Professional Documents
Culture Documents
Xử lý tính toàn vẹn và Kiểm soát tính khả dụng
Xử lý tính toàn vẹn và Kiểm soát tính khả dụng
Xử lý tính toàn vẹn và Kiểm soát tính khả dụng
CHƯƠNG
13
Xử lý tính toàn vẹn và
1. Xác định và giải thích các biện pháp kiểm soát đầu vào, xử lý và đầu ra được thiết kế để
2. Xác định và giải thích các biện pháp kiểm soát được thiết kế để đảm bảo tính khả dụng của hệ thống
bằng cách giảm thiểu rủi ro về thời gian ngừng hoạt động của hệ thống và cho phép khôi phục
Jason Scott bắt đầu xem xét các biện pháp kiểm soát tính sẵn có và tính toàn vẹn trong xử lý của
Northwest Industries bằng cách gặp giám đốc tài chính (CFO) và giám đốc thông tin (CIO). Giám
đốc tài chính đề cập rằng cô vừa đọc một bài báo về việc lỗi bảng tính đã khiến một số công ty
đưa ra những quyết định sai lầm khiến họ thiệt hại hàng triệu đô la như thế nào. Cô muốn chắc
chắn rằng những vấn đề như vậy sẽ không xảy ra với Northwest Industries.
Bà cũng nhấn mạnh cần tiếp tục cải tiến quy trình chốt sổ hàng tháng để ban lãnh đạo có thông
tin kịp thời hơn. CIO bày tỏ lo ngại về việc công ty thiếu kế hoạch để tiếp tục hoạt động kinh
doanh trong trường hợp xảy ra thảm họa thiên nhiên lớn, chẳng hạn như Bão Sandy, khiến một số
doanh nghiệp nhỏ phải đóng cửa. Jason cảm ơn họ đã đóng góp ý kiến và bắt đầu thu thập bằng
chứng về tính hiệu quả của các quy trình của Northwest Industries trong việc đảm bảo tính toàn
Giới thiệu
Hai chương trước đã thảo luận về ba nguyên tắc đầu tiên về độ tin cậy của hệ thống
được xác định trong Khung dịch vụ tin cậy: bảo mật, bảo mật và quyền riêng tư. Chương
này đề cập đến hai nguyên tắc còn lại của Khung dịch vụ tin cậy: tính toàn vẹn và tính
sẵn sàng xử lý.
422
Machine Translated by Google
Shutterstock;
Shutterstock
Alexskopje/
Miles/
Stuart
Xử lý tính toàn vẹn
Nguyên tắc toàn vẹn xử lý của Khung dịch vụ tin cậy nêu rõ rằng một hệ thống đáng tin cậy tạo ra thông tin chính xác, đầy
đủ, kịp thời và hợp lệ. Bảng 13-1 liệt kê các biện pháp kiểm soát cơ bản đối với đầu vào, xử lý và đầu ra của dữ liệu mà
quy trình COBIT 2019 DSS06 xác định là cần thiết cho tính toàn vẹn của quá trình xử lý.
Cụm từ “rác vào, rác ra” nêu bật tầm quan trọng của việc kiểm soát đầu vào. Nếu dữ liệu được nhập vào hệ thống không chính
xác, không đầy đủ hoặc không hợp lệ thì kết quả đầu ra cũng sẽ như vậy. Do đó, chỉ những người có thẩm quyền hành động
trong thẩm quyền của họ mới chuẩn bị các tài liệu nguồn. Ngoài ra, cần thiết kế biểu mẫu, hủy bỏ và lưu trữ tài liệu nguồn
cũng như kiểm soát nhập dữ liệu tự động để xác minh tính hợp lệ của dữ liệu đầu vào.
THIẾT KẾ MẪU MẪU Tài liệu nguồn và các biểu mẫu khác phải được thiết kế để giảm thiểu khả năng xảy ra sai sót và thiếu sót.
Hai biện pháp kiểm soát thiết kế biểu mẫu đặc biệt quan trọng liên quan đến việc đánh số trước các tài liệu nguồn một cách
1. Tất cả các tài liệu nguồn phải được đánh số trước theo thứ tự. Việc đánh số trước cải thiện khả năng kiểm soát bằng
cách có thể xác minh rằng không có tài liệu nào bị thiếu. (Để hiểu điều này, hãy xem xét khó khăn bạn sẽ gặp phải
trong việc cân bằng tài khoản séc nếu không có séc nào của bạn được đánh số.) Khi sử dụng các tài liệu dữ liệu nguồn
được đánh số trước theo thứ tự, hệ thống phải được lập trình để xác định và báo cáo các tài liệu nguồn bị thiếu hoặc
trùng lặp.
2. Như đã giải thích trong Chương 2, các công ty sử dụng tài liệu quay vòng để loại bỏ nhu cầu bên ngoài phải gửi thông
tin mà tổ chức đã sở hữu, chẳng hạn như số tài khoản của khách hàng. Thay vào đó, dữ liệu đó được in trước ở định dạng
máy có thể đọc được trên tài liệu quay vòng. Một ví dụ là hóa đơn tiện ích mà một thiết bị quét đặc biệt sẽ đọc khi
hóa đơn được trả lại cùng với khoản thanh toán. Tài liệu quay vòng cải thiện độ chính xác bằng cách loại bỏ khả năng
xảy ra lỗi đầu vào khi nhập dữ liệu theo cách thủ công.
HỦY VÀ LƯU TRỮ TÀI LIỆU NGUỒN Các tài liệu nguồn đã nhập vào hệ thống phải được hủy bỏ để không bị nhập lại vào hệ thống
một cách vô tình hoặc gian lận. Ví dụ, các tài liệu giấy phải được xóa mờ bằng cách đóng dấu "đã thanh toán" trên chúng.
Các tài liệu điện tử có thể bị “hủy” tương tự bằng cách đặt trường cờ để cho biết rằng tài liệu đã được xử lý. Lưu ý: Hủy
Các tài liệu nguồn gốc (hoặc hình ảnh điện tử của chúng) phải được lưu giữ trong khoảng thời gian cần thiết để đáp ứng các
yêu cầu pháp lý và quy định cũng như cung cấp dấu vết kiểm tra.
423
Machine Translated by Google
Đầu vào
Dữ liệu đó là: Thiết kế biểu mẫu, hủy bỏ và lưu trữ
• không hợp lệ tài liệu, ủy quyền và phân chia
• trái phép nhiệm vụ kiểm soát, quét trực
Xử lý Lỗi dữ liệu đầu ra và lưu trữ So khớp dữ liệu, nhãn tệp, tổng số
dữ liệu
đầu ra • Sử dụng thông tin không chính xác hoặc không phù hợp Nhận xét và đối chiếu,
báo cáo đầy đủ kiểm soát truy cập và mã hóa, kiểm tra
• Tiết lộ trái phép thông tin nhạy tính chẵn lẻ, kỹ thuật xác
cảm nhận tin nhắn, chuỗi khối
kiểm tra trường - Kiểm tra chỉnh sửa để
kiểm tra xem các ký tự trong một trường • Mất mát, thay đổi hoặc tiết lộ thông
có thuộc loại trường chính xác hay tin trong quá trình truyền tải
trường số).
KIỂM SOÁT NHẬP DỮ LIỆU Các tài liệu nguồn phải được quét để đảm bảo tính hợp lý và phù hợp trước khi
kiểm tra dấu - Kiểm tra chỉnh sửa để xác
minh rằng dữ liệu trong một trường có nhập vào hệ thống. Tuy nhiên, biện pháp kiểm soát thủ công này phải được bổ sung bằng các biện pháp
dấu số học thích hợp. kiểm soát nhập dữ liệu tự động, chẳng hạn như sau:
• Kiểm tra trường sẽ xác định xem các ký tự trong trường có thuộc loại thích hợp hay không. Ví dụ:
kiểm tra giới hạn - Kiểm tra chỉnh
việc kiểm tra một trường được cho là chỉ chứa các giá trị số, chẳng hạn như mã zip của Hoa Kỳ,
sửa để kiểm tra một lượng số so với một
sẽ cho biết có lỗi nếu trường đó chứa các ký tự chữ cái.
giá trị cố định.
• Kiểm tra dấu xác định xem dữ liệu trong một trường có dấu số học thích hợp hay không.
kiểm tra phạm vi - Kiểm tra chỉnh sửa Ví dụ: trường số lượng đặt hàng không bao giờ được âm.
để kiểm tra xem một mục dữ liệu có nằm
• Kiểm tra giới hạn kiểm tra một lượng bằng số so với một giá trị cố định. Ví dụ: trường số giờ
trong giới hạn trên và dưới được
xác định trước hay không. làm việc thông thường trong đầu vào bảng lương hàng tuần phải nhỏ hơn hoặc bằng 40 giờ. Tương
tự, trường lương theo giờ phải lớn hơn hoặc bằng mức lương tối thiểu.
kiểm tra kích thước - Kiểm tra chỉnh sửa
• Kiểm tra phạm vi sẽ kiểm tra xem một số lượng có nằm giữa giới hạn dưới và giới hạn trên được xác
để đảm bảo dữ liệu đầu vào sẽ vừa với
định trước hay không. Ví dụ: khuyến mãi tiếp thị có thể chỉ hướng tới những khách hàng tiềm
trường được chỉ định.
dữ liệu tương tự trong tệp chính để xác minh rằng tài khoản tồn tại. Ví dụ: nếu số sản phẩm
kiểm tra tính hợp lý - Một bản chỉnh sửa 65432 được nhập vào đơn bán hàng, máy tính phải xác minh rằng thực sự có sản phẩm 65432 trong cơ
kiểm tra tính đúng đắn về mặt logic của
sở dữ liệu hàng tồn kho.
mối quan hệ giữa dữ liệu
mặt hàng.
• Kiểm tra tính hợp lý sẽ xác định tính đúng đắn của mối quan hệ logic giữa hai mục dữ liệu. Ví
dụ: số giờ làm thêm sẽ bằng 0 đối với người chưa làm việc đủ số giờ bình thường tối đa trong
chữ số kiểm tra - Số ID (chẳng hạn như một kỳ lương.
số mặt hàng tồn kho) có thể chứa một chữ
• Mã ID (chẳng hạn như số bộ phận) có thể chứa một chữ số kiểm tra được tính từ các chữ số khác. Ví
số kiểm tra được tính từ các chữ số khác.
dụ: hệ thống có thể gán cho mỗi mặt hàng tồn kho mới một số có chín chữ số, sau đó tính chữ số
thứ mười từ chín chữ số ban đầu và nối số được tính đó vào chín chữ số ban đầu để tạo thành số
xác minh số kiểm tra - Tính lại số kiểm
bộ phận gồm 10 chữ số. Sau đó, các thiết bị nhập dữ liệu có thể được lập trình để thực hiện xác
tra để xác minh rằng không có lỗi nhập
minh số kiểm tra, bao gồm việc tính toán lại số kiểm tra để xác định lỗi nhập dữ liệu. Tiếp
dữ liệu.
tục ví dụ của chúng tôi, xác minh chữ số kiểm tra có thể được sử dụng để
Machine Translated by Google
CHƯƠNG 13 Tính toàn vẹn trong quá trình xử lý và khả năng kiểm soát tính khả dụng 425
xác minh tính chính xác của số mặt hàng tồn kho bằng cách sử dụng chín chữ số đầu tiên để tính chữ số thứ mười.
Nếu xảy ra lỗi khi nhập bất kỳ chữ số nào trong mười chữ số, phép tính được thực hiện trên chín chữ số đầu
tiên sẽ không khớp với chữ số thứ mười hoặc chữ số kiểm tra. Lưu ý rằng xác minh chữ số kiểm tra chỉ kiểm tra
xem mã ID trong bản ghi giao dịch có thể tồn tại hay không và được thiết kế để phát hiện lỗi chuyển vị (ví
dụ: nhập 35689 thay vì 35869 làm số bộ phận). Kiểm tra tính hợp lệ là cách duy nhất để xác minh rằng mã ID
Các thử nghiệm nhập dữ liệu trước đó được sử dụng cho cả xử lý hàng loạt và xử lý thời gian thực trực tuyến. Các điều
khiển đầu vào dữ liệu bổ sung khác nhau đối với hai phương pháp xử lý.
• Xử lý hàng loạt hoạt động hiệu quả hơn nếu các giao dịch được sắp xếp sao cho số lượng tài khoản bị ảnh
hưởng theo cùng trình tự với các bản ghi được lưu trữ trong tệp chính. Ví dụ: xử lý hàng loạt giao dịch
bán hàng chính xác để cập nhật số dư tài khoản khách hàng yêu cầu tệp giao dịch bán hàng trước tiên phải được
Kiểm tra trình tự kiểm tra xem tệp giao dịch có theo đúng trình tự số hoặc chữ cái hay không. kiểm tra trình tự - Kiểm tra chỉnh sửa để
xác định xem tệp giao dịch có theo đúng
xem xét và gửi lại các giao dịch không thể xử lý được.
• Tổng số lô tính toán các giá trị số cho một lô bản ghi đầu vào. Tổng số lô được sử dụng để đảm bảo rằng tất cả tổng số lô - tổng của một mục số
2. Tổng số băm tính tổng một trường số phi tài chính, chẳng hạn như tổng của trường số lượng đặt hàng trong một
loạt giao dịch bán hàng. Không giống như tổng tài chính, tổng băm không có ý nghĩa cố hữu. Ví dụ: có thể
cộng các số hóa đơn trong một đợt giao dịch bán hàng nhưng kết quả không có ý nghĩa; mục đích duy nhất của
tổng tài chính - Một loại tổng lô bằng
nó là phục vụ như một điều khiển đầu vào.
tổng của một trường chứa giá trị tiền
tệ.
3. Số lượng bản ghi là số lượng bản ghi trong một lô.
rằng tất cả dữ liệu cần thiết đều được nhập (tức là nhắc nhở là kiểm tra tính đầy đủ trực tuyến).
số lượng bản ghi - Một loại tổng số lô
hiển thị tên tài khoản để nhân viên bán hàng có thể xác minh rằng số tài khoản đã được nhập chính xác.
nhắc nhở - Kiểm tra tính đầy đủ của
ngày và giờ nhập cũng như ai đã tham gia giao dịch. Nếu tệp trực tuyến bị hỏng, nhật ký giao dịch có thể được đó chờ phản hồi có thể chấp nhận được
để đảm bảo rằng các giao dịch không bị mất hoặc được nhập hai lần.
• So khớp dữ liệu. Trong một số trường hợp nhất định, hai hoặc nhiều mục dữ liệu phải được khớp trước khi
hành động có thể diễn ra. Ví dụ: trước khi thanh toán cho nhà cung cấp, hệ thống phải xác minh rằng thông tin
trên hóa đơn của nhà cung cấp khớp với thông tin trên cả đơn đặt hàng và báo cáo nhận hàng.
• Nhãn tập tin. Nhãn tệp cần phải được kiểm tra để đảm bảo rằng các tệp chính xác và mới nhất đang được cập
nhật. Cả nhãn bên ngoài mà con người có thể đọc được và nhãn bên trong được viết ở dạng máy có thể đọc được
bản ghi tiêu đề - loại nhãn nội bộ xuất đã sử dụng. Hai loại nhãn nội bộ quan trọng là bản ghi tiêu đề và đoạn giới thiệu. Bản ghi tiêu đề nằm ở đầu
hiện ở đầu mỗi tệp và chứa tên tệp,
mỗi tệp và chứa tên tệp, ngày hết hạn và dữ liệu nhận dạng khác. Bản ghi trailer nằm ở cuối tập tin;
ngày hết hạn và thông tin nhận dạng
tệp khác. trong các tệp giao dịch, nó chứa tổng số lô được tính trong quá trình nhập. Các chương trình nên được thiết kế
để đọc bản ghi tiêu đề trước khi xử lý, nhằm đảm bảo rằng tệp chính xác đang được cập nhật. Các chương trình
cũng nên được thiết kế để đọc thông tin trong bản ghi trailer sau khi xử lý, để xác minh rằng tất cả các bản
trình nhập và được lưu trong bản ghi trailer. Bất kỳ sự khác biệt nào đều cho thấy lỗi xử lý. Thông thường,
bản chất của sự khác biệt cung cấp manh mối về loại lỗi đã xảy ra. Ví dụ: nếu số lượng bản ghi được tính toán
lại nhỏ hơn bản gốc thì một hoặc nhiều bản ghi giao dịch không được xử lý.
Ngược lại, nếu số lượng bản ghi được tính toán lại lớn hơn bản gốc thì giao dịch trái phép bổ sung đã được
xử lý hoặc một số bản ghi giao dịch đã được xử lý hai lần. Nếu tổng chênh lệch tài chính hoặc hàm băm chia
hết cho 9 thì nguyên nhân có thể là lỗi chuyển vị, trong đó hai chữ số liền kề vô tình bị đảo ngược (ví dụ:
lỗi chuyển vị - Lỗi xảy ra khi các 46 thay vì 64). Lỗi chuyển vị có thể có vẻ nhỏ nhặt nhưng có thể gây ra hậu quả tài chính to lớn. Ví dụ,
số ở hai cột liền kề vô tình bị
hãy xem xét tác động của việc ghi sai lãi suất của khoản vay là 6,4% thay vì 4,6%.
hoán đổi (ví dụ: 64 được viết là
46).
• Kiểm tra chân chéo và kiểm tra độ cân bằng bằng không. Thông thường tổng số có thể được tính theo nhiều cách.
kiểm tra độ cân bằng của chân ngang
- Một biện pháp kiểm soát xử lý xác Ví dụ: trong bảng tính, tổng cuối có thể được tính bằng cách tính tổng một cột của tổng số hàng hoặc bằng cách
minh độ chính xác bằng cách so sánh tính tổng một hàng tổng số cột. Hai phương pháp này sẽ tạo ra kết quả như nhau. Kiểm tra độ cân bằng bằng chân
hai cách khác để tính tổng giống nhau.
ngang so sánh kết quả được tạo ra bởi từng phương pháp để xác minh độ chính xác. Kiểm tra số dư bằng 0 áp
dụng logic tương tự này để xác minh tính chính xác của quá trình xử lý liên quan đến tài khoản kiểm soát. Ví
kiểm tra số dư bằng 0 - Một biện dụ: tài khoản thanh toán bù trừ tiền lương được ghi nợ cho tổng số tiền lương của tất cả nhân viên trong
pháp kiểm soát đang xử lý xác minh rằng
một khoảng thời gian cụ thể. Sau đó, nó được ghi nhận vào tổng số chi phí lao động được phân bổ cho các loại
số dư của tài khoản kiểm soát bằng
• Cơ chế bảo vệ ghi. Những điều này bảo vệ chống ghi đè hoặc xóa dữ liệu
các tập tin được lưu trữ trên phương tiện từ tính. Cơ chế chống ghi từ lâu đã được sử dụng để bảo vệ các
tập tin chính khỏi bị hư hỏng do vô tình. Những đổi mới công nghệ cũng đòi hỏi phải sử dụng cơ chế chống
ghi để bảo vệ tính toàn vẹn của dữ liệu giao dịch. Ví dụ: thẻ nhận dạng tần số vô tuyến (RFID) được sử dụng để
theo dõi hàng tồn kho cần phải được bảo vệ chống ghi để những khách hàng vô đạo đức không thể thay đổi giá
hàng hóa.
• Kiểm soát cập nhật đồng thời. Lỗi có thể xảy ra khi hai hoặc nhiều người dùng cố gắng cập nhật cùng một bản ghi
kiểm soát cập nhật đồng thời - kiểm cùng một lúc. Các biện pháp kiểm soát cập nhật đồng thời ngăn chặn những lỗi như vậy bằng cách khóa một
soát khóa người dùng để bảo vệ các bản
người dùng cho đến khi hệ thống xử lý xong giao dịch do người dùng kia nhập.
ghi riêng lẻ khỏi các lỗi có thể xảy
ra nếu nhiều người dùng cố gắng cập
Việc kiểm tra cẩn thận đầu ra của hệ thống cung cấp khả năng kiểm soát bổ sung đối với tính toàn vẹn của quá trình
• Người dùng xem xét kết quả đầu ra. Người dùng nên kiểm tra cẩn thận đầu ra của hệ thống để xác minh rằng nó
• Thủ tục hòa giải. Định kỳ, tất cả các giao dịch và cập nhật hệ thống khác
cần được đối chiếu để kiểm soát các báo cáo, báo cáo trạng thái/cập nhật tệp hoặc các cơ chế kiểm soát khác.
Ngoài ra, các tài khoản sổ cái chung phải được đối chiếu với tổng tài khoản phụ một cách thường xuyên. Ví
dụ: số dư tài khoản kiểm soát hàng tồn kho trong sổ cái chung phải bằng tổng số dư mặt hàng trong cơ sở dữ
Điều tương tự cũng đúng đối với các tài khoản kiểm soát tài khoản phải thu, tài sản vốn và tài khoản phải trả.
• Đối chiếu dữ liệu bên ngoài. Tổng số cơ sở dữ liệu phải được đối chiếu định kỳ với
dữ liệu được lưu trữ bên ngoài hệ thống. Ví dụ: số lượng hồ sơ nhân viên trong
Machine Translated by Google
CHƯƠNG 13 Tính toàn vẹn trong quá trình xử lý và khả năng kiểm soát tính khả dụng 427
Tệp bảng lương có thể được so sánh với tổng số nhân viên trong cơ sở dữ liệu nhân sự để phát hiện các nỗ lực
thêm nhân viên hư cấu vào cơ sở dữ liệu bảng lương. Tương tự, hàng tồn kho hiện có phải được đếm thực tế và so
sánh với số lượng hiện có được ghi trong cơ sở dữ liệu. Kết quả đếm vật lý phải được sử dụng để cập nhật số
lượng được ghi lại và cần điều tra những khác biệt đáng kể.
• Điều khiển truyền dữ liệu. Các tổ chức cũng cần triển khai các biện pháp kiểm soát được thiết kế để giảm thiểu
rủi ro xảy ra lỗi truyền dữ liệu. Bất cứ khi nào thiết bị nhận phát hiện lỗi truyền dữ liệu, nó sẽ yêu cầu
thiết bị gửi truyền lại dữ liệu đó. Nói chung, điều này xảy ra tự động và người dùng không biết rằng nó đã
xảy ra. Ví dụ, Giao thức điều khiển truyền (TCP) được thảo luận trong Chương 11 gán một số thứ tự cho mỗi gói
và sử dụng thông tin đó để xác minh rằng tất cả các gói đã được nhận và tập hợp lại chúng theo đúng thứ tự.
Hai điều khiển truyền dữ liệu phổ biến khác là tổng kiểm tra và bit chẵn lẻ.
1. Tổng kiểm tra. Khi dữ liệu được truyền đi, thiết bị gửi có thể tính toán hàm băm của tệp, được gọi là tổng
tổng kiểm tra - Kiểm soát truyền dữ liệu
kiểm tra. Thiết bị nhận thực hiện phép tính tương tự và gửi kết quả đến thiết bị gửi. Nếu hai giá trị băm
sử dụng hàm băm của tệp để xác minh độ
giống nhau thì việc truyền tải được coi là chính xác. Nếu không, tập tin sẽ được gửi lại.
chính xác.
2. Các bit chẵn lẻ. Máy tính biểu diễn các ký tự dưới dạng tập hợp các chữ số nhị phân gọi là bit. Mỗi bit có
hai giá trị có thể có: 0 hoặc 1. Nhiều máy tính sử dụng sơ đồ mã hóa bảy bit, quá đủ để biểu thị 26 chữ
cái trong bảng chữ cái tiếng Anh (cả chữ hoa và chữ thường), các số từ 0 đến 9 và nhiều ký hiệu đặc biệt
($, %, &, v.v.). Bit chẵn lẻ là một chữ số bổ sung được thêm vào đầu mỗi ký tự có thể được sử dụng để kiểm
tra độ chính xác khi truyền. Hai sơ đồ cơ bản được gọi là chẵn lẻ và chẵn lẻ lẻ. Trong chẵn lẻ, bit chẵn bit chẵn lẻ - Một bit bổ sung được
Một hệ thống chẵn lẻ sẽ đặt bit chẵn lẻ từ 5 đến 0, do đó nó sẽ được truyền là 00000101 (vì mã nhị phân
cho 5 đã có hai bit có giá trị 1). Bit chẵn lẻ cho 7 sẽ được đặt thành 1 để nó được truyền là 10000111 (vì
mã nhị phân cho 7 có 3 bit có giá trị 1). Thiết bị nhận thực hiện kiểm tra tính chẵn lẻ, đòi hỏi phải xác
minh rằng số bit thích hợp được đặt thành giá trị 1 trong mỗi ký tự nhận được.
tài liệu được xác thực không bị thay đổi. Tính toàn vẹn được đảm bảo bằng cách băm nội dung của từng khối truyền.
và sau đó lưu trữ nhiều bản sao của toàn bộ chuỗi trên các thiết bị khác nhau.
Bây giờ chúng tôi sử dụng quy trình bán hàng tín dụng để minh họa có bao nhiêu biện pháp kiểm soát ứng dụng đã được
thảo luận thực sự hoạt động. Mỗi bản ghi giao dịch bao gồm các dữ liệu sau: số hóa đơn bán hàng, số tài khoản khách
hàng, số mặt hàng tồn kho, số lượng bán ra, giá bán và ngày giao hàng. Nếu khách hàng mua nhiều sản phẩm, sẽ có nhiều
số mặt hàng trong kho, số lượng bán và giá liên quan đến mỗi giao dịch bán hàng. Việc xử lý các giao dịch này bao gồm
các bước sau: (1) nhập và chỉnh sửa dữ liệu giao dịch; (2) cập nhật hồ sơ khách hàng và hàng tồn kho (số tiền mua
hàng trả trước được cộng vào số dư của khách hàng; đối với mỗi mặt hàng tồn kho, số lượng bán ra sẽ được trừ vào số
lượng có sẵn); và (3) chuẩn bị và phân phát chứng từ vận chuyển và/hoặc thanh toán.
KIỂM SOÁT ĐẦU VÀO Khi giao dịch bán hàng được nhập, hệ thống sẽ thực hiện một số thử nghiệm xác thực sơ bộ. Kiểm tra
tính hợp lệ xác định các giao dịch có số tài khoản không hợp lệ hoặc số mặt hàng tồn kho không hợp lệ. Kiểm tra trường
xác minh rằng các trường số lượng đặt hàng và giá chỉ chứa số và trường ngày tuân theo định dạng MM/DD/YYYY chính
xác. Kiểm tra dấu hiệu xác minh rằng trường số lượng đã bán và giá bán có chứa số dương. Kiểm tra phạm vi xác minh
rằng ngày giao hàng không sớm hơn ngày hiện tại cũng như không muộn hơn ngày giao hàng của công ty.
Machine Translated by Google
428 PHẦN III KIỂM SOÁT HỆ THỐNG THÔNG TIN KẾ TOÁN
chính sách giao hàng được quảng cáo. Kiểm tra tính đầy đủ sẽ kiểm tra xem có bất kỳ trường cần thiết nào (ví dụ: địa
chỉ giao hàng) trống hay không. Nếu xử lý hàng loạt đang được sử dụng, doanh số bán hàng sẽ được nhóm thành các lô
(kích thước điển hình là 5 50) và một trong các tổng số lô sau đây được tính toán và lưu trữ cùng với lô: tổng tài
chính của tổng số tiền bán hàng, tổng số hóa đơn băm, hoặc số lượng bản ghi.
KIỂM SOÁT QUY TRÌNH Hệ thống đọc các bản ghi tiêu đề cho các tệp chính của khách hàng và hàng tồn kho và xác minh
rằng phiên bản mới nhất đang được sử dụng. Khi mỗi hóa đơn bán hàng được xử lý, việc kiểm tra giới hạn sẽ được sử dụng
để xác minh rằng giao dịch bán hàng mới không làm tăng số dư tài khoản của khách hàng vượt quá giới hạn tín dụng đã
thiết lập trước. Nếu đúng như vậy, giao dịch sẽ tạm thời bị hủy và một thông báo sẽ được gửi đến người quản lý tín
dụng. Nếu việc bán hàng được xử lý, việc kiểm tra dấu hiệu sẽ xác minh rằng số lượng mới có sẵn cho mỗi mặt hàng tồn
Kiểm tra phạm vi xác minh rằng giá bán của mỗi mặt hàng nằm trong giới hạn đặt trước. Kiểm tra tính hợp lý sẽ so sánh
số lượng bán được với số mặt hàng và so sánh cả hai với mức trung bình lịch sử. Nếu xử lý hàng loạt đang được sử
dụng, hệ thống sẽ tính toán tổng số lô thích hợp và so sánh nó với tổng số lô được tạo trong quá trình nhập; nếu tổng
số của hai lô không giống nhau, một báo cáo lỗi sẽ được tạo và ai đó sẽ điều tra nguyên nhân của sự khác biệt.
KIỂM SOÁT ĐẦU RA Các tài liệu thanh toán và vận chuyển chỉ được chuyển đến những nhân viên được ủy quyền trong bộ
phận kế toán và vận chuyển, những người này sẽ kiểm tra trực quan để phát hiện các lỗi rõ ràng. Một báo cáo kiểm soát
tóm tắt các giao dịch đã được xử lý sẽ được gửi đến người quản lý bán hàng, kế toán và kiểm soát hàng tồn kho để xem
xét. Hàng tồn kho trong kho mỗi quý được kiểm kê thực tế và kết quả được so sánh với số lượng ghi sẵn trong kho của
từng mặt hàng. Nguyên nhân của sự khác biệt được điều tra và các bút toán điều chỉnh được thực hiện để điều chỉnh số
lượng đã ghi.
Ví dụ trước minh họa việc sử dụng các biện pháp kiểm soát ứng dụng để đảm bảo tính toàn vẹn của việc xử lý các
giao dịch kinh doanh. Trọng tâm 13-1 cũng giải thích tầm quan trọng của việc xử lý các biện pháp kiểm soát tính toàn
TRỌNG TÂM 13-1 Đảm bảo tính toàn vẹn trong xử lý của bỏ phiếu điện tử
Bỏ phiếu điện tử có thể loại bỏ một số loại vấn đề xảy ra máy móc hoạt động trung thực và chính xác, bao gồm:
với bỏ phiếu thủ công hoặc cơ học. Ví dụ: phần mềm bỏ phiếu
điện tử có thể sử dụng kiểm tra giới hạn để ngăn cử tri cố • Truy cập vào mã nguồn. Ban Kiểm soát Trò chơi Nevada giữ
gắng chọn nhiều ứng cử viên hơn mức cho phép trong một cuộc bản sao của tất cả phần mềm. Việc sòng bạc sử dụng bất kỳ
đua cụ thể. Kiểm tra tính đầy đủ sẽ xác định việc cử tri không phần mềm chưa đăng ký nào là bất hợp pháp. Tương tự, các
đưa ra lựa chọn trong mọi cuộc đua và sau đó, xác minh vòng chuyên gia bảo mật khuyến nghị chính phủ nên giữ bản sao
kín có thể được sử dụng để xác minh xem điều đó có phải là cố mã nguồn của phần mềm bỏ phiếu điện tử.
ý hay không. (Điều này sẽ loại bỏ vấn đề “bị treo” được tạo
ra khi cử tri không thể đục lỗ hoàn toàn trên lá phiếu giấy.) • Kiểm tra phần cứng. Việc kiểm tra tại chỗ thường xuyên các chip máy
tính trong máy đánh bạc được thực hiện để xác minh việc tuân thủ hồ
Tuy nhiên, vẫn có những lo ngại về bỏ phiếu điện tử, đặc sơ của Ban kiểm soát trò chơi Nevada. Các thử nghiệm tương tự nên
biệt là khả năng theo dõi kiểm toán của nó. Vấn đề là khả năng được thực hiện với máy bỏ phiếu.
xác minh rằng chỉ những cử tri đã đăng ký hợp lệ mới thực sự
bỏ phiếu và họ chỉ bỏ phiếu một lần. Mặc dù không ai phản đối • Kiểm tra an ninh vật lý. Ban Kiểm soát Trò chơi Nevada
sự cần thiết của việc xác thực như vậy, nhưng vẫn còn tranh kiểm tra rộng rãi cách máy phản ứng với súng điện và những
cãi về việc liệu máy bỏ phiếu điện tử có thể tạo ra các dấu cú sốc điện lớn. Máy bỏ phiếu cũng nên được kiểm tra tương
vết kiểm toán đầy đủ mà không gây nguy cơ mất danh tính của tự.
cử tri hay không. • Kiểm tra lý lịch. Tất cả các nhà sản xuất máy đánh bạc đều
Ngoài ra còn có tranh luận về tính bảo mật và độ tin cậy được xem xét kỹ lưỡng và đăng ký. Việc kiểm tra tương tự
tổng thể của bỏ phiếu điện tử. Một số chuyên gia bảo mật gợi nên được thực hiện đối với các nhà sản xuất máy bỏ phiếu
ý rằng các quan chức bầu cử nên áp dụng các phương pháp được cũng như các nhà phát triển phần mềm bầu cử.
bang Nevada sử dụng để đảm bảo rằng cờ bạc điện tử
Machine Translated by Google
CHƯƠNG 13 Tính toàn vẹn trong quá trình xử lý và khả năng kiểm soát tính khả dụng 429
Hầu hết các tổ chức đều có hàng nghìn bảng tính được sử dụng để hỗ trợ việc ra quyết định.
Tuy nhiên, vì người dùng cuối hầu như luôn phát triển các bảng tính nên chúng hiếm khi chứa các điều khiển ứng dụng
đầy đủ. Vì vậy, không có gì đáng ngạc nhiên khi nhiều tổ chức gặp phải sự cố nghiêm trọng do lỗi bảng tính. Ví dụ:
một bài báo ngày 17 tháng 8 năm 2007 trên CIO Magazine1 mô tả lỗi bảng tính đã khiến các công ty thua lỗ như thế nào,
đưa ra thông báo chi trả cổ tức sai và báo cáo sai kết quả tài chính.
Việc kiểm tra cẩn thận bảng tính trước khi sử dụng có thể ngăn ngừa được những loại sai lầm tốn kém này. Mặc dù
hầu hết các phần mềm bảng tính đều có tính năng “kiểm tra” tích hợp có thể dễ dàng phát hiện các lỗi phổ biến, nhưng
các bảng tính nhằm hỗ trợ các quyết định quan trọng cần được kiểm tra kỹ lưỡng hơn để phát hiện các lỗi tinh vi. Điều
đặc biệt quan trọng là kiểm tra phần cứng, trong đó các công thức chứa các giá trị số cụ thể (ví dụ: thuế bán hàng 5
8,5% 3 A33). Cách thực hành tốt nhất là sử dụng các ô tham chiếu (ví dụ: lưu thuế suất bán hàng trong ô A8) rồi viết
công thức bao gồm ô tham chiếu (ví dụ: thay đổi ví dụ trước thành thuế bán hàng 5 A8 3 A33). Vấn đề với việc nối dây
cứng là bảng tính ban đầu tạo ra các câu trả lời đúng, nhưng khi biến số được nối dây cứng (ví dụ: thuế suất bán hàng
trong ví dụ trước) thay đổi, công thức có thể không được sửa trong mọi ô bao gồm giá trị nối dây cứng đó. Ngược lại,
làm theo phương pháp hay nhất được đề xuất và lưu trữ giá trị thuế bán hàng trong một ô được gắn nhãn rõ ràng có nghĩa
là khi thuế suất bán hàng thay đổi, chỉ cần cập nhật một ô đó. Cách thực hành tốt nhất này cũng đảm bảo rằng thuế suất
bán hàng cập nhật được sử dụng trong mọi công thức liên quan đến việc tính thuế bán hàng.
khả dụng
Sự gián đoạn trong quy trình kinh doanh do không có sẵn hệ thống hoặc thông tin có thể gây ra tổn thất tài chính đáng
kể. Do đó, quy trình kiểm soát COBIT 2019 DSS01 và DSS04 đề cập đến tầm quan trọng của việc đảm bảo rằng các hệ thống
và thông tin luôn sẵn sàng để sử dụng bất cứ khi nào cần. Mục tiêu chính là giảm thiểu rủi ro về thời gian ngừng hoạt
động của hệ thống. Tuy nhiên, không thể loại bỏ hoàn toàn nguy cơ ngừng hoạt động. Do đó, các tổ chức cũng cần các
biện pháp kiểm soát được thiết kế để cho phép nhanh chóng khôi phục hoạt động bình thường sau khi một sự kiện làm
gián đoạn tính khả dụng của hệ thống. Bảng 13-2 tóm tắt các biện pháp kiểm soát chính liên quan đến hai mục tiêu này.
GIẢM THIỂU RỦI RO THỜI GIAN ngừng hoạt động của hệ thống
Các tổ chức có thể thực hiện nhiều hành động khác nhau để giảm thiểu nguy cơ ngừng hoạt động của hệ thống.
Thực hành quản lý COBIT 2019 DSS01.05 xác định nhu cầu bảo trì phòng ngừa, chẳng hạn như làm sạch ổ đĩa và lưu trữ
BẢNG 13-2 Tính khả dụng: Mục tiêu và Kiểm soát chính
Giảm thiểu rủi ro ngừng hoạt động của hệ thống • Bảo trì phòng ngừa
• Khả năng chịu lỗi
2. Phục hồi nhanh chóng và đầy đủ và trở lại hoạt • Thủ tục sao lưu
động bình thường • Kế hoạch khắc phục thảm họa (DRP)
• Kế hoạch kinh doanh liên tục (BCP)
1 Thomas Wailgum, “Tám sai lầm tồi tệ nhất trong bảng tính,” Tạp chí CIO (tháng 8 năm 2007), có tại http://www.cio.com/
article/2438188/enterprise-software/eight-of-the-worst- Spreadsheet- sai lầm ngớ ngẩn.html.
Machine Translated by Google
khả năng chịu lỗi - khả năng hệ thống nguy cơ hỏng hóc phần cứng và phần mềm. Việc sử dụng các thành phần dự phòng cung cấp khả năng chịu lỗi, tức là khả
tiếp tục hoạt động khi có lỗi phần
năng hệ thống tiếp tục hoạt động trong trường hợp một thành phần cụ thể bị lỗi. Ví dụ: nhiều tổ chức sử dụng mảng ổ
cứng.
đĩa độc lập (RAID) dự phòng thay vì chỉ một ổ đĩa. Với RAID, dữ liệu được ghi vào nhiều ổ đĩa cùng một lúc. Do đó, nếu
một ổ đĩa bị lỗi, dữ liệu có thể dễ dàng được truy cập từ ổ đĩa khác.
mảng dự phòng của các ổ đĩa độc lập
(RAID) - Một kỹ thuật dung sai lỗi
chỉ một ổ đĩa để giảm nguy cơ mất Các biện pháp quản lý COBIT 2019 DSS01.04 và DSS01.05 đề cập đến tầm quan trọng của việc định vị và thiết
dữ liệu.
kế các trung tâm dữ liệu chứa các máy chủ và cơ sở dữ liệu quan trọng nhằm giảm thiểu rủi ro liên quan đến
thiên tai và thảm họa do con người gây ra. Các đặc điểm thiết kế phổ biến bao gồm:
• Các thiết bị phát hiện và chữa cháy làm giảm khả năng thiệt hại do hỏa hoạn.
• Hệ thống điều hòa không khí phù hợp giúp giảm khả năng hư hỏng thiết bị máy tính do quá nóng hoặc ẩm
ướt.
• Cáp có phích cắm đặc biệt không thể tháo ra dễ dàng giúp giảm nguy cơ hư hỏng hệ thống.
• Thiết bị chống sốc điện cung cấp khả năng bảo vệ chống lại các dao động điện tạm thời có thể khiến máy
nguồn điện liên tục (UP) - Một thiết • Hệ thống cấp điện liên tục (UPS) cung cấp khả năng bảo vệ trong trường hợp mất điện kéo dài, sử dụng
bị cấp nguồn thay thế giúp bảo vệ
nguồn pin để hệ thống có thể hoạt động đủ lâu nhằm sao lưu dữ liệu quan trọng và tắt an toàn. (Tuy
khỏi tình trạng mất điện và biến
nhiên, điều quan trọng là phải thường xuyên kiểm tra và kiểm tra pin trong UPS để đảm bảo rằng nó sẽ
động về mức điện bằng cách sử dụng
nguồn pin để cho phép hệ thống hoạt hoạt động khi cần thiết.)
động đủ lâu để sao lưu dữ liệu quan
• Kiểm soát truy cập vật lý giúp giảm nguy cơ mất cắp hoặc hư hỏng.
trọng và tắt an toàn.
Đào tạo cũng có thể làm giảm nguy cơ ngừng hoạt động của hệ thống. Những người vận hành được đào tạo tốt
sẽ ít mắc lỗi hơn và sẽ biết cách khắc phục những lỗi mà họ phạm phải với mức thiệt hại tối thiểu. Đó là lý
do tại sao thực tiễn quản lý COBIT 2019 DSS01 nhấn mạnh tầm quan trọng của việc xác định và ghi lại các quy
trình vận hành cũng như đảm bảo rằng nhân viên CNTT hiểu được trách nhiệm của họ.
Thời gian ngừng hoạt động của hệ thống cũng có thể xảy ra do phần mềm độc hại trên máy tính (ví dụ:
ransomware có thể khiến các ứng dụng và dữ liệu không thể truy cập được). Vì vậy, điều quan trọng là phải cài
đặt, chạy và duy trì các chương trình chống vi-rút và chống phần mềm gián điệp hiện tại. Các chương trình này
phải được kích hoạt tự động không chỉ để quét e-mail mà còn bất kỳ phương tiện máy tính di động nào (CD, DVD,
ổ USB, v.v.) được đưa vào tổ chức. Hệ thống quản lý bản vá cung cấp khả năng bảo vệ bổ sung bằng cách đảm
bảo rằng các lỗ hổng có thể bị phần mềm độc hại khai thác sẽ được khắc phục kịp thời.
Các biện pháp kiểm soát phòng ngừa được thảo luận trong phần trước có thể giảm thiểu nhưng không loại bỏ hoàn
toàn nguy cơ ngừng hoạt động của hệ thống. Trục trặc về phần cứng, sự cố phần mềm hoặc lỗi của con người có
thể khiến dữ liệu không thể truy cập được. Ví dụ: các thiết bị RAID có thể gặp lỗi nghiêm trọng, khiến tất cả
các ổ đĩa trở nên vô dụng. Đó là lý do tại sao quản lý cấp cao cần trả lời hai câu hỏi cơ bản:
1. Chúng ta sẵn sàng tạo lại bao nhiêu dữ liệu từ tài liệu nguồn (nếu chúng tồn tại) hoặc có khả năng bị
2. Chúng ta có thể hoạt động được bao lâu nếu không có hệ thống thông tin?
mục tiêu điểm khôi phục (RPo)
- lượng dữ liệu mà tổ chức sẵn sàng Hình 13-1 cho thấy mối quan hệ giữa hai câu hỏi này. Khi xảy ra sự cố, dữ liệu về mọi thứ đã xảy ra kể
nhập lại hoặc có khả năng bị mất.
từ lần sao lưu cuối cùng sẽ bị mất trừ khi có thể nhập lại vào hệ thống. Do đó, câu trả lời của ban quản lý
cho câu hỏi đầu tiên sẽ xác định mục tiêu điểm khôi phục (RPO) của tổ chức , thể hiện lượng dữ liệu tối đa
mục tiêu thời gian phục hồi mà tổ chức sẵn sàng nhập lại hoặc có khả năng bị mất. RPO tỷ lệ nghịch với tần suất sao lưu: RPO mong muốn
(Rto) - thời gian tối đa có thể chấp
càng nhỏ thì càng cần thực hiện sao lưu thường xuyên hơn. Câu trả lời cho câu hỏi thứ hai xác định mục tiêu
nhận được để khôi phục hệ thống thông
về thời gian phục hồi (RTO) của tổ chức, đó là thời gian tối đa có thể chấp nhận được để khôi phục hệ thống
tin của tổ chức sau thảm họa, thể
hiện khoảng thời gian mà tổ chức thông tin sau thảm họa. Do đó, RTO thể hiện khoảng thời gian mà tổ chức sẵn sàng cố gắng hoạt động mà không
sẵn sàng cố gắng hoạt động mà không
có hệ thống thông tin của mình.
cần thông tin của nó
hệ thống.
Machine Translated by Google
CHƯƠNG 13 Tính toàn vẹn trong quá trình xử lý và khả năng kiểm soát tính khả dụng 431
VẤN ĐỀ
QUY TRÌNH SAO LƯU DỮ LIỆU Quy trình sao lưu dữ liệu được thiết kế để giải quyết các tình huống không thể truy cập
sao lưu đầy đủ - bản sao chính xác của
thông tin do các tệp hoặc cơ sở dữ liệu liên quan bị hỏng do lỗi phần cứng, sự cố phần mềm hoặc lỗi của con người,
toàn bộ cơ sở dữ liệu.
nhưng bản thân hệ thống thông tin vẫn hoạt động . Một số thủ tục sao lưu khác nhau tồn tại. Bản sao lưu đầy đủ là bản
sao lưu gia tăng - Một loại sao lưu
sao chính xác của toàn bộ cơ sở dữ liệu. Sao lưu toàn bộ tốn nhiều thời gian, vì vậy hầu hết các tổ chức chỉ thực
một phần bao gồm việc chỉ sao chép các
hiện sao lưu toàn bộ hàng tuần và bổ sung bằng các bản sao lưu một phần hàng ngày. Hình 13-2 so sánh hai loại sao lưu
mục dữ liệu đã thay đổi kể từ lần
một phần hàng ngày: sao lưu một phần gần đây nhất. việc này
Điều này tạo ra một tập hợp các tệp sao lưu gia tăng, mỗi tệp chứa kết quả của các giao dịch trong một ngày.
Quá trình khôi phục bao gồm việc tải bản sao lưu đầy đủ cuối cùng trước tiên và sau đó cài đặt từng bản sao lưu sao lưu vi sai - Một loại sao lưu một
mỗi tệp sao lưu vi sai mới chứa các tác động tích lũy của tất cả hoạt động kể từ lần sao lưu đầy đủ cuối cùng. lưu vi sai mới chứa các tác động
tích lũy của tất cả hoạt động kể từ lần
Do đó, ngoại trừ ngày đầu tiên sau khi sao lưu toàn bộ, các bản sao lưu khác biệt hàng ngày sẽ mất nhiều thời
sao lưu đầy đủ cuối cùng.
gian hơn so với các bản sao lưu gia tăng. Tuy nhiên, việc khôi phục đơn giản hơn vì bản sao lưu đầy đủ cuối
cùng chỉ cần được bổ sung bằng bản sao lưu khác biệt gần đây nhất, thay vì một tập hợp các tệp sao lưu gia tăng
chống trùng lặp - Một quy trình sử dụng
hàng ngày. hàm băm để xác định và chỉ sao lưu
hiện sao lưu từng phần. Chống trùng lặp sử dụng hàm băm để xác định
VẤN ĐỀ
Chủ nhật Thứ hai Thứ ba Thứ Tư Thứ năm Thứ sáu Thứ bảy
VẤN ĐỀ
Chủ nhật Thứ hai Thứ ba Thứ Tư Thứ năm Thứ sáu Thứ bảy
Machine Translated by Google
và chỉ sao lưu những phần của tệp hoặc cơ sở dữ liệu đã được cập nhật kể từ lần sao lưu cuối cùng. Quá trình chống
trùng lặp hoạt động bằng cách chia tệp hoặc cơ sở dữ liệu thành các phần có kích thước đồng đều. Mỗi đoạn được băm và
giá trị băm của đoạn được so sánh với giá trị băm của tất cả các đoạn trong tệp băm từ bản sao lưu trước đó. Hãy nhớ
lại rằng các giá trị băm giống hệt nhau có nghĩa là hai tập dữ liệu giống hệt nhau từng bit. Do đó, bất kỳ đoạn dữ
liệu nào có tệp băm khớp với giá trị trong tệp băm từ bản sao lưu trước đó đều không bị thay đổi. Do đó, nó không cần
phải được sao lưu lại. Thay vào đó, chỉ những khối dữ liệu có giá trị băm hiện tại không khớp với bất kỳ giá trị nào
trong tệp băm từ bản sao lưu trước đó mới cần được sao lưu lần này. Thông thường, chỉ một tỷ lệ nhỏ cơ sở dữ liệu hoặc
tệp bị thay đổi kể từ lần sao lưu cuối cùng; do đó, việc chống trùng lặp sẽ giúp sao lưu nhanh chóng. Quá trình khôi
phục sau đó bao gồm việc sử dụng tệp băm đoạn mới nhất để xác định các tệp sao lưu gia tăng thích hợp cần được kết hợp
Bất kể quy trình sao lưu nào được sử dụng, nhiều bản sao lưu phải được tạo.
Một bản sao có thể được lưu trữ tại chỗ để sử dụng trong trường hợp xảy ra sự cố tương đối nhỏ, chẳng hạn như lỗi ổ
cứng. Trong trường hợp xảy ra sự cố nghiêm trọng hơn, chẳng hạn như hỏa hoạn hoặc lũ lụt, mọi bản sao lưu được lưu
trữ tại chỗ đều có thể bị phá hủy hoặc không thể truy cập được. Do đó, bản sao lưu thứ hai cần được lưu trữ bên ngoài
trang web. Các tệp sao lưu này có thể được vận chuyển đến địa điểm lưu trữ từ xa bằng vật lý (ví dụ: bằng chuyển phát
nhanh) hoặc bằng điện tử. Trong cả hai trường hợp, các biện pháp kiểm soát bảo mật tương tự cần được áp dụng cho các
tệp sao lưu giống như được sử dụng để bảo vệ bản sao thông tin gốc.
Điều này có nghĩa là các bản sao lưu dữ liệu nhạy cảm phải được mã hóa cả trong bộ lưu trữ và trong quá trình truyền
tải điện tử. Việc truy cập vào các tập tin sao lưu cũng cần được kiểm soát và giám sát cẩn thận.
Điều quan trọng nữa là phải thực hành định kỳ việc khôi phục hệ thống từ các bản sao lưu của nó. Điều này xác
minh rằng quy trình sao lưu đang hoạt động chính xác và phương tiện sao lưu (băng hoặc đĩa) có thể được phần cứng
Mục đích của việc sao lưu là cho phép khôi phục dữ liệu trong trường hợp bản gốc không thể truy cập được. Do đó,
các bản sao lưu chỉ được giữ lại trong một khoảng thời gian tương đối ngắn. Ví dụ: nhiều tổ chức chỉ duy trì bản sao
lưu trữ - Bản sao của cơ sở dữ Tuy nhiên, một số thông tin phải được lưu trữ lâu hơn. Kho lưu trữ là bản sao của cơ sở dữ liệu, tệp chính hoặc phần
liệu, tệp chính hoặc phần mềm được
mềm được lưu giữ vô thời hạn dưới dạng hồ sơ lịch sử, thường để đáp ứng các yêu cầu pháp lý và quy định. Lưu trữ được
lưu giữ vô thời hạn dưới
dạng hồ sơ lịch sử, thường để
sử dụng để truy xuất dữ liệu đã chọn, không phải để khôi phục toàn bộ tệp hoặc cơ sở dữ liệu. Do đó, phần mềm lưu trữ
đáp ứng các yêu cầu pháp lý và quy định. bao gồm các tính năng lập chỉ mục để hỗ trợ việc truy xuất nhanh chóng, nhưng phần mềm sao lưu thì không. Do đó, việc
giữ lại các bản sao lưu trong nhiều năm không phải là giải pháp thay thế khả thi để tạo các kho lưu trữ thực sự. Giống
như các bản sao lưu, nhiều bản sao của kho lưu trữ phải được tạo và lưu trữ ở các vị trí khác nhau. Không giống như
các bản sao lưu, các kho lưu trữ hiếm khi được mã hóa vì thời gian lưu giữ lâu của chúng làm tăng nguy cơ mất khóa
giải mã. Do đó, kiểm soát truy cập vật lý và logic là phương tiện chính để bảo vệ các tệp lưu trữ.
Nên sử dụng phương tiện nào để sao lưu và lưu trữ, băng từ hoặc đĩa? Sao lưu đĩa nhanh hơn và thời gian cần
thiết để lấy dữ liệu cũng nhanh hơn. Tuy nhiên, băng rẻ hơn, dễ vận chuyển hơn và bền hơn. Ngoài ra, vì các băng
thường được lưu trữ ngoại tuyến nên chúng ít có khả năng bị nhiễm ransomware hơn. Do đó, nhiều tổ chức sử dụng cả hai
phương tiện. Dữ liệu trước tiên được sao lưu vào đĩa để đảm bảo tốc độ và sau đó được chuyển sang băng từ.
Cần đặc biệt chú ý đến việc sao lưu và lưu trữ e-mail vì nó đã trở thành kho lưu trữ thông tin và hành vi tổ
chức quan trọng. Thật vậy, e-mail thường chứa đựng các giải pháp cho những vấn đề cụ thể. Email cũng thường xuyên chứa
thông tin liên quan đến các vụ kiện. Tổ chức có thể muốn xem xét chính sách xóa tất cả e-mail định kỳ, để ngăn luật
sư của nguyên đơn tìm ra “khẩu súng hút thuốc” và để tránh chi phí tìm kiếm e-mail mà bên kia yêu cầu. Tuy nhiên, hầu
hết các chuyên gia đều khuyên không nên thực hiện những chính sách như vậy vì các bên khác có thể sở hữu bản sao của
e-mail. Do đó, chính sách thường xuyên xóa tất cả e-mail có nghĩa là tổ chức sẽ không thể kể câu chuyện từ phía mình;
thay vào đó, tòa án (và bồi thẩm đoàn) sẽ chỉ đọc e-mail do bên kia đưa ra trong tranh chấp. Cũng có trường hợp tòa
án phạt các tổ chức hàng triệu đô la vì không cung cấp e-mail được yêu cầu kịp thời. Do đó, các tổ chức cần sao lưu
và lưu trữ các e-mail quan trọng đồng thời dọn dẹp định kỳ khối lượng lớn các e-mail thông thường, tầm thường.
Machine Translated by Google
CHƯƠNG 13 Tính toàn vẹn trong quá trình xử lý và khả năng kiểm soát tính khả dụng 433
KHẮC PHỤC THẢM HỌA VÀ KẾ HOẠCH TIẾP TỤC KINH DOANH Các bản sao lưu được thiết kế để giảm thiểu sự
cố khi một hoặc nhiều tệp hoặc cơ sở dữ liệu bị hỏng do lỗi phần cứng, phần mềm hoặc lỗi của con
người. Các kế hoạch khắc phục thảm họa và kế hoạch kinh doanh liên tục được hủy bỏ để giảm thiểu
các vấn đề nghiêm trọng hơn.
Kế hoạch khắc phục thảm họa (DRP) phác thảo các quy trình để khôi phục chức năng CNTT của tổ chức kế hoạch khắc phục thảm họa (DRP) - Kế
tuyến và chuyển mạch, phần mềm, dữ liệu, truy cập Internet, máy in và vật tư.
Lựa chọn đầu tiên là ký hợp đồng sử dụng một địa điểm lạnh, đó là một tòa nhà trống được trang bị sẵn trang web lạnh - Tùy chọn khắc phục
cả các thiết bị cần thiết trong một khoảng thời gian nhất định. thiết, nhưng không chứa bất kỳ thiết bị
chức cần để thực hiện các hoạt động kinh doanh thiết yếu của mình. Tùy chọn thứ ba là sao chép thời gian thảm họa dựa vào quyền truy cập
Các tùy chọn DRP khác nhau (trang lạnh, trang nóng hoặc phản chiếu theo thời gian thực) có chi phí phần cứng và phần mềm cần thiết.
khác nhau, trong đó các trang lạnh là ít tốn kém nhất và phản chiếu theo thời gian thực là đắt nhất.
Tuy nhiên, sự lựa chọn không nên bị chi phối bởi chi phí mà phải phản ánh các quyết định của ban quản sao chép thời gian thực - Duy
lý về RPO và RTO có thể chấp nhận được. Đối với một số tổ chức, cả RPO và RTO phải càng gần 0 càng tốt. trì các bản sao hoàn chỉnh của cơ
chức như vậy, mục tiêu không phải là phục hồi mà là khả năng phục hồi (tức là họ phải có khả năng tiếp diễn ra.
tục hoạt động cho dù có chuyện gì xảy ra). Phản chiếu thời gian thực mang lại khả năng phục hồi tối đa
vì cả RPO và RTO đều gần bằng 0. Các giao dịch được sao lưu trong thời gian thực và nếu có điều gì xảy
ra với một trung tâm dữ liệu, tổ chức có thể ngay lập tức chuyển tất cả quá trình xử lý sang trung tâm
dữ liệu khác. Do đó, phản chiếu thời gian thực là lựa chọn DRP thích hợp khi RPO, RTO hoặc cả hai phải
gần bằng 0.
Một số tổ chức có thể chấp nhận khả năng mất một số dữ liệu và có khả năng hoạt động trong một
khoảng thời gian mà không cần AIS. Nếu ban quản lý đã quyết định rằng họ có thể chấp nhận RTO và RPO
trong khoảng thời gian từ vài giờ đến cả ngày thì việc lựa chọn một địa điểm nóng làm chiến lược DRP là
cần thiết. Việc sử dụng trang web lạnh cho DRP chỉ phù hợp nếu ban quản lý có thể chấp nhận việc có cả
RTO và RPO lâu hơn một ngày.
Các tổ chức có thể chọn xây dựng trang web nóng hoặc trang web lạnh của riêng mình hoặc họ có thể
ký hợp đồng với bên thứ ba để sử dụng các cơ sở đó. Sử dụng trang web của bên thứ ba ít tốn kém hơn
nhưng nó có nguy cơ không có sẵn khi cần thiết. Hầu hết các nhà cung cấp địa điểm nóng và lạnh đều “bán
quá mức” công suất của họ với giả định rằng tại bất kỳ thời điểm nào cũng chỉ có một số ít khách hàng
cần sử dụng cơ sở vật chất. Thông thường, đó là một giả định an toàn. Tuy nhiên, trong trường hợp xảy
ra một thảm họa lớn, chẳng hạn như Bão Katrina và Sandy, ảnh hưởng đến mọi tổ chức trong một khu vực
địa lý, điều đó có nghĩa là một số tổ chức có thể không sử dụng được các dịch vụ mà họ đã ký hợp đồng.
(Khả năng khởi kiện vì không cung cấp dịch vụ không phải là biện pháp kiểm soát bồi thường vì tổ chức
có thể ngừng hoạt động vào thời điểm vụ kiện được giải quyết.)
Trong khi DRP tập trung vào cách tiếp tục các hoạt động CNTT trong trường hợp trung tâm dữ liệu
chính của tổ chức không hoạt động thì kế hoạch kinh doanh liên tục (BCP) chỉ định cách tiếp tục tất cả kế hoạch kinh doanh liên tục
có DRP và BCP không bao giờ mở cửa trở lại sau khi buộc phải đóng cửa hơn một vài ngày vì thảm họa. Do ra thiên tai lớn.
đó, việc có cả DRP và BCP có thể tạo ra sự khác biệt giữa việc sống sót sau một thảm họa lớn như một
cơn bão hoặc một cuộc tấn công khủng bố và việc phá sản. Trọng tâm 13-2 mô tả việc lập kế hoạch đã giúp
NASDAQ tồn tại như thế nào sau khi các văn phòng của nó tại Trung tâm Thương mại Thế giới bị phá hủy
hoàn toàn vào ngày 11 tháng 9 năm 2001.
Tuy nhiên, chỉ cần có DRP và BCP là không đủ. Cả hai kế hoạch đều phải được ghi chép đầy đủ. Tài
liệu không chỉ bao gồm hướng dẫn cách thông báo cho nhân viên phù hợp và các bước cần thực hiện để tiếp
tục hoạt động mà còn bao gồm tài liệu của nhà cung cấp về tất cả phần cứng và phần mềm. Điều đặc biệt
quan trọng là phải ghi lại nhiều sửa đổi được thực hiện đối với mặc định
Machine Translated by Google
434 PHẦN III KIỂM SOÁT HỆ THỐNG THÔNG TIN KẾ TOÁN
FOCUS 13-2 NASDAQ phục hồi như thế nào từ ngày 11 tháng 9
Nhờ khả năng khắc phục thảm họa và BCP hiệu quả, NASDAQ đã hoạt động đã lên kế hoạch cho một cuộc khủng hoảng tiềm ẩn và điều này tỏ ra hữu
được sáu ngày sau vụ tấn công khủng bố ngày 11 tháng 9 năm 2001 đã phá ích trong việc phục hồi sau một cuộc khủng hoảng khác, bất ngờ. Bằng
hủy tòa tháp đôi của Trung tâm Thương mại Thế giới. Trụ sở chính của cách ưu tiên và tổ chức hội nghị từ xa, công ty có thể nhanh chóng xác
NASDAQ nằm trên tầng 49 và 50 của One Liberty Plaza, ngay đối diện Trung định các vấn đề và nhà giao dịch cần trợ giúp thêm trước khi NASDAQ có
tâm Thương mại Thế giới. Khi chiếc máy bay đầu tiên lao xuống, nhân viên thể mở cửa thị trường trở lại.
bảo vệ của NASDAQ ngay lập tức sơ tán nhân viên khỏi tòa nhà. Hầu hết
các nhân viên đã ra khỏi tòa nhà vào thời điểm chiếc máy bay thứ hai đâm Hệ thống cực kỳ dư thừa và phân tán của NASDAQ cũng giúp nó nhanh
vào tòa tháp kia. Mặc dù các nhân viên đã được sơ tán khỏi trụ sở chính chóng mở cửa trở lại thị trường. Các nhà điều hành mang theo nhiều hơn
và văn phòng ở Quảng trường Thời đại tạm thời bị mất dịch vụ điện thoại, một chiếc điện thoại di động để có thể tiếp tục liên lạc trong trường
NASDAQ vẫn có thể chuyển đến một trung tâm dự phòng tại khách sạn hợp một nhà cung cấp dịch vụ bị mất dịch vụ. Mọi nhà giao dịch đều được
Marriott Marquis gần đó. Khi đến đó, các giám đốc điều hành của NASDAQ liên kết với hai trong số 20 trung tâm kết nối của NASDAQ trên khắp Hoa
đã xem qua danh sách ưu tiên của họ: đầu tiên là nhân viên của họ; tiếp Kỳ. Các trung tâm được kết nối với nhau bằng hai đường dẫn riêng biệt
theo là thiệt hại vật chất; và cuối cùng là tình hình ngành thương mại. và đôi khi là hai nhà cung cấp riêng biệt.
Máy chủ được đặt ở các tòa nhà khác nhau và có hai cấu trúc liên kết
mạng. Ngoài Manhattan và Times Square, NASDAQ còn có văn phòng tại
Maryland và Connecti-cut. Sự phân quyền này cho phép nó giám sát các
Giao tiếp hiệu quả trở nên thiết yếu trong việc xác định tình quy trình quản lý trong suốt những ngày sau cuộc tấn công.
trạng của những ưu tiên này. NASDAQ cho rằng phần lớn thành công của họ
trong việc giao tiếp và phối hợp với phần còn lại của ngành là nhờ các Nó cũng làm giảm nguy cơ mất toàn bộ quản lý cấp cao của NASDAQ.
buổi diễn tập lại trang phục cho Y2K. Trong khi chuẩn bị cho việc
chuyển đổi, NASDAQ đã tổ chức các cuộc họp từ xa thường xuyên trên toàn NASDAQ cũng đầu tư vào bảo hiểm gián đoạn để giúp giảm chi phí đóng
quốc với tất cả các sàn giao dịch. Điều này đã giúp tổ chức này tổ chức cửa thị trường. Tất cả việc lập kế hoạch và tầm nhìn xa này đã cứu
các hội nghị tương tự sau vụ tấn công 11/9. NASDAQ đã có NASDAQ khỏi bị mất số tiền lẽ ra có thể lên tới hàng chục triệu đô la.
cấu hình để hệ thống thay thế có chức năng tương tự như hệ thống ban đầu. Nếu không làm như vậy có thể tạo ra chi phí
đáng kể và sự chậm trễ trong việc thực hiện quá trình phục hồi. Hướng dẫn vận hành chi tiết cũng cần thiết, đặc biệt
Cuối cùng, bản sao của tất cả tài liệu cần phải được lưu trữ cả tại chỗ và bên ngoài cơ sở để có thể sử dụng được
khi cần.
Kiểm tra và sửa đổi định kỳ có lẽ là thành phần quan trọng nhất của DRP và BCP hiệu quả. Hầu hết các kế hoạch
đều thất bại trong thử nghiệm ban đầu vì không thể lường trước đầy đủ mọi sai sót có thể xảy ra. Việc kiểm tra cũng
có thể tiết lộ những chi tiết bị bỏ qua. Ví dụ, cơn bão Sandy đã buộc nhiều doanh nghiệp phải đóng cửa trụ sở chính
Thật không may, một số công ty phát hiện ra rằng mặc dù họ có thể tiếp tục hoạt động CNTT tại một địa điểm dự phòng
nằm ở một khu vực địa lý khác, nhưng họ không thể ngay lập tức tiếp tục dịch vụ khách hàng bình thường vì họ đã không
sao chép được khả năng tự động định tuyến lại và chuyển tiếp các cuộc gọi đến đến nhân viên của hệ thống điện thoại
Thời điểm để phát hiện ra những vấn đề như vậy không phải trong trường hợp khẩn cấp thực sự mà là trong bối cảnh
trong đó các điểm yếu có thể được phân tích cẩn thận và kỹ lưỡng cũng như thực hiện những thay đổi thích hợp trong
quy trình. Do đó, DRP và BCP cần được kiểm tra ít nhất hàng năm để đảm bảo rằng chúng phản ánh chính xác những thay
đổi gần đây về thiết bị và quy trình. Điều đặc biệt quan trọng là phải kiểm tra các quy trình liên quan đến việc
chuyển các hoạt động thực tế sang địa điểm nóng hoặc lạnh. Cuối cùng, tài liệu DRP và BCP cần được cập nhật để phản
ánh mọi thay đổi trong quy trình được thực hiện nhằm giải quyết các vấn đề được xác định trong quá trình kiểm tra các
kế hoạch đó.
HIỆU QUẢ CỦA ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY Ảo hóa có thể cải thiện đáng kể hiệu suất và hiệu quả của việc khắc phục
thảm họa và khôi phục các hoạt động bình thường. Máy ảo chỉ là một tập hợp các tệp phần mềm. Vì vậy, nếu thể chất
Machine Translated by Google
CHƯƠNG 13 Tính toàn vẹn trong quá trình xử lý và khả năng kiểm soát tính khả dụng 435
máy chủ lưu trữ máy đó bị lỗi, các tập tin có thể được cài đặt trên máy chủ khác trong vòng vài phút. Do đó, ảo hóa
giúp giảm đáng kể thời gian cần thiết để khôi phục (RTO) từ các sự cố phần cứng. Lưu ý rằng ảo hóa không loại bỏ nhu
cầu sao lưu; Các tổ chức vẫn cần tạo các “ảnh chụp nhanh” định kỳ của các máy ảo máy tính để bàn và máy chủ, sau đó
sao chép các ảnh chụp nhanh đó trên ổ đĩa mạng để có thể tạo lại các máy đó. Bản sao thứ hai của ảnh chụp nhanh cũng
phải được sao chép lên đám mây (hoặc được lưu trữ trong một trung tâm dữ liệu riêng biệt) trong trường hợp trung tâm
dữ liệu chính lưu trữ các máy ảo bị ngừng hoạt động. Ảo hóa cũng có thể được sử dụng để hỗ trợ phản chiếu thời gian
thực trong đó hai bản sao của mỗi máy ảo được chạy song song trên hai máy chủ vật lý riêng biệt. Mọi giao dịch đều
được xử lý trên cả hai máy ảo. Nếu một cái thất bại, cái còn lại sẽ tiếp tục mà không bị gián đoạn dịch vụ.
Điện toán đám mây có cả tác động tích cực và tiêu cực đến tính sẵn sàng. Các nhà cung cấp điện toán đám mây
thường sử dụng các dãy máy chủ dự phòng ở nhiều địa điểm, do đó giảm nguy cơ một thảm họa duy nhất có thể dẫn đến
thời gian ngừng hoạt động của hệ thống và mất tất cả dữ liệu.
Tuy nhiên, nếu một nhà cung cấp đám mây công cộng ngừng hoạt động, việc truy xuất bất kỳ dữ liệu nào được lưu trữ
trên đám mây có thể gặp khó khăn, nếu không muốn nói là không thể. Do đó, chính sách tạo bản sao lưu thường xuyên và
lưu trữ các bản sao lưu đó ở một nơi khác ngoài nhà cung cấp đám mây chính là rất quan trọng.
Như đã thảo luận trong chương về bảo mật, các tổ chức nên kiểm tra báo cáo SOC-2 Loại 2 về các biện pháp kiểm
soát CNTT của nhà cung cấp đám mây. Ngoài ra, kế toán viên cần đánh giá khả năng tồn tại tài chính lâu dài của nhà
cung cấp đám mây trước khi tổ chức của họ cam kết thuê ngoài bất kỳ dữ liệu hoặc ứng dụng nào của mình lên đám mây
công cộng. Việc sử dụng đám mây cũng không loại bỏ nhu cầu xem xét RTO và RPO vì không phải mọi thứ đều có thể được
sao lưu hoặc khôi phục kịp thời từ đám mây. Ví dụ, việc truyền các cơ sở dữ liệu có dung lượng lên tới hàng trăm
terabyte qua Internet là không thực tế; thay vào đó, những kho dữ liệu lớn như vậy phải được ghi vào đĩa hoặc băng và
được vận chuyển vật lý. Hơn nữa, mặc dù một số giải pháp đám mây có bao gồm sao lưu, nhưng một số giải pháp không nêu
rõ trong hợp đồng rằng sao lưu là trách nhiệm của khách hàng. Cuối cùng, việc sử dụng đám mây không loại bỏ nhu cầu
về cả DRP và BCP vì các tổ chức cần lập kế hoạch về cách nhân viên của họ truy cập các tài nguyên được lưu trữ trên
đám mây trong trường hợp văn phòng tại nhà bị phá hủy.
Báo cáo của Jason đã đánh giá tính hiệu quả của các biện pháp kiểm soát của Northwest Industries được thiết kế để đảm
bảo tính toàn vẹn trong quá trình xử lý. Để giảm thiểu việc nhập dữ liệu và khả năng xảy ra sai sót, Northwest
Industries đã gửi tài liệu quay vòng cho khách hàng và các tài liệu này sẽ được trả lại cùng với các khoản thanh toán
của họ. Tất cả việc nhập dữ liệu được thực hiện trực tuyến, sử dụng rộng rãi các quy trình xác thực đầu vào để đảm
bảo tính chính xác của thông tin vào hệ thống. Các nhà quản lý đã xem xét tính hợp lý của kết quả đầu ra và tính
chính xác của các thành phần chính của báo cáo tài chính thường xuyên được kiểm chứng chéo với các nguồn độc lập. Ví
dụ: hàng tồn kho được tính hàng quý và kết quả đếm vật lý được đối chiếu với số lượng được lưu trữ trong hệ thống.
Tuy nhiên, Jason lo ngại về tính hiệu quả của các biện pháp kiểm soát được thiết kế để đảm bảo tính khả dụng
của hệ thống. Ông lưu ý rằng mặc dù Northwest Industries đã phát triển kế hoạch khắc phục thảm họa và tiếp tục kinh
doanh nhưng những kế hoạch đó vẫn chưa được xem xét hoặc cập nhật trong ba năm. Điều đáng lo ngại hơn nữa là thực tế
là nhiều phần của kế hoạch chưa bao giờ được thử nghiệm. Tuy nhiên, mối quan tâm lớn nhất của Jason liên quan đến các
thủ tục sao lưu. Tất cả các tập tin đều được sao lưu hàng tuần, vào thứ Bảy, vào đĩa DVD, và các bản sao lưu tăng dần
được thực hiện mỗi đêm, nhưng chưa có ai từng thực hiện việc khôi phục dữ liệu. Ngoài ra, các bản sao lưu không được
mã hóa và bản sao duy nhất được lưu trữ tại chỗ trong phòng máy chủ chính trên kệ cạnh cửa.
Jason kết thúc báo cáo của mình với những khuyến nghị cụ thể nhằm giải quyết những điểm yếu mà anh đã tìm thấy.
Ông khuyến nghị Northwest Industries ngay lập tức kiểm tra các quy trình khôi phục bản sao lưu, mã hóa các tệp sao
lưu và lưu trữ bản sao thứ hai của tất cả các bản sao lưu bên ngoài cơ sở. Jason cũng đề xuất thử nghiệm các gói DRP
và BCP. Jason cảm thấy tin tưởng rằng một khi những đề xuất đó được triển khai, ban quản lý có thể yên tâm một cách
hợp lý rằng hệ thống thông tin của Northwest Industries đã đáp ứng các tiêu chí và nguyên tắc khung Dịch vụ Tin cậy
kiểm tra hiện trường 424 bản ghi tiêu đề 426 mục tiêu điểm phục hồi
kiểm tra phạm vi 424 kiểm tra thăng bằng bằng chân chéo (RTO) 430
kiểm tra kích thước 424 426 sao lưu đầy đủ 431
kiểm tra tính đầy đủ (hoặc kiểm tra) kiểm tra độ cân bằng 0 426 sao lưu gia tăng 431
424 kiểm soát cập nhật đồng thời sao lưu vi sai 431
kiểm tra tính hợp lệ 424 426 chống trùng lặp 431
kiểm tra tính hợp lý 424 tổng kiểm tra 427 lưu trữ 432
kiểm tra chữ số 424 bit chẵn lẻ 427 Kế hoạch khắc phục thảm họa (DRP)
kiểm tra xác minh chữ số 424 kiểm tra tính chẵn lẻ 427 433
kiểm tra trình tự 425 khả năng chịu lỗi 430 địa điểm lạnh 433
tổng số lô 425 mảng dự phòng của các ổ trang web nóng 433
tổng tài chính 425 đĩa độc lập (RAID) 430 phản chiếu thời gian
tổng số băm 425 thực 433
số lượng hồ sơ 425 cung cấp điện liên tục kế hoạch kinh doanh liên tục
CHƯƠNG CÂU ĐỐ
1. Biện pháp nào sau đây đo lường lượng dữ liệu có thể bị mất do lỗi hệ thống?
Một. mục tiêu thời gian phục hồi (RTO) c. Kế hoạch khắc phục thảm họa (DRP)
b. mục tiêu điểm phục hồi (RPO) d. Kế hoạch kinh doanh liên tục (BCP)
2. Đánh số trước tất cả các tài liệu nguồn là một biện pháp kiểm soát giảm nhẹ để duy trì tính toàn vẹn trong quá trình xử lý.
vàob. xử lý
3. Kiểm soát tự động bổ sung các biện pháp bảo vệ thủ công trong việc kiểm tra tính hợp lý và phù hợp của tài liệu
nguồn. Điều nào sau đây không phải là kiểm soát nhập dữ liệu?
4. Kiểm tra tính hợp lý sẽ kiểm tra tính hợp lệ của mối quan hệ logic giữa hai mục dữ liệu. Đây là một điều khiển
ứng dụng xác minh rằng số tài khoản được nhập trong bản ghi giao dịch khớp với số tài khoản trong tệp chính có
liên quan.
Một. Sao lưu hàng ngày gia tăng được thực hiện nhanh c. Sao lưu hàng ngày khác biệt được thực hiện nhanh
hơn so với sao lưu hàng ngày khác biệt, hơn so với sao lưu hàng ngày gia tăng, nhưng
nhưng việc khôi phục chậm hơn và phức tạp hơn. việc khôi phục chậm hơn và phức tạp hơn.
b. Sao lưu hàng ngày gia tăng được thực hiện d. Sao lưu hàng ngày khác biệt được thực hiện
nhanh hơn so với sao lưu hàng ngày khác nhanh hơn so với sao lưu hàng ngày tăng
biệt và việc khôi phục nhanh hơn và đơn giản dần và việc khôi phục cũng nhanh hơn và đơn
CHƯƠNG 13 Tính toàn vẹn trong quá trình xử lý và khả năng kiểm soát tính khả dụng 437
6. Lỗi chuyển vị xảy ra khi số của hai cột liền kề vô tình bị hoán đổi (ví dụ: 64 được viết thay vì 46). Nó có
7. Điều nào sau đây là ví dụ về loại tổng lô được gọi là tổng băm?
Một. tổng của trường số tiền mua trong một bộ c. số lượng tài liệu đã hoàn thành trong một
b. tổng số trường số đơn đặt hàng trong một bộ d. Tất cả những điều trên
Một. Ảo hóa làm giảm đáng kể RTO đối với các c. Vẫn cần thực hiện sao lưu khi sử dụng ảo
b. Điện toán đám mây làm giảm nguy cơ một thảm họa
từ thiên tai hoặc tấn công khủng bố sẽ dẫn đến d. Những điều ở trên đều đúng.
9. Tên của phương án cơ bản để thay thế cơ sở hạ tầng CNTT là một tòa nhà trống, được nối dây sẵn để truy cập
Internet và điện thoại cần thiết, cùng với hợp đồng với một hoặc nhiều nhà cung cấp để cung cấp tất cả các
thiết bị cần thiết trong một khoảng thời gian nhất định là gì?
Một. trang web nóng c. chuyển đổi trang web
b. nơi lạnh
10. Điều nào sau đây là biện pháp kiểm soát có thể được sử dụng để xác minh tính chính xác của thông tin
truyền qua mạng?
13.1 Tổng số lô tóm tắt các giá trị số cho một lô bản ghi đầu vào. Kể tên ba com-
13.2 Khả năng chịu lỗi là gì và tại sao nó quan trọng? Bạn nghĩ làm thế nào một tổ chức có thể đảm bảo rằng hệ
13.3 Sự khác biệt giữa bản sao lưu gia tăng và bản sao lưu khác biệt là gì và tại sao mỗi bản sao lưu này lại
được sử dụng? Bạn nghĩ chiến lược dự phòng nào trong số này sẽ có lợi nhất cho tổ chức? Bảo vệ câu trả
13.4 Xác định và đối chiếu giữa mục tiêu điểm khôi phục và mục tiêu thời gian khôi phục.
13.5 Các điều khiển truyền dữ liệu, như tổng kiểm tra và bit chẵn lẻ, rất quan trọng để giảm thiểu lỗi truyền dữ liệu.
Làm thế nào để tổng kiểm tra và bit chẵn lẻ xác định lỗi truyền dữ liệu?
13.6 Bạn nghĩ tại sao các cuộc khảo sát tiếp tục phát hiện ra rằng một tỷ lệ lớn các tổ chức không có kế hoạch
khắc phục thảm họa và duy trì hoạt động kinh doanh chính thức hoặc chưa thử nghiệm và sửa đổi các kế
CÁC VẤN ĐỀ
13.1 Nối các thuật ngữ với định nghĩa của chúng:
1. Kế hoạch kinh doanh liên tục Một. Tệp được sử dụng để lưu trữ thông tin trong thời
2. kiểm tra tính đầy đủ b. Kế hoạch mô tả cách khôi phục chức năng CNTT
3. tổng số băm c. Kiểm soát ứng dụng xác minh rằng số lượng đặt hàng
lớn hơn 0
dần các bit chẵn để xác minh rằng tất cả dữ liệu được truyền
chính xác
5. lưu trữ đ. Kiểm soát ứng dụng kiểm tra xem khách hàng có đủ 18
tuổi trở lên hay không
6. kiểm tra hiện trường f. Gói sao lưu hàng ngày sao chép tất cả các thay đổi kể
7. ký kiểm tra g. Lập kế hoạch rằng, trong trường hợp trung tâm dữ liệu của
8. trang web lạnh h. Lập kế hoạch rằng, trong trường hợp trung tâm dữ liệu của
địa điểm thay thế được trang bị sẵn kết nối Internet
9. kiểm tra giới hạn Tôi. Kiểm soát ứng dụng đảm bảo người dùng
địa chỉ giao hàng của tomer được nhập vào đơn đặt hàng
10. kiểm tra độ cân bằng bằng không j. Kiểm soát ứng dụng liên quan đến việc sử dụng một
tài khoản không nên có số dư sau khi xử lý
11. mục tiêu điểm phục hồi (RPO) k. Kiểm soát ứng dụng liên quan đến việc so sánh tổng của
một tập hợp các cột với tổng của một tập hợp các hàng
12. mục tiêu thời gian phục hồi (RTO) tôi. Thước đo khoảng thời gian một tổ chức sẵn sàng hoạt
13. số lượng hồ sơ m. Đo lượng dữ liệu mà một tổ chức sẵn sàng nhập lại hoặc
14. kiểm tra tính hợp lệ N. Tổng số lô không có bất kỳ ý nghĩa nội tại nào
15. kiểm tra xác minh chữ số ồ. Tổng số lô đại diện cho số lượng
16. xác minh vòng kín P. Kiểm soát ứng dụng xác nhận
tính chính xác của một mục dữ liệu trong bản ghi giao
17. kiểm tra tính chẵn lẻ q. Kiểm soát ứng dụng xác minh tài khoản
số được nhập trong bản ghi giao dịch khớp với số tài
18. kiểm tra tính hợp lý r. Kế hoạch mô tả cách tiếp tục hoạt động kinh doanh sau
một thảm họa lớn, chẳng hạn như Bão Katrina, phá
19. tổng tài chính S. Kiểm soát ứng dụng nhập dữ liệu xác minh tính chính
xác của số tài khoản bằng cách tính lại số cuối cùng
t. Quy trình sao lưu hàng ngày chỉ sao chép hoạt động xảy
bạn. Kiểm soát ứng dụng nhập dữ liệu có thể được sử dụng
để xác minh rằng chỉ dữ liệu số được nhập vào một trường
thị giá trị của một mục dữ liệu và yêu cầu người dùng
Nhập dữ liệu sau vào bảng tính, sau đó thực hiện các tác vụ sau:
YÊU CẦU
b. Giả sử các quy tắc sau chi phối dữ liệu thông thường:
• Mã số nhân viên có năm chữ số và nằm trong khoảng từ 10000 đến 99999.
• Các khoản khấu trừ phải nằm trong khoảng từ 10% đến 35% tổng lương.
Đưa ra ví dụ cụ thể về lỗi hoặc lỗi có thể xảy ra trong tập dữ liệu mà mỗi biện pháp kiểm soát sau đây sẽ
phát hiện:
• kiểm tra hiện trường
c. Tạo một quy trình kiểm soát có thể ngăn chặn hoặc ít nhất là phát hiện từng lỗi
trong tập dữ liệu.
Machine Translated by Google
Đường sắt Scorpion cung cấp các chuyến đi bằng tàu diesel và tàu hơi nước qua sa mạc Arizona tuyệt đẹp.
Nó sở hữu 32 động cơ, mỗi động cơ có một số sê-ri duy nhất gồm 6 chữ số. Dưới đây là dữ liệu về các chuyến
đi vào ngày 10 tháng 9. Mỗi chuyến đi kéo dài tối thiểu 1,5 giờ.
YÊU CẦU
b. Đối với mỗi trường trong số năm trường dữ liệu, hãy đề xuất một hoặc nhiều biện pháp kiểm soát chỉnh sửa đầu vào có thể
c. Nhập dữ liệu vào bảng tính và tạo các biện pháp kiểm soát thích hợp để ngăn chặn hoặc ít nhất
d. Đề xuất các biện pháp kiểm soát khác để giảm thiểu rủi ro sai sót đầu vào.
Truy xuất bảng tính từ Blackboard và chỉnh sửa nó để bao gồm các điều khiển sau:
2. Chi phí đào tạo không được vượt quá 12.000 USD trong năm 0 và 3.000 USD sau đó.
3. Khoản tiết kiệm hàng năm do hiệu quả không được vượt quá 5.000 USD nhưng phải bằng 0 vào năm 0.
4. Ô C2 (được bôi màu vàng bên phải chữ “Trả lời”) buộc phải nhập
“CÓ” hoặc “KHÔNG”—không có giá trị nào khác được chấp nhận.
5. Tên của bạn phải xuất hiện trong ô C3 và ô này phải đảm bảo rằng mọi tên được nhập đều
tổng số không thể vượt quá 30 ký tự.
6. Ô B8 (phí hàng năm) KHÔNG được chấp nhận bất kỳ văn bản chữ cái nào.
7. Mức giảm rủi ro do đầu tư chứng khoán (ô B18) phải nằm trong khoảng từ
bao gồm 2% và 8%.
8. Khóa bảng tính chỉ nhập dữ liệu vào các ô này (tất cả đều được đánh dấu
b. C3
c. B8
d. B10
đ. B12
f. B18
Machine Translated by Google
CHƯƠNG 13 Tính toàn vẹn trong quá trình xử lý và khả năng kiểm soát tính khả dụng 441
Lời yêu cầu: Chúng ta có nên đầu tư 100.000 USD vào giải pháp bảo mật được đề xuất để giảm rủi ro xảy ra sự cố xuống
dưới 10% không?
Trả lời:
Tên của bạn:
Năm Tổng cộng
1 2 3 4 5
Chi phí mua hàng (ban đầu) 0 100.000 USD 100.000 USD
Phí hằng năm $0 $0 $0 $0 $0 $0 $0
Lợi ích 30.000 USD hàng năm $0 $30,000 $30,000 $30,000 $30,000 $30,000 $150,000
13.5 Trả lời tất cả các câu hỏi trắc nghiệm sau đây.
1. Một nhân viên được trả mức lương 50.000 USD đã gửi yêu cầu giữ lại 50 USD mỗi phiếu lương trong các khoản khấu
trừ tự nguyện cho kế hoạch 401(K). Tiền lương hàng tuần tiếp theo là số tiền ròng là 50 đô la. Anh nhân viên
tức giận. Biện pháp kiểm soát nào sau đây sẽ hiệu quả nhất trong việc phát hiện vấn đề này trước khi phân phối
tiền lương?
2. Một điều khiển kiểm tra xem ngày có được nhập vào trường thứ tự ngày hay không được gọi
Một .
3. Đại diện bán hàng đã nhập nhầm số tài khoản không tồn tại vào trường mã số khách hàng trên biểu mẫu bán hàng.
Kết quả là hàng hóa đã được vận chuyển nhưng khách hàng không bao giờ nhận được hóa đơn. Loại kiểm soát nào sẽ
hiệu quả nhất trong việc ngăn ngừa loại vấn đề này?
c. nhắc nhở
4. Loại tổng số lô nào sẽ phát hiện ra thực tế là có chính xác ba thẻ chấm công bị thất lạc trong quá trình xử lý,
5. Kiểm tra xem tất cả nhân viên có dưới 65 tuổi hay không là một ví dụ
của .
6. Một nhân viên đã nhập sai số tài khoản trên dòng ghi nhớ của tờ séc gửi cho nhà cung cấp. Do đó, tài khoản
của khách hàng khác đã được ghi có cho khoản thanh toán đó. Cách hiệu quả nhất để ngăn chặn những vấn đề
7. Điều khiển đầu vào nào được thiết kế để ngăn chặn cuộc tấn công tràn bộ đệm?
Một. kiểm tra kích thước
c. kiểm tra phạm vi
b. kiểm tra tính hợp lý d. kiểm tra hiện trường
8. Điều khiển ứng dụng nhập dữ liệu đảm bảo dữ liệu được nhập vào trường số lượng đặt hàng lớn hơn 0 được gọi
là a. ký kiểm tra .
9. Một ứng dụng kiểm soát so sánh số tiền tăng lương của một nhân viên với mức lương hiện tại của nhân viên
10. Tổ chức sử dụng xử lý hàng loạt để cập nhật tài khoản khách hàng. Trong quá trình xử lý, trước tiên máy
tính sẽ sắp xếp tất cả các giao dịch bán hàng theo mã số khách hàng. Quá trình đó được thực hiện sao cho
trong quá trình xử lý hàng loạt, hệ thống có thể thực hiện a. kiểm tra tính hợp lý .
13.6 Bạn đã được yêu cầu tư vấn về các kế hoạch dự phòng khác nhau dành cho tổ chức.
Người quản lý CNTT đã giải thích với bạn rằng có khung thời gian tối đa là 5 giờ để có thể khôi phục các bản
sao lưu và lý tưởng nhất là kích thước bản sao lưu không được vượt quá 2500 GB.
Tất cả các bản sao lưu (bất kể loại bản sao lưu nào) cần được giữ lại trong cả tuần.
1. Tùy chọn A: Sao lưu hàng ngày được thực hiện từ thứ Hai đến thứ Bảy
2. Tùy chọn B: Sao lưu toàn bộ hàng tuần vào tối Thứ Bảy, cộng với các bản sao lưu chênh lệch hàng ngày
• Thời gian khôi phục từ bản sao lưu đầy đủ: 2 giờ
• Thời gian cần thiết để sao lưu hàng ngày là 15 phút cho ngày đầu tiên và sau đó tăng thêm 20 phút cho
mỗi ngày tiếp theo (35 phút cho ngày thứ hai, 55 phút cho ngày thứ ba, v.v.)
• Kích thước sao lưu hàng ngày là 90 GB vào ngày đầu tiên và tăng thêm 90 GB mỗi ngày (90 GB ngày đầu
• Thời gian khôi phục bản sao lưu vi sai là nửa giờ vào ngày đầu tiên, tăng thêm nửa giờ vào mỗi ngày
tiếp theo (30 phút vào ngày thứ nhất, 60 phút vào ngày thứ hai, 90 phút vào ngày thứ ba, v.v.)
Machine Translated by Google
CHƯƠNG 13 Tính toàn vẹn trong quá trình xử lý và khả năng kiểm soát tính khả dụng 443
3. Tùy chọn C: Sao lưu toàn bộ hàng tuần vào tối Thứ Bảy, cộng với các bản sao lưu gia tăng hàng ngày (Thứ Hai đến Thứ
Bảy)
• Thời gian khôi phục từ bản sao lưu đầy đủ: 2 giờ
• Thời gian khôi phục từng tệp sao lưu hàng ngày là 20 phút cộng thêm 5 phút để tìm và tải từng tệp gia tăng sau
tệp gia tăng đầu tiên
YÊU CẦU
Một. Đối với mỗi tùy chọn sao lưu, hãy xác định những điều sau:
b. Hãy xem xét tổng số bạn đã tính toán rồi đề xuất phương án dự phòng phù hợp nhất
13.7 (Các) biện pháp kiểm soát nào sẽ giảm thiểu tốt nhất các mối đe dọa sau đây?
Một. Một công ty đang lên kế hoạch đưa khả năng chịu lỗi vào kiến trúc hệ thống của mình nhưng vẫn chưa đưa ra
quyết định cuối cùng. Trong khi chờ đợi, bộ phận CNTT đảm bảo rằng tất cả các bản sao lưu đã được thực hiện—
sao lưu toàn bộ vào tối thứ Sáu hàng tuần và các bản sao lưu gia tăng hàng ngày. Tuy nhiên, ổ cứng chính
chứa tất cả dữ liệu của công ty đã bị hỏng. Bộ phận CNTT đã bảo đảm được một ổ cứng thay thế nhưng họ không
b. Hệ thống thông tin của bệnh viện bị ảnh hưởng khi một trong các ổ cứng của bệnh viện gặp sự cố. Hệ thống
thông tin chứa tất cả các hồ sơ liên quan đến bệnh nhân như thủ tục, thuốc và dị ứng, và nếu không có nó,
nhân viên y tế sẽ không có quyền truy cập vào thông tin quan trọng của bệnh nhân.
c. Một nhân viên có ý định xin nghỉ phép không lương 30 ngày vì lý do cá nhân thông qua cổng nghỉ phép trực
tuyến của công ty. Khi nhân viên nhận được xác nhận nghỉ phép của anh ta đã được chấp thuận, anh ta nhận
thấy rằng anh ta đã nộp đơn xin nghỉ phép trong 300 ngày chứ không phải 30.
d. Một nhân viên kiểm kê mới nhập một mặt hàng mới vào kho và vô tình chỉ ra rằng
mức độ sắp xếp lại phải là -20.
đ. Qua đêm, đám cháy bùng phát tại phòng máy chủ của một công ty lớn. May mắn thay, ngọn lửa nhanh chóng được
khống chế do máy dò khói được kích hoạt, phun nước và dập tắt đám cháy. Người quản lý và nhân viên CNTT ở
chế độ chờ đã được thông báo. Họ vội vã đến văn phòng để đảm bảo kế hoạch khắc phục thảm họa được thực hiện.
Vì phòng máy chủ chủ yếu bị hư hại ở bề ngoài nên có thể tiếp tục hoạt động ngay khi máy chủ tập tin hoạt
động trở lại. Người quản lý và nhân viên CNTT ở chế độ chờ không thể thống nhất được về quy trình khởi
f. Bạn được hướng dẫn xử lý hóa đơn của nhà cung cấp và chỉ được cung cấp hóa đơn. Bạn được thông báo rằng
không có báo cáo nhận được và bạn chỉ cần thực hiện thanh toán.
g. Bạn cần thực hiện kiểm tra tín dụng đối với khách hàng trước khi họ có thể hoàn tất giao dịch hiện tại và
tìm số tài khoản chính xác trước khi hệ thống cho phép bạn phê duyệt giao dịch.
h. Một công ty đã bị đưa ra tòa bởi một cựu nhân viên đã cáo buộc một trong những nhân viên trả lương đã khấu
trừ thông tin thuế một cách không thích hợp. Lời buộc tội này được đưa ra sau khi nhân viên đó rời công ty
và được đưa ra dựa trên những sự kiện được cho là đã xảy ra khoảng 5 năm trước khi anh ta rời đi. Người
quản lý tiền lương đã yêu cầu thông tin từ 5 năm trước nhưng được thông báo rằng bản sao lưu chỉ được tạo
Tôi. Một nhân viên kế toán phải trả đã thanh toán cùng một hóa đơn hai lần.
j. Ở một số quốc gia, việc cung cấp điện thường bị đình chỉ, được gọi là cắt điện hoặc cắt điện luân phiên,
trong những khoảng thời gian cụ thể để cân bằng cung và cầu trên lưới điện. Thật không may, việc sa thải
tải thường không được quản lý theo thời gian đã định và các công ty phải đối mặt với các vấn đề với máy chủ
k. Một lô giao dịch mua bán được gửi về trụ sở chính để xử lý trong đêm.
Đã xảy ra một số lỗi truyền dữ liệu và một trong các trang chứa các giao dịch bán hàng đã bị mất. Sai
lầm này chỉ được phát hiện ba tuần sau đó khi hai sự kiện không liên quan xác định được có vấn đề: có
một cuộc kiểm tra hàng tồn kho ngẫu nhiên xác định sự khác biệt giữa hàng tồn kho thực tế và hàng tồn
kho đã bán; và một khách hàng muốn trả lại sản phẩm nhưng mặc dù khách hàng đã có biên lai nhưng không
tôi. Một nhân viên nhập dữ liệu được bổ nhiệm gần đây đã phải chịu áp lực phải hoàn thành một đợt thanh toán
lớn. Trong một số số tiền phải nhập, nhân viên bán hàng đã nhập chữ “l” thay vì số “1”.
m.Công ty của bạn nhận được thông báo rằng tài khoản của bạn tại một trong những nhà cung cấp của bạn đã
quá hạn. Tuy nhiên, bạn có hồ sơ về khoản thanh toán đã được thực hiện. Khi bạn cung cấp cho bộ phận kế
toán của nhà cung cấp bằng chứng thanh toán, nhân viên kế toán phải thu đã xin lỗi và nói rằng có lỗi
đánh máy khiến hai chữ số trong số tài khoản của bạn bị hoán đổi.
N. Người quản lý văn phòng tín dụng đã liên hệ với bạn về các thủ tục dự phòng của họ. Anh ấy giải thích
rằng một trong những đĩa DVD có bản sao lưu đầy đủ ở dạng văn bản thuần túy đã bị thất lạc và anh ấy lo
lắng điều gì có thể xảy ra nếu đĩa DVD rơi vào tay kẻ xấu. Hai ngày sau, chiếc đĩa được tìm thấy dưới
một máy tính để bàn. Lời khuyên nào về kiểm soát sẽ phù hợp trong trường hợp này?
ồ. Một nhân viên mới được bổ nhiệm vừa mới di cư từ Anh đang nhập dữ liệu bán hàng, bao gồm cả ngày thực
hiện giao dịch bán hàng. Nhân viên đã quen với ngày tháng ở định dạng ngày-tháng-năm và nhập tất cả các
Hệ thống mà nhân viên sử dụng đã được thiết lập để chấp nhận ngày ở định dạng tháng-ngày-năm.
P. Một chủ doanh nghiệp nhỏ quản lý tài chính của mình bằng chương trình bảng tính đã hỏi liệu bạn có thể
giúp anh ấy thực hiện một số phép tính hay không. Gần đây có một trường hợp thuế giá trị gia tăng (VAT)
trong nước đã thay đổi từ 14% thành 15% và chủ doanh nghiệp cho biết kế toán của anh ấy chỉ ra rằng anh
ấy đã ghi giá trị VAT không chính xác trong báo cáo tài chính của mình. Ông khẳng định rằng ông đã cập
13.8 Trong một cơn bão lớn, sét đánh trúng tòa nhà văn phòng, nơi đặt trung tâm dữ liệu của một công ty kế toán nhỏ.
Sét gây ra hỏa hoạn làm gián đoạn nguồn điện cung cấp cho tòa nhà và làm hư hỏng một số phần cứng máy tính
Sự biến động về nguồn điện khiến máy chủ tập tin bị mất điện. Tất cả điều này xảy ra trong khi các bản sao
lưu đang được tạo, khiến bản sao lưu không thể sử dụng được. Để tiết kiệm tiền, các bản sao lưu của công ty
luôn được thực hiện trên cùng một phương tiện lưu trữ, sử dụng lại cùng một phương tiện mỗi khi tạo bản sao
lưu.
Xác định những điểm yếu trong quy trình sao lưu và quy trình khắc phục thảm họa của công ty.
1. Tạo quy tắc xác thực dữ liệu trong bảng tính để thực hiện từng thao tác sau
điều khiển:
Một. Kiểm tra giới hạn—các giá trị trong ô lớn hơn 30
b. Kiểm tra phạm vi—các giá trị trong ô nằm trong khoảng từ 15 đến 65
đ. Kiểm tra kích thước—ô chấp nhận không quá 9 ký tự văn bản
f. Kiểm tra tính hợp lý—rằng giá trị của ô lớn hơn hai lần giá trị của
g. Kiểm tra tính hợp lệ—rằng một giá trị có tồn tại trong danh sách các giá trị được phép hay không
2. Nhập các giá trị sau vào các ô trong bảng tính của bạn ở hàng bên dưới hàng cuối cùng
được sử dụng cho các quy tắc xác thực dữ liệu ở bước 1:
Một. 75
b. vui mừng
Machine Translated by Google
CHƯƠNG 13 Tính toàn vẹn trong quá trình xử lý và khả năng kiểm soát tính khả dụng 445
Bây giờ hãy tạo các quy tắc xác thực dữ liệu sau cho hai ô đó:
Tôi. đối với ô chứa giá trị “75”, hãy tạo quy tắc xác thực dữ liệu mà tất cả các giá trị
phải nhỏ hơn 50
ii. đối với ô chứa từ “hạnh phúc”, hãy tạo quy tắc xác thực dữ liệu để
yêu cầu văn bản có độ dài tối đa 4 ký tự
Các quy tắc xác thực có hoạt động không? Điều đó tiết lộ điều gì về khả năng sử dụng các quy tắc xác
thực dữ liệu sau khi dữ liệu đã được nhập? Điều gì xảy ra nếu bạn áp dụng công cụ “Vòng tròn dữ liệu
không hợp lệ” cho các ô đó?
13.10 Một công ty dược phẩm điều hành ba ca mỗi ngày: 06 giờ sáng đến 2 giờ chiều; 2 giờ chiều đến 10
giờ tối; và 10:00 tối đến 06:00 sáng Sao lưu và bảo trì hệ thống được thực hiện từ nửa đêm đến
06:00 sáng. Hãy xem xét các tình huống sau và xác định xem liệu quy trình sao lưu hiện tại
được đưa ra trong mỗi tình huống có giúp công ty đạt được các mục tiêu khôi phục hay không.
Giải thích câu trả lời của bạn bằng cách cung cấp các ví dụ về địa điểm và thời điểm các mục
tiêu khôi phục được đáp ứng hoặc không được đáp ứng.
Một. Kịch bản 1: Công ty thực hiện hai bản sao lưu tăng dần hàng ngày từ Thứ Hai đến Thứ
Bảy; một lúc 07:00 sáng và một lúc 07:00 tối. Sao lưu đầy đủ hàng tuần được thực hiện vào
lúc 10:00 sáng Chủ nhật
• Mục tiêu thời gian phục hồi: 270 phút
• Thời gian hoàn tất backup toàn bộ: 120 phút
• Thời gian khôi phục từ bản sao lưu đầy đủ: 75 phút
• Thời gian thực hiện sao lưu tăng dần hàng ngày: 25 phút
• Thời gian khôi phục mỗi bản sao lưu gia tăng: 15 phút
b. Tình huống 2: Sao lưu vi sai được thực hiện từ thứ Hai đến thứ Bảy lúc 23h mỗi đêm. Sao
lưu đầy đủ hàng tuần được thực hiện vào Chủ nhật lúc 10:00 sáng
• Mục tiêu thời gian phục hồi: 240 phút
• Thời gian hoàn tất backup toàn bộ: 240 phút
• Thời gian khôi phục từ bản sao lưu đầy đủ: 150 phút
• Thời gian thực hiện sao lưu chênh lệch hàng ngày: 45 phút vào thứ Hai, tăng dần
15 phút mỗi ngày liên tiếp
• Thời gian khôi phục sao lưu chênh lệch hàng ngày: 15 phút cho thứ Hai, tăng dần
8 phút mỗi ngày liên tiếp.
c. Kịch bản 3
• Quá trình sao lưu mất 150 phút trong đó có hai bộ bản sao băng
tạo
• Các bản sao lưu băng từ ngoài cơ sở được thu thập vào lúc 05:00 sáng hàng ngày cho bên ngoài cơ sở
kho
13.11 Trả lời tất cả các câu hỏi trắc nghiệm sau đây.
1. Sóng thần phá hủy trụ sở chính và nhà kho chính của tổ chức. Tài liệu nào sau đây sẽ chứa
hướng dẫn về cách ứng phó với vấn đề đó?
Một. DRP
b. BCP
2. Một công ty thực hiện sao lưu toàn bộ vào mỗi tối thứ Sáu và sao lưu một phần vào Thứ Hai, Thứ Ba, Thứ
Một. Vào thứ Tư, sẽ mất ít thời gian hơn để thực hiện sao lưu gia tăng so với sao lưu
khác biệt, nhưng sẽ mất nhiều thời gian hơn để khôi phục hệ thống từ các bản sao
lưu gia tăng so với từ các bản sao lưu vi sai.
b. Vào Thứ Tư, việc thực hiện sao lưu gia tăng sẽ mất ít thời gian hơn so với sao lưu
khác biệt và cũng sẽ mất ít thời gian hơn để khôi phục hệ thống từ các bản sao lưu
tăng dần so với từ các bản sao lưu khác biệt.
Machine Translated by Google
c. Vào thứ Tư, sẽ mất nhiều thời gian hơn để thực hiện sao lưu gia tăng so với
sao lưu vi sai, nhưng sẽ mất ít thời gian hơn để khôi phục hệ thống từ các bản sao lưu gia
d. Vào Thứ Tư, sẽ mất nhiều thời gian hơn để thực hiện sao lưu gia tăng so với sao lưu khác biệt
và cũng sẽ mất nhiều thời gian hơn để khôi phục hệ thống từ các bản sao lưu gia tăng hơn là
Một. Nếu một công ty cần giữ một bản sao dữ liệu liên quan đến thuế về chi phí nhân
cơ sở sản xuất vô thời hạn, nó phải lưu trữ thông tin đó.
b. Các kho lưu trữ phải được mã hóa nhưng các bản sao lưu không được mã hóa.
c. Cách khôi phục sau khi ổ cứng bị lỗi là khôi phục kho lưu trữ gần đây nhất của ổ cứng.
kho dữ liệu.
d. Cách tốt nhất để sao lưu và phục hồi là có hai bản sao của kho lưu trữ: một
tại chỗ và bên ngoài trang web khác.
4. Các quy trình/thiết bị/điều khiển có khả năng chịu lỗi góp phần đạt được độ tin cậy của hệ thống
bảo mật
b. sự riêng tư
d. khả dụng
đ. bảo vệ
5. Một tổ chức thuê một tòa nhà được trang bị sẵn đường dây cho cả điện thoại và truy cập Internet. Nó cài
đặt 30 máy chủ và 25 máy tính để bàn để sử dụng làm môi trường thử nghiệm. Tuy nhiên, trong trường hợp
thảm họa phá hủy trung tâm dữ liệu của công ty, môi trường thử nghiệm có thể được chuyển đổi để sử dụng
làm trung tâm dữ liệu dự phòng trong vòng 3–5 giờ. Tổ chức đã áp dụng phương pháp lập kế hoạch khắc phục
6. Phương án khắc phục thảm họa nào sau đây là phù hợp nhất khi giá trị
b. nơi lạnh
7. Biện pháp nào được thiết kế chủ yếu để xác định tần suất thực hiện
b. RTO
8. Cách tiếp cận nào sau đây đối với vấn đề sẵn có tạo ra kết quả nhỏ nhất
RTO và RPO?
b. nơi lạnh
Một. Thay vào đó, việc loại bỏ sự trùng lặp khuyến khích các tổ chức chuyển sang tạo ra sự khác biệt
b. Thay vào đó, việc loại bỏ trùng lặp khuyến khích các tổ chức chuyển sang thực hiện tăng dần
c. Loại bỏ sự trùng lặp khuyến khích các tổ chức chuyển sang thực hiện từng phần một
d. Loại bỏ sự trùng lặp khuyến khích các tổ chức chuyển sang tạo ra sự khác biệt một phần
CHƯƠNG 13 Tính toàn vẹn trong quá trình xử lý và khả năng kiểm soát tính khả dụng 447
Nhiều tổ chức thường xuyên được đưa tin vì thất bại trong việc khắc Google đã được đưa tin vào tháng 6 năm 2019 về sự cố ngừng hoạt
phục thảm họa và lập kế hoạch kinh doanh liên tục không thành công. động ảnh hưởng đến một số khách hàng, bao gồm Vimeo, Pokémon GO
Vào tháng 6 năm 2019, Vodafone đã gặp sự cố ngừng hoạt động lớn và Snapchat. Tại thời điểm viết bài, thông tin về sự kiện này
khiến khách hàng gặp sự cố với dữ liệu di động và dịch vụ băng thông có thể được tìm thấy ở nhiều trang web khác nhau, bao gồm
rộng. Tại thời điểm viết bài, có rất ít thông tin về sự kiện này:
1. Liam Tung, “Thông tin chi tiết về Sự cố ngừng hoạt động đám
mây 'thảm họa' của Google: Hứa sẽ làm tốt hơn vào lần tới,”
1. Sophie Curtis, “Vodafone DOWN: Khách hàng băng thông rộng tại nhà
DZNet (tháng 6 năm 2019) (https://www.zdnet.com/article/
và di động không thể truy cập mạng,” Mirror (tháng 6 năm 2019)
google-details-catastrophic-cloud-outage-events-promises-to-
(https://www.mirror.
do-better-next-time/).
co.uk/tech/break-vodafone-down-mobile-broadband-16512733).
2. Lisette Voytko, “Sự cố ngừng hoạt động nghiêm trọng làm
giảm sự bất hòa, Reddit, Amazon và hơn thế nữa,” Forbes
2. James Sillars, “Dịch vụ Vodafone trên toàn thế giới gặp sự
(tháng 6 năm 2019) (https://www.forbes.com/sites/lisette-
cố Internet,” SkyNews (tháng 6 năm 2019) (https://
voytko/2019/06/24/major -outage-mang-down-discord-reddit-
news.sky.com/story/vodafone-glitch-reported-across-large-
amazon-and-more/#731ee9a030a4).
parts-of-europe-11741189).
YÊU CẦU
Một. Xem lại các sự cố tại Vodafone và Google và giải thích nguyên nhân chính gây ra tình trạng ngừng hoạt động.
Thảo luận lý do tại sao các kế hoạch khắc phục thảm họa hoặc tiếp tục hoạt động kinh doanh không đủ hiệu quả
để ngăn chặn tình trạng ngừng hoạt động trên diện rộng.
b. Tìm ít nhất một ví dụ về một công ty nơi các giải pháp được đưa ra (do chính công ty đó hoặc bởi
một công ty thuê ngoài) để đảm bảo rằng những thất bại như ở Vodafone và Google không làm tê
liệt tổ chức. Giải thích những gì đã được thực hiện để đảm bảo rằng hệ thống luôn sẵn sàng.
CASE 13-2 Đảm bảo tính toàn vẹn của quy trình trong bảng tính
Nhận bản sao bài viết “Cách gỡ lỗi bảng tính Excel” của Rayman bạn có quyết định bỏ qua thông báo lỗi của Excel không?
Meservy và Marshall Romney đăng trên Tạp chí Kế toán Tại sao?
5. Trong phần “Các mẹo kiểm tra lỗi khác”, bài viết chỉ ra
(Tháng 11 năm 2015, trang 46–52) từ thư viện trường học của bạn hoặc rằng công thức bỏ điểm thấp nhất sẽ bỏ qua các khoảng
từ trang web www.aicpa.org. Bảng tính được tham chiếu trong bài viết trống. Thay vì thực hiện giải pháp tạm thời được mô tả
có sẵn để tải xuống từ trang web của khóa học. Tải xuống bảng tính và trong bài viết, hãy tạo một giải pháp lâu dài có thể xử lý
làm theo các bước trong bài viết. Viết một báo cáo trả lời các câu hỏi thành công mọi bài kiểm tra hoặc bài tập còn thiếu trong
sau (những câu hỏi này không được trả lời đầy đủ trong bài viết). Bao tương lai (tức là sửa công thức để nó thả chính xác một ô
gồm ảnh chụp màn hình để hỗ trợ câu trả lời của bạn. Gợi ý: Các câu trống thay vì ô không có giá trị thấp nhất). ô trống).
hỏi bên dưới được liệt kê theo trình tự mà bạn sẽ gặp khi thực hiện
6. Viết quy tắc xác thực dữ liệu để ngăn chặn loại lỗi tồn tại
trong ô U53, để bạn không phải dựa vào việc xác định thủ
còn ô nào khác có giá trị giữa một cột công thức hay không. Bạn
2. Những ô nào bị ảnh hưởng bởi lỗi ở ô AL4?
có tìm thấy cái nào không?
3. Giải thích bản chất của tham chiếu vòng trong
1. Biện pháp nào sau đây đo lường lượng dữ liệu có thể bị mất do lỗi hệ thống?
Một. mục tiêu thời gian phục hồi (RTO) [Không chính xác. RTO đo lường thời gian mà một tổ chức
zation có thể phải hoạt động mà không có hệ thống thông tin của nó.]
b . mục tiêu điểm khôi phục (RPO) [Đúng. RPO đo thời gian giữa lần cuối cùng
c. kế hoạch khắc phục thảm họa (DRP) [Không chính xác. DRP chỉ định các quy trình để khôi phục CNTT
hoạt động.]
d. kế hoạch kinh doanh liên tục (BCP) [Không chính xác. BCP chỉ định các thủ tục để tiếp tục quy trình kinh
doanh.]
2. Đánh số trước tất cả các tài liệu nguồn là một biện pháp kiểm soát giảm nhẹ để duy trì quá trình xử lý trong
A. đầu vào [Đúng. Việc đánh số trước cải thiện khả năng kiểm soát bằng cách có thể xác minh rằng không có tài
b. đang xử lý [Không chính xác. Các biện pháp kiểm soát xử lý bao gồm việc so khớp dữ liệu, nhãn tập tin và tính toán lại.
c. đầu ra [Không chính xác. Việc kiểm tra cẩn thận đầu ra của hệ thống sẽ cung cấp khả năng kiểm soát bổ sung đối với tính
3. Kiểm soát tự động bổ sung các biện pháp bảo vệ thủ công trong việc kiểm tra tính hợp lý và phù hợp của tài
liệu nguồn. Điều nào sau đây không phải là kiểm soát nhập dữ liệu?
Một. kiểm tra dấu hiệu [Không chính xác. Kiểm tra dấu hiệu xác định xem dữ liệu trong một trường có
b. kiểm tra phạm vi [Không chính xác. Kiểm tra phạm vi kiểm tra xem một số lượng có phù hợp hay không
giữa giới hạn dưới và giới hạn trên được xác định trước.]
c. kiểm tra tính hợp lệ [Không chính xác. Kiểm tra tính hợp lệ sẽ so sánh mã ID hoặc số tài khoản trong dữ
liệu giao dịch với dữ liệu tương tự trong tệp chính để xác minh rằng tài khoản đó tồn tại.]
4. Kiểm tra tính hợp lý sẽ kiểm tra tính hợp lệ của mối quan hệ logic giữa hai mục dữ liệu. Đây là một điều khiển
ứng dụng xác minh rằng số tài khoản được nhập trong bản ghi giao dịch khớp với số tài khoản trong tệp chính có
liên quan.
A. Đúng [Đúng. Kiểm tra hợp lý là kiểm tra chỉnh sửa tính đúng đắn về mặt logic của mối quan hệ giữa các mục
dữ liệu.]
A. Sao lưu hàng ngày gia tăng được thực hiện nhanh hơn so với sao lưu hàng ngày khác biệt, nhưng
việc phục hồi chậm hơn và phức tạp hơn. [Chính xác.]
b. Sao lưu hàng ngày gia tăng được thực hiện nhanh hơn so với sao lưu hàng ngày khác biệt và việc khôi phục
nhanh hơn và đơn giản hơn. [Không đúng. Các bản sao lưu gia tăng hàng ngày tạo ra các tệp sao lưu riêng
biệt cho mỗi ngày kể từ lần sao lưu đầy đủ cuối cùng, khiến việc khôi phục trở nên phức tạp hơn.]
c. Sao lưu hàng ngày khác biệt được thực hiện nhanh hơn so với sao lưu hàng ngày gia tăng, nhưng quá trình
khôi phục chậm hơn và phức tạp hơn. [Không đúng. Sao lưu hàng ngày khác biệt chậm hơn so với sao lưu hàng
ngày gia tăng, nhưng việc khôi phục nhanh hơn và đơn giản hơn vì chỉ cần sao lưu hàng ngày khác biệt gần
d. Sao lưu hàng ngày khác biệt được thực hiện nhanh hơn so với sao lưu hàng ngày tăng dần và việc khôi phục
cũng nhanh hơn và đơn giản hơn. [Không đúng. Sao lưu hàng ngày khác biệt thực hiện chậm hơn so với sao lưu
CHƯƠNG 13 Tính toàn vẹn trong quá trình xử lý và khả năng kiểm soát tính khả dụng 449
6. Lỗi chuyển vị xảy ra khi số của hai cột liền kề vô tình bị hoán đổi (ví dụ: 64 được viết thay vì 46). Nó
Một. điều khiển đầu vào. [Không đúng. Kiểm soát đầu vào đảm bảo rằng dữ liệu được nhập vào hệ thống kế
b . điều khiển xử lý. [Chính xác. Kiểm soát xử lý đảm bảo rằng dữ liệu được xử lý
c. điều khiển đầu ra. [Không đúng. Việc kiểm tra cẩn thận đầu ra của hệ thống cung cấp thêm thông tin
7. Điều nào sau đây là ví dụ về loại tổng lô được gọi là tổng băm?
Một. tổng của trường số tiền mua trong một bộ đơn đặt hàng [Không chính xác. Đây là
b . tổng của trường số đơn đặt hàng trong một bộ đơn đặt hàng [Đúng. Các
c. số lượng tài liệu đã hoàn thành trong một bộ đơn đặt hàng [Không chính xác. Đây là một ví dụ về số
Một. Ảo hóa làm giảm đáng kể RTO đối với các sự cố phần cứng. [Không đúng. Trạng thái này-
ý kiến đó là đúng, nhưng b và c cũng vậy.]
b. Điện toán đám mây làm giảm nguy cơ một thảm họa đơn lẻ từ thảm họa thiên nhiên hoặc cuộc tấn công
khủng bố sẽ dẫn đến thời gian ngừng hoạt động đáng kể và mất khả năng sẵn sàng.
[Không đúng. Tuyên bố này đúng, nhưng a và c cũng vậy.]
c. Vẫn cần thực hiện sao lưu khi sử dụng ảo hóa hoặc điện toán đám mây.
[Không đúng. Tuyên bố này đúng, nhưng a và b cũng vậy.]
9. Tên của phương án cơ bản để thay thế cơ sở hạ tầng CNTT là một tòa nhà trống, được nối dây sẵn để truy
cập Internet và điện thoại cần thiết, cùng với hợp đồng với một hoặc nhiều nhà cung cấp để cung cấp tất
cả các thiết bị cần thiết trong một khoảng thời gian nhất định là gì?
Một. trang web nóng [Không chính xác. Một tùy chọn khắc phục thảm họa dựa vào quyền truy cập vào một
trung tâm dữ liệu thay thế đang hoạt động hoàn chỉnh, không chỉ được cài đặt sẵn mà còn chứa tất cả
b . trang web lạnh [Đúng. Một tùy chọn khắc phục thảm họa dựa vào quyền truy cập vào một cơ sở thay thế
được cài đặt sẵn để truy cập Internet và điện thoại cần thiết.]
c. chuyển đổi trang web [Không chính xác.]
10. Điều nào sau đây là biện pháp kiểm soát có thể được sử dụng để xác minh tính chính xác của thông tin
truyền qua mạng?
Một. kiểm tra tính đầy đủ [Không chính xác. Kiểm tra tính đầy đủ là kiểm soát dữ liệu đầu vào để đảm bảo
b. kiểm tra chữ số [Không chính xác. Số kiểm tra là một công cụ kiểm soát đầu vào dữ liệu được thiết kế để phát
c. bit chẵn lẻ [Đúng. Bit chẵn lẻ là một điều khiển truyền thông đếm số lượng
bit để xác minh tính toàn vẹn của dữ liệu được gửi và nhận.]
d. kiểm tra kích thước [Không chính xác. Kiểm tra kích thước là kiểm soát dữ liệu đầu vào để đảm bảo rằng
lượng dữ liệu được nhập không vượt quá khoảng trống dành riêng cho nó. Kiểm tra kích thước đặc biệt
quan trọng đối với các chương trình chấp nhận đầu vào từ người dùng vì chúng có thể ngăn chặn các cuộc
tấn công tràn bộ đệm.]