Môn: Hệ thống Thông tin Kế toán NHÓM 9

Lớp: VB2_Khóa 24.2 Mã HP: 23D2ACC50701401

Ngày nộp bài: 21/5/2023

Tên thành viên:

1. Phan Thị Thu Hạnh – MSSV: 33211020112 – STT: 12 100%

2. Nguyễn Thị Bích Phượng – MSSV: 33211025144 – STT: 43 100%
3. Vy Thúy Quỳnh – MSSV: 33211025184 – STT: 44 100%
4. Nguyễn Thị Mai Trâm – MSSV: 33211025551 – STT: 53 100%
5. Đàng Thị Mỹ Thanh – MSSV: 35211020090 – STT: 48 100%

BT 11.4

Rủi ro Kiểm soát ngăn ngừa
a/Laptop của một nhân Sử dụng bảo mật hai lớp
viên bị đánh cắp tại sân cho laptop có chứa các tài
bay. Trong laptop có chứa liệu quan trọng (một lớp bảo
các thông tin cá nhân của mật cho toàn bộ laptop và
khách hàng – nguy cơ bị một lớp bảo mật cho không
đánh cắp. gian lưu trữ thông tin khách
hàng)
b/Nhân viên kinh doanh có Sử dụng mật khẩu mạnh
thể truy cập vào hệ thống cho các tài khoản được
tiền lương của công ty phép truy cập vào hệ thống
nhờ đoán mật khẩu của tiền lương.
quản lý
Định kỳ yêu cầu thay đổi mật
khẩu các tài khoản có quyền
cao.
Phân chia quyền và trách
nhiệm của những người
được phép truy cập hệ
thống tiền lương
c/Một hacker có khả năng Sử dụng hai lớp bảo mật
truy cập vào tài khoản máy cho máy chủ (xác nhận qua
Kiểm soát phát hiện
Cài đặt cảnh báo đến máy
chủ khi phát hiện có người
đang cố gắng đăng nhập
vào hệ thống lưu trữ thông
tin khách hàng.
Cài đặt cảnh báo đến máy
chủ/ email của quản lý khi
có người cố gắng đăng
nhập vào hệ thống tiền
lương.
Lưu trữ lịch sử truy cập
của từng tài khoản được
phân quyền trong hệ thống
tiền lương (hành động,
thời gian truy cập,…)
Ghi nhận truy cập bất
thường (khác địa điểm)
Kiểm soát khắc phục
Khi mất laptop cần phải
khai báo thông tin tài
khoản trên laptop đó
ngay lập tức cho IT để
xóa khỏi hệ thống.
Kiểm tra & rà soát quy
trình bảo mật của công ty
đối với các tài khoản có
quyền hạn cao.
Có biện pháp chế tài đối
với các hành vi truy cập
trái phép.
Thay đổi mật khẩu và
thông tin tài khoản đã bị
chủ của IT manager OTP)
(thông tin tài khoản & mật
khẩu chính chủ) cùng lúc Định kỳ yêu cầu thay đổi mật
với IT manager cũng đang khẩu các tài khoản có quyền
truy cập tại nơi làm việc cao.
Không nên để quyền cao
nhất cho IT manager được
phép truy cập toàn bộ hệ
thống.
d/Một nhân viên nhận Cài đặt hai lớp bảo mật trên
được email từ phía sếp toàn bộ máy tính của nhân
của mình về một thông viên đối với laptop và các dữ
báo quy định cho người liệu quan trọng
mới đến – khi click vào
đường link truy cập, nhân Cài đặt mật khẩu khi cho
viên này đã cấp phép truy phép bên thứ 3 truy cập bàn
cập bàn phím cho một bên phím của laptop
thứ 3
Khi có thông báo mới, yêu
cầu người ra thông báo phải
thông báo trước trên các
kênh nội bộ, sau đó mới gửi
email đến toàn bộ nhân viên.
Nếu nhân vviên nhận được
bất kì email nào bất thường
cũng cần báo ngay với quản
lý và bộ phận IT.
Yêu cầu các đường link
được cấp phép mới được
truy cập (hạn chế hệ thống
mạng truy cập vào một số
đường link không có nguồn
gốc rõ ràng)
e/Một nhân viên đã thêm Hạn chế quyền đối với các
một đoạn code vào phần cá nhân không cần làm gì
thông qua email khác của
IT manager
Ghi nhận truy cập và IP
truy cập thông qua lịch sử
hệ thống (gửi qua email
khác/ không sử dụng cùng
đuôi email)
Cài đặt phần mềm phát
hiện và thông báo laptop
đang bị xâm nhập bởi bên
thứ 3
Thông báo đến email, sdt
và máy chủ cho thấy có sự
xâm nhập bất thường đối
với laptop
Định kỳ rà soát và kiểm tra
lộ.
Tái khởi động lại hệ
thống và đảm bảo các
quy trình kinh doanh
được bảo mật và chưa bị
truy cập trái phép.
Vô hiệu hóa quyền của
tài khoản trên laptop đã bị
xâm nhập. Rà soát hoặc
vô hiệu hóa toàn bộ email
đã nhận được nội dung
tương tự cũng như người
tạo ra nội dung đó.
Tạm thời khóa tất cả các
quyền của những người
không quá quan trọng và
lưu trữ dữ liệu doanh
nghiệp quan trọng ở phần
cứng
Rà soát hệ thống truy cập
(wifi, đường mạng) và
lịch sử truy cập của các
laptop
Ngay lập tức vô hiệu hóa
đoạn code hoặc toàn bộ
mua hàng trên website với hệ thống. Yêu cầu đối
của công ty – và đoạn với các tài khoản có quyền
code này có thể đe dọa và chỉnh sửa không được phép
gây ra sự rò rỉ dữ liệu chỉnh sửa và công bố bất kỳ
thông tin khách hàng khi điều gì khi chưa thông qua
khách hàng nhập vào các phần duyệt của cấp trên
thông tin mua hàng của
mình Định kỳ rà soát và kiểm tra
toàn bộ hệ thống.
Luôn yêu cầu bảo mật cao
nhất đối với thông tin dữ liệu
liên quan đến khách hàng.
f/Hệ thống thương mại Bảo mật nhiều lớp đối với
điện tử của một doanh các đối tượng muốn truy cập
nghiệp được liên kết giữa hệ thống backend
dữ liệu của cửa hàng
online với dữ liệu của kho Chỉ liên kết một phần đối với
hàng. Một khách hàng khi dữ liệu của cửa hàng đối với
thêm vào một đoạn code hàng tồn kho để tránh rò rỉ
SQL có thể truy cập vào toàn bộ dữ liệu
hệ thống back-end của dữ
liệu Lớp bảo mật với dữ liệu cửa
hàng khác với lớp bảo mật
dữ liệu của kho hàng
g/Kẻ tấn công xâm nhập Khi muốn lắp đặt hoặc gỡ bỏ
vào hệ thống thông tin của bất kì điều gì ở các cửa
công ty bằng cách truy cập hàng cần được phê duyệt
vào wifi tại một trong số bởi cấp trên cũng như thử
những cửa hàng của bán nghiệm đối với hệ thống
lẻ công ty. Hệ thống wifi thông tin.
này được yêu cầu và lắp
đặt bởi cửa hàng trưởng Đối với hệ thống wifi cần có
mà không thông báo với các lớp bảo mật (ví dụ hai
bộ phận IT cũng như bảo hệ thống wifi riêng biệt để
vệ HTTT. nhân viên truy cập và khách
hàng truy cập là khác nhau)
toàn bộ hệ thống.
Khi có sự chỉnh sửa trên
code cần có thông báo
trực tiếp đến các tài khoản
thẩm quyền
Gửi thông báo khi phát
hiện truy cập bất thường
(từ địa điểm, tài khoản
khác hoặc có hành vi bất
thường trên hệ thống).
Phần mềm theo dõi ngầm
các hành vi trên hệ thống.
Rà soát định kì trang thiết
bị của các cửa hàng.
Thông báo phát hiện khi
có một IP wifi khách truy
cập vào hệ thống cửa
hàng – hệ thống dữ liệu
công ty
hệ thống để rà soát và
kiểm tra lại toàn bộ quá
trình xem có rò rỉ thông
tin ở quá trình nào không
Ngay lập tức tạo gián
đoạn giữa liên kết của hai
kho dữ liệu này. Rà soát
các dữ liệu cũng như
hành vi trên hệ thống đã
được thực hiện.
Gỡ bỏ hệ thống truy cập
ngay lập tức. Rà soát
toàn bộ hệ thống thông
tin của cửa hàng đó –
cũng như các cửa hàng
lân cận khác.
Tạm dừng liên kết dữ liệu
kho đối với hệ thống tại
cửa hàng – hoặc tăng
cường bảo mật khi truy
cập vào dữ liệu thông tin

h/Một nhân viên nhặt
được một ổ USB tại khu
vực đỗ xe và ngay lập tức
cắm vào laptop để kiểm
tra xem có gì trong USB
này. Và điều này cài vào
một ứng dụng giúp kẻ
khác có khả năng truy cập
vào laptop
i/Khi phát hiện truy cập trái
phép vào website của
công ty, bộ phận xử lý sẽ
mất 30 phút để tìm ra
danh tính kẻ đang cố gắng
xâm nhập vào hệ thống
j/Để có thể làm việc tại
nhà, một nhân viên đã tự ý
Không cho phép sự liên kết
giữa hệ thống cửa hàng với
toàn bộ dữ liệu công ty (chỉ
cho phép liên kết trong
phạm vi hàng trong kho)
Dữ liệu kho chỉ đổ vào vào
dữ liệu cửa hàng – chẳng
hạn như có còn hàng hay
không chứ không được
phép truy cập chính xác số
lượng.
Không cắm bất kì ổ đĩa
không rõ nguồn gốc vào các
laptop có chứa dữ liệu công
ty.
Tạo bảo mật hai lớp đối với
mở laptop và mở khóa các
dữ liệu thông tin trong laptop
Yêu cầu thay đổi mật khẩu
định kì
Cài đặt bảo mật hai lớp khi
có người muốn truy cập vào
hệ thống website
Không cho phép tự ý lắp đặt
thêm thiết bị để truy cập vào
Thông báo phát hiện truy
cập bất thường
Định kì rà soát các laptop
được cấp phép truy cập
Cảnh báo rò rỉ thông tin dữ
liệu khi có phát hiện sử
dụng các ổ đĩa có nguồn
gốc không rõ ràng
Thông báo với người có
thẩm quyền phát hiện sự
truy cập trái phép đối với
website
Thông báo phát hiện có sự
truy cập của thiết bị lạ đối
của công ty
Vô hiệu hóa laptop và tài
khoản cũng như quyền
truy cập trên laptop đã bị
xâm nhập
Rà soát các hệ thống dữ
liệu để đảm bảo không
xuất hiện sự rò rỉ thông
tin nào
Cần có phương pháp xử
lý và tìm ra danh tính
nhanh hơn 30 phút hoặc
trong quá trình tìm ra
danh tích của kẻ tấn
công, cần vô hiệu hóa
ngay lập tức các quyền
truy cập
Rà soát các hành vi cũng
như tổn thất của hệ thống
Hủy kết nối thiết bị và vô
hiệu hóa quyền của thiết
cài đặt thiết bị modem tại
công ty, để có thể truy cập
từ xa. Và cũng chính thiết
bị modem này đã cho
phép một kẻ khác truy cấp
trái phép vào dữ liệu của
công ty
k/Một hacker đã cài đặt
một điểm truy cập không
dây tại khu vực thang máy
trong một tòa nhà lớn –
gồm 07 công ty bên trong
– điều này đã giúp hacker
truy cập được toàn bộ dữ
liệu thông tin của công ty
BT 12.1
1.e
2.l
3.b
4.c
5.f
6.q
7.h
8.j
9.m
BT 13.1
hệ thống công ty trái phép
Sử dụng bảo mật cao đối
với hệ thống và các dữ liệu
quan trọng
Kiểm tra rà soát số lượng
người đi ra và vào tại tòa
nhà, có camera giám sát tại
các khu vực có khả năng bị
lắp đặt các thiết bị thứ 3
Tạo khóa 02 lớp khi có thiết
bị thứ 3 muốn truy cập vào
hệ thống tòa nhà
Bảo mật riêng của từng hệ
thống thông tin trong tòa nhà
với hệ thống công ty bị
Định kì kiểm tra các trang Rà soát phần hệ thống
thiết bị thức tế so với dữ liệu quan trọng.
được cho phép tại công ty
Thông báo phát hiện có Gỡ bỏ & vô hiệu hóa thiết
thiết bị truy cập bị trái phép. Rà soát và
kiểm tra kĩ lưỡng ở toàn
Rà soát định kỳ các trang bộ các biện pháp
thiết bị tại tòa nhà (camera, thông báo phát
hiện thiết bị,…)
Kiểm tra và tăng cường
bảo mật ở hệ thống mỗi
công ty
10.n
11.s
12.k
13.r
14.d
15.p
16.o
17.a
1.r
2.i
3.n 11.m

4.f 12.l

5.t 13.o

6.u 14.p

7.c 15.v

8.h 16.q

9.e 17.d

18.s

19.w

10.j

BT 13.2

Employee Number Pay Rate Hours Worked Gross Pay Deductions Net Pay
468921 15.00 28 420.00 325.00 95.00
357942 16.50 50 825.00 205.00 205.00
816543 5.00 40 200.00 45.00 245.00
963248 57.60 40 2304.00 10.00 2294.00

Hash Total 2606654 94.1 158 3749 585 2839

Financial Total 3749.00 585.00 2839.00
Record Count 4

Field Check:

 Select Employee Number Data Set

Data Validation > Validation criteria allow “whole number” between 10,000 and 99,999 > Input Message
“Wrong Input Format” > Alert by STOP inputting
Limit Check & Range Check

 Select Pay Rate Data Set

Data Validation > Validation criteria allow “whole number” between 15 and 35 > Input Message “Wrong
Input” > Alert by STOP inputting

 Select Hours Worked Data Set

Data Validation > Validation criteria allow “whole number” less than or equal to 40 > Input Message
“Wrong Input” > Alert by STOP inputting
  Select Deductions Data Set

Reasonable Test

 Select Gross Pay Data Set

  Select Net Pay Data Set

Cross footing balance test: Câu này nhóm em không biết làm ạ
BT 13.3

Đường sắt Scorpion cung cấp các chuyến tàu chạy bằng động cơ diesel và hơi nước qua sa mạc Arizona.
Nó sở hữu 32 động cơ, mỗi động cơ có một số sê-ri duy nhất gồm 6 chữ số. In bên dưới là dữ liệu cho các
chuyến đi vào ngày 10 tháng 9. Mỗi chuyến đi kéo dài tối thiểu 1,5 giờ.

a. Xác định và mô tả lỗi trong dữ liệu.

Nhập dữ liệu cho ngày 09/10 và chỉ có 2 loại động cơ D và S và mỗi chuyến đi phải kéo dài ít nhất 1.5
giờ
Serial 624974 sai ngày (nhập ngày 09/01), sai thời gian (Return 10:23 trước thời gian xuất phát sau 10:25)
Serial 130856 sai loại động cơ (không có loại E)
Serial 442751 sai ngày (nhập ngày 09/11)
Serial 820451 Sai loại động cơ (không có DD)
Serial 003876 sai thời gian (10:30-15:45 => 15p, chuyến đi phải kéo dài ít nhất 1h30’)

b. Đối với mỗi trường trong số năm trường dữ liệu, hãy đề xuất một hoặc nhiều cách kiểm soát đầu
vào có thể được sử dụng để phát hiện lỗi đầu vào.

Kiểm soát nhập liệu

Serial 624974 sai ngày (nhập ngày 09/01), sai thời gian (Return 10:23 trước thời gian xuất phát sau 10:25)
=> Kiểm tra tính hợp lý xác định tính đúng đắn của mối quan hệ logic giữa hai mục dữ liệu. Giờ xuất phát
luôn bé hơn giờ trở về và kiểm tra dấu, trường ngày luôn luôn bằng 09/10

Serial 130856 sai loại động cơ (không có loại E) & Serial 820451 Sai loại động cơ (không có DD)
=> Kiểm tra tính hợp lệ so sánh mã động cơ với dữ liệu tương tự trong tệp chính để xác minh rằng mã
động cơ tồn tại.

Serial 442751 sai ngày (nhập ngày 09/11)

=> Kiểm tra dấu, trường ngày luôn luôn bằng 09/10
Serial 003876 sai thời gian (10:30-15:45 => 15p, chuyến đi phải kéo dài ít nhất 1h30’)
=> Kiểm tra giới hạn kiểm tra số giờ chuyến đi của mỗi số serial so với 1.5 giờ, số giờ phải lớn hơn hoặc
bằng số giờ tối thiểu.

c. Nhập dữ liệu vào bảng tính và tạo các biện pháp kiểm soát thích hợp để ngăn chặn hoặc ít nhất là phát
hiện các lỗi nhập liệu.

đ. Đề xuất các biện pháp kiểm soát khác để giảm thiểu rủi ro do lỗi đầu vào.
- Kiểm soát nhập liệu trực tuyến:
Prompting
Closed-loop verification (Kiểm tra vòng lặp kín)
Nhật ký nghiệp vụ (transaction log)
- Kiểm soát nhập liệu theo loại động cơ
Kiểm tra tuần tự (sequence check – cập nhật tuần tự theo thuộc tính khóa đã được sắp xếp)
Nhật ký nhập liệu (an error log)
Tổng
Tổng giờ
Tổng Serial/động cơ

BT 13.4
 Year Total
0 1 2 3 4 5
Purchase cost (initial) $100,000 $100,000
Annual fee $0 $0 $0 $0 $0 $0 $0
Training costs $0 $0 $0 $0 $0 $0 $0 $0
Savings due to efficiency $0 $0 $0 $0 $0 $0 $0 $0

Reduction in threat:
Impact $500,000
Current Risk 10.00%
Expected Loss $50,000
New Risk 4.0%
New Expected Loss $20,000
$30,000 annually $0 $30,000 $30,000 $30,000 $30,000 $30,000 $150,000
Benefit

Total cash outflows 100,000 $0 $0 $0 $0 $0 $100,000

Total benefits $0 $30,000 $30,000 $30,000 $30,000 $30,000 $150,000
Net benefits (100,000) $30,000 $30,000 $30,000 $30,000 $30,000 $50,000
Discount rate 10.00%
Discounted value (100,000) $27,273.00 $24,793.00 $22,539.00 $20,490.00 $18,628 $13,724
NPV $13,723.60
IRR 15.00%

 Annual fee cannot exceed 8% of purchase cost

 Training costs cannot exceed $12,000 in year 0 and $3,000 thereafter

 Annual savings due to efficiency can not exceed $5,000, but must be zero in year 0

 YES/NO option only in CELL C2

 Your Name in CELL C3 cannot exceed 30 characters total

 Cell B8 (annual fee) must not permit any alphabetic text

 Reduction in risk (cell B18) must range between 2% and 8%: chưa hiểu yêu cầu đề
 Lock speardsheet and just allow to edit some fields
BT 13.7

a. Ngay từ đầu công ty cần thực hiện lưu trữ dữ liệu theo cả hai cách nóng và lạnh cũng như lưu
trữ dự phòng ổ mềm hay đám mây để phòng ngừa ổ cứng bị hỏng.

b. Ngay từ đầu công ty cần thực hiện lưu trữ dữ liệu theo cả hai cách nóng và lạnh cũng như lưu
trữ dự phòng ổ mềm hay đám mây để phòng ngừa ổ cứng bị hỏng. Nhưng bệnh viện cần có sự lưu trữ
hồ sơ giấy mới phù hợp.

c. Kiểm tra giới hạn, kiểm tra hợp lý, kiểm tra hợp lệ.

d. Kiểm tra dấu.

e. Khởi động hệ thống tuân theo yêu cầu dữ liệu đầu vào, đầu ra căn cứ từ nhật ký giao dịch. Nhật
ký giao dịch có thể được dùng để khởi động và xây dựng lại tệp.

f. Kiểm tra tính đầy đủ.

g. Kiểm tra tính hợp lệ để xác định mã khách hàng là tồn tại.

h. Đặt cơ chế chống ghi đè để tránh trường hợp dữ liệu lưu trữ bị xoá do ghi chồng dữ liệu mới.
Yêu cầu có dữ liệu in.

i. Cắm cờ dự liệu đã xử lý.

j. Có hệ thống phát điện riêng và hệ thống năng lượng dự trữ phòng ngừa mất điện bất ngờ như
Pin hay Acquy với hệ vi xử lý luôn bảo đảm có điện cho máy tính trong khoản thời gian đủ để xử lý văn
kiện.

l. Kiểm tra trường dữ liệu bảo đảm chỉ chấp nhận số không chấp nhận chữ.

m. Sử dụng kiểm tra tổng số lô để kiểm soát sai sót chuyển vị, lập mã ID.

n. Kiểm soát đánh số thứ tự và kiểm soát theo cách của ngành an ninh đó là phòng riêng của bộ
phận xét duyệt tín dụng có khoá và phải được phân cấp xét duyệt mới được vào.

o. Kiểm tra vòng lập kín, kiểm tra hợp lý, kiểm tra hợp lệ để tránh lỗi nhập ngày tháng.

p. Xử lý theo tổng số lô theo tổng tài chính hay tổng hash để xác định sai sót do lỗi ghi nhầm.

BT 13.8

Các điểm yếu trong quy trình sao lưu của công ty kế toán nhỏ:

- Không thực hiện việc sao lưu theo cách sao lưu trình tự theo thời gian.

Hay

- Không thực hiện sao lưu theo cách sao lưu vi sai đó là sao lưu liên tục với giá trị ghi nhận mới
nhất và cuối cùng.

- Nếu thực hiện theo 1 trong hai cách sao lưu trên sẽ hạn chế dữ liệu bị mất khi có sự cố mất điện.

Và

- Phải thực hiện việc sao lưu rồi lưu trữ chúng ở hai nơi khác nhau như sao lưu vào ổ từ, vào ứng
dụng đám mây để có thể nhanh chóng phục hồi dữ liệu cũng như ngăn ngừa tình trạng hư ổ cứng làm
mất dữ liệu.
- Cuối cùng phải thiết kế hệ thống máy tính có chức năng sử dụng nguồn điện nội bộ như Pin hay
Acquy có tính năng đảm bảo dù cho nguồn điện từ nhà máy điện có mất điện đột ngột cũng đảm bảo hệ
thống máy tính không sập nguồn vì đã có hệ thống điện dự phòng sự cố.

BT 13.9

a.

b.

c.
d.

e.

g.
i.

ii.
Kết luận:

- Tất cả các quy tắc xác thực dữ liệu Excel, được tích hợp sẵn và tùy chỉnh, chỉ xác minh dữ liệu
mới được nhập vào một ô sau khi tạo quy tắc.

- Dữ liệu được sao chép không được xác thực, cũng không phải là dữ liệu đầu vào trong ô trước
khi thực hiện quy tắc.

- Để ghim các mục nhập hiện có không đáp ứng tiêu chí xác thực dữ liệu, sử dụng tính năng Circle
Invalid Data bên dưới mục Data Validation để tìm dữ liệu không hợp lệ đã lọt vào trang tính trước khi
thêm xác thực dữ liệu.