CISA笔记第五章信息资产保护

建立有效的信息安全管理体系保护组织的信息资产信息资产对于一个组织来说是非常重要的，因此建立有效的信息安全管理体系是至关重要的。

一个有效的信息安全管理体系可以帮助组织识别、保护和管理其信息资产，从而有效地降低信息泄露和其他安全风险的风险。

本文将探讨建立有效的信息安全管理体系所需的关键要素和步骤。

一、信息资产和信息安全管理体系概述信息资产是指组织所拥有的任何形式的信息，包括电子文件、纸质文件、数据库、软件、硬件等。

这些信息资产往往包含组织的核心业务数据、客户信息、财务数据等敏感信息。

因此，保护信息资产对于组织来说至关重要。

信息安全管理体系是指通过一系列的策略、流程、措施和技术手段来管理和保护组织的信息资产。

一个有效的信息安全管理体系应该包含政策与规程、组织与人员、风险管理、安全控制、沟通与培训、监测与改进等六个方面。

二、关键要素建立有效的信息安全管理体系需要考虑以下几个关键要素：1. 认识与风险评估：组织应该全面了解其信息资产，评估其价值和风险。

这需要对信息资产进行分类并为其确定适当的安全控制措施。

2. 政策与规程：制定和实施适当的信息安全政策与规程，明确组织对信息安全的管理要求和期望。

这些政策与规程应该包括信息安全目标、责任分工、访问控制、密码策略等内容。

3. 组织与人员：明确信息安全管理责任，建立信息安全管理团队，并确保其具备相关的知识与技能。

培训员工，增强员工的信息安全意识。

4. 风险管理：建立风险管理体系，通过风险评估、安全控制和监测来管理和减少信息安全风险。

及时发现、阻止和响应信息安全事件，减少损失。

5. 安全控制：采取适当的安全控制措施来保护信息资产。

这包括物理安全控制、逻辑安全控制、网络安全控制和人员安全控制等方面。

6. 沟通与培训：定期与员工和相关方沟通信息安全政策和规程，并提供必要的信息安全培训，以增强他们的信息安全意识和能力。

7. 监测与改进：建立监测和评估机制，定期检查和评估信息安全管理体系的有效性。

网络安全技术保障信息资产安全随着互联网的快速发展，网络安全问题日益突显。

各个领域都依赖于互联网来收集、存储和传输大量的敏感信息，因此保障信息资产的安全显得尤为重要。

本文将介绍网络安全技术在保障信息资产安全方面的应用。

一、信息资产的定义和重要性信息资产是指组织或者企业内部存储的各类信息，包括但不限于机密文件、个人隐私、财务数据等。

这些信息资产往往是组织或企业的核心竞争力和基础资源，一旦泄露或遭到攻击，将给组织或企业带来严重的损失，甚至可能导致业务瘫痪。

二、网络安全技术的应用1. 防火墙技术防火墙是网络安全的第一道防线，通过检测和过滤网络数据包，阻止非法入侵者获取内部网络。

它可以根据预设的安全策略来控制网络通信，例如限制某些特定IP地址的访问、禁止特定端口的数据传输等。

防火墙的应用可以有效地保护信息资产免受外部攻击。

2. 数据加密技术数据加密是通过对敏感数据进行编码转换，使得只有授权人员可以解密和访问。

常见的加密算法包括对称加密和非对称加密，分别用于保护数据的传输和存储。

加密技术可以有效地防止非法的数据查看和篡改，提高信息资产的安全性。

3. 虚拟专用网络技术虚拟专用网络（VPN）是一种通过公用网络建立起私密通信的技术。

它可以通过加密和隧道技术来保护数据在公共网络上的传输安全，使得远程用户能够安全地访问内部网络资源。

VPN的使用可以有效地保护敏感信息资产在公共网络中的传输过程，防止被窃取和篡改。

4. 入侵检测系统技术入侵检测系统（IDS）是一种通过分析网络数据流量来检测和警报网络攻击行为的技术。

它可以实时监测网络中的异常活动，并及时发出警报。

IDS的应用可以帮助组织或企业及时发现并应对网络攻击，保障信息资产的安全。

5. 安全认证和访问控制技术安全认证和访问控制技术用于识别和验证用户的身份，并根据其权限限制其对信息资产的访问。

常见的安全认证方式包括用户名密码、双因素认证等，而访问控制技术可以根据用户的身份和权限控制其对不同信息资产的访问和操作。

CISA 2008Chapter 1 信息系统审计程序⏹ISACA发布的信息系统审计标准”,准则,程序和职业道德规范⏹IS审计实务和技术⏹收集信息和保存证据的技术(观察,调查问卷,谈话,计算机辅助审计技术,电子介质)⏹证据的生命周期(证据的收集,保护和证据之间的关系)⏹与信息系统相关的控制目标和控制⏹审计过程中的风险评估⏹审计计划和管理技术⏹报告和沟通技术(推进,商谈,解决冲突)⏹控制自我评估⏹不间断审计技术(连续审计技术)Chapter 2 IT治理⏹IT战略,政策,标准和程序对组织的意义,及其基本要素⏹IT治理框架⏹制定实施和恢复IT战略政策标准和程序的流程⏹质量管理战略和政策⏹与IT使用和管理相关的组织结构,角色和职责⏹公认的国际IT标准和准则⏹制定长期战略方向的企业所需的IT体系及其内容⏹风险管理方法和工具⏹控制框架(cobit)的使用⏹成熟度和流程改进模型⏹签约战略,程序和合同管理实务⏹IT绩效的监督和报告实务⏹有关的法律规章问题(保密,隐私,知识产权)⏹IT人力资源管理⏹资源投资和配置实务Chapter 3 系统和体系生命周期⏹收益管理实务(可行性研究,业务案例)⏹项目治理机制,如:项目指导委员会,项目监督委员会⏹项目管理实务,工具和控制框架⏹用于项目管理上的风险管理实务⏹项目成功的原则和风险⏹涉及开发,维护系统的配置,变更和版本管理⏹确保IT系统应用的交易和数据的完整性,准确性,有效性和授权的控制目标和技术⏹关于数据,应用和技术的企业框架⏹需求分析和管理实务⏹采购和合同管理程序⏹系统开发方法和工具以及他们的优缺点⏹质量保证方法⏹测试流程的管理⏹数据转换工具技术和程序⏹系统的处置程序⏹软件,硬件的认证和鉴证实务⏹实施后的检查目标和方法,如项目关闭,收益实现,绩效测定⏹系统移植和体系开发实务Chapter 4 IT服务和交付⏹服务等级和水平⏹运营管理的最佳实务:如工作负荷调度,网络服务管理,预防性维护⏹系统性能监控程序,工具和技术.⏹硬件和网络设备的功能⏹数据库管理实务⏹操作系统工具软件和数据库管理系统⏹生产能力计划和监控技术⏹对生产系统的应急变更和调度管理程序,包括变更配置版本发布和补丁管理实务⏹生产事件/问题管理实务⏹软件许可证和清单管理实务⏹系统缩放工具和技术Chapter 5 信息资产保护⏹信息系统安全设计,实施和监控技术⏹用户使用授权的功能和数据时,识别签订和约束等逻辑访问控制⏹逻辑访问安全体系⏹攻击方法和技术⏹对安全事件的预测和响应程序⏹网络和internet安全设备⏹入侵检测系统和防火墙的配置⏹加密算法/技术⏹公共密钥机构组件⏹病毒检测和控制技术⏹安全方案测试和评估技术:渗透技术,漏洞扫描⏹生产环境保护实务和设备⏹物理安全系统和实务⏹数据分类技术⏹语音通讯的安全⏹保密信息资产的采集.存储.使用.传输和处置程序和流程⏹与使用便携式和无线设备Chapter 6业务连续性与灾难恢复计划⏹数据备份,存储,维护,保留和恢复流程⏹业务连续性和灾难恢复有关的法律规章协议和保险问题⏹业务影响分析(BIA)⏹开发和维护灾难恢复与业务持续计划⏹灾难恢复和业务连续性计划测试途径和方法⏹与灾难恢复和业务连续性有关的人力资源管理⏹启用灾难恢复和业务连续性计划的程序和流程⏹备用业务处理站点的类型,和监督有关协议合同的方法CISA2008 练习题Chapter 11.下列哪些形式的审计证据就被视为最可靠?❑口头声明的审计❑由审计人员进行测试的结果❑组织内部产生的计算机财务报告❑从外界收到的确认来信2 当程序变化是，从下列哪种总体种抽样效果最好？❑测试库清单❑源代码清单❑程序变更要求❑产品库清单⏹3在对定义IT服务水平的控制过程的审核中，审计人员最有可能面试：❑系统程序员.❑法律人员❑业务部门经理❑应用程序员.⏹4进行符合性测试的时候，下面哪一种抽样方法最有效？❑属性抽样❑变量抽样❑平均单位分层抽样❑差别估算⏹5当评估一个过程的预防控制、检察控制和纠正控制的整体效果时，审计人员应该知道：❑当数据流通过系统时，其作用的控制点。

cisa培训大纲
CISA认证培训大纲包括以下几个主要部分：
1. 信息系统的审计流程：此部分主要介绍如何依据IT审计标准提供审计服务，以及如何帮助组织保护和控制信息系统。

2. IT治理与管理：此部分内容主要关注如何为必要的领导力和组织架构及
流程提供保证，以实现组织目标、支持组织战略。

3. 信息系统的购置、开发与实施：此部分主要关注如何为购置、开发、测试、实施信息系统的实践符合组织的战略和目标提供保证。

4. 信息系统的操作、维护与支持：此部分主要关注如何为信息系统操作、维护和支持的过程满足组织的战略和目标提供保证。

5. 信息资产的保护：此部分主要关注如何为组织的安全政策、标准、程序和控制确保信息资产的保密性、完整性和可用性提供保证。

此大纲主要围绕信息系统审计的核心内容展开，通过培训，学员可以掌握CISA知识并通过认证培训。

CISA（Certified Information System Auditor,国际注册信息系统审计师）,由ISACA（信息系统审计与控制协会）授予，是信息系统审计领域的惟一的职业资格，受到全世界的广泛认可。

CISA证书可以证明证书持有者具备了符合国际标准要求的信息安全审计知识水平和经验能力。

CISA证书已经成为个人专业水平的象征，并成为企业和单位寻找专业人员的考核依据。

课程涵盖CISA要求的五大知识领域，帮助学员全面系统地建立和完善IT审计所必备的知识技能。

培训采用理论与实际相结合的手法，从实践的角度深入分析IT审计的原理、方法和技巧。

本课程以讲授为主，结合问答、讨论等形式授课；为学员提供互动交流的平台，充分交流各自的心得，全面系统地理解和掌握信息系统安全方面的知识，为通过CISA国际认证做好充足的准备。

培训大纲
第一章信息系统的审计流程(14%)
第二章IT治理与管理(14%)
第三章信息系统的购置、开发与实施(19%)
第四章信息系统的操作、维护与支持(23%)
第五章信息资产的保护(30%)
培训对象
1、信息安全审计负责人
2、IT审计人员
3、信息安全咨询顾问
4、传统的审计人员
5、IT经理/信息安全经理
培训收益
1、掌握CISA知识体系
2、理解并掌握信息系统审计的难点和要点
3、全面提升信息系统审计理论水平
4、培养实践能力
5、掌握应考技巧
培训课时：3天。

一、第五章信息资产保护（31%）资产的三个属性CIA（confidentiality、Integrity and availability）机密性、完整性、可用性。

1目标评价信息资产安全控制措施的设计、实施和监测以及物理访问控制从而保证信息资产的CIA。

1、逻辑访问的设计、实施和监测。

2、评价网络基础设施的安全性，以保证网络所传输信息的机密性、完整性和可用性及授权使用。

3、评价环境控制的设计、实施和监督，以保证信息资产得到了充分的保护。

4、评价物理访问控制。

5、评价存储、检索、传送和处置机密信息资产的过程与程序。

2知识要点1.设计、实施和监督信息安全的技术1)评估威胁与风险2)敏感性分析3)隐私影响分析2.对用户访问授权的系统功能和数据的行为进行识别、鉴定及限制的逻辑访问控制技术。

1)动态口令2)挑战相应机制3)菜单限制4)定义安全轮廓3.逻辑访问安全结构1)单点登录2)用户识别策略3)身份管理4.攻击方法和技术1)黑客2)身份伪装3)特洛伊木马4)拒绝服务5)垃圾邮件5.对安全事件的监督与响应1)事件升级程序2)紧急事件响应团队6.网络和internet安全设备、协议和技术1)SSL2)SET3)VPN4)NAT7.入侵检测系统和防火墙的配置、实施、运行和维护8.加密技术1)AES2)RSA9.公钥基础设施PKI的各组成部分1)CA2)RA3)数字签名10.病毒检测工具和控制技术11.安全测试和评估工具1)渗透测试2)脆弱性扫描12.环境保护实务和设备1)灭火设备2)冷却系统3)漏水传感器13.物理安全系统和实务1)生物测定技术2)访问识别智能卡3)加密锁4)身份标识14.数据敏感性分类方案1)公开2)机密3)隐私4)敏感数据15.语音通讯安全1)Voice over ip16.存储、检索、传送和处置机密信息资产的过程与程序17.与使用移动和无线设备相关的控制与风险1)PDA2)USB设备3)蓝牙设备3知识点描述3.1符合组织业务要求的目标：1、保证存储在计算机系统上的信息完整2、保护敏感信息的机密性3、遵守保护个人数据隐私的责任与义务4、保证信息系统的持续可用性5、保证符合法律、法规的要求3.2信息安全管理的角色与职责：1、信息安全委员会（IS）security committee：由不同级别的代表定期开会，讨论制定公司的信息安全方针、策略及程序。

第五章信息技术对审计的影响第三节信息技术中的一般控制和应用控制测试【考点一】信息技术中的一般控制测试1.信息技术一般控制的含义信息技术一般控制，是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。

2.信息技术一般控制的环节（1）程序开发程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。

（2）程序变更程序变更领域的目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的应用控制目标。

（3）程序和数据访问程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。

（4）计算机运行计算机运行这一领域的目标是确保业务系统根据管理层的控制目标完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性。

【考点二】信息技术中的应用控制测试1.信息技术应用控制的含义信息技术应用控制，是设计在计算机应用系统中的、有助于达到信息处理目标的控制。

2.信息技术应用控制的环节和要素信息技术应用控制一般要经过输入、处理及输出等环节。

和人工控制类似，系统自动控制关注的要素包括：完整性、准确性、存在和发生等。

各要素的主要含义如下：（1）完整性系统处理数据的完整性，例如：各系统之间数据传输的完整性、销售订单的系统自动顺序编号、总账数据的完整性等。

（2）准确性系统运算逻辑的准确性，例如，金融机构利息计提逻辑的准确性、生产企业的物料成本运算逻辑的准确性、应收账款账龄的准确性等。

（3）存在和发生信息系统相关的逻辑校验控制。

例如，限制检查、合理性检查、存在检查和格式检查等。

部分业务操作的授权管理，例如，入账审批管理的权限设定和授予、物料成本逻辑规则修改权限的设定和授予等。

【考点三】公司层面信息技术控制审计（2015年新增内容，教材P99）除信息技术一般控制和应用控制外，目前国内外企业的管理层也越来越重视公司层面的信息技术控制管理。

CISA认证完全手册第一部分1、认证介绍自1978年以来，由信息系统审计与控制协会（ISACA®）发起的注册信息系统审计师（CISA）认证计划已经成为涵盖信息系统审计、控制与安全等专业领域的全球公认的标准。

CISA 推广与评价的专业技术和实务是在该领域中取得成功的基石。

拥有CISA 资格证书说明持证人具备的实践能力和专业程度。

随着对信息系统审计、控制与安全专业人士需求的增长，CISA 已成为全球范围内个人与公司机构不可或缺的认证。

CISA 资格证书代表持证人有卓越的能力服务于公司的信息系统审计、控制与安全领域。

此外，它还为持证人带来相当的职业成就和经济利益。

2、适合对象CISA认证适用于企业信息系统管理人员、IT管理人员、IT审计人员、或信息化咨询顾问、信息安全厂商或服务提供商、和其他对信息系统审计感兴趣的人员。

3、应试必备条件CISA 认证计划为信息系统审计、控制与安全职业领域中具有卓越技能与判断力的个人提供评估与认证。

若想获得CISA认证，申请人需要：◎顺利通过CISA 的考试；◎遵守信息系统审计与控制协会的《职业道德规范》，此规范已列入《Candidate’s Guide to the CISA Exam》中，供考生参考；◎提供从事信息系统审计、控制与安全工作 5 年以上经验的证明。

具有下列经验者，可申请替代部分年限，并出示适当的证明：具备如下资历者，可以申请替代(最长达)1 年的信息系统审计、控制与安全的工作经验要求：·满1 年的非信息系统审计工作经验，或·满1 年的信息系统工作经验，和／或·具有大专学历（大学60 个学分或同等学历）。

·拥有学士学位（大学120 个学分或同等学历）者，可以替代2 年信息系统审计、控制与安全工作经验。

·2 年相关领域（计算机科学、会计、信息系统审计等）大学专职讲师经验可以替代1 年信息系统审计、控制与安全工作经验。

CISA个人考试学习笔记CISA个人考试学习笔记一、CISA考试概述CISA（Certified Information Systems Auditor，认证信息系统审计员）是由美国信息系统审计与控制协会（ISACA）主办的国际性认证考试。

CISA认证证明了持有人在信息系统及其控制、管理和审计方面的能力和知识。

考试内容包括五个领域：信息系统审计过程、信息系统控制与维护、信息系统开发和实施、信息系统运营、保护信息资源。

二、备考策略1.了解考试内容：详细阅读CISA考试大纲，了解考试的主要内容和重点领域，制定有针对性的备考计划。

2.准备教材：购买可靠的备考教材，且最好是与考试内容和大纲相符的。

3.制定学习计划：合理安排备考时间，每天留出固定的备考时间，并制定每天的学习任务和目标。

4.刷题与总结：针对各个领域的考试内容，进行相关题目的刷题和解析，并及时总结和归纳知识点。

5.考点整理：将备考过程中遇到的重难点和考点整理成思维导图或总结表格，方便复习时查阅。

三、备考内容1.信息系统审计过程信息系统审计的目的、范围和方法，审计准则与规范，信息系统安全和风险管理等内容。

2.信息系统控制与维护信息系统的逻辑性、完整性和保密性控制，物理安全，计算机作业控制，应用系统控制等内容。

3.信息系统开发和实施信息系统规划、设计与管理，信息系统开发的生命周期，信息系统开发中的关键控制，项目管理等内容。

4.信息系统运营信息系统运维的组织和结构，运维的策略和方法，运维过程中的风险和控制，运维项目管理等内容。

5.保护信息资源信息系统中的信息安全政策和目标，信息安全风险管理，网络安全，物理安全，密码学等内容。

四、备考建议1.制定学习计划：根据自己的备考时间和能力，制定合理的学习计划，合理分配时间和任务。

2.做好笔记：在学习过程中，及时记录和整理重要知识点，方便复习时查阅。

3.刷题训练：刷题是检验自己备考成果的有效方法，可以通过刷题来检验自己对知识点的掌握程度，并及时总结不足之处。