17/07/2023

Chương 5

KIỂM SOÁT
HỆ THỐNG THÔNG TIN
KẾ TOÁN

MỤC TIÊU
• Hiểu các thủ tục kiểm soát cần thiết để đảm bảo an ninh cho hệ
thống thông tin của tổ chức
• Hiểu các thủ tục kiểm soát cần thiết để đảm bảo bảo mật thông
tin nhạy cảm của doanh nghiệp
• Đảm bảo bảo vệ tính riêng tư thông tin cá nhân của các bên có
lợi ích liên quan
• Hiểu các thủ tục kiểm soát cần thiết để đảm bảo tính toàn vẹn
của hệ thống
• Hiểu các thủ tục kiểm soát cần thiết để đảm bảo tính sẵn sàng,
liên tục của hệ thống
2

1
 17/07/2023

NỘI DUNG

01 Kiểm soát an ninh thông tin

02 Kiểm soát bảo mật thông tin

03 Kiểm soát quyền riêng tư

04 Kiểm soát tính toàn vẹn

05 Kiểm soát tính khả dụng

KIỂM SOÁT AN NINH THÔNG TIN

Mục tiêu: kiểm soát và hạn chế việc truy cập (cả về mặt vật lý lẫn logic) hệ
thống và dữ liệu của hệ thống đối với người dùng hợp pháp.
Một số nội dung quan trọng:
• Chu kỳ an ninh của hệ thống
• Hai nguyên tắc cơ bản để xây dựng kiểm soát an ninh thông tin
• Kiểm soát ngăn ngừa
• Kiểm soát phát hiện

2
 17/07/2023

CHU KÌ AN NINH
1. Đánh giá rủi ro & lựa
chọn một phản ứng rủi
ro (giảm thiểu/ chấp
nhận/ chia sẻ/ né tránh)

4. Giám sát để đánh giá 2. Phát triển & truyền

sử hữu hiệu của chương thông các chính sách
trình an ninh thông tin an ninh thông tin

3. Mua & triển khai các

giải pháp an ninh

HAI NGUYÊN TẮC CƠ BẢN ĐỂ XÂY DỰNG KIỂM SOÁT

AN NINH THÔNG TIN

Phòng thủ sâu (defense-in-depth):

– Sử dụng nhiều bước kiểm soát để tránh việc có duy nhất một điểm
yếu (vd: tường lửa, mật khẩu, mã bảo mật, và bảo mật sinh trắc học)
– Sử dụng kết hợp kiểm soát ngăn ngừa, kiểm soát phát hiện, và kiểm
soát bù đắp
Mô hình an ninh dựa trên thời gian (time-based model)
P >
D C
Thời gian để Thời gian để + Thời gian để
phản ứng lại với
kẻ tấn công phát hiện
vượt qua các một cuộc tấn cuộc tấn công và
kiểm soát công đang thực hiện kiểm
ngăn ngừa diễn ra soát sửa sai
của DN

3
 17/07/2023

KIỂM SOÁT NGĂN NGỪA

Con người
• Tạo ra văn hóa ý thức về an ninh
• Huấn luyện

Qui trình: Kiểm soát truy cập của người dùng

An ninh vật lý: Kiểm soát truy cập vật lý

Kiểm soát và quản lý sự thay đổi

KIỂM SOÁT NGĂN NGỪA

Kiểm soát truy cập của người dùng

1. Kiểm soát xác thực (authentication controls)

2. Kiểm soát phân quyền (authorization controls)

4
 17/07/2023

KIỂM SOÁT NGĂN NGỪA

Kiểm soát truy cập của người dùng
 Kiểm soát xác thực (authentication controls)
• Xác thực là quá trình xác minh danh tính của cá nhân hoặc thiết bị đang
cố truy cập vào hệ thống, nhằm đảm bảo chỉ những người dùng hợp pháp
mới có thể truy cập vào hệ thống
• 3 cách để xác minh danh tính cá nhân, vdu:
– Sử dụng mật khẩu, mã PIN
– Sử dụng thẻ thông minh hoặc phù hiệu cá nhân
– Sử dụng định danh sinh trắc học
• Khi áp dụng nguyên tắc phòng thủ sâu cho các kiểm soát xác thực, có 2
nhóm kiểm soát xác thực
– Xác thực đa nhân tố (multifactor authentication): kết hợp nhiều cách xác thực
khác nhau
– Xác thực đa cách thức (multmodel authentication): sử dụng nhiều kiểm soát
xác thực của cùng 1 cách

KIỂM SOÁT NGĂN NGỪA

Kiểm soát truy cập của người dùng

 Kiểm soát phân quyền (authoriztion controls)

• Phân quyền là quá trình hạn chế quyền truy cập của người dùng được xác
thực đối với các phần hành cụ thể của hệ thống và hạn chế những thao tác
mà họ được phép thực hiện
 Kiểm soát phân quyền (authoriztion controls)
• Ks phân quyền được triển khai nhờ vào ma trận kiểm soát truy cập

5
 17/07/2023

KIỂM SOÁT NGĂN NGỪA

Kiểm soát truy cập vật lý

Nhiều cửa soát xét khi vào building, có nhân viên

bảo vệ hoặc nv tiếp tân, khách được yêu cầu kí xác
nhận và có nv hộ tống

Phòng giữ thiết bị máy tính

phải có khóa , có mã

Các tủ chứa hệ thống dây

điện phải được khóa

Giữ an toàn cho

máy tính xách tay,
đtdd, máy tính
bảng

KIỂM SOÁT NGĂN NGỪA

Kiểm soát truy cập thay đổi & quản lí việc thay đổi
 Là qui trình chính thức nhằm đảm bảo rằng các sửa đổi với phần cứng, phần mềm hoặc các
qui trình không làm giảm độ tin cậy của hệ thống
 Kiểm soát thay đổi và quản lý thay đổi được thiết kế tốt gồm những đặc tính sau:
– Tài liệu hóa tất cả những yêu cầu thay đổi, xác định bản chất của việc thay đổi, lý do thay đổi, ngày yêu
cầu thay đổi, và kết quả của yêu cầu thay đổi
– Tất cả những yêu cầu thay đổi sẽ được phê chuẩn bởi cấp độ quản lý phù hợp
– Kiểm tra thử tất cả những thay đổi trên một hệ thống riêng biệt
– Xây dựng, thực hiện và giám sát đầy đủ các hoạt động kiểm soát chuyển đổi
– Cập nhật tất cả tài liệu để phản ánh những thay đổi mới được triển khai
– Có qui trình đặc biệt để xem xét, phê duyệt và tài liệu hóa một cách kịp thời cho những thay đổi khẩn cấp
– Phát triển và tài liệu hóa các kế hoạch để tạo điều kiện hoàn nguyên (reverting) về cấu hình trước đó nếu
việc thay đổi tạo ra những sự cố không mong đợi.
– Giám sát và đánh giá một cách cẩn trọng quyền của người dùng trong suốt quá trình thay đổi nhằm đảm
bảo duy trì việc phân chia trách nhiệm một cách phù hợp

6
 17/07/2023

KIỂM SOÁT PHÁT HIỆN

KIỂM SOÁT BẢO MẬT THÔNG TIN

Mục tiêu kiểm soát: bảo vệ thông tin nhạy cảm của DN không bị tiết lộ trái
phép
Thông tin nhạy cảm (các kế hoạch chiến lược, bí mật thương mại, thông
tin về giá cả, các tài liệu hợp pháp, và những cải tiến qui trình) thường rất
quan trọng đối với sự thành công và lợi thế cạnh tranh dài hạn của DN.
Bốn hoạt động cơ bản để duy trì tính bảo mật của thông tin nhạy cảm
gồm:
– Xác định và phân loại thông tin được bảo mật
– Mã hóa
– Các thủ tục kiểm soát truy cập
– Huấn luyện nhân sự

7
 17/07/2023

XÁC ĐỊNH & PHÂN LOẠI THÔNG TIN

ĐƯỢC BẢO MẬT

 Xác định tài sản tri 3. Các thủ

thức & thông tin nhạy 2. Mã hóa tục kiểm
cảm khác, xác định vị soát
trí của chúng và xác 1. Xác định
định người được và phân loại 4. Huấn
phép truy cập. thông tin luyện
được bảo nhân sự
 Phân loại thông tin mật Bảo mật
theo giá trị của thông
thông tin
tin đối với DN

MÃ HÓA
 Mã hóa là công cụ quan trong và hữu hiệu để đảm bảo tính bảo mật
- Đối với thông tin được chuyển giao trên Internet: Mã hóa là cách duy nhất
- Đối với thông tin được lưu trữ trên web hoặc điện toán đám mây công cộng (public
cloud): mã hóa là một phần của việc phòng thủ sâu (defense-in-depth).
 Mã hóa không phải “thuốc 3. Các thủ
chữa bách bệnh” 2. Mã hóa tục kiểm
- Những thông tin không được soát
lưu trữ dưới dạng digital thì
1. Xác định và 4. Huấn
không thể mã hóa phân loại thông luyện
- Mã hóa cần phải kết hợp với tin được bảo mật Bảo mật nhân sự
kiểm soát xác thực , và kiểm thông
tin
soát truy cập vật lý

8
 17/07/2023

CÁC THỦ TỤC KIỂM SOÁT TRUY CẬP

 Kiểm soát xác thực và phân quyền (kiểm soát truy cập của người dùng – kiểm
soát an ninh)
 Phần mềm quản trị quyền thông tin (IRM)
 Phần mềm ngăn chặn mất dữ liệu (DLP)
 Hạn chế tiếp cận với máy in, máy
2. Mã hóa
3. Các thủ
tục kiểm
photo, máy fax, sử dụng thiết bị soát
bảo vệ màn hình cho laptop
(screen protection devices) 1. Xác định và 4. Huấn
 Những qui định đối với môi trường phân loại thông
tin được bảo Bảo mật
luyện
ảo hóa (virtualization) và điện toán mật nhân sự
thông
đám mây (cloud computing) tin

HUẤN LUYỆN NHÂN SỰ

 Nhân viên cần biết thông tin nào được phép chia sẻ với bên ngoài, thông tin
nào cần được bảo vệ
 Nhân viên cần được hướng dẫn cách bảo vệ dữ liệu bí mật:
- Cách sử dụng phần mềm mã hóa
- Luôn thoát ra khỏi các ứng dụng sau 3. Các thủ
khi sử dụng 2. Mã hóa tục kiểm
- Sử dụng màn hình được bảo vệ bằng soát
mật khẩu (password-protected screen)
để ngăn chặn các truy cập trái phép 1. Xác định và
của các nhân viên khác 4. Huấn
phân loại thông
luyện nhân
- Biết cách mã hóa các báo cáo để phản tin được bảo Bảo mật sự
ánh sự quan trọng của thông tin mật
thông
- Biết cách sử dụng đúng email, tin nhắn tin
chat, blogs

9
 17/07/2023

KIỂM SOÁT QUYỀN RIÊNG TƯ

Mục tiêu kiểm soát: Bảo vệ thông tin cá nhân của khách hàng, nhân viên,
nhà cung cấp & các đối tác liên quan đến DN không bị tiết lộ trái phép.
Thông tin các nhân của KH, NV, NCC & các đối tác liên quan đến DN được
thu thập, sử dụng, tiết lộ & lưu trữ chỉ tuân theo các chính sách nội bộ &
các yêu cầu pháp lý bên ngoài
Bảo mật thông tin và bảo vệ quyền riêng tư khác nhau như thế nào?
Bảo mật thông tin Bảo vệ quyền riêng tư
Bảo vệ dữ liệu của DN nói chung Bảo vệ thông tin cá nhân của
khách hàng, nhân viên, nhà cung
cấp và các đối tác liên quan đến
DN

KIỂM SOÁT QUYỀN RIÊNG TƯ

- Kiểm soát xác thực và phân quyền (kiểm soát truy cập của người dùng)
- Chạy chương trình làm thay đổi giá trị thực của dữ liệu (data masking programs)
nhằm mục đích bảo mật thông tin

3. Các thủ
2. Mã hóa tục kiểm
soát

1. Xác định và 4. Huấn

phân loại thông luyện
tin được bảo mật Bảo mật nhân sự
quyền
riêng tư

10
 17/07/2023

KIỂM SOÁT TÍNH TOÀN VẸN

Mục tiêu: đảm bảo hệ thống tạo ra thông tin chính xác, đầy đủ, kịp thời và
hợp lệ

Các thủ tục kiểm soát toàn vẹn bao gồm:

- Kiểm soát nhập liệu
- Kiểm soát xử lý
- Kiểm soát thông tin đầu ra

KIỂM SOÁT NHẬP LIỆU

Mục tiêu kiểm soát: đảm bảo dữ liệu chính xác, đầy đủ và hợp lệ
Các nhóm thủ tục kiểm soát nhập liệu
– Kiểm soát nguồn dữ liệu (đối chiếu, kiểm tra chứng từ)
• Thiết kế mẫu chứng từ và các mẫu biểu nhập liệu
• Hủy bỏ và bảo vệ chứng từ gốc
• Ủy quyền và phân chia trách nhiệm
– Kiểm soát quá trình nhập liệu
• Kiểm soát nhập liệu đầu vào
• Kiểm soát nhập liệu theo lô
• Kiểm soát nhập liệu trực tuyến

11
 17/07/2023

KIỂM SOÁT NHẬP LIỆU ĐẦU VÀO

Kiểm tra kiểu dữ liệu (field check)
Kiểm tra dấu (sign check)
Kiểm tra giới hạn (limit check và range check)
Kiểm tra dung lượng vùng nhập liệu (size check)
Kiểm tra tính đầy đủ
Kiểm tra tính hợp lệ (validity check)
Kiểm tra tính hợp lý (reasonableness test)
Số kiểm tra (check digit) và xác nhận số kiểm tra
(check digit verification)

KIỂM SOÁT NHẬP LIỆU ĐẦU VÀO

Kiểu dữ liệu Determines if the characters in The characters in a social security
(field check) a field are of the proper type. field should all be numeric.
Dấu Determines whether the data in The number of hours a student is
(sign check) a field have the appropriate enrolled in during a semester could
arithmetic sign (+/-) not be a negative number
Giới hạn Limit check: Tests whether an A university might use a limit check
(limit check và amount exceeds a to make sure that the hours a
range check) predetermined value student is enrolled in do not exceed
21
Range check:Similar to a field Perhaps a wage rate is checked to
check, but it checks both ends ensure that it does not exceed $15
of a range and is not lower than the minimum
wage rate.

12
 17/07/2023

KIỂM SOÁT NHẬP LIỆU ĐẦU VÀO

Dung lượng vùng Ensures that the data will fit A social security number of 10
nhập liệu (size into the assigned field digits would not fit in the 9-digit
check) social security field

Tính đầy đủ Determines if all required Has the student’s billing address
(Completeness items have been entered been entered along with
check) enrollment details?

Hợp lệ Compares the value entered Does the state code entered for
(Validity check) to a file of acceptable values. an address match one of the 50
valid state codes?

Hợp lý Determines whether a logical A freshman with annual financial

(Reasonableness relationship seems to be aid of $60,000 is probably not
test) correct. reasonable.

KIỂM SOÁT NHẬP LIỆU ĐẦU VÀO

Số kiểm tra Số ID (chẳng hạn như số nhân viên) có thể chứa số kiểm
(check digit) tra được tính từ các chữ số khác
ID numbers (such as employee number) can contain a
check digit computed from the other digits

Các xác nhận số kiểm tra
(check digit verification)
• Data entry devices then perform check digit
verification by using the original digits in the number
to recalculate the check digit
• If the recalculated check digit does not match the
digit recorded on the source document, that result
suggests that an error was made in recording or
entering the number

13
 17/07/2023

KIỂM SOÁT NHẬP LIỆU THEO LÔ

Kiểm tra tuần tự (sequence check)
Nhật ký nhập liệu (an error log)
Tổng lô
- Tổng tài chính

- Tổng hash

- Đếm mẫu tin

KIỂM SOÁT NHẬP LIỆU THEO LÔ

In addition to the preceding controls, when using batch processing, the
following data entry controls should be incorporated

Kiểm tra tuần tự Tests whether a batch of input data is in the proper
(Sequence check) numerical or alphabetical sequence.

Nhật ký nhập liệu (error Xác định lỗi đầu vào dữ liệu (ngày, nguyên nhân, vấn
log) đề) tạo điều kiện xem xét kịp thời và gửi lại các giao
dịch không thể xử lý
Identifies data input errors (date, cause, problem)
facilitates timely review and resubmission of
transactions that cannot be processed

14
 17/07/2023

KIỂM SOÁT NHẬP LIỆU THEO LÔ

Tổng lô Financial totals: sums of fields that contain dollar
(Batch totals) values, such as total sales.
Hash totals: sums of nonfinancial fields, such as the
sum of all social security numbers of employees
being paid.
Record count: count of the number of records in a
batch.
These batch totals are calculated and recorded when
data is entered and used later to verify that all input
was processed correctly.

KIỂM SOÁT NHẬP LIỆU TRỰC TUYẾN

Prompting
Closed-loop verification
Nhật ký nghiệp vụ (transaction log)

15
 17/07/2023

KIỂM SOÁT NHẬP LIỆU TRỰC TUYẾN

Prompting (chờ Hệ thống yêu cầu mỗi mục đầu vào và chờ phản hồi về việc
phản hồi) thể chấp nhận
System requests each input item and waits for an acceptable response.

Closed-loop Kiểm tra tính chính xác của dữ liệu đầu vào bằng cách truy
verification xuất thông tin liên quan.
(xác minh vòng Checks accuracy of input data by retrieving related information.
lặp kín)
Transaction logs Bao gồm bản chép chi tiết tất cả các nghiệp vụ, bao gồm số
(Nhật ký nghiệp nhận dạng giao dịch duy nhất, ngày và giờ nhập liệu và người
vụ) đã nhập nghiệp vụ.
Includes a detailed record of all transactions, including a unique
transaction identifier, the date and time of entry, and who entered the
transaction

KIỂM SOÁT XỬ LÍ
Mục tiêu: đảm bảo dữ liệu đươc xử lý chính xác
Các thủ tục kiểm soát gồm:
– Kiểm tra sự phù hợp dữ liệu (data matching)
– Kiểm tra nhãn và thuộc tính tập tin dữ liệu (flie labels)
– Kiểm tra tổng số lô sau khi xử lý (batch totals)
– Kiểm tra chéo (cross-footing test) và kiểm tra số dư bằng 0 (zero-balance test)
– Cơ chế chống ghi tập tin (write-protection mechanism)
– Kiểm soát cập nhật đồng thời (concurrent update control) (trong trường hợp có
nhiều hơn 1 người dùng cùng truy cập đến dữ liệu)

16
 17/07/2023

KIỂM SOÁT THÔNG TIN ĐẦU RA

Mục tiêu: đảm bảo thông tin hệ thống cung cấp là đáng tin cậy
Các thủ tục kiểm soát gồm:
– Người dùng đánh giá thông tin đầu ra
– Quy định các thủ tục và quy trình đối chiếu dữ liệu, thông tin
– Đối chiếu dữ liệu ngoài hệ thống
– Kiểm soát truyền tải dữ liệu
• Checksums
• Parity bits và parity checking

KIỂM SOÁT TÍNH KHẢ DỤNG

Mục tiêu: đảm bảo hệ thống và thông tin có sẵn cho việc sử dụng khi
cần

Các thủ tục kiểm soát gồm:

– Giảm thiểu rủi ro thời gian chết của hệ thống
– Phục hồi và nối tiếp hoạt động bình thường
– Kế hoạch phục hồi sau thảm họa và tiếp tục kinh doanh
– Tác động của ảo hóa (virtualization) và điện toán đám mây (cloud computing)

17
 17/07/2023

KIỂM SOÁT TÍNH KHẢ DỤNG

Phục hồi & tiếp tục hoạt động bình thường

KIỂM SOÁT TÍNH KHẢ DỤNG

Phục hồi & tiếp tục hoạt động bình thường

18
 17/07/2023

KIỂM SOÁT TÍNH KHẢ DỤNG

Phục hồi & tiếp tục hoạt động bình thường

19