Bài viết tổng hợp một số câu hỏi tự luận thường gặp trong đề thi CMA Part 1 thuộc nội dung Môn 1E - Tổng hợp những vấn đề liên quan đến Kiểm soát nội bộ.
Tình huống: The headquarters of Greeting Card Stores Inc. is located near a large river that flooded after an extremely heavy rainfall. The disaster recovery leader had recently left the company, and a new person had not yet been named, nor had the recovery plan been tested for some time. The company has a backup location for all systems, but it is in the same area and was subject to the same flood. The backup files were in the basement and first floor of the backup location. Some files were salvaged but do not have clear descriptions, and management is not sure if they are the correct files. After two days of being unable to process the store sales, management has implemented a backup system. This system allows the company to process sales, but it does not have all of the current data, so some large sales that were in process were lost.
Câu hỏi:
- Explain the objective of a disaster recovery plan.
- Explain the importance of backing up all program and data files regularly and storing them at a secure remote site.
- Explain the difference between a hot backup site and a cold backup site.
- Recommend four changes to improve the disaster recovery and storage control procedures at Greeting Card Stores Inc.
- Besides disaster recovery, system security is also an important control to the business. Identify three means by which management can protect programs and databases from unauthorized use.
Diễn giải:
Trụ sở chính của Greeting Card Stores Inc. nằm gần một con sông lớn bị ngập lụt sau một trận mưa cực lớn. Trưởng nhóm khắc phục thảm họa gần đây đã rời công ty và một người mới vẫn chưa được nêu tên, cũng như kế hoạch khôi phục chưa được thử nghiệm trong một thời gian. Công ty có một địa điểm dự phòng cho tất cả các hệ thống, nhưng nó ở cùng một khu vực và chịu cùng một trận lụt. Các tệp sao lưu ở tầng hầm và tầng một của vị trí sao lưu. Một số tệp đã được trục vớt nhưng không có mô tả rõ ràng và ban quản lý không chắc liệu chúng có phải là tệp chính xác hay không. Sau hai ngày không thể xử lý việc bán hàng của cửa hàng, ban quản lý đã triển khai một hệ thống dự phòng. Hệ thống này cho phép công ty xử lý doanh số bán hàng, nhưng nó không có tất cả dữ liệu hiện tại, vì vậy một số doanh số bán hàng lớn đang được xử lý đã bị mất.
Ôn tập lại kiến thức:
1. Kế hoạch khắc phục sau thảm họa:
- Mục tiêu hoạt động liên tục của doanh nghiệp là phải khôi phục và lưu trữ dữ liệu trong toàn bộ quy trình vận hành sau khi gặp phải những thảm hoạ, sự kiện không thể lường trước được.
- Kế hoạch khắc phục sau thảm hoạ chính là một hoạt động cụ thể của doanh nghiệp đặt ra cách mà tổ chức có thể khôi phục việc kết nối dữ liệu và các hệ thống công nghệ của họ một cách hiệu quả nhất sau khi xảy ra sự cố, thảm hoạ.
--> Vậy thì kế hoạch hoạt động liên tục bao gồm DRP chi tiết tập trung vào 2 điểm chính: 1 là khôi phục công nghệ thông tin và hệ thống giao tiếp của công ty, 2 là khôi phục lại kết nối với dữ liệu chuẩn chất lượng mà doanh nghiệp trông cậy vào.
2. Điểm lạnh, điểm ấm và điểm nóng:
Khi mà công ty lên kế hoạch khắc phục sau thảm hoạ, công ty sẽ cần phải có một cơ sở dự phòng để có thể tái khởi động lại bộ máy vận hành và khôi phục hệ thống dữ liệu tại đó. Vậy khi mình công ty tiến hành tìm kiếm cơ sở dự phòng này, nó cũng được chia ra thành nhiều loại để phù hợp với mong muốn và mục đích của công ty đặt ra. Ở đây chúng ta có 3 loại là điểm lạnh, điểm ấm và điểm nóng.
- Nếu địa điểm khắc phục sau thảm họa là điểm lạnh thì nó chỉ đơn giản là một cơ sở trống rỗng không chứa gì trong đó (empty building), không có phần cứng và không có dữ liệu
- Tiếp đến, điểm ấm là loại ở giữa lạnh và nóng, phát triển hơn điểm lạnh một chút, nó có thể có tất cả thiết bị của công ty nhưng phần cứng không được đặt ở trung tâm của cơ sở dự phòng này, chỉ cho đến khi thảm hoạ xảy ra thật thì sẽ có người đến và cài đặt.
- Cuối cùng là điểm nóng, đây là loại cơ sở dự phòng tối ưu hoá nhất; tất cả mọi thứ, trung tâm dữ liệu sẽ được sao chép một cách chính xác tại đây. Hiểu đơn giản là mỗi khi mua phần cứng, tổ chức sẽ mua thành hai bản và để một bản ở điểm nóng, còn tất cả ứng dụng cũng như những phần mềm sẽ được cập nhật liên tục và được sao chép tự động.
Đáp án:
1. Explain the objective of a disaster recovery plan.
Mục tiêu của kế hoạch khắc phục thảm họa là đảm bảo rằng một công ty sẽ có thể hoạt động bất chấp mọi gián đoạn như mất điện, sự cố hệ thống, thiên tai, v.v. Đó là một quy trình và tập hợp các thủ tục mà các tổ chức tuân theo để tiếp tục kinh doanh sau một sự kiện gây rối. Các thành phần quan trọng bao gồm:
- Nhóm khắc phục thảm họa, bao gồm một lãnh đạo chính và một lãnh đạo dự khuyết.
- Chỉ định một trang sao lưu cụ thể để sử dụng cho quá trình xử lý máy tính thay thế—tức là trang nóng hoặc trang lạnh.
- Kiểm tra, lập tài liệu và cập nhật kế hoạch theo yêu cầu. Xem lại kế hoạch liên tục.
- Cũng bao gồm các bản sao lưu cho phần cứng.
2. Explain the importance of backing up all program and data files regularly and storing them at a secure remote site.
Việc sao lưu thường xuyên và lưu trữ thích hợp các tệp chương trình và dữ liệu sẽ làm giảm rủi ro tài chính và rủi ro kinh doanh. Sai sót có thể phát sinh nếu dữ liệu bị mất do sao lưu không đầy đủ. Mất dữ liệu cũng có thể gây gián đoạn nghiêm trọng hoạt động kinh doanh và mất thu nhập.
3. Explain the difference between a hot backup site and a cold backup site.
- Điểm nóng (hot site) đang hoạt động đầy đủ và ít nhiều có thể trực tuyến ngay lập tức. Điểm nóng khởi động nhanh có dữ liệu và phần mềm mới nhất, do đó, nó có thể bật lên chỉ sau vài giây sau khi điểm chính ngừng hoạt động.
- Điểm lạnh (cold site) về cơ bản là một cơ sở trống, nơi phần cứng có thể được cài đặt tương đối nhanh chóng (vài ngày chứ không phải vài phút). Điểm ấm (warm site) nằm ở đâu đó ở giữa, với một số khả năng liên lạc và kết nối mạng, nhưng yêu cầu cài đặt phần cứng/phần mềm.
- Việc lựa chọn mức độ sẵn sàng của trang sao lưu dựa trên việc công ty cân nhắc chi phí ngoại tuyến (mất doanh thu, v.v.) so với chi phí mua/duy trì mức sao lưu.
4. Recommend four changes to improve the disaster recovery and storage control procedures at Greeting Card Stores Inc.
Cửa hàng thiệp chúc mừng có thể cải thiện quy trình kiểm soát lưu trữ và khắc phục thảm họa bằng cách:
- Đảm bảo chỉ định người lãnh đạo khắc phục thảm họa
- Kiểm tra kế hoạch sao lưu thường xuyên để đảm bảo rằng nó đang hoạt động
- Giữ các bản sao lưu ở một vị trí có thể không phải chịu cùng các thảm họa tự nhiên
- Giữ một số bộ sao lưu trong trường hợp không thể sử dụng bộ gần đây nhất
- Sử dụng các điều khiển lưu trữ ghi nhãn tệp tốt hơn cho cả nhãn tệp bên ngoài và bên trong
5. Besides disaster recovery, system security is also an important control to the business. Identify three means by which management can protect programs and databases from unauthorized use.
Các phương tiện mà ban quản lý có thể sử dụng để bảo vệ các chương trình và cơ sở dữ liệu khỏi việc sử dụng trái phép bao gồm:
- Kiểm soát cơ sở và phần cứng: Ví dụ: kiểm soát quyền truy cập vào tòa nhà, đặt trung tâm dữ liệu cách xa các khu vực công cộng, chỉ cấp quyền truy cập cho nhân viên được ủy quyền và sử dụng mã khóa hoặc sinh trắc học để vào.
- Kiểm soát mạng: Ví dụ: sử dụng mạng riêng hoặc sử dụng mạng riêng ảo để bảo mật kết nối với Internet, thêm mật khẩu bảo vệ và yêu cầu thay đổi mật khẩu định kỳ, mã hóa dữ liệu trước khi truyền dữ liệu, đảm bảo địa chỉ đích chính xác bằng cách xác minh định tuyến, xác minh gửi tin nhắn qua xác nhận tin nhắn, phát hiện và bảo vệ các cuộc tấn công thông qua phần mềm chống vi-rút và tường lửa, đồng thời triển khai hệ thống phát hiện xâm nhập.