Kiểm soát hệ thống thông tin kế toán AIS 13th Marshall B.Romney Paul John Steinbart : chapter 8,9,10 Nguyễn Bích Liên Mục tiêu 2 Nguyễn Bích Liên Hiểu các thủ tục kiểm soát cần thiết để đảm bảo an ninh cho hệ thống thông tin Bảo vệ tính riêng tư thông tin cá nhân của các bên có lợi ích liên quan Hiểu các thủ tục kiểm soát cần thiết để đảm bảo bảo mật thông tin nhạy cảm của DN Hiểu các thủtục kiểm soát cần thiết để đảm bảo tính toàn vẹn của hệ thống Các thủ tục kiểm soát cần thiết để đảm bảo tính sẵn sàng, liên tục của hệ thống
Company LOGO AIS- 13th Marshall B.Romney & Paul John Steinbart : chapter 8,9,10 Kiểm sốt hệ thống thơng tin kế tốn Nguyễn Bích Liên Mục tiêu Kiểm sốt hệ thống thơng tin kế tốn Hiểu thủ tục kiểm sốt cần thiết để đảm bảo an ninh cho hệ thống thơng tin Hiểu thủ tục kiểm sốt cần thiết để đảm bảo bảo mật thông tin nhạy cảm của DN Bảo vệ tính riêng tư thơng tin cá nhân của bên có lợi ích liên quan Hiểu thủ tục kiểm sốt cần thiết để đảm bảo tính tồn vẹn của hệ thống Các thủ tục kiểm sốt cần thiết để đảm bảo tính sẵn sàng, liên tục của hệ thống Nguyễn Bích Liên Nội dung Kiểm sốt hệ thống thơng tin kế tốn Kiểm sốt an ninh hệ thống Kiểm sốt bảo mật thơng tin Kiểm sốt quyền riêng tư Kiểm sốt tính tồn vẹn Kiểm sốt tính khả dụng của hệ thống Nguyễn Bích Liên Thuật ngữ Kiểm sốt hệ thống thơng tin kế toán STT Thuật ngữ Diễn giải Trang Access control matrix 237 Ma trận kiểm soát truy cập Authentication 235 Xác thực Backup 294 Sao lưu Batch totals 289 Tổng lô Business continuity plan 297 Kế hoạch tiếp tục kinh doanh Change control and change management 246 Kiểm soát thay đổi quản lý việc thay đổi Check digit 288 Số kiểm tra Check digit verification 288 Xác nhận số kiểm tra Checksum 291 Kỹ thuật kiểm tra độ xác liệu truyền tải thơng qua thuật tốn băm tập tin 10 Closed-loop verification 289 Kiểm tra vòng lặp kín Thuật ngữ Kiểm sốt hệ hống thơng tin kế toán Thuật ngữ Diễn giải Tran g 237 Kiểm tra tương thích kiểm sốt xác nhận ma trận kiểm soát truy cập 12 Completeness check (or test) 288 Kiểm tra tính đầy đủ 13 Concurrent update controls 290 Kiểm tra cập nhật đồng thời 14 Cookies 267 Cookies 11 Compatibility test Kiểm tra chéo số dư 15 Cross-footing balance test 16 Data loss prevention (DLP) 263 Phần mềm ngăn ngừa việc liệu 17 Data masking 265 Chương trình làm thay đổi giá trị thực liệu 18 Defense-in-depth 231 Nguyên tắc an ninh phòng thủ sâu 19 Differential backup 296 Sao lưu lũy tiến 20 Digital watermark 263 Mã đánh dấu Nguyễn Bích Liên Thuật ngữ Kiểm sốt hệ hống thơng tin kế toán Thuật ngữ Trang 21 Disaster recovery plan (DRP) 296 Kế hoạch phục hồi sau thảm họa 22 Encryption 269 Mã hóa 23 Fault tolerance 293 Dung sai/ sức chịu đựng lỗi hệ thống 24 Field check 288 Kiểm tra kiểu liệu 25 Financial total 289 Tổng tài 26 Hash total 289 Tổng hash 27 Incremental backup 295 Sao lưu phần 28 Information rights management (IRM) 262 Phần mềm quản trị quyền thông tin 29 Intrusion detection system (IDS) 248 Hệ thống phát thâm nhập 30 Limit check 288 Kiểm tra giới hạn Diễn giải Nguyễn Bích Liên Thuật ngữ Kiểm sốt hệ hống thơng tin kế tốn STT Thuật ngữ Diễn giải Trang Phân tích nhật ký 31 Log analysis 247 32 Multifactor authentication 235 33 Multimodal authentication 235 34 Parity bit 291 Một bit thêm vào liệu truyền tải nhằm kiểm tra xác 35 Parity checking 291 Kiểm sốt xác thơng tin qua kỹ thuật parity 36 Penetration test 248 Kiểm tra xâm nhập/kiểm tra bảo mật 37 Prompting 289 Nhắc nhập liệu 38 Range check 288 Kiểm tra giới hạn 39 Reasonableness test 288 Kiểm tra hợp lý 40 Record count 289 Đếm mẫu tin Nguyễn Bích Liên Thuật ngữ Kiểm sốt hệ hống thơng tin kế tốn STT Thuật ngữ Diễn giải Trang 41 Recovery point objective 295 Mốc phục hồi liệu 42 Recovery time objective 295 Mốc thời gian phục hồi 43 Sequence check 289 Kiểm tra 44 Sign check 288 Kiểm tra dấu 45 Size check 288 Kiểm tra dung lượng 46 Time-based model of security 231 Nguyên tắc an ninh dựa thời gian 47 Turnaround document 288 Chứng từ luân chuyển 48 Validity check 288 Kiểm tra hợp lệ 49 Zero-balance test 290 Kiểm tdra số dư Nguyễn Bích Liên Kiểm sốt hệ thống thơng tin Kiểm sốt hệ thống thơng tin kế toán ❖Mục tiêu kiểm soát ❖Đảm bảo hệ thống thông tin tin cậy tuân thủ luật, qui định ❖Hoạt động kiểm soát The Trust Services Framework Nguyễn Bích Liên Kiểm sốt hệ thống thơng tin Kiểm sốt hệ thống thơng tin kế tốn Khn mẫu niềm tin dịch vụ - the trust services framework Hệ thống thông tin đáng tin cậy Bảo mật thông tin confidentiality Bảo vệ quyền riêng tư Privacy Tính tồn vẹn Processing integrity Tính khả dụng Availability An ninh/an tồn thơng tin : (security) 10 Nguyễn Bích Liên Phần Kiểm sốt tính tồn vẹn Kiểm sốt hệ hống thơng tin kế toán ❖ Kiểm soát đầu vào - Kiểm soát trình nhập liệu VÍ DỤ BẢNG KÊ BÁN HÀNG SỐ HĐ NGÀY HĐ NỘI DUN G MÃ KH TÊN KH MÃ HH TÊN HH SỐ LƯỌN G ĐƠN GIÁ TIỀN 21 02/02/2018 01 A 100 1.000 100.000 22 01/02/2018 02 B 200 5.000 1.000.000 23 14/02/2018 01 A 300 3.000 900.000 18 28/01/2017 02 C 200 3.000 600.000 06 D 1000 3.000 3.000.000 25 30/02/2018 Thơng tin bổ sung • Mặt hàng A tồn đầu ngày 01/02: 80 số lượng, ngày 01và 02 khơng nhập hàng Nguyễn Bích Liên • Khơng có mặt hàng D kho 51 Phần Kiểm sốt tính tồn vẹn Kiểm sốt hệ thống thơng tin kế tốn ❖ Kiểm sốt đầu vào - Kiểm soát Nhập liệu trực tuyến (online) (bổ sung thêm) Thủ tục kiểm sốt • Chỉ dẫn (prompting) Hệ thống yêu cầu vùng nhập liệu cần có xác nhận chấp nhận để đảm bảo tất vùng liệu cần thiết nhập vào hệ thống • Kiểm tra liệu liên quan (closed –loop verification) Kiểm tra tính xác liệu nhập vào cách lấy lại hiển thị thông tin liên quan khác • nhật ký nghiệp vụ tạo để làm khôi phục/tái tạp lại tập tin online bị hư 52 Nguyễn Bích Liên Phần Kiểm sốt tính tồn vẹn Kiểm sốt hệ thống thơng tin kế toán ❖ Kiểm soát đầu vào - Kiểm sốt Nhập liệu theo lơ Thủ tục kiểm sốt • Kiểm tra theo trình tự (sequence check) Trình tự lơ có trình tự tập tin • • Tạo nhật ký liệu sai sót, khơng xử lý Tổng lơ (batch total) o Tổng tài (financial total) o Tổng Hash (hash total) o Đếm mẫu tin (record count) 53 Nguyễn Bích Liên Phần Kiểm sốt tính tồn vẹn Kiểm sốt hệ thống thơng tin kế tốn ❖ Kiểm sốt đầu vào - Kiểm sốt Nhập liệu theo lơ mẩu tin Ngày Số HĐ Số tiền 1.000.000 B 300.000 A 2.000.000 C 14 3.300.000 Mã Khách hàng Tổng tài Tổng Hash 54 Nguyễn Bích Liên Phần Kiểm sốt tính tồn vẹn Kiểm sốt hệ thống thơng tin kế tốn ❖Kiểm sốt xử lý ▪ Mục tiêu: đảm bảo liệu cập nhật Thủ tục kiểm soát o Kiểm tra phù hợp liệu (data matching) o Kiểm tra nhãn thuộc tính tập tin liệu (flie labels) o Kiểm tra tổng số lô sau xử lý (batch totals) o Kiểm tra chéo (cross-footing test) kiểm tra số dư (zero-balance test) o Cơ chế chống ghi tập tin (write-protection mechanism) o Kiểm soát cập nhật đồng thời (concurrent update control) trường hợp có nhiều người dùng truy cập đến liệu 55 Nguyễn Bích Liên Phần Kiểm sốt tính tồn vẹn Kiểm sốt hệ thống thơng tin kế tốn ❖Kiểm soát kết xử lý ▪ Mục tiêu: Đảm bảo thông tin cung cấp đáng tin cậy Thủ tục kiểm sốt • Người dùng kiểm tra, đánh giá thơng tin đầu • Quy định thủ tục quy trình đối chiếu liệu, thơng tin • Đối chiếu liệu ngồi hệ thống • Kiểm sốt truyền tải liệu 56 Nguyễn Bích Liên Phần Kiểm sốt tính khả dụng (sẵn sàng) Kiểm sốt hệ thống thơng tin kế tốn ▪ Kiểm sốt tính khả dụng nhằm đảm bảo hệ thống thông tin sẵn sàng có nhu cầu 5.1 Giảm thiểu rủi ro thời gian ngưng trệ hệ thống (system downtime) 5.2 Phục hồi tiếp tục hoạt động thông thường (recovery & resumption of normal operations) • Thủ tục lưu dự phịng (backup procedures) • Kế hoạch phục hồi sau thảm họa tiếp tục kinh doanh (disaster recovery & business continuity planning) • Tác động ảo hóa (virtualization) điện tốn đám mây (cloud computing) 57 Nguyễn Bích Liên Phần Kiểm sốt tính khả dụng (sẵn sàng) Kiểm sốt hệ thống thơng tin kế tốn ❖Giảm thiểu rủi ro thời gian ngưng trệ hệ thống (system downtime Hoạt động kiểm sốt • Thiết lập hệ thống/thành phần thiết bị dự phòng trường hợp hệ thống ngưng trệ • • • • • • Các biện pháp an toàn tài sản từ hiểm họa tự nhiên Kiểm soát hỏa hoạn Kiểm soát hệ thống thiết bị máy tính, Kiểm sốt nguồn điện Dùng hệ thống UPS (uninterruptible power supply) Kiểm soát truy cập vật lý 58 Nguyễn Bích Liên Phần Kiểm sốt tính khả dụng (sẵn sàng) Kiểm sốt hệ thống thơng tin kế tốn ❖Phục hồi tiếp tục hoạt động bình thường Hoạt động kiểm sốt • • Thiết lập thủ tục lưu dự phòng (backup) Thiết lập kế hoạch phục hồi thiên tai (disaster recovery plan –DRP) kế hoạch tiếp tục hoạt động (business continuity plan- BCP) • Để thiết lập DRP & BCP, DN cần trả lời câu hỏi oBao nhiêu liệu tái tạo lại từ liệu nguồn (nếu có) từ liệu bị mất/hư hỏng oDoanh nghiệp tồn khơng có hệ thống thơng tin hành 59 Nguyễn Bích Liên Phần Kiểm sốt tính khả dụng (sẵn sàng) Kiểm sốt hệ thống thơng tin kế tốn ❖Phục hồi tiếp tục hoạt động bình thường • Xác định RPO RTO • Tùy tính chất tổ chức để xác định RPO RTO phù hợp (có thể đo lường theo hay ngày) • RPO RTO dài mức độ đầu tư cho DRP BCP -> chi phí thấp so với RPO 60 Nguyễn Bích Liên RTO thấp Phần Kiểm sốt tính khả dụng (sẵn sàng) Kiểm sốt hệ thống thơng tin kế tốn ❖Phục hồi tiếp tục hoạt động bình thường Thủ tục lưu dự phịng liệu (data backup) • Lưu dự phịng (copy) sở liệu, tập tin chương trình • Các thủ tục Lưu dự phịng: o Lưu dự phịng tồn bộ: Full backup (tồn CSDL); Cách lưu tốn thời gian, nên thường định kỳ hàng tuần o Lưu dự phòng phần/hàng ngày (Daily partial backup) Có cách: o Incremental Daily Backup- Chỉ lưu liệu thay đổi ngày kể từ lần lưu cuối trước o Differential Daily Backup- Lưu toàn liệu thay đổi lũy kế tới ngày lưu dự phịng 61 Nguyễn Bích Liên Phần Kiểm sốt tính khả dụng (sẵn sàng) Kiểm sốt hệ thống thơng tin kế tốn ❖Phục hồi tiếp tục hoạt động bình thường Thủ tục lưu dự phịng liệu (data backup) 62 Nguyễn Bích Liên Phần Kiểm sốt tính khả dụng (sẵn sàng) Kiểm sốt hệ thống thơng tin kế tốn ❖Phục hồi tiếp tục hoạt động bình thường Kế hoạch phục hồi thảm họa (DRP) • DRP: liệt kê thủ tục để khôi phục chức hoạt động DN trường hợp trung tâm liệu bị phá hủy tự nhiên khủng bố • Lập hồ sơ DRP • Kiểm tra/test DRP định kỳ (thường hàng năm) • Có lựa chọn cho thay sở hạ tầng CNTT (gồm phần mềm, mạng truyền thông, Router, liệu v.v… o Cold site o Hot side o Thiết lập Trung tậm liệu liệu thứ hai lưu dự phòng sử dụng cố xẩy 63 Nguyễn Bích Liên Phần Kiểm sốt tính khả dụng (sẵn sàng) Kiểm sốt hệ thống thơng tin kế tốn ❖Phục hồi tiếp tục hoạt động bình thường Kế hoạch tiếp tục kinh doanh (BCP) • BCP xác định cách thức hoạt động lại hệ thống IT qui trình kinh doanh o Xác định vị trí dự phòng o Thuê chỗ thay tạm thời o V.v… • Lập hồ sơ BCP • Xem xét lại kiểm tra định kỳ BCP (thường hàng năm) 64 Nguyễn Bích Liên Phần Kiểm sốt tính khả dụng (sẵn sàng) Kiểm sốt hệ thống thơng tin kế tốn ❖Phục hồi tiếp tục hoạt động bình thường Tác động ảo hóa (Virtualization) điện tốn đám mây (Cloud computer) 65 Nguyễn Bích Liên ... Bích Liên Kiểm sốt hệ thống thơng tin Kiểm sốt hệ thống thơng tin kế tốn Khn mẫu niềm tin dịch vụ - the trust services framework Hệ thống thông tin đáng tin cậy Bảo mật thông tin confidentiality... 290 Kiểm tdra số dư Nguyễn Bích Liên Kiểm sốt hệ thống thơng tin Kiểm sốt hệ thống thơng tin kế tốn ❖Mục tiêu kiểm sốt ❖Đảm bảo hệ thống thơng tin tin cậy tuân thủ luật, qui định ❖Hoạt động kiểm... Zone (DMZ) • Kiểm sốt truyền tải thông tin mạng truyền thông: cắt mẩu thông tin, nhận truy cập mẩu thông tin truyền tải; • Đảm bảo an ninh kết nối từ xa/ bên hệ thống qua thiết bị kết nối (modem)