chức (BCP).
C.  
Chính sách an toàn thông tin (Information Security Policy).
D.  
Kiểm soát ứng dụng (Application Controls).
Câu 15: 0.25 điểm
Việc HTTT làm việc với con người thông qua một con số (mã nhân viên, mã khách hàng) thay vì tên gọi, khiến nhiều người cảm thấy mất đi tính nhận dạng của mình, được xem là ảnh hưởng tiêu cực của CNTT đến khía cạnh nào?
A.  
Điều kiện làm việc.
B.  
Bảo mật thông tin cá nhân.
C.  
Tính cách con người (phi nhân tính hóa).
D.  
Cơ hội việc làm.
Câu 16: 0.25 điểm
"Khả năng kiểm soát thông tin về bản thân mỗi cá nhân" là định nghĩa của khái niệm đạo đức nào?
A.  
Tính chính xác (Accuracy).
B.  
Sở hữu (Property).
C.  
Truy nhập (Accessibility).
D.  
Bảo mật thông tin cá nhân / Tính riêng tư (Privacy).
Câu 17: 0.25 điểm
Đâu là ví dụ về "Tội phạm tấn công dữ liệu" (Data crime)?
A.  
Một nhân viên kế toán cố ý nhập dữ liệu sai lệch vào hệ thống để biển thủ công quỹ.
B.  
Một Cracker phát tán virus làm lây nhiễm sang các chương trình khác trong máy tính nạn nhân.
C.  
Một lập trình viên sửa đổi chương trình máy tính một cách gián tiếp để ăn cắp thông tin.
D.  
Một người dùng vô tình làm lây nhiễm virus khi mở một tệp đính kèm email lạ.
Câu 18: 0.25 điểm
Việc sử dụng mật khẩu (passwords) thuộc nhóm công nghệ an toàn thông tin cơ bản nào?
A.  
Công cụ lọc nội dung (Content-Filtering Tools).
B.  
Xác thực định danh và hệ thống quản trị truy cập (Identity and Access Management - IAM).
C.  
Công cụ kiểm tra thâm nhập (Penetration-Testing Tools).
D.  
Mã hóa và mạng riêng ảo (Encryption and VPNs).
Câu 19: 0.25 điểm
Một công ty quy định rằng các giao dịch bán hàng trên 100 triệu đồng phải được duyệt bởi một quản lý cấp trung, trong khi các giao dịch dưới 100 triệu đồng chỉ cần nhân viên bán hàng nhập liệu. Đây là ví dụ về loại kiểm soát nào?
A.  
Kiểm soát phần cứng.
B.  
Kiểm soát hành chính (thuộc Kiểm soát tổng thể).
C.  
Kiểm soát đầu vào (thuộc Kiểm soát ứng dụng).
D.  
Kiểm soát triển khai hệ thống.
Câu 20: 0.25 điểm
Thuyết đạo đức nào cho rằng "Hoạt động được quyền để tạo ra những cái tốt nhất cho số đông người nhất"?
A.  
Luật tự nhiên (Natural law).
B.  
Sự tôn trọng người khác (Respect for others).
C.  
Kyosei (Quan niệm Á Đông).
D.  
Thuyết vị lợi (Utilitarism).
Câu 21: 0.25 điểm
Một nhân viên trong giờ làm việc sử dụng máy tính của công ty để truy cập mạng xã hội và mua sắm trực tuyến. Nếu công ty muốn ngăn chặn hành vi này, họ nên sử dụng công nghệ an toàn thông tin nào?
A.  
Công cụ lọc nội dung (Content-Filtering Tools).
B.  
Công cụ kiểm tra thâm nhập (Penetration-Testing Tools).
C.  
Mã hóa (Encryption).
D.  
Xác thực định danh (Identity Management).
Câu 22: 0.25 điểm
Đâu là một khuyến cáo bảo vệ người dùng Internet KHÔNG được nêu trong giáo trình?
A.  
Sử dụng các mật khẩu khác nhau cho những trang Web và ứng dụng khác nhau.
B.  
Chỉ sử dụng máy tính công cộng để truy cập tài khoản ngân hàng.
C.  
Cài đặt tất cả các OS patches (bản vá lỗi hệ điều hành) và nâng cấp định kỳ.
D.  
Không cho phép các trang bán hàng trực tuyến lưu giữ thông tin thẻ tín dụng.
Câu 23: 0.25 điểm
"Kiểm soát an toàn dữ liệu" (một phần của Kiểm soát tổng thể) KHÔNG bao gồm biện pháp nào sau đây?
A.  
Giới hạn việc sử dụng các thiết bị đầu cuối ở những người có quyền hạn.
B.  
Phân quyền người sử dụng (ví dụ: người chỉ được đọc, người được cập nhật).
C.  
Đảm bảo rằng quá trình phát triển hệ thống được kiểm soát và quản lý tốt ở tất cả các giai đoạn.
D.  
Sử dụng mật khẩu để giới hạn người khai thác hệ thống.
Câu 24: 0.25 điểm
Nguyên tắc đạo đức "Sự ưng thuận" (Informed Consent) khi triển khai công nghệ có nghĩa là gì?
A.  
Công nghệ phải được triển khai sao cho tránh được những rủi ro không cần thiết.
B.  
Lợi lộc và thua thiệt của HTTT phải được phân phối một cách công bằng.
C.  
Cái tốt đẹp đạt được qua công nghệ phải lớn hơn sự tổn hại và rủi ro.
D.  
Những người bị ảnh hưởng bởi công nghệ phải được hiểu và chấp nhận những rủi ro.
Câu 25: 0.25 điểm
Một công ty sản xuất ô tô sử dụng robot để thực hiện các công việc lắp ráp và phun sơn lặp đi lặp lại. Tác động của việc này đến điều kiện làm việc là gì?
A.  
Giúp loại bỏ sự đơn điệu và nhàm chán của công việc, giải phóng con người khỏi các công việc nặng nhọc.
B.  
Làm tăng sự cứng nhắc khi làm việc với hệ thống và khiến con người cảm thấy mình như một con số.
C.  
Vi phạm tính riêng tư và tự do của các cá nhân do bị giám sát liên tục.
D.  
Khiến người lao động bị thất nghiệp hoàn toàn vì không thể đào tạo lại.
Câu 26: 0.25 điểm
Trong mô hình đạo đức thông tin PAPA, vấn đề "Ai chịu trách nhiệm về tính xác thực, tin cậy và chính xác của thông tin?" thuộc về khía cạnh nào?
A.  
Privacy (Tính riêng tư).
B.  
Accuracy (Tính chính xác).
C.  
Property (Sở hữu).
D.  
Accessibility (Truy nhập).
Câu 27: 0.25 điểm
Khi một tổ chức thực hiện "Kiểm soát hành chính" (Administrative Controls), biện pháp nào sau đây là quan trọng nhất?
A.  
Cài đặt tường lửa và phần mềm chống virus cho mọi máy tính.
B.  
Đảm bảo các kết quả xử lý (đầu ra) là chính xác và đầy đủ.
C.  
Phân chia trách nhiệm và công việc giữa các thành viên (nhằm tránh trùng lắp và giảm rủi ro).
D.  
Kiểm tra tính hợp lệ của dữ liệu trong quá trình nhập liệu.
Câu 28: 0.25 điểm
Loại nguy cơ nào sau đây được phân loại là "không có chủ định"?
A.  
Làm lây nhiễm virus vào hệ thống của đối thủ cạnh tranh.
B.  
Đánh cắp thiết bị máy tính xách tay chứa dữ liệu nhạy cảm.
C.  
Phá hoại các nguồn lực máy tính của công ty cũ sau khi bị sa thải.
D.  
Lỗi của lập trình viên trong quá trình thiết kế hệ thống dẫn đến lỗ hổng bảo mật.
Câu 29: 0.25 điểm
Công ty A phát hiện ra rằng hệ thống của mình có một lỗ hổng bảo mật. Thay vì tự vá lỗi, họ thuê một công ty B chuyên về an ninh mạng để cố gắng thâm nhập vào hệ thống của mình và báo cáo lại các điểm yếu tìm được. Công ty B đang đóng vai trò gì?
A.  
Hacker (Hacker mũ trắng).
B.  
Cracker (Hacker mũ đen).
C.  
Đang thực hiện hành vi "social engineering".
D.  
Đang thực hiện "Tội phạm tấn công chương trình".
Câu 30: 0.25 điểm
"Quản trị dữ liệu điện tử" (ERM - Electronic Record Management) ngày càng trở nên cấp thiết, đặc biệt là khi nào?
A.  
Khi các tổ chức bắt đầu sử dụng mạng xã hội để quảng cáo.
B.  
Khi các nước ban hành các điều luật yêu cầu các tổ chức phải lưu trữ và quản trị các tài liệu điện tử.
C.  
Khi chi phí phần cứng (như ổ cứng) bắt đầu giảm mạnh.
D.  
Khi các hệ thống bị tấn công bởi Cracker (Hacker mũ đen).
Câu 31: 0.25 điểm
Đâu là mục tiêu chính của "Kiểm soát đầu ra" (Output Controls) trong một ứng dụng?
A.  
Đảm bảo chỉ những người có quyền hạn mới được sử dụng phần cứng của máy tính.
B.  
Đảm bảo các dữ liệu được cập nhật vào hệ thống một cách chính xác và đầy đủ.
C.  
Đảm bảo các kết quả xử lý là chính xác, đầy đủ và được phân phối đến đúng đối tượng sử dụng.
D.  
Kiểm tra tính chính xác và tính đầy đủ của dữ liệu khi nhập liệu vào hệ thống.
Câu 32: 0.25 điểm
Vì sao các biện pháp bảo mật truyền thống (mật khẩu, tường lửa) lại tỏ ra không hiệu quả trong nhiều trường hợp thực tế?
A.  
Vì các biện pháp này quá đắt đỏ để triển khai trên quy mô lớn.
B.  
Vì chúng chỉ tập trung vào việc ngăn chặn thiên tai (lũ lụt, hỏa hoạn).
C.  
Vì chúng không hiệu quả khi hệ thống bị tấn công từ bên ngoài (Cracker).
D.  
Vì chúng không hiệu quả trong trường hợp hệ thống bị tấn công từ bên trong (bởi chính nhân viên).
Câu 33: 0.25 điểm
Một công ty bảo hiểm sử dụng HTTT để xử lý các yêu cầu bồi thường. Hệ thống này được thiết kế quá cứng nhắc, liên tục từ chối các yêu cầu hợp lệ do sai sót nhỏ trong biểu mẫu (ví dụ: viết hoa/thường) và không cho phép nhân viên can thiệp. Vấn đề đạo đức này thuộc về khía cạnh nào?
A.  
Ảnh hưởng của CNTT đến tính cách con người (sự cứng nhắc, phi nhân tính).
B.  
Ảnh hưởng của CNTT đến việc làm (gây thất nghiệp).
C.  
Vấn đề sở hữu (Property) trong mô hình PAPA.
D.  
Giám sát người lao động bằng máy tính.
Câu 34: 0.25 điểm
"Kiểm soát phần mềm" (Software Controls) là một loại Kiểm soát tổng thể nhằm mục đích gì?
A.  
Đảm bảo các kết quả đầu ra được phân phối đến đúng đối tượng.
B.  
Đảm bảo tính an toàn và độ tin cậy của phần mềm, giám sát và ngăn chặn việc sử dụng trái phép các chương trình.
C.  
Đảm bảo chỉ những người có quyền hạn mới được sử dụng phần cứng của máy tính.
D.  
Kiểm soát quá trình phát triển hệ thống ở tất cả các giai đoạn.
Câu 35: 0.25 điểm
Yếu tố nào sau đây KHÔNG bắt buộc phải có khi xây dựng "Chính sách an toàn thông tin" của tổ chức?
A.  
Sự tham gia của đại diện của tất cả các nhóm người sử dụng.
B.  
Sự hỗ trợ của các nhà quản lý, người có trách nhiệm thực thi chính sách.
C.  
Danh sách cụ thể các phần mềm diệt virus mà công ty phải mua.
D.  
Nội dung về chính sách kiểm soát truy cập thông tin (mật khẩu, mã hóa).
Câu 36: 0.25 điểm
Việc một công ty theo dõi email của nhân viên (ngay cả các thư tín thân tình) là một ví dụ về vi phạm khía cạnh đạo đức nào?
A.  
Tính chính xác (Accuracy).
B.  
Điều kiện làm việc (Work Conditions).
C.  
Sở hữu (Property).
D.  
Bảo mật thông tin cá nhân / Tính riêng tư (Privacy).
Câu 37: 0.25 điểm
Một công ty mua bảo hiểm rủi ro thông tin để được bồi thường nếu bị tấn công mạng gây thiệt hại. Chiến lược quản trị rủi ro mà công ty này đang áp dụng là gì?
A.  
Chuyển giao rủi ro (Risk Transfer).
B.  
Chấp nhận rủi ro (Risk Acceptance).
C.  
Giảm nhẹ rủi ro (Risk Mitigation).
D.  
Tối thiểu hóa rủi ro (Risk Minimization).
Câu 38: 0.25 điểm
Trong "Lập kế hoạch duy trì hoạt động liên tục" (BCP), tại sao các điểm sao lưu CNTT (trung tâm dữ liệu dự phòng) không nên đặt quá gần trụ sở chính?
A.  
Vì để tiết kiệm chi phí thuê mặt bằng ở các khu vực xa trung tâm.
B.  
Vì để không bị ảnh hưởng chung của một thảm họa vùng (ví dụ: động đất, lũ lụt) xảy ra tại trụ sở chính.
C.  
Vì để tăng cường an ninh, tránh bị nhân viên nội bộ phát hiện và tấn công.
D.  
Vì theo quy định của pháp luật, hai trung tâm dữ liệu phải cách nhau ít nhất 1000km.
Câu 39: 0.25 điểm
Sự khác biệt giữa "Tội phạm tấn công dữ liệu" và "Tội phạm tấn công chương trình" là gì?
A.  
Tấn công dữ liệu luôn do người bên ngoài thực hiện, tấn công chương trình luôn do người bên trong thực hiện.
B.  
Tấn công dữ liệu chỉ gây hại cho phần cứng, tấn công chương trình chỉ gây hại cho phần mềm.
C.  
Tấn công dữ liệu là làm sai lệch/xóa/sửa dữ liệu (thường do người bên trong), tấn công chương trình là dùng kỹ thuật lập trình (như virus) để thay đổi chương trình.
D.  
Tấn công dữ liệu sử dụng "social engineering", tấn công chương trình sử dụng "spyware".
Câu 40: 0.25 điểm
Khi một ứng dụng ngân hàng trực tuyến yêu cầu bạn nhập mật khẩu, sau đó nhập mã OTP gửi về điện thoại, ngân hàng đang áp dụng công nghệ an toàn nào?
A.  
Công cụ lọc nội dung (Content-Filtering).
B.  
Tường lửa (Firewall) và Máy chủ Proxy (Proxy Server).
C.  
Kế hoạch duy trì hoạt động liên tục (BCP).
D.  
Xác thực định danh (Identity Management) - cụ thể là xác thực đa yếu tố.