1 Keselamatan dan Audit Sistem Komputer Operasi Komputer

2 Kandungan… Penstrukturan Fungsi TM Pusat Komputer Sistem Pengoperasian Sistem Komputer Peribadi

3 Penstrukturan Fungsi TM Pemprosesan Data Terpusat Pemisahan Fungsian TM Tak Serasi Model Teragih Pengawalan Suasana DDP

4 Pemprosesan Data Terpusat Pendekatan Pemprosesan Data Terpusat Sumber Perkhidmatan Komputer Produksi Pemasaran Pengagihan Kewangan Perakaunan

5

6 Pemprosesan Data Terpusat Pentadbiran Pangkalan Data (DBA) Pemprosesan Data Kawalan Data Penukaran Data Operasi Komputer Perpustakaan Data Pembangunan dan Penyelenggaraan Sistem Profesional Sistem Pengguna Akhir Stakeholders

7 Pemisahan Fungsian TM Tak Serasi Pemisahan Pembangunan Sistem daripada Operasi Komputer Pemisahan DBA daripada Fungsi-fungsi Lain Pemisahan Pembangunan Sistem Baru daripada Penyelenggaraan

8 Objektif Audit Mentahkikkan (verify) individual di kawasan yang tak serasi dipisahkan mengikut tahap potensi risiko dan juga keadaan di mana wujudnya suasana kerja yang formal (tidak kasual) antara tugas-tugas tak serasi.

9 Model Teragih Risiko Berhubung DDP Penyalahgunaan Sumber Organisasi Ketakserasian Perkakasan dan Perisian Tugas Bertindan Konsolidasi Aktiviti Tak Serasi Mengambil Profesional Yang Layak Kekurangan Piawai

10 Model Teragih Kelebihan Berhubung DDP Pengurangan Kos

11

12 Pengawalan Suasana DDP Memerlukan Analisis Berhati-hati Pelaksanaan Fungsian TM Korporat

13 Objektif Audit Untuk mentahkikkan unit-unit TM teragih menggunakan piawai prestasi entiti yang mempromosikan keserasian sesama perkakasan, aplikasi perisian dan data.

14 Pusat Komputer Kawalan Pusat Komputer Perancangan Pemulihan Bencana

15 Kawalan Pusat Komputer Lokasi Fizikal Pembinaan Capaian Pengudaraan Kebakaran Bekalan Kuasa

16 Objektif Audit Untuk menilai kawalan merangkumi keselamatan pusat komputer. Juruaudit haruslah mengesahkan bahawa: 1. Physical security controls are adequate to reasonably protect the organisation from physical exposures; 2. Insurance coverage on equipment is adequate to compensate the organisation for the destruction of, or damage to, its computer centre; and 3. Operator documentation is adequate to deal with system failures.

17 Prosedur Audit Ujian… 1. tests of physical construction 2. tests of the fire detection system 3. tests of access control 4. tests of the backup power supply 5. tests for insurance coverage 6. tests of operator documentation controls

18 Perancangan Pemulihan Bencana Ialah sebuah penyataan komprehensif kesemua tindakan yang perlu diambil sebelum, semasa, dan selepas sesuatu bencana, disertai dengan prosedur didokumen & diuji yang akan memastikan kelangsungan operasi.

19 Perancangan Pemulihan Bencana Peristiwa bencana kadangkala tidak boleh dicegah ataupun dielakkan. Kelangsungan sesebuah organisasi terjejas oleh bencana bergantung kepada bagaimana baik dan cepatnya ia bertindak. Dengan perancangan luarjangka yang berhati-hati, impak keseluruhan sesuatu bencana boleh diserap dan organisasi masih boleh pulih.

20 Perancangan Pemulihan Bencana Penyediaan Tempat Sokongan Kedua Pakej Bantuan Bersama Pengenalpastian Aplikasi Kritikal Perlaksanaan prosedur sokongan dan storan luar-kawasan Membentuk sebuah pasukan pemulihan bencana Menguji DRP

21 Penyediaan Tempat Sokongan Kedua Pakej Bantuan Bersama Perjanjian 2 atau lebih utk bantu ketika bencana Cengkerang Kosong 2 atau lebih beli/sewa, & ubahsuai utk tapak komputer (tanpa komputer & peralatannya) Pusat Operasi Pemulihan Tapak panas, disediakan peralatan sepenuhnya Backup disediakan secara dalaman Mengadakan kapasiti lebihan secara dalaman

22 Pengenalpastian Aplikasi Kritikal Usaha pemulihan ditumpukan kepada memulihkan aplikasi yang kritikal kepada kelangsungan jangka pendek organisasi.

23 Pengenalpastian Aplikasi Kritikal Bagi kebanyakan organisasi, fungsi yang perlu segera diselamatkan yang menghasilkan aliran tunai mencukupi untuk memuaskan tanggungjawab jangka pendek.

24 Pengenalpastian Aplikasi Kritikal Aplikasi komputer yang menyokong item mempengaruhi kedudukan aliran tunai adalah kritikal. Aplikasi ini perlu dikenalpasti dan diutamakan dalam perancangan pemulihan. Contoh item: jualan dan perkhidmatan pelanggan, penyelenggaraan dan kutipan akaun penerimaan, perhubungan am.

25 Perlaksanaan prosedur sandaran (backup) dan storan luar-kawasan Kesemua fail fata, dokumentasi aplikasi, dan bekalan diperlukan untuk melaksanakan fungsian kritikal sepatutnya dispesifikasikan dalam DRP.

26 Perlaksanaan prosedur sandaran dan storan luar-kawasan Prosedur sandaran dan storan bagi menjaga sumber kritikal ini sepatutnya dilaksanakan secara rutin oleh pekerja pemprosesan data.

27 Perlaksanaan prosedur sandaran dan storan luar-kawasan Sandaran fail data Sandaran dokumentasi Sandaran bekalan dokumen sumber

28 Perlaksanaan prosedur sandaran dan storan luar-kawasan Sandaran fail data pangkalan data sepatutnya disalin setiap hari ke pita atau cakera dan terselamat di luar kawasan.

29 Perlaksanaan prosedur sandaran dan storan luar-kawasan Sandaran dokumentasi Dokumentasi sistem bagi aplikasi kritikal sepatutnya disandar dan disimpan di luar kawasan, seperti fail data.

30 Perlaksanaan prosedur sandaran dan storan luar-kawasan Sandaran bekalan dokumen sumber Organisasi sepatutnya menyediakan sandaran inventori bagi bekalan dokumen sumber digunakan dalam aplikasi kritikal. Contoh bekalan kritikal: stok cek, inbois, tempahan belian, dan borang tujuan khas lainnya yang tidak boleh diperolehi dengan segera. Adalah penting juga salinan dokumen DRP semasa disimpan di lokasi luar kawasan.

31 Membentuk sebuah pasukan pemulihan bencana Pemulihan daripada sesebuah bencana bergantung kepada tindakan pembetulan yang pantas.

32 Membentuk sebuah pasukan pemulihan bencana Kegagalan melaksanakan tugas penting (seperti mendapatkan fail sandaran bagi aplikasi kritikal) melambatkan masa pemulihan dan mengurangkan prospek pemulihan yang berjaya.

33 Membentuk sebuah pasukan pemulihan bencana Untuk mengelak ketertinggalan serius ini, satu pasukan pemulihan bencana perlu diwujudkan.

34 Membentuk sebuah pasukan pemulihan bencana Objektif: mewujudkan semula fungsian kawalan data dan penukaran data diperlukan untuk memproses aplikasi kritikal. Objektif: menyediakan versi semasa kesemua aplikasi, fail data. Dan dokumentasi kritikal. Objektif: menyediakan tapak sandaran bagi operasi dan mendapatkan perkakasan daripada pembekal.

35 Menguji DRP Aspek yang paling dilupakan oleh perancangan kontingensi ialah menguji perancangan. Ia sepatutnya diuji secara berkala. Ujian menilai kesediaan pekerja dan mengenalpasti ketinggalan ataupun bottleneck di dalam perancangan.

36 Menguji DRP Pihak pengurusan seharusnya menilai prestasi: 1. Keberkesanan pekerja pasukan DRP dan peringkat pengetahuan mereka, 2. Darjah kejayaan penukaran (dalam bilangan rekod hilang), 3. Satu anggaran kerugian kewangan disebabkan kehilangan rekod/kemudahan, 4. Keberkesanan prosedur sandaran dan pemulihan aturcara, data, dan dokumentasi.

37 Objektif Audit Untuk mentahkikkan DRP organisasi tersebut adalah mencukupi bagi memenuhi keperluan organisasi dan pelaksanaannya adalah boleh dan praktikal.

38 Prosedur Audit Mentahkikkan bahawa DRP pengurusan adalah penyelesaian realistik bagi berurusan dengan bahaya yang mungkin menghapuskan pengurusan sumber komputernya.

39 Sistem Pengoperasian Keselamatan Sistem Pengoperasian Ancaman Terhadap Integriti Sistem Pengoperasian Kawalan dan Prosedur Audit Sistem Pengoperasian

40 Keselamatan Sistem Pengoperasian Prosedur LOGON Access token Senarai kawalan capaian Discretionary access control

41 Ancaman Terhadap Integriti Sistem Pengoperasian Objektif kawalan OS kemungkinan tidak tercapai kerana kepincangan dalam OS yang dieksploitasi samada secara tidak sengaja atau dengan sengaja.

42 Kawalan dan Prosedur Audit Sistem Pengoperasian Pengawalan Keistimewaan Capaian Kawalan Katalaluan Mengawal daripada Virus dll

43 Sistem Komputer Peribadi Sistem Pengoperasian PC Kawalan dan Audit Sistem PC

44 Sistem Pengoperasian PC

45 Kawalan dan Audit Sistem PC Kawalan Capaian Lemah Kekurangan Pemisahan Tugas Kekurangan Prosedur Sokongan