CISA認(rèn)證是由信息系統(tǒng)審計(jì)與控制協(xié)會(ISACA)頒發(fā)的,針對信息系統(tǒng)審計(jì)、控制與安全領(lǐng)域的專業(yè)認(rèn)證。它表明持證人在評估和審計(jì)信息系統(tǒng)的安全性、可靠性和有效性方面具備專業(yè)知識和技能。CISA 認(rèn)證在信息技術(shù)和審計(jì)領(lǐng)域具有較高的認(rèn)可度。
中文名 CISA信息系統(tǒng)審計(jì)師認(rèn)證英文名 Certified Information Systems Auditor英文簡稱 CISA頒證機(jī)構(gòu) ISACA(國際信息系統(tǒng)審計(jì)與控制協(xié)會)證書類別 IT審計(jì),IT運(yùn)維,信息安全同類認(rèn)證 CISM 、CRISC >>>重要!CISA新版教材于2024年5月1日更新,到底發(fā)生了哪些變化?<<<
《CISA Review Manual(CISA考試復(fù)習(xí)手冊)》CISA官方教材選用ISACA官方出版的《CISA Review Manual》,中文名稱是《CISA考試復(fù)習(xí)手冊》。教材每年更新,目前_新版是第27版。《CISA考試復(fù)習(xí)手冊》是CISA認(rèn)證考試的基礎(chǔ)。
隨著計(jì)算機(jī)技術(shù)在管理中的廣泛運(yùn)用,傳統(tǒng)的管理、控制、檢查和審計(jì)技術(shù)都面臨著巨大的挑戰(zhàn)。在網(wǎng)絡(luò)經(jīng)濟(jì)迅猛發(fā)展的今天,IT審計(jì)師已被公認(rèn)為全世界范圍內(nèi)非常搶手的高級人才。享譽(yù)全球的ISACA(國際信息系統(tǒng)審計(jì)協(xié)會)為全球?qū)I(yè)人員提供知識、職業(yè)認(rèn)證并打造社群網(wǎng)絡(luò),其推出的CISA(注冊信息系統(tǒng)審計(jì)師,Certified Information Systems Auditor)認(rèn)證在全球受到廣泛認(rèn)可,并已進(jìn)入中國。本書是ISACA官方出版的獲得CISA認(rèn)證的指定教材。
另外推薦同樣是ISACA官方出版的《CISA復(fù)習(xí)考題及解答手冊》,目前_新版是第12版。 《CISA 復(fù)習(xí)考題及解答手冊》中包括1000道選擇題及解答,是根據(jù)新修訂的CISA工作實(shí)務(wù)領(lǐng)域編排的。這些題目及解答旨在向CISA考生介紹可能在CISA考試中出現(xiàn)的題目類型。這些題目并不是考試中的真實(shí)題目?!禖ISA復(fù)習(xí)考題及解答手冊》還包含一份150道題目的考試樣卷,每個(gè)CISA工作實(shí)務(wù)領(lǐng)域相關(guān)的題目所占的比例與實(shí)際考試相同。
CISA考試復(fù)習(xí)手冊目錄結(jié)構(gòu)《CISA Review Manual》原書為英文,也有中文版《CISA考試復(fù)習(xí)手冊》出版,其目錄供參考,如下:
《CISA考試復(fù)習(xí)手冊(第27版)》目錄致謝 新增CISA工作實(shí)務(wù) 關(guān)于本手冊 概述 本手冊的編排 準(zhǔn)備CISA考試 開始準(zhǔn)備 使用《CISA考試復(fù)習(xí)手冊》 手冊特征 將《CISA考試復(fù)習(xí)手冊》與其他ISACA資源結(jié)合使用 關(guān)于CISA復(fù)習(xí)考題及解答產(chǎn)品 第1章:信息系統(tǒng)的審計(jì)流程 概述 領(lǐng)域1考試內(nèi)容大綱 學(xué)習(xí)目標(biāo)/任務(wù)說明 深造學(xué)習(xí)參考資料 自我評估問題 自我評估問題解答 第A部分:規(guī)劃 1.0 簡介 1.1 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、準(zhǔn)則和道德規(guī)范 1.1.1 ISACA信息系統(tǒng)審計(jì)和鑒證標(biāo)準(zhǔn) 1.1.2 ISACA信息系統(tǒng)審計(jì)和鑒證準(zhǔn)則 1.1.3 ISACA職業(yè)道德規(guī)范 1.1.4 ITAF 1.2 業(yè)務(wù)流程 1.2.1 信息系統(tǒng)內(nèi)部審計(jì)職能 審計(jì)章程 1.2.2 信息系統(tǒng)審計(jì)職能的管理 信息系統(tǒng)審計(jì)資源的管理 1.2.3 審計(jì)規(guī)劃 單項(xiàng)審計(jì)任務(wù) 1.2.4 法律法規(guī)對信息系統(tǒng)審計(jì)規(guī)劃的影響 1.2.5 業(yè)務(wù)流程應(yīng)用程序和控制 電子商務(wù) 電子數(shù)據(jù)交換 電子郵件 銷售終端系統(tǒng) 電子銀行 電子資金轉(zhuǎn)賬 自動提款機(jī) 電子金融 集成制造系統(tǒng) 交互式語音響應(yīng) 采購會計(jì)系統(tǒng) 圖像處理 工業(yè)控制系統(tǒng) 人工智能和專家系統(tǒng) 供應(yīng)鏈管理 客戶關(guān)系管理 1.2.6 使用其他審計(jì)師和專家的服務(wù) 1.3 控制類型 1.3.1 控制目標(biāo)和控制措施 信息系統(tǒng)控制目標(biāo) 1.3.2 控制環(huán)境評估 1.3.3 常規(guī)控制 1.3.4 信息系統(tǒng)特有的控制 1.4 基于風(fēng)險(xiǎn)的審計(jì)規(guī)劃 1.4.1 審計(jì)風(fēng)險(xiǎn)和重要性 1.4.2 風(fēng)險(xiǎn)評估 1.4.3 信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)評估技術(shù) 1.4.4 風(fēng)險(xiǎn)分析 1.5 審計(jì)類型和評估 第B部分:執(zhí)行 1.6 審計(jì)項(xiàng)目管理 1.6.1 審計(jì)目標(biāo) 1.6.2 審計(jì)階段 1.6.3 審計(jì)程序 制定審計(jì)程序所需的基礎(chǔ)技能 1.6.4 審計(jì)工作底稿 1.6.5 欺詐、違規(guī)和非法行為 1.7 抽樣方法論 1.7.1 符合性與實(shí)質(zhì)性測試 1.7.2 抽樣 抽樣風(fēng)險(xiǎn) 1.8 審計(jì)證據(jù)收集技巧 1.8.1 訪問和觀察員工以了解其職責(zé)履行情況 1.9 數(shù)據(jù)分析 1.9.1 計(jì)算機(jī)輔助審計(jì)技術(shù) 作為持續(xù)在線審計(jì)方法的CAAT 1.9.2 持續(xù)審計(jì)和監(jiān)控 1.9.3 持續(xù)審計(jì)技術(shù) 1.10 報(bào)告和溝通技巧 1.10.1 溝通審計(jì)結(jié)果 1.10.2 審計(jì)報(bào)告目標(biāo) 1.10.3 審計(jì)報(bào)告的結(jié)構(gòu)與內(nèi)容 1.10.4 審計(jì)記錄 1.10.5 后續(xù)活動 1.10.6 信息系統(tǒng)審計(jì)報(bào)告的類型 1.11 質(zhì)量_和審計(jì)流程改進(jìn) 1.11.1 控制自我評估 CSA的目標(biāo) CSA的優(yōu)勢 CSA的劣勢 信息系統(tǒng)審計(jì)師在CSA中的角色 1.11.2 整合審計(jì) 案例研究 案例研究相關(guān)問題的答案 第2章:IT治理與管理 概述 領(lǐng)域2考試內(nèi)容大綱 學(xué)習(xí)目標(biāo)/任務(wù)說明 深造學(xué)習(xí)參考資料 自我評估問題 自我評估問題解答 第A部分:IT治理 2.0 簡介 2.1 IT治理和IT戰(zhàn)略 2.1.1 企業(yè)信息和技術(shù)治理 2.1.2 EGIT的良好實(shí)踐 2.1.3 EGIT中的審計(jì)角色 2.1.4 信息安全治理 有效的信息安全治理 2.1.5 信息系統(tǒng)戰(zhàn)略 2.1.6 戰(zhàn)略規(guī)劃 2.1.7 商業(yè)智能 數(shù)據(jù)治理 2.2 IT相關(guān)框架 2.3 IT標(biāo)準(zhǔn)、政策、程序和準(zhǔn)則 2.3.1 標(biāo)準(zhǔn) 2.3.2 政策 信息安全政策 審查信息安全政策 2.3.3 程序 2.3.4 準(zhǔn)則 2.4 組織結(jié)構(gòu) 2.4.1 IT治理委員會 2.4.2 高級管理層和董事會的角色和職責(zé) 董事會 高級管理層 信息安全標(biāo)準(zhǔn)委員會 首席信息安全官 IT指導(dǎo)委員會 結(jié)果和職責(zé)矩陣 2.4.3 IT組織結(jié)構(gòu)和職責(zé) IT角色和職責(zé) 2.4.4 IT內(nèi)部的職責(zé)分離 職責(zé)分離控制 2.4.5 審計(jì)IT治理結(jié)構(gòu)與實(shí)施 審查文檔 2.5 企業(yè)架構(gòu) 2.6 企業(yè)風(fēng)險(xiǎn)管理 2.6.1 制訂風(fēng)險(xiǎn)管理方案 2.6.2 風(fēng)險(xiǎn)管理流程 第1步:資產(chǎn)識別 第2步:資產(chǎn)面臨的威脅和漏洞評估 第3步:影響評估 第4步:風(fēng)險(xiǎn)計(jì)算 第5步:風(fēng)險(xiǎn)評估和響應(yīng) 2.6.3 風(fēng)險(xiǎn)分析方法 定性分析方法 半定量分析方法 定量分析方法 2.7 成熟度模型 2.7.1 能力成熟度模型集成 2.7.2 初始化、診斷、建立、行動和學(xué)習(xí)模型 2.8 影響組織的法律、法規(guī)和行業(yè)標(biāo)準(zhǔn) 2.8.1 治理、風(fēng)險(xiǎn)與合規(guī)性 2.8.2 法律、法規(guī)和行業(yè)標(biāo)準(zhǔn)對信息系統(tǒng)審計(jì)的影響 第B部分:IT管理層 2.9 IT資源管理 2.9.1 IT的價(jià)值 2.9.2 實(shí)施IT組合管理 IT組合管理與平衡計(jì)分卡 2.9.3 IT管理實(shí)務(wù) 2.9.4 人力資源管理 雇用 員工手冊 晉升政策 培訓(xùn) 日程計(jì)劃安排和時(shí)間報(bào)告 雇用期間 員工績效評估 必休假期 離職政策 2.9.5 組織變更管理 2.9.6 財(cái)務(wù)管理實(shí)務(wù) 信息系統(tǒng)預(yù)算 軟件開發(fā) 2.9.7 信息安全管理 2.10 IT服務(wù)提供商購置和管理 2.10.1 外包實(shí)務(wù)與戰(zhàn)略 行業(yè)標(biāo)準(zhǔn)/基準(zhǔn)檢測 全球化實(shí)務(wù)與策略 2.10.2 外包和第三方審計(jì)報(bào)告 2.10.3 云治理 2.10.4 外包中的治理 2.10.5 容量和發(fā)展規(guī)劃 2.10.6 第三方服務(wù)交付管理 2.10.7 第三方服務(wù)的監(jiān)控和審查 2.10.8 管理第三方服務(wù)變更 服務(wù)改善和用戶滿意度 2.11 IT性能監(jiān)控和報(bào)告 2.11.1 績效優(yōu)化 關(guān)鍵成功因素 方法和工具 2.11.2 工具和技術(shù) 2.12 IT質(zhì)量_和質(zhì)量管理 2.12.1 質(zhì)量_ 2.12.2 質(zhì)量管理 案例研究 案例研究相關(guān)問題的答案 第3章:信息系統(tǒng)的購置、開發(fā)與實(shí)施 概述 領(lǐng)域3考試內(nèi)容大綱 學(xué)習(xí)目標(biāo)/任務(wù)說明 深造學(xué)習(xí)參考資料 自我評估問題 自我評估問題解答 第A部分:信息系統(tǒng)的購置與開發(fā) 3.0 簡介 3.1 項(xiàng)目治理和管理 3.1.1 項(xiàng)目管理實(shí)務(wù) 3.1.2 項(xiàng)目管理結(jié)構(gòu) 3.1.3 項(xiàng)目管理角色和職責(zé) 3.1.4 項(xiàng)目管理技術(shù) 3.1.5 組合/項(xiàng)目群管理 3.1.6 項(xiàng)目管理辦公室 項(xiàng)目組合數(shù)據(jù)庫 3.1.7 項(xiàng)目效益實(shí)現(xiàn) 3.1.8 項(xiàng)目啟動 3.1.9 項(xiàng)目目標(biāo) 3.1.10 項(xiàng)目規(guī)劃 信息系統(tǒng)開發(fā)項(xiàng)目成本估算 軟件規(guī)模估算 功能點(diǎn)分析 成本預(yù)算 軟件成本估算 日程計(jì)劃安排和確定時(shí)間范圍 3.1.11 項(xiàng)目執(zhí)行 3.1.12 項(xiàng)目控制和監(jiān)控 范圍變更管理 資源使用管理 3.1.13 項(xiàng)目完工 3.1.14 信息系統(tǒng)審計(jì)師在項(xiàng)目管理中的角色 3.2 業(yè)務(wù)案例和可行性分析 3.2.1 信息系統(tǒng)審計(jì)師在業(yè)務(wù)案例開發(fā)中的角色 3.3 系統(tǒng)開發(fā)方法 3.3.1 業(yè)務(wù)應(yīng)用程序開發(fā) 3.3.2 SDLC模型 3.3.3 SDLC階段 階段1:可行性分析 階段2:要求定義 階段3A:軟件選擇與購置 階段3B:設(shè)計(jì) 階段4A:配置 階段4B:開發(fā) 階段5:_終測試與實(shí)施 階段6:實(shí)施后審查 3.3.4 信息系統(tǒng)審計(jì)師在SDLC項(xiàng)目管理中的角色 3.3.5 軟件開發(fā)方法 原型設(shè)計(jì)——進(jìn)化式開發(fā) 快速應(yīng)用開發(fā) 敏捷開發(fā) 面向?qū)ο蟮南到y(tǒng)開發(fā) 基于組件的開發(fā) 軟件再造 逆向工程 DevOps 業(yè)務(wù)流程再造和流程變更 3.3.6 系統(tǒng)開發(fā)工具和生產(chǎn)力輔助手段 計(jì)算機(jī)輔助軟件工程 代碼生成器 第四代語言 3.3.7 基礎(chǔ)架構(gòu)開發(fā)/購置實(shí)踐 物理架構(gòu)分析的各個(gè)項(xiàng)目階段 規(guī)劃基礎(chǔ)設(shè)施的實(shí)施 3.3.8 硬件/軟件購置 購置步驟 信息系統(tǒng)審計(jì)師在硬件購置中的角色 3.3.9 系統(tǒng)軟件購置 整合資源管理系統(tǒng) 信息系統(tǒng)審計(jì)師在軟件購置中的角色 3.4 控制識別和設(shè)計(jì) 3.4.1 輸入/來源控制 輸入授權(quán) 批量控制和核對 錯(cuò)誤報(bào)告和處理 3.4.2 處理程序和控制 數(shù)據(jù)驗(yàn)證和編輯程序 處理控制 數(shù)據(jù)文件控制程序 3.4.3 輸出控制 3.4.4 應(yīng)用控制 信息系統(tǒng)審計(jì)師在審查應(yīng)用控制中的角色 3.4.5 用戶程序 3.4.6 決策支持系統(tǒng) 設(shè)計(jì)與開發(fā) 實(shí)施和使用 風(fēng)險(xiǎn)因素 實(shí)施戰(zhàn)略 評估與評價(jià) DSS共同特征 第B部分:信息系統(tǒng)實(shí)施 3.5 測試方法 3.5.1 測試分類 其他測試類型 3.5.2 軟件測試 3.5.3 數(shù)據(jù)完整性測試 在線交易處理系統(tǒng)的數(shù)據(jù)完整性 3.5.4 應(yīng)用程序系統(tǒng)測試 自動化應(yīng)用程序測試 3.5.5 信息系統(tǒng)審計(jì)師在信息系統(tǒng)測試中的角色 3.6 配置和發(fā)布管理 3.7 系統(tǒng)遷移、基礎(chǔ)設(shè)施部署和數(shù)據(jù)轉(zhuǎn)換 3.7.1 數(shù)據(jù)遷移 完善遷移方案 回退(回滾)方案 3.7.2 轉(zhuǎn)換(上線或切換)技術(shù) 并行轉(zhuǎn)換 分階段轉(zhuǎn)換 一次性轉(zhuǎn)換 3.7.3 系統(tǒng)實(shí)施 實(shí)施計(jì)劃 3.7.4 系統(tǒng)變更程序和程序遷移流程 關(guān)鍵成功因素 _終用戶培訓(xùn) 3.7.5 系統(tǒng)軟件實(shí)施 3.7.6 認(rèn)證/鑒定 3.8 實(shí)施后審查 3.8.1 信息系統(tǒng)審計(jì)師在實(shí)施后審查中的角色 案例研究 案例研究相關(guān)問題的答案 第4章:信息系統(tǒng)的運(yùn)營和業(yè)務(wù)恢復(fù)能力 概述 領(lǐng)域4考試內(nèi)容大綱 學(xué)習(xí)目標(biāo)/任務(wù)說明 深造學(xué)習(xí)參考資料 自我評估問題 自我評估問題解答 第A部分:信息系統(tǒng)運(yùn)營 4.0 簡介 4.1 常用技術(shù)組件 4.1.1 計(jì)算機(jī)硬件組件和架構(gòu) 處理組件 輸入/輸出組件 計(jì)算機(jī)類型 4.1.2 常用的企業(yè)后端設(shè)備 4.1.3 通用串行總線 與USB相關(guān)的風(fēng)險(xiǎn) 與USB相關(guān)的安全控制 4.1.4 射頻識別 RFID的應(yīng)用 RFID的相關(guān)風(fēng)險(xiǎn) RFID的安全控制 4.1.5 硬件維護(hù)程序 硬件監(jiān)控程序 4.1.6 硬件審查 4.2 IT資產(chǎn)管理 4.3 作業(yè)調(diào)度和生產(chǎn)流程自動化 4.3.1 作業(yè)調(diào)度軟件 4.3.2 日程計(jì)劃安排審查 4.4 系統(tǒng)接口 4.4.1 與系統(tǒng)接口相關(guān)的風(fēng)險(xiǎn) 4.4.2 系統(tǒng)接口中的安全問題 4.5 _終用戶計(jì)算 4.6 數(shù)據(jù)治理 4.6.1 數(shù)據(jù)管理 數(shù)據(jù)質(zhì)量 數(shù)據(jù)生命周期 4.7 系統(tǒng)性能管理 4.7.1 信息系統(tǒng)架構(gòu)和軟件 4.7.2 操作系統(tǒng) 軟件控制功能或參數(shù) 軟件完整性問題 活動日志和報(bào)告選項(xiàng) 操作系統(tǒng)審查 4.7.3 訪問控制軟件 4.7.4 數(shù)據(jù)通信軟件 4.7.5 實(shí)用程序 4.7.6 軟件許可問題 4.7.7 源代碼管理 4.7.8 容量管理 4.8 問題和事故管理 4.8.1 數(shù)據(jù)管理 4.8.2 事故處理過程 4.8.3 異常情況的檢測、記錄、控制、解決和報(bào)告 4.8.4 技術(shù)支持/客戶服務(wù)部門 4.8.5 網(wǎng)絡(luò)管理工具 4.8.6 問題管理報(bào)告審查 4.9 變更、配置、發(fā)布和修補(bǔ)程序管理 4.9.1 修補(bǔ)程序管理 4.9.2 發(fā)布管理 4.9.3 信息系統(tǒng)運(yùn)營 信息系統(tǒng)運(yùn)營審查 4.10 IT服務(wù)水平管理 4.10.1 服務(wù)水平協(xié)議 4.10.2 服務(wù)水平監(jiān)控 4.10.3 服務(wù)水平與企業(yè)架構(gòu) 4.11 數(shù)據(jù)庫管理 4.11.1 DBMS架構(gòu) 詳細(xì)DBMS元數(shù)據(jù)架構(gòu) 數(shù)據(jù)字典/目錄系統(tǒng) 4.11.2 數(shù)據(jù)庫結(jié)構(gòu) 4.11.3 數(shù)據(jù)庫控制 4.11.4 數(shù)據(jù)庫審查 第B部分:業(yè)務(wù)恢復(fù)能力 4.12 業(yè)務(wù)影響分析 4.12.1 運(yùn)營和關(guān)鍵性分析分類 4.13 系統(tǒng)恢復(fù)能力 4.13.1 應(yīng)用程序恢復(fù)能力和災(zāi)難恢復(fù)方法 4.13.2 電信網(wǎng)恢復(fù)能力和災(zāi)難恢復(fù)方法 4.14 數(shù)據(jù)備份、存儲和恢復(fù) 4.14.1 數(shù)據(jù)存儲恢復(fù)能力和災(zāi)難恢復(fù)方法 4.14.2 備份與恢復(fù) 異地庫控制 異地設(shè)施的安全和控制 介質(zhì)和文檔備份 備份設(shè)備和介質(zhì)的類型 定期備份程序 輪換頻率 輪換的介質(zhì)和文檔類型 4.14.3 備份方案 完全備份 增量備份 差異備份 輪換方法 異地儲存的記錄保存 4.15 業(yè)務(wù)連續(xù)性計(jì)劃 4.15.1 IT業(yè)務(wù)連續(xù)性計(jì)劃 4.15.2 災(zāi)難和其他破壞性事件 流行病計(jì)劃 應(yīng)對形象、聲譽(yù)或品牌的損害 出乎意料/無法預(yù)測的事件 4.15.3 業(yè)務(wù)連續(xù)性計(jì)劃流程 4.15.4 業(yè)務(wù)連續(xù)性政策 4.15.5 業(yè)務(wù)連續(xù)性計(jì)劃事故管理 4.15.6 制訂業(yè)務(wù)連續(xù)性計(jì)劃 4.15.7 計(jì)劃制訂過程中的其他問題 4.15.8 業(yè)務(wù)連續(xù)性計(jì)劃的構(gòu)成要素 關(guān)鍵決策人員 所需用品的備份 保險(xiǎn) 4.15.9 計(jì)劃測試 規(guī)范 測試執(zhí)行 結(jié)果記錄 結(jié)果分析 計(jì)劃維護(hù) 業(yè)務(wù)連續(xù)性管理良好實(shí)踐 4.15.10 業(yè)務(wù)連續(xù)性匯總 4.15.11 審計(jì)業(yè)務(wù)連續(xù)性 審查業(yè)務(wù)連續(xù)性計(jì)劃 對以前測試結(jié)果的評估 對異地存儲的評估 對非異地設(shè)施安全性的評估 與關(guān)鍵人員面談 審查備用處理設(shè)備合同 審查承保范圍 4.16 災(zāi)難恢復(fù)計(jì)劃 4.16.1 恢復(fù)點(diǎn)目標(biāo)和恢復(fù)時(shí)間目標(biāo) 4.16.2 恢復(fù)策略 4.16.3 恢復(fù)備選方案 合同條款 采購備用硬件 4.16.4 災(zāi)難恢復(fù)計(jì)劃的制訂 IT DRP內(nèi)容 IT DRP情景 恢復(fù)程序 組織和職責(zé)分配 4.16.5 災(zāi)難恢復(fù)測試方法 測試的類型 測試 測試結(jié)果 4.16.6 調(diào)用災(zāi)難恢復(fù)計(jì)劃 案例研究 案例研究相關(guān)問題的答案 第5章:保護(hù)信息資產(chǎn) 概述 領(lǐng)域5考試內(nèi)容大綱 學(xué)習(xí)目標(biāo)/任務(wù)說明 深造學(xué)習(xí)參考資料 自我評估問題 自我評估問題解答 第A部分:信息資產(chǎn)安全和控制 5.0 簡介 5.1 信息資產(chǎn)安全框架、標(biāo)準(zhǔn)和準(zhǔn)則 5.1.1 審計(jì)信息安全管理框架 審查書面政策、程序和標(biāo)準(zhǔn) 正式的安全意識培養(yǎng)和培訓(xùn) 數(shù)據(jù)所有權(quán) 數(shù)據(jù)所有者 數(shù)據(jù)保管員 安全管理員 新IT用戶 數(shù)據(jù)用戶 書面記錄的授權(quán) 解約員工的訪問權(quán)限 安全基準(zhǔn) 訪問標(biāo)準(zhǔn) 5.2 隱私保護(hù)原則 5.2.1 隱私保護(hù)的審計(jì)注意事項(xiàng) 5.3 物理訪問和環(huán)境控制 5.3.1 管理、技術(shù)和物理控制 5.3.2 控制監(jiān)控與有效性 5.3.3 環(huán)境暴露風(fēng)險(xiǎn)和控制措施 設(shè)備問題和與環(huán)境有關(guān)的暴露風(fēng)險(xiǎn) 環(huán)境暴露風(fēng)險(xiǎn)的控制 5.3.4 物理訪問暴露風(fēng)險(xiǎn)和控制措施 物理訪問問題和暴露風(fēng)險(xiǎn) 物理訪問控制 審計(jì)物理訪問 5.4 身份和訪問管理 5.4.1 系統(tǒng)訪問權(quán)限 5.4.2 強(qiáng)制和自主存取控制 5.4.3 信息安全和外部相關(guān)方 識別與外部各方相關(guān)的風(fēng)險(xiǎn) 滿足與客戶相關(guān)的安全要求 人力資源安全和第三方 5.4.4 邏輯訪問 邏輯訪問暴露風(fēng)險(xiǎn) 熟悉企業(yè)的IT環(huán)境 邏輯訪問路徑 5.4.5 訪問控制軟件 5.4.6 身份識別和認(rèn)證 5.4.7 登錄ID和密碼 密碼的特點(diǎn) 登錄ID和密碼良好實(shí)踐 令牌設(shè)備、一次性密碼 5.4.8生物特征識別 基于生理特征的生物特征識別 基于行為的生物特征識別 生物特征識別管理 5.4.9 單點(diǎn)登錄 5.4.10 授權(quán)問題 訪問控制列表 邏輯訪問安全管理 遠(yuǎn)程訪問安全 5.4.11 監(jiān)控系統(tǒng)訪問時(shí)的審計(jì)記錄 系統(tǒng)日志的訪問權(quán)限 審計(jì)軌跡(日志)分析工具 成本考慮因素 5.4.12 邏輯訪問控制的命名約定 5.4.13 聯(lián)合身份管理 5.4.14 審計(jì)邏輯訪問 熟悉IT環(huán)境 評估和記錄訪問路徑 與系統(tǒng)人員面談 審查來自訪問控制軟件的報(bào)告 審查應(yīng)用程序系統(tǒng)操作手冊 5.4.15 數(shù)據(jù)泄露 數(shù)據(jù)泄露防護(hù) 5.5 網(wǎng)絡(luò)和終端安全 5.5.1 信息系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施 5.5.2 企業(yè)網(wǎng)絡(luò)架構(gòu) 5.5.3 網(wǎng)絡(luò)類型 5.5.4 網(wǎng)絡(luò)服務(wù) 5.5.5 網(wǎng)絡(luò)標(biāo)準(zhǔn)和協(xié)議 5.5.6 OSI架構(gòu) 5.5.7 網(wǎng)絡(luò)架構(gòu)中OSI模型的應(yīng)用 局域網(wǎng) 廣域網(wǎng) 幀中繼 TCP/IP及其與OSI參考模型的關(guān)系 網(wǎng)絡(luò)管理和控制 網(wǎng)絡(luò)性能指標(biāo) 聯(lián)網(wǎng)環(huán)境中的應(yīng)用程序 按需計(jì)算 5.5.8 網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性 客戶端/服務(wù)器安全 互聯(lián)網(wǎng)安全控制 防火墻安全系統(tǒng) 數(shù)據(jù)_濾防火墻 應(yīng)用程序防火墻系統(tǒng) 狀態(tài)檢測防火墻 網(wǎng)絡(luò)變更的開發(fā)和授權(quán) 5.5.9 影子IT 5.6 數(shù)據(jù)分類 5.7 數(shù)據(jù)加密和加密相關(guān)技術(shù) 5.7.1 加密系統(tǒng)的關(guān)鍵要素 5.7.2 對稱密鑰加密系統(tǒng) 5.7.3 公共(非對稱)密鑰加密系統(tǒng) 量子密碼學(xué) 數(shù)字簽名 數(shù)字信封 5.7.4 加密系統(tǒng)的應(yīng)用 傳輸層安全性 IP安全協(xié)議(IPSec) 安全殼 安全多功能互聯(lián)網(wǎng)郵件擴(kuò)展協(xié)議(S/MIME) 5.8 公鑰基礎(chǔ)設(shè)施 5.9 基于Web的通信技術(shù) 5.9.1 IP語音 VoIP安全問題 5.9.2 專用分組交換機(jī) PBX風(fēng)險(xiǎn) PBX審計(jì) 5.9.3 電子郵件安全問題 5.9.4 對等計(jì)算 5.9.5 即時(shí)消息 5.9.6 社交媒體 5.9.7 云計(jì)算 5.10 虛擬化環(huán)境 5.10.1 關(guān)鍵風(fēng)險(xiǎn)領(lǐng)域 5.10.2 典型控制 5.11 移動、無線和物聯(lián)網(wǎng)設(shè)備 5.11.1 移動計(jì)算 自帶設(shè)備 移動設(shè)備上的互聯(lián)網(wǎng)訪問 5.11.2 無線網(wǎng)絡(luò) 無線廣域網(wǎng) 無線局域網(wǎng) WEP和Wi-Fi網(wǎng)絡(luò)安全存取協(xié)議(WPA/WPA2) 無線個(gè)人局域網(wǎng) 臨時(shí)網(wǎng)絡(luò) 公共全球互聯(lián)網(wǎng)基礎(chǔ)設(shè)施 無線安全威脅和風(fēng)險(xiǎn)降低 5.11.3 物聯(lián)網(wǎng) 第B部分:安全事件管理 5.12 安全意識培訓(xùn)和計(jì)劃 5.13 信息系統(tǒng)攻擊方法和技術(shù) 5.13.1 舞弊風(fēng)險(xiǎn)因素 5.13.2 計(jì)算機(jī)犯罪問題和暴露風(fēng)險(xiǎn) 5.13.3 互聯(lián)網(wǎng)威脅和安全 網(wǎng)絡(luò)安全威脅 被動攻擊 主動攻擊 互聯(lián)網(wǎng)攻擊的起因 5.13.4 惡意軟件 病毒和蠕蟲控制 管理程序控制 技術(shù)控制 防惡意軟件實(shí)施策略 定向攻擊 5.14 安全測試工具和技術(shù) 5.14.1 通用安全控制的測試技術(shù) 終端卡和密鑰 終端標(biāo)識 生產(chǎn)資源控制 計(jì)算機(jī)訪問違規(guī)情況的記錄和報(bào)告 繞過安全和補(bǔ)償性控制 5.14.2 網(wǎng)絡(luò)滲透測試 5.14.3 威脅情報(bào) 5.15 安全監(jiān)控工具和技術(shù) 5.15.1 入侵檢測系統(tǒng) 特點(diǎn) 局限性 政策 5.15.2 入侵防御系統(tǒng) 蜜罐和蜜網(wǎng) 全面網(wǎng)絡(luò)評估審查 5.15.3 安全信息和事件管理 5.16 事故響應(yīng)管理 5.17 證據(jù)收集和取證 5.17.1 計(jì)算機(jī)取證 數(shù)據(jù)保護(hù) 數(shù)據(jù)采集 鏡像 提取 數(shù)據(jù)獲取/正規(guī)化 報(bào)告 5.17.2 證據(jù)和監(jiān)管鏈的保護(hù) 案例研究 案例研究相關(guān)問題的答案 附錄A:CISA考試常規(guī)信息 附錄B:2019年CISA工作實(shí)務(wù) 詞匯表 縮略語 反侵權(quán)盜版聲明
《CISA 復(fù)習(xí)考題及解答手冊(第12版)》目錄前言 致謝/新增 ―― CISA 工作實(shí)務(wù) 引言 概述 CISA 考試中的題目類型 學(xué)前測驗(yàn) 各領(lǐng)域相關(guān)題目與解答 領(lǐng)域 1 ―― 信息系統(tǒng)審計(jì)流程 (21%) 領(lǐng)域 2 ―― IT 治理與管理 (17%) 領(lǐng)域 3 ―― 信息系統(tǒng)的購置、開發(fā)與實(shí)施 (12%) 領(lǐng)域 4 ―― 信息系統(tǒng)的運(yùn)營和業(yè)務(wù)恢復(fù)能力 (23%) 領(lǐng)域 5 ―― 信息資產(chǎn)的保護(hù) (27%) 學(xué)后測驗(yàn) 考試樣卷 考試樣卷參考答案 考試樣卷答題紙(學(xué)前測驗(yàn)) 考試樣卷答題紙(學(xué)后測驗(yàn) 評估
CISA知識體系介紹CISA的學(xué)習(xí),具備知識領(lǐng)域覆蓋廣泛,知識點(diǎn)分散和繁雜的特點(diǎn)。學(xué)習(xí)的過程中,需要形成自己學(xué)習(xí)思路和理解習(xí)慣。CISA知識體系主要由五大知識領(lǐng)域 構(gòu)成。
1.信息系統(tǒng)審計(jì)流程 (21%)——遵照 IT 審計(jì)標(biāo)準(zhǔn)提供審計(jì)服務(wù),以幫助組織保護(hù)和控制其信息系統(tǒng)。
2.IT治理和管理 (17%)——用以確保具備必要的領(lǐng)導(dǎo)層、組織結(jié)構(gòu)及流程來實(shí)現(xiàn)相關(guān)目標(biāo)和支持組織戰(zhàn)略。
3.信息系統(tǒng)購置、開發(fā)與實(shí)施 (12%)——用以確保信息系統(tǒng)的購置、開發(fā)、測試和實(shí)施實(shí)務(wù)符合組織的戰(zhàn)略與目標(biāo)。
4.信息系統(tǒng)的運(yùn)營和業(yè)務(wù)恢復(fù)能力 (23%)——用以確保信息系統(tǒng)的操作、維護(hù)與支持流程符合組織的戰(zhàn)略與目標(biāo)。
5.信息資產(chǎn)的保護(hù) (27%)——用以確保組織的安全政策、標(biāo)準(zhǔn)、規(guī)程和控制能夠_信息資產(chǎn)的機(jī)密性、完整性和可用性。
_部分 信息系統(tǒng)的審計(jì)流程總體上是審計(jì)師這個(gè)角色需要理解和學(xué)習(xí),適用于日常工作開展的知識體系,介紹了三個(gè)方面:
審計(jì)師的職責(zé)、權(quán)利、制約因素:審計(jì)章程明確審計(jì)部門和審計(jì)師的職責(zé)權(quán)利 審計(jì)師符合ISACA的標(biāo)準(zhǔn) 審計(jì)師的道德約束 審計(jì)師能做什么,審計(jì)師不能做什么 審計(jì)師的審計(jì)范圍、目標(biāo)、采用的工具和方法審計(jì)流程 審計(jì)規(guī)劃 基于風(fēng)險(xiǎn)的審計(jì)方法 控制類型:預(yù)防、檢測、控制 審計(jì)工具和方法:抽樣方法、持續(xù)性審計(jì)方法、CAAT、CSA等 審計(jì)報(bào)告(輸出、溝通及溝通技巧) 審計(jì)師的審計(jì)報(bào)告及溝通什么時(shí)候就審計(jì)發(fā)現(xiàn)進(jìn)行溝通、什么時(shí)候上報(bào)等。 第二部分 IT治理和管理介紹了治理和管理兩個(gè)部分的內(nèi)容,治理屬于高屋建瓴,屬于戰(zhàn)略層次,指明方向,猶如茫茫海域的燈塔。管理屬于細(xì)分執(zhí)行,屬于戰(zhàn)術(shù)層次,說明需要執(zhí)行的環(huán)節(jié),猶如航行的一葉舟。一句話說,治理和管理,一個(gè)偏虛,偏高大上,一個(gè)務(wù)實(shí),偏實(shí)際作業(yè)。
IT治理高級管理層、指導(dǎo)委員會、戰(zhàn)略委員會的職責(zé) 組織結(jié)構(gòu)(內(nèi)部的SOD)、企業(yè)架構(gòu)、標(biāo)準(zhǔn)、政策和程序等 企業(yè)風(fēng)險(xiǎn)管理(風(fēng)險(xiǎn)管理流程,評估方法等) 管理參照模型(CMMI) IT戰(zhàn)略委員會和管理層的工具:IT BSC 法律法規(guī)、行業(yè)準(zhǔn)則的影響 IT管理資源、服務(wù)、質(zhì)量_ 相應(yīng)的監(jiān)控工具和方法 第三部分 信息系統(tǒng)的購置、開發(fā)與實(shí)施從項(xiàng)目的角度,介紹了信息系統(tǒng)從業(yè)務(wù)案例到實(shí)施后效果評估的全流程。全章基本可以從項(xiàng)目角度去理解,一個(gè)信息系統(tǒng)的建立,從可行性分析,業(yè)務(wù)案例的建立和審批,到需求收集、分析和定義、規(guī)劃設(shè)計(jì)和實(shí)現(xiàn),再到項(xiàng)目實(shí)施和項(xiàng)目收尾。其中,業(yè)務(wù)方的確認(rèn),在項(xiàng)目的各個(gè)環(huán)節(jié)都需要進(jìn)行,一個(gè)環(huán)節(jié)的確認(rèn),代表一個(gè)階段的結(jié)束,以便合理的進(jìn)入下一階段的執(zhí)行。第三章涉及多個(gè)方面:
購置: 開發(fā):原型法、敏捷、Devops、面向?qū)ο?、基于組件等 模型:SDLC、V模型等 測試:單元、集成、系統(tǒng)、用戶、并行、回歸、社交等 上線:并行、一次性、階段性 收尾:用戶驗(yàn)收、實(shí)施后審查IT治理高級管理層、指導(dǎo)委員會、戰(zhàn)略委員會的職責(zé) 組織結(jié)構(gòu)(內(nèi)部的SOD)、企業(yè)架構(gòu)、標(biāo)準(zhǔn)、政策和程序等 企業(yè)風(fēng)險(xiǎn)管理(風(fēng)險(xiǎn)管理流程,評估方法等) 管理參照模型(CMMI) IT戰(zhàn)略委員會和管理層的工具:IT BSC 法律法規(guī)、行業(yè)準(zhǔn)則的影響 IT管理資源、服務(wù)、質(zhì)量_ 相應(yīng)的監(jiān)控工具和方法 第四部分 信息系統(tǒng)的運(yùn)營和業(yè)務(wù)恢復(fù)能力從兩方面來看,一方面是運(yùn)營,一方面是業(yè)務(wù)恢復(fù)。學(xué)習(xí)的時(shí)候,需要了解運(yùn)營都需要做什么,關(guān)注哪些方面,業(yè)務(wù)恢復(fù)相對比較容易理解,實(shí)操中,也是優(yōu)先恢復(fù)關(guān)鍵業(yè)務(wù)系統(tǒng)。
運(yùn)營:業(yè)務(wù)所需的技術(shù)組件 資產(chǎn)管理 批處理和流程自動化 數(shù)據(jù)治理 系統(tǒng)管理(軟件、版本控制、性能等) 事故和問題管理 變更管理 服務(wù)水平 業(yè)務(wù)恢復(fù)業(yè)務(wù)影響分析(BIA) 恢復(fù)策略 恢復(fù)能力 備份 業(yè)務(wù)連續(xù)性計(jì)劃(BCP) BCP的測試 第五部分 保護(hù)信息資產(chǎn)簡單理解,就是信息資產(chǎn)的理解,首先要搞清楚,有哪些資產(chǎn),其次,從人防物防和技防的角度去考慮和總結(jié)。公司信息安全的管理,主要關(guān)注:數(shù)據(jù)、網(wǎng)絡(luò)、終端和環(huán)境
數(shù)據(jù):所有者、數(shù)據(jù)分類、權(quán)限管理(基于角色授權(quán)、按需知密等)、數(shù)據(jù)加密、隱私保護(hù)、DLP等 網(wǎng)絡(luò):網(wǎng)絡(luò)邊界、防火墻、路由器、無線 終端:USB、病毒防御等 環(huán)境:保安、門禁、監(jiān)控、防火防水防盜等 安全意識培訓(xùn),屬于獨(dú)立體系,基本每個(gè)方面都需要做。 視頻:帶你全方位了解CISA
點(diǎn)擊觀看視頻