CHƯƠNG 10
Vấn đề bảo mật và kiểm soát
Vấn đề bảo mật và kiểm soát
các hệ thống thông tin quản lý
các hệ thống thông tin quản lý
Nội Dung
1. Tính dể bị tổn thương của các Hệ thống
thông tin
2. Tạo lập môi trường kiểm soát
3. Bảo đảm chất lượng hệ thống
Tính dể bị tổn thương của các HTTT

HTTT với dữ liệu lưu trữ trên các file máy tính có
tiềm năng bị truy xuất bởi cá nhân & nhóm bên
ngoài tổ chức  Dữ liệu càng tự động thì càng
dể bị tổn thương bởi sự phá hủy, sự gian trá, sai
sót và sử dụng sai.

Các công ty dựa trên máy tính để xử lý các giao
dịch kinh doanh quan trọng có thể ko thực hiện
được các chức năng kinh doanh nếu họ mất khả
năng sử dụng máy tính trong vài ngày.
Tính dể bị tổn thương của các HTTT:
Nguyên nhân

Khi khối lượng lớn dữ liệu được lưu dưới dạng điện tử,
chúng sẽ dể bị tổn thương từ nhiều loại đe dọa hơn dữ
liệu được lưu trữ thủ công.

Các đe dọa đó là:
•

mà có thể xảy ra ở bất cứ điểm nào trên mạng

Internet có các vấn đề đặc biệt vì nó được thiết kế 1
cách tường minh để được truy xuất 1 cách dể dàng bởi
mọi người trên các HT máy tính khác nhau
Tính dể bị tổn thương của các HTTT:
Nguyên nhân
Tính dể bị tổn thương của các HTTT:
Nguyên nhân

Hacker: người truy xuất ko được cấp quyền tới 1
mạng máy tính vì lợi nhuận, tội phạm hay ham thích
cá nhân. Hacker dùng các cách như bom logic,
trojan horses, denial of service attack

Virus máy tính: phần mềm lây lan từ HT này đến HT
khác, làm nghẻn bộ nhớ máy tính hay phá hủy
chương trình, dữ liệu.

Phần mềm Antivirus: được thiết kế để kiểm tra HT
máy tính & các đĩa có chứa các loại virus máy tính
Tính dể bị tổn thương của các HTTT:
Nguyên nhân

Thảm họa: cháy, mất nguồn điện…  backup,
duplicate…

Bảo mật: chính sách, qui trình & các đo lường kỹ
thuật được dùng để tránh truy xuất ko được cấp
quyền, sự thay đổi, trộm cắp hay sự hư hỏng vật lý

dịch vụ, tội phạm máy tính và sự vi phạm bảo mật,
các chính sách và qui trình đặc biệt cần phải được
kết hợp trong việc thiết kế và triển khai thực hiện
HTTT.

Kiểm soát: gồm các phương pháp, chính sách và qui
trình tổ chức để đảm bảo sự an toàn cho tài sản của
tổ chức, độ chính xác và tin cậy của các mẩu tin, sự
tuân thủ hoạt động điều hành theo các chuẩn quản
trị.
Tạo lập môi trường kiểm soát:
Các kiểm soát tổng quát & kiểm soát ứng dụng

Kiểm soát tổng quát: quản lý việc thiết kế, bảo mật, sử
dụng chương trình máy tính, và việc bảo mật của tập tin
dữ liệu 1 cách tổng quát xuyên suốt cơ sở hạ tầng công
nghệ thông tin của tổ chức. Bao gồm kiểm soát phần
mềm, kiểm soát phần cứng vật lý, kiểm soát các hoạt
động máy tính, kiểm soát bảo mật dữ liệu, kiểm soát trên
qui trình thực hiện HT và kiểm soát quản trị

Kiểm soát ứng dụng: kiểm soát cụ thể duy nhất đối với
mỗi ứng dụng máy tính. Bao gồm các kiểm soát áp dụng
trong lĩnh vực chức năng của HT cụ thể và qui trình được
thảo chương
Tạo lập môi trường kiểm soát:
Các kiểm soát tổng quát & kiểm soát ứng dụng
Tạo lập môi trường kiểm soát:
Các kiểm soát tổng quát & kiểm soát ứng dụng


tương quan giữa chúng với nhau và hiệu quả-chi phí tương
đối của chúng.

Một kiểm soát bị yếu ở điểm nào đó có thể khắc phục bởi
kiểm soát khác.

Không thể có hiệu quả chi phí khi xây dựng kiểm soát chặt
chẻ ở mọi điểm trong chu kỳ xử lý nếu khu vực rủi ro cao
nhất là bảo mật hay lợi ích do kiểm soát mang lại là ở chổ
khác.

Kết hợp tất cả các kiểm soát phát triển cho 1 ứng dụng cụ
thể sẽ xác định cấu trúc kiểm soát tổng thể.
Tạo lập môi trường kiểm soát:
Phát triển cấu trúc kiểm soát: chi phí & lợi ích
Căn cứ để xác định mức kiểm soát:

Tùy vào tầm quan trọng dữ liệu mà xây dựng kiểm
soát đến mức nào trong HT.

Hiệu quả chi phí của kiểm soát sẽ bị ảnh hưởng bởi
hiệu suất, độ phức tạp và sự đắt đỏ của mỗi kỹ thuật
kiểm soát.

Mức độ rủi ro của qui trình hay hoạt động cụ thể nếu
không được kiểm soát thích hợp.
Tạo lập môi trường kiểm soát:
Vai trò của kiểm toán trong qui trình kiểm soát

Để biết các kiểm soát HTTT có hiệu quả hay không, tổ

bổ nguồn lực thích hợp trong khi phát triển HT, sử dụng
các thước đo và chú trọng việc kiểm thử (testing).

Phương pháp phát triển HT: tập hợp các phương pháp, 1
hay nhiều cho mổi hoạt động trong mổi giai đoạn của dự
án phát triển hệ thống.
Bảo đảm chất lượng HT:
Các công cụ & phương pháp đảm bảo chất lượng
phần mềm

Phân bổ nguồn lực thích hợp trong khi phát triển HT: xác
định cách thức phân bổ con người, thời gian, chi phí ở các
giai đoạn khác nhau của dự án.

Thước đo phần mềm: đánh giá mục tiêu của phần mềm sử
dụng trong HT dưới dạng các đo lường định lượng.

Testing: bắt đầu từ giai đoạn thiết kế bằng cách xem xét
các đặc tả thiết kế. Khi bắt đầu lập trình chương trình phải
được test bởi máy tính. Việc phát hiện sai sót trong
chương trình được thực hiện thông qua tiến trình debug