1 / 45

Keselamatan dan Audit Sistem Komputer

Keselamatan dan Audit Sistem Komputer. Operasi Komputer. Kandungan…. Penstrukturan Fungsi TM Pusat Komputer Sistem Pengoperasian Sistem Komputer Peribadi. Penstrukturan Fungsi TM. Pemprosesan Data Terpusat Pemisahan Fungsian TM Tak Serasi Model Teragih Pengawalan Suasana DDP.

nevan
Download Presentation

Keselamatan dan Audit Sistem Komputer

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Keselamatan dan Audit Sistem Komputer Operasi Komputer

  2. Kandungan… • Penstrukturan Fungsi TM • Pusat Komputer • Sistem Pengoperasian • Sistem Komputer Peribadi

  3. Penstrukturan Fungsi TM • Pemprosesan Data Terpusat • Pemisahan Fungsian TM Tak Serasi • Model Teragih • Pengawalan Suasana DDP

  4. Pemprosesan Data Terpusat • Pendekatan Pemprosesan Data Terpusat Pemasaran Kewangan Sumber Perkhidmatan Komputer Produksi Pengagihan Perakaunan

  5. Pemprosesan Data Terpusat • Pentadbiran Pangkalan Data (DBA) • Pemprosesan Data • Kawalan Data • Penukaran Data • Operasi Komputer • Perpustakaan Data • Pembangunan dan Penyelenggaraan Sistem • Profesional Sistem • Pengguna Akhir • Stakeholders

  6. Pemisahan Fungsian TM Tak Serasi • Pemisahan Pembangunan Sistem daripada Operasi Komputer • Pemisahan DBA daripada Fungsi-fungsi Lain • Pemisahan Pembangunan Sistem Baru daripada Penyelenggaraan

  7. Objektif Audit • Mentahkikkan (verify) individual di kawasan yang tak serasi dipisahkan mengikut tahap potensi risiko dan juga keadaan di mana wujudnya suasana kerja yang formal (tidak kasual) antara tugas-tugas tak serasi.

  8. Model Teragih • Risiko Berhubung DDP • Penyalahgunaan Sumber Organisasi • Ketakserasian Perkakasan dan Perisian • Tugas Bertindan • Konsolidasi Aktiviti Tak Serasi • Mengambil Profesional Yang Layak • Kekurangan Piawai

  9. Model Teragih • Kelebihan Berhubung DDP • Pengurangan Kos

  10. Pengawalan Suasana DDP • Memerlukan Analisis Berhati-hati • Pelaksanaan Fungsian TM Korporat

  11. Objektif Audit • Untuk mentahkikkan unit-unit TM teragih menggunakan piawai prestasi entiti yang mempromosikan keserasian sesama perkakasan, aplikasi perisian dan data.

  12. Pusat Komputer • Kawalan Pusat Komputer • Perancangan Pemulihan Bencana

  13. Kawalan Pusat Komputer • Lokasi Fizikal • Pembinaan • Capaian • Pengudaraan • Kebakaran • Bekalan Kuasa

  14. Objektif Audit • Untuk menilai kawalan merangkumi keselamatan pusat komputer. • Juruaudit haruslah mengesahkan bahawa: • Physical security controls are adequate to reasonably protect the organisation from physical exposures; • Insurance coverage on equipment is adequate to compensate the organisation for the destruction of, or damage to, its computer centre; and • Operator documentation is adequate to deal with system failures.

  15. Prosedur Audit • Ujian… • tests of physical construction • tests of the fire detection system • tests of access control • tests of the backup power supply • tests for insurance coverage • tests of operator documentation controls

  16. Perancangan Pemulihan Bencana • Ialah sebuah penyataan komprehensif kesemua tindakan yang perlu diambil sebelum, semasa, dan selepas sesuatu bencana, disertai dengan prosedur didokumen & diuji yang akan memastikan kelangsungan operasi.

  17. Perancangan Pemulihan Bencana • Peristiwa bencana kadangkala tidak boleh dicegah ataupun dielakkan. • Kelangsungan sesebuah organisasi terjejas oleh bencana bergantung kepada bagaimana baik dan cepatnya ia bertindak. • Dengan perancangan luarjangka yang berhati-hati, impak keseluruhan sesuatu bencana boleh diserap dan organisasi masih boleh pulih.

  18. Perancangan Pemulihan Bencana • Penyediaan Tempat Sokongan Kedua • Pakej Bantuan Bersama • Pengenalpastian Aplikasi Kritikal • Perlaksanaan prosedur sokongan dan storan luar-kawasan • Membentuk sebuah pasukan pemulihan bencana • Menguji DRP

  19. Penyediaan Tempat Sokongan Kedua • Pakej Bantuan Bersama • Perjanjian 2 atau lebih utk bantu ketika bencana • Cengkerang Kosong • 2 atau lebih beli/sewa, & ubahsuai utk tapak komputer (tanpa komputer & peralatannya) • Pusat Operasi Pemulihan • Tapak panas, disediakan peralatan sepenuhnya • Backup disediakan secara dalaman • Mengadakan kapasiti lebihan secara dalaman

  20. Pengenalpastian Aplikasi Kritikal • Usaha pemulihan ditumpukan kepada memulihkan aplikasi yang kritikal kepada kelangsungan jangka pendek organisasi.

  21. Pengenalpastian Aplikasi Kritikal • Bagi kebanyakan organisasi, fungsi yang perlu segera diselamatkan yang menghasilkan aliran tunai mencukupi untuk memuaskan tanggungjawab jangka pendek.

  22. Pengenalpastian Aplikasi Kritikal • Aplikasi komputer yang menyokong item mempengaruhi kedudukan aliran tunai adalah kritikal. • Aplikasi ini perlu dikenalpasti dan diutamakan dalam perancangan pemulihan. • Contoh item: jualan dan perkhidmatan pelanggan, penyelenggaraan dan kutipan akaun penerimaan, perhubungan am.

  23. Perlaksanaan prosedur sandaran (backup) dan storan luar-kawasan • Kesemua fail fata, dokumentasi aplikasi, dan bekalan diperlukan untuk melaksanakan fungsian kritikal sepatutnya dispesifikasikan dalam DRP.

  24. Perlaksanaan prosedur sandaran dan storan luar-kawasan • Prosedur sandaran dan storan bagi menjaga sumber kritikal ini sepatutnya dilaksanakan secara rutin oleh pekerja pemprosesan data.

  25. Perlaksanaan prosedur sandaran dan storan luar-kawasan • Sandaran fail data • Sandaran dokumentasi • Sandaran bekalan dokumen sumber

  26. Perlaksanaan prosedur sandaran dan storan luar-kawasan • Sandaran fail data • pangkalan data sepatutnya disalin setiap hari ke pita atau cakera dan terselamat di luar kawasan.

  27. Perlaksanaan prosedur sandaran dan storan luar-kawasan • Sandaran dokumentasi • Dokumentasi sistem bagi aplikasi kritikal sepatutnya disandar dan disimpan di luar kawasan, seperti fail data.

  28. Perlaksanaan prosedur sandaran dan storan luar-kawasan • Sandaran bekalan dokumen sumber • Organisasi sepatutnya menyediakan sandaran inventori bagi bekalan dokumen sumber digunakan dalam aplikasi kritikal. • Contoh bekalan kritikal: stok cek, inbois, tempahan belian, dan borang tujuan khas lainnya yang tidak boleh diperolehi dengan segera. • Adalah penting juga salinan dokumen DRP semasa disimpan di lokasi luar kawasan.

  29. Membentuk sebuah pasukan pemulihan bencana • Pemulihan daripada sesebuah bencana bergantung kepada tindakan pembetulan yang pantas.

  30. Membentuk sebuah pasukan pemulihan bencana • Kegagalan melaksanakan tugas penting (seperti mendapatkan fail sandaran bagi aplikasi kritikal) melambatkan masa pemulihan dan mengurangkan prospek pemulihan yang berjaya.

  31. Membentuk sebuah pasukan pemulihan bencana • Untuk mengelak ketertinggalan serius ini, satu pasukan pemulihan bencana perlu diwujudkan.

  32. Membentuk sebuah pasukan pemulihan bencana Objektif: menyediakan tapak sandaran bagi operasi dan mendapatkan perkakasan daripada pembekal. Objektif: menyediakan versi semasa kesemua aplikasi, fail data. Dan dokumentasi kritikal. Objektif: mewujudkan semula fungsian kawalan data dan penukaran data diperlukan untuk memproses aplikasi kritikal.

  33. Menguji DRP • Aspek yang paling dilupakan oleh perancangan kontingensi ialah menguji perancangan. • Ia sepatutnya diuji secara berkala. • Ujian menilai kesediaan pekerja dan mengenalpasti ketinggalan ataupun bottleneck di dalam perancangan.

  34. Menguji DRP Pihak pengurusan seharusnya menilai prestasi: • Keberkesanan pekerja pasukan DRP dan peringkat pengetahuan mereka, • Darjah kejayaan penukaran (dalam bilangan rekod hilang), • Satu anggaran kerugian kewangan disebabkan kehilangan rekod/kemudahan, • Keberkesanan prosedur sandaran dan pemulihan aturcara, data, dan dokumentasi.

  35. Objektif Audit • Untuk mentahkikkan DRP organisasi tersebut adalah mencukupi bagi memenuhi keperluan organisasi dan pelaksanaannya adalah boleh dan praktikal.

  36. Prosedur Audit • Mentahkikkan bahawa DRP pengurusan adalah penyelesaian realistik bagi berurusan dengan bahaya yang mungkin menghapuskan pengurusan sumber komputernya.

  37. Sistem Pengoperasian • Keselamatan Sistem Pengoperasian • Ancaman Terhadap Integriti Sistem Pengoperasian • Kawalan dan Prosedur Audit Sistem Pengoperasian

  38. Keselamatan Sistem Pengoperasian • Prosedur LOGON • Access token • Senarai kawalan capaian • Discretionary access control

  39. Ancaman Terhadap Integriti Sistem Pengoperasian • Objektif kawalan OS kemungkinan tidak tercapai kerana kepincangan dalam OS yang dieksploitasi samada secara tidak sengaja atau dengan sengaja.

  40. Kawalan dan Prosedur Audit Sistem Pengoperasian • Pengawalan Keistimewaan Capaian • Kawalan Katalaluan • Mengawal daripada Virus dll

  41. Sistem Komputer Peribadi • Sistem Pengoperasian PC • Kawalan dan Audit Sistem PC

  42. Sistem Pengoperasian PC

  43. Kawalan dan Audit Sistem PC • Kawalan Capaian Lemah • Kekurangan Pemisahan Tugas • Kekurangan Prosedur Sokongan

More Related