A.

SYSTEM dùng và quản lý công nghệ thông tin xảy ra ở cuối hầu hết các giai đoạn trước khi bắt đầu giai đoạn tiếp
System: A system can be described by specifying its parts, the way in which they are related, and the goals theo.
which they are expected to achieve. (Một hệ thống có thể được mô tả bằng cách chỉ định các bộ phận của nó, Ưu điểm: Dễ sử dụng, dễ tiếp cận, dễ quản lý; sản phẩm phát triển theo các giai đoạn được xác định rõ
cách thức mà chúng có liên quan,và các mục tiêu mà họ dự kiến sẽ đạt được)Ex: Human body ràng; Xác nhận ở từng giai đoạn, đảm bảo phát hiện sớm các lỗi
Business is a system: A business is also a system where economic resources such as people, money, material, Nhược điểm: Ít linh hoạt, phạm vi điều chỉnh hạn chế.; Rất khó để đo lường sự phát triển trong từng giai
machines, etc are transformed by various organizational processes (such as production, marketing, finance đoạn.; Mô hình không thích hợp với những dự án dài, đang diễn ra, hay những dự án phức tạp, có nhiều
etc.) into goods and services”(Doanh nghiệp cũng là một hệ thống mà các nguồn lực kinh tế như con người, thay đổi về yêu cầu trong vòng đời phát triển.;Khó quay lại khi giai đoạn nào đó đã kết thúc.
tiền bạc, vật chất, máy móc, ... được biến đổi bởi các quy trình tổ chức khác nhau (như sản xuất, tiếp thị, tài - Prototype Model: Mục tiêu của phương pháp tạo mẫu là phát triển một phiên bản nhỏ hoặc thử nghiệm
chính, v.v.) thành hàng hóa và dịch vụ) - Phân loại IS được gọi là nguyên mẫu của một phần hoặc toàn bộ hệ thống.;
Nguyên mẫu là một hệ thống hoặc thành phần hệ thống có thể sử dụng được xây dựng nhanh chóng và với
chi phí thấp hơn và với ý định sửa đổi hoặc thay thế nó bằng một hệ thống toàn diện và hoạt động đầy đủ,;
Khi một nguyên mẫu được phát triển đáp ứng tất cả các yêu cầu của người dùng, nó sẽ được tinh chỉnh và
biến thành hệ thống cuối cùng hoặc nó bị loại bỏ.; Nếu nó bị loại bỏ, kiến thức thu được từ việc xây dựng
nguyên mẫu được sử dụng để phát triển hệ thống thực
Opration Support System: ( Framework: lặp – iterative
Transaction Processing Systems-HT xử lý giao dịch: Là một HTTT nghiệp vụ; phục vụ cho các tổ Nguyên lý: được thực hiện qua 4 bước: Xác định yêu cầu IS; Khởi tạo phát triển bản mẫu; Kiểm tra và điều
- Abstract System (Hệ thống trừu tượng): Hệ thống trừu tượng còn được gọi là Hệ thống khái niệm chức ở mức vận hành; cung cấp nhiều dữ liệu cho các HT khác trong TC. Đặc trưng: Khối lượng CV chỉnh lại; Lấy người dùng Signoff của Prototype đã được phê duyệt.
hoặc Mô hình có thể được định nghĩa là sự sắp xếp có trật tự các ý tưởng hoặc cấu trúc phụ thuộc lẫn giao dịch nhiều; Các quy trình xử lý GD rõ ràng; chặt chẽ, có thể mô tả chi tiết; Ít ngoại lệ. Ưu điểm: thúc đẩy cả sự tham gia của người dùng vào phát triển hệ thống và giao tiếp giữa các bên liên
nhau. Management Information Systems: Trợ giúp các hoạt động QL của TC: lập kế hoạch, kiểm tra thực quan của dự án; Đặc biệt hữu ích cho việc giải quyết các mục tiêu không rõ ràng; phát triển và xác nhận các
- Physical System (Hệ thống vật lý): Một hệ thống vật lý là một tập hợp các yếu tố hữu hình hoạt động hiện, tổng hợp và làm báo cáo, ra QĐ quản lý trên cơ sở các quy trình thủ tục cho trước; MIS sử dụng yêu cầu của người dùng; thử nghiệm hoặc so sánh các giải pháp thiết kế khác nhau, hoặc điều tra cả hiệu
cùng nhau để hoàn thành một mục tiêu dữ liệu TPS. Đặc trưng: hỗ trợ chức năng XL DL trong giao dịch và lưu trữ; SD CSDL thống nhất, năng và giao diện máy tính của con người; Tiềm năng tồn tại để khai thác kiến thức thu được trong một lần
nhiều chức năng XL DL; Cung cấp đầy đủ thông tin để người dùng QL truy cập DL; Đảm bảo toàn lặp đầu tiên khi các lần lặp lại sau được phát triển; Giúp dễ dàng xác định các chức năng khó hiểu hoặc khó
vẹn DL và an toàn DL. hiểu và
Enterprise Resource Planning Systems: Hệ thống ERP là một hệ thống quản lý kinh doanh tích thiếu chức năng.
hợp đầy đủ, tích hợp các quy trình quản lý và kinh doanh cốt lõi để cung cấp cho tổ chức một môi Nhược điểm: Quá trình phê duyệt và kiểm soát không nghiêm ngặt; Phân tích vấn đề không đầy đủ hoặc
trường có cấu trúc, trong đó các quyết định liên quan đến nhu cầu, cung cấp, vận hành, nhân sự, tài không đầy đủ có thể xảy ra theo đó chỉ những nhu cầu rõ ràng và hời hợt nhất sẽ được giải quyết, dẫn đến
chính, v.v. thời gian thực. Mục tiêu: cung cấp hỗ trợ cho việc áp dụng thực tiễn kinh doanh tốt nhất; thực tiễn không hiệu quả hiện tại dễ dàng được xây dựng trong hệ thống mới; Xác định các yếu tố phi chức
Trao quyền cho khách hàng và nhà cung cấp để sửa đổi các quy trình kinh doanh đã thực hiện cho năng khó ghi nhận; Các nhà thiết kế có thể tạo mẫu quá nhanh, không có đủ phân tích nhu cầu người dùng
- Open System (Hệ thống mở): Một hệ thống tương tác tự do với môi trường của nó bằng cách lấy đầu phù hợp với nhu cầu của họ). trả trước, dẫn đến một thiết kế không linh hoạt với trọng tâm hẹp làm hạn chế tiềm năng hệ thống trong
vào và trả lại đầu ra. Với sự thay đổi của môi trường, một hệ thống mở cũng thay đổi để phù hợp với Management Support Systems (MSS) ( tương lai.
chính môi trường đó. Decision Support Systems – DSS – Hệ hỗ trợ QĐ: Là hệ được sử dụng ở mức quản lý của tổ chức.; - Incremetal Model:
- Close System (Hệ thống đóng): Một hệ thống không tương tác với môi trường cũng không thay đổi tổng hợp các dữ liệu và tiến hành phân tích bằng mô hình để trợ giúp cho các nhà quản lý ra QĐ có Framework: Kết hợp tuyến tính và lặp
theo sự thay đổi của môi trường cấu trúc hoặc không cấu trúc. Nguyên lý: mô hình được thiết kế, thực hiện và thử nghiệm tăng dần (thêm một chút được thêm vào mỗi
- Manual System (Hệ thống thủ công): Hệ thống thủ công là hệ thống mà việc thu thập, thao tác, bảo trì Các bước của DSS lần) cho đến khi sản phẩm hoàn thành.
và báo cáo cuối cùng được thực hiện hoàn toàn bằng nỗ lực của con người
- Automated System: Hệ thống tự động là hệ thống mà máy tính hoặc bộ vi xử lý được sử dụng để thực
hiện tất cả các nhiệm vụ được đề cập ở trên
- Mô hình tổng quát của hệ thống Lưu trữ là
phương Xử lý là hành động thao tác đầu vào thành hữu ích hơn.Ví
Đầu vào là dữ liệu chảy vào hệ tiện lưu giữ dụ: Tờ báo lấy văn bản thuần túy thu được từ dịch vụ dây
thống từ bên ngoài. Ví dụ: Một tờ thông tin tin tức và tạo ra phía trước bố cục trang bằng hình ảnh và Ưu điểm: Tiềm năng tồn tại để khai thác kiến thức thu được trong một gia tăng sớm khi các gia số sau
báo lấy nguồn cấp tin tức từ một để sử dụng văn bản định dạng này được phát triển.; Kiểm soát vừa phải được duy trì trong suốt vòng đời của dự án thông qua việc sử
dịch vụ dây tin tức như Reuters. vào một Executive Information System – EIS – Hệ trợ giúp điều hành: được sử dụng ở mức quản lý chiến dụng tài liệu bằng văn bản và sự xem xét và phê duyệt chính thức của người dùng và quản lý công nghệ
ngày
đó.
sau
lược của tổ chức; được thiết kế trợ giúp cho các quyết định không cấu trúc. thông tin tại các mốc quan trọng được chỉ định.; Linh hoạt hơn - ít tốn kém hơn để thay đổi phạm vi và
Đầu ra là thông tin chảy ra khỏi một hệ thống. Ví dụ:
Expert Systems – ES – Hệ chuyên gia: là một hệ trợ giúp ra Qđ ở mức chuyên sâu. yêu cầu.
Thông tin dây tin tức thô được xem trên trang web
Phản hồi xảy ra khi kết quả có của bạn dưới dạng một câu chuyện, tất cả được định Office Automation Systems (OAS) Nhược điểm: Khi sử dụng một loạt các thác nước nhỏ cho một phần nhỏ của hệ thống trước khi chuyển
ảnh hưởng đến đầu vào. dạng độc đáo theo phong cách công ty.
sang bước tăng tiếp theo, thường thiếu sự xem xét tổng thể về vấn đề kinh doanh và các yêu cầu kỹ thuật
- Hệ thống con (SubSystem): Một hệ thống con là một phần của hệ thống lớn hơn. Mỗi hệ thống bao cho toàn bộ hệ thống.; Mỗi giai đoạn của một lần lặp là cứng nhắc và không chồng chéo lẫn nhau.; Các
gồm các hệ thống con, lần lượt được tạo thành từ các hệ thống con khác, mỗi hệ thống con được phân vấn đề có thể phát sinh liên quan đến kiến trúc hệ thống vì không phải tất cả các yêu cầu đều được tập
định bởi các ranh giới của nó. hợp trước cho toàn bộ vòng đời phần mềm.
- Ví dụ: Sale and order entry, Inventory, Production…. - Spiral Model (xoắn óc):
Framework: Kết hợp tuyến tính và lặp
Nguyên lý: kết hợp các yếu tố của cả thiết kế và tạo mẫu trong các giai đoạn, trong nỗ lực kết hợp các
lợi thế của các khái niệm từ trên xuống và từ dưới lên; Kết hợp các chức năng của Prototyping model và
waterfall model.; Mô hình xoắn ốc dành cho các dự án lớn, đắt tiền và phức tạp.
Main phases: Các yêu cầu hệ thống mới được xác định càng chi tiết càng tốt. Điều này thường liên
quan đến việc phỏng vấn một số người dùng đại diện cho tất cả người dùng bên ngoài hoặc bên trong và
các khía cạnh khác của hệ thống hiện có; Một thiết kế sơ bộ được tạo ra cho hệ thống mới. Giai đoạn
này là phần quan trọng nhất của Mô hình xoắn ốc của Hồi giáo, trong đó tất cả các giải pháp thay thế có
B. Information thể, có thể giúp phát triển một dự án hiệu quả về chi phí được phân tích và các chiến lược được quyết
C. SDLC định sử dụng chúng.; Giai đoạn này đã được thêm vào đặc biệt để xác định và giải quyết tất cả các rủi ro
- Thông tin là dữ liệu được đưa vào bối cảnh có ý nghĩa và hữu ích. - System development: Phát triển hệ thống đề cập đến quá trình kiểm tra tình hình kinh doanh với mục đích
- Thuộc tính của dữ liệu: Sãn sàng, có mục đích, được định dạng, thường xuyên, tin cậy…. có thể xảy ra trong quá trình phát triển dự án. Nếu rủi ro chỉ ra bất kỳ loại không chắc chắn nào trong
cải thiện nó thông qua các quy trình và phương pháp tốt hơn. Gồm 2 thành phần chính: System Analysis: yêu cầu, việc tạo mẫu có thể được sử dụng để tiến hành với dữ liệu có sẵn và tìm ra giải pháp khả thi để
là quá trình thu thập và giải thích sự thật, chẩn đoán sự cố và sử dụng thông tin để đề xuất cải tiến hệ thống; đối phó với những thay đổi tiềm năng trong các yêu cầu.; Một nguyên mẫu đầu tiên của hệ thống mới
System Design: là quá trình lập kế hoạch cho một hệ thống kinh doanh mới hoặc một để thay thế hoặc bổ được xây dựng từ thiết kế sơ bộ. Đây thường là một hệ thống thu nhỏ và đánh giá gần đúng các đặc tính
sung cho một hệ thống hiện có. của sản phẩm cuối cùng; Nguyên mẫu thứ hai được phát triển theo quy trình gấp bốn lần:
- System development Methodology: là một tập hợp các hoạt động được chính thức hóa, được chuẩn hóa, Đánh giá nguyên mẫu đầu tiên về mặt sức mạnh của nó, điểm yếu và rủi ro;Xác định các yêu cầu của
được sử dụng để quản lý một dự án phát triển hệ thống; Nó đề cập đến khung được sử dụng để cấu trúc, lập nguyên mẫu thứ hai; lên kế hoạch và thiết kế nguyên mẫu thứ hai; Xây dựng và thử nghiệm nguyên mẫu
kế hoạch và kiểm soát quá trình phát triển hệ thống thông tin thứ hai.
- Waterfall: Ưu điểm: Tăng cường phòng tránh rủi ro; Hữu ích trong việc giúp chọn phương pháp tốt nhất để theo
dõi để phát triển một lần lặp phần mềm nhất định dựa trên rủi ro dự án.; Có thể kết hợp các phương pháp
Waterfall, Prototyping và Incremental như các trường hợp đặc biệt.
- Information System: Hệ thống thông tin có thể được coi là sự sắp xếp của một số yếu tố cung cấp Nhược điểm: Những thách thức để xác định thành phần chính xác của các phương pháp phát triển sẽ sử
thông tin hiệu quả cho việc ra quyết định và / hoặc kiểm soát một số chức năng của một tổ chức. dụng cho mỗi lần lặp xung quanh Xoắn ốc Những thách thức để xác định thành phần chính xác của các
- Mục đích: Hệ thống thông tin giúp các nhà quản lý đưa ra quyết định hiệu quả để đạt được mục tiêu phương pháp phát triển sẽ sử dụng cho mỗi lần lặp xung quanh Xoắn ốc; Tùy biến cao cho từng dự án,
của tổ chức; Dựa trên hệ thống thông tin được thiết kế tốt, một tổ chức sẽ có được lợi thế trong môi và do đó khá phức tạp, hạn chế khả năng sử dụng lại.
trường cạnh tranh; Hệ thống thông tin giúp đưa ra quyết định đúng lúc, đúng thời điểm; Ý tưởng sáng - RAD
tạo để giải quyết các vấn đề quan trọng có thể xuất phát từ hệ thống thông tin tốt; Hệ thống thông tin Framework: lặp iterative
Framework type: tuyến tính
được xem như một quá trình, nó có thể được tích hợp để xây dựng chiến lược hành động hoặc hoạt Nguyên lý: đề cập đến một loại phương pháp phát triển phần mềm sử dụng lập kế hoạch tối thiểu theo
Nguyên lý: Dự án được chia thành các giai đoạn liên tiếp, với một số chồng chéo và chấp nhận được giữa
động hướng tạo mẫu nhanh.
các giai đoạn.; Tập trung vào kế hoạch, lịch trình thời gian, ngày đích, ngân sách và thực hiện toàn bộ hệ
- Thành phần của IS: Hardware, Software, Data, Procedure, People Main pharse: Mục tiêu chính là phát triển nhanh và cung cấp một hệ thống chất lượng cao với chi phí
thống cùng một lúc.; Kiểm soát chặt chẽ được duy trì trong suốt vòng đời của dự án thông qua việc sử dụng
tài liệu bằng văn bản rộng rãi, cũng như thông qua đánh giá chính thức và phê duyệt / đăng nhập của người đầu tư tương đối thấp; Nỗ lực giảm rủi ro dự án vốn có bằng cách chia dự án thành các phân khúc nhỏ
hơn và cung cấp dễ dàng thay đổi hơn trong quá trình phát triển; Nhằm mục đích tạo ra các hệ thống
 chất lượng cao một cách nhanh chóng, chủ yếu thông qua việc sử dụng Nguyên mẫu lặp (ở bất kỳ giai
đoạn phát triển nào), sự tham gia của người dùng tích cực và các công cụ phát triển được vi tính hóa;
Kiểm soát dự án liên quan đến việc ưu tiên phát triển và xác định thời hạn giao hàng hoặc thời gian giao
hàng. Trực tiếp Nếu dự án bắt đầu trượt, nhấn mạnh vào việc giảm các yêu cầu để phù hợp với thời gian,
không phải là tăng thời hạn.
Ưu điểm: phiên bản hoạt động của một ứng dụng có sẵn sớm hơn nhiều so với các khung hình
Waterfall, Incremental hoặc xoắn ốc.; Có thể đánh giá ban đầu nhanh chón; Giữ một mức độ cam kết
cao từ các bên liên quan, cả về kinh doanh và kỹ thuật, hơn là khung Thác nước, Tăng dần hoặc xoắn
ốc.; Cung cấp khả năng thay đổi nhanh chóng thiết kế hệ thống theo yêu cầu của người dùng
Nhược điểm: Tốc độ nhanh hơn và chi phí thấp hơn có thể dẫn đến chất lượng hệ thống tổng thể thấp
hơn.; Nguy cơ sai lệch hệ thống phát triển với doanh nghiệp do thiếu thông tin.; Tiềm năng vi phạm các
tiêu chuẩn lập trình liên quan đến các quy ước đặt tên không nhất quán và tài liệu không nhất quán.; Khó
khăn với việc tái sử dụng mô-đun cho các hệ thống trong tương lai.
- Agile model
Đặc trưng: Lặp đi lặp lại với các chu kỳ ngắn cho phép xác minh và sửa chữa nhanh;Chu kỳ lặp lại ràng
buộc thời gian;Độ chính ở cấp quy trình phát triển
Những người có định hướng;Phong cách làm việc hợp tác và giao tiếp;Phương pháp tiếp cận và hội tụ
tối thiểu hóa rủi ro và tạo điều kiện bổ sung chức năng.
Ưu điểm: Tăng cường tình thần làm việc nhóm và trao đổi công việc hiệu quả.;Các chức năng được xây
dựng nhanh chóng và rõ ràng, dế quản lý.;Dễ dàng bổ sung, thay đổi yêu cầu.;Quy tắc tối thiểu, tài liệu
dễ hiểu, dễ sử dụng.
Nhược điểm: Không thích hợp để xử lý các phụ thuộc phức tạp.;Có nhiều rủi ro về tính bền vững, khả
năng bảo trì và khả năng mở rộng.;Cần một team có kinh nghiệm.;Phụ thuộc rất nhiều vào sự tương tác
rõ ràng của khách hàng.;Chuyển giao công nghệ cho các thành viên mới trong nhóm có thể khá khó
khăn do thiếu tài liệu.
D. CONTROL AND AUDIT
- Kiểm soát được định nghĩa là: Chính sách, thủ tục, thực tiễn và cấu trúc doanh nghiệp được thiết kế để
đảm bảo hợp lý rằng các mục tiêu kinh doanh sẽ đạt được và các sự kiện không mong muốn được ngăn
chặn hoặc phát hiện và sửa chữa; Kiểm toán hệ thống thông tin bao gồm xem xét hệ thống đã triển khai
hoặc tư vấn và đánh giá độ tin cậy về hiệu quả hoạt động của các kiểm soát.
- Cần thiết của C&AIS: Công nghệ đã trở thành một thành phần quan trọng; Doanh nghiệp cần thông tin
toàn vẹn, độ tin cậy và tính hợp lệ để lưu chuyển thông tin chính xác kịp thời trong toàn tổ chức; Bảo vệ
tài sản để duy trì tính toàn vẹn dữ liệu để đạt được hiệu quả và hiệu quả của hệ thống là một quá trình
kiểm soát đáng kể.
- Kiểm toán hệ thống thông tin: là quá trình xác nhận các mục tiêu (những mục tiêu của kiểm toán viên
bên ngoài) tập trung vào tài sản bảo vệ và toàn vẹn dữ liệu và các mục tiêu quản lý (của các kiểm toán
viên nội bộ) không chỉ bao gồm các mục tiêu chứng thực mà còn cả các mục tiêu hiệu quả và hiệu quả.
- Ảnh hưởng của máy tính đến kiểm soát nội bộ
Cá nhân; phân chia nhiệm vụ; thủ tục ủy quyền; Lưu trữ hồ sơ; Truy cập tài sản và dữ liệu; quản lý giám
sát và kiểm tra; Tập trung các chương trình và dữ liệu
- Kiểm soát nội bộ:
Đánh giá rủi ro: Các yếu tố xác định và phân tích các rủi ro mà một tổ chức phải đối mặt và cách thức
quản lý rủi ro. Cả kiểm toán viên bên ngoài và bên trong đều quan tâm đến lỗi hoặc sự bất thường gây ra
tổn thất trọng yếu cho một tổ chức.
Kiểm soát hoạt động: Các yếu tố hoạt động để đảm bảo các giao dịch được ủy quyền, các nhiệm vụ
được tách biệt, các tài liệu và hồ sơ đầy đủ được duy trì, tài sản và hồ sơ được bảo vệ và kiểm tra độc lập
về hiệu suất và định giá số lượng dữ liệu đã đc ghi.
Thông tin và truyền thông: Các yếu tố, trong đó thông tin được xác định, nắm bắt và trao đổi một cách
kịp thời và phù hợp để cho phép nhân viên thực hiện trách nhiệm của mình
Giám sát: Các yếu tố đảm bảo kiểm soát nội bộ hoạt động đáng tin cậy theo thời gian
- Quá trình kiểm toán IS: Quá trình kiểm toán IS là để đánh giá sự đầy đủ của các kiểm soát nội bộ đối
với cả các chương trình máy tính cụ thể và môi trường xử lý dữ liệu nói chung.; Điều này bao gồm đánh
giá cả hiệu lực và hiệu quả. Trọng tâm (phạm vi và mục tiêu) của quy trình kiểm toán không chỉ là bảo
mật bao gồm tính bảo mật, tính toàn vẹn và tính sẵn có mà còn về tính hiệu quả (định hướng kết quả) và
hiệu quả (sử dụng tối ưu các nguồn lực)
- Kỹ năng của kiểm toán viên: Kiến thức vững chắc về hoạt động kinh doanh, thực tiễn và yêu cầu tuân
thủ,;Nên sở hữu trình độ chuyên môn và chứng chỉ kỹ thuật cần thiết,;Hiểu rõ về Rủi ro và Kiểm soát
thông tin,;Kiến thức về chiến lược, chính sách và kiểm soát thủ tục CNTT,;Khả năng hiểu các điều khiển
kỹ thuật và thủ công liên quan đến tính liên tục trong kinh doanh,;Kiến thức tốt về Tiêu chuẩn chuyên
nghiệp và thực tiễn tốt nhất về kiểm soát và bảo mật CNTT.
- Chức năng của kiểm toán viên: Bảo mật thông tin không đầy đủ (ví dụ: thiếu hoặc hết hạn kiểm soát
chống vi-rút, cổng máy tính mở, hệ thống mở mà không có mật khẩu hoặc mật khẩu yếu, v.v.); Sử dụng
không hiệu quả tài nguyên doanh nghiệp hoặc quản trị kém (ví dụ: chi tiêu lớn cho các dự án CNTT
không cần thiết như tài nguyên in, thiết bị lưu trữ, máy chủ công suất cao và máy trạm, v.v.);Các chiến
lược, chính sách và thực tiễn CNTT không hiệu quả (bao gồm thiếu chính sách sử dụng tài nguyên Công
nghệ thông tin và Truyền thông (CNTT), chính sách sử dụng Internet, Thực tiễn bảo mật, v.v.); Gian lận
liên quan đến CNTT (bao gồm lừa đảo, hack, v.v.).
- Các bước trong kiểm toán IS
Scoping: kiểm toán viên xác định khu vực chính của trọng tâm và bất kỳ khu vực nào nằm ngoài phạm
vi rõ ràng, thường dựa trên một số hình thức đánh giá dựa trên rủi ro.
Planing: trong đó phạm vi được chia thành các mức độ chi tiết cao hơn, thường liên quan đến việc tạo ra
một kế hoạch công việc kiểm toán hoặc ma trận điều khiển rủi ro.
Fieldwork: thu thập bằng chứng bằng cách phỏng vấn nhân viên và quản lý, xem xét tài liệu, bản in và
dữ liệu, quan sát các quy trình, v.v.
Analysis: Bước này liên quan đến việc phân loại một cách tuyệt vọng, xem xét và cố gắng hiểu ý nghĩa
của tất cả những bằng chứng thu thập được trước đó. Các kỹ thuật SWOT (Điểm mạnh, Điểm yếu, Cơ
hội, Xử lý) hoặc PEST (Chính trị, Kinh tế, Xã hội, Công nghệ) có thể được sử dụng để phân tích.
Report: Báo cáo cho quản lý được thực hiện sau khi phân tích dữ liệu thu thập và phân tích.
Closure: Kết thúc bao gồm chuẩn bị các ghi chú cho các cuộc kiểm toán trong tương lai và theo dõi
quản lý của Up để hoàn thành các hành động mà họ đã hứa sau các lần kiểm toán trước.
- Chuẩn Kiểm toán: ISACA (Information Systems Audit and Control Association) ; ISO 27001
(Information Security ManagementSpecification with Guidance for Use) ; IIA (The Institute of Internal
Auditors) ; ITIL (IT Infrastructure Library) Control objectives for Information related Technology
(COBIT)
- Mục tiêu của kiểm soát: Mục tiêu của kiểm soát là giảm hoặc nếu có thể loại bỏ các nguyên nhân của
việc tiếp xúc với tổn thất tiềm năng; Mục tiêu kiểm soát được định nghĩa là một tuyên bố về kết quả
hoặc mục đích mong muốn đạt được bằng cách thực hiện các quy trình kiểm soát trong quy trình hoặc
hoạt động CNTT cụ thể; 2 mục tiêu chính: Phác thảo các chính sách của tổ chức theo quy định của ban
quản lý; Một tiêu chuẩn để đánh giá liệu các mục tiêu kiểm soát có được đáp ứng hay không.
- Phân loại kiểm soát
Preventive Controls: là những đầu vào, được thiết kế để ngăn chặn lỗi, thiếu sót hoặc hành động độc
hại xảy ra. (VD:Sử dụng mật khẩu)
Detective Controls: Các điều khiển này được thiết kế để phát hiện lỗi, thiếu sót hoặc hành vi độc hại
xảy ra và báo cáo sự cố.
Corrective Controls: được thiết kế để giảm tác động hoặc sửa lỗi khi nó được phát hiện.
Compensatory: Các kiểm soát được thiết kế cơ bản để giảm xác suất của các mối đe dọa, có thể khai
thác các lỗ hổng của một tài sản và gây ra tổn thất cho tài sản đó
Enviroment: Các biện pháp kiểm soát liên quan đến tài nguyên CNTT nhà ở như điện, điều hòa không
khí, UPS, phát hiện khói, bình chữa cháy, máy hút ẩm, v.v.
Physical Access: Các kiểm soát liên quan đến bảo mật vật lý của tài nguyên IS hữu hình và tài nguyên
vô hình được lưu trữ trên phương tiện hữu hình, v.v. VD: hàng rào bảo vệ, bảo vệ cửa server, giám sát
video….
Logical Access: Các điều khiển liên quan đến truy cập logic vào tài nguyên thông tin như điều khiển hệ
điều hành, Điều khiển ranh giới phần mềm ứng dụng, điều khiển mạng, truy cập vào các đối tượng cơ sở
dữ liệu, điều khiển mã hóa, v.v.
IS Operational: Các kiểm soát liên quan đến hoạt động, quản trị và quản lý của IS như kiểm soát ngày
bắt đầu và kết thúc ngày, quản lý cơ sở hạ tầng IS, v.v.
IS Management: Các biện pháp kiểm soát liên quan đến quản lý, điều hành, chính sách, thủ tục, tiêu
chuẩn và hành vi của IS, giám sát hoạt động của IS, Ban chỉ đạo, v.v.
SDLC: Các kiểm soát liên quan đến lập kế hoạch, thiết kế, phát triển, thử nghiệm, triển khai và thực
hiện bài, quản lý thay đổi các thay đổi đối với ứng dụng và phần mềm khác.
Intermal Accounting: Các biện pháp kiểm soát nhằm bảo vệ tài sản của khách hàng và đảm bảo độ tin
cậy của hồ sơ tài chính;
Operational: Những thỏa thuận này với các hoạt động hàng ngày, chức năng và hoạt động để đảm bảo
rằng các hoạt động hoạt động đang đóng góp cho các mục tiêu kinh doanh.
Administrative: Chúng liên quan đến việc đảm bảo hiệu quả và tuân thủ các chính sách quản lý, bao
gồm các kiểm soát hoạt động
- Control Techniques
Organizational: gồm: Báo cáo trách nhiệm và quyền hạn của từng chức năng,; mỗi chức năng IS phải
được xác định rõ ràng và tài liệu, bao gồm các hệ thống phần mềm, lập trình ứng dụng và phát triển hệ
thống, quản trị cơ sở dữ liệu, và các hoạt động. Người quản lý cấp cao, của tất cả các nhóm này, và các
nhà quản lý của các nhóm cá nhân tạo nên nhóm quản lý IS chịu trách nhiệm về việc sử dụng hiệu quả
và hiệu quả của tài nguyên IS. Trách nhiệm của họ bao gồm: Cung cấp thông tin cho quản lý cấp cao
về tài nguyên IS, cho phép quản lý cấp cao để đáp các mục tiêu chiến lược.; Lập kế hoạch mở rộng tài
nguyên IS ;Kiểm soát việc sử dụng tài nguyên IS;Triển khai các hoạt động và chức năng hỗ trợ hoàn
thành kế hoạch chiến lược của công ty.
Định nghĩa về trách nhiệm và mục tiêu của từng chức năng,;Chính sách và thủ tục: Đây là những tiêu
chuẩn và hướng dẫn mà tất cả các nhân viên IS phải tuân theo khi hoàn thành nhiệm vụ được giao.
Chính sách thiết lập các quy tắc hoặc ranh giới của cơ quan ủy quyền cho các cá nhân trong doanh
nghiệp.; Mô tả công việc: Những truyền đạt kỳ vọng cụ thể của quản lý về hiệu suất công việc. Thủ tục
công việc thiết lập hướng dẫn về cách thực hiện công việc và chính sách xác định thẩm quyền của nhân
viên. Tất cả các công việc phải có một hiện tại, tài liệu mô tả công việc sẵn cho nhân viên. Mô tả công
việc thiết lập trách nhiệm và trách nhiệm của các hành động của nhân viên;Sự phân chia nhiệm vụ:
Đây là một kỹ thuật kiểm soát chung nhằm mục đích tách nhiệm vụ công việc mâu thuẫn, chủ yếu là để
ngăn cản gian lận, bởi vì tách nhiệm vụ làm cho thông đồng cần thiết để thực hiện một gian lận. Sự chia
tách như vậy cũng có thể buộc phải kiểm tra độ chính xác của một người làm việc khác, để nhân viên
đến một mức độ cảnh sát lẫn nhau.
Management Controls: Các điều khiển được thông qua bởi việc quản lý của một doanh nghiệp là để
đảm bảo rằng các hệ thống tin hoạt động chính xác và rằng họ đáp ứng các mục tiêu kinh doanh chiến
lược. Việc quản lý có trách nhiệm xác định xem các điều khiển mà hệ thống doanh nghiệp đã đưa ra là
đủ để đảm bảo rằng các hoạt động CNTT được kiểm soát đầy đủ. Phạm vi kiểm soát ở đây bao gồm
khung cao cấp IT chính sách, thủ tục và các tiêu chuẩn về một quan điểm toàn diện và trong việc thiết
lập một âm thanh điều khiển nội bộ khuôn khổ trong tổ chức. Các chính sách cấp cao thiết lập một
khuôn khổ mà trên đó các điều khiển cho hệ thống phân cấp thấp hơn của doanh nghiệp. Các điều khiển
dòng chảy từ đầu của một tổ chức xuống (tức là) trách nhiệm vẫn còn nằm với quản lý cấp cao. Các điều
khiển để xem xét khi xem xét các tổ chức và quản lý điều khiển trong một hệ thống IS bao gồm: Trách
nhiệm: chiến lược để có một nhân viên quản lý cấp cao chịu trách nhiệm về IS trong cơ cấu tổ chức tổng
thể. Một cấu trúc IT chính thức: nên có một cơ cấu tổ chức theo quy định với tất cả nhân viên được
thảo luận về vai trò và trách nhiệm của họ bằng cách viết xuống và mô tả công việc đã đồng ý. Ban chỉ
đạo CNTT: Ban chỉ đạo bao gồm các đại diện của người dùng từ tất cả các lĩnh vực của doanh nghiệp,
và nhân viên CNTT. Ủy ban sẽ chịu trách nhiệm về hướng tổng thể của CNTT. Ở đây trách nhiệm nằm
ngoài chỉ là kế toán và hệ thống tài chính, ví dụ, Hệ thống viễn thông (đường dây điện thoại, video-hội
nghị) tự động hóa văn phòng, và hệ thống sản xuất.
Finalcial Controls: Các điều khiển này thường được định nghĩa là các thủ tục thực hiện bởi nhân viên
người dùng hệ thống qua nguồn, hoặc giao dịch nguyên, tài liệu trước khi nhập hệ thống. Các khu vực
này tập thể dục kiểm soát giao dịch xử lý bằng cách sử dụng báo cáo được tạo ra bởi các ứng dụng máy
tính để phản ánh các mục không đăng, thay đổi tiền tệ, mục đếm và số lượng giao dịch để giải quyết các
giao dịch xử lý và sự hòa giải của các ứng dụng (hệ thống con) để tổng sổ cái. (Ủy quyền, Ngân sách,
Hủy tài liệu, Tài liệu, Điều khiển kép, Xác minh đầu vào/ đàu ra…)
Data Processing Enviroment: Các điều khiển này là phần cứng và phần mềm liên quan và bao gồm các
thủ tục thực hiện trong các khu vực môi trường IS. Các khu vực môi trường bao gồm lập trình phần
mềm hệ thống, lập trình trực tuyến, Hệ thống giao dịch trực tuyến, quản trị cơ sở dữ liệu, thư viện
phương tiện, kiểm soát thay đổi chương trình ứng dụng, Trung tâm dữ liệu và thư viện phương tiện.
Physical Access: Các điều khiển này là nhân sự; phần cứng và phần mềm liên quan và bao gồm các thủ
tục thực hiện truy cập bởi nhân viên/bên ngoài để tài nguyên CNTT. Các điều khiển liên quan đến việc
thiết lập các biện pháp kiểm soát truy cập và an ninh vật lý thích hợp cho các cơ sở CNTT, bao gồm việc
sử dụng các thiết bị thông tin ngoài trang web theo chính sách bảo mật chung.
Logical Access: Các điều khiển này là phần mềm liên quan và bao gồm các thủ tục thực hiện trong phần
mềm IS thông qua các điều khiển truy cập thông qua phần mềm hệ thống và phần mềm ứng dụng. Điều
khiển truy cập hợp lý được thực hiện để đảm bảo rằng truy cập vào hệ thống, dữ liệu và chương trình
được giới hạn cho người dùng có thẩm quyền để kiểm soát thông tin chống lại việc sử dụng trái phép,
tiết lộ hoặc sửa đổi, thiệt hại hoặc mất mát. Các yếu tố quan trọng được xem xét trong việc thiết kế các
kiểm soát truy cập logic bao gồm yêu cầu bảo mật và quyền riêng tư, ủy quyền, xác thực và kiểm soát
truy cập, Hồ sơ xác định người dùng và ủy quyền, xử lý sự cố, báo theo dõi, Phòng chống virus và phát
hiện, tường lửa, quản trị an ninh tập trung, đào tạo người dùng và các công cụ để giám sát việc tuân thủ,
kiểm tra xâm nhập và báo cáo.
SDLC: Đây là những chức năng và hoạt động thường được thực hiện bằng tay mà kiểm soát sự phát
triển của hệ thống ứng dụng, hoặc thông qua thiết kế trong nhà và lập trình hoặc mua gói. Yêu cầu kiểm
soát đầu tiên là các tiêu chuẩn phát triển hệ thống xác định các hoạt động nên xảy ra trong mỗi giai đoạn
vòng đời phát triển hệ thống (SDLC). Ví dụ, các tiêu chuẩn này xác định loại và số lượng thử nghiệm
cần được tiến hành. Các yếu tố thứ hai của điều khiển là tài liệu thủ tục giao tiếp như thế nào các hoạt
động trong mỗi giai đoạn nên được thực hiện. Các thủ tục này thiết lập các chức năng kiểm soát trong
mỗi giai đoạn.
Business Continuity (BCP): Các biện pháp kiểm soát này liên quan đến việc có kế hoạch liên tục hoạt
động và được kiểm tra CNTT, phù hợp với kế hoạch tổng quát về kinh doanh, và các yêu cầu kinh doanh
tương ứng để đảm bảo dịch vụ CNTT có sẵn theo yêu cầu và để đảm bảo một doanh nghiệp tối thiểu tác
động trong trường hợp có sự gián đoạn lớn. Các điều khiển bao gồm phân loại criticality, thủ tục thay
thế, sao lưu và phục hồi, có hệ thống và thường xuyên kiểm tra và đào tạo, giám sát và báo cáo quy
trình, trách nhiệm tổ chức nội bộ và bên ngoài, kinh doanh liên tục kích hoạt, kế hoạch dự phòng và nối
lại, các hoạt động quản lý rủi ro, đánh giá các điểm duy nhất của sự thất bại và quản lý vấn đề.
Application Control Techniques: Chúng bao gồm các thói quen chương trình trong mã ứng dụng. Mục
tiêu của điều khiển ứng dụng là đảm bảo rằng dữ liệu vẫn hoàn chỉnh, chính xác và hợp lệ trong quá
trình nhập, Cập Nhật và lưu trữ. Các điều khiển cụ thể có thể bao gồm thiết kế biểu mẫu, kiểm soát tài
liệu nguồn, đầu vào, xử lý và điều khiển đầu ra, nhận dạng phương tiện, chuyển động và quản lý thư
viện, sao lưu dữ liệu và phục hồi, xác thực và toàn vẹn, quyền sở hữu dữ liệu, dữ liệu chính sách quản
lý, mô hình dữ liệu và tiêu chuẩn đại diện dữ liệu, tích hợp và nhất quán trên các nền tảng, yêu cầu pháp
lý và quy định. Bất kỳ chức năng hoặc hoạt động nào hoạt động để đảm bảo độ chính xác xử lý của ứng
dụng có thể được coi là một kiểm soát ứng dụng.