Chương 10
Vấn đề bảo mật và kiểm soát
Vấn đề bảo mật và kiểm soát
các hệ thống thông tin quản lý
các hệ thống thông tin quản lý Nội Dung
Tính dể bị tổn thương của các HTTT:
Tính dể bị tổn thương của các HTTT:
•
Nguyên nhân
•
Các quan tâm đối với người sử dụng & người xây dựng HT
•
Vấn đề chất lượng HT: phần mềm & dữ liệu
Tạo lập môi trường kiểm soát:
Tạo lập môi trường kiểm soát:
•
Các kiểm soát tổng quát & kiểm soát ứng dụng
•
Phát triển cấu trúc kiểm soát: chi phí & lợi ích
•
Vai trò của kiểm toán trong qui trình kiểm soát
Bảo đảm chất lượng HT:
Bảo đảm chất lượng HT:
•
các công cụ & phương pháp đảm bảo chất lượng phần mềm,
•
kiểm toán chất lượng dữ liệu & làm sạch dữ liệu

khi khối lượng lớn DL được lưu dưới dạng điện tử, chúng sẽ dể
khi khối lượng lớn DL được lưu dưới dạng điện tử, chúng sẽ dể
bị tổn thương từ nhiều loại đe dọa hơn DL được lưu trử thủ
bị tổn thương từ nhiều loại đe dọa hơn DL được lưu trử thủ
công. Các đe dọa đó là:
công. Các đe dọa đó là:
•
Hư tổn phần cứng
Hư tổn phần cứng
•
Hư tổn phần mềm
Hư tổn phần mềm
•
Hành động của con người
Hành động của con người
•
Sự thâm nhập
Sự thâm nhập
•
Ăn cắp DL, dịch vụ, thiết bị
Ăn cắp DL, dịch vụ, thiết bị
•
Cháy
Cháy
•
Các vấn đề về điện
Các vấn đề về điện
•
Các sai sót của người dùng
Các sai sót của người dùng


Internet có các vấn đề đặc biệt vì nó được thiết kế 1 cách
Internet có các vấn đề đặc biệt vì nó được thiết kế 1 cách
tường minh để được truy xuất 1 cách dể dàng bởi mọi
tường minh để được truy xuất 1 cách dể dàng bởi mọi
người trên các HT máy tính khác nhau
người trên các HT máy tính khác nhauTính dể bị tổn thương của các HTTT:
Nguyên nhânTính dể bị tổn thương của các HTTT:
Nguyên nhân
Hacker: người truy xuất ko được cấp quyền tới 1
Hacker: người truy xuất ko được cấp quyền tới 1
mạng máy tính vì lợi nhuận, tội phạm hay ham
mạng máy tính vì lợi nhuận, tội phạm hay ham
thích cá nhân. Hacker dùng các cách như bom
thích cá nhân. Hacker dùng các cách như bom
logic, trojan horses, denial of service attack
logic, trojan horses, denial of service attack

Virus máy tính: phần mềm lây lan từ HT này đến
Virus máy tính: phần mềm lây lan từ HT này đến
HT khác, làm nghẻn bộ nhớ máy tính hay phá

lý đối với HTTT
lý đối với HTTT

Sai sót trong quản trị: có thể xảy ra ở bất kỳ điểm
Sai sót trong quản trị: có thể xảy ra ở bất kỳ điểm
nào trong chu kỳ xử lý từ nhập liệu, sai sót
nào trong chu kỳ xử lý từ nhập liệu, sai sót
chương trình, hoạt động máy tính & phần cứng
chương trình, hoạt động máy tính & phần cứng
Tính dể bị tổn thương của các HTTT:
Các quan tâm đối với người sử dụng &
người xây dựng HTTính dể bị tổn thương của các HTTT:
Các quan tâm đối với người sử dụng &
người xây dựng HT
Các
điểm
trong
chu kỳ
xử lý có
thể xảy
ra sai
sótTính dể bị tổn thương của các HTTT:
Vấn đề chất lượng HT: phần mềm & dữ liệu


Kiểm soát: gồm các phương pháp, chính sách &
Kiểm soát: gồm các phương pháp, chính sách &
qui trình tổ chức để đảm bảo sự an toàn cho tài
qui trình tổ chức để đảm bảo sự an toàn cho tài
sản của tổ chức, độ chính xác & tin cậy của các
sản của tổ chức, độ chính xác & tin cậy của các
mẩu tin, & sự tuân thủ hoạt động điều hành theo
mẩu tin, & sự tuân thủ hoạt động điều hành theo
các chuẩn quản trị.
các chuẩn quản trị.Tạo lập môi trường kiểm soát:
Các kiểm soát tổng quát & kiểm soát ứng dụng

Kiểm soát tổng quát: quản lý việc thiết kế, bảo mật, sử
Kiểm soát tổng quát: quản lý việc thiết kế, bảo mật, sử
dụng chương trình máy tính, & việc bảo mật của tập tin DL
dụng chương trình máy tính, & việc bảo mật của tập tin DL
1 cách tổng quát xuyên suốt cơ sở hạ tầng công nghệ
1 cách tổng quát xuyên suốt cơ sở hạ tầng công nghệ
thông tin của tổ chức. Bao gồm kiểm soát phần mềm, kiểm
thông tin của tổ chức. Bao gồm kiểm soát phần mềm, kiểm
soát phần cứng vật lý, kiểm soát các hoạt động máy tính,
soát phần cứng vật lý, kiểm soát các hoạt động máy tính,
kiểm soát bảo mật DL, kiểm soát trên qui trình thực hiện
kiểm soát bảo mật DL, kiểm soát trên qui trình thực hiện
HT & kiểm soát quản trị
HT & kiểm soát quản trị


2 loại kiểm soát này đòi hỏi sự giám sát & nhập liệu từ
người dùng cuối & các nhà QL.
người dùng cuối & các nhà QL.

Tạo lập môi trường kiểm soát:
Các kiểm soát tổng quát & kiểm soát ứng dụng

Kiểm soát ứng dụng bao gồm cả qui trình thủ
Kiểm soát ứng dụng bao gồm cả qui trình thủ
công lẫn tự động để đảm bảo chỉ DL được cấp
công lẫn tự động để đảm bảo chỉ DL được cấp
quyền là được xử lý 1 cách chính xác & đầy đủ
quyền là được xử lý 1 cách chính xác & đầy đủ
bởi ứng dụng. Gồm các loại:
bởi ứng dụng. Gồm các loại:
•
Kiểm soát nhập liệu
•
Kiểm soát xử lý
•
Kiểm soát kết xuất

Tạo lập môi trường kiểm soát:
Phát triển cấu trúc kiểm soát: chi phí & lợi ích

Tạo lập môi trường kiểm soát:
Phát triển cấu trúc kiểm soát: chi phí & lợi ích
Căn cứ để xác định mức kiểm soát:
Căn cứ để xác định mức kiểm soát:

Tùy vào tầm quan trọng DL mà xây dựng kiểm soát
Tùy vào tầm quan trọng DL mà xây dựng kiểm soát
đến mức nào trong HT
đến mức nào trong HT

Hiệu quả chi phí của kiểm soát sẽ bị ảnh hưởng bởi
Hiệu quả chi phí của kiểm soát sẽ bị ảnh hưởng bởi
hiệu suất, độ phức tạp & sự đắt đỏ của mỗi kỹ thuật
hiệu suất, độ phức tạp & sự đắt đỏ của mỗi kỹ thuật
kiểm soát.
kiểm soát.

Mức độ rủi ro của qui trình hay hoạt động cụ thể nếu
Mức độ rủi ro của qui trình hay hoạt động cụ thể nếu
ko được kiểm soát thích hợp.
ko được kiểm soát thích hợp.Tạo lập môi trường kiểm soát:
Vai trò của kiểm toán trong qui trình kiểm soát

để biết các kiểm soát HTTT có hiệu quả hay ko, tổ chức
để biết các kiểm soát HTTT có hiệu quả hay ko, tổ chức
phải thực hiện việc kiểm toán HT.
phải thực hiện việc kiểm toán HT.
Tạo lập môi trường kiểm soát:
Vai trò của kiểm toán trong qui trình kiểm soátBảo đảm chất lượng HT:
các công cụ & phương pháp đảm bảo chất lượng
phần mềm

Giải pháp cho các vấn đề chất lượng phần mềm bao gồm việc
Giải pháp cho các vấn đề chất lượng phần mềm bao gồm việc
sử dụng phương pháp phát triển HT thích hợp, phân bổ
sử dụng phương pháp phát triển HT thích hợp, phân bổ
nguồn lực thích hợp trong khi phát triển HT, sử dụng các
nguồn lực thích hợp trong khi phát triển HT, sử dụng các
thước đo & chú trọng việc testing.
thước đo & chú trọng việc testing.

phương pháp phát triển HT: tập hợp các phương pháp, 1 hay
phương pháp phát triển HT: tập hợp các phương pháp, 1 hay
nhiều cho mổi hoạt động trong mổi giai đoạn của dự án phát
nhiều cho mổi hoạt động trong mổi giai đoạn của dự án phát
triển HT.
triển HT.

phân bổ nguồn lực thích hợp trong khi phát triển HT: xác định
phân bổ nguồn lực thích hợp trong khi phát triển HT: xác định
cách thức phân bổ con người, thời gian, chi phí ở các giai
cách thức phân bổ con người, thời gian, chi phí ở các giai

trúc về sự chính xác & mức độ đầy đủ của DL
trúc về sự chính xác & mức độ đầy đủ của DL
trong HTTT.
trong HTTT.

Kiểm toán chất lượng DL được thực hiện theo
Kiểm toán chất lượng DL được thực hiện theo
phương pháp sau:
phương pháp sau:
•
Khảo sát người dùng cuối sự cảm nhận của họ
về chất lượng DL
•
Khảo sát toàn bộ các file DL
•
Khảo sát mẩu trích từ file DLBảo đảm chất lượng HT:
kiểm toán chất lượng dữ liệu & làm sạch dữ liệu

Làm sạch DL: tinh chỉnh các sai sót & ko thống
Làm sạch DL: tinh chỉnh các sai sót & ko thống
nhất trong DL để gia tăng độ chính xác
nhất trong DL để gia tăng độ chính xác

Làm sạch DL trở thành yêu cầu cốt lỏi đối với
Làm sạch DL trở thành yêu cầu cốt lỏi đối với
data warehouse, CRM, & thương mại dựa trên
data warehouse, CRM, & thương mại dựa trên