Tài liệu học tập hệ thống thông tin quản lý

- Kiểm soát phần mềm 
Các biện pháp kiểm soát phần mềm được thực hiện nhằm đảm bảo tính an toàn và 
độ tin cậy của phần mềm. Việc kiểm soát các phần mềm khác nhau được sử dụng trong 
HTTT là hết sức cần thiết. Kiểm soát phần mềm giám sát việc sử dụng phần mềm hệ 
thống và ngăn chặn việc sử dụng trái phép các chương trình phần mềm hệ thống và các 
169 
chương trình máy tính khác. Phần mềm hệ thống cần được kiểm soát tốt vì nó thực hiện 
các chức năng kiểm soát tổng thể các chương trình xử lý trực tiếp các dữ liệu. 
- Kiểm soát phần cứng 
Kiểm soát phần cứng được thực hiện nhằm đảm bảo chỉ những người có quyền 
hạn mới được sử dụng phần cứng của máy tính, tránh hiểm họa cháy, ẩm mốc hoặc nhiệt 
độ quá cao. Cũng cần có phương án dự phòng để khôi phục dữ liệu trong trường hợp mất 
điện hoặc trục trặc khác. 
- Kiểm soát an toàn dữ liệu 
Nhằm đảm bảo cho các tệp dữ liệu nghiệp vụ ở trên các thiết bị nhớ điện tử không 
bị truy cập một cách trái phép hoặc bị phá huỷ, cụ thể là giới hạn việc sử dụng các thiết bị 
đầu cuối ở những người có quyền hạn trách nhiệm, sử dụng mật khẩu để giới hạn người 
khai thác hệ thống hoặc phân quyền người sử dụng sao cho những nhóm người sử dụng 
khác nhau sẽ được phân quyền sử dụng khác nhau, ví dụ có những người được phép cập 
nhật các tệp dữ liệu nhưng có những nhóm người dùng chỉ được đọc các tệp dữ liệu. 
- Kiểm soát hành chính 
Kiểm soát hành chính là những quy tắc thủ tục chính thức nhằm đảm bảo sự tuân 
thủ đầy đủ các biện pháp kiểm soát hệ thống ở mức tổng thể và ở mức ứng dụng. Ba biện 
pháp kiểm soát hành chính quan trọng nhất là: (1) phân chia trách nhiệm và công việc 
giữa các thành viên nhằm tránh trùng lắp công việc và giảm thiểu rủi ro, (2) ban hành các 
văn bản pháp quy chính thức về kiểm soát HTTT và (3) giám sát các đối tượng liên quan 
đến quá trình kiểm soát HTTT. 
Cần chú ý rằng, nếu việc kiểm soát HTTT ở mức tổng thể không được thực hiện 
tốt thì sẽ gây ra những ảnh hưởng rất lớn đến các thủ tục chương trình và dữ liệu của toàn 
tổ chức, ví dụ nếu kiểm soát triển khai HTTT không tốt sẽ có nguy cơ HTTT có lỗi hay 
không hoạt động được hoặc nếu kiểm soát phần mềm không tốt thì sẽ dẫn đến khả năng 
phần mềm bị thay đổi một cách bất hợp pháp hoặc kiểm soát an toàn dữ liệu không tốt sẽ 
gây ra hậu quả là dữ liệu bị thay đổi ngoài ý muốn hoặc sự truy cập bất hợp phảp đến các 
dữ liệu quan trọng, nhạy cảm của hệ thống. 
* Kiểm soát mức ứng dụng 
Kiểm soát mức ứng dụng là hình thức kiểm soát giới hạn trong phạm vi một ứng 
dụng. Kiểm soát mức này bao gồm các thủ tục thủ công và tự động nhằm đảm bảo rằng 
chỉ những dữ liệu hợp lệ mới được ứng dụng xử lý một cách đầy đủ và chính xác. Kiểm 
soát mức ứng dụng cần xuyên suốt quá trình xử lý và có thể được xếp thành ba nhóm: 
Kiểm soát đầu vào, kiểm soát xử lý và kiểm soát đầu ra. 
- Kiểm soát đầu vào 
Các biện pháp kiểm soát đầu vào thực hiện kiểm tra tính chính xác và tính đầy đủ 
của dữ liệu khi nhập liệu. Có nhiều hình thức kiểm soát khác nhau có thể được ứng dụng, 
170 
ví dụ để kiểm soát được khâu nhập liệu có thể đặt ra quy định chỉ một số nhất định nhân 
viên của phòng kinh doanh mới được phép thực hiện các giao dịch bán hàng trên hệ 
thống nhập đơn hàng hoặc để giảm thiểu lỗi trong quá trình chuyển đổi dữ liệu từ dạng 
này sang dạng khác thì khuyến cáo nhập liệu theo cơ chế tự động kiểu POS (dùng các 
thiết bị quét mã số mã vạch để ghi nhận các giao dịch bán hàng) 
- Kiểm soát xử lý 
Các biện pháp kiểm soát xử lý được sử dụng để đảm bảo các dữ liệu được cập nhật 
một cách chính xác và đầy đủ. Các kỹ thuật kiểm tra tính hợp lệ của dữ liệu trong quá 
trình nhập liệu hay cập nhật dữ liệu vào máy tính (thuộc khoảng giá trị định trước, thuộc 
kiểu dữ liệu định trước,...) là những ví dụ về kiểm soát xử lý. 
- Kiểm soát đầu ra 
Các biện pháp kiểm soát dầu ra được thực hiện nhằm đảm bảo rằng các kết quả xử 
lý là chính xác, đầy đủ và được phân phối đến đúng đối tượng sử dụng. 
c, Chính sách an toàn thông tin 
Chính sách an toàn thông tin (Information Security Policy) là một văn bản viết, 
trong đó quy định rõ những gì là được phép và những gì là không được phép đối với việc 
sử dụng thông tin trong tổ chức, những hình thức xử lý tương ứng nếu vi phạm các điều 
khoản trong văn bản này. Mỗi một tổ chức cần phải có một chính sách an toàn thông tin 
minh bạch, rõ ràng và được văn bản hóa. Một tổ chức không có chính sách an toàn thông 
tin bằng văn bản, tổ chức đó bị coi như không có chính sách an toàn thông tin và có thể 
phải chịu nhiều rủi ro: Vi phạm các điều luật quốc tế hoặc quốc gia hoặc thậm chí của 
ngành, hoặc không được chấp nhận tham gia bảo hiểm,... 
Khi xây dựng chính sách an toàn CNTT cho một tổ chức cần có sự tham gia và hỗ 
trợ của nhiều đối tượng khác nhau, cụ thể: 
- Đại diện của tất cả các nhóm người sử dụng và người hưởng lợi phải được tham 
gia vào ủy ban chính sách an toàn thông tin 
- Chính sách an toàn thông tin của tổ chức phải được sự hỗ trợ của các nhà quản 
lý, những người có trách nhiệm quản trị và thực thi chính sách này 
- Nhân viên trong tổ chức phải được đọc và được hỏi ý kiến về nội dung và tính 
rõ ràng của văn bản an toàn thông tin 
- Ủy ban chính sách an toàn thông tin phải họp đều đặn nhằm đảm bảo chính 
sách an toàn thông tin của tổ chức đáp ứng yêu cầu của tổ chức và tuân thủ các điều luật 
hiện hành, vì môi trường công nghệ và pháp lý luôn có sự thay đổi. 
Chính sách an toàn TT của tổ chức phải bao gồm các nội dung cơ bản sau đây: 
- Chính sách về kiểm soát truy cập thông tin: mật khẩu truy cập, kiểm soát truy 
cập, mã hóa, hạ tầng khóa công cộng. 
171 
- Chính sách về truy cập thông tin từ bên ngoài: an toàn mạng Internet, truy cập 
mạng riêng ảo, Web và Internet, email. 
- Chính sách về người sử dụng và an ninh thiết bị: điều khoản sử dụng hợp lệ, kiến 
trúc mạng, an ninh đối với các thiết bị. 
Trước mỗi hoàn cảnh mới, việc điều chỉnh chính sách an toàn thông tin được thực 
hiện càng sớm càng tốt, nhằm tránh hoặc giảm những rủi ro về thông tin. 
Các tổ chức cần thực hiện việc thông tin về chính sách an toàn thông tin một cách 
rõ ràng, công khai và hiệu quả. Sau đây là một số điểm cần lưu ý trong việc quản trị 
chính sách an toàn thông tin của tổ chức: 
- Phải tạo điều kiện thuận lợi cho các nhân viên trong việc tìm kiếm tham khảo 
phiên bản mới nhất của chính sách an toàn thông tin 
- Vẫn cần duy trì hình thức thông báo bằng văn bản chính sách an toàn thông tin 
của tổ chức tới tất cả các nhân viên, đính kèm thông tin về chính sách an toàn trong các 
tài liệu đào tạo 
- Chính sách an toàn TT của tổ chức có thể được gửi qua email hoặc được đưa lên 
mạng intranet hoặc mạng nội bộ có bảo mật nhằm mục đích hỗ trợ tra cứu trực tuyến. 
- Các nhân viên mới phải có trách nhiệm đọc kỹ văn bản mới nhất về chính sách 
an toàn thông tin của tổ chức và ký nhận cam kết tuân thủ như một điều kiện trong hợp 
đồng lao động. 
d, Lập kế hoạch duy trì hoạt động liên tục của tổ chức 
Nếu trong quá khứ, bộ phận CNTT của tổ chức chỉ tập trung vào việc lập kế hoạch 
khắc phục sự cố thảm họa thiên nhiên như bão lũ, động đất hay hỏa hoạn thì ngày nay 
chúng ta phải quan tâm đến một hoạt động có phạm vi rộng hơn, đó là hoạt động Lập kế 
hoạch duy trì hoạt động liên tục của tổ chức (Business Continuity Planning - BCP) là 
việc xây dựng các kế hoạch nhằm đảm bảo các nhân viên và các tiến trình nghiệp vụ vẫn 
tiếp tục hoạt động được khi HTTT gặp sự cố bất thường. Một khi tổ chức không có khả 
năng khôi phục hoạt động kinh doanh trong một khoảng thời gian xác định vì lý do sự cố 
thảm họa ắt sẽ dẫn đến thất bại trong kinh doanh. 
Để duy trì được hoạt động kinh doanh liên tục, các tổ chức cần thực hiện được các 
yêu cầu sau: 
- Thiết kế nhiều không gian làm việc khác nhau cho nhân viên với đầy đủ trang bị 
về máy tính và đường điện thoại. 
- Các điểm sao lưu CNTT không quá gần nhưng cũng không quá xa nhau sao cho 
tiện liên lạc nhưng không bị ảnh hưởng của thảm họa vùng. 
- Có kế hoạch sơ tán phù hợp và cập nhật nhất và đảm bảo mọi nhân viên đều biết 
về kế hoạch và được diễn tập trước. 
172 
- Sao lưu dữ liệu trên máy tính xách tay và máy chủ, vì lý do có nhiều dữ liệu quan 
trọng của tổ chức được lưu trữ trên các thiết bị này chứ không phải ở trung tâm dữ liệu. 
- Giúp nhân viên vượt qua thảm họa bằng cách cung cấp danh bạ điện thoại, địa 
chỉ email và thậm chí cả danh bạ Instant Messenger để họ có điều kiện giao tiếp, liên lạc 
với người thân và đồng nghiệp. 
Quá trình lập kế hoạch duy trì hoạt động liên tục của tổ chức được bắt đầu bằng 
việc phân tích ảnh hưởng của các yếu tố đến hoạt động kinh doanh với các hoạt động sau: 
- Xác định các tiến trình nghiệp vụ và các bộ phận quan trọng, nhạy cảm trong tổ 
chức. 
- Xác định mối tương tác qua lại giữa các các tiến trình nghiệp vụ và các bộ phận 
đó. 
- Xác định và kiểm tra tất cả các nguy cơ có thể xảy ra với các hệ thống trên. 
- Xác định các thông tin định tính và định lượng đối với các mối đe dọa đã xác 
định. 
- Đưa ra các biện pháp khôi phục hệ thống. 
Thông thường, người ta phân mức độ khẩn cấp trong việc phục hồi các hệ thống 
sau sự cổ thảm họa như sau: 
- Hệ thống có mức độ ưu tiên thấp (30 ngày) 
- Hệ thống có độ ưu tiên trung bình (7 ngày) 
- Hệ thống có độ ưu tiên cao (72 giờ) 
- Hệ thống có độ ưu tiên rất cao (24 giờ) 
- Hệ thống có độ ưu tiên cao nhất (12 giờ) 
Trong kế hoạch BCP cũng cần xác định rõ: ai thực hiện công việc gì trong điều 
kiện nào? Cuối cùng, kế hoạch BCP cần phải được thử nghiệm, theo đó các nhân viên sẽ 
được yêu cầu tạm dừng công việc thường nhật để phục vụ mục đích tạo dựng tình huống 
có sự cố thảm họa và các vị trí công việc thực hành khắc phục sự cố theo kế hoạch đã xây 
dựng. Thử nghiệm kế hoạch BCP đòi hỏi chi phí về tiền bạc, thời gian và các nguồn lực 
cần thiết khác, thậm chí trước mắt có thể tạm thời làm giảm năng suất lao động. 
e, Quản trị dữ liệu điện tử của tổ chức 
Quản trị dữ liệu điện tử (Electronic Record Management - ERM) là một phương 
thức quản trị các tài liệu điện tử quan trọng trong mỗi tổ chức. Nhu cầu quản trị dữ liệu 
điện tử trong các tổ chức ngày càng trở nên cần thiết, đặc biệt khi các nước ban hành các 
điều luật, theo đó các tổ chức phải có trách nhiệm lưu trữ một số nhất định các loại dữ 
liệu trong một khoảng thời gian theo luật định. Ở Mỹ, luật sox quy định thời gian lưu giữ 
dữ liệu kiểm toán và báo cáo tài chính của các công ty công là 5 năm, luật HIPAA quy 
định lưu giữ các dữ liệu y tế là 6 năm. Khi một tổ chức không có khả năng cung cấp các 
173 
TT cần thiết phục vụ cho các mục tiêu dân sự hoặc hình sự thì phải chấp nhận bị phạt. 
Ủy ban quản trị dữ liệu điện tử của tổ chức có những trách nhiệm chính sau đây: 
- Xác định các tệp dữ liệu cần lưu trữ 
- Đảm bảo các phương án bảo trì các tệp dữ liệu 
f, Vai trò của Phó giám đốc an toàn thông tin trong tổ chức 
Thời gian gần đây, với áp lực phải tuân thủ các điều luật quốc tế và quốc gia, một 
số tổ chức đã đưa vào một chức danh công việc mới là Phó giám đốc an toàn thông tin 
(Chief Information Security Officer - CISO), chịu trách nhiệm đánh giá liên tục các rủi ro 
liên quan đến an toàn thông tin của tổ chức, xây dựng và triển khai các biện pháp đối phó 
hiệu quả. Một CISO không nhất thiết phải có trình độ kĩ sư máy tính với hiểu biết về 
công nghệ an toàn HTTT, nhưng nhất thiết phải có năng lực để giao tiếp, trao đổi với bộ 
phận kỹ thuật về các công nghệ an toàn thông tin đã qua kiểm chứng cũng như những 
công nghệ an toàn thông tin mới nổi. Thực chất, mục tiêu của CISO không phải là loại 
trừ tất cả các rủi ro thông tin (điều này là hoàn toàn không thể) mà là xác định và xếp 
hạng khẩn cấp tất cả các rủi ro liên quan, tiến hành loại trừ tất cả các rủi ro có thể loại trừ 
được với chi phí đầu tư hợp lý (thông qua phân tích chi phí khắc phục tránh rủi ro và tổn 
thất tránh được nhờ khoản đầu tư tránh rủi ro), và giảm nhẹ các rủi ro khác. 
Vị trí quản lý an toàn thông tin cao cấp CISO càng trở nên cần thiết trong xu thế 
toàn cầu hóa của nền kinh tế, với nguy cơ rủi ro thông tin, đặc biệt các thông tin trên 
mạng, ngày càng cao. Xu thế toàn cầu hóa trong hoạt động kinh doanh của các tổ chức và 
công ty thể hiện ở một vài khía cạnh sau đây: 
- Nhiều tổ chức và công ty đã tham gia hợp tác trong các hiệp hội cùng nhau 
nghiên cứu và phát triển, sản xuất và thử nghiệm sản phẩm mới. 
- Thuê các công ty đối tác xử lý dữ liệu của tổ chức đang trở thành một tình 
trạng phổ biến ở nhiều tổ chức. 
Một số tổ chức sử dụng dịch vụ ứng dụng ASP, theo đó nhà cung cấp dịch vụ ứng 
dụng ASP chịu trách nhiệm vận hành và bảo trì các ứng dụng và lưu trữ dữ liệu giao dịch 
khách hàng của nhiều tổ chức khác nhau. 
174 
CÂU HỎI HƯỚNG DẪN ÔN TẬP, THẢO LUẬN 
Câu 1: Xác định mục tiêu của quản trị nguồn lực thông tin và một số vấn đề liên 
quan đến quản trị nguồn lực thông tin. 
Câu 2: Phân tích các chức năng cơ bản của quản trị nguồn lực thông tin trong một 
tổ chức 
Câu 3: Phân tích các yếu tố quan trọng cho việc lập kế hoạch nguồn lực thông tin. 
Câu 4: Trình bày các phương pháp lập kế hoạch hệ thống thông tin 
Câu 5: Trình bày mô hình STEP và 6 mức kỹ năng của nhân lực thông tin. 
Câu 6: Tội phạm điện tử, tội phạm Internet là gì? Cho ví dụ minh họa. 
Câu 7: Hãy nêu một số ví dụ điển hình về tội phạm điện tử gây mất an toàn 
HTTT? 
Câu 8: Một số biện pháp khuyến cáo cho người sử dụng Internet trong việc tự bảo 
vệ mình trước tội phạm điện tử và các mối đe dọa liên quan đến an ninh máy tính? 
Câu 9: Quá trình quản trị rủi ro thông tin trong một tổ chức được triển khai như 
thế nào? 
Câu 10: Chính sách an toàn thông tin (Information Security Policy) là gì? Những 
nội dung cơ bản của chính sách an toàn thông tin. 
Câu 11: Lập kế hoạch duy trì hoạt động liên tục của tổ chức là gì? Để duy trì được 
hoạt động kinh doanh liên tục, các tổ chức cần thực hiện được những yêu cầu nào. 
Câu 12: Cho biết sự khác biệt giữa Hacker và Cracker 
BÀI TẬP ỨNG DỤNG 
1. Hãy tìm hiểu thông tin về mật khẩu, nguyên tắc đặt mật khẩu. 
2. Hãy tìm kiếm thông tin về chữ ký điện tử. Vấn đề an toàn đối với chữ ký điện 
tử. 
3. Hãy tìm hiểu thông tin về tội phạm công nghệ cao. 
4. Hãy tìm hiểu thông tin về các kỹ thuật thường được sử dụng để tấn công máy 
tính. Hãy cho ví dụ về một vụ tấn công bằng máy tính bằng một trong các kỹ thuật mà 
mình biết. 
175 
DANH MỤC TÀI LIỆU THAM KHẢO 
1. Nguyễn Văn Ba, Giáo trình phân tích thiết kế hệ thống thông tin, NXB: Đại học 
Quốc gia, Hà Nội, 2004. 
2. Phạm Thị Thanh Hồng, Phạm Minh Tuấn, Hệ thống thông tin quản lý, NXB: 
Khoa học và kỹ thuật, Hà Nội, 2007. 
3. Trần Thị Song Minh, Giáo trình hệ thống thông tin quản lý, NXB: Đại học Kinh 
tế quốc dân, Hà Nội, 2012. 
4. Trương Văn Tú, Trần Thị Song Minh, Giáo trình hệ thống thông tin quản lý, 
NXB: Đại học Kinh tế quốc dân, Hà Nội, 2000. 
5. Sách, báo, tạp chí chuyên ngành, tài liệu liên quan.