Scribd Logo
Upload

Welcome to Scribd!

  • Chương 5 Note

    Uploaded by

    Hân Hân
    63 views12 pages

    Original Title

    chương 5 note

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    63 views12 pages

    Chương 5 Note

    Uploaded by

    Hân Hân

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 12

    Chương 5: KIỂM SOÁT HỆ THỐNG THÔNG

    TIN KẾ TOÁN


    Nội dung
    1. Kiểm soát an ninh thông tin
    2. Kiểm soát bảo mật thông tin
    3. Kiểm soát quyền riêng tư
    4. Kiểm soát tính toàn vẹn
    5. Kiểm soát tính khả dụng
    Theo khuôn mẫu về niềm tin dịch vụ (Trust Services Framework), để hệ thống đạt mục tiêu đáng
    tin cậy, cần thực hiện các kiểm soát liên quan đến:
    – An ninh thông tin (nền tảng) móng nền tảng, người phù hợp ms đc truy cập vào thông tin khung
    sườn
    – Bảo mật thông tin
    – Bảo vệ quyền riêng tư
    – Tính toàn vẹn
    – Tính khả dụng
    1. Kiểm soát an ninh thông tin

     Chu kỳ an ninh của hệ thống (trang 230)


     Hai nguyên tắc cơ bản để xây dựng kiểm soát an ninh thông tin (trang 231)
     Kiểm soát ngăn ngừa (trang 233)
     Kiểm soát phát hiện (trang 247)

    1.1 Chu kỳ an ninh

    giống quy trình quản lí rủi ro

    1.2 Hai nguyên tắc cơ bản để xây dựng kiểm soát an ninh thông tin
    mô hình giải thích mối tương quan giữa ngăn ngừa, phát hiện, bù đắp có phù hợp hay k

    1.3 Kiểm soát ngăn ngừa

    1.Con người
    • Tạo ra văn hóa ý thức về an ninh
    • Huấn luyện
    thủ tục kiểm soát do nhà quản lí đề ra, nhân viên thực hiện
    => thủ tục kiểm soát liên quan đến yếu tố con người

    2.Qui trình: Kiểm soát truy cập của người dùng (chính)
    § Kiểm soát xác thực (authentication controls)
    giúp xác minh ai là người dùng hợp pháp được đi vào dn

    § Kiểm soát phân quyền (authoriztion controls)


    ai được quyền tiếp cận với cơ sở dữ liệu nào
    được quyền xem/ sửa/ xoá ... không?
    Nếu sai dùng bút toán đảo để chỉnh sửa

    3. An ninh vật lý: Kiểm soát truy cập vật lý

    yếu kém: vpp để dưới gầm rủi rui


    rr: mất 3 tr
    thủ tục: làm cửa ở gầm cầu thang có khoá
    hạn chế người dùng, ai đc vô, ai k được vô

    4.Kiểm soát và quản lý sự thay đổi

    § Là qui trình chính thức nhằm đảm bảo rằng các sửa đổi với phần cứng, phần mềm hoặc các qui
    trình không làm giảm độ tin cậy của hệ thống
    § Kiểm soát thay đổi và quản lý thay đổi được thiết kế tốt gồm những đặc Hnh sau:
    –  Tài liệu hóa tất cả những yêu cầu thay đổi, xác định bản chất của việc thay đổi, lý do thay đổi,
    ngày yêu cầu thay đổi, và kết quả của yêu cầu thay đổi
    –  Tất cả những yêu cầu thay đổi sẽ được phê chuẩn bởi cấp độ quản lý phù hợp
    –  Kiểm tra thử tất cả những thay đổi trên một hệ thống riêng biệt
    –  Xây dựng, thực hiện và giám sát đầy đủ các hoạt động kiểm soát chuyển đổi
    –  Cập nhật tất cả tài liệu để phản ánh những thay đổi mới được triển khai
    –  Có qui trình đặc biệt để xem xét, phê duyệt và tài liệu hóa một cách kịp thời cho những thay đổi
    khẩn cấp
    –  Phát triển và tài liệu hóa các kế hoạch để tạo điều kiện hoàn nguyên về cấu hình trước đó nếu việc
    thay đổi tạo ra những sự cố không mong đợi.
    –  Giám sát và đánh giá một cách cẩn trọng quyền của người dùng trong suốt quá trình thay đổi
    nhằm đảm bảo duy trì việc phân chia trách nhiệm một cách phù hợp
    1.4 Kiểm soát phát hiện
    luôn luôn hoạt động

    2. Kiểm soát bảo mật thông tin

    2.1 Xác định và phân loại thông tin được bảo mật

    phải biết nơi lưu trữ và người quản lí nó.


    phân loại theo mức độ nhạy cảm của thông tin
    2.2 Mã hóa
    § Mã hóa là công cụ quan trong và hữu hiệu để đảm bảo Hnh bảo mật
    - Đối với thông tin được chuyển giao trên Internet:
    - Đối với thông tin được lưu trữ trên web hoặc điện toán đám mây công cộng (public cloud): là một
    phần của phòng thủ sâu

    § Mã hóa không phải “thuốc chữa bách bệnh”


    -Những thông tin không được lưu trữ dưới dạng DIGITAL thì không thể mã hoá (k phải digital thì
    không thể mã hoá)
    -Mã hoá cần phải kết hợp với kiểm soát xác thực và kiểm soát truy cập vật lý.
    2.3 Các thủ tục kiểm soát truy cập

    tài liệu sau khi huỷ đều là tài sản của doanh nghiệp => cần hạn chế tiếp cận

    2.4 Huấn luyện nhân sự


    chế tài

    3. Kiểm soát quyền riêng tư

    4. Kiểm soát tính toàn vẹn (trang 286)


    § Mục tiêu: đảm bảo hệ thống tạo ra thông tin chính xác, đầy đủ, kịp thời và hợp lệ
    § Các thủ tục kiểm soát toàn vẹn bao gồm: đầu ra muuốn đạt được nv thì đầu vào cũng phải nv.
    - kiểm soát nhập liệu
    - kiểm soát xử lý
    - kiểm soát thông tin đầu ra
    4.1 Kiểm soát nhập liệu
    § Các nhóm thủ tục kiểm soát nhập liệu
    – Kiểm soát nguồn dữ liệu
    • Thiết kế mẫu chứng từ và các mẫu biểu nhập liệu
    • Đối chiếu, kiểm tra chứng từ
    • Xác nhận sau khi xử lý và lưu trữ chứng từ gốc
    • uỷ quyền phân chia trách nhiệm
    – Kiểm soát quá trình nhập liệu
    • Kiểm soát nhập liệu đầu vào
    • Kiểm soát nhập liệu theo lô
    • Kiểm soát nhập liệu trực tuyến

    1. Kiểm soát nhập liệu đầu vào

    ngày 2 số, tháng 2 số, năm 4 số


    số lượng hàng k được là số âm
    mỗi lần xuất bán k được xuất quá 100 đv hàng và phải lớn hơn 10 ( range check) , giới hạn 1 đầu
    (limit check)
    1 => kiểm soát giới hạn
    3 => kiểm soát tính hợp lệ
    5 => thiếu mã số thuế => tính đầy đủ
    6 => ngày hoá đơn bán hàng k phù hợp => tính hợp lý
    dữ liệu - sai sót - đề xuất thủ tục kiểm soát
    bài tập về nhà

    2. Kiểm soát nhập liệu theo lô


    § Kiểm tra tuần tự (sequence check)
    § Nhật ký nhập liệu (an error log)
    § Tổng lô
    - Tổng tài chính: số tổng có ý nghĩa
    - Tổng hash
    - Đếm mẫu tin : đếm số lượng nv lq đến kì lương

    3. Kiểm soát nhập liệu trực tuyến


    § Prompting
    § Closed-loop verification
    § Nhật ký nghiệp vụ (transaction log)
    thuộc tín khoá: thuộc tín duy nhất
    closed-loop sẽ không áp dụng cho thuộc tính khoá ( mã số KH)
    thuộc tín miêu tả: tên,đại diện, ms thuế, địa chỉ, mã kho, đơn giá,...

    4.2 Kiểm soát xử lý


    § Các thủ tục kiểm soát gồm:
    – Kiểm tra sự phù hợp dữ liệu (data matching)
    – Kiểm tra nhãn và thuộc Hnh tập tin dữ liệu (flie labels) đặt tên tập tin đễ đọc, hiểu
    – Kiểm tra tổng số lô sau khi xử lý (batch totals)
    – Kiểm tra chéo (cross-footing test) và kiểm tra số dư bằng 0 (zero-balance test)
    – Cơ chế chống ghi tập tin (write-protection mechanism)
    – Kiểm soát cập nhật đồng thời (concurrent update control) (trong trường hợp có nhiều hơn 1 người
    dùng cùng truy cập đến dữ liệu) tránh việc 2 nv nhận đơn hàng của X,Y cùng lúc dẫn tới không có đủ
    hàng giao

    4.3 Kiểm soát thông tin đầu ra


    § Các thủ tục kiểm soát gồm:
    –  Người dùng đánh giá thông tin đầu ra
    –  Quy định các thủ tục và quy trình đối chiếu dữ liệu, thông tin
    –  Đối chiếu dữ liệu ngoài hệ thống
    –  Kiểm soát truyền tải dữ liệu

    5. Kiểm soát tính khả dụng (trang 293)


    § Mục tiêu: đảm bảo hệ thống và thông tin có sẵn cho việc sử dụng khi cần (going concern)
    § Các thủ tục kiểm soát gồm:
    – Giảm thiểu rủi ro thời gian chết của hệ thống
    – Phục hồi và nối tiếp hoạt động bình thường => sao lưu dữ liệu
    – Kế hoạch phục hồi sau thảm họa và tiếp tục kinh doanh
    – Tác động của ảo hóa (virtualiza%on) và điện toán đám mây (cloud compu%ng)
    gross pay sai => kt tính hợp lý/ footing

    12.3

    You might also like