Chương 12 Vấn đề bảo mật kiểm soát hệ thống thơng tin quản lý Nội Dung Tính dể bị tổn thương HTTT: • Nguyên nhân • Các quan tâm người sử dụng & người xây dựng HT • Vấn đề chất lượng HT: phần mềm & liệu Tạo lập mơi trường kiểm sốt: • Các kiểm soát tổng quát & kiểm soát ứng dụng • Phát triển cấu trúc kiểm sốt: chi phí & lợi ích • Vai trò kiểm tốn qui trình kiểm sốt Bảo đảm chất lượng HT: • công cụ & phương pháp đảm bảo chất lượng phần mềm, • kiểm tốn chất lượng liệu & làm liệu Tính dể bị tổn thương HTTT  HTTT với DL lưu trữ file máy tính có tiềm bị truy xuất số lớn cá nhân & nhóm bên ngồi tổ chức  DL tự động dể bị tổn thương phá hủy, gian trá, sai sót & sử dụng sai  Các Cty dựa máy tính để xử lý giao dịch kinh doanh quan trọng ko thực chức kinh doanh họ khả sử dụng máy tính vài ngày Tính dể bị tổn thương HTTT: Nguyên nhân   khối lượng lớn DL lưu dạng điện tử, chúng dể bị tổn thương từ nhiều loại đe dọa DL lưu trử thủ cơng Các đe dọa là: • Hư tổn phần cứng • Hư tổn phần mềm • Hành động người • Sự thâm nhập • Ăn cắp DL, dịch vụ, thiết bị • Cháy • Các vấn đề điện • Các sai sót người dùng • Chương trình thay đổi • Các vấn đề truyền thông Các đe dọa đến từ yếu tố môi trường, tổ chức & kỹ thuật định quản trị tồi tệ Tính dể bị tổn thương HTTT: Nguyên nhân  Sự tiến phần mềm máy tính & truyền thơng làm tăng thêm thương tổn này: thông qua mạng truyền thông, HTTT ~ nơi khác kết nối với  tiềm việc truy xuất ko cấp quyền, lạm dụng, gian trá ko giới hạn nơi mà xảy điểm mạng  Internet có vấn đề đặc biệt thiết kế cách tường minh để truy xuất cách dể dàng người HT máy tính khác Tính dể bị tổn thương HTTT: Nguyên nhân Tính dể bị tổn thương HTTT: Nguyên nhân Tính dể bị tổn thương HTTT: Nguyên nhân    Hacker: người truy xuất ko cấp quyền tới mạng máy tính lợi nhuận, tội phạm hay ham thích cá nhân Hacker dùng cách bom logic, trojan horses, denial of service attack Virus máy tính: phần mềm lây lan từ HT đến HT khác, làm nghẻn nhớ máy tính hay phá hủy chương trình, DL Phần mềm Antivirus: thiết kế để kiểm tra HT máy tính & đĩa có chứa loại virus máy tính Tính dể bị tổn thương HTTT: Các quan tâm người sử dụng & người xây dựng HT    Thảm họa: cháy, nguồn điện…  backup, duplicate… Bảo mật: sách, qui trình & đo lường kỹ thuật dùng để tránh truy xuất ko cấp quyền, thay đổi, trộm cắp hay hư hỏng vật lý HTTT Sai sót quản trị: xảy điểm chu kỳ xử lý từ nhập liệu, sai sót chương trình, hoạt động máy tính & phần cứng Tính dể bị tổn thương HTTT: Các quan tâm người sử dụng & người xây dựng HT Các điểm chu kỳ xử lý xảy sai sót Tính dể bị tổn thương HTTT: Vấn đề chất lượng HT: phần mềm & liệu  phần mềm: bug & nhược điểm mã chương trình độ phức tạp mã định / chuyển hướng ko thể xóa bỏ hồn tồn  liệu: ko xác, ko kịp thời, ko thống với nguồn TT khác tạo vấn đề nghiêm trọng điều hành & tài chánh doanh nghiệp Tạo lập mơi trường kiểm sốt  để tối thiểu hố sai sót, thảm họa, gián đoạn dịch vụ, tội phạm máy tính & vi phạm bảo mật, sách & qui trình đặc biệt cần phải kết hợp việc thiết kế & triển khai thực HTTT  Kiểm sốt: gồm phương pháp, sách & qui trình tổ chức để đảm bảo an tồn cho tài sản tổ chức, độ xác & tin cậy mẩu tin, & tuân thủ hoạt động điều hành theo chuẩn quản trị Tạo lập mơi trường kiểm sốt: Các kiểm sốt tổng quát & kiểm soát ứng dụng   Kiểm soát tổng quát: quản lý việc thiết kế, bảo mật, sử dụng chương trình máy tính, & việc bảo mật tập tin DL cách tổng quát xuyên suốt sở hạ tầng công nghệ thông tin tổ chức Bao gồm kiểm soát phần mềm, kiểm soát phần cứng vật lý, kiểm sốt hoạt động máy tính, kiểm sốt bảo mật DL, kiểm sốt qui trình thực HT & kiểm soát quản trị Kiểm soát ứng dụng: kiểm soát cụ thể ứng dụng máy tính Bao gồm kiểm sốt áp dụng lĩnh vực chức HT cụ thể & qui trình thảo chương Tạo lập mơi trường kiểm soát: Các kiểm soát tổng quát & kiểm soát ứng dụng Tạo lập mơi trường kiểm sốt: Các kiểm soát tổng quát & kiểm soát ứng dụng    Kiểm soát bảo mật DL: Kiểm soát để bảo đảm tập tin DL ko bị truy xuất ko cấp quyền, thay đổi hay phá hủy Kiểm soát quản trị: qui định, qui trình, luật lệ & chuẩn hình thức để bảo đảm kiểm sốt tổ chức áp dụng & thi hành thích hợp loại kiểm sốt đòi hỏi giám sát & nhập liệu từ người dùng cuối & nhà QL Tạo lập mơi trường kiểm sốt: Các kiểm soát tổng quát & kiểm soát ứng dụng  Kiểm sốt ứng dụng bao gồm qui trình thủ cơng lẫn tự động để đảm bảo DL cấp quyền xử lý cách xác & đầy đủ ứng dụng Gồm loại: • Kiểm sốt nhập liệu • Kiểm sốt xử lý • Kiểm sốt kết xuất Tạo lập mơi trường kiểm sốt: Phát triển cấu trúc kiểm sốt: chi phí & lợi ích     Để định nên dùng kiểm soát nào, người xây dựng HTTT phải kiểm tra kỹ thuật kiểm soát khác tương quan chúng với & hiệu quả-chi phí tương đối chúng Một kiểm sốt bị yếu điểm khắc phục kiểm sốt khác Ko thể có hiệu chi phí xây dựng kiểm sốt chặt chẻ điểm chu kỳ xử lý khu vực rủi ro cao bảo mật hay lợi ích kiểm sốt mang lại chổ khác Kết hợp tất kiểm soát phát triển cho ứng dụng cụ thể xác định cấu trúc kiểm sốt tổng thể Tạo lập mơi trường kiểm sốt: Phát triển cấu trúc kiểm sốt: chi phí & lợi ích Căn để xác định mức kiểm soát:  Tùy vào tầm quan trọng DL mà xây dựng kiểm soát đến mức HT  Hiệu chi phí kiểm sốt bị ảnh hưởng hiệu suất, độ phức tạp & đắt đỏ kỹ thuật kiểm soát  Mức độ rủi ro qui trình hay hoạt động cụ thể ko kiểm sốt thích hợp Tạo lập mơi trường kiểm sốt: Vai trò kiểm tốn qui trình kiểm soát      để biết kiểm sốt HTTT có hiệu hay ko, tổ chức phải thực việc kiểm toán HT Kiểm toán HTTTQL: xác định tất kiểm soát chi phối HTTT & đánh giá hiệu chúng để thực điều này, kiểm toán viên phải hiểu xuyên suốt hoạt động điều hành, tiện ích vật lý, truyền thơng, HT kiểm sốt, đối tượng bảo mật DL, cấu trúc tổ chức, người, qui trình thủ cơng & ứng dụng Kiểm tốn viên thường vấn cá nhân chủ chốt sử dụng & điều hành HTTT cụ thể liên quan đến hoạt động & qui trình Kiểm tốn viên nên theo vết dòng giao dịch mẩu xuyên suốt HT & thực thử nghiệm, sử dụng, cần dùng phần mềm kiểm toán tự động Kiểm toán viên liệt kê & xếp hạng tất điểm yếu kiểm soát & ước lượng xác suất xảy Tạo lập mơi trường kiểm sốt: Vai trò kiểm tốn qui trình kiểm sốt Bảo đảm chất lượng HT: công cụ & phương pháp đảm bảo chất lượng phần mềm      Giải pháp cho vấn đề chất lượng phần mềm bao gồm việc sử dụng phương pháp phát triển HT thích hợp, phân bổ nguồn lực thích hợp phát triển HT, sử dụng thước đo & trọng việc testing phương pháp phát triển HT: tập hợp phương pháp, hay nhiều cho mổi hoạt động mổi giai đoạn dự án phát triển HT phân bổ nguồn lực thích hợp phát triển HT: xác định cách thức phân bổ người, thời gian, chi phí giai đoạn khác dự án Thước đo phần mềm: đánh giá mục tiêu phần mềm sử dụng HT dạng đo lường định lượng Testing: giai đoạn thiết kế cách xem xét đặc tả thiết kế Khi bắt đầu lập trình chương trình phải test máy tính Việc phát sai sót chương trình thực thơng qua tiến trình debug Bảo đảm chất lượng HT: kiểm toán chất lượng liệu & làm liệu    Chất lượng HTTT cải tiến cách xác định & hiệu chỉnh DL sai, phát sai sót Phân tích chất lượng DL thường bắt đầu với việc kiểm toán chất lượng DL; khảo sát có cấu trúc xác & mức độ đầy đủ DL HTTT Kiểm toán chất lượng DL thực theo phương pháp sau: • Khảo sát người dùng cuối cảm nhận họ chất lượng DL • Khảo sát tồn file DL • Khảo sát mẩu trích từ file DL Bảo đảm chất lượng HT: kiểm toán chất lượng liệu & làm liệu   Làm DL: tinh chỉnh sai sót & ko thống DL để gia tăng độ xác Làm DL trở thành yêu cầu cốt lỏi data warehouse, CRM, & thương mại dựa Web