400-888-5228

CISA認證是由信息系統審計與控制協(xié)會(huì )(ISACA)頒發(fā)的,針對信息系統審計、控制與安全領(lǐng)域的專(zhuān)業(yè)認證。它表明持證人在評估和審計信息系統的安全性、可靠性和有效性方面具備專(zhuān)業(yè)知識和技能。CISA 認證在信息技術(shù)和審計領(lǐng)域具有較高的認可度。

  • 中文名CISA信息系統審計師認證
  • 英文名Certified Information Systems Auditor
  • 英文簡(jiǎn)稱(chēng)CISA
  • 頒證機構ISACA(國際信息系統審計與控制協(xié)會(huì ))
  • 證書(shū)類(lèi)別IT審計,IT運維,信息安全
  • 同類(lèi)認證CISM、CRISC

>>>重要!CISA新版教材于2024年5月1日更新,到底發(fā)生了哪些變化?<<<

《CISA Review Manual(CISA考試復習手冊)》

CISA官方教材選用ISACA官方出版的《CISA Review Manual》,中文名稱(chēng)是《CISA考試復習手冊》。教材每年更新,目前_新版是第27版?!禖ISA考試復習手冊》是CISA認證考試的基礎。

隨著(zhù)計算機技術(shù)在管理中的廣泛運用,傳統的管理、控制、檢查和審計技術(shù)都面臨著(zhù)巨大的挑戰。在網(wǎng)絡(luò )經(jīng)濟迅猛發(fā)展的今天,IT審計師已被公認為全世界范圍內非常搶手的高級人才。享譽(yù)全球的ISACA(國際信息系統審計協(xié)會(huì ))為全球專(zhuān)業(yè)人員提供知識、職業(yè)認證并打造社群網(wǎng)絡(luò ),其推出的CISA(注冊信息系統審計師,Certified Information Systems Auditor)認證在全球受到廣泛認可,并已進(jìn)入中國。本書(shū)是ISACA官方出版的獲得CISA認證的指定教材。

另外推薦同樣是ISACA官方出版的《CISA復習考題及解答手冊》,目前_新版是第12版。《CISA 復習考題及解答手冊》中包括1000道選擇題及解答,是根據新修訂的CISA工作實(shí)務(wù)領(lǐng)域編排的。這些題目及解答旨在向CISA考生介紹可能在CISA考試中出現的題目類(lèi)型。這些題目并不是考試中的真實(shí)題目?!禖ISA復習考題及解答手冊》還包含一份150道題目的考試樣卷,每個(gè)CISA工作實(shí)務(wù)領(lǐng)域相關(guān)的題目所占的比例與實(shí)際考試相同。

CISA官方教材:《CISA Review Manual(CISA考試復習手冊)》及CISA知識體系介紹 -- 第1張CISA官方教材:《CISA Review Manual(CISA考試復習手冊)》及CISA知識體系介紹 -- 第2張

CISA考試復習手冊目錄結構

《CISA Review Manual》原書(shū)為英文,也有中文版《CISA考試復習手冊》出版,其目錄供參考,如下:

《CISA考試復習手冊(第27版)》目錄

致謝
新增CISA工作實(shí)務(wù)
關(guān)于本手冊
概述
本手冊的編排
準備CISA考試
開(kāi)始準備
使用《CISA考試復習手冊》
手冊特征
將《CISA考試復習手冊》與其他ISACA資源結合使用
關(guān)于CISA復習考題及解答產(chǎn)品
第1章:信息系統的審計流程
概述
領(lǐng)域1考試內容大綱
學(xué)習目標/任務(wù)說(shuō)明
深造學(xué)習參考資料
自我評估問(wèn)題
自我評估問(wèn)題解答
第A(yíng)部分:規劃
1.0 簡(jiǎn)介
1.1 信息系統審計標準、準則和道德規范
1.1.1 ISACA信息系統審計和鑒證標準
1.1.2 ISACA信息系統審計和鑒證準則
1.1.3 ISACA職業(yè)道德規范
1.1.4 ITAF
1.2 業(yè)務(wù)流程
1.2.1 信息系統內部審計職能
審計章程
1.2.2 信息系統審計職能的管理
信息系統審計資源的管理
1.2.3 審計規劃
單項審計任務(wù)
1.2.4 法律法規對信息系統審計規劃的影響
1.2.5 業(yè)務(wù)流程應用程序和控制
電子商務(wù)
電子數據交換
電子郵件
銷(xiāo)售終端系統
電子銀行
電子資金轉賬
自動(dòng)提款機
電子金融
集成制造系統
交互式語(yǔ)音響應
采購會(huì )計系統
圖像處理
工業(yè)控制系統
人工智能和專(zhuān)家系統
供應鏈管理
客戶(hù)關(guān)系管理
1.2.6 使用其他審計師和專(zhuān)家的服務(wù)
1.3 控制類(lèi)型
1.3.1 控制目標和控制措施
信息系統控制目標
1.3.2 控制環(huán)境評估
1.3.3 常規控制
1.3.4 信息系統特有的控制
1.4 基于風(fēng)險的審計規劃
1.4.1 審計風(fēng)險和重要性
1.4.2 風(fēng)險評估
1.4.3 信息系統審計風(fēng)險評估技術(shù)
1.4.4 風(fēng)險分析
1.5 審計類(lèi)型和評估
第B部分:執行
1.6 審計項目管理
1.6.1 審計目標
1.6.2 審計階段
1.6.3 審計程序
制定審計程序所需的基礎技能
1.6.4 審計工作底稿
1.6.5 欺詐、違規和非法行為
1.7 抽樣方法論
1.7.1 符合性與實(shí)質(zhì)性測試
1.7.2 抽樣
抽樣風(fēng)險
1.8 審計證據收集技巧
1.8.1 訪(fǎng)問(wèn)和觀(guān)察員工以了解其職責履行情況
1.9 數據分析
1.9.1 計算機輔助審計技術(shù)
作為持續在線(xiàn)審計方法的CAAT
1.9.2 持續審計和監控
1.9.3 持續審計技術(shù)
1.10 報告和溝通技巧
1.10.1 溝通審計結果
1.10.2 審計報告目標
1.10.3 審計報告的結構與內容
1.10.4 審計記錄
1.10.5 后續活動(dòng)
1.10.6 信息系統審計報告的類(lèi)型
1.11 質(zhì)量_和審計流程改進(jìn)
1.11.1 控制自我評估
CSA的目標
CSA的優(yōu)勢
CSA的劣勢
信息系統審計師在CSA中的角色
1.11.2 整合審計
案例研究
案例研究相關(guān)問(wèn)題的答案
第2章:IT治理與管理
概述
領(lǐng)域2考試內容大綱
學(xué)習目標/任務(wù)說(shuō)明
深造學(xué)習參考資料
自我評估問(wèn)題
自我評估問(wèn)題解答
第A(yíng)部分:IT治理
2.0 簡(jiǎn)介
2.1 IT治理和IT戰略
2.1.1 企業(yè)信息和技術(shù)治理
2.1.2 EGIT的良好實(shí)踐
2.1.3 EGIT中的審計角色
2.1.4 信息安全治理
有效的信息安全治理
2.1.5 信息系統戰略
2.1.6 戰略規劃
2.1.7 商業(yè)智能
數據治理
2.2 IT相關(guān)框架
2.3 IT標準、政策、程序和準則
2.3.1 標準
2.3.2 政策
信息安全政策
審查信息安全政策
2.3.3 程序
2.3.4 準則
2.4 組織結構
2.4.1 IT治理委員會(huì )
2.4.2 高級管理層和董事會(huì )的角色和職責
董事會(huì )
高級管理層
信息安全標準委員會(huì )
首席信息安全官
IT指導委員會(huì )
結果和職責矩陣
2.4.3 IT組織結構和職責
IT角色和職責
2.4.4 IT內部的職責分離
職責分離控制
2.4.5 審計IT治理結構與實(shí)施
審查文檔
2.5 企業(yè)架構
2.6 企業(yè)風(fēng)險管理
2.6.1 制訂風(fēng)險管理方案
2.6.2 風(fēng)險管理流程
第1步:資產(chǎn)識別
第2步:資產(chǎn)面臨的威脅和漏洞評估
第3步:影響評估
第4步:風(fēng)險計算
第5步:風(fēng)險評估和響應
2.6.3 風(fēng)險分析方法
定性分析方法
半定量分析方法
定量分析方法
2.7 成熟度模型
2.7.1 能力成熟度模型集成
2.7.2 初始化、診斷、建立、行動(dòng)和學(xué)習模型
2.8 影響組織的法律、法規和行業(yè)標準
2.8.1 治理、風(fēng)險與合規性
2.8.2 法律、法規和行業(yè)標準對信息系統審計的影響
第B部分:IT管理層
2.9 IT資源管理
2.9.1 IT的價(jià)值
2.9.2 實(shí)施IT組合管理
IT組合管理與平衡計分卡
2.9.3 IT管理實(shí)務(wù)
2.9.4 人力資源管理
雇用
員工手冊
晉升政策
培訓
日程計劃安排和時(shí)間報告
雇用期間
員工績(jì)效評估
必休假期
離職政策
2.9.5 組織變更管理
2.9.6 財務(wù)管理實(shí)務(wù)
信息系統預算
軟件開(kāi)發(fā)
2.9.7 信息安全管理
2.10 IT服務(wù)提供商購置和管理
2.10.1 外包實(shí)務(wù)與戰略
行業(yè)標準/基準檢測
全球化實(shí)務(wù)與策略
2.10.2 外包和第三方審計報告
2.10.3 云治理
2.10.4 外包中的治理
2.10.5 容量和發(fā)展規劃
2.10.6 第三方服務(wù)交付管理
2.10.7 第三方服務(wù)的監控和審查
2.10.8 管理第三方服務(wù)變更
服務(wù)改善和用戶(hù)滿(mǎn)意度
2.11 IT性能監控和報告
2.11.1 績(jì)效優(yōu)化
關(guān)鍵成功因素
方法和工具
2.11.2 工具和技術(shù)
2.12 IT質(zhì)量_和質(zhì)量管理
2.12.1 質(zhì)量_
2.12.2 質(zhì)量管理
案例研究
案例研究相關(guān)問(wèn)題的答案
第3章:信息系統的購置、開(kāi)發(fā)與實(shí)施
概述
領(lǐng)域3考試內容大綱
學(xué)習目標/任務(wù)說(shuō)明
深造學(xué)習參考資料
自我評估問(wèn)題
自我評估問(wèn)題解答
第A(yíng)部分:信息系統的購置與開(kāi)發(fā)
3.0 簡(jiǎn)介
3.1 項目治理和管理
3.1.1 項目管理實(shí)務(wù)
3.1.2 項目管理結構
3.1.3 項目管理角色和職責
3.1.4 項目管理技術(shù)
3.1.5 組合/項目群管理
3.1.6 項目管理辦公室
項目組合數據庫
3.1.7 項目效益實(shí)現
3.1.8 項目啟動(dòng)
3.1.9 項目目標
3.1.10 項目規劃
信息系統開(kāi)發(fā)項目成本估算
軟件規模估算
功能點(diǎn)分析
成本預算
軟件成本估算
日程計劃安排和確定時(shí)間范圍
3.1.11 項目執行
3.1.12 項目控制和監控
范圍變更管理
資源使用管理
3.1.13 項目完工
3.1.14 信息系統審計師在項目管理中的角色
3.2 業(yè)務(wù)案例和可行性分析
3.2.1 信息系統審計師在業(yè)務(wù)案例開(kāi)發(fā)中的角色
3.3 系統開(kāi)發(fā)方法
3.3.1 業(yè)務(wù)應用程序開(kāi)發(fā)
3.3.2 SDLC模型
3.3.3 SDLC階段
階段1:可行性分析
階段2:要求定義
階段3A:軟件選擇與購置
階段3B:設計
階段4A:配置
階段4B:開(kāi)發(fā)
階段5:_終測試與實(shí)施
階段6:實(shí)施后審查
3.3.4 信息系統審計師在SDLC項目管理中的角色
3.3.5 軟件開(kāi)發(fā)方法
原型設計——進(jìn)化式開(kāi)發(fā)
快速應用開(kāi)發(fā)
敏捷開(kāi)發(fā)
面向對象的系統開(kāi)發(fā)
基于組件的開(kāi)發(fā)
軟件再造
逆向工程
DevOps
業(yè)務(wù)流程再造和流程變更
3.3.6 系統開(kāi)發(fā)工具和生產(chǎn)力輔助手段
計算機輔助軟件工程
代碼生成器
第四代語(yǔ)言
3.3.7 基礎架構開(kāi)發(fā)/購置實(shí)踐
物理架構分析的各個(gè)項目階段
規劃基礎設施的實(shí)施
3.3.8 硬件/軟件購置
購置步驟
信息系統審計師在硬件購置中的角色
3.3.9 系統軟件購置
整合資源管理系統
信息系統審計師在軟件購置中的角色
3.4 控制識別和設計
3.4.1 輸入/來(lái)源控制
輸入授權
批量控制和核對
錯誤報告和處理
3.4.2 處理程序和控制
數據驗證和編輯程序
處理控制
數據文件控制程序
3.4.3 輸出控制
3.4.4 應用控制
信息系統審計師在審查應用控制中的角色
3.4.5 用戶(hù)程序
3.4.6 決策支持系統
設計與開(kāi)發(fā)
實(shí)施和使用
風(fēng)險因素
實(shí)施戰略
評估與評價(jià)
DSS共同特征
第B部分:信息系統實(shí)施
3.5 測試方法
3.5.1 測試分類(lèi)
其他測試類(lèi)型
3.5.2 軟件測試
3.5.3 數據完整性測試
在線(xiàn)交易處理系統的數據完整性
3.5.4 應用程序系統測試
自動(dòng)化應用程序測試
3.5.5 信息系統審計師在信息系統測試中的角色
3.6 配置和發(fā)布管理
3.7 系統遷移、基礎設施部署和數據轉換
3.7.1 數據遷移
完善遷移方案
回退(回滾)方案
3.7.2 轉換(上線(xiàn)或切換)技術(shù)
并行轉換
分階段轉換
一次性轉換
3.7.3 系統實(shí)施
實(shí)施計劃
3.7.4 系統變更程序和程序遷移流程
關(guān)鍵成功因素
_終用戶(hù)培訓
3.7.5 系統軟件實(shí)施
3.7.6 認證/鑒定
3.8 實(shí)施后審查
3.8.1 信息系統審計師在實(shí)施后審查中的角色
案例研究
案例研究相關(guān)問(wèn)題的答案
第4章:信息系統的運營(yíng)和業(yè)務(wù)恢復能力
概述
領(lǐng)域4考試內容大綱
學(xué)習目標/任務(wù)說(shuō)明
深造學(xué)習參考資料
自我評估問(wèn)題
自我評估問(wèn)題解答
第A(yíng)部分:信息系統運營(yíng)
4.0 簡(jiǎn)介
4.1 常用技術(shù)組件
4.1.1 計算機硬件組件和架構
處理組件
輸入/輸出組件
計算機類(lèi)型
4.1.2 常用的企業(yè)后端設備
4.1.3 通用串行總線(xiàn)
與USB相關(guān)的風(fēng)險
與USB相關(guān)的安全控制
4.1.4 射頻識別
RFID的應用
RFID的相關(guān)風(fēng)險
RFID的安全控制
4.1.5 硬件維護程序
硬件監控程序
4.1.6 硬件審查
4.2 IT資產(chǎn)管理
4.3 作業(yè)調度和生產(chǎn)流程自動(dòng)化
4.3.1 作業(yè)調度軟件
4.3.2 日程計劃安排審查
4.4 系統接口
4.4.1 與系統接口相關(guān)的風(fēng)險
4.4.2 系統接口中的安全問(wèn)題
4.5 _終用戶(hù)計算
4.6 數據治理
4.6.1 數據管理
數據質(zhì)量
數據生命周期
4.7 系統性能管理
4.7.1 信息系統架構和軟件
4.7.2 操作系統
軟件控制功能或參數
軟件完整性問(wèn)題
活動(dòng)日志和報告選項
操作系統審查
4.7.3 訪(fǎng)問(wèn)控制軟件
4.7.4 數據通信軟件
4.7.5 實(shí)用程序
4.7.6 軟件許可問(wèn)題
4.7.7 源代碼管理
4.7.8 容量管理
4.8 問(wèn)題和事故管理
4.8.1 數據管理
4.8.2 事故處理過(guò)程
4.8.3 異常情況的檢測、記錄、控制、解決和報告
4.8.4 技術(shù)支持/客戶(hù)服務(wù)部門(mén)
4.8.5 網(wǎng)絡(luò )管理工具
4.8.6 問(wèn)題管理報告審查
4.9 變更、配置、發(fā)布和修補程序管理
4.9.1 修補程序管理
4.9.2 發(fā)布管理
4.9.3 信息系統運營(yíng)
信息系統運營(yíng)審查
4.10 IT服務(wù)水平管理
4.10.1 服務(wù)水平協(xié)議
4.10.2 服務(wù)水平監控
4.10.3 服務(wù)水平與企業(yè)架構
4.11 數據庫管理
4.11.1 DBMS架構
詳細DBMS元數據架構
數據字典/目錄系統
4.11.2 數據庫結構
4.11.3 數據庫控制
4.11.4 數據庫審查
第B部分:業(yè)務(wù)恢復能力
4.12 業(yè)務(wù)影響分析
4.12.1 運營(yíng)和關(guān)鍵性分析分類(lèi)
4.13 系統恢復能力
4.13.1 應用程序恢復能力和災難恢復方法
4.13.2 電信網(wǎng)恢復能力和災難恢復方法
4.14 數據備份、存儲和恢復
4.14.1 數據存儲恢復能力和災難恢復方法
4.14.2 備份與恢復
異地庫控制
異地設施的安全和控制
介質(zhì)和文檔備份
備份設備和介質(zhì)的類(lèi)型
定期備份程序
輪換頻率
輪換的介質(zhì)和文檔類(lèi)型
4.14.3 備份方案
完全備份
增量備份
差異備份
輪換方法
異地儲存的記錄保存
4.15 業(yè)務(wù)連續性計劃
4.15.1 IT業(yè)務(wù)連續性計劃
4.15.2 災難和其他破壞性事件
流行病計劃
應對形象、聲譽(yù)或品牌的損害
出乎意料/無(wú)法預測的事件
4.15.3 業(yè)務(wù)連續性計劃流程
4.15.4 業(yè)務(wù)連續性政策
4.15.5 業(yè)務(wù)連續性計劃事故管理
4.15.6 制訂業(yè)務(wù)連續性計劃
4.15.7 計劃制訂過(guò)程中的其他問(wèn)題
4.15.8 業(yè)務(wù)連續性計劃的構成要素
關(guān)鍵決策人員
所需用品的備份
保險
4.15.9 計劃測試
規范
測試執行
結果記錄
結果分析
計劃維護
業(yè)務(wù)連續性管理良好實(shí)踐
4.15.10 業(yè)務(wù)連續性匯總
4.15.11 審計業(yè)務(wù)連續性
審查業(yè)務(wù)連續性計劃
對以前測試結果的評估
對異地存儲的評估
對非異地設施安全性的評估
與關(guān)鍵人員面談
審查備用處理設備合同
審查承保范圍
4.16 災難恢復計劃
4.16.1 恢復點(diǎn)目標和恢復時(shí)間目標
4.16.2 恢復策略
4.16.3 恢復備選方案
合同條款
采購備用硬件
4.16.4 災難恢復計劃的制訂
IT DRP內容
IT DRP情景
恢復程序
組織和職責分配
4.16.5 災難恢復測試方法
測試的類(lèi)型
測試
測試結果
4.16.6 調用災難恢復計劃
案例研究
案例研究相關(guān)問(wèn)題的答案
第5章:保護信息資產(chǎn)
概述
領(lǐng)域5考試內容大綱
學(xué)習目標/任務(wù)說(shuō)明
深造學(xué)習參考資料
自我評估問(wèn)題
自我評估問(wèn)題解答
第A(yíng)部分:信息資產(chǎn)安全和控制
5.0 簡(jiǎn)介
5.1 信息資產(chǎn)安全框架、標準和準則
5.1.1 審計信息安全管理框架
審查書(shū)面政策、程序和標準
正式的安全意識培養和培訓
數據所有權
數據所有者
數據保管員
安全管理員
新IT用戶(hù)
數據用戶(hù)
書(shū)面記錄的授權
解約員工的訪(fǎng)問(wèn)權限
安全基準
訪(fǎng)問(wèn)標準
5.2 隱私保護原則
5.2.1 隱私保護的審計注意事項
5.3 物理訪(fǎng)問(wèn)和環(huán)境控制
5.3.1 管理、技術(shù)和物理控制
5.3.2 控制監控與有效性
5.3.3 環(huán)境暴露風(fēng)險和控制措施
設備問(wèn)題和與環(huán)境有關(guān)的暴露風(fēng)險
環(huán)境暴露風(fēng)險的控制
5.3.4 物理訪(fǎng)問(wèn)暴露風(fēng)險和控制措施
物理訪(fǎng)問(wèn)問(wèn)題和暴露風(fēng)險
物理訪(fǎng)問(wèn)控制
審計物理訪(fǎng)問(wèn)
5.4 身份和訪(fǎng)問(wèn)管理
5.4.1 系統訪(fǎng)問(wèn)權限
5.4.2 強制和自主存取控制
5.4.3 信息安全和外部相關(guān)方
識別與外部各方相關(guān)的風(fēng)險
滿(mǎn)足與客戶(hù)相關(guān)的安全要求
人力資源安全和第三方
5.4.4 邏輯訪(fǎng)問(wèn)
邏輯訪(fǎng)問(wèn)暴露風(fēng)險
熟悉企業(yè)的IT環(huán)境
邏輯訪(fǎng)問(wèn)路徑
5.4.5 訪(fǎng)問(wèn)控制軟件
5.4.6 身份識別和認證
5.4.7 登錄ID和密碼
密碼的特點(diǎn)
登錄ID和密碼良好實(shí)踐
令牌設備、一次性密碼
5.4.8生物特征識別
基于生理特征的生物特征識別
基于行為的生物特征識別
生物特征識別管理
5.4.9 單點(diǎn)登錄
5.4.10 授權問(wèn)題
訪(fǎng)問(wèn)控制列表
邏輯訪(fǎng)問(wèn)安全管理
遠程訪(fǎng)問(wèn)安全
5.4.11 監控系統訪(fǎng)問(wèn)時(shí)的審計記錄
系統日志的訪(fǎng)問(wèn)權限
審計軌跡(日志)分析工具
成本考慮因素
5.4.12 邏輯訪(fǎng)問(wèn)控制的命名約定
5.4.13 聯(lián)合身份管理
5.4.14 審計邏輯訪(fǎng)問(wèn)
熟悉IT環(huán)境
評估和記錄訪(fǎng)問(wèn)路徑
與系統人員面談
審查來(lái)自訪(fǎng)問(wèn)控制軟件的報告
審查應用程序系統操作手冊
5.4.15 數據泄露
數據泄露防護
5.5 網(wǎng)絡(luò )和終端安全
5.5.1 信息系統網(wǎng)絡(luò )基礎設施
5.5.2 企業(yè)網(wǎng)絡(luò )架構
5.5.3 網(wǎng)絡(luò )類(lèi)型
5.5.4 網(wǎng)絡(luò )服務(wù)
5.5.5 網(wǎng)絡(luò )標準和協(xié)議
5.5.6 OSI架構
5.5.7 網(wǎng)絡(luò )架構中OSI模型的應用
局域網(wǎng)
廣域網(wǎng)
幀中繼
TCP/IP及其與OSI參考模型的關(guān)系
網(wǎng)絡(luò )管理和控制
網(wǎng)絡(luò )性能指標
聯(lián)網(wǎng)環(huán)境中的應用程序
按需計算
5.5.8 網(wǎng)絡(luò )基礎設施安全性
客戶(hù)端/服務(wù)器安全
互聯(lián)網(wǎng)安全控制
防火墻安全系統
數據_濾防火墻
應用程序防火墻系統
狀態(tài)檢測防火墻
網(wǎng)絡(luò )變更的開(kāi)發(fā)和授權
5.5.9 影子IT
5.6 數據分類(lèi)
5.7 數據加密和加密相關(guān)技術(shù)
5.7.1 加密系統的關(guān)鍵要素
5.7.2 對稱(chēng)密鑰加密系統
5.7.3 公共(非對稱(chēng))密鑰加密系統
量子密碼學(xué)
數字簽名
數字信封
5.7.4 加密系統的應用
傳輸層安全性
IP安全協(xié)議(IPSec)
安全殼
安全多功能互聯(lián)網(wǎng)郵件擴展協(xié)議(S/MIME)
5.8 公鑰基礎設施
5.9 基于Web的通信技術(shù)
5.9.1 IP語(yǔ)音
VoIP安全問(wèn)題
5.9.2 專(zhuān)用分組交換機
PBX風(fēng)險
PBX審計
5.9.3 電子郵件安全問(wèn)題
5.9.4 對等計算
5.9.5 即時(shí)消息
5.9.6 社交媒體
5.9.7 云計算
5.10 虛擬化環(huán)境
5.10.1 關(guān)鍵風(fēng)險領(lǐng)域
5.10.2 典型控制
5.11 移動(dòng)、無(wú)線(xiàn)和物聯(lián)網(wǎng)設備
5.11.1 移動(dòng)計算
自帶設備
移動(dòng)設備上的互聯(lián)網(wǎng)訪(fǎng)問(wèn)
5.11.2 無(wú)線(xiàn)網(wǎng)絡(luò )
無(wú)線(xiàn)廣域網(wǎng)
無(wú)線(xiàn)局域網(wǎng)
WEP和Wi-Fi網(wǎng)絡(luò )安全存取協(xié)議(WPA/WPA2)
無(wú)線(xiàn)個(gè)人局域網(wǎng)
臨時(shí)網(wǎng)絡(luò )
公共全球互聯(lián)網(wǎng)基礎設施
無(wú)線(xiàn)安全威脅和風(fēng)險降低
5.11.3 物聯(lián)網(wǎng)
第B部分:安全事件管理
5.12 安全意識培訓和計劃
5.13 信息系統攻擊方法和技術(shù)
5.13.1 舞弊風(fēng)險因素
5.13.2 計算機犯罪問(wèn)題和暴露風(fēng)險
5.13.3 互聯(lián)網(wǎng)威脅和安全
網(wǎng)絡(luò )安全威脅
被動(dòng)攻擊
主動(dòng)攻擊
互聯(lián)網(wǎng)攻擊的起因
5.13.4 惡意軟件
病毒和蠕蟲(chóng)控制
管理程序控制
技術(shù)控制
防惡意軟件實(shí)施策略
定向攻擊
5.14 安全測試工具和技術(shù)
5.14.1 通用安全控制的測試技術(shù)
終端卡和密鑰
終端標識
生產(chǎn)資源控制
計算機訪(fǎng)問(wèn)違規情況的記錄和報告
繞過(guò)安全和補償性控制
5.14.2 網(wǎng)絡(luò )滲透測試
5.14.3 威脅情報
5.15 安全監控工具和技術(shù)
5.15.1 入侵檢測系統
特點(diǎn)
局限性
政策
5.15.2 入侵防御系統
蜜罐和蜜網(wǎng)
全面網(wǎng)絡(luò )評估審查
5.15.3 安全信息和事件管理
5.16 事故響應管理
5.17 證據收集和取證
5.17.1 計算機取證
數據保護
數據采集
鏡像
提取
數據獲取/正規化
報告
5.17.2 證據和監管鏈的保護
案例研究
案例研究相關(guān)問(wèn)題的答案
附錄A:CISA考試常規信息
附錄B:2019年CISA工作實(shí)務(wù)
詞匯表
縮略語(yǔ)
反侵權盜版聲明

《CISA 復習考題及解答手冊(第12版)》目錄

前言
致謝/新增 ―― CISA 工作實(shí)務(wù)
引言
概述
CISA 考試中的題目類(lèi)型
學(xué)前測驗
各領(lǐng)域相關(guān)題目與解答
領(lǐng)域 1 ―― 信息系統審計流程 (21%)
領(lǐng)域 2 ―― IT 治理與管理 (17%)
領(lǐng)域 3 ―― 信息系統的購置、開(kāi)發(fā)與實(shí)施 (12%)
領(lǐng)域 4 ―― 信息系統的運營(yíng)和業(yè)務(wù)恢復能力 (23%)
領(lǐng)域 5 ―― 信息資產(chǎn)的保護 (27%)
學(xué)后測驗
考試樣卷
考試樣卷參考答案
考試樣卷答題紙(學(xué)前測驗)
考試樣卷答題紙(學(xué)后測驗
評估

CISA知識體系介紹

CISA的學(xué)習,具備知識領(lǐng)域覆蓋廣泛,知識點(diǎn)分散和繁雜的特點(diǎn)。學(xué)習的過(guò)程中,需要形成自己學(xué)習思路和理解習慣。CISA知識體系主要由五大知識領(lǐng)域構成。

CISA官方教材:《CISA Review Manual(CISA考試復習手冊)》及CISA知識體系介紹 -- 第3張

1.信息系統審計流程 (21%)——遵照 IT 審計標準提供審計服務(wù),以幫助組織保護和控制其信息系統。

2.IT治理和管理 (17%)——用以確保具備必要的領(lǐng)導層、組織結構及流程來(lái)實(shí)現相關(guān)目標和支持組織戰略。

3.信息系統購置、開(kāi)發(fā)與實(shí)施 (12%)——用以確保信息系統的購置、開(kāi)發(fā)、測試和實(shí)施實(shí)務(wù)符合組織的戰略與目標。

4.信息系統的運營(yíng)和業(yè)務(wù)恢復能力(23%)——用以確保信息系統的操作、維護與支持流程符合組織的戰略與目標。

5.信息資產(chǎn)的保護 (27%)——用以確保組織的安全政策、標準、規程和控制能夠_信息資產(chǎn)的機密性、完整性和可用性。

_部分 信息系統的審計流程

總體上是審計師這個(gè)角色需要理解和學(xué)習,適用于日常工作開(kāi)展的知識體系,介紹了三個(gè)方面:

  1. 審計師的職責、權利、制約因素:
    • 審計章程明確審計部門(mén)和審計師的職責權利
    • 審計師符合ISACA的標準
    • 審計師的道德約束
    • 審計師能做什么,審計師不能做什么
  2. 審計師的審計范圍、目標、采用的工具和方法
    • 審計流程
    • 審計規劃
    • 基于風(fēng)險的審計方法
    • 控制類(lèi)型:預防、檢測、控制
    • 審計工具和方法:抽樣方法、持續性審計方法、CAAT、CSA等
    • 審計報告(輸出、溝通及溝通技巧)
  3. 審計師的審計報告及溝通
    • 什么時(shí)候就審計發(fā)現進(jìn)行溝通、什么時(shí)候上報等。

第二部分 IT治理和管理

介紹了治理和管理兩個(gè)部分的內容,治理屬于高屋建瓴,屬于戰略層次,指明方向,猶如茫茫海域的燈塔。管理屬于細分執行,屬于戰術(shù)層次,說(shuō)明需要執行的環(huán)節,猶如航行的一葉舟。一句話(huà)說(shuō),治理和管理,一個(gè)偏虛,偏高大上,一個(gè)務(wù)實(shí),偏實(shí)際作業(yè)。

  1. IT治理
    • 高級管理層、指導委員會(huì )、戰略委員會(huì )的職責
    • 組織結構(內部的SOD)、企業(yè)架構、標準、政策和程序等
    • 企業(yè)風(fēng)險管理(風(fēng)險管理流程,評估方法等)
    • 管理參照模型(CMMI)
    • IT戰略委員會(huì )和管理層的工具:IT BSC
    • 法律法規、行業(yè)準則的影響
  2. IT管理
    • 資源、服務(wù)、質(zhì)量_
    • 相應的監控工具和方法

第三部分 信息系統的購置、開(kāi)發(fā)與實(shí)施

從項目的角度,介紹了信息系統從業(yè)務(wù)案例到實(shí)施后效果評估的全流程。全章基本可以從項目角度去理解,一個(gè)信息系統的建立,從可行性分析,業(yè)務(wù)案例的建立和審批,到需求收集、分析和定義、規劃設計和實(shí)現,再到項目實(shí)施和項目收尾。其中,業(yè)務(wù)方的確認,在項目的各個(gè)環(huán)節都需要進(jìn)行,一個(gè)環(huán)節的確認,代表一個(gè)階段的結束,以便合理的進(jìn)入下一階段的執行。第三章涉及多個(gè)方面:

  1. 購置:
    • 供應商的招投評授
  2. 開(kāi)發(fā):
    • 原型法、敏捷、Devops、面向對象、基于組件等
    • 模型:SDLC、V模型等
  3. 測試:?jiǎn)卧?、集成、系統、用戶(hù)、并行、回歸、社交等
  4. 上線(xiàn):并行、一次性、階段性
  5. 收尾:用戶(hù)驗收、實(shí)施后審查
    • IT治理
      • 高級管理層、指導委員會(huì )、戰略委員會(huì )的職責
      • 組織結構(內部的SOD)、企業(yè)架構、標準、政策和程序等
      • 企業(yè)風(fēng)險管理(風(fēng)險管理流程,評估方法等)
      • 管理參照模型(CMMI)
      • IT戰略委員會(huì )和管理層的工具:IT BSC
      • 法律法規、行業(yè)準則的影響
    • IT管理
      • 資源、服務(wù)、質(zhì)量_
      • 相應的監控工具和方法

第四部分 信息系統的運營(yíng)和業(yè)務(wù)恢復能力

從兩方面來(lái)看,一方面是運營(yíng),一方面是業(yè)務(wù)恢復。學(xué)習的時(shí)候,需要了解運營(yíng)都需要做什么,關(guān)注哪些方面,業(yè)務(wù)恢復相對比較容易理解,實(shí)操中,也是優(yōu)先恢復關(guān)鍵業(yè)務(wù)系統。

  1. 運營(yíng):
    • 業(yè)務(wù)所需的技術(shù)組件
    • 資產(chǎn)管理
    • 批處理和流程自動(dòng)化
    • 數據治理
    • 系統管理(軟件、版本控制、性能等)
    • 事故和問(wèn)題管理
    • 變更管理
    • 服務(wù)水平
  2. 業(yè)務(wù)恢復
    • 業(yè)務(wù)影響分析(BIA)
    • 恢復策略
    • 恢復能力
    • 備份
    • 業(yè)務(wù)連續性計劃(BCP)
    • BCP的測試

第五部分 保護信息資產(chǎn)

簡(jiǎn)單理解,就是信息資產(chǎn)的理解,首先要搞清楚,有哪些資產(chǎn),其次,從人防物防和技防的角度去考慮和總結。公司信息安全的管理,主要關(guān)注:數據、網(wǎng)絡(luò )、終端和環(huán)境

  1. 數據:所有者、數據分類(lèi)、權限管理(基于角色授權、按需知密等)、數據加密、隱私保護、DLP等
  2. 網(wǎng)絡(luò ):網(wǎng)絡(luò )邊界、防火墻、路由器、無(wú)線(xiàn)
  3. 終端:USB、病毒防御等
  4. 環(huán)境:保安、門(mén)禁、監控、防火防水防盜等
  5. 安全意識培訓,屬于獨立體系,基本每個(gè)方面都需要做。

視頻:帶你全方位了解CISA

CISA官方教材:《CISA Review Manual(CISA考試復習手冊)》及CISA知識體系介紹 -- 第4張

點(diǎn)擊觀(guān)看視頻

發(fā)表回復

您的電子郵箱地址不會(huì )被公開(kāi)。 必填項已用*標注

  • 2024-07-02 20:00
    職場(chǎng)故事:關(guān)于冶金運營(yíng)服務(wù)數字化平臺的應用,我的一些經(jīng)驗和思考
  • 2024-07-04 20:00
    IT審計必看!解讀CISA最新改版:第28版教材和考試變化、行業(yè)趨勢及未來(lái)展望
  • 2024-07-10 20:00
    職場(chǎng)故事:從0到1,新人項目經(jīng)理的成長(cháng)之路以及我的一些心得
  • 2024-07-11 20:00
    財務(wù)運營(yíng)管理領(lǐng)域的數字化轉型:解讀財務(wù)BA的核心角色與“財務(wù)轉型”策略
  • 2024-07-16 20:00
    職場(chǎng)故事:我是如何用4A架構做好數字化規劃的?分享一些實(shí)例
  • 2024-07-17 14:00
    全面解讀CSMP項目管理證書(shū):免考換證是怎么回事?與PMP、軟考的區別?我該考哪個(gè)?
  • 2024-07-18 20:00
    需求的全生命周期管理:工具在手,細節無(wú)憂(yōu)
  • 2024-07-23 20:00
    產(chǎn)品上市管理:從戰略到產(chǎn)品上市,構建卓越的產(chǎn)品開(kāi)發(fā)流程
  • 2024-07-24 20:00
    從業(yè)務(wù)的視角看敏捷
  • 2024-07-26 14:00
    周五課堂:如何駕馭項目復雜性?
  • 2024-07-30 20:00
    精益求精:掌握流程優(yōu)化的關(guān)鍵策略
  • 更多直播講座
    小艾老師還在安排中…
查看全部 >

掃碼一鍵預約全部

查看更多 > 查看更多 >

數字化轉型8大核心認證

  1. PMP項目管理認證

    聽(tīng)
    艾威最近一期班: 針對2024年08月考試
  2. CBAP業(yè)務(wù)分析認證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-07-27
  3. CBPP流程管理認證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-08-31
  4. ITIL4 IT管理認證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-07-27
  5. TOGAF企業(yè)架構認證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-07-20
  6. CDMP數據管理認證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-08-24
  7. CISA信息安全審計師認證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-09-08
  8. CISSP信息安全專(zhuān)家認證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-08-24
近期課程安排
文章目錄