Chương 5:

KIỂM SOÁT HỆ
THỐNG THÔNG
TIN KẾ TOÁN

AIS- 15TH MARSHALL B.ROMNEY ET AL,

2021 - CHAPTER 11,12,13
Mục tiêu

Hiểu các thủ tục kiểm soát cần thiết để đảm bảo an ninh cho hệ thống thông
tin của tổ chức

Hiểu các thủ tục kiểm soát cần thiết để đảm bảo bảo mật thông tin nhạy
cảm của doanh nghiệp

Đảm bảo bảo vệ tính riêng tư thông tin cá nhân của các bên có lợi ích liên
quan

Hiểu các thủ tục kiểm soát cần thiết để đảm bảo tính toàn vẹn của hệ
thống

Hiểu các thủ tục kiểm soát cần thiết để đảm bảo tính sẵn sàng, liên tục của
hệ thống
 Kiểm soát an ninh thông tin

Kiểm soát bảo mật thông tin

Nội dung
Kiểm soát quyền riêng tư

Kiểm soát tính toàn vẹn

Kiểm soát tính khả dụng

▪ Theo khuôn mẫu dịch vụ ủy
thác / dịch vụ đảm bảo (Trust
Services Framework), để hệ
thống đạt mục tiêu đáng tin
cậy, cần thực hiện các kiểm
soát liên quan đến:
– An ninh thông tin
– Bảo mật thông tin
– Bảo vệ quyền riêng tư
– Tính toàn vẹn
– Tính khả dụng
1. Kiểm soát an ninh thông tin

▪ Mục tiêu: kiểm soát và hạn chế việc truy cập (cả về mặt vật lý
lẫn logic) hệ thống và dữ liệu của hệ thống đối với người dùng
hợp pháp
▪ Một số nội dung quan trọng:
▪ Chu kỳ an ninh của hệ thống
▪ Hai nguyên tắc cơ bản để xây dựng kiểm soát an ninh thông tin
▪ Kiểm soát ngăn ngừa
▪ Kiểm soát phát hiện
1.1 Chu kỳ an ninh
1. Đánh giá rủi ro &
lựa chọn một phản ứng
rủi ro (giảm thiểu/
chấp nhận/ chia sẻ/ né
tránh)

4. Giám sát để đánh

giá sử hữu hiệu của 2. Phát triển & truyền
chương trình an ninh thông các chính sách
an ninh thông tin
thông tin

3. Mua & triển khai

các giải pháp an ninh
1.2 Hai nguyên tắc cơ bản để xây dựng kiểm soát an ninh thông tin
▪ Phòng thủ sâu (defense-in-depth):
– Sử dụng nhiều bước kiểm soát để tránh việc có duy nhất một điểm yếu (vd:
tường lửa, mật khẩu, mã bảo mật, và bảo mật sinh trắc học)
– Sử dụng kết hợp kiểm soát ngăn ngừa, kiểm soát phát hiện, và kiểm soát bù
đắp
▪ Mô hình an ninh dựa trên thời gian (time-based model)

P > D + C
Thời gian để phản
Thời gian để Thời gian
kẻ tấn công để phát ứng lại với cuộc
vượt qua các hiện một tấn công và thực
kiểm soát cuộc tấn hiện kiểm soát
ngăn ngừa của công đang sửa sai
DN diễn ra
 Con người
• Tạo ra văn hóa ý thức về an ninh
• Huấn luyện
1.3 Kiểm soát ngăn
ngừa Qui trình: Kiểm soát truy cập của người dùng

An ninh vật lý: Kiểm soát truy cập vật lý

Kiểm soát và quản lý sự thay đổi

 Kiểm soát xác thực (authentication controls)
• Xác thực là quá trình xác minh danh tính của cá nhân hoặc
1.3 Kiểm soát ngăn thiết bị đang cố truy cập vào hệ thống, nhằm đảm bảo chỉ
những người dùng hợp pháp mới có thể truy cập vào hệ thống
ngừa • 3 cách để xác minh danh tính cá nhân, vdu:
Kiểm soát • Sử dụng mật khẩu, mã PIN
• Sử dụng thẻ thông minh hoặc phù hiệu cá nhân
truy cập của
• Sử dụng định danh sinh trắc học
người dùng
Kiểm soát phân quyền (authoriztion controls)
• Phân quyền là quá trình hạn chế quyền truy cập của người
dùng được xác thực đối với các phần hành cụ thể của hệ thống
và hạn chế những thao tác mà họ được phép thực hiện
1.3 Kiểm soát ngăn ngừa
Kiểm soát truy
cập của người
dùng
▪ Kiểm soát phân quyền (authoriztion
controls)
• Ks phân quyền được triển
khai nhờ vào ma trận kiểm
soát truy cập
1.3 Kiểm soát ngăn ngừa
Kiểm soát truy
cập vật lý Nhiều cửa soát xét khi vào building, có nhân
viên bảo vệ hoặc nv tiếp tân, khách được
yêu cầu kí xác nhận và có nv hộ tống

Phòng giữ thiết bị máy tính

phải có khóa , có mã

Các tủ chứa hệ thống dây điện

phải được khóa

Giữ an toàn cho

máy tính xách tay,
đtdd, máy tính bảng
1.3 Kiểm soát ngăn ngừa
Kiểm soát thay đổi và quản lý việc thay đổi
▪ Là qui trình chính thức nhằm đảm bảo rằng các sửa đổi với phần cứng, phần mềm hoặc các qui
trình không làm giảm độ tin cậy của hệ thống
▪ Kiểm soát thay đổi và quản lý thay đổi được thiết kế tốt gồm những đặc tính sau:
– Tài liệu hóa tất cả những yêu cầu thay đổi, xác định bản chất của việc thay đổi, lý do thay đổi, ngày yêu cầu thay
đổi, và kết quả của yêu cầu thay đổi
– Tất cả những yêu cầu thay đổi sẽ được phê chuẩn bởi cấp độ quản lý phù hợp
– Kiểm tra thử tất cả những thay đổi trên một hệ thống riêng biệt
– Xây dựng, thực hiện và giám sát đầy đủ các hoạt động kiểm soát chuyển đổi
– Cập nhật tất cả tài liệu để phản ánh những thay đổi mới được triển khai
– Có qui trình đặc biệt để xem xét, phê duyệt và tài liệu hóa một cách kịp thời cho những thay đổi khẩn cấp
– Phát triển và tài liệu hóa các kế hoạch để tạo điều kiện hoàn nguyên (reverting) về cấu hình trước đó nếu việc
thay đổi tạo ra những sự cố không mong đợi.
– Giám sát và đánh giá một cách cẩn trọng quyền của người dùng trong suốt quá trình thay đổi nhằm đảm bảo duy
trì việc phân chia trách nhiệm một cách phù hợp
1.4 Kiểm soát phát hiện
 ▪ Mục tiêu kiểm soát: bảo vệ thông tin nhạy cảm của DN
không bị tiết lộ trái phép
▪ Thông tin nhạy cảm (các kế hoạch chiến lược, bí mật
thương mại, thông tin về giá cả, các tài liệu hợp pháp, và
những cải tiến qui trình) thường rất quan trọng đối với sự
thành công và lợi thế cạnh tranh dài hạn của DN.
2. Kiểm soát bảo
▪ Bốn hoạt động cơ bản để duy trì tính bảo mật của thông tin
mật thông tin nhạy cảm gồm:
– Xác định và phân loại thông tin được bảo mật
– Mã hóa
– Các thủ tục kiểm soát truy cập
– Huấn luyện nhân sự
2.1 Xác định và phân loại thông tin được bảo mật
▪ Xác định tài sản tri
thức & thông tin
nhạy cảm khác, xác 3. Các
2. Mã hóa thủ tục
định vị trí của kiểm soát
chúng và xác định 1. Xác định 4. Huấn
người được phép và phân loại
thông tin Bảo luyện
mật nhân sự
truy cập. được bảo mật
thông
▪ phân loại thông tin tin
theo giá trị của
thông tin đối với
DN
 2.2 Mã hóa
▪ Mã hóa là công cụ quan trong và hữu hiệu để đảm bảo
tính bảo mật
- Đối với thông tin được chuyển giao trên Internet: Mã hóa là cách duy nhất
- Đối với thông tin được lưu trữ trên web hoặc điện toán đám mây công
cộng (public cloud): mã hóa là một phần của việc phòng thủ sâu (defense-
in-depth).
▪ Mã hóa không phải
“thuốc chữa bách bệnh” 2. Mã hóa
3. Các
thủ tục
- Những thông tin không được kiểm soát
lưu trữ dưới dạng số thì
không thể mã hóa 1. Xác định 4. Huấn
và phân loại
- Mã hóa cần phải kết hợp với thông tin Bảo luyện
được bảo mật mật nhân sự
kiểm soát xác thực , và kiểm
soát truy cập vật lý thông
tin
 2.3 Các thủ tục kiểm soát truy cập
▪ Kiểm soát xác thực và phân quyền (kiểm soát truy cập của người dùng – kiểm
soát an ninh)
▪ Phần mềm quản trị quyền thông tin (IRM)
▪ Phần mềm ngăn chặn mất dữ liệu (DLP)
▪ Hạn chế tiếp cận với máy in, máy photo, máy fax, sử dụng thiết bị bảo vệ màn
hình cho laptop (screen protection devices)
▪ Những qui định đối với môi trường ảo hóa (virtualization) và điện toán đám
mây (cloud computing)
3. Các
2. Mã hóa thủ tục
kiểm soát

1. Xác định 4. Huấn

và phân loại
thông tin Bảo luyện
được bảo mật mật nhân sự
thông
tin
 2.4 Huấn luyện nhân sự
▪ Nhân viên cần biết thông tin nào được phép chia sẻ với bên
ngoài, thông tin nào cần được bảo vệ
▪ Nhân viên cần được hướng dẫn cách bảo vệ dữ liệu bí mật:
- cách sử dụng phần mềm mã hóa
- Luôn thoát ra khỏi các ứng dụng
sau khi sử dụng
- Sử dụng màn hình được bảo vệ
bằng mật khẩu (password- 3. Các
protected screen) để ngăn chặn 2. Mã hóa thủ tục
các truy cập trái phép của các kiểm soát
nhân viên khác
- Biết cách mã hóa các báo cáo để 1. Xác định 4. Huấn
và phân loại
phản ánh sự quan trọng của thông tin Bảo luyện
thông tin được bảo mật mật nhân sự
- Biết cách sử dụng đúng email, tin thông
nhắn chat, blogs tin
 3. Kiểm soát quyền riêng tư (trang 264)
• Mục tiêu kiểm soát: Bảo vệ thông tin cá nhân của khách hàng, nhân viên, nhà cung cấp &
các đối tác liên quan đến DN không bị tiết lộ trái phép.
• Thông tin các nhân của KH, NV, NCC & các đối tác liên quan đến DN được thu thập, sử
dụng, tiết lộ & lưu trữ chỉ tuân theo các chính sách nội bộ & các yêu cầu pháp lý bên ngoài
• Bảo mật thông tin và bảo vệ quyền riêng tư khác nhau như thế nào?

Bảo mật thông tin Bảo vệ quyền riêng tư

Bảo vệ dữ liệu của DN nói Bảo vệ thông tin cá nhân
chung của khách hàng, nhân
viên, nhà cung cấp và các
đối tác liên quan đến DN
 3. KIỂM SOÁT
QUYỀN RIÊNG - Kiểm soát xác thực và phân
quyền (kiểm soát truy cập của
TƯ người dùng)
- Chạy chương trình làm thay đổi
giá trị thực của dữ liệu (data
masking programs) nhằm mục
2. Mã hóa
3. Các thủ tục
kiểm soát đích bảo mật thông tin

1. Xác định và
phân loại 4. Huấn luyện
thông tin được nhân sự
bảo mật Bảo mật
quyền
riêng tư
https://vietnamnet.vn/vn/cong-nghe/media/toan-canh-khung-hoang-facebook-lam-lo-du-
lieu-nguoi-dung-440791.html
 Mục tiêu: đảm bảo hệ thống tạo ra thông
tin chính xác, đầy đủ, kịp thời và hợp lệ
4. Kiểm soát tính
toàn vẹn
Các thủ tục kiểm soát toàn vẹn bao gồm:

• - kiểm soát nhập liệu

• kiểm soát xử lý
• kiểm soát thông tin đầu ra
 Mục tiêu kiểm soát: đảm bảo dữ liệu chính xác,
đầy đủ và hợp lệ

Các nhóm thủ tục kiểm soát nhập liệu

4.1 Kiểm soát nhập
• Kiểm soát nguồn dữ liệu
liệu • Thiết kế mẫu chứng từ và các mẫu biểu nhập liệu
• Đối chiếu, kiểm tra chứng từ
• Xác nhận sau khi xử lý và lưu trữ chứng từ gốc
• Kiểm soát quá trình nhập liệu
• Kiểm soát nhập liệu đầu vào
• Kiểm soát nhập liệu theo lô
• Kiểm soát nhập liệu trực tuyến
 ▪ Kiểm tra kiểu dữ liệu (field check)
▪ Kiểm tra dấu (sign check)
▪ Kiểm tra giới hạn (limit check và range check)
4.1 Kiểm soát nhập ▪ Kiểm tra dung lượng vùng nhập liệu (size check)
liệu ▪ Kiểm tra tính đầy đủ
KIỂM SOÁT NHẬP ▪ Kiểm tra tính hợp lệ (validity check)

LIỆU ĐẦU VÀO ▪ Kiểm tra tính hợp lý (reasonableness test)

▪ Số kiểm tra (check digit) và xác nhận số kiểm tra (check digit
verification)
 ▪ Kiểm tra tuần tự (sequence check)
▪ Nhật ký nhập liệu (an error log)
4.1 Kiểm soát nhập ▪ Tổng lô
liệu - Tổng tài chính
KIỂM SOÁT NHẬP - Tổng hash
LIỆU THEO LÔ - Đếm mẫu tin
4.1 Kiểm soát nhập ▪ Prompting
liệu ▪ Closed-loop verification
KIỂM SOÁT NHẬP
▪ Nhật ký nghiệp vụ (transaction log)
LIỆU TRỰC
TUYẾN
 ▪ Mục tiêu: đảm bảo dữ liệu đươc xử lý chính xác
▪ Các thủ tục kiểm soát gồm:
– Kiểm tra sự phù hợp dữ liệu (data matching)
– Kiểm tra nhãn và thuộc tính tập tin dữ liệu (flie labels)
4.2 Kiểm soát xử lý – Kiểm tra tổng số lô sau khi xử lý (batch totals)
– Kiểm tra chéo (cross-footing test) và kiểm tra số dư bằng 0
(zero-balance test)
– Cơ chế chống ghi tập tin (write-protection mechanism)
– Kiểm soát cập nhật đồng thời (concurrent update control)
(trong trường hợp có nhiều hơn 1 người dùng cùng truy cập
đến dữ liệu)
 ▪ Mục tiêu: đảm bảo thông tin hệ thống cung cấp là
đáng tin cậy
▪ Các thủ tục kiểm soát gồm:
4.3 Kiểm soát – Người dùng đánh giá thông tin đầu ra
– Quy định các thủ tục và quy trình đối chiếu dữ liệu,
thông tin đầu ra thông tin
– Đối chiếu dữ liệu ngoài hệ thống
– Kiểm soát truyền tải dữ liệu
• Checksums
• Parity bits và parity checking
 ▪ Mục tiêu: đảm bảo hệ thống và thông tin
5. Kiểm soát tính khả có sẵn cho việc sử dụng khi cần
▪ Các thủ tục kiểm soát gồm:
dụng – Giảm thiểu rủi ro thời gian chết của
hệ thống
– Phục hồi và nối tiếp hoạt động bình
thường
– Kế hoạch phục hồi sau thảm họa và
tiếp tục kinh doanh
– Tác động của ảo hóa (virtualization)
và điện toán đám mây (cloud
computing)
5. KIỂM SOÁT
TÍNH KHẢ DỤNG
PHỤC HỒI & TIẾP
TỤC HOẠT ĐỘNG
BÌNH THƯỜNG
5. KIỂM SOÁT
TÍNH KHẢ DỤNG
PHỤC HỒI & TIẾP
TỤC HOẠT ĐỘNG
BÌNH THƯỜNG
5. KIỂM SOÁT
TÍNH KHẢ DỤNG
PHỤC HỒI &
TIẾP TỤC HOẠT
ĐỘNG BÌNH
THƯỜNG
 Thuật ngữ
STT Thuật ngữ Diễn giải
1 Access control matrix Ma trận kiểm soát truy cập
2 Authentication Xác thực
3 Backup Sao lưu
4 Batch totals Tổng lô
5 Business continuity plan Kế hoạch tiếp tục kinh doanh
6 Change control and change Kiểm soát thay đổi và quản lý việc thay đổi
management
7 Check digit Số kiểm tra
8 Check digit verification Xác nhận số kiểm tra
9 Checksum Kỹ thuật kiểm tra độ chính xác của dữ liệu
truyền tải thông qua thuật toán băm của tập
tin
10 Closed-loop verification Kiểm tra vòng lặp kín
 Thuật ngữ
STT Thuật ngữ Diễn giải
11 Compatibility test Kiểm tra sự tương thích giữa các kiểm soát
xác nhận và ma trận kiểm soát truy cập
12 Completeness check (or test) Kiểm tra tính đầy đủ
13 Concurrent update controls Kiểm tra cập nhật đồng thời
14 Cookies Cookies
15 Cross-footing balance test Kiểm tra chéo số dư
16 Data loss prevention (DLP) Phần mềm ngăn ngừa việc mất dữ liệu
17 Data masking Chương trình làm thay đổi giá trị thực của dữ
liệu
18 Defense-in-depth Nguyên tắc an ninh phòng thủ sâu
19 Differential backup Sao lưu lũy tiến
20 Digital watermark Mã đánh dấu
 Thuật ngữ
ST Thuật ngữ Diễn giải
T
21 Disaster recovery plan (DRP) Kế hoạch phục hồi sau thảm họa
22 Encryption Mã hóa
23 Fault tolerance Dung sai/ sức chịu đựng lỗi hệ thống
24 Field check Kiểm tra kiểu dữ liệu
25 Financial total Tổng tài chính
26 Hash total Tổng hash
27 Incremental backup Sao lưu từng phần
28 Information rights management Phần mềm quản trị quyền thông tin
(IRM)
29 Intrusion detection system (IDS) Hệ thống phát hiện thâm nhập
30 Limit check Kiểm tra giới hạn
 Thuật ngữ
STT Thuật ngữ Diễn giải
31 Log analysis Phân tích nhật ký
32 Multifactor authentication
33 Multimodal authentication
34 Parity bit Một bit được thêm vào dữ liệu truyền tải
nhằm kiểm tra sự chính xác
35 Parity checking Kiểm soát sự chính xác thông tin qua kỹ
thuật parity
36 Penetration test Kiểm tra sự xâm nhập
37 Prompting Nhắc nhập liệu
38 Range check Kiểm tra giới hạn
39 Reasonableness test Kiểm tra hợp lý
40 Record count Đếm mẫu tin
 Thuật ngữ
STT Thuật ngữ Diễn giải
41 Recovery point objective Mốc phục hồi dữ liệu
RPO
42 Recovery time objective RTO Mốc thời gian phục hồi
43 Sequence check Kiểm tra tuần tự
44 Sign check Kiểm tra dấu
45 Size check Kiểm tra dung lượng
46 Time-based model of security Nguyên tắc an ninh dựa trên thời gian
47 Turnaround document Chứng từ luân chuyển
48 Validity check Kiểm tra hợp lệ
49 Zero-balance test Kiểm tdra số dư bằng 0