CISA官方教材：《CISA Review Manual（CISA考試復(fù)習(xí)手冊(cè)）》及CISA知識(shí)體系介紹

CISA信息系統(tǒng)審計(jì)師認(rèn)證 知識(shí)體系 考證須知 證書(shū)含金量 培訓(xùn)大綱 3分鐘小視頻 我要提問(wèn)

CISA認(rèn)證是由信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）頒發(fā)的，針對(duì)信息系統(tǒng)審計(jì)、控制與安全領(lǐng)域的專(zhuān)業(yè)認(rèn)證。它表明持證人在評(píng)估和審計(jì)信息系統(tǒng)的安全性、可靠性和有效性方面具備專(zhuān)業(yè)知識(shí)和技能。CISA 認(rèn)證在信息技術(shù)和審計(jì)領(lǐng)域具有較高的認(rèn)可度。

• 中文名CISA信息系統(tǒng)審計(jì)師認(rèn)證
• 英文名Certified Information Systems Auditor
• 英文簡(jiǎn)稱(chēng)CISA
• 頒證機(jī)構(gòu)ISACA（國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)）
• 證書(shū)類(lèi)別IT審計(jì)，IT運(yùn)維，信息安全
• 同類(lèi)認(rèn)證CISM、CRISC

>>>重要！CISA新版教材于2024年5月1日更新，到底發(fā)生了哪些變化？<<<

《CISA Review Manual（CISA考試復(fù)習(xí)手冊(cè)）》

CISA官方教材選用ISACA官方出版的《CISA Review Manual》，中文名稱(chēng)是《CISA考試復(fù)習(xí)手冊(cè)》。教材每年更新，目前_新版是第27版?！禖ISA考試復(fù)習(xí)手冊(cè)》是CISA認(rèn)證考試的基礎(chǔ)。

隨著計(jì)算機(jī)技術(shù)在管理中的廣泛運(yùn)用，傳統(tǒng)的管理、控制、檢查和審計(jì)技術(shù)都面臨著巨大的挑戰(zhàn)。在網(wǎng)絡(luò)經(jīng)濟(jì)迅猛發(fā)展的今天，IT審計(jì)師已被公認(rèn)為全世界范圍內(nèi)非常搶手的高級(jí)人才。享譽(yù)全球的ISACA(國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì))為全球?qū)I(yè)人員提供知識(shí)、職業(yè)認(rèn)證并打造社群網(wǎng)絡(luò)，其推出的CISA（注冊(cè)信息系統(tǒng)審計(jì)師，Certified Information Systems Auditor）認(rèn)證在全球受到廣泛認(rèn)可，并已進(jìn)入中國(guó)。本書(shū)是ISACA官方出版的獲得CISA認(rèn)證的指定教材。

另外推薦同樣是ISACA官方出版的《CISA復(fù)習(xí)考題及解答手冊(cè)》，目前_新版是第12版。《CISA 復(fù)習(xí)考題及解答手冊(cè)》中包括1000道選擇題及解答，是根據(jù)新修訂的CISA工作實(shí)務(wù)領(lǐng)域編排的。這些題目及解答旨在向CISA考生介紹可能在CISA考試中出現(xiàn)的題目類(lèi)型。這些題目并不是考試中的真實(shí)題目?！禖ISA復(fù)習(xí)考題及解答手冊(cè)》還包含一份150道題目的考試樣卷，每個(gè)CISA工作實(shí)務(wù)領(lǐng)域相關(guān)的題目所占的比例與實(shí)際考試相同。

CISA考試復(fù)習(xí)手冊(cè)目錄結(jié)構(gòu)

《CISA Review Manual》原書(shū)為英文，也有中文版《CISA考試復(fù)習(xí)手冊(cè)》出版，其目錄供參考，如下：

《CISA考試復(fù)習(xí)手冊(cè)（第27版）》目錄

致謝
新增CISA工作實(shí)務(wù)
關(guān)于本手冊(cè)
概述
本手冊(cè)的編排
準(zhǔn)備CISA考試
開(kāi)始準(zhǔn)備
使用《CISA考試復(fù)習(xí)手冊(cè)》
手冊(cè)特征
將《CISA考試復(fù)習(xí)手冊(cè)》與其他ISACA資源結(jié)合使用
關(guān)于CISA復(fù)習(xí)考題及解答產(chǎn)品
第1章：信息系統(tǒng)的審計(jì)流程
概述
領(lǐng)域1考試內(nèi)容大綱
學(xué)習(xí)目標(biāo)/任務(wù)說(shuō)明
深造學(xué)習(xí)參考資料
自我評(píng)估問(wèn)題
自我評(píng)估問(wèn)題解答
第A部分：規(guī)劃
1.0 簡(jiǎn)介
1.1 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、準(zhǔn)則和道德規(guī)范
1.1.1 ISACA信息系統(tǒng)審計(jì)和鑒證標(biāo)準(zhǔn)
1.1.2 ISACA信息系統(tǒng)審計(jì)和鑒證準(zhǔn)則
1.1.3 ISACA職業(yè)道德規(guī)范
1.1.4 ITAF
1.2 業(yè)務(wù)流程
1.2.1 信息系統(tǒng)內(nèi)部審計(jì)職能
審計(jì)章程
1.2.2 信息系統(tǒng)審計(jì)職能的管理
信息系統(tǒng)審計(jì)資源的管理
1.2.3 審計(jì)規(guī)劃
單項(xiàng)審計(jì)任務(wù)
1.2.4 法律法規(guī)對(duì)信息系統(tǒng)審計(jì)規(guī)劃的影響
1.2.5 業(yè)務(wù)流程應(yīng)用程序和控制
電子商務(wù)
電子數(shù)據(jù)交換
電子郵件
銷(xiāo)售終端系統(tǒng)
電子銀行
電子資金轉(zhuǎn)賬
自動(dòng)提款機(jī)
電子金融
集成制造系統(tǒng)
交互式語(yǔ)音響應(yīng)
采購(gòu)會(huì)計(jì)系統(tǒng)
圖像處理
工業(yè)控制系統(tǒng)
人工智能和專(zhuān)家系統(tǒng)
供應(yīng)鏈管理
客戶(hù)關(guān)系管理
1.2.6 使用其他審計(jì)師和專(zhuān)家的服務(wù)
1.3 控制類(lèi)型
1.3.1 控制目標(biāo)和控制措施
信息系統(tǒng)控制目標(biāo)
1.3.2 控制環(huán)境評(píng)估
1.3.3 常規(guī)控制
1.3.4 信息系統(tǒng)特有的控制
1.4 基于風(fēng)險(xiǎn)的審計(jì)規(guī)劃
1.4.1 審計(jì)風(fēng)險(xiǎn)和重要性
1.4.2 風(fēng)險(xiǎn)評(píng)估
1.4.3 信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)評(píng)估技術(shù)
1.4.4 風(fēng)險(xiǎn)分析
1.5 審計(jì)類(lèi)型和評(píng)估
第B部分：執(zhí)行
1.6 審計(jì)項(xiàng)目管理
1.6.1 審計(jì)目標(biāo)
1.6.2 審計(jì)階段
1.6.3 審計(jì)程序
制定審計(jì)程序所需的基礎(chǔ)技能
1.6.4 審計(jì)工作底稿
1.6.5 欺詐、違規(guī)和非法行為
1.7 抽樣方法論
1.7.1 符合性與實(shí)質(zhì)性測(cè)試
1.7.2 抽樣
抽樣風(fēng)險(xiǎn)
1.8 審計(jì)證據(jù)收集技巧
1.8.1 訪問(wèn)和觀察員工以了解其職責(zé)履行情況
1.9 數(shù)據(jù)分析
1.9.1 計(jì)算機(jī)輔助審計(jì)技術(shù)
作為持續(xù)在線(xiàn)審計(jì)方法的CAAT
1.9.2 持續(xù)審計(jì)和監(jiān)控
1.9.3 持續(xù)審計(jì)技術(shù)
1.10 報(bào)告和溝通技巧
1.10.1 溝通審計(jì)結(jié)果
1.10.2 審計(jì)報(bào)告目標(biāo)
1.10.3 審計(jì)報(bào)告的結(jié)構(gòu)與內(nèi)容
1.10.4 審計(jì)記錄
1.10.5 后續(xù)活動(dòng)
1.10.6 信息系統(tǒng)審計(jì)報(bào)告的類(lèi)型
1.11 質(zhì)量_和審計(jì)流程改進(jìn)
1.11.1 控制自我評(píng)估
CSA的目標(biāo)
CSA的優(yōu)勢(shì)
CSA的劣勢(shì)
信息系統(tǒng)審計(jì)師在CSA中的角色
1.11.2 整合審計(jì)
案例研究
案例研究相關(guān)問(wèn)題的答案
第2章：IT治理與管理
概述
領(lǐng)域2考試內(nèi)容大綱
學(xué)習(xí)目標(biāo)/任務(wù)說(shuō)明
深造學(xué)習(xí)參考資料
自我評(píng)估問(wèn)題
自我評(píng)估問(wèn)題解答
第A部分：IT治理
2.0 簡(jiǎn)介
2.1 IT治理和IT戰(zhàn)略
2.1.1 企業(yè)信息和技術(shù)治理
2.1.2 EGIT的良好實(shí)踐
2.1.3 EGIT中的審計(jì)角色
2.1.4 信息安全治理
有效的信息安全治理
2.1.5 信息系統(tǒng)戰(zhàn)略
2.1.6 戰(zhàn)略規(guī)劃
2.1.7 商業(yè)智能
數(shù)據(jù)治理
2.2 IT相關(guān)框架
2.3 IT標(biāo)準(zhǔn)、政策、程序和準(zhǔn)則
2.3.1 標(biāo)準(zhǔn)
2.3.2 政策
信息安全政策
審查信息安全政策
2.3.3 程序
2.3.4 準(zhǔn)則
2.4 組織結(jié)構(gòu)
2.4.1 IT治理委員會(huì)
2.4.2 高級(jí)管理層和董事會(huì)的角色和職責(zé)
董事會(huì)
高級(jí)管理層
信息安全標(biāo)準(zhǔn)委員會(huì)
首席信息安全官
IT指導(dǎo)委員會(huì)
結(jié)果和職責(zé)矩陣
2.4.3 IT組織結(jié)構(gòu)和職責(zé)
IT角色和職責(zé)
2.4.4 IT內(nèi)部的職責(zé)分離
職責(zé)分離控制
2.4.5 審計(jì)IT治理結(jié)構(gòu)與實(shí)施
審查文檔
2.5 企業(yè)架構(gòu)
2.6 企業(yè)風(fēng)險(xiǎn)管理
2.6.1 制訂風(fēng)險(xiǎn)管理方案
2.6.2 風(fēng)險(xiǎn)管理流程
第1步：資產(chǎn)識(shí)別
第2步：資產(chǎn)面臨的威脅和漏洞評(píng)估
第3步：影響評(píng)估
第4步：風(fēng)險(xiǎn)計(jì)算
第5步：風(fēng)險(xiǎn)評(píng)估和響應(yīng)
2.6.3 風(fēng)險(xiǎn)分析方法
定性分析方法
半定量分析方法
定量分析方法
2.7 成熟度模型
2.7.1 能力成熟度模型集成
2.7.2 初始化、診斷、建立、行動(dòng)和學(xué)習(xí)模型
2.8 影響組織的法律、法規(guī)和行業(yè)標(biāo)準(zhǔn)
2.8.1 治理、風(fēng)險(xiǎn)與合規(guī)性
2.8.2 法律、法規(guī)和行業(yè)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)審計(jì)的影響
第B部分：IT管理層
2.9 IT資源管理
2.9.1 IT的價(jià)值
2.9.2 實(shí)施IT組合管理
IT組合管理與平衡計(jì)分卡
2.9.3 IT管理實(shí)務(wù)
2.9.4 人力資源管理
雇用
員工手冊(cè)
晉升政策
培訓(xùn)
日程計(jì)劃安排和時(shí)間報(bào)告
雇用期間
員工績(jī)效評(píng)估
必休假期
離職政策
2.9.5 組織變更管理
2.9.6 財(cái)務(wù)管理實(shí)務(wù)
信息系統(tǒng)預(yù)算
軟件開(kāi)發(fā)
2.9.7 信息安全管理
2.10 IT服務(wù)提供商購(gòu)置和管理
2.10.1 外包實(shí)務(wù)與戰(zhàn)略
行業(yè)標(biāo)準(zhǔn)/基準(zhǔn)檢測(cè)
全球化實(shí)務(wù)與策略
2.10.2 外包和第三方審計(jì)報(bào)告
2.10.3 云治理
2.10.4 外包中的治理
2.10.5 容量和發(fā)展規(guī)劃
2.10.6 第三方服務(wù)交付管理
2.10.7 第三方服務(wù)的監(jiān)控和審查
2.10.8 管理第三方服務(wù)變更
服務(wù)改善和用戶(hù)滿(mǎn)意度
2.11 IT性能監(jiān)控和報(bào)告
2.11.1 績(jī)效優(yōu)化
關(guān)鍵成功因素
方法和工具
2.11.2 工具和技術(shù)
2.12 IT質(zhì)量_和質(zhì)量管理
2.12.1 質(zhì)量_
2.12.2 質(zhì)量管理
案例研究
案例研究相關(guān)問(wèn)題的答案
第3章：信息系統(tǒng)的購(gòu)置、開(kāi)發(fā)與實(shí)施
概述
領(lǐng)域3考試內(nèi)容大綱
學(xué)習(xí)目標(biāo)/任務(wù)說(shuō)明
深造學(xué)習(xí)參考資料
自我評(píng)估問(wèn)題
自我評(píng)估問(wèn)題解答
第A部分：信息系統(tǒng)的購(gòu)置與開(kāi)發(fā)
3.0 簡(jiǎn)介
3.1 項(xiàng)目治理和管理
3.1.1 項(xiàng)目管理實(shí)務(wù)
3.1.2 項(xiàng)目管理結(jié)構(gòu)
3.1.3 項(xiàng)目管理角色和職責(zé)
3.1.4 項(xiàng)目管理技術(shù)
3.1.5 組合/項(xiàng)目群管理
3.1.6 項(xiàng)目管理辦公室
項(xiàng)目組合數(shù)據(jù)庫(kù)
3.1.7 項(xiàng)目效益實(shí)現(xiàn)
3.1.8 項(xiàng)目啟動(dòng)
3.1.9 項(xiàng)目目標(biāo)
3.1.10 項(xiàng)目規(guī)劃
信息系統(tǒng)開(kāi)發(fā)項(xiàng)目成本估算
軟件規(guī)模估算
功能點(diǎn)分析
成本預(yù)算
軟件成本估算
日程計(jì)劃安排和確定時(shí)間范圍
3.1.11 項(xiàng)目執(zhí)行
3.1.12 項(xiàng)目控制和監(jiān)控
范圍變更管理
資源使用管理
3.1.13 項(xiàng)目完工
3.1.14 信息系統(tǒng)審計(jì)師在項(xiàng)目管理中的角色
3.2 業(yè)務(wù)案例和可行性分析
3.2.1 信息系統(tǒng)審計(jì)師在業(yè)務(wù)案例開(kāi)發(fā)中的角色
3.3 系統(tǒng)開(kāi)發(fā)方法
3.3.1 業(yè)務(wù)應(yīng)用程序開(kāi)發(fā)
3.3.2 SDLC模型
3.3.3 SDLC階段
階段1：可行性分析
階段2：要求定義
階段3A：軟件選擇與購(gòu)置
階段3B：設(shè)計(jì)
階段4A：配置
階段4B：開(kāi)發(fā)
階段5：_終測(cè)試與實(shí)施
階段6：實(shí)施后審查
3.3.4 信息系統(tǒng)審計(jì)師在SDLC項(xiàng)目管理中的角色
3.3.5 軟件開(kāi)發(fā)方法
原型設(shè)計(jì)——進(jìn)化式開(kāi)發(fā)
快速應(yīng)用開(kāi)發(fā)
敏捷開(kāi)發(fā)
面向?qū)ο蟮南到y(tǒng)開(kāi)發(fā)
基于組件的開(kāi)發(fā)
軟件再造
逆向工程
DevOps
業(yè)務(wù)流程再造和流程變更
3.3.6 系統(tǒng)開(kāi)發(fā)工具和生產(chǎn)力輔助手段
計(jì)算機(jī)輔助軟件工程
代碼生成器
第四代語(yǔ)言
3.3.7 基礎(chǔ)架構(gòu)開(kāi)發(fā)/購(gòu)置實(shí)踐
物理架構(gòu)分析的各個(gè)項(xiàng)目階段
規(guī)劃基礎(chǔ)設(shè)施的實(shí)施
3.3.8 硬件/軟件購(gòu)置
購(gòu)置步驟
信息系統(tǒng)審計(jì)師在硬件購(gòu)置中的角色
3.3.9 系統(tǒng)軟件購(gòu)置
整合資源管理系統(tǒng)
信息系統(tǒng)審計(jì)師在軟件購(gòu)置中的角色
3.4 控制識(shí)別和設(shè)計(jì)
3.4.1 輸入/來(lái)源控制
輸入授權(quán)
批量控制和核對(duì)
錯(cuò)誤報(bào)告和處理
3.4.2 處理程序和控制
數(shù)據(jù)驗(yàn)證和編輯程序
處理控制
數(shù)據(jù)文件控制程序
3.4.3 輸出控制
3.4.4 應(yīng)用控制
信息系統(tǒng)審計(jì)師在審查應(yīng)用控制中的角色
3.4.5 用戶(hù)程序
3.4.6 決策支持系統(tǒng)
設(shè)計(jì)與開(kāi)發(fā)
實(shí)施和使用
風(fēng)險(xiǎn)因素
實(shí)施戰(zhàn)略
評(píng)估與評(píng)價(jià)
DSS共同特征
第B部分：信息系統(tǒng)實(shí)施
3.5 測(cè)試方法
3.5.1 測(cè)試分類(lèi)
其他測(cè)試類(lèi)型
3.5.2 軟件測(cè)試
3.5.3 數(shù)據(jù)完整性測(cè)試
在線(xiàn)交易處理系統(tǒng)的數(shù)據(jù)完整性
3.5.4 應(yīng)用程序系統(tǒng)測(cè)試
自動(dòng)化應(yīng)用程序測(cè)試
3.5.5 信息系統(tǒng)審計(jì)師在信息系統(tǒng)測(cè)試中的角色
3.6 配置和發(fā)布管理
3.7 系統(tǒng)遷移、基礎(chǔ)設(shè)施部署和數(shù)據(jù)轉(zhuǎn)換
3.7.1 數(shù)據(jù)遷移
完善遷移方案
回退（回滾）方案
3.7.2 轉(zhuǎn)換（上線(xiàn)或切換）技術(shù)
并行轉(zhuǎn)換
分階段轉(zhuǎn)換
一次性轉(zhuǎn)換
3.7.3 系統(tǒng)實(shí)施
實(shí)施計(jì)劃
3.7.4 系統(tǒng)變更程序和程序遷移流程
關(guān)鍵成功因素
_終用戶(hù)培訓(xùn)
3.7.5 系統(tǒng)軟件實(shí)施
3.7.6 認(rèn)證/鑒定
3.8 實(shí)施后審查
3.8.1 信息系統(tǒng)審計(jì)師在實(shí)施后審查中的角色
案例研究
案例研究相關(guān)問(wèn)題的答案
第4章：信息系統(tǒng)的運(yùn)營(yíng)和業(yè)務(wù)恢復(fù)能力
概述
領(lǐng)域4考試內(nèi)容大綱
學(xué)習(xí)目標(biāo)/任務(wù)說(shuō)明
深造學(xué)習(xí)參考資料
自我評(píng)估問(wèn)題
自我評(píng)估問(wèn)題解答
第A部分：信息系統(tǒng)運(yùn)營(yíng)
4.0 簡(jiǎn)介
4.1 常用技術(shù)組件
4.1.1 計(jì)算機(jī)硬件組件和架構(gòu)
處理組件
輸入/輸出組件
計(jì)算機(jī)類(lèi)型
4.1.2 常用的企業(yè)后端設(shè)備
4.1.3 通用串行總線(xiàn)
與USB相關(guān)的風(fēng)險(xiǎn)
與USB相關(guān)的安全控制
4.1.4 射頻識(shí)別
RFID的應(yīng)用
RFID的相關(guān)風(fēng)險(xiǎn)
RFID的安全控制
4.1.5 硬件維護(hù)程序
硬件監(jiān)控程序
4.1.6 硬件審查
4.2 IT資產(chǎn)管理
4.3 作業(yè)調(diào)度和生產(chǎn)流程自動(dòng)化
4.3.1 作業(yè)調(diào)度軟件
4.3.2 日程計(jì)劃安排審查
4.4 系統(tǒng)接口
4.4.1 與系統(tǒng)接口相關(guān)的風(fēng)險(xiǎn)
4.4.2 系統(tǒng)接口中的安全問(wèn)題
4.5 _終用戶(hù)計(jì)算
4.6 數(shù)據(jù)治理
4.6.1 數(shù)據(jù)管理
數(shù)據(jù)質(zhì)量
數(shù)據(jù)生命周期
4.7 系統(tǒng)性能管理
4.7.1 信息系統(tǒng)架構(gòu)和軟件
4.7.2 操作系統(tǒng)
軟件控制功能或參數(shù)
軟件完整性問(wèn)題
活動(dòng)日志和報(bào)告選項(xiàng)
操作系統(tǒng)審查
4.7.3 訪問(wèn)控制軟件
4.7.4 數(shù)據(jù)通信軟件
4.7.5 實(shí)用程序
4.7.6 軟件許可問(wèn)題
4.7.7 源代碼管理
4.7.8 容量管理
4.8 問(wèn)題和事故管理
4.8.1 數(shù)據(jù)管理
4.8.2 事故處理過(guò)程
4.8.3 異常情況的檢測(cè)、記錄、控制、解決和報(bào)告
4.8.4 技術(shù)支持/客戶(hù)服務(wù)部門(mén)
4.8.5 網(wǎng)絡(luò)管理工具
4.8.6 問(wèn)題管理報(bào)告審查
4.9 變更、配置、發(fā)布和修補(bǔ)程序管理
4.9.1 修補(bǔ)程序管理
4.9.2 發(fā)布管理
4.9.3 信息系統(tǒng)運(yùn)營(yíng)
信息系統(tǒng)運(yùn)營(yíng)審查
4.10 IT服務(wù)水平管理
4.10.1 服務(wù)水平協(xié)議
4.10.2 服務(wù)水平監(jiān)控
4.10.3 服務(wù)水平與企業(yè)架構(gòu)
4.11 數(shù)據(jù)庫(kù)管理
4.11.1 DBMS架構(gòu)
詳細(xì)DBMS元數(shù)據(jù)架構(gòu)
數(shù)據(jù)字典/目錄系統(tǒng)
4.11.2 數(shù)據(jù)庫(kù)結(jié)構(gòu)
4.11.3 數(shù)據(jù)庫(kù)控制
4.11.4 數(shù)據(jù)庫(kù)審查
第B部分：業(yè)務(wù)恢復(fù)能力
4.12 業(yè)務(wù)影響分析
4.12.1 運(yùn)營(yíng)和關(guān)鍵性分析分類(lèi)
4.13 系統(tǒng)恢復(fù)能力
4.13.1 應(yīng)用程序恢復(fù)能力和災(zāi)難恢復(fù)方法
4.13.2 電信網(wǎng)恢復(fù)能力和災(zāi)難恢復(fù)方法
4.14 數(shù)據(jù)備份、存儲(chǔ)和恢復(fù)
4.14.1 數(shù)據(jù)存儲(chǔ)恢復(fù)能力和災(zāi)難恢復(fù)方法
4.14.2 備份與恢復(fù)
異地庫(kù)控制
異地設(shè)施的安全和控制
介質(zhì)和文檔備份
備份設(shè)備和介質(zhì)的類(lèi)型
定期備份程序
輪換頻率
輪換的介質(zhì)和文檔類(lèi)型
4.14.3 備份方案
完全備份
增量備份
差異備份
輪換方法
異地儲(chǔ)存的記錄保存
4.15 業(yè)務(wù)連續(xù)性計(jì)劃
4.15.1 IT業(yè)務(wù)連續(xù)性計(jì)劃
4.15.2 災(zāi)難和其他破壞性事件
流行病計(jì)劃
應(yīng)對(duì)形象、聲譽(yù)或品牌的損害
出乎意料/無(wú)法預(yù)測(cè)的事件
4.15.3 業(yè)務(wù)連續(xù)性計(jì)劃流程
4.15.4 業(yè)務(wù)連續(xù)性政策
4.15.5 業(yè)務(wù)連續(xù)性計(jì)劃事故管理
4.15.6 制訂業(yè)務(wù)連續(xù)性計(jì)劃
4.15.7 計(jì)劃制訂過(guò)程中的其他問(wèn)題
4.15.8 業(yè)務(wù)連續(xù)性計(jì)劃的構(gòu)成要素
關(guān)鍵決策人員
所需用品的備份
保險(xiǎn)
4.15.9 計(jì)劃測(cè)試
規(guī)范
測(cè)試執(zhí)行
結(jié)果記錄
結(jié)果分析
計(jì)劃維護(hù)
業(yè)務(wù)連續(xù)性管理良好實(shí)踐
4.15.10 業(yè)務(wù)連續(xù)性匯總
4.15.11 審計(jì)業(yè)務(wù)連續(xù)性
審查業(yè)務(wù)連續(xù)性計(jì)劃
對(duì)以前測(cè)試結(jié)果的評(píng)估
對(duì)異地存儲(chǔ)的評(píng)估
對(duì)非異地設(shè)施安全性的評(píng)估
與關(guān)鍵人員面談
審查備用處理設(shè)備合同
審查承保范圍
4.16 災(zāi)難恢復(fù)計(jì)劃
4.16.1 恢復(fù)點(diǎn)目標(biāo)和恢復(fù)時(shí)間目標(biāo)
4.16.2 恢復(fù)策略
4.16.3 恢復(fù)備選方案
合同條款
采購(gòu)備用硬件
4.16.4 災(zāi)難恢復(fù)計(jì)劃的制訂
IT DRP內(nèi)容
IT DRP情景
恢復(fù)程序
組織和職責(zé)分配
4.16.5 災(zāi)難恢復(fù)測(cè)試方法
測(cè)試的類(lèi)型
測(cè)試
測(cè)試結(jié)果
4.16.6 調(diào)用災(zāi)難恢復(fù)計(jì)劃
案例研究
案例研究相關(guān)問(wèn)題的答案
第5章：保護(hù)信息資產(chǎn)
概述
領(lǐng)域5考試內(nèi)容大綱
學(xué)習(xí)目標(biāo)/任務(wù)說(shuō)明
深造學(xué)習(xí)參考資料
自我評(píng)估問(wèn)題
自我評(píng)估問(wèn)題解答
第A部分：信息資產(chǎn)安全和控制
5.0 簡(jiǎn)介
5.1 信息資產(chǎn)安全框架、標(biāo)準(zhǔn)和準(zhǔn)則
5.1.1 審計(jì)信息安全管理框架
審查書(shū)面政策、程序和標(biāo)準(zhǔn)
正式的安全意識(shí)培養(yǎng)和培訓(xùn)
數(shù)據(jù)所有權(quán)
數(shù)據(jù)所有者
數(shù)據(jù)保管員
安全管理員
新IT用戶(hù)
數(shù)據(jù)用戶(hù)
書(shū)面記錄的授權(quán)
解約員工的訪問(wèn)權(quán)限
安全基準(zhǔn)
訪問(wèn)標(biāo)準(zhǔn)
5.2 隱私保護(hù)原則
5.2.1 隱私保護(hù)的審計(jì)注意事項(xiàng)
5.3 物理訪問(wèn)和環(huán)境控制
5.3.1 管理、技術(shù)和物理控制
5.3.2 控制監(jiān)控與有效性
5.3.3 環(huán)境暴露風(fēng)險(xiǎn)和控制措施
設(shè)備問(wèn)題和與環(huán)境有關(guān)的暴露風(fēng)險(xiǎn)
環(huán)境暴露風(fēng)險(xiǎn)的控制
5.3.4 物理訪問(wèn)暴露風(fēng)險(xiǎn)和控制措施
物理訪問(wèn)問(wèn)題和暴露風(fēng)險(xiǎn)
物理訪問(wèn)控制
審計(jì)物理訪問(wèn)
5.4 身份和訪問(wèn)管理
5.4.1 系統(tǒng)訪問(wèn)權(quán)限
5.4.2 強(qiáng)制和自主存取控制
5.4.3 信息安全和外部相關(guān)方
識(shí)別與外部各方相關(guān)的風(fēng)險(xiǎn)
滿(mǎn)足與客戶(hù)相關(guān)的安全要求
人力資源安全和第三方
5.4.4 邏輯訪問(wèn)
邏輯訪問(wèn)暴露風(fēng)險(xiǎn)
熟悉企業(yè)的IT環(huán)境
邏輯訪問(wèn)路徑
5.4.5 訪問(wèn)控制軟件
5.4.6 身份識(shí)別和認(rèn)證
5.4.7 登錄ID和密碼
密碼的特點(diǎn)
登錄ID和密碼良好實(shí)踐
令牌設(shè)備、一次性密碼
5.4.8生物特征識(shí)別
基于生理特征的生物特征識(shí)別
基于行為的生物特征識(shí)別
生物特征識(shí)別管理
5.4.9 單點(diǎn)登錄
5.4.10 授權(quán)問(wèn)題
訪問(wèn)控制列表
邏輯訪問(wèn)安全管理
遠(yuǎn)程訪問(wèn)安全
5.4.11 監(jiān)控系統(tǒng)訪問(wèn)時(shí)的審計(jì)記錄
系統(tǒng)日志的訪問(wèn)權(quán)限
審計(jì)軌跡（日志）分析工具
成本考慮因素
5.4.12 邏輯訪問(wèn)控制的命名約定
5.4.13 聯(lián)合身份管理
5.4.14 審計(jì)邏輯訪問(wèn)
熟悉IT環(huán)境
評(píng)估和記錄訪問(wèn)路徑
與系統(tǒng)人員面談
審查來(lái)自訪問(wèn)控制軟件的報(bào)告
審查應(yīng)用程序系統(tǒng)操作手冊(cè)
5.4.15 數(shù)據(jù)泄露
數(shù)據(jù)泄露防護(hù)
5.5 網(wǎng)絡(luò)和終端安全
5.5.1 信息系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施
5.5.2 企業(yè)網(wǎng)絡(luò)架構(gòu)
5.5.3 網(wǎng)絡(luò)類(lèi)型
5.5.4 網(wǎng)絡(luò)服務(wù)
5.5.5 網(wǎng)絡(luò)標(biāo)準(zhǔn)和協(xié)議
5.5.6 OSI架構(gòu)
5.5.7 網(wǎng)絡(luò)架構(gòu)中OSI模型的應(yīng)用
局域網(wǎng)
廣域網(wǎng)
幀中繼
TCP/IP及其與OSI參考模型的關(guān)系
網(wǎng)絡(luò)管理和控制
網(wǎng)絡(luò)性能指標(biāo)
聯(lián)網(wǎng)環(huán)境中的應(yīng)用程序
按需計(jì)算
5.5.8 網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性
客戶(hù)端/服務(wù)器安全
互聯(lián)網(wǎng)安全控制
防火墻安全系統(tǒng)
數(shù)據(jù)_濾防火墻
應(yīng)用程序防火墻系統(tǒng)
狀態(tài)檢測(cè)防火墻
網(wǎng)絡(luò)變更的開(kāi)發(fā)和授權(quán)
5.5.9 影子IT
5.6 數(shù)據(jù)分類(lèi)
5.7 數(shù)據(jù)加密和加密相關(guān)技術(shù)
5.7.1 加密系統(tǒng)的關(guān)鍵要素
5.7.2 對(duì)稱(chēng)密鑰加密系統(tǒng)
5.7.3 公共（非對(duì)稱(chēng)）密鑰加密系統(tǒng)
量子密碼學(xué)
數(shù)字簽名
數(shù)字信封
5.7.4 加密系統(tǒng)的應(yīng)用
傳輸層安全性
IP安全協(xié)議（IPSec）
安全殼
安全多功能互聯(lián)網(wǎng)郵件擴(kuò)展協(xié)議（S/MIME）
5.8 公鑰基礎(chǔ)設(shè)施
5.9 基于Web的通信技術(shù)
5.9.1 IP語(yǔ)音
VoIP安全問(wèn)題
5.9.2 專(zhuān)用分組交換機(jī)
PBX風(fēng)險(xiǎn)
PBX審計(jì)
5.9.3 電子郵件安全問(wèn)題
5.9.4 對(duì)等計(jì)算
5.9.5 即時(shí)消息
5.9.6 社交媒體
5.9.7 云計(jì)算
5.10 虛擬化環(huán)境
5.10.1 關(guān)鍵風(fēng)險(xiǎn)領(lǐng)域
5.10.2 典型控制
5.11 移動(dòng)、無(wú)線(xiàn)和物聯(lián)網(wǎng)設(shè)備
5.11.1 移動(dòng)計(jì)算
自帶設(shè)備
移動(dòng)設(shè)備上的互聯(lián)網(wǎng)訪問(wèn)
5.11.2 無(wú)線(xiàn)網(wǎng)絡(luò)
無(wú)線(xiàn)廣域網(wǎng)
無(wú)線(xiàn)局域網(wǎng)
WEP和Wi-Fi網(wǎng)絡(luò)安全存取協(xié)議（WPA/WPA2）
無(wú)線(xiàn)個(gè)人局域網(wǎng)
臨時(shí)網(wǎng)絡(luò)
公共全球互聯(lián)網(wǎng)基礎(chǔ)設(shè)施
無(wú)線(xiàn)安全威脅和風(fēng)險(xiǎn)降低
5.11.3 物聯(lián)網(wǎng)
第B部分：安全事件管理
5.12 安全意識(shí)培訓(xùn)和計(jì)劃
5.13 信息系統(tǒng)攻擊方法和技術(shù)
5.13.1 舞弊風(fēng)險(xiǎn)因素
5.13.2 計(jì)算機(jī)犯罪問(wèn)題和暴露風(fēng)險(xiǎn)
5.13.3 互聯(lián)網(wǎng)威脅和安全
網(wǎng)絡(luò)安全威脅
被動(dòng)攻擊
主動(dòng)攻擊
互聯(lián)網(wǎng)攻擊的起因
5.13.4 惡意軟件
病毒和蠕蟲(chóng)控制
管理程序控制
技術(shù)控制
防惡意軟件實(shí)施策略
定向攻擊
5.14 安全測(cè)試工具和技術(shù)
5.14.1 通用安全控制的測(cè)試技術(shù)
終端卡和密鑰
終端標(biāo)識(shí)
生產(chǎn)資源控制
計(jì)算機(jī)訪問(wèn)違規(guī)情況的記錄和報(bào)告
繞過(guò)安全和補(bǔ)償性控制
5.14.2 網(wǎng)絡(luò)滲透測(cè)試
5.14.3 威脅情報(bào)
5.15 安全監(jiān)控工具和技術(shù)
5.15.1 入侵檢測(cè)系統(tǒng)
特點(diǎn)
局限性
政策
5.15.2 入侵防御系統(tǒng)
蜜罐和蜜網(wǎng)
全面網(wǎng)絡(luò)評(píng)估審查
5.15.3 安全信息和事件管理
5.16 事故響應(yīng)管理
5.17 證據(jù)收集和取證
5.17.1 計(jì)算機(jī)取證
數(shù)據(jù)保護(hù)
數(shù)據(jù)采集
鏡像
提取
數(shù)據(jù)獲取/正規(guī)化
報(bào)告
5.17.2 證據(jù)和監(jiān)管鏈的保護(hù)
案例研究
案例研究相關(guān)問(wèn)題的答案
附錄A：CISA考試常規(guī)信息
附錄B：2019年CISA工作實(shí)務(wù)
詞匯表
縮略語(yǔ)
反侵權(quán)盜版聲明

《CISA 復(fù)習(xí)考題及解答手冊(cè)（第12版）》目錄

前言
致謝/新增 ―― CISA 工作實(shí)務(wù)
引言
概述
CISA 考試中的題目類(lèi)型
學(xué)前測(cè)驗(yàn)
各領(lǐng)域相關(guān)題目與解答
領(lǐng)域 1 ―― 信息系統(tǒng)審計(jì)流程 (21%)
領(lǐng)域 2 ―― IT 治理與管理 (17%)
領(lǐng)域 3 ―― 信息系統(tǒng)的購(gòu)置、開(kāi)發(fā)與實(shí)施 (12%)
領(lǐng)域 4 ―― 信息系統(tǒng)的運(yùn)營(yíng)和業(yè)務(wù)恢復(fù)能力 (23%)
領(lǐng)域 5 ―― 信息資產(chǎn)的保護(hù) (27%)
學(xué)后測(cè)驗(yàn)
考試樣卷
考試樣卷參考答案
考試樣卷答題紙（學(xué)前測(cè)驗(yàn)）
考試樣卷答題紙（學(xué)后測(cè)驗(yàn)
評(píng)估

CISA知識(shí)體系介紹

CISA的學(xué)習(xí)，具備知識(shí)領(lǐng)域覆蓋廣泛，知識(shí)點(diǎn)分散和繁雜的特點(diǎn)。學(xué)習(xí)的過(guò)程中，需要形成自己學(xué)習(xí)思路和理解習(xí)慣。CISA知識(shí)體系主要由五大知識(shí)領(lǐng)域構(gòu)成。

1．信息系統(tǒng)審計(jì)流程 (21%)——遵照 IT 審計(jì)標(biāo)準(zhǔn)提供審計(jì)服務(wù)，以幫助組織保護(hù)和控制其信息系統(tǒng)。

2．IT治理和管理 (17%)——用以確保具備必要的領(lǐng)導(dǎo)層、組織結(jié)構(gòu)及流程來(lái)實(shí)現(xiàn)相關(guān)目標(biāo)和支持組織戰(zhàn)略。

3．信息系統(tǒng)購(gòu)置、開(kāi)發(fā)與實(shí)施 (12%)——用以確保信息系統(tǒng)的購(gòu)置、開(kāi)發(fā)、測(cè)試和實(shí)施實(shí)務(wù)符合組織的戰(zhàn)略與目標(biāo)。

4．信息系統(tǒng)的運(yùn)營(yíng)和業(yè)務(wù)恢復(fù)能力（23%）——用以確保信息系統(tǒng)的操作、維護(hù)與支持流程符合組織的戰(zhàn)略與目標(biāo)。

5．信息資產(chǎn)的保護(hù) (27%)——用以確保組織的安全政策、標(biāo)準(zhǔn)、規(guī)程和控制能夠_信息資產(chǎn)的機(jī)密性、完整性和可用性。

_部分 信息系統(tǒng)的審計(jì)流程

總體上是審計(jì)師這個(gè)角色需要理解和學(xué)習(xí)，適用于日常工作開(kāi)展的知識(shí)體系，介紹了三個(gè)方面：

1. 審計(jì)師的職責(zé)、權(quán)利、制約因素：
   • 審計(jì)章程明確審計(jì)部門(mén)和審計(jì)師的職責(zé)權(quán)利
   • 審計(jì)師符合ISACA的標(biāo)準(zhǔn)
   • 審計(jì)師的道德約束
   • 審計(jì)師能做什么，審計(jì)師不能做什么
2. 審計(jì)師的審計(jì)范圍、目標(biāo)、采用的工具和方法
   • 審計(jì)流程
   • 審計(jì)規(guī)劃
   • 基于風(fēng)險(xiǎn)的審計(jì)方法
   • 控制類(lèi)型：預(yù)防、檢測(cè)、控制
   • 審計(jì)工具和方法：抽樣方法、持續(xù)性審計(jì)方法、CAAT、CSA等
   • 審計(jì)報(bào)告（輸出、溝通及溝通技巧）
3. 審計(jì)師的審計(jì)報(bào)告及溝通
   • 什么時(shí)候就審計(jì)發(fā)現(xiàn)進(jìn)行溝通、什么時(shí)候上報(bào)等。

第二部分 IT治理和管理

介紹了治理和管理兩個(gè)部分的內(nèi)容，治理屬于高屋建瓴，屬于戰(zhàn)略層次，指明方向，猶如茫茫海域的燈塔。管理屬于細(xì)分執(zhí)行，屬于戰(zhàn)術(shù)層次，說(shuō)明需要執(zhí)行的環(huán)節(jié)，猶如航行的一葉舟。一句話(huà)說(shuō)，治理和管理，一個(gè)偏虛，偏高大上，一個(gè)務(wù)實(shí)，偏實(shí)際作業(yè)。

1. IT治理
   • 高級(jí)管理層、指導(dǎo)委員會(huì)、戰(zhàn)略委員會(huì)的職責(zé)
   • 組織結(jié)構(gòu)（內(nèi)部的SOD）、企業(yè)架構(gòu)、標(biāo)準(zhǔn)、政策和程序等
   • 企業(yè)風(fēng)險(xiǎn)管理（風(fēng)險(xiǎn)管理流程，評(píng)估方法等）
   • 管理參照模型（CMMI）
   • IT戰(zhàn)略委員會(huì)和管理層的工具：IT BSC
   • 法律法規(guī)、行業(yè)準(zhǔn)則的影響
2. IT管理
   • 資源、服務(wù)、質(zhì)量_
   • 相應(yīng)的監(jiān)控工具和方法

第三部分 信息系統(tǒng)的購(gòu)置、開(kāi)發(fā)與實(shí)施

從項(xiàng)目的角度，介紹了信息系統(tǒng)從業(yè)務(wù)案例到實(shí)施后效果評(píng)估的全流程。全章基本可以從項(xiàng)目角度去理解，一個(gè)信息系統(tǒng)的建立，從可行性分析，業(yè)務(wù)案例的建立和審批，到需求收集、分析和定義、規(guī)劃設(shè)計(jì)和實(shí)現(xiàn)，再到項(xiàng)目實(shí)施和項(xiàng)目收尾。其中，業(yè)務(wù)方的確認(rèn)，在項(xiàng)目的各個(gè)環(huán)節(jié)都需要進(jìn)行，一個(gè)環(huán)節(jié)的確認(rèn)，代表一個(gè)階段的結(jié)束，以便合理的進(jìn)入下一階段的執(zhí)行。第三章涉及多個(gè)方面：

1. 購(gòu)置：
   • 供應(yīng)商的招投評(píng)授
2. 開(kāi)發(fā)：
   • 原型法、敏捷、Devops、面向?qū)ο蟆⒒诮M件等
   • 模型：SDLC、V模型等
3. 測(cè)試：?jiǎn)卧⒓?、系統(tǒng)、用戶(hù)、并行、回歸、社交等
4. 上線(xiàn)：并行、一次性、階段性
5. 收尾：用戶(hù)驗(yàn)收、實(shí)施后審查
   • IT治理
     • 高級(jí)管理層、指導(dǎo)委員會(huì)、戰(zhàn)略委員會(huì)的職責(zé)
     • 組織結(jié)構(gòu)（內(nèi)部的SOD）、企業(yè)架構(gòu)、標(biāo)準(zhǔn)、政策和程序等
     • 企業(yè)風(fēng)險(xiǎn)管理（風(fēng)險(xiǎn)管理流程，評(píng)估方法等）
     • 管理參照模型（CMMI）
     • IT戰(zhàn)略委員會(huì)和管理層的工具：IT BSC
     • 法律法規(guī)、行業(yè)準(zhǔn)則的影響
   • IT管理
     • 資源、服務(wù)、質(zhì)量_
     • 相應(yīng)的監(jiān)控工具和方法

第四部分 信息系統(tǒng)的運(yùn)營(yíng)和業(yè)務(wù)恢復(fù)能力

從兩方面來(lái)看，一方面是運(yùn)營(yíng)，一方面是業(yè)務(wù)恢復(fù)。學(xué)習(xí)的時(shí)候，需要了解運(yùn)營(yíng)都需要做什么，關(guān)注哪些方面，業(yè)務(wù)恢復(fù)相對(duì)比較容易理解，實(shí)操中，也是優(yōu)先恢復(fù)關(guān)鍵業(yè)務(wù)系統(tǒng)。

1. 運(yùn)營(yíng)：
   • 業(yè)務(wù)所需的技術(shù)組件
   • 資產(chǎn)管理
   • 批處理和流程自動(dòng)化
   • 數(shù)據(jù)治理
   • 系統(tǒng)管理（軟件、版本控制、性能等）
   • 事故和問(wèn)題管理
   • 變更管理
   • 服務(wù)水平
2. 業(yè)務(wù)恢復(fù)
   • 業(yè)務(wù)影響分析（BIA）
   • 恢復(fù)策略
   • 恢復(fù)能力
   • 備份
   • 業(yè)務(wù)連續(xù)性計(jì)劃（BCP）
   • BCP的測(cè)試

第五部分 保護(hù)信息資產(chǎn)

簡(jiǎn)單理解，就是信息資產(chǎn)的理解，首先要搞清楚，有哪些資產(chǎn)，其次，從人防物防和技防的角度去考慮和總結(jié)。公司信息安全的管理，主要關(guān)注：數(shù)據(jù)、網(wǎng)絡(luò)、終端和環(huán)境

1. 數(shù)據(jù)：所有者、數(shù)據(jù)分類(lèi)、權(quán)限管理（基于角色授權(quán)、按需知密等）、數(shù)據(jù)加密、隱私保護(hù)、DLP等
2. 網(wǎng)絡(luò)：網(wǎng)絡(luò)邊界、防火墻、路由器、無(wú)線(xiàn)
3. 終端：USB、病毒防御等
4. 環(huán)境：保安、門(mén)禁、監(jiān)控、防火防水防盜等
5. 安全意識(shí)培訓(xùn)，屬于獨(dú)立體系，基本每個(gè)方面都需要做。

視頻：帶你全方位了解CISA

點(diǎn)擊觀看視頻