Kiểm soát hệ thống thông tin :

Theo khuôn mẫu về niềm tin dịch vụ [The Trust Services Framework]

Phần I: An toàn thông tin (Security)

1.1. Ba khái niệm

- An toàn: Kiểm soát truy cập vào hệ thống dữ liệu
 An toàn là vấn đề quản lý, không chỉ vấn đề kỹ thuật
 VD: USB đặt mật khẩu nhưng vứt lung tung, hay cách đặt mật khẩu cho USB

Nhóm công nghệ thông tin – Nhóm rủi ro và tuân thủ hay mâu thuẫn => Hòa giải BQL cấp cao, đưa
mục tiêu => Kiểm toán nội bộ: hữu hiêuj, hiệu quả của ATTT
 Chu kỳ An toàn thông tin

[1] Nhân viên ATTT & BQL cấp cao lựa chọn phản ứng rr (có sự tham gia để xem nguồn lực và khẩu
vị rủi ro có chấp nhận được hay không)

[2]

[3]

[4]

 Con người là nhân tố quan trọng

- Con người là nhân tố quan trọng nhất nhưng cũng có thể là mắt xích yếu nhất trong ANTT
 Mắt xích yếu nhất vì con người tham gia vào tất cả các khâu của chu kỳ ANTT, tiếp xúc trực tiếp
với thông tin
  Mô hình ATTT dựa trên thời gian

[Trang 7/62 – C5_AIS 11 12]

P : Protection

D : Detection

R : Response

 Chiến lược phòng thủ sâu : Triển khai nhiều tầng + Kiểm soát ngăn ngừa, phát hiện, sửa chữa

1.2 Bảo vệ nguồn lực

=> An toàn vật lý : Kiểm soát truy cập vật lý

 Qui trình : Kiểm soát truy cập người dùng

3 loại yếu tố :

 Yếu tố tự đặt
 Yếu tố người khác cấp
 Yếu tố bản chất, duy nhất
 Xác thực đa yếu tố : 2 hay nhiều yếu tố
 Xác thực đa phương thức : 1 yếu tố nhưng nhiều mức độ
Người nhập dữ liệu nghiệp vụ 1 khác Người nhập DL Tập tin chính

Khác

Người nhập DL NV2…

 Gỉai pháp IT : [4]

1.3.Phát hiện tấn công

1.4 Đáo trả

1.5 Gíam sát và sửa đổi

PHẦN 2 : BẢO MẬT VÀ QUYỀN RIÊNG TƯ

2.1
2.2

PHẦN 3 : KIỂM SOÁT TÍNH TOÀN VẸN

Chứng từ luân chuyển là những chứng từ do mình tạo ra gửi cho đối tượng bên ngoài, đối tượng
bên ngoài gửi lại cho công ty mình

PHẦN 4 : KIỂM SOÁT TÍNH KHÁ DỤNG