Xử lý tính toàn vẹn và Kiểm soát tính khả dụng

Machine Translated by Google
CHƯƠNG
13
Xử lý tính toàn vẹn và
Kiểm soát tính khả dụng
MỤC TIÊU HỌC TẬP
Sau khi nghiên cứu chương này, bạn sẽ có thể:
1. Xác định và giải thích các biện pháp kiểm soát đầu vào, xử lý và đầu ra được thiết kế để
đảm bảo tính toàn vẹn của quá trình xử lý.
2. Xác định và giải thích các biện pháp kiểm soát được thiết kế để đảm bảo tính khả dụng của hệ thống
bằng cách giảm thiểu rủi ro về thời gian ngừng hoạt động của hệ thống và cho phép khôi phục
và tiếp tục hoạt động một cách hiệu quả.
TRƯỜNG HỢP TÍCH HỢP Northwest Industries
Jason Scott bắt đầu xem xét các biện pháp kiểm soát tính sẵn có và tính toàn vẹn trong xử lý của
Northwest Industries bằng cách gặp giám đốc tài chính (CFO) và giám đốc thông tin (CIO). Giám
đốc tài chính đề cập rằng cô vừa đọc một bài báo về việc lỗi bảng tính đã khiến một số công ty
đưa ra những quyết định sai lầm khiến họ thiệt hại hàng triệu đô la như thế nào. Cô muốn chắc
chắn rằng những vấn đề như vậy sẽ không xảy ra với Northwest Industries.
Bà cũng nhấn mạnh cần tiếp tục cải tiến quy trình chốt sổ hàng tháng để ban lãnh đạo có thông
tin kịp thời hơn. CIO bày tỏ lo ngại về việc công ty thiếu kế hoạch để tiếp tục hoạt động kinh
doanh trong trường hợp xảy ra thảm họa thiên nhiên lớn, chẳng hạn như Bão Sandy, khiến một số
doanh nghiệp nhỏ phải đóng cửa. Jason cảm ơn họ đã đóng góp ý kiến và bắt đầu thu thập bằng
chứng về tính hiệu quả của các quy trình của Northwest Industries trong việc đảm bảo tính toàn
vẹn và sẵn sàng xử lý.
Giới thiệu
Hai chương trước đã thảo luận về ba nguyên tắc đầu tiên về độ tin cậy của hệ thống
được xác định trong Khung dịch vụ tin cậy: bảo mật, bảo mật và quyền riêng tư. Chương
này đề cập đến hai nguyên tắc còn lại của Khung dịch vụ tin cậy: tính toàn vẹn và tính
sẵn sàng xử lý.
422
Shutterstock;
Shutterstock
Alexskopje/
Miles/
Stuart
Xử lý tính toàn vẹn
Nguyên tắc toàn vẹn xử lý của Khung dịch vụ tin cậy nêu rõ rằng một hệ thống đáng tin cậy tạo ra thông tin chính xác, đầy
đủ, kịp thời và hợp lệ. Bảng 13-1 liệt kê các biện pháp kiểm soát cơ bản đối với đầu vào, xử lý và đầu ra của dữ liệu mà
quy trình COBIT 2019 DSS06 xác định là cần thiết cho tính toàn vẹn của quá trình xử lý.
ĐIỀU KHIỂN ĐẦU VÀO
Cụm từ “rác vào, rác ra” nêu bật tầm quan trọng của việc kiểm soát đầu vào. Nếu dữ liệu được nhập vào hệ thống không chính
xác, không đầy đủ hoặc không hợp lệ thì kết quả đầu ra cũng sẽ như vậy. Do đó, chỉ những người có thẩm quyền hành động
trong thẩm quyền của họ mới chuẩn bị các tài liệu nguồn. Ngoài ra, cần thiết kế biểu mẫu, hủy bỏ và lưu trữ tài liệu nguồn
cũng như kiểm soát nhập dữ liệu tự động để xác minh tính hợp lệ của dữ liệu đầu vào.
THIẾT KẾ MẪU MẪU Tài liệu nguồn và các biểu mẫu khác phải được thiết kế để giảm thiểu khả năng xảy ra sai sót và thiếu sót.
Hai biện pháp kiểm soát thiết kế biểu mẫu đặc biệt quan trọng liên quan đến việc đánh số trước các tài liệu nguồn một cách
tuần tự và sử dụng các tài liệu quay vòng.
1. Tất cả các tài liệu nguồn phải được đánh số trước theo thứ tự. Việc đánh số trước cải thiện khả năng kiểm soát bằng
cách có thể xác minh rằng không có tài liệu nào bị thiếu. (Để hiểu điều này, hãy xem xét khó khăn bạn sẽ gặp phải
trong việc cân bằng tài khoản séc nếu không có séc nào của bạn được đánh số.) Khi sử dụng các tài liệu dữ liệu nguồn
được đánh số trước theo thứ tự, hệ thống phải được lập trình để xác định và báo cáo các tài liệu nguồn bị thiếu hoặc
trùng lặp.
2. Như đã giải thích trong Chương 2, các công ty sử dụng tài liệu quay vòng để loại bỏ nhu cầu bên ngoài phải gửi thông
tin mà tổ chức đã sở hữu, chẳng hạn như số tài khoản của khách hàng. Thay vào đó, dữ liệu đó được in trước ở định dạng
máy có thể đọc được trên tài liệu quay vòng. Một ví dụ là hóa đơn tiện ích mà một thiết bị quét đặc biệt sẽ đọc khi
hóa đơn được trả lại cùng với khoản thanh toán. Tài liệu quay vòng cải thiện độ chính xác bằng cách loại bỏ khả năng
xảy ra lỗi đầu vào khi nhập dữ liệu theo cách thủ công.
HỦY VÀ LƯU TRỮ TÀI LIỆU NGUỒN Các tài liệu nguồn đã nhập vào hệ thống phải được hủy bỏ để không bị nhập lại vào hệ thống
một cách vô tình hoặc gian lận. Ví dụ, các tài liệu giấy phải được xóa mờ bằng cách đóng dấu "đã thanh toán" trên chúng.
Các tài liệu điện tử có thể bị “hủy” tương tự bằng cách đặt trường cờ để cho biết rằng tài liệu đã được xử lý. Lưu ý: Hủy
bỏ không có nghĩa là hủy bỏ.
Các tài liệu nguồn gốc (hoặc hình ảnh điện tử của chúng) phải được lưu giữ trong khoảng thời gian cần thiết để đáp ứng các
yêu cầu pháp lý và quy định cũng như cung cấp dấu vết kiểm tra.
423
424 PHẦN III KIỂM SOÁT HỆ THỐNG THÔNG TIN KẾ TOÁN
BẢNG 13-1 Kiểm soát ứng dụng để xử lý tính toàn vẹn
Giai đoạn xử lý Mối đe dọa/Rủi ro Điều khiển
Đầu vào
Dữ liệu đó là: Thiết kế biểu mẫu, hủy bỏ và lưu trữ
• không hợp lệ tài liệu, ủy quyền và phân chia
• trái phép nhiệm vụ kiểm soát, quét trực
• Chưa đầy đủ quan, kiểm soát nhập dữ liệu

• Không chính xác
Xử lý Lỗi dữ liệu đầu ra và lưu trữ So khớp dữ liệu, nhãn tệp, tổng số
lô, kiểm tra chéo và cân bằng 0,
cơ chế bảo vệ ghi, kiểm soát tính
toàn vẹn của quá trình xử lý cơ sở
dữ liệu
đầu ra • Sử dụng thông tin không chính xác hoặc không phù hợp Nhận xét và đối chiếu,
báo cáo đầy đủ kiểm soát truy cập và mã hóa, kiểm tra
• Tiết lộ trái phép thông tin nhạy tính chẵn lẻ, kỹ thuật xác
cảm nhận tin nhắn, chuỗi khối
kiểm tra trường - Kiểm tra chỉnh sửa để
kiểm tra xem các ký tự trong một trường • Mất mát, thay đổi hoặc tiết lộ thông
có thuộc loại trường chính xác hay tin trong quá trình truyền tải
không (ví dụ: dữ liệu số trong
trường số).
KIỂM SOÁT NHẬP DỮ LIỆU Các tài liệu nguồn phải được quét để đảm bảo tính hợp lý và phù hợp trước khi
kiểm tra dấu - Kiểm tra chỉnh sửa để xác
minh rằng dữ liệu trong một trường có nhập vào hệ thống. Tuy nhiên, biện pháp kiểm soát thủ công này phải được bổ sung bằng các biện pháp
dấu số học thích hợp. kiểm soát nhập dữ liệu tự động, chẳng hạn như sau:
• Kiểm tra trường sẽ xác định xem các ký tự trong trường có thuộc loại thích hợp hay không. Ví dụ:
kiểm tra giới hạn - Kiểm tra chỉnh
việc kiểm tra một trường được cho là chỉ chứa các giá trị số, chẳng hạn như mã zip của Hoa Kỳ,
sửa để kiểm tra một lượng số so với một
sẽ cho biết có lỗi nếu trường đó chứa các ký tự chữ cái.
giá trị cố định.
• Kiểm tra dấu xác định xem dữ liệu trong một trường có dấu số học thích hợp hay không.
kiểm tra phạm vi - Kiểm tra chỉnh sửa Ví dụ: trường số lượng đặt hàng không bao giờ được âm.
để kiểm tra xem một mục dữ liệu có nằm
• Kiểm tra giới hạn kiểm tra một lượng bằng số so với một giá trị cố định. Ví dụ: trường số giờ
trong giới hạn trên và dưới được
xác định trước hay không. làm việc thông thường trong đầu vào bảng lương hàng tuần phải nhỏ hơn hoặc bằng 40 giờ. Tương
tự, trường lương theo giờ phải lớn hơn hoặc bằng mức lương tối thiểu.
kiểm tra kích thước - Kiểm tra chỉnh sửa
• Kiểm tra phạm vi sẽ kiểm tra xem một số lượng có nằm giữa giới hạn dưới và giới hạn trên được xác
để đảm bảo dữ liệu đầu vào sẽ vừa với
định trước hay không. Ví dụ: khuyến mãi tiếp thị có thể chỉ hướng tới những khách hàng tiềm
trường được chỉ định.
năng có thu nhập từ 50.000 USD đến 99.999 USD.

kiểm tra tính đầy đủ (hoặc kiểm tra) - • Kiểm tra kích thước đảm bảo rằng dữ liệu đầu vào sẽ vừa với trường được chỉ định. Ví dụ: giá trị
Kiểm tra chỉnh sửa để xác minh rằng tất
458.976.253 sẽ không vừa với trường có tám chữ số. Như đã thảo luận trong Chương 11, việc
cả dữ liệu cần thiết đã được nhập.
kiểm tra kích thước đặc biệt quan trọng đối với các ứng dụng chấp nhận trực tiếp đầu vào của
người dùng cuối, cung cấp cách ngăn chặn các lỗ hổng tràn bộ đệm.
kiểm tra tính hợp lệ - Kiểm tra chỉnh
• Kiểm tra (hoặc kiểm tra) tính đầy đủ xác minh rằng tất cả các mục dữ liệu bắt buộc đã được nhập.
sửa so sánh mã ID hoặc số tài khoản
trong dữ liệu giao dịch với dữ liệu tương Ví dụ: hồ sơ giao dịch bán hàng sẽ không được chấp nhận để xử lý trừ khi chúng bao gồm địa chỉ
tự trong tệp chính để xác minh rằng
giao hàng và thanh toán của khách hàng.
• Kiểm tra tính hợp lệ sẽ so sánh mã ID hoặc số tài khoản trong dữ liệu giao dịch với
tài khoản tồn tại.
dữ liệu tương tự trong tệp chính để xác minh rằng tài khoản tồn tại. Ví dụ: nếu số sản phẩm
kiểm tra tính hợp lý - Một bản chỉnh sửa 65432 được nhập vào đơn bán hàng, máy tính phải xác minh rằng thực sự có sản phẩm 65432 trong cơ
kiểm tra tính đúng đắn về mặt logic của
sở dữ liệu hàng tồn kho.
mối quan hệ giữa dữ liệu
mặt hàng.
• Kiểm tra tính hợp lý sẽ xác định tính đúng đắn của mối quan hệ logic giữa hai mục dữ liệu. Ví
dụ: số giờ làm thêm sẽ bằng 0 đối với người chưa làm việc đủ số giờ bình thường tối đa trong
chữ số kiểm tra - Số ID (chẳng hạn như một kỳ lương.
số mặt hàng tồn kho) có thể chứa một chữ
• Mã ID (chẳng hạn như số bộ phận) có thể chứa một chữ số kiểm tra được tính từ các chữ số khác. Ví
số kiểm tra được tính từ các chữ số khác.
dụ: hệ thống có thể gán cho mỗi mặt hàng tồn kho mới một số có chín chữ số, sau đó tính chữ số
thứ mười từ chín chữ số ban đầu và nối số được tính đó vào chín chữ số ban đầu để tạo thành số
xác minh số kiểm tra - Tính lại số kiểm
bộ phận gồm 10 chữ số. Sau đó, các thiết bị nhập dữ liệu có thể được lập trình để thực hiện xác
tra để xác minh rằng không có lỗi nhập
minh số kiểm tra, bao gồm việc tính toán lại số kiểm tra để xác định lỗi nhập dữ liệu. Tiếp
dữ liệu.
tục ví dụ của chúng tôi, xác minh chữ số kiểm tra có thể được sử dụng để
CHƯƠNG 13 Tính toàn vẹn trong quá trình xử lý và khả năng kiểm soát tính khả dụng 425
xác minh tính chính xác của số mặt hàng tồn kho bằng cách sử dụng chín chữ số đầu tiên để tính chữ số thứ mười.
Nếu xảy ra lỗi khi nhập bất kỳ chữ số nào trong mười chữ số, phép tính được thực hiện trên chín chữ số đầu
tiên sẽ không khớp với chữ số thứ mười hoặc chữ số kiểm tra. Lưu ý rằng xác minh chữ số kiểm tra chỉ kiểm tra
xem mã ID trong bản ghi giao dịch có thể tồn tại hay không và được thiết kế để phát hiện lỗi chuyển vị (ví
dụ: nhập 35689 thay vì 35869 làm số bộ phận). Kiểm tra tính hợp lệ là cách duy nhất để xác minh rằng mã ID
thực sự tồn tại.
Các thử nghiệm nhập dữ liệu trước đó được sử dụng cho cả xử lý hàng loạt và xử lý thời gian thực trực tuyến. Các điều
khiển đầu vào dữ liệu bổ sung khác nhau đối với hai phương pháp xử lý.
ĐIỀU KHIỂN NHẬP DỮ LIỆU XỬ LÝ HÀNG BỔNG
• Xử lý hàng loạt hoạt động hiệu quả hơn nếu các giao dịch được sắp xếp sao cho số lượng tài khoản bị ảnh
hưởng theo cùng trình tự với các bản ghi được lưu trữ trong tệp chính. Ví dụ: xử lý hàng loạt giao dịch
bán hàng chính xác để cập nhật số dư tài khoản khách hàng yêu cầu tệp giao dịch bán hàng trước tiên phải được
sắp xếp theo số tài khoản khách hàng.
Kiểm tra trình tự kiểm tra xem tệp giao dịch có theo đúng trình tự số hoặc chữ cái hay không. kiểm tra trình tự - Kiểm tra chỉnh sửa để
xác định xem tệp giao dịch có theo đúng
thứ tự số hoặc bảng chữ cái hay không.

• Nhật ký lỗi xác định lỗi nhập dữ liệu (ngày, nguyên nhân, sự cố) tạo điều kiện kịp thời
xem xét và gửi lại các giao dịch không thể xử lý được.
• Tổng số lô tính toán các giá trị số cho một lô bản ghi đầu vào. Tổng số lô được sử dụng để đảm bảo rằng tất cả tổng số lô - tổng của một mục số
cho một lô tài liệu, được tính trước

các bản ghi trong một lô đều được xử lý chính xác. Sau đây là ba tổng số lô được sử dụng phổ biến:
khi xử lý lô, khi dữ liệu được nhập
và sau đó được so sánh với tổng số do
máy tính tạo ra sau mỗi bước xử lý

1. Tổng tài chính tính tổng một trường chứa các giá trị tiền tệ, chẳng hạn như tổng số đô la
để xác minh rằng dữ liệu đã được xử lý
tổng số tiền bán hàng cho một loạt giao dịch bán hàng. chính xác.
2. Tổng số băm tính tổng một trường số phi tài chính, chẳng hạn như tổng của trường số lượng đặt hàng trong một
loạt giao dịch bán hàng. Không giống như tổng tài chính, tổng băm không có ý nghĩa cố hữu. Ví dụ: có thể
cộng các số hóa đơn trong một đợt giao dịch bán hàng nhưng kết quả không có ý nghĩa; mục đích duy nhất của
tổng tài chính - Một loại tổng lô bằng
nó là phục vụ như một điều khiển đầu vào.
tổng của một trường chứa giá trị tiền
tệ.
3. Số lượng bản ghi là số lượng bản ghi trong một lô.
tổng số băm - Một loại tổng số lô

KIỂM SOÁT NHẬP DỮ LIỆU TRỰC TUYẾN BỔ SUNG
được tạo bằng cách tính tổng các giá
trị cho một trường thường không được tính
• Nhắc nhở, trong đó hệ thống yêu cầu từng mục dữ liệu đầu vào và chờ phản hồi có thể chấp nhận được, đảm bảo
tổng.
rằng tất cả dữ liệu cần thiết đều được nhập (tức là nhắc nhở là kiểm tra tính đầy đủ trực tuyến).
số lượng bản ghi - Một loại tổng số lô
bằng số lượng bản ghi được xử lý tại một

• Xác minh vòng kín kiểm tra tính chính xác của dữ liệu đầu vào bằng cách sử dụng dữ liệu đó để truy xuất và
thời điểm nhất định.
hiển thị các thông tin liên quan khác. Ví dụ: nếu nhân viên nhập số tài khoản, hệ thống có thể truy xuất và
hiển thị tên tài khoản để nhân viên bán hàng có thể xác minh rằng số tài khoản đã được nhập chính xác.
nhắc nhở - Kiểm tra tính đầy đủ của
mục nhập dữ liệu trực tuyến yêu cầu từng

• Nhật ký giao dịch bao gồm bản ghi chi tiết về tất cả các giao dịch, bao gồm mã định danh giao dịch duy nhất, mục bắt buộc của dữ liệu đầu vào và sau
ngày và giờ nhập cũng như ai đã tham gia giao dịch. Nếu tệp trực tuyến bị hỏng, nhật ký giao dịch có thể được đó chờ phản hồi có thể chấp nhận được
trước khi yêu cầu mục bắt buộc tiếp theo.

sử dụng để xây dựng lại tệp. Nếu sự cố khiến hệ thống tạm thời bị tắt, nhật ký giao dịch có thể được sử dụng
để đảm bảo rằng các giao dịch không bị mất hoặc được nhập hai lần.
xác minh vòng kín - Phương pháp xác thực
đầu vào sử dụng dữ liệu được nhập vào hệ

KIỂM SOÁT XỬ LÝ thống để truy xuất và hiển thị các
thông tin liên quan khác để người nhập

Kiểm soát cũng cần thiết để đảm bảo dữ liệu được xử lý chính xác. Kiểm soát xử lý quan trọng bao gồm: dữ liệu có thể xác minh tính chính xác
của dữ liệu đầu vào.
• So khớp dữ liệu. Trong một số trường hợp nhất định, hai hoặc nhiều mục dữ liệu phải được khớp trước khi
hành động có thể diễn ra. Ví dụ: trước khi thanh toán cho nhà cung cấp, hệ thống phải xác minh rằng thông tin
trên hóa đơn của nhà cung cấp khớp với thông tin trên cả đơn đặt hàng và báo cáo nhận hàng.
• Nhãn tập tin. Nhãn tệp cần phải được kiểm tra để đảm bảo rằng các tệp chính xác và mới nhất đang được cập
nhật. Cả nhãn bên ngoài mà con người có thể đọc được và nhãn bên trong được viết ở dạng máy có thể đọc được
trên phương tiện ghi dữ liệu đều phải được

bản ghi tiêu đề - loại nhãn nội bộ xuất đã sử dụng. Hai loại nhãn nội bộ quan trọng là bản ghi tiêu đề và đoạn giới thiệu. Bản ghi tiêu đề nằm ở đầu
hiện ở đầu mỗi tệp và chứa tên tệp,
mỗi tệp và chứa tên tệp, ngày hết hạn và dữ liệu nhận dạng khác. Bản ghi trailer nằm ở cuối tập tin;
ngày hết hạn và thông tin nhận dạng
tệp khác. trong các tệp giao dịch, nó chứa tổng số lô được tính trong quá trình nhập. Các chương trình nên được thiết kế
để đọc bản ghi tiêu đề trước khi xử lý, nhằm đảm bảo rằng tệp chính xác đang được cập nhật. Các chương trình
cũng nên được thiết kế để đọc thông tin trong bản ghi trailer sau khi xử lý, để xác minh rằng tất cả các bản
bản ghi trailer - loại nhãn nội bộ

ghi đầu vào đã được xử lý chính xác.
xuất hiện ở cuối tệp; trong các tệp

giao dịch, bản ghi trailer chứa tổng số
• Tính toán lại tổng số lô. Tổng số lô phải được tính toán lại khi mỗi bản ghi giao dịch được xử lý, bằng cách
lô được tính trong quá trình nhập.
so sánh tổng số đang chạy được tính trong quá trình xử lý với tổng số lô tương ứng được tính trong quá
trình nhập và được lưu trong bản ghi trailer. Bất kỳ sự khác biệt nào đều cho thấy lỗi xử lý. Thông thường,
bản chất của sự khác biệt cung cấp manh mối về loại lỗi đã xảy ra. Ví dụ: nếu số lượng bản ghi được tính toán
lại nhỏ hơn bản gốc thì một hoặc nhiều bản ghi giao dịch không được xử lý.
Ngược lại, nếu số lượng bản ghi được tính toán lại lớn hơn bản gốc thì giao dịch trái phép bổ sung đã được
xử lý hoặc một số bản ghi giao dịch đã được xử lý hai lần. Nếu tổng chênh lệch tài chính hoặc hàm băm chia
hết cho 9 thì nguyên nhân có thể là lỗi chuyển vị, trong đó hai chữ số liền kề vô tình bị đảo ngược (ví dụ:
lỗi chuyển vị - Lỗi xảy ra khi các 46 thay vì 64). Lỗi chuyển vị có thể có vẻ nhỏ nhặt nhưng có thể gây ra hậu quả tài chính to lớn. Ví dụ,
số ở hai cột liền kề vô tình bị
hãy xem xét tác động của việc ghi sai lãi suất của khoản vay là 6,4% thay vì 4,6%.
hoán đổi (ví dụ: 64 được viết là
46).
• Kiểm tra chân chéo và kiểm tra độ cân bằng bằng không. Thông thường tổng số có thể được tính theo nhiều cách.
kiểm tra độ cân bằng của chân ngang
- Một biện pháp kiểm soát xử lý xác Ví dụ: trong bảng tính, tổng cuối có thể được tính bằng cách tính tổng một cột của tổng số hàng hoặc bằng cách
minh độ chính xác bằng cách so sánh tính tổng một hàng tổng số cột. Hai phương pháp này sẽ tạo ra kết quả như nhau. Kiểm tra độ cân bằng bằng chân
hai cách khác để tính tổng giống nhau.
ngang so sánh kết quả được tạo ra bởi từng phương pháp để xác minh độ chính xác. Kiểm tra số dư bằng 0 áp
dụng logic tương tự này để xác minh tính chính xác của quá trình xử lý liên quan đến tài khoản kiểm soát. Ví
kiểm tra số dư bằng 0 - Một biện dụ: tài khoản thanh toán bù trừ tiền lương được ghi nợ cho tổng số tiền lương của tất cả nhân viên trong
pháp kiểm soát đang xử lý xác minh rằng
một khoảng thời gian cụ thể. Sau đó, nó được ghi nhận vào tổng số chi phí lao động được phân bổ cho các loại
số dư của tài khoản kiểm soát bằng
0 sau khi tất cả các mục nhập vào tài

chi phí khác nhau.
khoản đó đã được thực hiện.
Tài khoản thanh toán bù trừ bảng lương phải có số dư bằng 0 sau khi cả hai bộ mục nhập đã được thực hiện; số
dư khác 0 cho biết có lỗi xử lý.
• Cơ chế bảo vệ ghi. Những điều này bảo vệ chống ghi đè hoặc xóa dữ liệu
các tập tin được lưu trữ trên phương tiện từ tính. Cơ chế chống ghi từ lâu đã được sử dụng để bảo vệ các
tập tin chính khỏi bị hư hỏng do vô tình. Những đổi mới công nghệ cũng đòi hỏi phải sử dụng cơ chế chống
ghi để bảo vệ tính toàn vẹn của dữ liệu giao dịch. Ví dụ: thẻ nhận dạng tần số vô tuyến (RFID) được sử dụng để
theo dõi hàng tồn kho cần phải được bảo vệ chống ghi để những khách hàng vô đạo đức không thể thay đổi giá
hàng hóa.
• Kiểm soát cập nhật đồng thời. Lỗi có thể xảy ra khi hai hoặc nhiều người dùng cố gắng cập nhật cùng một bản ghi
kiểm soát cập nhật đồng thời - kiểm cùng một lúc. Các biện pháp kiểm soát cập nhật đồng thời ngăn chặn những lỗi như vậy bằng cách khóa một
soát khóa người dùng để bảo vệ các bản
người dùng cho đến khi hệ thống xử lý xong giao dịch do người dùng kia nhập.
ghi riêng lẻ khỏi các lỗi có thể xảy
ra nếu nhiều người dùng cố gắng cập
nhật cùng một bản ghi cùng một lúc.
ĐIỀU KHIỂN ĐẦU RA
Việc kiểm tra cẩn thận đầu ra của hệ thống cung cấp khả năng kiểm soát bổ sung đối với tính toàn vẹn của quá trình
xử lý. Kiểm soát đầu ra quan trọng bao gồm:
• Người dùng xem xét kết quả đầu ra. Người dùng nên kiểm tra cẩn thận đầu ra của hệ thống để xác minh rằng nó
hợp lý và đầy đủ, và họ là những người nhận dự kiến.
• Thủ tục hòa giải. Định kỳ, tất cả các giao dịch và cập nhật hệ thống khác
cần được đối chiếu để kiểm soát các báo cáo, báo cáo trạng thái/cập nhật tệp hoặc các cơ chế kiểm soát khác.
Ngoài ra, các tài khoản sổ cái chung phải được đối chiếu với tổng tài khoản phụ một cách thường xuyên. Ví
dụ: số dư tài khoản kiểm soát hàng tồn kho trong sổ cái chung phải bằng tổng số dư mặt hàng trong cơ sở dữ
liệu hàng tồn kho.
Điều tương tự cũng đúng đối với các tài khoản kiểm soát tài khoản phải thu, tài sản vốn và tài khoản phải trả.
• Đối chiếu dữ liệu bên ngoài. Tổng số cơ sở dữ liệu phải được đối chiếu định kỳ với
dữ liệu được lưu trữ bên ngoài hệ thống. Ví dụ: số lượng hồ sơ nhân viên trong
Tệp bảng lương có thể được so sánh với tổng số nhân viên trong cơ sở dữ liệu nhân sự để phát hiện các nỗ lực
thêm nhân viên hư cấu vào cơ sở dữ liệu bảng lương. Tương tự, hàng tồn kho hiện có phải được đếm thực tế và so
sánh với số lượng hiện có được ghi trong cơ sở dữ liệu. Kết quả đếm vật lý phải được sử dụng để cập nhật số
lượng được ghi lại và cần điều tra những khác biệt đáng kể.
• Điều khiển truyền dữ liệu. Các tổ chức cũng cần triển khai các biện pháp kiểm soát được thiết kế để giảm thiểu
rủi ro xảy ra lỗi truyền dữ liệu. Bất cứ khi nào thiết bị nhận phát hiện lỗi truyền dữ liệu, nó sẽ yêu cầu
thiết bị gửi truyền lại dữ liệu đó. Nói chung, điều này xảy ra tự động và người dùng không biết rằng nó đã
xảy ra. Ví dụ, Giao thức điều khiển truyền (TCP) được thảo luận trong Chương 11 gán một số thứ tự cho mỗi gói
và sử dụng thông tin đó để xác minh rằng tất cả các gói đã được nhận và tập hợp lại chúng theo đúng thứ tự.
Hai điều khiển truyền dữ liệu phổ biến khác là tổng kiểm tra và bit chẵn lẻ.
1. Tổng kiểm tra. Khi dữ liệu được truyền đi, thiết bị gửi có thể tính toán hàm băm của tệp, được gọi là tổng
tổng kiểm tra - Kiểm soát truyền dữ liệu
kiểm tra. Thiết bị nhận thực hiện phép tính tương tự và gửi kết quả đến thiết bị gửi. Nếu hai giá trị băm
sử dụng hàm băm của tệp để xác minh độ
giống nhau thì việc truyền tải được coi là chính xác. Nếu không, tập tin sẽ được gửi lại.
chính xác.
2. Các bit chẵn lẻ. Máy tính biểu diễn các ký tự dưới dạng tập hợp các chữ số nhị phân gọi là bit. Mỗi bit có
hai giá trị có thể có: 0 hoặc 1. Nhiều máy tính sử dụng sơ đồ mã hóa bảy bit, quá đủ để biểu thị 26 chữ
cái trong bảng chữ cái tiếng Anh (cả chữ hoa và chữ thường), các số từ 0 đến 9 và nhiều ký hiệu đặc biệt
($, %, &, v.v.). Bit chẵn lẻ là một chữ số bổ sung được thêm vào đầu mỗi ký tự có thể được sử dụng để kiểm
tra độ chính xác khi truyền. Hai sơ đồ cơ bản được gọi là chẵn lẻ và chẵn lẻ lẻ. Trong chẵn lẻ, bit chẵn bit chẵn lẻ - Một bit bổ sung được
thêm vào mỗi ký tự; được sử dụng

lẻ được đặt sao cho mỗi ký tự có số bit chẵn có giá trị 1; trong chẵn lẻ lẻ, bit chẵn lẻ được đặt sao cho
để kiểm tra độ chính xác của đường truyền.
số bit lẻ trong ký tự có giá trị 1. Ví dụ: các chữ số 5 và 7 có thể được biểu thị bằng các mẫu bảy bit
tương ứng là 0000101 và 0000111.
Một hệ thống chẵn lẻ sẽ đặt bit chẵn lẻ từ 5 đến 0, do đó nó sẽ được truyền là 00000101 (vì mã nhị phân
cho 5 đã có hai bit có giá trị 1). Bit chẵn lẻ cho 7 sẽ được đặt thành 1 để nó được truyền là 10000111 (vì
mã nhị phân cho 7 có 3 bit có giá trị 1). Thiết bị nhận thực hiện kiểm tra tính chẵn lẻ, đòi hỏi phải xác
minh rằng số bit thích hợp được đặt thành giá trị 1 trong mỗi ký tự nhận được.
kiểm tra tính chẵn lẻ - Kiểm soát

truyền dữ liệu trong đó thiết bị
nhận tính toán lại bit chẵn lẻ để

3. Chuỗi khối. Như đã giải thích trong Chương 12, chuỗi khối cung cấp một cách để đảm bảo rằng các giao dịch và xác minh tính chính xác của dữ liệu được
tài liệu được xác thực không bị thay đổi. Tính toàn vẹn được đảm bảo bằng cách băm nội dung của từng khối truyền.
và sau đó lưu trữ nhiều bản sao của toàn bộ chuỗi trên các thiết bị khác nhau.
VÍ DỤ MINH HỌA: XỬ LÝ BÁN HÀNG TÍN DỤNG
Bây giờ chúng tôi sử dụng quy trình bán hàng tín dụng để minh họa có bao nhiêu biện pháp kiểm soát ứng dụng đã được
thảo luận thực sự hoạt động. Mỗi bản ghi giao dịch bao gồm các dữ liệu sau: số hóa đơn bán hàng, số tài khoản khách
hàng, số mặt hàng tồn kho, số lượng bán ra, giá bán và ngày giao hàng. Nếu khách hàng mua nhiều sản phẩm, sẽ có nhiều
số mặt hàng trong kho, số lượng bán và giá liên quan đến mỗi giao dịch bán hàng. Việc xử lý các giao dịch này bao gồm
các bước sau: (1) nhập và chỉnh sửa dữ liệu giao dịch; (2) cập nhật hồ sơ khách hàng và hàng tồn kho (số tiền mua
hàng trả trước được cộng vào số dư của khách hàng; đối với mỗi mặt hàng tồn kho, số lượng bán ra sẽ được trừ vào số
lượng có sẵn); và (3) chuẩn bị và phân phát chứng từ vận chuyển và/hoặc thanh toán.
KIỂM SOÁT ĐẦU VÀO Khi giao dịch bán hàng được nhập, hệ thống sẽ thực hiện một số thử nghiệm xác thực sơ bộ. Kiểm tra
tính hợp lệ xác định các giao dịch có số tài khoản không hợp lệ hoặc số mặt hàng tồn kho không hợp lệ. Kiểm tra trường
xác minh rằng các trường số lượng đặt hàng và giá chỉ chứa số và trường ngày tuân theo định dạng MM/DD/YYYY chính
xác. Kiểm tra dấu hiệu xác minh rằng trường số lượng đã bán và giá bán có chứa số dương. Kiểm tra phạm vi xác minh
rằng ngày giao hàng không sớm hơn ngày hiện tại cũng như không muộn hơn ngày giao hàng của công ty.
chính sách giao hàng được quảng cáo. Kiểm tra tính đầy đủ sẽ kiểm tra xem có bất kỳ trường cần thiết nào (ví dụ: địa
chỉ giao hàng) trống hay không. Nếu xử lý hàng loạt đang được sử dụng, doanh số bán hàng sẽ được nhóm thành các lô
(kích thước điển hình là 5 50) và một trong các tổng số lô sau đây được tính toán và lưu trữ cùng với lô: tổng tài
chính của tổng số tiền bán hàng, tổng số hóa đơn băm, hoặc số lượng bản ghi.
KIỂM SOÁT QUY TRÌNH Hệ thống đọc các bản ghi tiêu đề cho các tệp chính của khách hàng và hàng tồn kho và xác minh
rằng phiên bản mới nhất đang được sử dụng. Khi mỗi hóa đơn bán hàng được xử lý, việc kiểm tra giới hạn sẽ được sử dụng
để xác minh rằng giao dịch bán hàng mới không làm tăng số dư tài khoản của khách hàng vượt quá giới hạn tín dụng đã
thiết lập trước. Nếu đúng như vậy, giao dịch sẽ tạm thời bị hủy và một thông báo sẽ được gửi đến người quản lý tín
dụng. Nếu việc bán hàng được xử lý, việc kiểm tra dấu hiệu sẽ xác minh rằng số lượng mới có sẵn cho mỗi mặt hàng tồn
kho lớn hơn hoặc bằng 0.
Kiểm tra phạm vi xác minh rằng giá bán của mỗi mặt hàng nằm trong giới hạn đặt trước. Kiểm tra tính hợp lý sẽ so sánh
số lượng bán được với số mặt hàng và so sánh cả hai với mức trung bình lịch sử. Nếu xử lý hàng loạt đang được sử
dụng, hệ thống sẽ tính toán tổng số lô thích hợp và so sánh nó với tổng số lô được tạo trong quá trình nhập; nếu tổng
số của hai lô không giống nhau, một báo cáo lỗi sẽ được tạo và ai đó sẽ điều tra nguyên nhân của sự khác biệt.
KIỂM SOÁT ĐẦU RA Các tài liệu thanh toán và vận chuyển chỉ được chuyển đến những nhân viên được ủy quyền trong bộ
phận kế toán và vận chuyển, những người này sẽ kiểm tra trực quan để phát hiện các lỗi rõ ràng. Một báo cáo kiểm soát
tóm tắt các giao dịch đã được xử lý sẽ được gửi đến người quản lý bán hàng, kế toán và kiểm soát hàng tồn kho để xem
xét. Hàng tồn kho trong kho mỗi quý được kiểm kê thực tế và kết quả được so sánh với số lượng ghi sẵn trong kho của
từng mặt hàng. Nguyên nhân của sự khác biệt được điều tra và các bút toán điều chỉnh được thực hiện để điều chỉnh số
lượng đã ghi.
Ví dụ trước minh họa việc sử dụng các biện pháp kiểm soát ứng dụng để đảm bảo tính toàn vẹn của việc xử lý các
giao dịch kinh doanh. Trọng tâm 13-1 cũng giải thích tầm quan trọng của việc xử lý các biện pháp kiểm soát tính toàn
vẹn trong môi trường phi kinh doanh.
TRỌNG TÂM 13-1 Đảm bảo tính toàn vẹn trong xử lý của bỏ phiếu điện tử
Bỏ phiếu điện tử có thể loại bỏ một số loại vấn đề xảy ra máy móc hoạt động trung thực và chính xác, bao gồm:
với bỏ phiếu thủ công hoặc cơ học. Ví dụ: phần mềm bỏ phiếu
điện tử có thể sử dụng kiểm tra giới hạn để ngăn cử tri cố • Truy cập vào mã nguồn. Ban Kiểm soát Trò chơi Nevada giữ
gắng chọn nhiều ứng cử viên hơn mức cho phép trong một cuộc bản sao của tất cả phần mềm. Việc sòng bạc sử dụng bất kỳ
đua cụ thể. Kiểm tra tính đầy đủ sẽ xác định việc cử tri không phần mềm chưa đăng ký nào là bất hợp pháp. Tương tự, các
đưa ra lựa chọn trong mọi cuộc đua và sau đó, xác minh vòng chuyên gia bảo mật khuyến nghị chính phủ nên giữ bản sao
kín có thể được sử dụng để xác minh xem điều đó có phải là cố mã nguồn của phần mềm bỏ phiếu điện tử.
ý hay không. (Điều này sẽ loại bỏ vấn đề “bị treo” được tạo
ra khi cử tri không thể đục lỗ hoàn toàn trên lá phiếu giấy.) • Kiểm tra phần cứng. Việc kiểm tra tại chỗ thường xuyên các chip máy
tính trong máy đánh bạc được thực hiện để xác minh việc tuân thủ hồ
Tuy nhiên, vẫn có những lo ngại về bỏ phiếu điện tử, đặc sơ của Ban kiểm soát trò chơi Nevada. Các thử nghiệm tương tự nên
biệt là khả năng theo dõi kiểm toán của nó. Vấn đề là khả năng được thực hiện với máy bỏ phiếu.
xác minh rằng chỉ những cử tri đã đăng ký hợp lệ mới thực sự
bỏ phiếu và họ chỉ bỏ phiếu một lần. Mặc dù không ai phản đối • Kiểm tra an ninh vật lý. Ban Kiểm soát Trò chơi Nevada
sự cần thiết của việc xác thực như vậy, nhưng vẫn còn tranh kiểm tra rộng rãi cách máy phản ứng với súng điện và những
cãi về việc liệu máy bỏ phiếu điện tử có thể tạo ra các dấu cú sốc điện lớn. Máy bỏ phiếu cũng nên được kiểm tra tương
vết kiểm toán đầy đủ mà không gây nguy cơ mất danh tính của tự.
cử tri hay không. • Kiểm tra lý lịch. Tất cả các nhà sản xuất máy đánh bạc đều
Ngoài ra còn có tranh luận về tính bảo mật và độ tin cậy được xem xét kỹ lưỡng và đăng ký. Việc kiểm tra tương tự
tổng thể của bỏ phiếu điện tử. Một số chuyên gia bảo mật gợi nên được thực hiện đối với các nhà sản xuất máy bỏ phiếu
ý rằng các quan chức bầu cử nên áp dụng các phương pháp được cũng như các nhà phát triển phần mềm bầu cử.
bang Nevada sử dụng để đảm bảo rằng cờ bạc điện tử
XỬ LÝ ĐIỀU KHIỂN TÍCH HỢP TRONG BẢNG TÍNH
Hầu hết các tổ chức đều có hàng nghìn bảng tính được sử dụng để hỗ trợ việc ra quyết định.
Tuy nhiên, vì người dùng cuối hầu như luôn phát triển các bảng tính nên chúng hiếm khi chứa các điều khiển ứng dụng
đầy đủ. Vì vậy, không có gì đáng ngạc nhiên khi nhiều tổ chức gặp phải sự cố nghiêm trọng do lỗi bảng tính. Ví dụ:
một bài báo ngày 17 tháng 8 năm 2007 trên CIO Magazine1 mô tả lỗi bảng tính đã khiến các công ty thua lỗ như thế nào,
đưa ra thông báo chi trả cổ tức sai và báo cáo sai kết quả tài chính.
Việc kiểm tra cẩn thận bảng tính trước khi sử dụng có thể ngăn ngừa được những loại sai lầm tốn kém này. Mặc dù
hầu hết các phần mềm bảng tính đều có tính năng “kiểm tra” tích hợp có thể dễ dàng phát hiện các lỗi phổ biến, nhưng
các bảng tính nhằm hỗ trợ các quyết định quan trọng cần được kiểm tra kỹ lưỡng hơn để phát hiện các lỗi tinh vi. Điều
đặc biệt quan trọng là kiểm tra phần cứng, trong đó các công thức chứa các giá trị số cụ thể (ví dụ: thuế bán hàng 5
8,5% 3 A33). Cách thực hành tốt nhất là sử dụng các ô tham chiếu (ví dụ: lưu thuế suất bán hàng trong ô A8) rồi viết
công thức bao gồm ô tham chiếu (ví dụ: thay đổi ví dụ trước thành thuế bán hàng 5 A8 3 A33). Vấn đề với việc nối dây
cứng là bảng tính ban đầu tạo ra các câu trả lời đúng, nhưng khi biến số được nối dây cứng (ví dụ: thuế suất bán hàng
trong ví dụ trước) thay đổi, công thức có thể không được sửa trong mọi ô bao gồm giá trị nối dây cứng đó. Ngược lại,
làm theo phương pháp hay nhất được đề xuất và lưu trữ giá trị thuế bán hàng trong một ô được gắn nhãn rõ ràng có nghĩa
là khi thuế suất bán hàng thay đổi, chỉ cần cập nhật một ô đó. Cách thực hành tốt nhất này cũng đảm bảo rằng thuế suất
bán hàng cập nhật được sử dụng trong mọi công thức liên quan đến việc tính thuế bán hàng.
khả dụng
Sự gián đoạn trong quy trình kinh doanh do không có sẵn hệ thống hoặc thông tin có thể gây ra tổn thất tài chính đáng
kể. Do đó, quy trình kiểm soát COBIT 2019 DSS01 và DSS04 đề cập đến tầm quan trọng của việc đảm bảo rằng các hệ thống
và thông tin luôn sẵn sàng để sử dụng bất cứ khi nào cần. Mục tiêu chính là giảm thiểu rủi ro về thời gian ngừng hoạt
động của hệ thống. Tuy nhiên, không thể loại bỏ hoàn toàn nguy cơ ngừng hoạt động. Do đó, các tổ chức cũng cần các
biện pháp kiểm soát được thiết kế để cho phép nhanh chóng khôi phục hoạt động bình thường sau khi một sự kiện làm
gián đoạn tính khả dụng của hệ thống. Bảng 13-2 tóm tắt các biện pháp kiểm soát chính liên quan đến hai mục tiêu này.
GIẢM THIỂU RỦI RO THỜI GIAN ngừng hoạt động của hệ thống
Các tổ chức có thể thực hiện nhiều hành động khác nhau để giảm thiểu nguy cơ ngừng hoạt động của hệ thống.
Thực hành quản lý COBIT 2019 DSS01.05 xác định nhu cầu bảo trì phòng ngừa, chẳng hạn như làm sạch ổ đĩa và lưu trữ
phương tiện từ tính và quang học đúng cách, để giảm
BẢNG 13-2 Tính khả dụng: Mục tiêu và Kiểm soát chính
Mục tiêu 1. Điều khiển phím
Giảm thiểu rủi ro ngừng hoạt động của hệ thống • Bảo trì phòng ngừa
• Khả năng chịu lỗi
• Vị trí và thiết kế trung tâm dữ liệu

• Đào tạo
• Phần mềm chống vi-rút và quản lý bản vá
2. Phục hồi nhanh chóng và đầy đủ và trở lại hoạt • Thủ tục sao lưu
động bình thường • Kế hoạch khắc phục thảm họa (DRP)
• Kế hoạch kinh doanh liên tục (BCP)
1 Thomas Wailgum, “Tám sai lầm tồi tệ nhất trong bảng tính,” Tạp chí CIO (tháng 8 năm 2007), có tại http://www.cio.com/
article/2438188/enterprise-software/eight-of-the-worst- Spreadsheet- sai lầm ngớ ngẩn.html.
khả năng chịu lỗi - khả năng hệ thống nguy cơ hỏng hóc phần cứng và phần mềm. Việc sử dụng các thành phần dự phòng cung cấp khả năng chịu lỗi, tức là khả
tiếp tục hoạt động khi có lỗi phần
năng hệ thống tiếp tục hoạt động trong trường hợp một thành phần cụ thể bị lỗi. Ví dụ: nhiều tổ chức sử dụng mảng ổ
cứng.
đĩa độc lập (RAID) dự phòng thay vì chỉ một ổ đĩa. Với RAID, dữ liệu được ghi vào nhiều ổ đĩa cùng một lúc. Do đó, nếu
một ổ đĩa bị lỗi, dữ liệu có thể dễ dàng được truy cập từ ổ đĩa khác.
mảng dự phòng của các ổ đĩa độc lập
(RAID) - Một kỹ thuật dung sai lỗi
ghi dữ liệu trên nhiều ổ đĩa thay vì
chỉ một ổ đĩa để giảm nguy cơ mất Các biện pháp quản lý COBIT 2019 DSS01.04 và DSS01.05 đề cập đến tầm quan trọng của việc định vị và thiết
dữ liệu.
kế các trung tâm dữ liệu chứa các máy chủ và cơ sở dữ liệu quan trọng nhằm giảm thiểu rủi ro liên quan đến
thiên tai và thảm họa do con người gây ra. Các đặc điểm thiết kế phổ biến bao gồm:
• Sàn nâng giúp bảo vệ khỏi hư hỏng do lũ lụt gây ra.
• Các thiết bị phát hiện và chữa cháy làm giảm khả năng thiệt hại do hỏa hoạn.
• Hệ thống điều hòa không khí phù hợp giúp giảm khả năng hư hỏng thiết bị máy tính do quá nóng hoặc ẩm
ướt.
• Cáp có phích cắm đặc biệt không thể tháo ra dễ dàng giúp giảm nguy cơ hư hỏng hệ thống.
tuổi thọ do vô tình rút phích cắm của thiết bị.
• Thiết bị chống sốc điện cung cấp khả năng bảo vệ chống lại các dao động điện tạm thời có thể khiến máy
tính và thiết bị mạng khác gặp sự cố.
nguồn điện liên tục (UP) - Một thiết • Hệ thống cấp điện liên tục (UPS) cung cấp khả năng bảo vệ trong trường hợp mất điện kéo dài, sử dụng
bị cấp nguồn thay thế giúp bảo vệ
nguồn pin để hệ thống có thể hoạt động đủ lâu nhằm sao lưu dữ liệu quan trọng và tắt an toàn. (Tuy
khỏi tình trạng mất điện và biến
nhiên, điều quan trọng là phải thường xuyên kiểm tra và kiểm tra pin trong UPS để đảm bảo rằng nó sẽ
động về mức điện bằng cách sử dụng
nguồn pin để cho phép hệ thống hoạt hoạt động khi cần thiết.)
động đủ lâu để sao lưu dữ liệu quan
• Kiểm soát truy cập vật lý giúp giảm nguy cơ mất cắp hoặc hư hỏng.
trọng và tắt an toàn.
Đào tạo cũng có thể làm giảm nguy cơ ngừng hoạt động của hệ thống. Những người vận hành được đào tạo tốt
sẽ ít mắc lỗi hơn và sẽ biết cách khắc phục những lỗi mà họ phạm phải với mức thiệt hại tối thiểu. Đó là lý
do tại sao thực tiễn quản lý COBIT 2019 DSS01 nhấn mạnh tầm quan trọng của việc xác định và ghi lại các quy
trình vận hành cũng như đảm bảo rằng nhân viên CNTT hiểu được trách nhiệm của họ.
Thời gian ngừng hoạt động của hệ thống cũng có thể xảy ra do phần mềm độc hại trên máy tính (ví dụ:
ransomware có thể khiến các ứng dụng và dữ liệu không thể truy cập được). Vì vậy, điều quan trọng là phải cài
đặt, chạy và duy trì các chương trình chống vi-rút và chống phần mềm gián điệp hiện tại. Các chương trình này
phải được kích hoạt tự động không chỉ để quét e-mail mà còn bất kỳ phương tiện máy tính di động nào (CD, DVD,
ổ USB, v.v.) được đưa vào tổ chức. Hệ thống quản lý bản vá cung cấp khả năng bảo vệ bổ sung bằng cách đảm
bảo rằng các lỗ hổng có thể bị phần mềm độc hại khai thác sẽ được khắc phục kịp thời.
PHỤC HỒI VÀ TRỞ LẠI HOẠT ĐỘNG BÌNH THƯỜNG
Các biện pháp kiểm soát phòng ngừa được thảo luận trong phần trước có thể giảm thiểu nhưng không loại bỏ hoàn
toàn nguy cơ ngừng hoạt động của hệ thống. Trục trặc về phần cứng, sự cố phần mềm hoặc lỗi của con người có
thể khiến dữ liệu không thể truy cập được. Ví dụ: các thiết bị RAID có thể gặp lỗi nghiêm trọng, khiến tất cả
các ổ đĩa trở nên vô dụng. Đó là lý do tại sao quản lý cấp cao cần trả lời hai câu hỏi cơ bản:
1. Chúng ta sẵn sàng tạo lại bao nhiêu dữ liệu từ tài liệu nguồn (nếu chúng tồn tại) hoặc có khả năng bị
mất (nếu không có tài liệu nguồn)?
2. Chúng ta có thể hoạt động được bao lâu nếu không có hệ thống thông tin?
mục tiêu điểm khôi phục (RPo)
- lượng dữ liệu mà tổ chức sẵn sàng Hình 13-1 cho thấy mối quan hệ giữa hai câu hỏi này. Khi xảy ra sự cố, dữ liệu về mọi thứ đã xảy ra kể
nhập lại hoặc có khả năng bị mất.
từ lần sao lưu cuối cùng sẽ bị mất trừ khi có thể nhập lại vào hệ thống. Do đó, câu trả lời của ban quản lý
cho câu hỏi đầu tiên sẽ xác định mục tiêu điểm khôi phục (RPO) của tổ chức , thể hiện lượng dữ liệu tối đa
mục tiêu thời gian phục hồi mà tổ chức sẵn sàng nhập lại hoặc có khả năng bị mất. RPO tỷ lệ nghịch với tần suất sao lưu: RPO mong muốn
(Rto) - thời gian tối đa có thể chấp
càng nhỏ thì càng cần thực hiện sao lưu thường xuyên hơn. Câu trả lời cho câu hỏi thứ hai xác định mục tiêu
nhận được để khôi phục hệ thống thông
về thời gian phục hồi (RTO) của tổ chức, đó là thời gian tối đa có thể chấp nhận được để khôi phục hệ thống
tin của tổ chức sau thảm họa, thể
hiện khoảng thời gian mà tổ chức thông tin sau thảm họa. Do đó, RTO thể hiện khoảng thời gian mà tổ chức sẵn sàng cố gắng hoạt động mà không
sẵn sàng cố gắng hoạt động mà không
có hệ thống thông tin của mình.
cần thông tin của nó
hệ thống.
Bao nhiêu dữ liệu

Thời gian cuối cùng
Bao lâu Hệ thống thời gian HÌNH 13-1
được phục hồi
hỗ trợ có khả năng bị mất hệ thống ngừng hoạt động
Mối quan hệ của sự phục hồi
Điểm mục tiêu và

Mục tiêu điểm phục hồi Mục tiêu thời gian phục hồi
(RPO) xác định kích thước của (RTO) xác định kích thước của Mục tiêu thời gian phục hồi
khoảng cách này. khoảng cách này.
VẤN ĐỀ
QUY TRÌNH SAO LƯU DỮ LIỆU Quy trình sao lưu dữ liệu được thiết kế để giải quyết các tình huống không thể truy cập
sao lưu đầy đủ - bản sao chính xác của
thông tin do các tệp hoặc cơ sở dữ liệu liên quan bị hỏng do lỗi phần cứng, sự cố phần mềm hoặc lỗi của con người,
toàn bộ cơ sở dữ liệu.
nhưng bản thân hệ thống thông tin vẫn hoạt động . Một số thủ tục sao lưu khác nhau tồn tại. Bản sao lưu đầy đủ là bản
sao lưu gia tăng - Một loại sao lưu
sao chính xác của toàn bộ cơ sở dữ liệu. Sao lưu toàn bộ tốn nhiều thời gian, vì vậy hầu hết các tổ chức chỉ thực
một phần bao gồm việc chỉ sao chép các
hiện sao lưu toàn bộ hàng tuần và bổ sung bằng các bản sao lưu một phần hàng ngày. Hình 13-2 so sánh hai loại sao lưu
mục dữ liệu đã thay đổi kể từ lần
một phần hàng ngày: sao lưu một phần gần đây nhất. việc này
tạo ra một tập hợp các tệp sao lưu gia
tăng, mỗi tệp chứa kết quả của các giao
dịch trong một ngày.

1. Sao lưu gia tăng bao gồm việc chỉ sao chép các mục dữ liệu đã thay đổi kể từ lần sao lưu một phần gần đây nhất .
Điều này tạo ra một tập hợp các tệp sao lưu gia tăng, mỗi tệp chứa kết quả của các giao dịch trong một ngày.
Quá trình khôi phục bao gồm việc tải bản sao lưu đầy đủ cuối cùng trước tiên và sau đó cài đặt từng bản sao lưu sao lưu vi sai - Một loại sao lưu một
phần bao gồm việc sao chép tất cả

gia tăng tiếp theo theo trình tự thích hợp.
các thay đổi được thực hiện kể từ lần sao
2. Bản sao lưu khác biệt sao chép tất cả các thay đổi được thực hiện kể từ lần sao lưu đầy đủ gần đây nhất . Do đó, lưu đầy đủ cuối cùng. do đó, mỗi tệp sao
mỗi tệp sao lưu vi sai mới chứa các tác động tích lũy của tất cả hoạt động kể từ lần sao lưu đầy đủ cuối cùng. lưu vi sai mới chứa các tác động
tích lũy của tất cả hoạt động kể từ lần
Do đó, ngoại trừ ngày đầu tiên sau khi sao lưu toàn bộ, các bản sao lưu khác biệt hàng ngày sẽ mất nhiều thời
sao lưu đầy đủ cuối cùng.
gian hơn so với các bản sao lưu gia tăng. Tuy nhiên, việc khôi phục đơn giản hơn vì bản sao lưu đầy đủ cuối
cùng chỉ cần được bổ sung bằng bản sao lưu khác biệt gần đây nhất, thay vì một tập hợp các tệp sao lưu gia tăng
chống trùng lặp - Một quy trình sử dụng
hàng ngày. hàm băm để xác định và chỉ sao lưu
những phần của tệp hoặc cơ sở dữ liệu đã

Tính năng chống trùng lặp đang khiến nhiều tổ chức loại bỏ việc sao lưu toàn bộ và thay vào đó liên tục thực được cập nhật kể từ lần sao lưu cuối cùng.
hiện sao lưu từng phần. Chống trùng lặp sử dụng hàm băm để xác định
Bảng A: Sao lưu hàng ngày gia tăng HÌNH 13-2

Quá trình khôi phục:
So sánh của
1. Chủ nhật trọn vẹn
Tăng dần và
hỗ trợ
2. Sao lưu thứ hai Chênh lệch hàng ngày

Hỗ trợ Hỗ trợ Hỗ trợ 3. Sao lưu thứ ba
Sao lưu
Đầy Thứ hai Thứ ba Thứ Tư 4. Thứ Tư
hỗ trợ Hoạt động Hoạt động Hoạt động hỗ trợ
VẤN ĐỀ
Chủ nhật Thứ hai Thứ ba Thứ Tư Thứ năm Thứ sáu Thứ bảy
Bảng B: Sao lưu hàng ngày khác biệt

Quá trình khôi phục:
Hỗ trợ
Hỗ trợ Thứ hai, 1. Chủ nhật trọn vẹn
Hỗ trợ Thứ hai & Thứ ba & hỗ trợ

Đầy Thứ hai Thứ ba Thứ Tư 2. Thứ Tư
hỗ trợ Hoạt động Hoạt động Hoạt động hỗ trợ
VẤN ĐỀ
Chủ nhật Thứ hai Thứ ba Thứ Tư Thứ năm Thứ sáu Thứ bảy
và chỉ sao lưu những phần của tệp hoặc cơ sở dữ liệu đã được cập nhật kể từ lần sao lưu cuối cùng. Quá trình chống
trùng lặp hoạt động bằng cách chia tệp hoặc cơ sở dữ liệu thành các phần có kích thước đồng đều. Mỗi đoạn được băm và
giá trị băm của đoạn được so sánh với giá trị băm của tất cả các đoạn trong tệp băm từ bản sao lưu trước đó. Hãy nhớ
lại rằng các giá trị băm giống hệt nhau có nghĩa là hai tập dữ liệu giống hệt nhau từng bit. Do đó, bất kỳ đoạn dữ
liệu nào có tệp băm khớp với giá trị trong tệp băm từ bản sao lưu trước đó đều không bị thay đổi. Do đó, nó không cần
phải được sao lưu lại. Thay vào đó, chỉ những khối dữ liệu có giá trị băm hiện tại không khớp với bất kỳ giá trị nào
trong tệp băm từ bản sao lưu trước đó mới cần được sao lưu lần này. Thông thường, chỉ một tỷ lệ nhỏ cơ sở dữ liệu hoặc
tệp bị thay đổi kể từ lần sao lưu cuối cùng; do đó, việc chống trùng lặp sẽ giúp sao lưu nhanh chóng. Quá trình khôi
phục sau đó bao gồm việc sử dụng tệp băm đoạn mới nhất để xác định các tệp sao lưu gia tăng thích hợp cần được kết hợp
để tạo lại tệp hoặc cơ sở dữ liệu hoàn chỉnh.
Bất kể quy trình sao lưu nào được sử dụng, nhiều bản sao lưu phải được tạo.
Một bản sao có thể được lưu trữ tại chỗ để sử dụng trong trường hợp xảy ra sự cố tương đối nhỏ, chẳng hạn như lỗi ổ
cứng. Trong trường hợp xảy ra sự cố nghiêm trọng hơn, chẳng hạn như hỏa hoạn hoặc lũ lụt, mọi bản sao lưu được lưu
trữ tại chỗ đều có thể bị phá hủy hoặc không thể truy cập được. Do đó, bản sao lưu thứ hai cần được lưu trữ bên ngoài
trang web. Các tệp sao lưu này có thể được vận chuyển đến địa điểm lưu trữ từ xa bằng vật lý (ví dụ: bằng chuyển phát
nhanh) hoặc bằng điện tử. Trong cả hai trường hợp, các biện pháp kiểm soát bảo mật tương tự cần được áp dụng cho các
tệp sao lưu giống như được sử dụng để bảo vệ bản sao thông tin gốc.
Điều này có nghĩa là các bản sao lưu dữ liệu nhạy cảm phải được mã hóa cả trong bộ lưu trữ và trong quá trình truyền
tải điện tử. Việc truy cập vào các tập tin sao lưu cũng cần được kiểm soát và giám sát cẩn thận.
Điều quan trọng nữa là phải thực hành định kỳ việc khôi phục hệ thống từ các bản sao lưu của nó. Điều này xác
minh rằng quy trình sao lưu đang hoạt động chính xác và phương tiện sao lưu (băng hoặc đĩa) có thể được phần cứng
đang sử dụng đọc thành công.
Mục đích của việc sao lưu là cho phép khôi phục dữ liệu trong trường hợp bản gốc không thể truy cập được. Do đó,
các bản sao lưu chỉ được giữ lại trong một khoảng thời gian tương đối ngắn. Ví dụ: nhiều tổ chức chỉ duy trì bản sao
lưu trong vài tháng.
lưu trữ - Bản sao của cơ sở dữ Tuy nhiên, một số thông tin phải được lưu trữ lâu hơn. Kho lưu trữ là bản sao của cơ sở dữ liệu, tệp chính hoặc phần
liệu, tệp chính hoặc phần mềm được
mềm được lưu giữ vô thời hạn dưới dạng hồ sơ lịch sử, thường để đáp ứng các yêu cầu pháp lý và quy định. Lưu trữ được
lưu giữ vô thời hạn dưới
dạng hồ sơ lịch sử, thường để
sử dụng để truy xuất dữ liệu đã chọn, không phải để khôi phục toàn bộ tệp hoặc cơ sở dữ liệu. Do đó, phần mềm lưu trữ
đáp ứng các yêu cầu pháp lý và quy định. bao gồm các tính năng lập chỉ mục để hỗ trợ việc truy xuất nhanh chóng, nhưng phần mềm sao lưu thì không. Do đó, việc
giữ lại các bản sao lưu trong nhiều năm không phải là giải pháp thay thế khả thi để tạo các kho lưu trữ thực sự. Giống
như các bản sao lưu, nhiều bản sao của kho lưu trữ phải được tạo và lưu trữ ở các vị trí khác nhau. Không giống như
các bản sao lưu, các kho lưu trữ hiếm khi được mã hóa vì thời gian lưu giữ lâu của chúng làm tăng nguy cơ mất khóa
giải mã. Do đó, kiểm soát truy cập vật lý và logic là phương tiện chính để bảo vệ các tệp lưu trữ.
Nên sử dụng phương tiện nào để sao lưu và lưu trữ, băng từ hoặc đĩa? Sao lưu đĩa nhanh hơn và thời gian cần
thiết để lấy dữ liệu cũng nhanh hơn. Tuy nhiên, băng rẻ hơn, dễ vận chuyển hơn và bền hơn. Ngoài ra, vì các băng
thường được lưu trữ ngoại tuyến nên chúng ít có khả năng bị nhiễm ransomware hơn. Do đó, nhiều tổ chức sử dụng cả hai
phương tiện. Dữ liệu trước tiên được sao lưu vào đĩa để đảm bảo tốc độ và sau đó được chuyển sang băng từ.
Cần đặc biệt chú ý đến việc sao lưu và lưu trữ e-mail vì nó đã trở thành kho lưu trữ thông tin và hành vi tổ
chức quan trọng. Thật vậy, e-mail thường chứa đựng các giải pháp cho những vấn đề cụ thể. Email cũng thường xuyên chứa
thông tin liên quan đến các vụ kiện. Tổ chức có thể muốn xem xét chính sách xóa tất cả e-mail định kỳ, để ngăn luật
sư của nguyên đơn tìm ra “khẩu súng hút thuốc” và để tránh chi phí tìm kiếm e-mail mà bên kia yêu cầu. Tuy nhiên, hầu
hết các chuyên gia đều khuyên không nên thực hiện những chính sách như vậy vì các bên khác có thể sở hữu bản sao của
e-mail. Do đó, chính sách thường xuyên xóa tất cả e-mail có nghĩa là tổ chức sẽ không thể kể câu chuyện từ phía mình;
thay vào đó, tòa án (và bồi thẩm đoàn) sẽ chỉ đọc e-mail do bên kia đưa ra trong tranh chấp. Cũng có trường hợp tòa
án phạt các tổ chức hàng triệu đô la vì không cung cấp e-mail được yêu cầu kịp thời. Do đó, các tổ chức cần sao lưu
và lưu trữ các e-mail quan trọng đồng thời dọn dẹp định kỳ khối lượng lớn các e-mail thông thường, tầm thường.
KHẮC PHỤC THẢM HỌA VÀ KẾ HOẠCH TIẾP TỤC KINH DOANH Các bản sao lưu được thiết kế để giảm thiểu sự
cố khi một hoặc nhiều tệp hoặc cơ sở dữ liệu bị hỏng do lỗi phần cứng, phần mềm hoặc lỗi của con
người. Các kế hoạch khắc phục thảm họa và kế hoạch kinh doanh liên tục được hủy bỏ để giảm thiểu
các vấn đề nghiêm trọng hơn.
Kế hoạch khắc phục thảm họa (DRP) phác thảo các quy trình để khôi phục chức năng CNTT của tổ chức kế hoạch khắc phục thảm họa (DRP) - Kế
hoạch khôi phục khả năng CNTT của tổ

trong trường hợp trung tâm dữ liệu của tổ chức đó bị phá hủy. Các tổ chức có ba tùy chọn cơ bản để thay
chức trong trường hợp trung tâm dữ
thế cơ sở hạ tầng CNTT của họ, không chỉ bao gồm máy tính mà còn cả các thành phần mạng như bộ định
liệu của tổ chức đó bị phá hủy.
tuyến và chuyển mạch, phần mềm, dữ liệu, truy cập Internet, máy in và vật tư.
Lựa chọn đầu tiên là ký hợp đồng sử dụng một địa điểm lạnh, đó là một tòa nhà trống được trang bị sẵn trang web lạnh - Tùy chọn khắc phục
thảm họa dựa vào quyền truy cập vào

đường dây để truy cập Internet và điện thoại cần thiết. Tuy nhiên, một trang web lạnh không chứa bất kỳ
một cơ sở thay thế được cài sẵn để
thiết bị máy tính nào; thay vào đó, tổ chức có hợp đồng với một hoặc nhiều nhà cung cấp để cung cấp tất truy cập điện thoại và Internet cần
cả các thiết bị cần thiết trong một khoảng thời gian nhất định. thiết, nhưng không chứa bất kỳ thiết bị
máy tính nào.

Lựa chọn thứ hai là ký hợp đồng sử dụng một địa điểm nóng, đây là một cơ sở không chỉ được trang
bị sẵn để truy cập điện thoại và Internet mà còn chứa tất cả các thiết bị máy tính và văn phòng mà tổ trang web nóng - Tùy chọn khắc phục
chức cần để thực hiện các hoạt động kinh doanh thiết yếu của mình. Tùy chọn thứ ba là sao chép thời gian thảm họa dựa vào quyền truy cập
vào một trung tâm dữ liệu thay thế

thực, bao gồm việc luôn duy trì hai bản sao của cơ sở dữ liệu tại hai trung tâm dữ liệu riêng biệt và
đang hoạt động hoàn toàn không
cập nhật cả hai cơ sở dữ liệu theo thời gian thực khi mỗi giao dịch diễn ra. chỉ được cài đặt sẵn mà còn chứa tất cả
Các tùy chọn DRP khác nhau (trang lạnh, trang nóng hoặc phản chiếu theo thời gian thực) có chi phí phần cứng và phần mềm cần thiết.
khác nhau, trong đó các trang lạnh là ít tốn kém nhất và phản chiếu theo thời gian thực là đắt nhất.
Tuy nhiên, sự lựa chọn không nên bị chi phối bởi chi phí mà phải phản ánh các quyết định của ban quản sao chép thời gian thực - Duy
lý về RPO và RTO có thể chấp nhận được. Đối với một số tổ chức, cả RPO và RTO phải càng gần 0 càng tốt. trì các bản sao hoàn chỉnh của cơ
sở dữ liệu tại hai trung tâm dữ liệu

Ví dụ, các hãng hàng không và tổ chức tài chính không thể hoạt động nếu không có hệ thống thông tin,
riêng biệt và cập nhật cả hai bản sao
họ cũng không thể để mất dữ liệu về các giao dịch vì mỗi phút họ có quá nhiều dữ liệu. Đối với những tổ theo thời gian thực khi mỗi giao dịch
chức như vậy, mục tiêu không phải là phục hồi mà là khả năng phục hồi (tức là họ phải có khả năng tiếp diễn ra.
tục hoạt động cho dù có chuyện gì xảy ra). Phản chiếu thời gian thực mang lại khả năng phục hồi tối đa
vì cả RPO và RTO đều gần bằng 0. Các giao dịch được sao lưu trong thời gian thực và nếu có điều gì xảy
ra với một trung tâm dữ liệu, tổ chức có thể ngay lập tức chuyển tất cả quá trình xử lý sang trung tâm
dữ liệu khác. Do đó, phản chiếu thời gian thực là lựa chọn DRP thích hợp khi RPO, RTO hoặc cả hai phải
gần bằng 0.
Một số tổ chức có thể chấp nhận khả năng mất một số dữ liệu và có khả năng hoạt động trong một
khoảng thời gian mà không cần AIS. Nếu ban quản lý đã quyết định rằng họ có thể chấp nhận RTO và RPO
trong khoảng thời gian từ vài giờ đến cả ngày thì việc lựa chọn một địa điểm nóng làm chiến lược DRP là
cần thiết. Việc sử dụng trang web lạnh cho DRP chỉ phù hợp nếu ban quản lý có thể chấp nhận việc có cả
RTO và RPO lâu hơn một ngày.
Các tổ chức có thể chọn xây dựng trang web nóng hoặc trang web lạnh của riêng mình hoặc họ có thể
ký hợp đồng với bên thứ ba để sử dụng các cơ sở đó. Sử dụng trang web của bên thứ ba ít tốn kém hơn
nhưng nó có nguy cơ không có sẵn khi cần thiết. Hầu hết các nhà cung cấp địa điểm nóng và lạnh đều “bán
quá mức” công suất của họ với giả định rằng tại bất kỳ thời điểm nào cũng chỉ có một số ít khách hàng
cần sử dụng cơ sở vật chất. Thông thường, đó là một giả định an toàn. Tuy nhiên, trong trường hợp xảy
ra một thảm họa lớn, chẳng hạn như Bão Katrina và Sandy, ảnh hưởng đến mọi tổ chức trong một khu vực
địa lý, điều đó có nghĩa là một số tổ chức có thể không sử dụng được các dịch vụ mà họ đã ký hợp đồng.
(Khả năng khởi kiện vì không cung cấp dịch vụ không phải là biện pháp kiểm soát bồi thường vì tổ chức
có thể ngừng hoạt động vào thời điểm vụ kiện được giải quyết.)
Trong khi DRP tập trung vào cách tiếp tục các hoạt động CNTT trong trường hợp trung tâm dữ liệu
chính của tổ chức không hoạt động thì kế hoạch kinh doanh liên tục (BCP) chỉ định cách tiếp tục tất cả kế hoạch kinh doanh liên tục
(bcP) - Một kế hoạch chỉ định cách

các quy trình kinh doanh, bao gồm chuyển đến văn phòng mới và thuê người thay thế tạm thời, trong sự
tiếp tục tất cả các quy trình
kiện xảy ra một thảm họa lớn. Việc lập kế hoạch như vậy rất quan trọng vì hơn một nửa số tổ chức không kinh doanh trong trường hợp xảy
có DRP và BCP không bao giờ mở cửa trở lại sau khi buộc phải đóng cửa hơn một vài ngày vì thảm họa. Do ra thiên tai lớn.
đó, việc có cả DRP và BCP có thể tạo ra sự khác biệt giữa việc sống sót sau một thảm họa lớn như một
cơn bão hoặc một cuộc tấn công khủng bố và việc phá sản. Trọng tâm 13-2 mô tả việc lập kế hoạch đã giúp
NASDAQ tồn tại như thế nào sau khi các văn phòng của nó tại Trung tâm Thương mại Thế giới bị phá hủy
hoàn toàn vào ngày 11 tháng 9 năm 2001.
Tuy nhiên, chỉ cần có DRP và BCP là không đủ. Cả hai kế hoạch đều phải được ghi chép đầy đủ. Tài
liệu không chỉ bao gồm hướng dẫn cách thông báo cho nhân viên phù hợp và các bước cần thực hiện để tiếp
tục hoạt động mà còn bao gồm tài liệu của nhà cung cấp về tất cả phần cứng và phần mềm. Điều đặc biệt
quan trọng là phải ghi lại nhiều sửa đổi được thực hiện đối với mặc định
FOCUS 13-2 NASDAQ phục hồi như thế nào từ ngày 11 tháng 9
Nhờ khả năng khắc phục thảm họa và BCP hiệu quả, NASDAQ đã hoạt động đã lên kế hoạch cho một cuộc khủng hoảng tiềm ẩn và điều này tỏ ra hữu
được sáu ngày sau vụ tấn công khủng bố ngày 11 tháng 9 năm 2001 đã phá ích trong việc phục hồi sau một cuộc khủng hoảng khác, bất ngờ. Bằng
hủy tòa tháp đôi của Trung tâm Thương mại Thế giới. Trụ sở chính của cách ưu tiên và tổ chức hội nghị từ xa, công ty có thể nhanh chóng xác
NASDAQ nằm trên tầng 49 và 50 của One Liberty Plaza, ngay đối diện Trung định các vấn đề và nhà giao dịch cần trợ giúp thêm trước khi NASDAQ có
tâm Thương mại Thế giới. Khi chiếc máy bay đầu tiên lao xuống, nhân viên thể mở cửa thị trường trở lại.
bảo vệ của NASDAQ ngay lập tức sơ tán nhân viên khỏi tòa nhà. Hầu hết
các nhân viên đã ra khỏi tòa nhà vào thời điểm chiếc máy bay thứ hai đâm Hệ thống cực kỳ dư thừa và phân tán của NASDAQ cũng giúp nó nhanh
vào tòa tháp kia. Mặc dù các nhân viên đã được sơ tán khỏi trụ sở chính chóng mở cửa trở lại thị trường. Các nhà điều hành mang theo nhiều hơn
và văn phòng ở Quảng trường Thời đại tạm thời bị mất dịch vụ điện thoại, một chiếc điện thoại di động để có thể tiếp tục liên lạc trong trường
NASDAQ vẫn có thể chuyển đến một trung tâm dự phòng tại khách sạn hợp một nhà cung cấp dịch vụ bị mất dịch vụ. Mọi nhà giao dịch đều được
Marriott Marquis gần đó. Khi đến đó, các giám đốc điều hành của NASDAQ liên kết với hai trong số 20 trung tâm kết nối của NASDAQ trên khắp Hoa
đã xem qua danh sách ưu tiên của họ: đầu tiên là nhân viên của họ; tiếp Kỳ. Các trung tâm được kết nối với nhau bằng hai đường dẫn riêng biệt
theo là thiệt hại vật chất; và cuối cùng là tình hình ngành thương mại. và đôi khi là hai nhà cung cấp riêng biệt.
Máy chủ được đặt ở các tòa nhà khác nhau và có hai cấu trúc liên kết
mạng. Ngoài Manhattan và Times Square, NASDAQ còn có văn phòng tại
Maryland và Connecti-cut. Sự phân quyền này cho phép nó giám sát các
Giao tiếp hiệu quả trở nên thiết yếu trong việc xác định tình quy trình quản lý trong suốt những ngày sau cuộc tấn công.
trạng của những ưu tiên này. NASDAQ cho rằng phần lớn thành công của họ
trong việc giao tiếp và phối hợp với phần còn lại của ngành là nhờ các Nó cũng làm giảm nguy cơ mất toàn bộ quản lý cấp cao của NASDAQ.
buổi diễn tập lại trang phục cho Y2K. Trong khi chuẩn bị cho việc
chuyển đổi, NASDAQ đã tổ chức các cuộc họp từ xa thường xuyên trên toàn NASDAQ cũng đầu tư vào bảo hiểm gián đoạn để giúp giảm chi phí đóng
quốc với tất cả các sàn giao dịch. Điều này đã giúp tổ chức này tổ chức cửa thị trường. Tất cả việc lập kế hoạch và tầm nhìn xa này đã cứu
các hội nghị tương tự sau vụ tấn công 11/9. NASDAQ đã có NASDAQ khỏi bị mất số tiền lẽ ra có thể lên tới hàng chục triệu đô la.
cấu hình để hệ thống thay thế có chức năng tương tự như hệ thống ban đầu. Nếu không làm như vậy có thể tạo ra chi phí
đáng kể và sự chậm trễ trong việc thực hiện quá trình phục hồi. Hướng dẫn vận hành chi tiết cũng cần thiết, đặc biệt
nếu phải thuê người thay thế tạm thời.
Cuối cùng, bản sao của tất cả tài liệu cần phải được lưu trữ cả tại chỗ và bên ngoài cơ sở để có thể sử dụng được
khi cần.
Kiểm tra và sửa đổi định kỳ có lẽ là thành phần quan trọng nhất của DRP và BCP hiệu quả. Hầu hết các kế hoạch
đều thất bại trong thử nghiệm ban đầu vì không thể lường trước đầy đủ mọi sai sót có thể xảy ra. Việc kiểm tra cũng
có thể tiết lộ những chi tiết bị bỏ qua. Ví dụ, cơn bão Sandy đã buộc nhiều doanh nghiệp phải đóng cửa trụ sở chính
trong vài ngày.
Thật không may, một số công ty phát hiện ra rằng mặc dù họ có thể tiếp tục hoạt động CNTT tại một địa điểm dự phòng
nằm ở một khu vực địa lý khác, nhưng họ không thể ngay lập tức tiếp tục dịch vụ khách hàng bình thường vì họ đã không
sao chép được khả năng tự động định tuyến lại và chuyển tiếp các cuộc gọi đến đến nhân viên của hệ thống điện thoại
trụ sở chính. ' điện thoại di động và nhà.
Thời điểm để phát hiện ra những vấn đề như vậy không phải trong trường hợp khẩn cấp thực sự mà là trong bối cảnh
trong đó các điểm yếu có thể được phân tích cẩn thận và kỹ lưỡng cũng như thực hiện những thay đổi thích hợp trong
quy trình. Do đó, DRP và BCP cần được kiểm tra ít nhất hàng năm để đảm bảo rằng chúng phản ánh chính xác những thay
đổi gần đây về thiết bị và quy trình. Điều đặc biệt quan trọng là phải kiểm tra các quy trình liên quan đến việc
chuyển các hoạt động thực tế sang địa điểm nóng hoặc lạnh. Cuối cùng, tài liệu DRP và BCP cần được cập nhật để phản
ánh mọi thay đổi trong quy trình được thực hiện nhằm giải quyết các vấn đề được xác định trong quá trình kiểm tra các
kế hoạch đó.
HIỆU QUẢ CỦA ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY Ảo hóa có thể cải thiện đáng kể hiệu suất và hiệu quả của việc khắc phục
thảm họa và khôi phục các hoạt động bình thường. Máy ảo chỉ là một tập hợp các tệp phần mềm. Vì vậy, nếu thể chất
máy chủ lưu trữ máy đó bị lỗi, các tập tin có thể được cài đặt trên máy chủ khác trong vòng vài phút. Do đó, ảo hóa
giúp giảm đáng kể thời gian cần thiết để khôi phục (RTO) từ các sự cố phần cứng. Lưu ý rằng ảo hóa không loại bỏ nhu
cầu sao lưu; Các tổ chức vẫn cần tạo các “ảnh chụp nhanh” định kỳ của các máy ảo máy tính để bàn và máy chủ, sau đó
sao chép các ảnh chụp nhanh đó trên ổ đĩa mạng để có thể tạo lại các máy đó. Bản sao thứ hai của ảnh chụp nhanh cũng
phải được sao chép lên đám mây (hoặc được lưu trữ trong một trung tâm dữ liệu riêng biệt) trong trường hợp trung tâm
dữ liệu chính lưu trữ các máy ảo bị ngừng hoạt động. Ảo hóa cũng có thể được sử dụng để hỗ trợ phản chiếu thời gian
thực trong đó hai bản sao của mỗi máy ảo được chạy song song trên hai máy chủ vật lý riêng biệt. Mọi giao dịch đều
được xử lý trên cả hai máy ảo. Nếu một cái thất bại, cái còn lại sẽ tiếp tục mà không bị gián đoạn dịch vụ.
Điện toán đám mây có cả tác động tích cực và tiêu cực đến tính sẵn sàng. Các nhà cung cấp điện toán đám mây
thường sử dụng các dãy máy chủ dự phòng ở nhiều địa điểm, do đó giảm nguy cơ một thảm họa duy nhất có thể dẫn đến
thời gian ngừng hoạt động của hệ thống và mất tất cả dữ liệu.
Tuy nhiên, nếu một nhà cung cấp đám mây công cộng ngừng hoạt động, việc truy xuất bất kỳ dữ liệu nào được lưu trữ
trên đám mây có thể gặp khó khăn, nếu không muốn nói là không thể. Do đó, chính sách tạo bản sao lưu thường xuyên và
lưu trữ các bản sao lưu đó ở một nơi khác ngoài nhà cung cấp đám mây chính là rất quan trọng.
Như đã thảo luận trong chương về bảo mật, các tổ chức nên kiểm tra báo cáo SOC-2 Loại 2 về các biện pháp kiểm
soát CNTT của nhà cung cấp đám mây. Ngoài ra, kế toán viên cần đánh giá khả năng tồn tại tài chính lâu dài của nhà
cung cấp đám mây trước khi tổ chức của họ cam kết thuê ngoài bất kỳ dữ liệu hoặc ứng dụng nào của mình lên đám mây
công cộng. Việc sử dụng đám mây cũng không loại bỏ nhu cầu xem xét RTO và RPO vì không phải mọi thứ đều có thể được
sao lưu hoặc khôi phục kịp thời từ đám mây. Ví dụ, việc truyền các cơ sở dữ liệu có dung lượng lên tới hàng trăm
terabyte qua Internet là không thực tế; thay vào đó, những kho dữ liệu lớn như vậy phải được ghi vào đĩa hoặc băng và
được vận chuyển vật lý. Hơn nữa, mặc dù một số giải pháp đám mây có bao gồm sao lưu, nhưng một số giải pháp không nêu
rõ trong hợp đồng rằng sao lưu là trách nhiệm của khách hàng. Cuối cùng, việc sử dụng đám mây không loại bỏ nhu cầu
về cả DRP và BCP vì các tổ chức cần lập kế hoạch về cách nhân viên của họ truy cập các tài nguyên được lưu trữ trên
đám mây trong trường hợp văn phòng tại nhà bị phá hủy.
Tóm tắt và kết luận trường hợp
Báo cáo của Jason đã đánh giá tính hiệu quả của các biện pháp kiểm soát của Northwest Industries được thiết kế để đảm
bảo tính toàn vẹn trong quá trình xử lý. Để giảm thiểu việc nhập dữ liệu và khả năng xảy ra sai sót, Northwest
Industries đã gửi tài liệu quay vòng cho khách hàng và các tài liệu này sẽ được trả lại cùng với các khoản thanh toán
của họ. Tất cả việc nhập dữ liệu được thực hiện trực tuyến, sử dụng rộng rãi các quy trình xác thực đầu vào để đảm
bảo tính chính xác của thông tin vào hệ thống. Các nhà quản lý đã xem xét tính hợp lý của kết quả đầu ra và tính
chính xác của các thành phần chính của báo cáo tài chính thường xuyên được kiểm chứng chéo với các nguồn độc lập. Ví
dụ: hàng tồn kho được tính hàng quý và kết quả đếm vật lý được đối chiếu với số lượng được lưu trữ trong hệ thống.
Tuy nhiên, Jason lo ngại về tính hiệu quả của các biện pháp kiểm soát được thiết kế để đảm bảo tính khả dụng
của hệ thống. Ông lưu ý rằng mặc dù Northwest Industries đã phát triển kế hoạch khắc phục thảm họa và tiếp tục kinh
doanh nhưng những kế hoạch đó vẫn chưa được xem xét hoặc cập nhật trong ba năm. Điều đáng lo ngại hơn nữa là thực tế
là nhiều phần của kế hoạch chưa bao giờ được thử nghiệm. Tuy nhiên, mối quan tâm lớn nhất của Jason liên quan đến các
thủ tục sao lưu. Tất cả các tập tin đều được sao lưu hàng tuần, vào thứ Bảy, vào đĩa DVD, và các bản sao lưu tăng dần
được thực hiện mỗi đêm, nhưng chưa có ai từng thực hiện việc khôi phục dữ liệu. Ngoài ra, các bản sao lưu không được
mã hóa và bản sao duy nhất được lưu trữ tại chỗ trong phòng máy chủ chính trên kệ cạnh cửa.
Jason kết thúc báo cáo của mình với những khuyến nghị cụ thể nhằm giải quyết những điểm yếu mà anh đã tìm thấy.
Ông khuyến nghị Northwest Industries ngay lập tức kiểm tra các quy trình khôi phục bản sao lưu, mã hóa các tệp sao
lưu và lưu trữ bản sao thứ hai của tất cả các bản sao lưu bên ngoài cơ sở. Jason cũng đề xuất thử nghiệm các gói DRP
và BCP. Jason cảm thấy tin tưởng rằng một khi những đề xuất đó được triển khai, ban quản lý có thể yên tâm một cách
hợp lý rằng hệ thống thông tin của Northwest Industries đã đáp ứng các tiêu chí và nguyên tắc khung Dịch vụ Tin cậy
của AICPA về độ tin cậy của hệ thống.

ĐIỀU KHOẢN QUAN TRỌNG
kiểm tra hiện trường 424 bản ghi tiêu đề 426 mục tiêu điểm phục hồi
ký kiểm tra 424 Bản ghi trailer 426 (RPO) 430

kiểm tra giới hạn 424 lỗi chuyển âm 426 mục tiêu thời gian phục hồi
kiểm tra phạm vi 424 kiểm tra thăng bằng bằng chân chéo (RTO) 430
kiểm tra kích thước 424 426 sao lưu đầy đủ 431
kiểm tra tính đầy đủ (hoặc kiểm tra) kiểm tra độ cân bằng 0 426 sao lưu gia tăng 431
424 kiểm soát cập nhật đồng thời sao lưu vi sai 431
kiểm tra tính hợp lệ 424 426 chống trùng lặp 431
kiểm tra tính hợp lý 424 tổng kiểm tra 427 lưu trữ 432
kiểm tra chữ số 424 bit chẵn lẻ 427 Kế hoạch khắc phục thảm họa (DRP)
kiểm tra xác minh chữ số 424 kiểm tra tính chẵn lẻ 427 433
kiểm tra trình tự 425 khả năng chịu lỗi 430 địa điểm lạnh 433
tổng số lô 425 mảng dự phòng của các ổ trang web nóng 433
tổng tài chính 425 đĩa độc lập (RAID) 430 phản chiếu thời gian
tổng số băm 425 thực 433
số lượng hồ sơ 425 cung cấp điện liên tục kế hoạch kinh doanh liên tục
nhắc 425 (Bộ lưu điện) 430 (BCP) 433
xác minh vòng kín 425
AIS đang hoạt động
CHƯƠNG CÂU ĐỐ
1. Biện pháp nào sau đây đo lường lượng dữ liệu có thể bị mất do lỗi hệ thống?
Một. mục tiêu thời gian phục hồi (RTO) c. Kế hoạch khắc phục thảm họa (DRP)
b. mục tiêu điểm phục hồi (RPO) d. Kế hoạch kinh doanh liên tục (BCP)
2. Đánh số trước tất cả các tài liệu nguồn là một biện pháp kiểm soát giảm nhẹ để duy trì tính toàn vẹn trong quá trình xử lý.
thực hiện ở giai đoạn nào của quá trình?
Một. đầu c. đầu ra
vàob. xử lý
3. Kiểm soát tự động bổ sung các biện pháp bảo vệ thủ công trong việc kiểm tra tính hợp lý và phù hợp của tài liệu
nguồn. Điều nào sau đây không phải là kiểm soát nhập dữ liệu?
Một. kiểm tra dấu hiệu c. kiểm tra tính hợp lệ
b. kiểm tra phạm vi d. kiểm tra độ ổn định
4. Kiểm tra tính hợp lý sẽ kiểm tra tính hợp lệ của mối quan hệ logic giữa hai mục dữ liệu. Đây là một điều khiển
ứng dụng xác minh rằng số tài khoản được nhập trong bản ghi giao dịch khớp với số tài khoản trong tệp chính có
liên quan.
Một. ĐÚNG VẬY b. SAI
5. Câu nào sau đây đúng?
Một. Sao lưu hàng ngày gia tăng được thực hiện nhanh c. Sao lưu hàng ngày khác biệt được thực hiện nhanh
hơn so với sao lưu hàng ngày khác biệt, hơn so với sao lưu hàng ngày gia tăng, nhưng
nhưng việc khôi phục chậm hơn và phức tạp hơn. việc khôi phục chậm hơn và phức tạp hơn.
b. Sao lưu hàng ngày gia tăng được thực hiện d. Sao lưu hàng ngày khác biệt được thực hiện
nhanh hơn so với sao lưu hàng ngày khác nhanh hơn so với sao lưu hàng ngày tăng
biệt và việc khôi phục nhanh hơn và đơn giản dần và việc khôi phục cũng nhanh hơn và đơn
hơn. giản hơn.

6. Lỗi chuyển vị xảy ra khi số của hai cột liền kề vô tình bị hoán đổi (ví dụ: 64 được viết thay vì 46). Nó có
thể được giảm nhẹ bằng
Một. điều khiển đầu vào. c. điều khiển đầu ra.
b. điều khiển xử lý.
7. Điều nào sau đây là ví dụ về loại tổng lô được gọi là tổng băm?
Một. tổng của trường số tiền mua trong một bộ c. số lượng tài liệu đã hoàn thành trong một
đơn đặt hàng bộ đơn đặt hàng
b. tổng số trường số đơn đặt hàng trong một bộ d. Tất cả những điều trên
đơn đặt hàng
Một. Ảo hóa làm giảm đáng kể RTO đối với các c. Vẫn cần thực hiện sao lưu khi sử dụng ảo
sự cố phần cứng. hóa hoặc điện toán đám mây.
b. Điện toán đám mây làm giảm nguy cơ một thảm họa
từ thiên tai hoặc tấn công khủng bố sẽ dẫn đến d. Những điều ở trên đều đúng.
thời gian ngừng hoạt động đáng kể và mất khả
năng sẵn sàng.
9. Tên của phương án cơ bản để thay thế cơ sở hạ tầng CNTT là một tòa nhà trống, được nối dây sẵn để truy cập
Internet và điện thoại cần thiết, cùng với hợp đồng với một hoặc nhiều nhà cung cấp để cung cấp tất cả các
thiết bị cần thiết trong một khoảng thời gian nhất định là gì?
Một. trang web nóng c. chuyển đổi trang web
b. nơi lạnh
10. Điều nào sau đây là biện pháp kiểm soát có thể được sử dụng để xác minh tính chính xác của thông tin
truyền qua mạng?
Một. kiểm tra tính đầy đủ c. bit chẵn lẻ

d. kiểm tra kích thước
b. kiểm tra chữ số
CÂU HỎI THẢO LUẬN
13.1 Tổng số lô tóm tắt các giá trị số cho một lô bản ghi đầu vào. Kể tên ba com-
tổng số lô được áp dụng riêng và giải thích cách sử dụng chúng.
13.2 Khả năng chịu lỗi là gì và tại sao nó quan trọng? Bạn nghĩ làm thế nào một tổ chức có thể đảm bảo rằng hệ
thống của nó có khả năng chịu lỗi?
13.3 Sự khác biệt giữa bản sao lưu gia tăng và bản sao lưu khác biệt là gì và tại sao mỗi bản sao lưu này lại
được sử dụng? Bạn nghĩ chiến lược dự phòng nào trong số này sẽ có lợi nhất cho tổ chức? Bảo vệ câu trả
lời của bạn.
13.4 Xác định và đối chiếu giữa mục tiêu điểm khôi phục và mục tiêu thời gian khôi phục.
13.5 Các điều khiển truyền dữ liệu, như tổng kiểm tra và bit chẵn lẻ, rất quan trọng để giảm thiểu lỗi truyền dữ liệu.
Làm thế nào để tổng kiểm tra và bit chẵn lẻ xác định lỗi truyền dữ liệu?
13.6 Bạn nghĩ tại sao các cuộc khảo sát tiếp tục phát hiện ra rằng một tỷ lệ lớn các tổ chức không có kế hoạch
khắc phục thảm họa và duy trì hoạt động kinh doanh chính thức hoặc chưa thử nghiệm và sửa đổi các kế
hoạch đó trong hơn một năm?

CÁC VẤN ĐỀ
13.1 Nối các thuật ngữ với định nghĩa của chúng:
1. Kế hoạch kinh doanh liên tục Một. Tệp được sử dụng để lưu trữ thông tin trong thời
(BCP) gian dài
2. kiểm tra tính đầy đủ b. Kế hoạch mô tả cách khôi phục chức năng CNTT
tình trạng sau thảm họa
3. tổng số băm c. Kiểm soát ứng dụng xác minh rằng số lượng đặt hàng
lớn hơn 0
4. sao lưu hàng ngày tăng d. Bộ điều khiển đếm số lẻ hoặc
dần các bit chẵn để xác minh rằng tất cả dữ liệu được truyền
chính xác
5. lưu trữ đ. Kiểm soát ứng dụng kiểm tra xem khách hàng có đủ 18
tuổi trở lên hay không
6. kiểm tra hiện trường f. Gói sao lưu hàng ngày sao chép tất cả các thay đổi kể
từ lần sao lưu đầy đủ cuối cùng
7. ký kiểm tra g. Lập kế hoạch rằng, trong trường hợp trung tâm dữ liệu của
tổ chức không có sẵn, hãy ký hợp đồng sử dụng một địa
điểm thay thế có tất cả các thiết bị mạng và máy tính
cần thiết, cùng với kết nối Internet
8. trang web lạnh h. Lập kế hoạch rằng, trong trường hợp trung tâm dữ liệu của
tổ chức không có sẵn, hãy ký hợp đồng sử dụng một
địa điểm thay thế được trang bị sẵn kết nối Internet
nhưng không có thiết bị máy tính hoặc mạng
9. kiểm tra giới hạn Tôi. Kiểm soát ứng dụng đảm bảo người dùng
địa chỉ giao hàng của tomer được nhập vào đơn đặt hàng
10. kiểm tra độ cân bằng bằng không j. Kiểm soát ứng dụng liên quan đến việc sử dụng một
tài khoản không nên có số dư sau khi xử lý
11. mục tiêu điểm phục hồi (RPO) k. Kiểm soát ứng dụng liên quan đến việc so sánh tổng của
một tập hợp các cột với tổng của một tập hợp các hàng
12. mục tiêu thời gian phục hồi (RTO) tôi. Thước đo khoảng thời gian một tổ chức sẵn sàng hoạt
động mà không có hệ thống thông tin của mình
13. số lượng hồ sơ m. Đo lượng dữ liệu mà một tổ chức sẵn sàng nhập lại hoặc
có thể bị mất trong trường hợp xảy ra thảm họa
14. kiểm tra tính hợp lệ N. Tổng số lô không có bất kỳ ý nghĩa nội tại nào
15. kiểm tra xác minh chữ số ồ. Tổng số lô đại diện cho số lượng
giao dịch được xử lý
16. xác minh vòng kín P. Kiểm soát ứng dụng xác nhận
tính chính xác của một mục dữ liệu trong bản ghi giao
dịch bằng cách so sánh nó với giá trị của mục

dữ liệu khác trong bản ghi giao dịch đó
17. kiểm tra tính chẵn lẻ q. Kiểm soát ứng dụng xác minh tài khoản
số được nhập trong bản ghi giao dịch khớp với số tài
khoản trong tệp chính liên quan

18. kiểm tra tính hợp lý r. Kế hoạch mô tả cách tiếp tục hoạt động kinh doanh sau
một thảm họa lớn, chẳng hạn như Bão Katrina, phá
hủy không chỉ trung tâm dữ liệu mà còn cả trụ sở
chính của tổ chức
19. tổng tài chính S. Kiểm soát ứng dụng nhập dữ liệu xác minh tính chính
xác của số tài khoản bằng cách tính lại số cuối cùng
dưới dạng hàm của các số trước đó
t. Quy trình sao lưu hàng ngày chỉ sao chép hoạt động xảy
ra vào ngày cụ thể đó
bạn. Kiểm soát ứng dụng nhập dữ liệu có thể được sử dụng
để xác minh rằng chỉ dữ liệu số được nhập vào một trường
v. Kiểm soát ứng dụng nhập dữ liệu trong đó hệ thống hiển
thị giá trị của một mục dữ liệu và yêu cầu người dùng
xác minh rằng hệ thống đã truy cập đúng bản ghi
w. Tổng số hàng loạt đại diện cho tổng giá trị đô la

của một tập hợp các giao dịch
13.2 Vấn đề về Excel
Nhập dữ liệu sau vào bảng tính, sau đó thực hiện các tác vụ sau:
Người lao động Chi trả

Giờ Tổng
Con số Tỷ lệ Đã làm việc lương Các khoản khấu Lương ròng

468921 15:00 28 420,00 trừ 95,00
357942 16:50 50 825,00 325,00 205,00 620,00
816543 5 giờ 00 40 200,00 45:00 245,00
963248 57,60 40 2304.00 10 giờ 00 2294.00
YÊU CẦU
Một. Tính toán các ví dụ về tổng số lô này:

• tổng số băm
• tổng tài chính
• số lượng bản ghi
b. Giả sử các quy tắc sau chi phối dữ liệu thông thường:
• Mã số nhân viên có năm chữ số và nằm trong khoảng từ 10000 đến 99999.
• Mức lương tối đa là $35 và tối thiểu là $15.

• Số giờ làm việc không bao giờ được vượt quá 40.
• Các khoản khấu trừ phải nằm trong khoảng từ 10% đến 35% tổng lương.
Đưa ra ví dụ cụ thể về lỗi hoặc lỗi có thể xảy ra trong tập dữ liệu mà mỗi biện pháp kiểm soát sau đây sẽ
phát hiện:
• kiểm tra hiện trường
• kiểm tra giới hạn

•
kiểm tra phạm vi
• kiểm tra tính hợp lý
• kiểm tra thăng bằng khi đi ngang
c. Tạo một quy trình kiểm soát có thể ngăn chặn hoặc ít nhất là phát hiện từng lỗi
trong tập dữ liệu.
Đường sắt Scorpion cung cấp các chuyến đi bằng tàu diesel và tàu hơi nước qua sa mạc Arizona tuyệt đẹp.
Nó sở hữu 32 động cơ, mỗi động cơ có một số sê-ri duy nhất gồm 6 chữ số. Dưới đây là dữ liệu về các chuyến
đi vào ngày 10 tháng 9. Mỗi chuyến đi kéo dài tối thiểu 1,5 giờ.
Động cơ Sự khởi hành Trở lại
Số sê-ri Ngày chuyến đi Kiểu Thời gian Thời gian
173954 10/09 D 09:15 11:46

624974 09/01 S 10:25 10:23
130856 09/10 E 12:30 16:42
442751 09/11 D 13:45 17:43
820451 09/10 ĐĐ 15:00 18:32
003876 09/10 S 15:30 15:45
Mã tàu hợp lệ (cột loại động cơ): D 5 Diesel, S 5 Steam
YÊU CẦU
Một. Xác định và mô tả bất kỳ lỗi nào trong dữ liệu.
b. Đối với mỗi trường trong số năm trường dữ liệu, hãy đề xuất một hoặc nhiều biện pháp kiểm soát chỉnh sửa đầu vào có thể
được sử dụng để phát hiện lỗi đầu vào.
c. Nhập dữ liệu vào bảng tính và tạo các biện pháp kiểm soát thích hợp để ngăn chặn hoặc ít nhất
phát hiện lỗi đầu vào.
d. Đề xuất các biện pháp kiểm soát khác để giảm thiểu rủi ro sai sót đầu vào.
13.4 BẮT BUỘC
Truy xuất bảng tính từ Blackboard và chỉnh sửa nó để bao gồm các điều khiển sau:
1. Phí hàng năm không được vượt quá 8% giá mua.
2. Chi phí đào tạo không được vượt quá 12.000 USD trong năm 0 và 3.000 USD sau đó.
3. Khoản tiết kiệm hàng năm do hiệu quả không được vượt quá 5.000 USD nhưng phải bằng 0 vào năm 0.
4. Ô C2 (được bôi màu vàng bên phải chữ “Trả lời”) buộc phải nhập
“CÓ” hoặc “KHÔNG”—không có giá trị nào khác được chấp nhận.
5. Tên của bạn phải xuất hiện trong ô C3 và ô này phải đảm bảo rằng mọi tên được nhập đều
tổng số không thể vượt quá 30 ký tự.
6. Ô B8 (phí hàng năm) KHÔNG được chấp nhận bất kỳ văn bản chữ cái nào.
7. Mức giảm rủi ro do đầu tư chứng khoán (ô B18) phải nằm trong khoảng từ
bao gồm 2% và 8%.
8. Khóa bảng tính chỉ nhập dữ liệu vào các ô này (tất cả đều được đánh dấu
màu vàng trong bảng tính):

Một. C2
b. C3
c. B8
d. B10
đ. B12
f. B18
Lời yêu cầu: Chúng ta có nên đầu tư 100.000 USD vào giải pháp bảo mật được đề xuất để giảm rủi ro xảy ra sự cố xuống
dưới 10% không?
Trả lời:
Tên của bạn:
Năm Tổng cộng
1 2 3 4 5
Chi phí mua hàng (ban đầu) 0 100.000 USD 100.000 USD
Phí hằng năm $0 $0 $0 $0 $0 $0 $0
Chi phí đào tạo $0 $0 $0 $0 $0 $0 $0 $0
Tiết kiệm nhờ hiệu quả $0 $0 $0 $0 $0 $0 $0 $0
Giảm mối đe dọa:
Sự va chạm 500.000 USD
Rủi ro hiện tại 10%
Khoản lỗ dự kiến 50.000 USD
Rủi ro mới 4,0%
Khoản lỗ dự kiến mới 20.000 USD
Lợi ích 30.000 USD hàng năm $0 $30,000 $30,000 $30,000 $30,000 $30,000 $150,000
Tổng dòng tiền ra 100.000 USD $0 $0 $0 $100.000

$0 $0
Tổng lợi ích 0 $30,000 $30,000 $30,000 $30,000 $30,000 $150,000
Lợi ích ròng - 100.000 USD $30,000 $30,000 $30,000 $30,000 $30,000 $50,000
Tỷ lệ chiết khấu 10%
Giá trị chiết khấu -100.000 USD $27,273 $24,793 $22,539 $20,490 $18,628 $13,724
NPV 13.723,60 USD
IRR 15%
13.5 Trả lời tất cả các câu hỏi trắc nghiệm sau đây.
1. Một nhân viên được trả mức lương 50.000 USD đã gửi yêu cầu giữ lại 50 USD mỗi phiếu lương trong các khoản khấu
trừ tự nguyện cho kế hoạch 401(K). Tiền lương hàng tuần tiếp theo là số tiền ròng là 50 đô la. Anh nhân viên
tức giận. Biện pháp kiểm soát nào sau đây sẽ hiệu quả nhất trong việc phát hiện vấn đề này trước khi phân phối
tiền lương?
Một. tổng tài chính d. kiểm tra tính hợp lý
b. kiểm tra kích thước đ. số lượng bản ghi
c. kiểm tra giới hạn
2. Một điều khiển kiểm tra xem ngày có được nhập vào trường thứ tự ngày hay không được gọi
Một .
Một. kiểm tra ngày d. kiểm tra tính hợp lệ
b. bài kiểm tra tính tương thích đ. kiểm tra phạm vi

c. kiểm tra hiện trường
3. Đại diện bán hàng đã nhập nhầm số tài khoản không tồn tại vào trường mã số khách hàng trên biểu mẫu bán hàng.
Kết quả là hàng hóa đã được vận chuyển nhưng khách hàng không bao giờ nhận được hóa đơn. Loại kiểm soát nào sẽ
hiệu quả nhất trong việc ngăn ngừa loại vấn đề này?
Một. tài liệu quay vòng d. kiểm tra phạm vi

b. kiểm tra tính hợp lý đ. kiểm tra xác minh chữ số
c. nhắc nhở
4. Loại tổng số lô nào sẽ phát hiện ra thực tế là có chính xác ba thẻ chấm công bị thất lạc trong quá trình xử lý,
điều đó có nghĩa là ba nhân viên không nhận được tiền lương?

Một. tổng tài chính d. Không ai trong số ba người sẽ phát hiện ra b.
số lượng bản ghi vấn đề.

c. tổng số băm đ. Cả ba lựa chọn đều sẽ phát hiện ra vấn đề.
5. Kiểm tra xem tất cả nhân viên có dưới 65 tuổi hay không là một ví dụ
của .
a. kiểm tra tính hợp lý d. kiểm tra giới hạn
b. ký kiểm tra đ. kiểm tra tính hợp lệ
c. kiểm tra xác minh chữ số
6. Một nhân viên đã nhập sai số tài khoản trên dòng ghi nhớ của tờ séc gửi cho nhà cung cấp. Do đó, tài khoản
của khách hàng khác đã được ghi có cho khoản thanh toán đó. Cách hiệu quả nhất để ngăn chặn những vấn đề
như vậy là sử dụng a. tài liệu quay vòng .
b. kiểm tra tính hợp lệ của số tài khoản khách hàng
c. xác minh vòng kín
d. kiểm tra chữ số xác minh số tài khoản khách hàng
7. Điều khiển đầu vào nào được thiết kế để ngăn chặn cuộc tấn công tràn bộ đệm?
Một. kiểm tra kích thước
c. kiểm tra phạm vi
b. kiểm tra tính hợp lý d. kiểm tra hiện trường
8. Điều khiển ứng dụng nhập dữ liệu đảm bảo dữ liệu được nhập vào trường số lượng đặt hàng lớn hơn 0 được gọi
là a. ký kiểm tra .
d. kiểm tra số dư bằng không
đ. kiểm tra kích thước

b. kiểm tra tính hợp lệ
c. kiểm tra tính hợp lý
9. Một ứng dụng kiểm soát so sánh số tiền tăng lương của một nhân viên với mức lương hiện tại của nhân viên
đó được gọi là a. kiểm tra giới hạn .
d. kiểm tra xác minh chữ số

đ. kiểm tra kích thước
b. kiểm tra phạm vi
c. kiểm tra tính hợp lý
10. Tổ chức sử dụng xử lý hàng loạt để cập nhật tài khoản khách hàng. Trong quá trình xử lý, trước tiên máy
tính sẽ sắp xếp tất cả các giao dịch bán hàng theo mã số khách hàng. Quá trình đó được thực hiện sao cho
trong quá trình xử lý hàng loạt, hệ thống có thể thực hiện a. kiểm tra tính hợp lý .
d. kiểm tra thăng bằng bằng chân chéo
b. kiểm tra tính đầy đủ đ. số lượng bản ghi
c. kiểm tra trình tự
13.6 Bạn đã được yêu cầu tư vấn về các kế hoạch dự phòng khác nhau dành cho tổ chức.
Người quản lý CNTT đã giải thích với bạn rằng có khung thời gian tối đa là 5 giờ để có thể khôi phục các bản
sao lưu và lý tưởng nhất là kích thước bản sao lưu không được vượt quá 2500 GB.
Tất cả các bản sao lưu (bất kể loại bản sao lưu nào) cần được giữ lại trong cả tuần.
Lựa chọn tiếp theo đã khả thi:
1. Tùy chọn A: Sao lưu hàng ngày được thực hiện từ thứ Hai đến thứ Bảy
• Thời gian thực hiện sao lưu: 2 giờ 30 phút
• Kích thước sao lưu: 500 GB
• Thời gian khôi phục từ bản sao lưu: 2 giờ
2. Tùy chọn B: Sao lưu toàn bộ hàng tuần vào tối Thứ Bảy, cộng với các bản sao lưu chênh lệch hàng ngày
(Thứ Hai đến Thứ Bảy)
• Thời gian thực hiện full backup: 2 giờ 30 phút
• Thời gian khôi phục từ bản sao lưu đầy đủ: 2 giờ
• Thời gian cần thiết để sao lưu hàng ngày là 15 phút cho ngày đầu tiên và sau đó tăng thêm 20 phút cho
mỗi ngày tiếp theo (35 phút cho ngày thứ hai, 55 phút cho ngày thứ ba, v.v.)
• Kích thước sao lưu hàng ngày là 90 GB vào ngày đầu tiên và tăng thêm 90 GB mỗi ngày (90 GB ngày đầu
tiên, 180 GB ngày thứ hai, v.v.)
• Thời gian khôi phục bản sao lưu vi sai là nửa giờ vào ngày đầu tiên, tăng thêm nửa giờ vào mỗi ngày
tiếp theo (30 phút vào ngày thứ nhất, 60 phút vào ngày thứ hai, 90 phút vào ngày thứ ba, v.v.)
3. Tùy chọn C: Sao lưu toàn bộ hàng tuần vào tối Thứ Bảy, cộng với các bản sao lưu gia tăng hàng ngày (Thứ Hai đến Thứ
Bảy)
• Thời gian thực hiện full backup: 2 giờ 30 phút
• Thời gian khôi phục từ bản sao lưu đầy đủ: 2 giờ
• Thời gian cần thiết để sao lưu hàng ngày là 20 phút
• Dung lượng sao lưu hàng ngày là 90 GB
• Thời gian khôi phục từng tệp sao lưu hàng ngày là 20 phút cộng thêm 5 phút để tìm và tải từng tệp gia tăng sau
tệp gia tăng đầu tiên
YÊU CẦU
Một. Đối với mỗi tùy chọn sao lưu, hãy xác định những điều sau:
1. Thời gian dành cho việc sao lưu mỗi tuần
2. Yêu cầu bảo quản

3. Thời gian khôi phục
b. Hãy xem xét tổng số bạn đã tính toán rồi đề xuất phương án dự phòng phù hợp nhất
tùy chọn, dựa trên yêu cầu của tổ chức.
13.7 (Các) biện pháp kiểm soát nào sẽ giảm thiểu tốt nhất các mối đe dọa sau đây?
Một. Một công ty đang lên kế hoạch đưa khả năng chịu lỗi vào kiến trúc hệ thống của mình nhưng vẫn chưa đưa ra
quyết định cuối cùng. Trong khi chờ đợi, bộ phận CNTT đảm bảo rằng tất cả các bản sao lưu đã được thực hiện—
sao lưu toàn bộ vào tối thứ Sáu hàng tuần và các bản sao lưu gia tăng hàng ngày. Tuy nhiên, ổ cứng chính
chứa tất cả dữ liệu của công ty đã bị hỏng. Bộ phận CNTT đã bảo đảm được một ổ cứng thay thế nhưng họ không
thể khôi phục dữ liệu của công ty.
b. Hệ thống thông tin của bệnh viện bị ảnh hưởng khi một trong các ổ cứng của bệnh viện gặp sự cố. Hệ thống
thông tin chứa tất cả các hồ sơ liên quan đến bệnh nhân như thủ tục, thuốc và dị ứng, và nếu không có nó,
nhân viên y tế sẽ không có quyền truy cập vào thông tin quan trọng của bệnh nhân.
c. Một nhân viên có ý định xin nghỉ phép không lương 30 ngày vì lý do cá nhân thông qua cổng nghỉ phép trực
tuyến của công ty. Khi nhân viên nhận được xác nhận nghỉ phép của anh ta đã được chấp thuận, anh ta nhận
thấy rằng anh ta đã nộp đơn xin nghỉ phép trong 300 ngày chứ không phải 30.
d. Một nhân viên kiểm kê mới nhập một mặt hàng mới vào kho và vô tình chỉ ra rằng
mức độ sắp xếp lại phải là -20.
đ. Qua đêm, đám cháy bùng phát tại phòng máy chủ của một công ty lớn. May mắn thay, ngọn lửa nhanh chóng được
khống chế do máy dò khói được kích hoạt, phun nước và dập tắt đám cháy. Người quản lý và nhân viên CNTT ở
chế độ chờ đã được thông báo. Họ vội vã đến văn phòng để đảm bảo kế hoạch khắc phục thảm họa được thực hiện.
Vì phòng máy chủ chủ yếu bị hư hại ở bề ngoài nên có thể tiếp tục hoạt động ngay khi máy chủ tập tin hoạt
động trở lại. Người quản lý và nhân viên CNTT ở chế độ chờ không thể thống nhất được về quy trình khởi
động lại mọi thứ.
f. Bạn được hướng dẫn xử lý hóa đơn của nhà cung cấp và chỉ được cung cấp hóa đơn. Bạn được thông báo rằng
không có báo cáo nhận được và bạn chỉ cần thực hiện thanh toán.
g. Bạn cần thực hiện kiểm tra tín dụng đối với khách hàng trước khi họ có thể hoàn tất giao dịch hiện tại và
tìm số tài khoản chính xác trước khi hệ thống cho phép bạn phê duyệt giao dịch.
h. Một công ty đã bị đưa ra tòa bởi một cựu nhân viên đã cáo buộc một trong những nhân viên trả lương đã khấu
trừ thông tin thuế một cách không thích hợp. Lời buộc tội này được đưa ra sau khi nhân viên đó rời công ty
và được đưa ra dựa trên những sự kiện được cho là đã xảy ra khoảng 5 năm trước khi anh ta rời đi. Người
quản lý tiền lương đã yêu cầu thông tin từ 5 năm trước nhưng được thông báo rằng bản sao lưu chỉ được tạo
từ thông tin từ tuần trước.
Tôi. Một nhân viên kế toán phải trả đã thanh toán cùng một hóa đơn hai lần.
j. Ở một số quốc gia, việc cung cấp điện thường bị đình chỉ, được gọi là cắt điện hoặc cắt điện luân phiên,
trong những khoảng thời gian cụ thể để cân bằng cung và cầu trên lưới điện. Thật không may, việc sa thải
tải thường không được quản lý theo thời gian đã định và các công ty phải đối mặt với các vấn đề với máy chủ
cơ sở dữ liệu của họ.

k. Một lô giao dịch mua bán được gửi về trụ sở chính để xử lý trong đêm.
Đã xảy ra một số lỗi truyền dữ liệu và một trong các trang chứa các giao dịch bán hàng đã bị mất. Sai
lầm này chỉ được phát hiện ba tuần sau đó khi hai sự kiện không liên quan xác định được có vấn đề: có
một cuộc kiểm tra hàng tồn kho ngẫu nhiên xác định sự khác biệt giữa hàng tồn kho thực tế và hàng tồn
kho đã bán; và một khách hàng muốn trả lại sản phẩm nhưng mặc dù khách hàng đã có biên lai nhưng không
có ghi chép giao dịch thực tế trên hệ thống.
tôi. Một nhân viên nhập dữ liệu được bổ nhiệm gần đây đã phải chịu áp lực phải hoàn thành một đợt thanh toán
lớn. Trong một số số tiền phải nhập, nhân viên bán hàng đã nhập chữ “l” thay vì số “1”.
m.Công ty của bạn nhận được thông báo rằng tài khoản của bạn tại một trong những nhà cung cấp của bạn đã
quá hạn. Tuy nhiên, bạn có hồ sơ về khoản thanh toán đã được thực hiện. Khi bạn cung cấp cho bộ phận kế
toán của nhà cung cấp bằng chứng thanh toán, nhân viên kế toán phải thu đã xin lỗi và nói rằng có lỗi
đánh máy khiến hai chữ số trong số tài khoản của bạn bị hoán đổi.
N. Người quản lý văn phòng tín dụng đã liên hệ với bạn về các thủ tục dự phòng của họ. Anh ấy giải thích
rằng một trong những đĩa DVD có bản sao lưu đầy đủ ở dạng văn bản thuần túy đã bị thất lạc và anh ấy lo
lắng điều gì có thể xảy ra nếu đĩa DVD rơi vào tay kẻ xấu. Hai ngày sau, chiếc đĩa được tìm thấy dưới
một máy tính để bàn. Lời khuyên nào về kiểm soát sẽ phù hợp trong trường hợp này?
ồ. Một nhân viên mới được bổ nhiệm vừa mới di cư từ Anh đang nhập dữ liệu bán hàng, bao gồm cả ngày thực
hiện giao dịch bán hàng. Nhân viên đã quen với ngày tháng ở định dạng ngày-tháng-năm và nhập tất cả các
ngày tương ứng.
Hệ thống mà nhân viên sử dụng đã được thiết lập để chấp nhận ngày ở định dạng tháng-ngày-năm.
P. Một chủ doanh nghiệp nhỏ quản lý tài chính của mình bằng chương trình bảng tính đã hỏi liệu bạn có thể
giúp anh ấy thực hiện một số phép tính hay không. Gần đây có một trường hợp thuế giá trị gia tăng (VAT)
trong nước đã thay đổi từ 14% thành 15% và chủ doanh nghiệp cho biết kế toán của anh ấy chỉ ra rằng anh
ấy đã ghi giá trị VAT không chính xác trong báo cáo tài chính của mình. Ông khẳng định rằng ông đã cập
nhật thuế suất VAT trong bảng tính của mình.
13.8 Trong một cơn bão lớn, sét đánh trúng tòa nhà văn phòng, nơi đặt trung tâm dữ liệu của một công ty kế toán nhỏ.
Sét gây ra hỏa hoạn làm gián đoạn nguồn điện cung cấp cho tòa nhà và làm hư hỏng một số phần cứng máy tính
và thiết bị văn phòng.
Sự biến động về nguồn điện khiến máy chủ tập tin bị mất điện. Tất cả điều này xảy ra trong khi các bản sao
lưu đang được tạo, khiến bản sao lưu không thể sử dụng được. Để tiết kiệm tiền, các bản sao lưu của công ty
luôn được thực hiện trên cùng một phương tiện lưu trữ, sử dụng lại cùng một phương tiện mỗi khi tạo bản sao
lưu.
Xác định những điểm yếu trong quy trình sao lưu và quy trình khắc phục thảm họa của công ty.
1. Tạo quy tắc xác thực dữ liệu trong bảng tính để thực hiện từng thao tác sau
điều khiển:
Một. Kiểm tra giới hạn—các giá trị trong ô lớn hơn 30
b. Kiểm tra phạm vi—các giá trị trong ô nằm trong khoảng từ 15 đến 65
c. Kiểm tra dấu hiệu—các giá trị trong ô là âm
d. Kiểm tra trường—các giá trị trong ô chỉ là số
đ. Kiểm tra kích thước—ô chấp nhận không quá 9 ký tự văn bản
f. Kiểm tra tính hợp lý—rằng giá trị của ô lớn hơn hai lần giá trị của
ô bên trái của nó
g. Kiểm tra tính hợp lệ—rằng một giá trị có tồn tại trong danh sách các giá trị được phép hay không
2. Nhập các giá trị sau vào các ô trong bảng tính của bạn ở hàng bên dưới hàng cuối cùng
được sử dụng cho các quy tắc xác thực dữ liệu ở bước 1:
Một. 75
b. vui mừng
Bây giờ hãy tạo các quy tắc xác thực dữ liệu sau cho hai ô đó:
Tôi. đối với ô chứa giá trị “75”, hãy tạo quy tắc xác thực dữ liệu mà tất cả các giá trị
phải nhỏ hơn 50
ii. đối với ô chứa từ “hạnh phúc”, hãy tạo quy tắc xác thực dữ liệu để
yêu cầu văn bản có độ dài tối đa 4 ký tự
Các quy tắc xác thực có hoạt động không? Điều đó tiết lộ điều gì về khả năng sử dụng các quy tắc xác
thực dữ liệu sau khi dữ liệu đã được nhập? Điều gì xảy ra nếu bạn áp dụng công cụ “Vòng tròn dữ liệu
không hợp lệ” cho các ô đó?
13.10 Một công ty dược phẩm điều hành ba ca mỗi ngày: 06 giờ sáng đến 2 giờ chiều; 2 giờ chiều đến 10
giờ tối; và 10:00 tối đến 06:00 sáng Sao lưu và bảo trì hệ thống được thực hiện từ nửa đêm đến
06:00 sáng. Hãy xem xét các tình huống sau và xác định xem liệu quy trình sao lưu hiện tại
được đưa ra trong mỗi tình huống có giúp công ty đạt được các mục tiêu khôi phục hay không.
Giải thích câu trả lời của bạn bằng cách cung cấp các ví dụ về địa điểm và thời điểm các mục
tiêu khôi phục được đáp ứng hoặc không được đáp ứng.
Một. Kịch bản 1: Công ty thực hiện hai bản sao lưu tăng dần hàng ngày từ Thứ Hai đến Thứ
Bảy; một lúc 07:00 sáng và một lúc 07:00 tối. Sao lưu đầy đủ hàng tuần được thực hiện vào
lúc 10:00 sáng Chủ nhật
• Mục tiêu thời gian phục hồi: 270 phút
• Thời gian hoàn tất backup toàn bộ: 120 phút
• Thời gian khôi phục từ bản sao lưu đầy đủ: 75 phút
• Thời gian thực hiện sao lưu tăng dần hàng ngày: 25 phút
• Thời gian khôi phục mỗi bản sao lưu gia tăng: 15 phút
b. Tình huống 2: Sao lưu vi sai được thực hiện từ thứ Hai đến thứ Bảy lúc 23h mỗi đêm. Sao
lưu đầy đủ hàng tuần được thực hiện vào Chủ nhật lúc 10:00 sáng
• Mục tiêu thời gian phục hồi: 240 phút
• Thời gian hoàn tất backup toàn bộ: 240 phút
• Thời gian khôi phục từ bản sao lưu đầy đủ: 150 phút
• Thời gian thực hiện sao lưu chênh lệch hàng ngày: 45 phút vào thứ Hai, tăng dần
15 phút mỗi ngày liên tiếp
• Thời gian khôi phục sao lưu chênh lệch hàng ngày: 15 phút cho thứ Hai, tăng dần
8 phút mỗi ngày liên tiếp.
c. Kịch bản 3
• Mục tiêu điểm phục hồi 5 18 giờ

• Sao lưu hàng ngày vào lúc nửa đêm
• Quá trình sao lưu mất 150 phút trong đó có hai bộ bản sao băng
tạo
• Các bản sao lưu băng từ ngoài cơ sở được thu thập vào lúc 05:00 sáng hàng ngày cho bên ngoài cơ sở
kho
13.11 Trả lời tất cả các câu hỏi trắc nghiệm sau đây.
1. Sóng thần phá hủy trụ sở chính và nhà kho chính của tổ chức. Tài liệu nào sau đây sẽ chứa
hướng dẫn về cách ứng phó với vấn đề đó?
Một. DRP
b. BCP
2. Một công ty thực hiện sao lưu toàn bộ vào mỗi tối thứ Sáu và sao lưu một phần vào Thứ Hai, Thứ Ba, Thứ
Tư và Thứ Năm. Điều nào sau đây là đúng?
Một. Vào thứ Tư, sẽ mất ít thời gian hơn để thực hiện sao lưu gia tăng so với sao lưu
khác biệt, nhưng sẽ mất nhiều thời gian hơn để khôi phục hệ thống từ các bản sao
lưu gia tăng so với từ các bản sao lưu vi sai.
b. Vào Thứ Tư, việc thực hiện sao lưu gia tăng sẽ mất ít thời gian hơn so với sao lưu
khác biệt và cũng sẽ mất ít thời gian hơn để khôi phục hệ thống từ các bản sao lưu
tăng dần so với từ các bản sao lưu khác biệt.
c. Vào thứ Tư, sẽ mất nhiều thời gian hơn để thực hiện sao lưu gia tăng so với
sao lưu vi sai, nhưng sẽ mất ít thời gian hơn để khôi phục hệ thống từ các bản sao lưu gia
tăng so với các bản sao lưu vi sai.
d. Vào Thứ Tư, sẽ mất nhiều thời gian hơn để thực hiện sao lưu gia tăng so với sao lưu khác biệt
và cũng sẽ mất nhiều thời gian hơn để khôi phục hệ thống từ các bản sao lưu gia tăng hơn là
từ các bản sao lưu khác biệt.
Một. Nếu một công ty cần giữ một bản sao dữ liệu liên quan đến thuế về chi phí nhân
cơ sở sản xuất vô thời hạn, nó phải lưu trữ thông tin đó.
b. Các kho lưu trữ phải được mã hóa nhưng các bản sao lưu không được mã hóa.
c. Cách khôi phục sau khi ổ cứng bị lỗi là khôi phục kho lưu trữ gần đây nhất của ổ cứng.
kho dữ liệu.
d. Cách tốt nhất để sao lưu và phục hồi là có hai bản sao của kho lưu trữ: một
tại chỗ và bên ngoài trang web khác.
đ. Không có tuyên bố nào ở trên là đúng.
4. Các quy trình/thiết bị/điều khiển có khả năng chịu lỗi góp phần đạt được độ tin cậy của hệ thống
mục tiêu khả năng được gọi là a. .
bảo mật
b. sự riêng tư
c. tính toàn vẹn xử lý
d. khả dụng
đ. bảo vệ
5. Một tổ chức thuê một tòa nhà được trang bị sẵn đường dây cho cả điện thoại và truy cập Internet. Nó cài
đặt 30 máy chủ và 25 máy tính để bàn để sử dụng làm môi trường thử nghiệm. Tuy nhiên, trong trường hợp
thảm họa phá hủy trung tâm dữ liệu của công ty, môi trường thử nghiệm có thể được chuyển đổi để sử dụng
làm trung tâm dữ liệu dự phòng trong vòng 3–5 giờ. Tổ chức đã áp dụng phương pháp lập kế hoạch khắc phục
thảm họa được gọi là a. một trang web nóng .
b. một địa điểm lạnh
c. phản chiếu thời gian thực
6. Phương án khắc phục thảm họa nào sau đây là phù hợp nhất khi giá trị
ues cho cả RTO và RPO là 2 ngày hoặc lâu hơn?

Một. trang web nóng
b. nơi lạnh
7. Biện pháp nào được thiết kế chủ yếu để xác định tần suất thực hiện
bản sao lưu?

Một. RPO
b. RTO
8. Cách tiếp cận nào sau đây đối với vấn đề sẵn có tạo ra kết quả nhỏ nhất
RTO và RPO?
Một. trang web nóng
b. nơi lạnh

d. Tất cả các kết quả trên đều dẫn đến cùng một RTO và RPO.
Một. Thay vào đó, việc loại bỏ sự trùng lặp khuyến khích các tổ chức chuyển sang tạo ra sự khác biệt
của các bản sao lưu từng phần gia tăng.
b. Thay vào đó, việc loại bỏ trùng lặp khuyến khích các tổ chức chuyển sang thực hiện tăng dần
của các bản sao lưu một phần khác biệt.
c. Loại bỏ sự trùng lặp khuyến khích các tổ chức chuyển sang thực hiện từng phần một
sao lưu thay vì sao lưu đầy đủ.
d. Loại bỏ sự trùng lặp khuyến khích các tổ chức chuyển sang tạo ra sự khác biệt một phần
sao lưu thay vì sao lưu đầy đủ.

CASE 13-1 Đảm bảo tính sẵn sàng của hệ thống
Nhiều tổ chức thường xuyên được đưa tin vì thất bại trong việc khắc Google đã được đưa tin vào tháng 6 năm 2019 về sự cố ngừng hoạt
phục thảm họa và lập kế hoạch kinh doanh liên tục không thành công. động ảnh hưởng đến một số khách hàng, bao gồm Vimeo, Pokémon GO
Vào tháng 6 năm 2019, Vodafone đã gặp sự cố ngừng hoạt động lớn và Snapchat. Tại thời điểm viết bài, thông tin về sự kiện này
khiến khách hàng gặp sự cố với dữ liệu di động và dịch vụ băng thông có thể được tìm thấy ở nhiều trang web khác nhau, bao gồm
rộng. Tại thời điểm viết bài, có rất ít thông tin về sự kiện này:
1. Liam Tung, “Thông tin chi tiết về Sự cố ngừng hoạt động đám
mây 'thảm họa' của Google: Hứa sẽ làm tốt hơn vào lần tới,”
1. Sophie Curtis, “Vodafone DOWN: Khách hàng băng thông rộng tại nhà
DZNet (tháng 6 năm 2019) (https://www.zdnet.com/article/
và di động không thể truy cập mạng,” Mirror (tháng 6 năm 2019)
google-details-catastrophic-cloud-outage-events-promises-to-
(https://www.mirror.
do-better-next-time/).
co.uk/tech/break-vodafone-down-mobile-broadband-16512733).
2. Lisette Voytko, “Sự cố ngừng hoạt động nghiêm trọng làm
giảm sự bất hòa, Reddit, Amazon và hơn thế nữa,” Forbes
2. James Sillars, “Dịch vụ Vodafone trên toàn thế giới gặp sự
(tháng 6 năm 2019) (https://www.forbes.com/sites/lisette-
cố Internet,” SkyNews (tháng 6 năm 2019) (https://
voytko/2019/06/24/major -outage-mang-down-discord-reddit-
news.sky.com/story/vodafone-glitch-reported-across-large-
amazon-and-more/#731ee9a030a4).
parts-of-europe-11741189).
YÊU CẦU
Một. Xem lại các sự cố tại Vodafone và Google và giải thích nguyên nhân chính gây ra tình trạng ngừng hoạt động.
Thảo luận lý do tại sao các kế hoạch khắc phục thảm họa hoặc tiếp tục hoạt động kinh doanh không đủ hiệu quả
để ngăn chặn tình trạng ngừng hoạt động trên diện rộng.
b. Tìm ít nhất một ví dụ về một công ty nơi các giải pháp được đưa ra (do chính công ty đó hoặc bởi
một công ty thuê ngoài) để đảm bảo rằng những thất bại như ở Vodafone và Google không làm tê
liệt tổ chức. Giải thích những gì đã được thực hiện để đảm bảo rằng hệ thống luôn sẵn sàng.
CASE 13-2 Đảm bảo tính toàn vẹn của quy trình trong bảng tính
Nhận bản sao bài viết “Cách gỡ lỗi bảng tính Excel” của Rayman bạn có quyết định bỏ qua thông báo lỗi của Excel không?
Meservy và Marshall Romney đăng trên Tạp chí Kế toán Tại sao?
5. Trong phần “Các mẹo kiểm tra lỗi khác”, bài viết chỉ ra
(Tháng 11 năm 2015, trang 46–52) từ thư viện trường học của bạn hoặc rằng công thức bỏ điểm thấp nhất sẽ bỏ qua các khoảng
từ trang web www.aicpa.org. Bảng tính được tham chiếu trong bài viết trống. Thay vì thực hiện giải pháp tạm thời được mô tả
có sẵn để tải xuống từ trang web của khóa học. Tải xuống bảng tính và trong bài viết, hãy tạo một giải pháp lâu dài có thể xử lý
làm theo các bước trong bài viết. Viết một báo cáo trả lời các câu hỏi thành công mọi bài kiểm tra hoặc bài tập còn thiếu trong
sau (những câu hỏi này không được trả lời đầy đủ trong bài viết). Bao tương lai (tức là sửa công thức để nó thả chính xác một ô
gồm ảnh chụp màn hình để hỗ trợ câu trả lời của bạn. Gợi ý: Các câu trống thay vì ô không có giá trị thấp nhất). ô trống).
hỏi bên dưới được liệt kê theo trình tự mà bạn sẽ gặp khi thực hiện
các bước được mô tả trong bài viết.
6. Viết quy tắc xác thực dữ liệu để ngăn chặn loại lỗi tồn tại
trong ô U53, để bạn không phải dựa vào việc xác định thủ
công lỗi đó và sửa nó theo cách thủ công.

1. Làm sao bạn biết khi nào quy tắc “Trace Precedents” đã định vị
được ô chứa nguồn gốc của chuỗi lỗi?
7. Đoạn cuối cùng của phần “Các mẹo kiểm tra lỗi khác” hỏi liệu có
còn ô nào khác có giá trị giữa một cột công thức hay không. Bạn
2. Những ô nào bị ảnh hưởng bởi lỗi ở ô AL4?
có tìm thấy cái nào không?
3. Giải thích bản chất của tham chiếu vòng trong
công thức ban đầu ở ô AB6.

8. Phần cuối cùng của bài viết yêu cầu bạn kiểm tra các công
4. Khi bạn sử dụng công cụ “Kiểm tra lỗi”, Excel đã tìm thấy những ô
thức để xem chúng có đúng không. Bạn có tìm thấy bất kỳ lỗi
nào? Excel đã đề xuất giải pháp chính xác cho ô nào trong số đó?
logic nào không? Giải thích.
Cho tế bào nào
Giải pháp hành động AIS
CHÌA KHÓA CÂU ĐỐ
1. Biện pháp nào sau đây đo lường lượng dữ liệu có thể bị mất do lỗi hệ thống?
Một. mục tiêu thời gian phục hồi (RTO) [Không chính xác. RTO đo lường thời gian mà một tổ chức
zation có thể phải hoạt động mà không có hệ thống thông tin của nó.]
b . mục tiêu điểm khôi phục (RPO) [Đúng. RPO đo thời gian giữa lần cuối cùng
sao lưu dữ liệu và xảy ra sự cố.]
c. kế hoạch khắc phục thảm họa (DRP) [Không chính xác. DRP chỉ định các quy trình để khôi phục CNTT
hoạt động.]
d. kế hoạch kinh doanh liên tục (BCP) [Không chính xác. BCP chỉ định các thủ tục để tiếp tục quy trình kinh
doanh.]
2. Đánh số trước tất cả các tài liệu nguồn là một biện pháp kiểm soát giảm nhẹ để duy trì quá trình xử lý trong
tính toàn vẹn ở giai đoạn nào của quá trình?
A. đầu vào [Đúng. Việc đánh số trước cải thiện khả năng kiểm soát bằng cách có thể xác minh rằng không có tài
liệu nào bị thiếu.]
b. đang xử lý [Không chính xác. Các biện pháp kiểm soát xử lý bao gồm việc so khớp dữ liệu, nhãn tập tin và tính toán lại.
tính toán tổng số lô]
c. đầu ra [Không chính xác. Việc kiểm tra cẩn thận đầu ra của hệ thống sẽ cung cấp khả năng kiểm soát bổ sung đối với tính
toàn vẹn của quá trình xử lý.]
3. Kiểm soát tự động bổ sung các biện pháp bảo vệ thủ công trong việc kiểm tra tính hợp lý và phù hợp của tài
liệu nguồn. Điều nào sau đây không phải là kiểm soát nhập dữ liệu?
Một. kiểm tra dấu hiệu [Không chính xác. Kiểm tra dấu hiệu xác định xem dữ liệu trong một trường có
dấu số học thích hợp.]
b. kiểm tra phạm vi [Không chính xác. Kiểm tra phạm vi kiểm tra xem một số lượng có phù hợp hay không
giữa giới hạn dưới và giới hạn trên được xác định trước.]
c. kiểm tra tính hợp lệ [Không chính xác. Kiểm tra tính hợp lệ sẽ so sánh mã ID hoặc số tài khoản trong dữ
liệu giao dịch với dữ liệu tương tự trong tệp chính để xác minh rằng tài khoản đó tồn tại.]
D. kiểm tra độ ổn định [Đúng.]
4. Kiểm tra tính hợp lý sẽ kiểm tra tính hợp lệ của mối quan hệ logic giữa hai mục dữ liệu. Đây là một điều khiển
ứng dụng xác minh rằng số tài khoản được nhập trong bản ghi giao dịch khớp với số tài khoản trong tệp chính có
liên quan.
A. Đúng [Đúng. Kiểm tra hợp lý là kiểm tra chỉnh sửa tính đúng đắn về mặt logic của mối quan hệ giữa các mục
dữ liệu.]
b. Sai [Không chính xác.]
A. Sao lưu hàng ngày gia tăng được thực hiện nhanh hơn so với sao lưu hàng ngày khác biệt, nhưng
việc phục hồi chậm hơn và phức tạp hơn. [Chính xác.]
b. Sao lưu hàng ngày gia tăng được thực hiện nhanh hơn so với sao lưu hàng ngày khác biệt và việc khôi phục
nhanh hơn và đơn giản hơn. [Không đúng. Các bản sao lưu gia tăng hàng ngày tạo ra các tệp sao lưu riêng
biệt cho mỗi ngày kể từ lần sao lưu đầy đủ cuối cùng, khiến việc khôi phục trở nên phức tạp hơn.]
c. Sao lưu hàng ngày khác biệt được thực hiện nhanh hơn so với sao lưu hàng ngày gia tăng, nhưng quá trình
khôi phục chậm hơn và phức tạp hơn. [Không đúng. Sao lưu hàng ngày khác biệt chậm hơn so với sao lưu hàng
ngày gia tăng, nhưng việc khôi phục nhanh hơn và đơn giản hơn vì chỉ cần sao lưu hàng ngày khác biệt gần
đây nhất và các tệp sao lưu đầy đủ cuối cùng.]
d. Sao lưu hàng ngày khác biệt được thực hiện nhanh hơn so với sao lưu hàng ngày tăng dần và việc khôi phục
cũng nhanh hơn và đơn giản hơn. [Không đúng. Sao lưu hàng ngày khác biệt thực hiện chậm hơn so với sao lưu
hàng ngày tăng dần.]

6. Lỗi chuyển vị xảy ra khi số của hai cột liền kề vô tình bị hoán đổi (ví dụ: 64 được viết thay vì 46). Nó
có thể được giảm nhẹ bằng
Một. điều khiển đầu vào. [Không đúng. Kiểm soát đầu vào đảm bảo rằng dữ liệu được nhập vào hệ thống kế
toán là chính xác để kết quả không bị sai.]
b . điều khiển xử lý. [Chính xác. Kiểm soát xử lý đảm bảo rằng dữ liệu được xử lý
một cách chính xác.]
c. điều khiển đầu ra. [Không đúng. Việc kiểm tra cẩn thận đầu ra của hệ thống cung cấp thêm thông tin
kiểm soát tính toàn vẹn của quá trình xử lý.]
7. Điều nào sau đây là ví dụ về loại tổng lô được gọi là tổng băm?
Một. tổng của trường số tiền mua trong một bộ đơn đặt hàng [Không chính xác. Đây là
ví dụ về tổng tài chính.]
b . tổng của trường số đơn đặt hàng trong một bộ đơn đặt hàng [Đúng. Các
tổng số đơn đặt hàng không có ý nghĩa nội tại.]
c. số lượng tài liệu đã hoàn thành trong một bộ đơn đặt hàng [Không chính xác. Đây là một ví dụ về số
lượng bản ghi.]

d. Tất cả những điều trên [Không chính xác. Lựa chọn a và c đều sai.]
Một. Ảo hóa làm giảm đáng kể RTO đối với các sự cố phần cứng. [Không đúng. Trạng thái này-
ý kiến đó là đúng, nhưng b và c cũng vậy.]
b. Điện toán đám mây làm giảm nguy cơ một thảm họa đơn lẻ từ thảm họa thiên nhiên hoặc cuộc tấn công
khủng bố sẽ dẫn đến thời gian ngừng hoạt động đáng kể và mất khả năng sẵn sàng.
[Không đúng. Tuyên bố này đúng, nhưng a và c cũng vậy.]
c. Vẫn cần thực hiện sao lưu khi sử dụng ảo hóa hoặc điện toán đám mây.
[Không đúng. Tuyên bố này đúng, nhưng a và b cũng vậy.]
D. Những điều ở trên đều đúng. [Chính xác.]
9. Tên của phương án cơ bản để thay thế cơ sở hạ tầng CNTT là một tòa nhà trống, được nối dây sẵn để truy
cập Internet và điện thoại cần thiết, cùng với hợp đồng với một hoặc nhiều nhà cung cấp để cung cấp tất
cả các thiết bị cần thiết trong một khoảng thời gian nhất định là gì?
Một. trang web nóng [Không chính xác. Một tùy chọn khắc phục thảm họa dựa vào quyền truy cập vào một
trung tâm dữ liệu thay thế đang hoạt động hoàn chỉnh, không chỉ được cài đặt sẵn mà còn chứa tất cả
phần cứng và phần mềm cần thiết.]
b . trang web lạnh [Đúng. Một tùy chọn khắc phục thảm họa dựa vào quyền truy cập vào một cơ sở thay thế
được cài đặt sẵn để truy cập Internet và điện thoại cần thiết.]
c. chuyển đổi trang web [Không chính xác.]
10. Điều nào sau đây là biện pháp kiểm soát có thể được sử dụng để xác minh tính chính xác của thông tin
truyền qua mạng?
Một. kiểm tra tính đầy đủ [Không chính xác. Kiểm tra tính đầy đủ là kiểm soát dữ liệu đầu vào để đảm bảo
rằng tất cả dữ liệu cần thiết đã được nhập.]
b. kiểm tra chữ số [Không chính xác. Số kiểm tra là một công cụ kiểm soát đầu vào dữ liệu được thiết kế để phát
hiện việc nhập sai số tài khoản.]
c. bit chẵn lẻ [Đúng. Bit chẵn lẻ là một điều khiển truyền thông đếm số lượng
bit để xác minh tính toàn vẹn của dữ liệu được gửi và nhận.]
d. kiểm tra kích thước [Không chính xác. Kiểm tra kích thước là kiểm soát dữ liệu đầu vào để đảm bảo rằng
lượng dữ liệu được nhập không vượt quá khoảng trống dành riêng cho nó. Kiểm tra kích thước đặc biệt
quan trọng đối với các chương trình chấp nhận đầu vào từ người dùng vì chúng có thể ngăn chặn các cuộc
tấn công tràn bộ đệm.]

Xử lý tính toàn vẹn và Kiểm soát tính khả dụng

Uploaded by

Copyright:

Available Formats

You might also like

Xử lý tính toàn vẹn và Kiểm soát tính khả dụng

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Xử lý tính toàn vẹn và Kiểm soát tính khả dụng

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

Kiểm soát tính khả dụng

MỤC TIÊU HỌC TẬP

Sau khi nghiên cứu chương này, bạn sẽ có thể:

đảm bảo tính toàn vẹn của quá trình xử lý.

và tiếp tục hoạt động một cách hiệu quả.

TRƯỜNG HỢP TÍCH HỢP Northwest Industries

vẹn và sẵn sàng xử lý.

ĐIỀU KHIỂN ĐẦU VÀO

tuần tự và sử dụng các tài liệu quay vòng.

bỏ không có nghĩa là hủy bỏ.

424 PHẦN III KIỂM SOÁT HỆ THỐNG THÔNG TIN KẾ TOÁN

BẢNG 13-1 Kiểm soát ứng dụng để xử lý tính toàn vẹn

Giai đoạn xử lý Mối đe dọa/Rủi ro Điều khiển

• Chưa đầy đủ quan, kiểm soát nhập dữ liệu

lô, kiểm tra chéo và cân bằng 0,

cơ chế bảo vệ ghi, kiểm soát tính

toàn vẹn của quá trình xử lý cơ sở

không (ví dụ: dữ liệu số trong

năng có thu nhập từ 50.000 USD đến 99.999 USD.

thực sự tồn tại.

ĐIỀU KHIỂN NHẬP DỮ LIỆU XỬ LÝ HÀNG BỔNG

sắp xếp theo số tài khoản khách hàng.

thứ tự số hoặc bảng chữ cái hay không.

cho một lô tài liệu, được tính trước

và sau đó được so sánh với tổng số do

máy tính tạo ra sau mỗi bước xử lý

tổng số băm - Một loại tổng số lô

bằng số lượng bản ghi được xử lý tại một

mục nhập dữ liệu trực tuyến yêu cầu từng

trước khi yêu cầu mục bắt buộc tiếp theo.

xác minh vòng kín - Phương pháp xác thực

đầu vào sử dụng dữ liệu được nhập vào hệ

thông tin liên quan khác để người nhập

của dữ liệu đầu vào.

trên phương tiện ghi dữ liệu đều phải được

426 PHẦN III KIỂM SOÁT HỆ THỐNG THÔNG TIN KẾ TOÁN

bản ghi trailer - loại nhãn nội bộ

xuất hiện ở cuối tệp; trong các tệp

0 sau khi tất cả các mục nhập vào tài

dư khác 0 cho biết có lỗi xử lý.

nhật cùng một bản ghi cùng một lúc.

ĐIỀU KHIỂN ĐẦU RA

xử lý. Kiểm soát đầu ra quan trọng bao gồm:

hợp lý và đầy đủ, và họ là những người nhận dự kiến.

liệu hàng tồn kho.

thêm vào mỗi ký tự; được sử dụng

tương ứng là 0000101 và 0000111.

kiểm tra tính chẵn lẻ - Kiểm soát

nhận tính toán lại bit chẵn lẻ để

VÍ DỤ MINH HỌA: XỬ LÝ BÁN HÀNG TÍN DỤNG

kho lớn hơn hoặc bằng 0.

vẹn trong môi trường phi kinh doanh.

XỬ LÝ ĐIỀU KHIỂN TÍCH HỢP TRONG BẢNG TÍNH

phương tiện từ tính và quang học đúng cách, để giảm

Mục tiêu 1. Điều khiển phím

• Vị trí và thiết kế trung tâm dữ liệu

430 PHẦN III KIỂM SOÁT HỆ THỐNG THÔNG TIN KẾ TOÁN