!!!! בהצלחה - אתר סטודנטים לכלכלה אוניברסיטת בר אילן

‫אוניברסיטת בר – אילן‬
‫יסודות מערכות מידע (מ"מ)‬
‫סמסטר ב' – מועד א' – ‪61.1..0161‬‬
‫ענת ארביב‪ ,‬רו"ח‪ ,‬רדה שרין‬
‫מבחן ביסודות מערכות מידע (מ"מ) (‪)66-716-01 ,66-716-72 ,66-716-71‬‬
‫כולל הצעה לפתרון‬
‫משך הבחינה‪ :‬שלוש וחצי שעות‬
‫הוראות לנבחן‪:‬‬
‫‪.1‬‬
‫אין להיעזר בכל חומר שהוא‪.‬‬
‫‪.2‬‬
‫כתוב בדיו ובכתב יד ברור‪.‬‬
‫‪.3‬‬
‫ענה על כל השאלות בצורה תמציתית ועניינית‪.‬‬
‫‪.4‬‬
‫נמק את תשובותיך‪.‬‬
‫‪.5‬‬
‫יש להחזיר את מחברות ושאלון הבחינה בסוף הבחינה‪ .‬אסור לקחת את‬
‫שאלון הבחינה (בחינה חסויה )‬
‫רואה חשבון נתקל בעבודתו היומיומית בצורך להביע את דעותיו ומסקנותיו‪ ,‬לרבות‬
‫בדוחות הנערכים על ידיו‪ ,‬בשפה ברורה וחד‪-‬משמעית‪ .‬על אף שמטרתה הראשונית‬
‫של בחינה זו היא לבחון את הידע של הסטודנט ביסודות מערכות מידע וביישום‬
‫הנושאים שנלמדו בקורס‪ ,‬תובא בחשבון‪ ,‬בעת קביעת הציון‪ ,‬גם יכולתו של‬
‫הסטודנט לארגן את מחשבותיו וידיעותיו ולהביען בצורה ברורה ומסודרת‪.‬‬
‫בהצלחה !!!!‬
‫אוניברסיטת בר – אילן‬
‫יסודות מערכות מידע (מ"מ)‬
‫סמסטר ב' – מועד א' – ‪61.1..0161‬‬
‫ענת ארביב‪ ,‬רו"ח‪ ,‬רדה שרין‬
‫שאלה מספר ‪ 01( 6‬נקודות)‬
‫חברת "‪ "c.f.w‬היא רשת של חנויות בגדים‪ ,‬המפעילה ‪ 5‬סניפים במרכזי קניות ברחבי הארץ‪.‬‬
‫החברה מייבאת את הבגדים מהודו כאשר מחסנה הראשי ממקום במרכז הארץ‪ .‬בכל אחד מסניפי‬
‫החברה מותקנת מערכת לניהול מלאי ומכירות‪ .‬הרשת צפויה להתרחב עד סוף שנת ‪ 2011‬ולפתוח‬
‫מספר סניפים בחו"ל‪.‬‬
‫בשנת ‪ 2010‬פנה האחראי על מערכות המידע למנכ"ל הרשת‪ ,‬והודיע כי לא ניתן עוד להמשיך‬
‫ולהשתמש במערכת הקיימת בטענה כי "המערכת הקיימת פשוט סיימה את חיה"‪.‬‬
‫א‪ .‬כאחראי על מערכות המידע של חברת "‪ ,"c.f.w‬נסח מכתב למנכ"ל הרשת בו תפרט את‬
‫הסיבות האפשריות להחלפת מערכת המידע‪ .‬כמו כן‪ ,‬יש להסביר את השלבים השונים‬
‫הכרוכים ברכישת תוכנת מדף (מחזור החיים של מערכת המידע)‪)15%( .‬‬
‫ב‪ .‬בכל שלב שציינת בסעיף הקודם‪ ,‬פרט האם רואה החשבון המבקר מעורב‪ .‬בשלבים בהם רו"ח‬
‫לא מעורב ציין מדוע‪)5%(.‬‬
‫ג‪ .‬הנך שוקל להצפין את המידע של חברת ‪ ,c.f.w‬פרט מהן שיטות ההצפנה הקיימות ואיזו‬
‫שיטה לדעתך עדיפה‪)10%( .‬‬
‫שאלה מספר ‪ 6‬פתרון‬
‫א‪.‬‬
‫התשובה צריכה להיות בנוסח מכתב‪ ,‬להלן הצעה לנוסח‪:‬‬
‫תאריך‪16.7.2010 :‬‬
‫לכבוד‪ :‬מנכ"ל חברת "‪"c.f.w‬‬
‫הנדון‪ :‬החלפת מערכת מידע‬
‫בשנים האחרונות חברת "‪ "c.f.w‬בתנופת פיתוח וצמיחה‪ .‬בשנת ‪ 2011‬החברה צפויה לפתוח מספר‬
‫סניפים נוספים בחו"ל‪ .‬לאור זאת‪ ,‬המערכת הקיימת לניהול מלאי ומכירות אינה יכולה להמשיך‬
‫ולספק את צרכי החברה ההולכים ומשתנים באופן מהיר ונדרש להחליפה‪ .‬הסיבות הנוספות‬
‫להחלפת המערכת הן כדלקמן‪:‬‬
‫‪ .1‬ריבוי השינויים הנדרשים במערכת מידע הקיימת עלו בתקופה האחרונה לרמה כזו שנוצר‬
‫מצב בו יהיה משתלם יותר לחברה להשקיע משאבים ברכישת מערכת חדשה על פני‬
‫השקעת משאבים במענה לשינויים הנדרשים במערכת‪.‬‬
‫‪ .2‬התפתחויות טכנולוגיות – המערכת הקיימת בחברה הקיימת מיום הקמתה הינה מיושנת‬
‫ואינה נותנת מענה לכל ההתפתחויות הטכנולוגיות שחלו במרוצת השנים‪.‬‬
‫‪ .3‬שינויים במערכות הקשורות – עקב ריבוי השינויים הנדרשים במערכת הקיימת נדרשים‬
‫גם שינויים רבים במערכות הקשורות למערכת הקיימת‪.‬‬
‫‪2‬‬
‫אוניברסיטת בר – אילן‬
‫יסודות מערכות מידע (מ"מ)‬
‫סמסטר ב' – מועד א' – ‪61.1..0161‬‬
‫ענת ארביב‪ ,‬רו"ח‪ ,‬רדה שרין‬
‫‪ .4‬שינויים בסביבה (ניהול ספרים‪ ,‬תקנים וכ"ו) – המערכת הישנה אינה נותנת מענה לכל‬
‫השינויים הרגולטורים שחלו בשנים האחרונות‪ ,‬ובנוסף לאור פתיחת סניפים חדשים‬
‫בחו"ל יש להיערך מראש לדרישות הרגולטוריות ולרכוש מערכת גמישה לשינויים בנושא‬
‫זה‪.‬‬
‫‪ .5‬שינויים בציפיות המשתמשים ודרישותיהם ‪ -‬ריבוי התקלות והשינויים שנפתחים על ידי‬
‫המשתמשים עקב חוסר יעילות המערכת הישנה ויכולות טכנולוגית מעלים את הכדאיות‬
‫ברכישת מערכת חדשה על פני התועלת של שינוי מערכת קיימת‪.‬‬
‫‪ .6‬בעקבות התרחבות פעילות החברה לחו"ל יידרש שינוי מהותי בביצוע תהליכים עסקיים‬
‫וקיים חשש כי המערכת הקיימת לא תהיה מסוגלת לעמוד בשינויים אלו‪.‬‬
‫לאור הסיבות שצוינו לעיל המלצתי היא לרכוש תוכנת מדף שתתן מענה לבעיות שהועלו‪ .‬אם‬
‫יוחלט לרכוש תוכנת מדף לצורך ניהול המכירות והמלאי חשוב לציין כי תהליך רכישת המערכת‬
‫כרוך במספר שלבים מהותיים כלהלן‪:‬‬
‫‪ .6‬שלב ההגדרה – ניתן לחלק שלב זה למספר תהליכים‪:‬‬
‫א‪.‬‬
‫ב‪.‬‬
‫ניתוח ראשוני – בשלב זה יש להגדיר את צורכי המידע‪ ,‬גבולות המערכת‬
‫שתירכש‪ ,‬מקום המערכת הלוגי‪ ,‬נפח הנתונים ומקורותיהם‪ .‬המבצעים של תהליך‬
‫הניתוח הראשוני הם מנתח מערכת בשיתוף עם המשתמשים‪ .‬התוצר של שלב זה‬
‫הוא דוח מושגי ראשוני (בשפת משתמש)‪ ,‬הגופים שמאשרים את התוכנית הם‬
‫המשתמשים והנהלה‪.‬‬
‫חקר ישימות – בשלב זה נבחנת הישימות הכלכלית‪ ,‬הטכנולוגית והארגונית‪.‬‬
‫מבצעי השלב הם מנתח מערכת בשיתוף עם המשתמשים‪ .‬התוצר של שלב זה הוא‬
‫דוח חקר ישימות (בשפת משתמש)‪ ,‬הגופים שמאשרים את הדוח הם המשתמשים‬
‫והנהלה‪.‬‬
‫שלבי ניתוח המידע הלוגי ועיצוב המערכת אינם רלבנטיים לרכישת תוכנת מדף‪.‬‬
‫‪ .0‬שלב הבניה – המורכב מכתיבת תוכנה ופיתוח הנהלים אינו רלבנטי לרכישת תוכנה אולם‬
‫ייתכנו התאמות המערכת החדשה לצרכי החברה (לא נדרש לפרט בבחינה)‪.‬‬
‫‪ .0‬שלב היישום – שלב זה כרוך בהטמעת המערכת החדשה בחברה והוא יכיל את הפעולות‬
‫הבאות‪ :‬הדרכה‪ ,‬הסבת נהלים‪ ,‬הסבת קבצים ותוכניות מחשב‪ ,‬בדיקות קבלה על ידי‬
‫משתמשים‪ .‬מבצעי השלב הם‪ :‬המשתמשים‪ ,‬מפעילי המערכת מטעם החברה שמספקת‬
‫את שירותי הטמעת התוכנה או מפעילי המערכת מטעם חברת "‪ "c.f.w‬שהוכשרו‬
‫בהתאם‪ .‬תיעוד ההתקדמות של שלב זה נעשה על ידי יומן הסבה‪ ,‬הגוף שמאשר את‬
‫ההתקדמות הם המשתמשים ומבקר מערכות מידע‪.‬‬
‫‪ .4‬שלב התפעול – כרוך במספר תהליכים‪:‬‬
‫א‪ .‬תפעול המערכת ואחזקה וטיפול בשינויים‪ .‬שלב זה מבוצע על ידי מפעילים‪,‬‬
‫מנתח מידע‪ ,‬מבקר מערכות מידע‪ .‬הטיפול והאחזקה מתועדים ביומן שינויים‬
‫ויומן אחזקה על ידי המפעילים של המערכת ומדווחים למנהל תפעול ומבקר‬
‫מערכות מידע‪.‬‬
‫ב‪ .‬בקרת מערכת – שלב זה כרוך בסקירת מטרות המערכת‪ ,‬יתרונותיה וחסרונותיה‬
‫והערכת תפעול המערכת ‪ .‬מבצעי הבקרה הם המשתמשים‪ ,‬מנתח מערכת‪ ,‬מבקר‬
‫מערכות מידע‪ .‬דוח על בקרת המערכת מוגש למשתמש ו\או ההנהלה‪.‬‬
‫‪3‬‬
‫אוניברסיטת בר – אילן‬
‫יסודות מערכות מידע (מ"מ)‬
‫סמסטר ב' – מועד א' – ‪61.1..0161‬‬
‫ענת ארביב‪ ,‬רו"ח‪ ,‬רדה שרין‬
‫ג‪ .‬סיום ‪ -‬בתום חיי המערכת ייבדק על ידי מנתח מערכת בשיתוף עם המשתמשים‬
‫האם יש לנטוש את המערכת או להחליפה‪ ,‬ממצאי בדיקה זו יוגשו להנהלה‬
‫לאישור‪.‬‬
‫תהליך החלפת המערכת הוא סבוך וארוך ונדרש שיתוף פעולה של גורמים רבים בחברה‪ ,‬אולם‬
‫לאור מה שהוסבר לעיל סבור אני כי התועלת ברכישת מערכת חדשה והחלפת המערכת הישנה‬
‫גדולה יותר מהמשך אחזקת מערכת קיימת‪.‬‬
‫בכבוד רב‪,‬‬
‫פלוני אלמוני‪,‬‬
‫אחראי מערכות מידע‬
‫ב‪.‬‬
‫שלב‬
‫‪ .1‬שלב‬
‫ההגדרה‬
‫שלב משני‬
‫‪ .1‬ניתוח ראשוני‬
‫מעורב‬
‫‪ .2‬חקר ישימות‬
‫לא מעורב יש פגיעה באי תלות ‪ -‬מדובר‬
‫בשיקולים פנימיים של החברה‪.‬‬
‫לא רלבנטי לרכישת תוכנת מדף‬
‫‪ .4‬עיצוב‬
‫לא רלבנטי לרכישת תוכנת מדף‬
‫‪ .1‬תכנות‬
‫לא רלבנטי לרכישת תוכנת מדף‬
‫‪ .2‬פיתוח נהלים‬
‫לא רלבנטי לרכישת תוכנת מדף‬
‫‪ .3‬ניתוח מידע‬
‫‪ .2‬שלב הבניה‬
‫‪ .3‬שלב היישום‬
‫‪ .4‬שלב‬
‫התפעול‬
‫מעורב‬
‫תפעול מעורב‬
‫‪.1‬‬
‫יישום ת"ב ‪ 93‬ו‪98 -‬‬
‫ואחזקה‬
‫‪ .2‬בקרת מערכת מעורב‬
‫‪ .3‬סיום‬
‫ג‪.‬‬
‫מעורבות רו"ח‬
‫מעורב‬
‫שיטות ההצפנה הקיימות הן‪:‬‬
‫‪‬‬
‫הצפנה סימטרית – בשיטה זו מפתח ההצפנה משותף לשני הצדדים (כל צד יכול‬
‫להצפין ולפענח מידע באותו מפתח)‪ .‬מכיוון שהמפתח הסודי חייב להיות מופץ לשני‬
‫הצדדים וחשוף גם לגניבה ההנחה בשיטה זו היא ששני הצדדים סומכים אחד על השני‬
‫ונמנעים מלהעביר את המפתח לצד שלישי‪.‬‬
‫‪‬‬
‫הצפנה א‪-‬סימטרית – בשיטה זו קיימים מפתחות שונים להצפנה ולפענוח‪ .‬מפתח‬
‫ההצפנה הוא ציבורי ומפתח הפענוח הוא פרטי‪ .‬הצד השולח מצפין את המסר‬
‫באמצעות המפתח הציבורי של הנמען ואילו הנמען מפענח את המסר באמצעות המפתח‬
‫הפרטי שלו‪.‬‬
‫‪4‬‬
‫אוניברסיטת בר – אילן‬
‫יסודות מערכות מידע (מ"מ)‬
‫סמסטר ב' – מועד א' – ‪61.1..0161‬‬
‫ענת ארביב‪ ,‬רו"ח‪ ,‬רדה שרין‬
‫גם לשיטה האסימטרית קיימים חסרונות כגון הקושי באימות האוטנטיות ובעיית‬
‫ההכחשה‪ ,‬אולם שיטה זו עדיפה יותר על פני השיטה הסימטרית‪.‬‬
‫שאלה מספר ‪ 01( 0‬נקודות)‬
‫הסבר בהרחבה את המושגים הבאים‪:‬‬
‫‪DBMS - Data Base Management System .1‬‬
‫‪ .2‬שדה מפתח ראשי‬
‫‪ .3‬מנהלן בסיס הנתונים – ‪DBA‬‬
‫‪ .4‬רשת תקשורת פרטית (מקומית) ‪LAN‬‬
‫שאלה מספר ‪ 0‬פתרון‬
‫‪DBMS - Data Base Management System .6‬‬
‫תוכנה שתפקידה לשלוט ולנהל את בסיס הנתונים ולבקר על נגישות המידע על ידי מספר רב‬
‫של משתמשים בו זמנית‪ DBMS .‬מהווה את הממשק בין האפליקציות לבין מסד הנתונים‪.‬‬
‫‪ .0‬שדה מפתח ראשי‬
‫תכונה ייחודית‪ ,‬כלומר תכונה (שדה) שהמופע שלה בכל רשומה הוא ייחודי ולא יכולה להופיע‬
‫ביותר מרשומה אחת‪ .‬בכל ישות חייבת להיות תכונה אחת ייחודית‪ .‬לעתים לא מוגדרת תכונה‬
‫העונה על הגדרת שדה המפתח‪ .‬במצב זה ניתן ליצור משני שדות או יותר "שדה מפתח מורכב"‬
‫שעונה על ההגדרה‪ ,‬לחילופין ניתן להוסיף שדה של "מספר סידורי" שבו תוכנת בסיס הנתונים‬
‫קובעת מספר חדש לכל רשומה – מספר רץ‪.‬‬
‫‪ .0‬מנהלן בסיס הנתונים – ‪DBA‬‬
‫אחראי על המידע בארגון‪ ,‬מגדיר ומתחזק את מבני הנתונים‪ .‬הוא אחראי לאבטחת המידע‬
‫בבסיס הנתונים‪ ,‬הוא אחראי לתפקוד מהיר ויעיל (אופטימלי) של בסיס הנתונים‪ .‬הוא מקצה‬
‫שטח לתוכניות של המתכנתים השונים‪ ,‬אחראי לקביעת בקרות על בסיס הנתונים‪ .‬ל‪DBA -‬‬
‫גישה לכלל הנתונים בסביבת הייצור‪ ,‬ויכולת לשנותם‪ .‬לכן על ההנהלה לדאוג לבקרות נאותות‬
‫על עבודתו לרבות קבצי ‪ ,LOG‬גיוס אדם מתאים‪ ,‬רוטציה‪.‬‬
‫‪5‬‬
‫אוניברסיטת בר – אילן‬
‫יסודות מערכות מידע (מ"מ)‬
‫סמסטר ב' – מועד א' – ‪61.1..0161‬‬
‫ענת ארביב‪ ,‬רו"ח‪ ,‬רדה שרין‬
‫‪ .4‬רשת תקשורת פרטית (מקומית) ‪LAN‬‬
‫רשת ארגונית מקומית הפועלת בשטח גיאוגרפי מצומצם‪ ,‬בדרך כלל רשתות מהירות יותר‬
‫(בעבר יתרון משמעותי)‪ ,‬בדרך כלל בבעלות ארגון אחד‪ ,‬חברה‪ .‬מורכבת מחיבור של מחשבים‬
‫ומציוד היקפי המשדרים זה לזה בפרוטוקול שנקבע מראש‪ .‬קיימות מספר סוגי טופולוגיות‬
‫רשת בסיסיות‪ :‬אפיק – ‪ ,BUS‬טבעת – ‪ ,RING‬כוכב ‪( STAR -‬לא נדרש להרחיב על‬
‫הטופולוגיות)‪.‬‬
‫בעקבות התפתחות האינטרנט החברות משתמשות בטכנולוגיית האינטרנט על מנת להקים‬
‫רשתות פרטיות‪ ,‬ניתן לסווג רשות פנימיות מבוססות טכנולוגיית אינטרנט לשני סוגים‪:‬‬
‫•‬
‫רשתות אינטראנט – השימוש הוא בתוך הארגון‬
‫•‬
‫רשתות אקסטראנט – מקשרות את הארגון לשותפיו העסקיים‬
‫שאלה מספר ‪ 01( 0‬נקודות)‬
‫חברת "איזיביי" היא חברת השקעות בעלת אתר אינטרנט למסחר אלקטרוני‪ ,‬באמצעות האתר‬
‫של החברה לקוחותיה יכולים לנהל תיק השקעות הכולל פעולות של קנייה ומכירה של מניות‪,‬‬
‫קניה וכתיבה של אופציות‪ ,‬רכישת אג"חים וניירות ערך אחרים‪ .‬המערכת שבאמצעותה החברה‬
‫מנהלת את תיק לקוחותיה מאפשרת להפיק סטטוס תיק ההשקעות בכל רגע נתון‪.‬‬
‫א‪.‬‬
‫הסבר מהי מערכת לעיבוד תנועות (‪ )TPS‬ומאפייניה‪ ,‬ציין מהן צורות של עיבוד נתונים‬
‫והבדלן‪)10%( .‬‬
‫ב‪.‬‬
‫הסבר איזה סוג של עיבוד נתונים מתאים לחברת "איזיביי"‪)5%( .‬‬
‫ג‪.‬‬
‫הסבר את הסיכונים הקיימים לחברה העושה שימוש בסחר אלקטרוני באינטרנט (‪)5%‬‬
‫ד‪.‬‬
‫פרט ‪ 5‬אמצעי אבטחה למזעור הסיכון (‪)10%‬‬
‫שאלה מספר ‪ 0‬פתרון‬
‫א‪.‬‬
‫מערכת לעיבוד תנועות (‪ )TPS‬היא מערכת מידע המעבדת וקולטת את הטרנזקציות‬
‫השגרתיות‪ .‬המערכת משרתת את הדרג התפעולי של הארגון‪ .‬דוגמאות למערכת ‪ TPS‬הינן‬
‫מערכות לניהול השכר‪ ,‬רכש‪ ,‬מכירות‪ ,‬הנה"ח‪ .‬הנתונים המעובדים במערכת ‪ TPS‬מזינים‬
‫את המערכות הניהוליות‪.‬‬
‫הצורות לעיבוד הנתונים הן‪:‬‬
‫‪ .1‬עיבוד נתונים באצווה (‪ – )Batch‬העיבוד נעשה עבור קבוצת תנועות או עיבוד של‬
‫תנועות במנות‪ .‬השימוש בעיבוד אצווה נעשה כאשר אין צורך בעדכון הקבצים‬
‫מיד לאחר רישום התנועה‪( .‬דוגמה – הפקת תלוש משכורת לעובד)‪ ,‬היתרון של‬
‫העיבוד זה בכך שהוא זול וחסכוני יותר מהעיבוד המקוון ומעמיס פחות על שרתי‬
‫הארגון (מערך המחשוב)‪.‬‬
‫‪6‬‬
‫אוניברסיטת בר – אילן‬
‫יסודות מערכות מידע (מ"מ)‬
‫סמסטר ב' – מועד א' – ‪61.1..0161‬‬
‫ענת ארביב‪ ,‬רו"ח‪ ,‬רדה שרין‬
‫עיבוד זה כולל מספר שלבים‪:‬‬
‫•‬
‫איסוף ותיעוד‬
‫•‬
‫קליטה ואימות‬
‫•‬
‫בדיקות סבירות‬
‫•‬
‫עיבוד הקבצים ועדכונם‬
‫•‬
‫דיווח‬
‫על הנבחן נדרש לפרט בקצרה מה כולל כל שלב‪.‬‬
‫‪ .2‬עיבוד נתונים מקוון (‪ - )On Line‬עיבוד הנתונים נעשה באופן מיידי עם קליטתם‬
‫(ביצוע כל השלבים שהוזכרו לעיל מיידית) יתרונות עיבוד זה‪ :‬עיבוד רציף‪ ,‬איתור‬
‫טעויות מהיר‪ ,‬תיקון נתונים מהיר‪ ,‬קבצי האב מעודכנים‪ .‬החסרונות‪ :‬עלות מול‬
‫תועלת‪ ,‬עומס על השרתים‪.‬‬
‫ב‪.‬‬
‫מכיוון שנתון בתיאור החברה כי המערכת שבאמצעותה החברה מנהלת את תיק‬
‫לקוחותיה מאפשרת להפיק סטטוס תיק ההשקעות בכל רגע נתון‪ ,‬הרי שמדובר במערכת‬
‫המעבדת את התנועות באופן מקוון (‪.)On Line‬‬
‫ג‪.‬‬
‫להלן הסיכונים הגלומים ברשת הציבורית ‪ -‬אינטרנט‪:‬‬
‫•‬
‫פגיעה במהימנות העסקאות‪ ,‬היעדר נתיבי ביקורת‪.‬‬
‫•‬
‫סיכוני אבטחה של סחר אלקטרוני‪ ,‬לרבות ווירוסים‪ ,‬תרמיות‪.‬‬
‫•‬
‫גישה בלתי מורשית ע"י האקרים‪ ,‬התחזות ללקוחות‪.‬‬
‫•‬
‫התכחשות העסקה‪.‬‬
‫•‬
‫נפילת אתר האינטרנט ומניעה מביצוע עסקאות‪.‬‬
‫ניתן להוסיף ‪ -‬תקן ביקורת ‪" 95‬הנחיות ליישום תקני ביקורת בסביבה של סחר‬
‫אלקטרוני – ‪ "e-commerce‬קובע (ס' ‪ )4‬כי "השימוש ברשת הציבורית יוצר סיכונים‬
‫מיוחדים שעל הגוף המבוקר להתמודד עימם‪ .‬גידול הפעילות באינטרנט ללא תשומת לב‬
‫מצד הגוף המבוקר לסיכונים אלה‪ ,‬עלול להשפיע על אומדן הסיכונים על ידי המבקר‪".‬‬
‫ד‪.‬‬
‫אמצעי האבטחה למזעור הסיכונים שצוינו‪:‬‬
‫(יש לציין אמצעי אבטחה הקשורים לסיכונים שצוינו בסעיף קודם)‬
‫‪ .1‬אימות זהות הלקוחות וספקים על ידי שימוש בשיטות הצפנה והחתימה‬
‫האלקטרונית‪.‬‬
‫‪7‬‬
‫אוניברסיטת בר – אילן‬
‫יסודות מערכות מידע (מ"מ)‬
‫סמסטר ב' – מועד א' – ‪61.1..0161‬‬
‫ענת ארביב‪ ,‬רו"ח‪ ,‬רדה שרין‬
‫‪ .2‬הבטחת מהימנות של עסקאות על ידי אמצעים לאבטחת התקשורת קרי הגנה על‬
‫מידע ונתונים העוברים בערוצי התקשורת השונים מפני זליגת נתונים‪ ,‬שיבושם או‬
‫זיופם‪.‬‬
‫‪ .3‬הטמעת תוכנות שתפקידן להגן מפני וירוסים‪ .‬קיימות תוכנות המספקות‪ :‬מניעה –‬
‫עוקבות אחר פעילות מערכת ומתריעות בני ניסיונות הדבקה‪ ,‬אבחון – סורקות את‬
‫הקבצים של המערכת ובוחנות פעילות חשודה בקבצים אלו ואחזור – חיטוי‪ ,‬תיקון‬
‫הקבצים שנדבקו‪.‬‬
‫‪ .4‬הטמעת ואכיפת מדיניות של אבטחת מידע‪ ,‬הגנת על פרטי הלקוחות והספקים‬
‫ומידע רגיש‪.‬‬
‫‪ .5‬שימוש בחומת אש ‪ FW‬החוצץ בין רשת האינטרנט לבין הרשת הארגונית‪.‬‬
‫‪ .6‬שימוש באזור מפורז – ‪ DMZ‬רכיב נוסף להגנת הרשת הארגונית‪.‬‬
‫שאלה מספר ‪ 01( 4‬נקודות)‬
‫חברת דפנה בע"מ הינה חברה לשיווק נעליים ללקוחות פרטיים ולרשתות שיווק לחברה מערכת‬
‫‪ ERP‬הכוללת בין היתר את מודול מלאי מודול מכירות ומודול פיננסי‪ ,‬בבדיקה שבוצעה למערכת‬
‫ע" י רואי החשבון של החברה נמצא כי קיימים שגיאות רבות בנתוני המכירות והמלאי של החברה‬
‫וכי המערכת מאפשרת הקלדה של נתונים שגויים‪ ,‬רואה החשבון של החברה טען כי חסרות‬
‫במערכת בקרות אפליקטיביות אשר היו יכולות למנוע את הטעיות הנ"ל‬
‫א‪.‬‬
‫הסבר מהי בקרה אפליקטיבית‪ ,‬אלו סוגים של בקרה אפליקטיבית קיימים ותן שתי‬
‫דוגמאות לכל סוג‪)10%( .‬‬
‫ב‪.‬‬
‫הסבר מהי בקרה כללית ופרט בהרחבה ‪ 5‬דוגמאות לבקרות כלליות‪)10%( .‬‬
‫שאלה מספר ‪ 4‬פתרון‬
‫א‪ .‬בקרה אפליקטיבית (נקראת גם בקרת יישום) הינה בקרה שקשורה ליישום‬
‫מסוים‪/‬לתהליך עסקי מסוים כגון תהליך רכש או מכירות‪.‬‬
‫ת"ב ‪ 93‬מגדיר – תהליכים ידניים או ממוכנים המופעלים בד"כ ברמה של תהליך עסקי‪.‬‬
‫בקרות יישום עשויות להיות בקרות מונעות או חושפות המיועדות לוודא את מהימנות‬
‫הרישומים החשבונאיים‪ .‬בהתאם לכך בקרות יישום קשורות לתהליכי הייזום‪ ,‬הרישום‪,‬‬
‫העיבוד והדיווח של עסקאות או מידע כספי אחר‪ .‬בקרות אלו מסייעות להבטיח‬
‫שהעסקאות שבוצעו הינן מאושרות ונרשמו ועובדו באופן מלא ובמדויק‪.‬‬
‫סוגים של בקרות אפליקטיביות‪:‬‬
‫‪8‬‬
‫אוניברסיטת בר – אילן‬
‫יסודות מערכות מידע (מ"מ)‬
‫סמסטר ב' – מועד א' – ‪61.1..0161‬‬
‫ענת ארביב‪ ,‬רו"ח‪ ,‬רדה שרין‬
‫סיווג לפי עיתוי הבקרה בתהליך‬
‫‪‬‬
‫בקרת קלט – בקרות בתהליך הקלדת‪/‬קליטת הנתונים לדוגמא ‪ :‬שדות חובה ‪,‬‬
‫שדות עם מאפיינים מסוימים (אלפא נומרי‪ ,‬שדה במבנה תאריך)‪ ,‬תיבת קומבו‪,‬‬
‫בקרה שתאריך סיום לא יכול להיות קודם לתאריך התחלה‪.‬‬
‫‪‬‬
‫בקרת עיבוד – בקרות בשלב עיבוד הנתונים בקרות שמבטיחות שהנתונים‬
‫עוברים באופן שלם ומדויק בתהליכי העיבוד השונים לדוגמא‪ :‬בקרת ‪hash total‬‬
‫‪ ,‬בקרת איזון שבודקת שפקודות היומן מאוזנות ואם לא העיבוד נפסק‪.‬‬
‫‪‬‬
‫בקרת פלט – בקרות שנועדו להבטיח שהמידע מופק באופן שלם ומדויק ומגיע‬
‫לגורמים מורשים בלבד‪ .‬לדוגמא‪ :‬הזנת קוד או הצגת כרטיס עובד בעת הדפסה‪,‬‬
‫הצגת תלוש שכר או דו"ח סודי רק לאחר הזנת סיסמה‪.‬‬
‫סיווג לפי מטרת הבקרה‬
‫‪‬‬
‫בקרה מונעת – בקרה אשר מונעת פעולה שגויה לפני שהפעולה התרחשה לדוגמא‬
‫כל בקרות הקלט‪ ,‬לא ניתן להזין עסקה ללא השלמת כל שדות החובה‬
‫‪‬‬
‫בקרת מגלה – בקרה אשר מגלה פעולה לא רצויה‪/‬נתון שגוי לאחר ביצוע הפעולה‪,‬‬
‫לדוגמא דו"ח שגויים‪ ,‬התראה על שגיאה לפני אישור הפעולה ללא חסימת המשך‬
‫הפעולה‪.‬‬
‫‪‬‬
‫בקרה מתקנת – בקרה אשר מגלה פעולה שגויה או נתון שגוי ומתקנת אותה‪,‬‬
‫לדוגמא התאוששות ממוכנת של נפילת מערכת‪ ,‬תיקון ספרת ביקורת של ת‪.‬ז‬
‫‪‬‬
‫בקרה מפצה – בקרה אשר מפצה על חוסר בבקרה בשלב מוקדם יותר בתהליך‪,‬‬
‫לדוגמא דו"ח שגויים בתהליך בו חסרות בקרות קלט‪.‬‬
‫** ניתן היה לשלב דוגמא אחת אשר תשלב את סוגי הבקרות השונים‪.‬‬
‫ב‪ .‬בקרות כלליות בסביבת מערכות המידע הינן מדיניות ונהלים הקשורים למספר יישומים‬
‫של הארגון ואינן שייכות לתהליך ספציפי‪ ,‬בניגוד לבקרות אפליקטיביות אשר משויכות‬
‫לתהליך עסקי ספציפי‪.‬‬
‫לדוגמא‪ :‬מדיניות אבטחת מידע‪ ,‬גיבויים‪ ,‬הרשאות גישה‪ ,‬ניהול סיסמאות‪ ,‬הפרדת‬
‫תפקידים‪ ,‬תוכנית לשעת חירום‪ ,‬ניהול תקלות‪ ,‬נהלים לסביבת מערכות המידע‪ ,‬הפרדת‬
‫סביבות פיתוח וייצור וכו'‪.‬‬
‫זהו זה ‪ .......‬נגמר !!!!‬
‫‪9‬‬