CISA認證是由信息系統(tǒng)審計與控制協(xié)會(ISACA)頒發(fā)的,針對信息系統(tǒng)審計、控制與安全領(lǐng)域的專業(yè)認證。它表明持證人在評估和審計信息系統(tǒng)的安全性、可靠性和有效性方面具備專業(yè)知識和技能。CISA 認證在信息技術(shù)和審計領(lǐng)域具有較高的認可度。
中文名 CISA信息系統(tǒng)審計師認證英文名 Certified Information Systems Auditor英文簡稱 CISA頒證機構(gòu) ISACA(國際信息系統(tǒng)審計與控制協(xié)會)證書類別 IT審計,IT運維,信息安全同類認證 CISM 、CRISC >>>重要!CISA新版教材于2024年5月1日更新,到底發(fā)生了哪些變化?<<<
《CISA Review Manual(CISA考試復(fù)習(xí)手冊)》CISA官方教材選用ISACA官方出版的《CISA Review Manual》,中文名稱是《CISA考試復(fù)習(xí)手冊》。教材每年更新,目前_新版是第27版。《CISA考試復(fù)習(xí)手冊》是CISA認證考試的基礎(chǔ)。
隨著計算機技術(shù)在管理中的廣泛運用,傳統(tǒng)的管理、控制、檢查和審計技術(shù)都面臨著巨大的挑戰(zhàn)。在網(wǎng)絡(luò)經(jīng)濟迅猛發(fā)展的今天,IT審計師已被公認為全世界范圍內(nèi)非常搶手的高級人才。享譽全球的ISACA(國際信息系統(tǒng)審計協(xié)會)為全球?qū)I(yè)人員提供知識、職業(yè)認證并打造社群網(wǎng)絡(luò),其推出的CISA(注冊信息系統(tǒng)審計師,Certified Information Systems Auditor)認證在全球受到廣泛認可,并已進入中國。本書是ISACA官方出版的獲得CISA認證的指定教材。
另外推薦同樣是ISACA官方出版的《CISA復(fù)習(xí)考題及解答手冊》,目前_新版是第12版。 《CISA 復(fù)習(xí)考題及解答手冊》中包括1000道選擇題及解答,是根據(jù)新修訂的CISA工作實務(wù)領(lǐng)域編排的。這些題目及解答旨在向CISA考生介紹可能在CISA考試中出現(xiàn)的題目類型。這些題目并不是考試中的真實題目?!禖ISA復(fù)習(xí)考題及解答手冊》還包含一份150道題目的考試樣卷,每個CISA工作實務(wù)領(lǐng)域相關(guān)的題目所占的比例與實際考試相同。
CISA考試復(fù)習(xí)手冊目錄結(jié)構(gòu)《CISA Review Manual》原書為英文,也有中文版《CISA考試復(fù)習(xí)手冊》出版,其目錄供參考,如下:
《CISA考試復(fù)習(xí)手冊(第27版)》目錄致謝 新增CISA工作實務(wù) 關(guān)于本手冊 概述 本手冊的編排 準備CISA考試 開始準備 使用《CISA考試復(fù)習(xí)手冊》 手冊特征 將《CISA考試復(fù)習(xí)手冊》與其他ISACA資源結(jié)合使用 關(guān)于CISA復(fù)習(xí)考題及解答產(chǎn)品 第1章:信息系統(tǒng)的審計流程 概述 領(lǐng)域1考試內(nèi)容大綱 學(xué)習(xí)目標/任務(wù)說明 深造學(xué)習(xí)參考資料 自我評估問題 自我評估問題解答 第A部分:規(guī)劃 1.0 簡介 1.1 信息系統(tǒng)審計標準、準則和道德規(guī)范 1.1.1 ISACA信息系統(tǒng)審計和鑒證標準 1.1.2 ISACA信息系統(tǒng)審計和鑒證準則 1.1.3 ISACA職業(yè)道德規(guī)范 1.1.4 ITAF 1.2 業(yè)務(wù)流程 1.2.1 信息系統(tǒng)內(nèi)部審計職能 審計章程 1.2.2 信息系統(tǒng)審計職能的管理 信息系統(tǒng)審計資源的管理 1.2.3 審計規(guī)劃 單項審計任務(wù) 1.2.4 法律法規(guī)對信息系統(tǒng)審計規(guī)劃的影響 1.2.5 業(yè)務(wù)流程應(yīng)用程序和控制 電子商務(wù) 電子數(shù)據(jù)交換 電子郵件 銷售終端系統(tǒng) 電子銀行 電子資金轉(zhuǎn)賬 自動提款機 電子金融 集成制造系統(tǒng) 交互式語音響應(yīng) 采購會計系統(tǒng) 圖像處理 工業(yè)控制系統(tǒng) 人工智能和專家系統(tǒng) 供應(yīng)鏈管理 客戶關(guān)系管理 1.2.6 使用其他審計師和專家的服務(wù) 1.3 控制類型 1.3.1 控制目標和控制措施 信息系統(tǒng)控制目標 1.3.2 控制環(huán)境評估 1.3.3 常規(guī)控制 1.3.4 信息系統(tǒng)特有的控制 1.4 基于風(fēng)險的審計規(guī)劃 1.4.1 審計風(fēng)險和重要性 1.4.2 風(fēng)險評估 1.4.3 信息系統(tǒng)審計風(fēng)險評估技術(shù) 1.4.4 風(fēng)險分析 1.5 審計類型和評估 第B部分:執(zhí)行 1.6 審計項目管理 1.6.1 審計目標 1.6.2 審計階段 1.6.3 審計程序 制定審計程序所需的基礎(chǔ)技能 1.6.4 審計工作底稿 1.6.5 欺詐、違規(guī)和非法行為 1.7 抽樣方法論 1.7.1 符合性與實質(zhì)性測試 1.7.2 抽樣 抽樣風(fēng)險 1.8 審計證據(jù)收集技巧 1.8.1 訪問和觀察員工以了解其職責(zé)履行情況 1.9 數(shù)據(jù)分析 1.9.1 計算機輔助審計技術(shù) 作為持續(xù)在線審計方法的CAAT 1.9.2 持續(xù)審計和監(jiān)控 1.9.3 持續(xù)審計技術(shù) 1.10 報告和溝通技巧 1.10.1 溝通審計結(jié)果 1.10.2 審計報告目標 1.10.3 審計報告的結(jié)構(gòu)與內(nèi)容 1.10.4 審計記錄 1.10.5 后續(xù)活動 1.10.6 信息系統(tǒng)審計報告的類型 1.11 質(zhì)量_和審計流程改進 1.11.1 控制自我評估 CSA的目標 CSA的優(yōu)勢 CSA的劣勢 信息系統(tǒng)審計師在CSA中的角色 1.11.2 整合審計 案例研究 案例研究相關(guān)問題的答案 第2章:IT治理與管理 概述 領(lǐng)域2考試內(nèi)容大綱 學(xué)習(xí)目標/任務(wù)說明 深造學(xué)習(xí)參考資料 自我評估問題 自我評估問題解答 第A部分:IT治理 2.0 簡介 2.1 IT治理和IT戰(zhàn)略 2.1.1 企業(yè)信息和技術(shù)治理 2.1.2 EGIT的良好實踐 2.1.3 EGIT中的審計角色 2.1.4 信息安全治理 有效的信息安全治理 2.1.5 信息系統(tǒng)戰(zhàn)略 2.1.6 戰(zhàn)略規(guī)劃 2.1.7 商業(yè)智能 數(shù)據(jù)治理 2.2 IT相關(guān)框架 2.3 IT標準、政策、程序和準則 2.3.1 標準 2.3.2 政策 信息安全政策 審查信息安全政策 2.3.3 程序 2.3.4 準則 2.4 組織結(jié)構(gòu) 2.4.1 IT治理委員會 2.4.2 高級管理層和董事會的角色和職責(zé) 董事會 高級管理層 信息安全標準委員會 首席信息安全官 IT指導(dǎo)委員會 結(jié)果和職責(zé)矩陣 2.4.3 IT組織結(jié)構(gòu)和職責(zé) IT角色和職責(zé) 2.4.4 IT內(nèi)部的職責(zé)分離 職責(zé)分離控制 2.4.5 審計IT治理結(jié)構(gòu)與實施 審查文檔 2.5 企業(yè)架構(gòu) 2.6 企業(yè)風(fēng)險管理 2.6.1 制訂風(fēng)險管理方案 2.6.2 風(fēng)險管理流程 第1步:資產(chǎn)識別 第2步:資產(chǎn)面臨的威脅和漏洞評估 第3步:影響評估 第4步:風(fēng)險計算 第5步:風(fēng)險評估和響應(yīng) 2.6.3 風(fēng)險分析方法 定性分析方法 半定量分析方法 定量分析方法 2.7 成熟度模型 2.7.1 能力成熟度模型集成 2.7.2 初始化、診斷、建立、行動和學(xué)習(xí)模型 2.8 影響組織的法律、法規(guī)和行業(yè)標準 2.8.1 治理、風(fēng)險與合規(guī)性 2.8.2 法律、法規(guī)和行業(yè)標準對信息系統(tǒng)審計的影響 第B部分:IT管理層 2.9 IT資源管理 2.9.1 IT的價值 2.9.2 實施IT組合管理 IT組合管理與平衡計分卡 2.9.3 IT管理實務(wù) 2.9.4 人力資源管理 雇用 員工手冊 晉升政策 培訓(xùn) 日程計劃安排和時間報告 雇用期間 員工績效評估 必休假期 離職政策 2.9.5 組織變更管理 2.9.6 財務(wù)管理實務(wù) 信息系統(tǒng)預(yù)算 軟件開發(fā) 2.9.7 信息安全管理 2.10 IT服務(wù)提供商購置和管理 2.10.1 外包實務(wù)與戰(zhàn)略 行業(yè)標準/基準檢測 全球化實務(wù)與策略 2.10.2 外包和第三方審計報告 2.10.3 云治理 2.10.4 外包中的治理 2.10.5 容量和發(fā)展規(guī)劃 2.10.6 第三方服務(wù)交付管理 2.10.7 第三方服務(wù)的監(jiān)控和審查 2.10.8 管理第三方服務(wù)變更 服務(wù)改善和用戶滿意度 2.11 IT性能監(jiān)控和報告 2.11.1 績效優(yōu)化 關(guān)鍵成功因素 方法和工具 2.11.2 工具和技術(shù) 2.12 IT質(zhì)量_和質(zhì)量管理 2.12.1 質(zhì)量_ 2.12.2 質(zhì)量管理 案例研究 案例研究相關(guān)問題的答案 第3章:信息系統(tǒng)的購置、開發(fā)與實施 概述 領(lǐng)域3考試內(nèi)容大綱 學(xué)習(xí)目標/任務(wù)說明 深造學(xué)習(xí)參考資料 自我評估問題 自我評估問題解答 第A部分:信息系統(tǒng)的購置與開發(fā) 3.0 簡介 3.1 項目治理和管理 3.1.1 項目管理實務(wù) 3.1.2 項目管理結(jié)構(gòu) 3.1.3 項目管理角色和職責(zé) 3.1.4 項目管理技術(shù) 3.1.5 組合/項目群管理 3.1.6 項目管理辦公室 項目組合數(shù)據(jù)庫 3.1.7 項目效益實現(xiàn) 3.1.8 項目啟動 3.1.9 項目目標 3.1.10 項目規(guī)劃 信息系統(tǒng)開發(fā)項目成本估算 軟件規(guī)模估算 功能點分析 成本預(yù)算 軟件成本估算 日程計劃安排和確定時間范圍 3.1.11 項目執(zhí)行 3.1.12 項目控制和監(jiān)控 范圍變更管理 資源使用管理 3.1.13 項目完工 3.1.14 信息系統(tǒng)審計師在項目管理中的角色 3.2 業(yè)務(wù)案例和可行性分析 3.2.1 信息系統(tǒng)審計師在業(yè)務(wù)案例開發(fā)中的角色 3.3 系統(tǒng)開發(fā)方法 3.3.1 業(yè)務(wù)應(yīng)用程序開發(fā) 3.3.2 SDLC模型 3.3.3 SDLC階段 階段1:可行性分析 階段2:要求定義 階段3A:軟件選擇與購置 階段3B:設(shè)計 階段4A:配置 階段4B:開發(fā) 階段5:_終測試與實施 階段6:實施后審查 3.3.4 信息系統(tǒng)審計師在SDLC項目管理中的角色 3.3.5 軟件開發(fā)方法 原型設(shè)計——進化式開發(fā) 快速應(yīng)用開發(fā) 敏捷開發(fā) 面向?qū)ο蟮南到y(tǒng)開發(fā) 基于組件的開發(fā) 軟件再造 逆向工程 DevOps 業(yè)務(wù)流程再造和流程變更 3.3.6 系統(tǒng)開發(fā)工具和生產(chǎn)力輔助手段 計算機輔助軟件工程 代碼生成器 第四代語言 3.3.7 基礎(chǔ)架構(gòu)開發(fā)/購置實踐 物理架構(gòu)分析的各個項目階段 規(guī)劃基礎(chǔ)設(shè)施的實施 3.3.8 硬件/軟件購置 購置步驟 信息系統(tǒng)審計師在硬件購置中的角色 3.3.9 系統(tǒng)軟件購置 整合資源管理系統(tǒng) 信息系統(tǒng)審計師在軟件購置中的角色 3.4 控制識別和設(shè)計 3.4.1 輸入/來源控制 輸入授權(quán) 批量控制和核對 錯誤報告和處理 3.4.2 處理程序和控制 數(shù)據(jù)驗證和編輯程序 處理控制 數(shù)據(jù)文件控制程序 3.4.3 輸出控制 3.4.4 應(yīng)用控制 信息系統(tǒng)審計師在審查應(yīng)用控制中的角色 3.4.5 用戶程序 3.4.6 決策支持系統(tǒng) 設(shè)計與開發(fā) 實施和使用 風(fēng)險因素 實施戰(zhàn)略 評估與評價 DSS共同特征 第B部分:信息系統(tǒng)實施 3.5 測試方法 3.5.1 測試分類 其他測試類型 3.5.2 軟件測試 3.5.3 數(shù)據(jù)完整性測試 在線交易處理系統(tǒng)的數(shù)據(jù)完整性 3.5.4 應(yīng)用程序系統(tǒng)測試 自動化應(yīng)用程序測試 3.5.5 信息系統(tǒng)審計師在信息系統(tǒng)測試中的角色 3.6 配置和發(fā)布管理 3.7 系統(tǒng)遷移、基礎(chǔ)設(shè)施部署和數(shù)據(jù)轉(zhuǎn)換 3.7.1 數(shù)據(jù)遷移 完善遷移方案 回退(回滾)方案 3.7.2 轉(zhuǎn)換(上線或切換)技術(shù) 并行轉(zhuǎn)換 分階段轉(zhuǎn)換 一次性轉(zhuǎn)換 3.7.3 系統(tǒng)實施 實施計劃 3.7.4 系統(tǒng)變更程序和程序遷移流程 關(guān)鍵成功因素 _終用戶培訓(xùn) 3.7.5 系統(tǒng)軟件實施 3.7.6 認證/鑒定 3.8 實施后審查 3.8.1 信息系統(tǒng)審計師在實施后審查中的角色 案例研究 案例研究相關(guān)問題的答案 第4章:信息系統(tǒng)的運營和業(yè)務(wù)恢復(fù)能力 概述 領(lǐng)域4考試內(nèi)容大綱 學(xué)習(xí)目標/任務(wù)說明 深造學(xué)習(xí)參考資料 自我評估問題 自我評估問題解答 第A部分:信息系統(tǒng)運營 4.0 簡介 4.1 常用技術(shù)組件 4.1.1 計算機硬件組件和架構(gòu) 處理組件 輸入/輸出組件 計算機類型 4.1.2 常用的企業(yè)后端設(shè)備 4.1.3 通用串行總線 與USB相關(guān)的風(fēng)險 與USB相關(guān)的安全控制 4.1.4 射頻識別 RFID的應(yīng)用 RFID的相關(guān)風(fēng)險 RFID的安全控制 4.1.5 硬件維護程序 硬件監(jiān)控程序 4.1.6 硬件審查 4.2 IT資產(chǎn)管理 4.3 作業(yè)調(diào)度和生產(chǎn)流程自動化 4.3.1 作業(yè)調(diào)度軟件 4.3.2 日程計劃安排審查 4.4 系統(tǒng)接口 4.4.1 與系統(tǒng)接口相關(guān)的風(fēng)險 4.4.2 系統(tǒng)接口中的安全問題 4.5 _終用戶計算 4.6 數(shù)據(jù)治理 4.6.1 數(shù)據(jù)管理 數(shù)據(jù)質(zhì)量 數(shù)據(jù)生命周期 4.7 系統(tǒng)性能管理 4.7.1 信息系統(tǒng)架構(gòu)和軟件 4.7.2 操作系統(tǒng) 軟件控制功能或參數(shù) 軟件完整性問題 活動日志和報告選項 操作系統(tǒng)審查 4.7.3 訪問控制軟件 4.7.4 數(shù)據(jù)通信軟件 4.7.5 實用程序 4.7.6 軟件許可問題 4.7.7 源代碼管理 4.7.8 容量管理 4.8 問題和事故管理 4.8.1 數(shù)據(jù)管理 4.8.2 事故處理過程 4.8.3 異常情況的檢測、記錄、控制、解決和報告 4.8.4 技術(shù)支持/客戶服務(wù)部門 4.8.5 網(wǎng)絡(luò)管理工具 4.8.6 問題管理報告審查 4.9 變更、配置、發(fā)布和修補程序管理 4.9.1 修補程序管理 4.9.2 發(fā)布管理 4.9.3 信息系統(tǒng)運營 信息系統(tǒng)運營審查 4.10 IT服務(wù)水平管理 4.10.1 服務(wù)水平協(xié)議 4.10.2 服務(wù)水平監(jiān)控 4.10.3 服務(wù)水平與企業(yè)架構(gòu) 4.11 數(shù)據(jù)庫管理 4.11.1 DBMS架構(gòu) 詳細DBMS元數(shù)據(jù)架構(gòu) 數(shù)據(jù)字典/目錄系統(tǒng) 4.11.2 數(shù)據(jù)庫結(jié)構(gòu) 4.11.3 數(shù)據(jù)庫控制 4.11.4 數(shù)據(jù)庫審查 第B部分:業(yè)務(wù)恢復(fù)能力 4.12 業(yè)務(wù)影響分析 4.12.1 運營和關(guān)鍵性分析分類 4.13 系統(tǒng)恢復(fù)能力 4.13.1 應(yīng)用程序恢復(fù)能力和災(zāi)難恢復(fù)方法 4.13.2 電信網(wǎng)恢復(fù)能力和災(zāi)難恢復(fù)方法 4.14 數(shù)據(jù)備份、存儲和恢復(fù) 4.14.1 數(shù)據(jù)存儲恢復(fù)能力和災(zāi)難恢復(fù)方法 4.14.2 備份與恢復(fù) 異地庫控制 異地設(shè)施的安全和控制 介質(zhì)和文檔備份 備份設(shè)備和介質(zhì)的類型 定期備份程序 輪換頻率 輪換的介質(zhì)和文檔類型 4.14.3 備份方案 完全備份 增量備份 差異備份 輪換方法 異地儲存的記錄保存 4.15 業(yè)務(wù)連續(xù)性計劃 4.15.1 IT業(yè)務(wù)連續(xù)性計劃 4.15.2 災(zāi)難和其他破壞性事件 流行病計劃 應(yīng)對形象、聲譽或品牌的損害 出乎意料/無法預(yù)測的事件 4.15.3 業(yè)務(wù)連續(xù)性計劃流程 4.15.4 業(yè)務(wù)連續(xù)性政策 4.15.5 業(yè)務(wù)連續(xù)性計劃事故管理 4.15.6 制訂業(yè)務(wù)連續(xù)性計劃 4.15.7 計劃制訂過程中的其他問題 4.15.8 業(yè)務(wù)連續(xù)性計劃的構(gòu)成要素 關(guān)鍵決策人員 所需用品的備份 保險 4.15.9 計劃測試 規(guī)范 測試執(zhí)行 結(jié)果記錄 結(jié)果分析 計劃維護 業(yè)務(wù)連續(xù)性管理良好實踐 4.15.10 業(yè)務(wù)連續(xù)性匯總 4.15.11 審計業(yè)務(wù)連續(xù)性 審查業(yè)務(wù)連續(xù)性計劃 對以前測試結(jié)果的評估 對異地存儲的評估 對非異地設(shè)施安全性的評估 與關(guān)鍵人員面談 審查備用處理設(shè)備合同 審查承保范圍 4.16 災(zāi)難恢復(fù)計劃 4.16.1 恢復(fù)點目標和恢復(fù)時間目標 4.16.2 恢復(fù)策略 4.16.3 恢復(fù)備選方案 合同條款 采購備用硬件 4.16.4 災(zāi)難恢復(fù)計劃的制訂 IT DRP內(nèi)容 IT DRP情景 恢復(fù)程序 組織和職責(zé)分配 4.16.5 災(zāi)難恢復(fù)測試方法 測試的類型 測試 測試結(jié)果 4.16.6 調(diào)用災(zāi)難恢復(fù)計劃 案例研究 案例研究相關(guān)問題的答案 第5章:保護信息資產(chǎn) 概述 領(lǐng)域5考試內(nèi)容大綱 學(xué)習(xí)目標/任務(wù)說明 深造學(xué)習(xí)參考資料 自我評估問題 自我評估問題解答 第A部分:信息資產(chǎn)安全和控制 5.0 簡介 5.1 信息資產(chǎn)安全框架、標準和準則 5.1.1 審計信息安全管理框架 審查書面政策、程序和標準 正式的安全意識培養(yǎng)和培訓(xùn) 數(shù)據(jù)所有權(quán) 數(shù)據(jù)所有者 數(shù)據(jù)保管員 安全管理員 新IT用戶 數(shù)據(jù)用戶 書面記錄的授權(quán) 解約員工的訪問權(quán)限 安全基準 訪問標準 5.2 隱私保護原則 5.2.1 隱私保護的審計注意事項 5.3 物理訪問和環(huán)境控制 5.3.1 管理、技術(shù)和物理控制 5.3.2 控制監(jiān)控與有效性 5.3.3 環(huán)境暴露風(fēng)險和控制措施 設(shè)備問題和與環(huán)境有關(guān)的暴露風(fēng)險 環(huán)境暴露風(fēng)險的控制 5.3.4 物理訪問暴露風(fēng)險和控制措施 物理訪問問題和暴露風(fēng)險 物理訪問控制 審計物理訪問 5.4 身份和訪問管理 5.4.1 系統(tǒng)訪問權(quán)限 5.4.2 強制和自主存取控制 5.4.3 信息安全和外部相關(guān)方 識別與外部各方相關(guān)的風(fēng)險 滿足與客戶相關(guān)的安全要求 人力資源安全和第三方 5.4.4 邏輯訪問 邏輯訪問暴露風(fēng)險 熟悉企業(yè)的IT環(huán)境 邏輯訪問路徑 5.4.5 訪問控制軟件 5.4.6 身份識別和認證 5.4.7 登錄ID和密碼 密碼的特點 登錄ID和密碼良好實踐 令牌設(shè)備、一次性密碼 5.4.8生物特征識別 基于生理特征的生物特征識別 基于行為的生物特征識別 生物特征識別管理 5.4.9 單點登錄 5.4.10 授權(quán)問題 訪問控制列表 邏輯訪問安全管理 遠程訪問安全 5.4.11 監(jiān)控系統(tǒng)訪問時的審計記錄 系統(tǒng)日志的訪問權(quán)限 審計軌跡(日志)分析工具 成本考慮因素 5.4.12 邏輯訪問控制的命名約定 5.4.13 聯(lián)合身份管理 5.4.14 審計邏輯訪問 熟悉IT環(huán)境 評估和記錄訪問路徑 與系統(tǒng)人員面談 審查來自訪問控制軟件的報告 審查應(yīng)用程序系統(tǒng)操作手冊 5.4.15 數(shù)據(jù)泄露 數(shù)據(jù)泄露防護 5.5 網(wǎng)絡(luò)和終端安全 5.5.1 信息系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施 5.5.2 企業(yè)網(wǎng)絡(luò)架構(gòu) 5.5.3 網(wǎng)絡(luò)類型 5.5.4 網(wǎng)絡(luò)服務(wù) 5.5.5 網(wǎng)絡(luò)標準和協(xié)議 5.5.6 OSI架構(gòu) 5.5.7 網(wǎng)絡(luò)架構(gòu)中OSI模型的應(yīng)用 局域網(wǎng) 廣域網(wǎng) 幀中繼 TCP/IP及其與OSI參考模型的關(guān)系 網(wǎng)絡(luò)管理和控制 網(wǎng)絡(luò)性能指標 聯(lián)網(wǎng)環(huán)境中的應(yīng)用程序 按需計算 5.5.8 網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性 客戶端/服務(wù)器安全 互聯(lián)網(wǎng)安全控制 防火墻安全系統(tǒng) 數(shù)據(jù)_濾防火墻 應(yīng)用程序防火墻系統(tǒng) 狀態(tài)檢測防火墻 網(wǎng)絡(luò)變更的開發(fā)和授權(quán) 5.5.9 影子IT 5.6 數(shù)據(jù)分類 5.7 數(shù)據(jù)加密和加密相關(guān)技術(shù) 5.7.1 加密系統(tǒng)的關(guān)鍵要素 5.7.2 對稱密鑰加密系統(tǒng) 5.7.3 公共(非對稱)密鑰加密系統(tǒng) 量子密碼學(xué) 數(shù)字簽名 數(shù)字信封 5.7.4 加密系統(tǒng)的應(yīng)用 傳輸層安全性 IP安全協(xié)議(IPSec) 安全殼 安全多功能互聯(lián)網(wǎng)郵件擴展協(xié)議(S/MIME) 5.8 公鑰基礎(chǔ)設(shè)施 5.9 基于Web的通信技術(shù) 5.9.1 IP語音 VoIP安全問題 5.9.2 專用分組交換機 PBX風(fēng)險 PBX審計 5.9.3 電子郵件安全問題 5.9.4 對等計算 5.9.5 即時消息 5.9.6 社交媒體 5.9.7 云計算 5.10 虛擬化環(huán)境 5.10.1 關(guān)鍵風(fēng)險領(lǐng)域 5.10.2 典型控制 5.11 移動、無線和物聯(lián)網(wǎng)設(shè)備 5.11.1 移動計算 自帶設(shè)備 移動設(shè)備上的互聯(lián)網(wǎng)訪問 5.11.2 無線網(wǎng)絡(luò) 無線廣域網(wǎng) 無線局域網(wǎng) WEP和Wi-Fi網(wǎng)絡(luò)安全存取協(xié)議(WPA/WPA2) 無線個人局域網(wǎng) 臨時網(wǎng)絡(luò) 公共全球互聯(lián)網(wǎng)基礎(chǔ)設(shè)施 無線安全威脅和風(fēng)險降低 5.11.3 物聯(lián)網(wǎng) 第B部分:安全事件管理 5.12 安全意識培訓(xùn)和計劃 5.13 信息系統(tǒng)攻擊方法和技術(shù) 5.13.1 舞弊風(fēng)險因素 5.13.2 計算機犯罪問題和暴露風(fēng)險 5.13.3 互聯(lián)網(wǎng)威脅和安全 網(wǎng)絡(luò)安全威脅 被動攻擊 主動攻擊 互聯(lián)網(wǎng)攻擊的起因 5.13.4 惡意軟件 病毒和蠕蟲控制 管理程序控制 技術(shù)控制 防惡意軟件實施策略 定向攻擊 5.14 安全測試工具和技術(shù) 5.14.1 通用安全控制的測試技術(shù) 終端卡和密鑰 終端標識 生產(chǎn)資源控制 計算機訪問違規(guī)情況的記錄和報告 繞過安全和補償性控制 5.14.2 網(wǎng)絡(luò)滲透測試 5.14.3 威脅情報 5.15 安全監(jiān)控工具和技術(shù) 5.15.1 入侵檢測系統(tǒng) 特點 局限性 政策 5.15.2 入侵防御系統(tǒng) 蜜罐和蜜網(wǎng) 全面網(wǎng)絡(luò)評估審查 5.15.3 安全信息和事件管理 5.16 事故響應(yīng)管理 5.17 證據(jù)收集和取證 5.17.1 計算機取證 數(shù)據(jù)保護 數(shù)據(jù)采集 鏡像 提取 數(shù)據(jù)獲取/正規(guī)化 報告 5.17.2 證據(jù)和監(jiān)管鏈的保護 案例研究 案例研究相關(guān)問題的答案 附錄A:CISA考試常規(guī)信息 附錄B:2019年CISA工作實務(wù) 詞匯表 縮略語 反侵權(quán)盜版聲明
《CISA 復(fù)習(xí)考題及解答手冊(第12版)》目錄前言 致謝/新增 ―― CISA 工作實務(wù) 引言 概述 CISA 考試中的題目類型 學(xué)前測驗 各領(lǐng)域相關(guān)題目與解答 領(lǐng)域 1 ―― 信息系統(tǒng)審計流程 (21%) 領(lǐng)域 2 ―― IT 治理與管理 (17%) 領(lǐng)域 3 ―― 信息系統(tǒng)的購置、開發(fā)與實施 (12%) 領(lǐng)域 4 ―― 信息系統(tǒng)的運營和業(yè)務(wù)恢復(fù)能力 (23%) 領(lǐng)域 5 ―― 信息資產(chǎn)的保護 (27%) 學(xué)后測驗 考試樣卷 考試樣卷參考答案 考試樣卷答題紙(學(xué)前測驗) 考試樣卷答題紙(學(xué)后測驗 評估
CISA知識體系介紹CISA的學(xué)習(xí),具備知識領(lǐng)域覆蓋廣泛,知識點分散和繁雜的特點。學(xué)習(xí)的過程中,需要形成自己學(xué)習(xí)思路和理解習(xí)慣。CISA知識體系主要由五大知識領(lǐng)域 構(gòu)成。
1.信息系統(tǒng)審計流程 (21%)——遵照 IT 審計標準提供審計服務(wù),以幫助組織保護和控制其信息系統(tǒng)。
2.IT治理和管理 (17%)——用以確保具備必要的領(lǐng)導(dǎo)層、組織結(jié)構(gòu)及流程來實現(xiàn)相關(guān)目標和支持組織戰(zhàn)略。
3.信息系統(tǒng)購置、開發(fā)與實施 (12%)——用以確保信息系統(tǒng)的購置、開發(fā)、測試和實施實務(wù)符合組織的戰(zhàn)略與目標。
4.信息系統(tǒng)的運營和業(yè)務(wù)恢復(fù)能力 (23%)——用以確保信息系統(tǒng)的操作、維護與支持流程符合組織的戰(zhàn)略與目標。
5.信息資產(chǎn)的保護 (27%)——用以確保組織的安全政策、標準、規(guī)程和控制能夠_信息資產(chǎn)的機密性、完整性和可用性。
_部分 信息系統(tǒng)的審計流程總體上是審計師這個角色需要理解和學(xué)習(xí),適用于日常工作開展的知識體系,介紹了三個方面:
審計師的職責(zé)、權(quán)利、制約因素:審計章程明確審計部門和審計師的職責(zé)權(quán)利 審計師符合ISACA的標準 審計師的道德約束 審計師能做什么,審計師不能做什么 審計師的審計范圍、目標、采用的工具和方法審計流程 審計規(guī)劃 基于風(fēng)險的審計方法 控制類型:預(yù)防、檢測、控制 審計工具和方法:抽樣方法、持續(xù)性審計方法、CAAT、CSA等 審計報告(輸出、溝通及溝通技巧) 審計師的審計報告及溝通什么時候就審計發(fā)現(xiàn)進行溝通、什么時候上報等。 第二部分 IT治理和管理介紹了治理和管理兩個部分的內(nèi)容,治理屬于高屋建瓴,屬于戰(zhàn)略層次,指明方向,猶如茫茫海域的燈塔。管理屬于細分執(zhí)行,屬于戰(zhàn)術(shù)層次,說明需要執(zhí)行的環(huán)節(jié),猶如航行的一葉舟。一句話說,治理和管理,一個偏虛,偏高大上,一個務(wù)實,偏實際作業(yè)。
IT治理高級管理層、指導(dǎo)委員會、戰(zhàn)略委員會的職責(zé) 組織結(jié)構(gòu)(內(nèi)部的SOD)、企業(yè)架構(gòu)、標準、政策和程序等 企業(yè)風(fēng)險管理(風(fēng)險管理流程,評估方法等) 管理參照模型(CMMI) IT戰(zhàn)略委員會和管理層的工具:IT BSC 法律法規(guī)、行業(yè)準則的影響 IT管理資源、服務(wù)、質(zhì)量_ 相應(yīng)的監(jiān)控工具和方法 第三部分 信息系統(tǒng)的購置、開發(fā)與實施從項目的角度,介紹了信息系統(tǒng)從業(yè)務(wù)案例到實施后效果評估的全流程。全章基本可以從項目角度去理解,一個信息系統(tǒng)的建立,從可行性分析,業(yè)務(wù)案例的建立和審批,到需求收集、分析和定義、規(guī)劃設(shè)計和實現(xiàn),再到項目實施和項目收尾。其中,業(yè)務(wù)方的確認,在項目的各個環(huán)節(jié)都需要進行,一個環(huán)節(jié)的確認,代表一個階段的結(jié)束,以便合理的進入下一階段的執(zhí)行。第三章涉及多個方面:
購置: 開發(fā):原型法、敏捷、Devops、面向?qū)ο?、基于組件等 模型:SDLC、V模型等 測試:單元、集成、系統(tǒng)、用戶、并行、回歸、社交等 上線:并行、一次性、階段性 收尾:用戶驗收、實施后審查IT治理高級管理層、指導(dǎo)委員會、戰(zhàn)略委員會的職責(zé) 組織結(jié)構(gòu)(內(nèi)部的SOD)、企業(yè)架構(gòu)、標準、政策和程序等 企業(yè)風(fēng)險管理(風(fēng)險管理流程,評估方法等) 管理參照模型(CMMI) IT戰(zhàn)略委員會和管理層的工具:IT BSC 法律法規(guī)、行業(yè)準則的影響 IT管理資源、服務(wù)、質(zhì)量_ 相應(yīng)的監(jiān)控工具和方法 第四部分 信息系統(tǒng)的運營和業(yè)務(wù)恢復(fù)能力從兩方面來看,一方面是運營,一方面是業(yè)務(wù)恢復(fù)。學(xué)習(xí)的時候,需要了解運營都需要做什么,關(guān)注哪些方面,業(yè)務(wù)恢復(fù)相對比較容易理解,實操中,也是優(yōu)先恢復(fù)關(guān)鍵業(yè)務(wù)系統(tǒng)。
運營:業(yè)務(wù)所需的技術(shù)組件 資產(chǎn)管理 批處理和流程自動化 數(shù)據(jù)治理 系統(tǒng)管理(軟件、版本控制、性能等) 事故和問題管理 變更管理 服務(wù)水平 業(yè)務(wù)恢復(fù)業(yè)務(wù)影響分析(BIA) 恢復(fù)策略 恢復(fù)能力 備份 業(yè)務(wù)連續(xù)性計劃(BCP) BCP的測試 第五部分 保護信息資產(chǎn)簡單理解,就是信息資產(chǎn)的理解,首先要搞清楚,有哪些資產(chǎn),其次,從人防物防和技防的角度去考慮和總結(jié)。公司信息安全的管理,主要關(guān)注:數(shù)據(jù)、網(wǎng)絡(luò)、終端和環(huán)境
數(shù)據(jù):所有者、數(shù)據(jù)分類、權(quán)限管理(基于角色授權(quán)、按需知密等)、數(shù)據(jù)加密、隱私保護、DLP等 網(wǎng)絡(luò):網(wǎng)絡(luò)邊界、防火墻、路由器、無線 終端:USB、病毒防御等 環(huán)境:保安、門禁、監(jiān)控、防火防水防盜等 安全意識培訓(xùn),屬于獨立體系,基本每個方面都需要做。 視頻:帶你全方位了解CISA
點擊觀看視頻