Chương 10
Vấn đề bảo mật và kiểm soát
Vấn đề bảo mật và kiểm soát
các hệ thống thông tin quản lý
các hệ thống thông tin quản lý
Nội Dung
Tính dể bị tổn thương của các HTTT:
Tính dể bị tổn thương của các HTTT:
•
Nguyên nhân
•
Các quan tâm đối với người sử dụng & người xây dựng HT
•
Vấn đề chất lượng HT: phần mềm & dữ liệu
Tạo lập môi trường kiểm soát:
Tạo lập môi trường kiểm soát:
•
Các kiểm soát tổng quát & kiểm soát ứng dụng
•
Phát triển cấu trúc kiểm soát: chi phí & lợi ích
•
Vai trò của kiểm toán trong qui trình kiểm soát
Bảo đảm chất lượng HT:
Bảo đảm chất lượng HT:
•
các công cụ & phương pháp đảm bảo chất lượng phần mềm,
•
kiểm toán chất lượng dữ liệu & làm sạch dữ liệu
Tính dể bị tổn thương của các HTTT
HTTT với DL lưu trữ trên các file máy tính có tiềm năng bị
HTTT với DL lưu trữ trên các file máy tính có tiềm năng bị
truy xuất bởi số lớn cá nhân & nhóm bên ngoài tổ chức
truy xuất bởi số lớn cá nhân & nhóm bên ngoài tổ chức
DL càng tự động thì càng dể bị tổn thương bởi sự phá hủy,
DL càng tự động thì càng dể bị tổn thương bởi sự phá hủy,
sự gian trá, sai sót & sử dụng sai
sự gian trá, sai sót & sử dụng sai
Các Cty dựa trên máy tính để xử lý các giao dịch kinh
Các Cty dựa trên máy tính để xử lý các giao dịch kinh
doanh quan trọng có thể ko thực hiện được các chức
doanh quan trọng có thể ko thực hiện được các chức
năng kinh doanh nếu họ mất khả năng sử dụng máy tính
năng kinh doanh nếu họ mất khả năng sử dụng máy tính
trong vài ngày.
trong vài ngày.
Tính dể bị tổn thương của các HTTT:
Nguyên nhân
khi khối lượng lớn DL được lưu dưới dạng điện tử, chúng sẽ dể
khi khối lượng lớn DL được lưu dưới dạng điện tử, chúng sẽ dể
bị tổn thương từ nhiều loại đe dọa hơn DL được lưu trử thủ
bị tổn thương từ nhiều loại đe dọa hơn DL được lưu trử thủ
công. Các đe dọa đó là:
công. Các đe dọa đó là:
•
Hư tổn phần cứng
Hư tổn phần cứng
•
Hư tổn phần mềm
Hư tổn phần mềm
•
Hành động của con người
Hành động của con người
•
Sự thâm nhập
Sự thâm nhập
•
Ăn cắp DL, dịch vụ, thiết bị
Ăn cắp DL, dịch vụ, thiết bị
•
Cháy
Cháy
•
Các vấn đề về điện
Các vấn đề về điện
•
Các sai sót của người dùng
Các sai sót của người dùng
•
Chương trình thay đổi
Chương trình thay đổi
•
Các vấn đề truyền thông
Các vấn đề truyền thông
Các đe dọa trên đến từ các yếu tố môi trường, tổ chức & kỹ thuật
Các đe dọa trên đến từ các yếu tố môi trường, tổ chức & kỹ thuật
do các quyết định quản trị tồi tệ
do các quyết định quản trị tồi tệ
Tính dể bị tổn thương của các HTTT:
Nguyên nhân
Sự tiến bộ trong phần mềm máy tính & truyền thông đã
Sự tiến bộ trong phần mềm máy tính & truyền thông đã
làm tăng thêm các thương tổn này: thông qua mạng truyền
làm tăng thêm các thương tổn này: thông qua mạng truyền
thông, các HTTT ở ~ nơi khác nhau được kết nối với nhau
thông, các HTTT ở ~ nơi khác nhau được kết nối với nhau
tiềm năng của việc truy xuất ko được cấp quyền, lạm
tiềm năng của việc truy xuất ko được cấp quyền, lạm
dụng, gian trá là ko giới hạn ở 1 nơi mà có thể xảy ra ở bất
dụng, gian trá là ko giới hạn ở 1 nơi mà có thể xảy ra ở bất
cứ điểm nào trên mạng
cứ điểm nào trên mạng
Internet có các vấn đề đặc biệt vì nó được thiết kế 1 cách
Internet có các vấn đề đặc biệt vì nó được thiết kế 1 cách
tường minh để được truy xuất 1 cách dể dàng bởi mọi
tường minh để được truy xuất 1 cách dể dàng bởi mọi
người trên các HT máy tính khác nhau
người trên các HT máy tính khác nhau
Tính dể bị tổn thương của các HTTT:
Nguyên nhân
Tính dể bị tổn thương của các HTTT:
Nguyên nhân
Hacker: người truy xuất ko được cấp quyền tới 1
Hacker: người truy xuất ko được cấp quyền tới 1
mạng máy tính vì lợi nhuận, tội phạm hay ham
mạng máy tính vì lợi nhuận, tội phạm hay ham
thích cá nhân. Hacker dùng các cách như bom
thích cá nhân. Hacker dùng các cách như bom
logic, trojan horses, denial of service attack
logic, trojan horses, denial of service attack
Virus máy tính: phần mềm lây lan từ HT này đến
Virus máy tính: phần mềm lây lan từ HT này đến
HT khác, làm nghẻn bộ nhớ máy tính hay phá
HT khác, làm nghẻn bộ nhớ máy tính hay phá
hủy chương trình, DL.
hủy chương trình, DL.
Phần mềm Antivirus: được thiết kế để kiểm tra
Phần mềm Antivirus: được thiết kế để kiểm tra
HT máy tính & các đĩa có chứa các loại virus máy
HT máy tính & các đĩa có chứa các loại virus máy
tính
tính
Tính dể bị tổn thương của các HTTT:
Nguyên nhân
Thảm họa: cháy, mất nguồn điện…
Thảm họa: cháy, mất nguồn điện…
backup,
backup,
duplicate…
duplicate…
Bảo mật: chính sách, qui trình & các đo lường kỹ
Bảo mật: chính sách, qui trình & các đo lường kỹ
thuật được dùng để tránh truy xuất ko được cấp
thuật được dùng để tránh truy xuất ko được cấp
quyền, sự thay đổi, trộm cắp hay sự hư hỏng vật
quyền, sự thay đổi, trộm cắp hay sự hư hỏng vật
lý đối với HTTT
lý đối với HTTT
Sai sót trong quản trị: có thể xảy ra ở bất kỳ điểm
Sai sót trong quản trị: có thể xảy ra ở bất kỳ điểm
nào trong chu kỳ xử lý từ nhập liệu, sai sót
nào trong chu kỳ xử lý từ nhập liệu, sai sót
chương trình, hoạt động máy tính & phần cứng
chương trình, hoạt động máy tính & phần cứng
Tính dể bị tổn thương của các HTTT:
Các quan tâm đối với người sử dụng &
người xây dựng HT
Tính dể bị tổn thương của các HTTT:
Các quan tâm đối với người sử dụng &
người xây dựng HT
Các
điểm
trong
chu kỳ
xử lý có
thể xảy
ra sai
sót
Tính dể bị tổn thương của các HTTT:
Vấn đề chất lượng HT: phần mềm & dữ liệu
phần mềm: bug & nhược điểm trong mã chương
phần mềm: bug & nhược điểm trong mã chương
trình do độ phức tạp của mã ra quyết định /
trình do độ phức tạp của mã ra quyết định /
chuyển hướng ko thể xóa bỏ hoàn toàn
chuyển hướng ko thể xóa bỏ hoàn toàn
dữ liệu: ko chính xác, ko kịp thời, ko thống nhất
dữ liệu: ko chính xác, ko kịp thời, ko thống nhất
với các nguồn TT khác có thể tạo các vấn đề
với các nguồn TT khác có thể tạo các vấn đề
nghiêm trọng trong điều hành & tài chánh đối với
nghiêm trọng trong điều hành & tài chánh đối với
doanh nghiệp.
doanh nghiệp.
Tạo lập môi trường kiểm soát
để tối thiểu hoá các sai sót, thảm họa, gián đoạn
để tối thiểu hoá các sai sót, thảm họa, gián đoạn
dịch vụ, tội phạm máy tính & sự vi phạm bảo
dịch vụ, tội phạm máy tính & sự vi phạm bảo
mật, các chính sách & qui trình đặc biệt cần phải
mật, các chính sách & qui trình đặc biệt cần phải
được kết hợp trong việc thiết kế & triển khai
được kết hợp trong việc thiết kế & triển khai
thực hiện HTTT.
thực hiện HTTT.
Kiểm soát: gồm các phương pháp, chính sách &
Kiểm soát: gồm các phương pháp, chính sách &
qui trình tổ chức để đảm bảo sự an toàn cho tài
qui trình tổ chức để đảm bảo sự an toàn cho tài
sản của tổ chức, độ chính xác & tin cậy của các
sản của tổ chức, độ chính xác & tin cậy của các
mẩu tin, & sự tuân thủ hoạt động điều hành theo
mẩu tin, & sự tuân thủ hoạt động điều hành theo
các chuẩn quản trị.
các chuẩn quản trị.
Tạo lập môi trường kiểm soát:
Các kiểm soát tổng quát & kiểm soát ứng dụng
Kiểm soát tổng quát: quản lý việc thiết kế, bảo mật, sử
Kiểm soát tổng quát: quản lý việc thiết kế, bảo mật, sử
dụng chương trình máy tính, & việc bảo mật của tập tin DL
dụng chương trình máy tính, & việc bảo mật của tập tin DL
1 cách tổng quát xuyên suốt cơ sở hạ tầng công nghệ
1 cách tổng quát xuyên suốt cơ sở hạ tầng công nghệ
thông tin của tổ chức. Bao gồm kiểm soát phần mềm, kiểm
thông tin của tổ chức. Bao gồm kiểm soát phần mềm, kiểm
soát phần cứng vật lý, kiểm soát các hoạt động máy tính,
soát phần cứng vật lý, kiểm soát các hoạt động máy tính,
kiểm soát bảo mật DL, kiểm soát trên qui trình thực hiện
kiểm soát bảo mật DL, kiểm soát trên qui trình thực hiện
HT & kiểm soát quản trị
HT & kiểm soát quản trị
Kiểm soát ứng dụng: kiểm soát cụ thể duy nhất đối với
Kiểm soát ứng dụng: kiểm soát cụ thể duy nhất đối với
mỗi ứng dụng máy tính. Bao gồm các kiểm soát áp dụng
mỗi ứng dụng máy tính. Bao gồm các kiểm soát áp dụng
trong lĩnh vực chức năng của HT cụ thể & qui trình được
trong lĩnh vực chức năng của HT cụ thể & qui trình được
thảo chương
thảo chương
Tạo lập môi trường kiểm soát:
Các kiểm soát tổng quát & kiểm soát ứng dụng
Tạo lập môi trường kiểm soát:
Các kiểm soát tổng quát & kiểm soát ứng dụng
Kiểm soát bảo mật DL: Kiểm soát để bảo đảm tập tin DL ko
Kiểm soát bảo mật DL: Kiểm soát để bảo đảm tập tin DL ko
bị truy xuất ko được cấp quyền, thay đổi hay phá hủy.
bị truy xuất ko được cấp quyền, thay đổi hay phá hủy.
Kiểm soát quản trị: các qui định, qui trình, luật lệ & chuẩn
Kiểm soát quản trị: các qui định, qui trình, luật lệ & chuẩn
hình thức để bảo đảm các kiểm soát của tổ chức là được
hình thức để bảo đảm các kiểm soát của tổ chức là được
áp dụng & thi hành thích hợp.
áp dụng & thi hành thích hợp.
2 loại kiểm soát này đòi hỏi sự giám sát & nhập liệu từ
2 loại kiểm soát này đòi hỏi sự giám sát & nhập liệu từ
người dùng cuối & các nhà QL.
người dùng cuối & các nhà QL.
Tạo lập môi trường kiểm soát:
Các kiểm soát tổng quát & kiểm soát ứng dụng
Kiểm soát ứng dụng bao gồm cả qui trình thủ
Kiểm soát ứng dụng bao gồm cả qui trình thủ
công lẫn tự động để đảm bảo chỉ DL được cấp
công lẫn tự động để đảm bảo chỉ DL được cấp
quyền là được xử lý 1 cách chính xác & đầy đủ
quyền là được xử lý 1 cách chính xác & đầy đủ
bởi ứng dụng. Gồm các loại:
bởi ứng dụng. Gồm các loại:
•
Kiểm soát nhập liệu
•
Kiểm soát xử lý
•
Kiểm soát kết xuất
Tạo lập môi trường kiểm soát:
Phát triển cấu trúc kiểm soát: chi phí & lợi ích
Để quyết định nên dùng kiểm soát nào, người xây
Để quyết định nên dùng kiểm soát nào, người xây
dựng HTTT phải kiểm tra các kỹ thuật kiểm soát khác
dựng HTTT phải kiểm tra các kỹ thuật kiểm soát khác
nhau trong tương quan giữa chúng với nhau & hiệu
nhau trong tương quan giữa chúng với nhau & hiệu
quả-chi phí tương đối của chúng.
quả-chi phí tương đối của chúng.
Một kiểm soát bị yếu ở điểm nào đó có thể khắc phục
Một kiểm soát bị yếu ở điểm nào đó có thể khắc phục
bởi kiểm soát khác.
bởi kiểm soát khác.
Ko thể có hiệu quả chi phí khi xây dựng kiểm soát
Ko thể có hiệu quả chi phí khi xây dựng kiểm soát
chặt chẻ ở mọi điểm trong chu kỳ xử lý nếu khu vực
chặt chẻ ở mọi điểm trong chu kỳ xử lý nếu khu vực
rủi ro cao nhất là bảo mật hay lợi ích do kiểm soát
rủi ro cao nhất là bảo mật hay lợi ích do kiểm soát
mang lại là ở chổ khác.
mang lại là ở chổ khác.
Kết hợp tất cả các kiểm soát phát triển cho 1 ứng
Kết hợp tất cả các kiểm soát phát triển cho 1 ứng
dụng cụ thể sẽ xác định cấu trúc kiểm soát tổng thể.
dụng cụ thể sẽ xác định cấu trúc kiểm soát tổng thể.
Tạo lập môi trường kiểm soát:
Phát triển cấu trúc kiểm soát: chi phí & lợi ích
Căn cứ để xác định mức kiểm soát:
Căn cứ để xác định mức kiểm soát:
Tùy vào tầm quan trọng DL mà xây dựng kiểm soát
Tùy vào tầm quan trọng DL mà xây dựng kiểm soát
đến mức nào trong HT
đến mức nào trong HT
Hiệu quả chi phí của kiểm soát sẽ bị ảnh hưởng bởi
Hiệu quả chi phí của kiểm soát sẽ bị ảnh hưởng bởi
hiệu suất, độ phức tạp & sự đắt đỏ của mỗi kỹ thuật
hiệu suất, độ phức tạp & sự đắt đỏ của mỗi kỹ thuật
kiểm soát.
kiểm soát.
Mức độ rủi ro của qui trình hay hoạt động cụ thể nếu
Mức độ rủi ro của qui trình hay hoạt động cụ thể nếu
ko được kiểm soát thích hợp.
ko được kiểm soát thích hợp.
Tạo lập môi trường kiểm soát:
Vai trò của kiểm toán trong qui trình kiểm soát
để biết các kiểm soát HTTT có hiệu quả hay ko, tổ chức
để biết các kiểm soát HTTT có hiệu quả hay ko, tổ chức
phải thực hiện việc kiểm toán HT.
phải thực hiện việc kiểm toán HT.
Kiểm toán HTTTQL: xác định tất cả các kiểm soát chi phối
Kiểm toán HTTTQL: xác định tất cả các kiểm soát chi phối
các HTTT & đánh giá hiệu quả của chúng.
các HTTT & đánh giá hiệu quả của chúng.
để thực hiện điều này, kiểm toán viên phải hiểu xuên suốt
để thực hiện điều này, kiểm toán viên phải hiểu xuên suốt
các hoạt động điều hành, các tiện ích vật lý, truyền thông,
các hoạt động điều hành, các tiện ích vật lý, truyền thông,
các HT kiểm soát, các đối tượng bảo mật DL, cấu trúc tổ
các HT kiểm soát, các đối tượng bảo mật DL, cấu trúc tổ
chức, con người, qui trình thủ công & các ứng dụng.
chức, con người, qui trình thủ công & các ứng dụng.
Kiểm toán viên thường phỏng vấn các cá nhân chủ chốt
Kiểm toán viên thường phỏng vấn các cá nhân chủ chốt
sử dụng & điều hành HTTT cụ thể liên quan đến các hoạt
sử dụng & điều hành HTTT cụ thể liên quan đến các hoạt
động & qui trình. Kiểm toán viên nên theo vết dòng giao
động & qui trình. Kiểm toán viên nên theo vết dòng giao
dịch mẩu xuyên suốt HT & thực hiện thử nghiệm, sử dụng,
dịch mẩu xuyên suốt HT & thực hiện thử nghiệm, sử dụng,
nếu cần có thể dùng phần mềm kiểm toán tự động.
nếu cần có thể dùng phần mềm kiểm toán tự động.
Kiểm toán viên liệt kê & xếp hạng tất cả các điểm yếu của
Kiểm toán viên liệt kê & xếp hạng tất cả các điểm yếu của
các kiểm soát & ước lượng xác suất xảy ra.
các kiểm soát & ước lượng xác suất xảy ra.
Tạo lập môi trường kiểm soát:
Vai trò của kiểm toán trong qui trình kiểm soát
Bảo đảm chất lượng HT:
các công cụ & phương pháp đảm bảo chất lượng
phần mềm
Giải pháp cho các vấn đề chất lượng phần mềm bao gồm việc
Giải pháp cho các vấn đề chất lượng phần mềm bao gồm việc
sử dụng phương pháp phát triển HT thích hợp, phân bổ
sử dụng phương pháp phát triển HT thích hợp, phân bổ
nguồn lực thích hợp trong khi phát triển HT, sử dụng các
nguồn lực thích hợp trong khi phát triển HT, sử dụng các
thước đo & chú trọng việc testing.
thước đo & chú trọng việc testing.
phương pháp phát triển HT: tập hợp các phương pháp, 1 hay
phương pháp phát triển HT: tập hợp các phương pháp, 1 hay
nhiều cho mổi hoạt động trong mổi giai đoạn của dự án phát
nhiều cho mổi hoạt động trong mổi giai đoạn của dự án phát
triển HT.
triển HT.
phân bổ nguồn lực thích hợp trong khi phát triển HT: xác định
phân bổ nguồn lực thích hợp trong khi phát triển HT: xác định
cách thức phân bổ con người, thời gian, chi phí ở các giai
cách thức phân bổ con người, thời gian, chi phí ở các giai
đoạn khác nhau của dự án.
đoạn khác nhau của dự án.
Thước đo phần mềm: đánh giá mục tiêu của phần mềm sử
Thước đo phần mềm: đánh giá mục tiêu của phần mềm sử
dụng trong HT dưới dạng các đo lường định lượng.
dụng trong HT dưới dạng các đo lường định lượng.
Testing: bắt đầu từ giai đoạn thiết kế bằng cách xem xét các
Testing: bắt đầu từ giai đoạn thiết kế bằng cách xem xét các
đặc tả thiết kế. Khi bắt đầu lập trình chương trình phải được
đặc tả thiết kế. Khi bắt đầu lập trình chương trình phải được
test bởi máy tính. Việc phát hiện sai sót trong chương trình
test bởi máy tính. Việc phát hiện sai sót trong chương trình
được thực hiện thông qua tiến trình debug
được thực hiện thông qua tiến trình debug
Bảo đảm chất lượng HT:
kiểm toán chất lượng dữ liệu & làm sạch dữ liệu
Chất lượng HTTT có thể cải tiến bằng cách xác
Chất lượng HTTT có thể cải tiến bằng cách xác
định & hiệu chỉnh DL sai, phát hiện sai sót.
định & hiệu chỉnh DL sai, phát hiện sai sót.
Phân tích chất lượng DL thường bắt đầu với việc
Phân tích chất lượng DL thường bắt đầu với việc
kiểm toán chất lượng DL; đó là 1 khảo sát có cấu
kiểm toán chất lượng DL; đó là 1 khảo sát có cấu
trúc về sự chính xác & mức độ đầy đủ của DL
trúc về sự chính xác & mức độ đầy đủ của DL
trong HTTT.
trong HTTT.
Kiểm toán chất lượng DL được thực hiện theo
Kiểm toán chất lượng DL được thực hiện theo
phương pháp sau:
phương pháp sau:
•
Khảo sát người dùng cuối sự cảm nhận của họ
về chất lượng DL
•
Khảo sát toàn bộ các file DL
•
Khảo sát mẩu trích từ file DL
Bảo đảm chất lượng HT:
kiểm toán chất lượng dữ liệu & làm sạch dữ liệu
Làm sạch DL: tinh chỉnh các sai sót & ko thống
Làm sạch DL: tinh chỉnh các sai sót & ko thống
nhất trong DL để gia tăng độ chính xác
nhất trong DL để gia tăng độ chính xác
Làm sạch DL trở thành yêu cầu cốt lỏi đối với
Làm sạch DL trở thành yêu cầu cốt lỏi đối với
data warehouse, CRM, & thương mại dựa trên
data warehouse, CRM, & thương mại dựa trên
Web.
Web.