cisa复习要点

第二章IT治理★必须的知识点1.IT战略、政策、标准和程序对于组织的意义，及其基本要素2.IT治理框架(体系)3.制定、实施和维护IT战略、政策、标准和程序的流程。

如:信息资产的保护、业务持续和灾难恢复、系统和基础建设生命周期、IT服务交付与支持4.质量管理战略和政策5.与IT使用私}管理相关的组织结构、角色私!职责。

6.公认的国际IT标准和准则(指导)。

7.制订一长期战略方向的企业所需的IT体系及其内容8.风险管理方法和工具9.控制框架(模型)的使用，如:CobiT, COSO, ISO 17799等控制模型。

10.成熟度和流程改进模型(如:C1V1M, CobiT)的使用。

11.签约战略、程序和合同管理实务。

12.IT绩效的监督和报告实务13.有关的法律、规章等问题(如:保密法/隐私法、知识产权、公司治理的要求)14.IT人力资源管理15.资源投资和配置实务(如:投资的资产管理回报)★可能的考试重点公司治理与IT治理（概念）IT治理中董事会和执行经理层的作用（责任、关键成功因素）IT治理最佳实务（结构与关系）IT治理中审计的的作用（确保IT的运用符合组织目标）IT战略：IT战略委员会（职责、作用、组成）、IT平衡记分卡信息安全治理企业架构（结构化方式反映组织的IT资产）业务流程驱动的企业架构FEA参考模型风险管理（原第七章内容，重点）采购实务IS模块交付（内包、外包、混合采购）采购战略外包实务和战略（优缺点、风险）服务水平协议（SLA）全球化战略和实务第三方审计报告能力与发展服务改进和用户满意度行业标准/基准信息系统组织结构供货商和外包商管理体系运营和维护（原运维）应用开发和维护/系统开发和维护职责分离（重点）组织结构中不同人员的职责★需要了解和熟悉IT治理审计查询理解★★★★★★★信息系统安全管理的成果信息系统安全管理的不同层次★知识点摘要公司治理倡导的公司道德文化。

世界经合组织将公司治理定义:“公司内不同群体之间责权利的分配关系，如董事会、管理层、股东和其他利害相关者，这些分配关系清楚地勾勒出公司决策的规则和程序。

一、IS audit function的管理(一)IS审计功能组织1．Audit chapter 由管理高层审批用于建立IS内部审计的角色。

需要定义审计功能的authority,scope,responsibilities2．Engagement letter 是针对特定的审计项目3．外部审计的话通过contract或者statement of work来详细说明审计服务的objectives and scope4．任何情况，内部审计功能应该保持独立并向审计委员会或者董事会等高层汇报。

(二)IS审计资源管理1．IS审计师应该technically competent 应该通过持续的教育获得技术上的胜任2．审计部门应制定详细的员工培训计划，并定期检查，应提供必要的IT资源来实施IS审计。

(三)审计计划1．年度计划是短期，2．长期是考虑到影响计划IT环境的IT战略方向变化所带来的风险3．单个的审计任务需要考虑到定期风险评估结果，应用技术的变化，隐私的关注以及法律要求等，都会影响审计方法。

也要考虑系统部署/升级的deadlines, 现在或者将来的技术，业务流程owner的要求，以及IS资源的有限性等方面。

4．计划过程：获取对业务任务，目标，目的，过程的了解；也包括对信息系统CIA等安全要求的了解识别stated 内容包括策略，标准，要求的指引和组织架构执行RA来帮助开发审计计划设立审计scope和objectives开发审计方法或者审计strategy为审计分派人员解决engagement logistics5．IS审计师了解业务的方法：阅读背景资料，包括：工业出版物，年报，独立的财务分析报告回顾之前的审计报告，或者IT相关报告回顾业务和IT相关的长期战略计划访谈关键岗位来了解业务识别特定的适用于IT的法规识别外包的IT功能或相关活动Touring 关键的机构facilities(四)法律法规对IS审计计划的影响。

1、区分何时执行符合性测试和实质性测试?符合性测试（执行情况）验证控制的执行是否符合管理政策和规程验证真实的控制同审计师评价中所理解的方式相一致，判断控制是否在起作用测试一个既定流程的存在及其效果实质性测试（准确性）正式实际处理的完整性，验证财务报表数据及相关交易的有效性和完整性测试组织中直接影响财务报表平衡或其他相关数据的金额错误确定磁带库存货记录是否准确抽样执行：用户访问权限、程序变更控制基于对账户和交易的抽样来正式复杂计算的结流程、文件流程、编程文档、例外跟踪、果XX检查、软件XX2、给定场景下，确定哪一种证据收集技术是最好的。

收集证据的技术1）评价组织结构及其所提供的控制水平：采用分布式协作处理或最终用户计算方式，其IS职能的组织形式与传统的、具有独立的系统和运营部门的IS组织有所不同。

2）检查IS政策和程序：检查是否已建立适当的政策和规程，确定员工是否了解施行中的政策和规程、以及对这些政策和规程的遵循性。

验证管理层是否负责规划、制定、行文、发布和控制涵盖了总体目标与仿真的政策。

应当对政策和规程的适当性进行定期审查。

3）检查标准：了解组织中正式施行的标准4）检查IS文档：了解组织中存在的文件（硬拷贝形式、电子存档格式等）,如为电子存档的要评价对文件完整性的保护一一查明文件的最低水平。

5）访谈适当的人员：事先安排并确定明确的目标，按照预定的提纲进行并做好访谈记录。

收集审计证据的程序包括（调查' 观察、检查' 确认、演示和监控）6）观察工作流程和员工表现。

可考虑文件化的证据是否可作为有用证据，如照片等。

3、各种类型的抽样技术及其适用情况抽样方法统计抽样：采用客观的方法来确定样本量和样本抽取标准。

利用统计抽样，审计师可以量化描述样本与总体的接近程度以及用百分数表示的样本能够代表总体的概念。

非统计抽样（判断抽样）：采用审计师判断来确定抽样方法、样本量及抽样标准。

抽样结果基于审计师对抽样事项或交易的重要性及风险的主管判断属性抽样属性抽样: 利用估计总体中某种特性的发生比率的抽样方法，属性抽样回答“有多少”的问题变量抽样分层单位平均估计抽样：先对总体进行分层，然后从不同层分别抽取样本的统计抽样。

目录角色职责 (3)第一章 (3)基本职责归纳 (3)项目流程RACI (3)抽样方法及作用 (4)职业独立性与组织独立性区别： (4)对独立性/客观性是否造成危害的情况： (4)证据属性 (4)审计技术比较 (4)其他考点： (5)信息审计顺序 (5)第二章 (5)基本职责归纳 (5)安全治理成果与管理职责关系P45 (6)信息系统职责分离P209 (7)风险应对措施及举例 (7)控制措施及作用 (8)常用工具/分析方法的区别 (8)其他考点： (8)业务影响分析BIA (8)第三章 (8)基本职责归纳 (8)项目组织结构P29 (9)系统开发团队P37 (9)项目后审查与实施后审查区别P80 (10)各类项目管理工具、技术、测试的作用和目的 (10)SDLC各阶段 (11)质量评估指标 (11)攻击方法及说明 (11)网络组件及其作用 (12)开发方法描述及优缺点P312 (12)联机/在线事务处理数据完整性ACID原则 (13)其他考点： (13)第四章 (13)基本职责归纳 (13)恢复指标及作用 (14)不同计划及作用 (14)检查校验方式及目的 (14)廉价磁盘冗余阵列（RAID） (15)OSI七层结构 (15)备份方法优缺点 (16)其他考点： (16)协议等安全性 (16)容量/能力管理 (16)第五章 (16)基本职责归纳 (16)渗透测试方法比较 (17)机密性与访问控制 (17)权限安全管理相关 (18)电力安全相关 (18)防火墙相关 (18)其他考点： (18)公共密钥基础结构PKI (18)访问控制 (19)角色职责第一章基本职责归纳项目流程RACIBEM ：业务执行经理 CIO ：首席信息官BPO ：业务流程所有者 DO ：运营总监 CA ：首席架构师 DD ：开发总监ITA ：IT 行政主管 PMO ：项目管理官抽样方法及作用职业独立性与组织独立性区别：职业独立性：审计师推荐了一个特定的供应商就会破坏职业独立性 组织独立性：组织独立性在接受约定时考虑对独立性/客观性是否造成危害的情况：证据属性审计技术比较其他考点：信息审计顺序确定业务流程→控制目标及活动→关键信息资产→部署审计资源→约谈相关人员第二章基本职责归纳安全治理成果与管理职责关系P45信息系统职责分离P209风险应对措施及举例控制措施及作用常用工具/分析方法的区别其他考点：业务影响分析BIABIA的主要产出是了解运营中断成本，而不是BCP 第三章基本职责归纳项目组织结构 P29系统开发团队 P37QAT ）测试打没打到要求（UAT ）项目后审查与实施后审查区别P80项目后审查：参与人员为项目人员；目的是知识共享，流程改进；时间为项目结束后。

CISA个人考试学习笔记CISA个人考试学习笔记一、CISA考试概述CISA（Certified Information Systems Auditor，认证信息系统审计员）是由美国信息系统审计与控制协会（ISACA）主办的国际性认证考试。

CISA认证证明了持有人在信息系统及其控制、管理和审计方面的能力和知识。

考试内容包括五个领域：信息系统审计过程、信息系统控制与维护、信息系统开发和实施、信息系统运营、保护信息资源。

二、备考策略1.了解考试内容：详细阅读CISA考试大纲，了解考试的主要内容和重点领域，制定有针对性的备考计划。

2.准备教材：购买可靠的备考教材，且最好是与考试内容和大纲相符的。

3.制定学习计划：合理安排备考时间，每天留出固定的备考时间，并制定每天的学习任务和目标。

4.刷题与总结：针对各个领域的考试内容，进行相关题目的刷题和解析，并及时总结和归纳知识点。

5.考点整理：将备考过程中遇到的重难点和考点整理成思维导图或总结表格，方便复习时查阅。

三、备考内容1.信息系统审计过程信息系统审计的目的、范围和方法，审计准则与规范，信息系统安全和风险管理等内容。

2.信息系统控制与维护信息系统的逻辑性、完整性和保密性控制，物理安全，计算机作业控制，应用系统控制等内容。

3.信息系统开发和实施信息系统规划、设计与管理，信息系统开发的生命周期，信息系统开发中的关键控制，项目管理等内容。

4.信息系统运营信息系统运维的组织和结构，运维的策略和方法，运维过程中的风险和控制，运维项目管理等内容。

5.保护信息资源信息系统中的信息安全政策和目标，信息安全风险管理，网络安全，物理安全，密码学等内容。

四、备考建议1.制定学习计划：根据自己的备考时间和能力，制定合理的学习计划，合理分配时间和任务。

2.做好笔记：在学习过程中，及时记录和整理重要知识点，方便复习时查阅。

3.刷题训练：刷题是检验自己备考成果的有效方法，可以通过刷题来检验自己对知识点的掌握程度，并及时总结不足之处。