1/10/21

Chương 5:
KIỂM SOÁT HỆ
THỐNG THÔNG
TIN KẾ TOÁN

Mục %êu
§  Hiểu các thủ tục kiểm soát cần thiết để đảm
bảo an ninh cho hệ thống thông %n của tổ
chức
§  Hiểu các thủ tục kiểm soát cần thiết để đảm
bảo bảo mật thông %n nhạy cảm của doanh
nghiệp
§  Đảm bảo bảo vệ Hnh riêng tư thông %n cá
nhân của các bên có lợi ích liên quan
§  Hiểu các thủ tục kiểm soát cần thiết để đảm
bảo Hnh toàn vẹn của hệ thống
§  Hiểu các thủ tục kiểm soát cần thiết để đảm
bảo Hnh sẵn sàng, liên tục của hệ thống 2

1
 1/10/21

Nội dung

1.  Kiểm soát an ninh thông %n

2.  Kiểm soát bảo mật thông %n
3.  Kiểm soát quyền riêng tư
4.  Kiểm soát Hnh toàn vẹn
5.  Kiểm soát Hnh khả dụng

§  Theo khuôn mẫu về niềm %n dịch vụ

(Trust Services Framework), để hệ thống
đạt mục %êu đáng %n cậy, cần thực hiện
các kiểm soát liên quan đến:
–  An ninh thông %n (nền tảng)
–  Bảo mật thông %n
–  Bảo vệ quyền riêng tư
–  Tính toàn vẹn
–  Tính khả dụng
4

2
 1/10/21

1. Kiểm soát an ninh thông %n

§  Mục %êu:

§  Một số nội dung quan trọng:

§  Chu kỳ an ninh của hệ thống (trang 230)
§  Hai nguyên tắc cơ bản để xây dựng kiểm soát
an ninh thông %n (trang 231)
§  Kiểm soát ngăn ngừa (trang 233)
§  Kiểm soát phát hiện (trang 247) 5

1.1 Chu kỳ an ninh

3
 1/10/21

1.2 Hai nguyên tắc cơ bản để xây dựng

kiểm soát an ninh thông %n
§  Phòng thủ sâu (defense-in-depth):

§  Mô hình an ninh dựa trên thời gian (%me-based model)
P > D + C

7

1.3 Kiểm soát ngăn ngừa

Con người
•  Tạo ra văn hóa ý thức về an ninh
•  Huấn luyện

Qui trình: Kiểm soát truy cập của người dùng

An ninh vật lý: Kiểm soát truy cập vật lý

Kiểm soát và quản lý sự thay đổi

8

4
 1/10/21

1.3 Kiểm soát ngăn ngừa

Kiểm soát truy cập của người dùng

§  Kiểm soát xác thực (authen%ca%on controls)

§  Kiểm soát phân quyền (authoriz%on controls)

1.3 Kiểm soát ngăn ngừa

Kiểm soát truy cập của người dùng

§  Kiểm soát phân quyền (authoriz%on controls)

•  Ks phân quyền được triển khai nhờ vào ma trận
kiểm soát truy cập

10

5
 1/10/21

1.3 Kiểm soát ngăn ngừa

Kiểm soát truy cập vật lý

Nhiều cửa soát xét khi vào building, có nhân viên

bảo vệ hoặc nv %ếp tân, khách được yêu cầu kí
xác nhận và có nv hộ tống

Phòng giữ thiết bị máy Hnh

phải có khóa , có mã

Các tủ chứa hệ thống dây

điện phải được khóa

Giữ an toàn cho

máy Hnh xách tay, 11
đtdd, máy Hnh
bảng

1.3 Kiểm soát ngăn ngừa

Kiểm soát thay đổi và quản lý việc thay đổi

§  Là qui trình chính thức nhằm đảm bảo rằng các sửa đổi với phần cứng,
phần mềm hoặc các qui trình không làm giảm độ %n cậy của hệ thống
§  Kiểm soát thay đổi và quản lý thay đổi được thiết kế tốt gồm những đặc
Hnh sau:
–  Tài liệu hóa tất cả những yêu cầu thay đổi, xác định bản chất của việc thay đổi, lý do
thay đổi, ngày yêu cầu thay đổi, và kết quả của yêu cầu thay đổi
–  Tất cả những yêu cầu thay đổi sẽ được phê chuẩn bởi cấp độ quản lý phù hợp
–  Kiểm tra thử tất cả những thay đổi trên một hệ thống riêng biệt
–  Xây dựng, thực hiện và giám sát đầy đủ các hoạt động kiểm soát chuyển đổi
–  Cập nhật tất cả tài liệu để phản ánh những thay đổi mới được triển khai
–  Có qui trình đặc biệt để xem xét, phê duyệt và tài liệu hóa một cách kịp thời cho
những thay đổi khẩn cấp
–  Phát triển và tài liệu hóa các kế hoạch để tạo điều kiện hoàn nguyên (rever%ng) về
cấu hình trước đó nếu việc thay đổi tạo ra những sự cố không mong đợi. 12
–  Giám sát và đánh giá một cách cẩn trọng quyền của người dùng trong suốt quá trình
thay đổi nhằm đảm bảo duy trì việc phân chia trách nhiệm một cách phù hợp

6
 1/10/21

1.4 Kiểm soát phát hiện

13

2. Kiểm soát bảo mật thông %n (tr.261)

§  Mục %êu kiểm soát:
§  Thông %n nhạy cảm

§  Bốn hoạt động cơ bản để duy trì Hnh bảo mật của thông %n
nhạy cảm gồm:
–  Xác định và phân loại thông %n được bảo mật
–  Mã hóa
–  Các thủ tục kiểm soát truy cập
–  Huấn luyện nhân sự
14




7
 1/10/21

2.1 Xác định và phân loại thông %n được bảo mật

3. Các
2. Mã hóa thủ tục
kiểm soát

1. Xác định và 4. Huấn

phân loại
thông tin
Bảo luyện
được bảo mật mật nhân sự
thông
tin

15

2.2 Mã hóa
§  Mã hóa là công cụ quan trong và hữu hiệu để đảm bảo
Hnh bảo mật
-  Đối với thông %n được chuyển giao trên Internet:
-  Đối với thông %n được lưu trữ trên web hoặc điện toán đám mây công
cộng (public cloud):

§  Mã hóa không phải

“thuốc chữa bách bệnh” 3. Các
2. Mã hóa thủ tục
kiểm soát

1. Xác định và 4. Huấn

phân loại
thông tin
Bảo luyện
được bảo mật mật nhân sự
thông
tin 16

8
 1/10/21

2.3 Các thủ tục kiểm soát truy cập

3. Các
2. Mã hóa thủ tục
kiểm soát

1. Xác định và 4. Huấn

phân loại
thông tin
Bảo luyện
được bảo mật mật nhân sự
thông
tin 17

2.4 Huấn luyện nhân sự

§  Nhân viên cần biết thông %n nào được phép chia sẻ với bên
ngoài, thông %n nào cần được bảo vệ
§  Nhân viên cần được hướng dẫn cách bảo vệ dữ liệu bí mật:

3. Các
2. Mã hóa thủ tục
kiểm soát

1. Xác định và 4. Huấn

phân loại
thông tin
Bảo luyện
được bảo mật mật nhân sự
thông
tin 18

9
 1/10/21

3. Kiểm soát quyền riêng tư (trang 264)

•  Mục %êu kiểm soát:

•  Thông %n các nhân của KH, NV, NCC & các đối tác liên quan đến
DN được thu thập, sử dụng, %ết lộ & lưu trữ

•  Bảo mật thông 3n và bảo vệ quyền riêng tư khác nhau như thế
nào?
Bảo mật thông 3n Bảo vệ quyền riêng tư

19

3. Kiểm soát quyền riêng tư

3. Các thủ
2. Mã hóa tục kiểm
soát

1. Xác định và 4. Huấn

phân loại thông tin luyện
được bảo mật Bảo mật nhân sự
quyền
riêng tư
20

10
 1/10/21

4. Kiểm soát Hnh toàn vẹn (trang 286)

§ Mục %êu:

§ Các thủ tục kiểm soát toàn vẹn bao gồm:

- kiểm soát nhập liệu
-  kiểm soát xử lý
-  kiểm soát thông %n đầu ra

21

4.1 Kiểm soát nhập liệu

§  Mục %êu kiểm soát:

§  Các nhóm thủ tục kiểm soát nhập liệu

–  Kiểm soát nguồn dữ liệu
•  Thiết kế mẫu chứng từ và các mẫu biểu nhập liệu
•  Đối chiếu, kiểm tra chứng từ
•  Xác nhận sau khi xử lý và lưu trữ chứng từ gốc
–  Kiểm soát quá trình nhập liệu
•  Kiểm soát nhập liệu đầu vào
•  Kiểm soát nhập liệu theo lô
•  Kiểm soát nhập liệu trực tuyến
22

11
 1/10/21

4.1 Kiểm soát nhập liệu

Kiểm soát nhập liệu đầu vào

§  Kiểm tra kiểu dữ liệu (field check)

§  Kiểm tra dấu (sign check)
§  Kiểm tra giới hạn (limit check và range check)
§  Kiểm tra dung lượng vùng nhập liệu (size check)
§  Kiểm tra Hnh đầy đủ
§  Kiểm tra Hnh hợp lệ (validity check)
§  Kiểm tra Hnh hợp lý (reasonableness test)
§  Số kiểm tra (check digit) và xác nhận số kiểm tra
(check digit verifica%on) 23

4.1 Kiểm soát nhập liệu

Kiểm soát nhập liệu theo lô

§  Kiểm tra tuần tự (sequence check)

§  Nhật ký nhập liệu (an error log)
§  Tổng lô
- Tổng tài chính

- Tổng hash
- Đếm mẫu %n

24

12
 1/10/21

4.1 Kiểm soát nhập liệu

Kiểm soát nhập liệu trực tuyến

§  Promp%ng
§  Closed-loop verifica%on
§  Nhật ký nghiệp vụ (transac%on log)

25

4.2 Kiểm soát xử lý

§  Mục %êu:
§  Các thủ tục kiểm soát gồm:
–  Kiểm tra sự phù hợp dữ liệu (data matching)
–  Kiểm tra nhãn và thuộc Hnh tập %n dữ liệu (flie labels)
–  Kiểm tra tổng số lô sau khi xử lý (batch totals)
–  Kiểm tra chéo (cross-foo%ng test) và kiểm tra số dư
bằng 0 (zero-balance test)
–  Cơ chế chống ghi tập %n (write-protec%on mechanism)
–  Kiểm soát cập nhật đồng thời (concurrent update
control) (trong trường hợp có nhiều hơn 1 người dùng
cùng truy cập đến dữ liệu) 26

13
 1/10/21

4.3 Kiểm soát thông %n đầu ra

§  Mục %êu:

§  Các thủ tục kiểm soát gồm:

–  Người dùng đánh giá thông %n đầu ra
–  Quy định các thủ tục và quy trình đối chiếu dữ
liệu, thông %n
–  Đối chiếu dữ liệu ngoài hệ thống
–  Kiểm soát truyền tải dữ liệu
•  Checksums
•  Parity bits và parity checking 27

5. Kiểm soát Hnh khả dụng (trang 293)

§ Mục %êu:

§ Các thủ tục kiểm soát gồm:

–  Giảm thiểu rủi ro thời gian chết của hệ thống
–  Phục hồi và nối %ếp hoạt động bình thường
–  Kế hoạch phục hồi sau thảm họa và %ếp tục
kinh doanh
–  Tác động của ảo hóa (virtualiza%on) và điện
toán đám mây (cloud compu%ng)
28

14
 1/10/21

5. Kiểm soát Hnh khả dụng

Phục hồi & %ếp tục hoạt động bình thường

29

5. Kiểm soát Hnh khả dụng

Phục hồi & %ếp tục hoạt động bình thường

30

15
 1/10/21

5. Kiểm soát Hnh khả dụng

Phục hồi & %ếp tục hoạt động bình thường

31

Thuật ngữ
STT Thuật ngữ Trang Diễn giải
1 Access control matrix 237 Ma trận kiểm soát truy cập
2 Authentication 235 Xác thực
3 Backup 294 Sao lưu
4 Batch totals 289 Tổng lô
5 Business continuity plan 297 Kế hoạch tiếp tục kinh doanh
6 Change control and change 246 Kiểm soát thay đổi và quản lý việc thay đổi
management
7 Check digit 288 Số kiểm tra
8 Check digit verification 288 Xác nhận số kiểm tra
9 Checksum 291 Kỹ thuật kiểm tra độ chính xác của dữ liệu
truyền tải thông qua thuật toán băm của tập tin
10 Closed-loop verification 289 Kiểm tra vòng lặp kín 32

16
 1/10/21

Thuật ngữ
STT Thuật ngữ Trang Diễn giải
11 Compatibility test 237 Kiểm tra sự tương thích giữa các kiểm soát
xác nhận và ma trận kiểm soát truy cập
12 Completeness check (or test) 288 Kiểm tra tính đầy đủ
13 Concurrent update controls 290 Kiểm tra cập nhật đồng thời
14 Cookies 267 Cookies
15 Cross-footing balance test Kiểm tra chéo số dư
16 Data loss prevention (DLP) 263 Phần mềm ngăn ngừa việc mất dữ liệu
17 Data masking 265 Chương trình làm thay đổi giá trị thực của dữ
liệu
18 Defense-in-depth 231 Nguyên tắc an ninh phòng thủ sâu
19 Differential backup 296 Sao lưu lũy tiến
20 Digital watermark 263 Mã đánh dấu 33

Thuật ngữ
STT Thuật ngữ Trang Diễn giải
21 Disaster recovery plan (DRP) 296 Kế hoạch phục hồi sau thảm họa
22 Encryption 269 Mã hóa
23 Fault tolerance 293 Dung sai/ sức chịu đựng lỗi hệ thống
24 Field check 288 Kiểm tra kiểu dữ liệu
25 Financial total 289 Tổng tài chính
26 Hash total 289 Tổng hash
27 Incremental backup 295 Sao lưu từng phần
28 Information rights management 262 Phần mềm quản trị quyền thông tin
(IRM)
29 Intrusion detection system (IDS) 248 Hệ thống phát hiện thâm nhập
30 Limit check 288 Kiểm tra giới hạn 34

17
 1/10/21

Thuật ngữ
STT Thuật ngữ Trang Diễn giải
31 Log analysis 247 Phân tích nhật ký
32 Multifactor authentication 235
33 Multimodal authentication 235
34 Parity bit 291 Một bit được thêm vào dữ liệu truyền tải
nhằm kiểm tra sự chính xác
35 Parity checking 291 Kiểm soát sự chính xác thông tin qua kỹ
thuật parity
36 Penetration test 248 Kiểm tra sự xâm nhập
37 Prompting 289 Nhắc nhập liệu
38 Range check 288 Kiểm tra giới hạn
39 Reasonableness test 288 Kiểm tra hợp lý
40 Record count 289 Đếm mẫu tin 35

Thuật ngữ
STT Thuật ngữ Trang Diễn giải
41 Recovery point objective 295 Mốc phục hồi dữ liệu
42 Recovery time objective 295 Mốc thời gian phục hồi
43 Sequence check 289 Kiểm tra tuần tự
44 Sign check 288 Kiểm tra dấu
45 Size check 288 Kiểm tra dung lượng
46 Time-based model of security 231 Nguyên tắc an ninh dựa trên thời gian
47 Turnaround document 288 Chứng từ luân chuyển
48 Validity check 288 Kiểm tra hợp lệ
49 Zero-balance test 290 Kiểm tdra số dư bằng 0
36

18