最新最全CISA学习笔记

引言概述：CISA（CertifiedInformationSystemsAuditor）是一项国际认可的信息系统审计师资格认证，对从事信息系统审计和控制的专业人士具有重要意义。

本文将针对CISA知识点进行总结，帮助读者全面了解CISA考试的内容和要求。

正文内容：一、信息系统审计的基本概念和原则1.信息系统审计的定义和目的2.信息系统审计的基本原则3.信息系统审计的类型和阶段4.信息系统审计的参与者和角色5.信息系统审计的国际标准和准则二、信息系统与技术基础1.信息系统的组成和分类2.信息系统的开发生命周期3.信息系统的运行和维护4.信息系统的风险与控制5.信息系统的安全性和保护措施三、信息系统审计过程与方法1.信息系统审计的策划和准备2.信息系统审计的实施和测试3.信息系统审计的发现和报告4.信息系统审计的跟踪和追踪5.信息系统审计的总结和建议四、信息系统审计的专业实践1.信息系统审计的法律法规和道德规范2.信息系统审计的流程和工具3.信息系统审计的案例和经验分享4.信息系统审计的问题识别和解决5.信息系统审计的持续学习和发展五、信息系统审计的未来发展趋势1.信息系统审计的技术创新和趋势预测2.信息系统审计的人才需求和发展机遇3.信息系统审计的国际合作和标准发展4.信息系统审计的重要性和挑战5.信息系统审计的职业形象和影响力总结：CISA知识点总结着重强调了信息系统审计的基本概念和原则、信息系统与技术基础、信息系统审计过程与方法、信息系统审计的专业实践以及信息系统审计的未来发展趋势五个大点。

每个大点下面设定了59个小点来详细阐述相关知识。

通过本文的学习，读者可以全面了解CISA考试所需的知识和技能，为提高信息系统审计能力和通过CISA考试提供有力的支持。

同时，本文还强调了信息系统审计在未来的发展趋势和重要性，鼓励读者不断学习和发展，为信息系统审计职业做出更大的贡献。

私有地址范围：A类：10.0.0.0 至10.255.255.255B类：172.16.0.0 至172.31.255.255C类：192.168.0.0 至192.168.255.255子网的划分：子网掩码与动态子网掩码（VLSM）子网掩码的使用是为了使网络被更细粒度的划分，但本身不会增加可用的IP资源，不过提高了IP资源的使用效率。

而动态子网掩码使得子网规模的划分更灵活，而且据我分析，动态子网掩码实际可增加可用的IP资源，因为由于掩码的不同，其４字节的IP地址可以存在重叠。

理论上重叠是可以出现的，但在具体应用时会使用IP地址分段图设计，避免重叠，而且应以２的次方来进行分段。

使用VLSM时，相应的路由协议在发送路由更新时需同时发送子网掩码信息。

我发现，在使用动态掩码设计时一般会使用IP地址分段图来划分各子网的IP块，会避免出现重叠。

那么，如果这样动态掩码岂不是也存在IP地址的“浪费”（因为不同大小IP 地址块间的空隙）？但是，掩码的作用主要是增加设计网络的灵活性！如对一个C类地址而言，如果使用１位掩码，则只能得到两个126大小的子网。

但如果需求是划分三个子网：1个126大小，1个62大小，1个30大小，则通过固定掩码的有类网是无法实现的，可以通过动态掩码(VLSM)的无类网实现。

私有地址和NA T映射方案则尽可能避免使用不必要的公网IP资源。

掩码不仅用于公网地址，同样应用于私网地址。

网络汇总网络汇总和子网掩码有些相似，通过汇总掩码表示一个网络地址IP段，而不是主机地址IP段。

IP排错Ping 127.0.0.1 验证TCP/IP栈Ping 本机IP 验证网卡Ping 默认网关验证是否与网络连接Ping 远端服务器验证通信是否正常相关DOS命令：pingtracertArp –aipconfig /allVLAN管理策略服务器(VMPS)用于自动地配置动态VLAN。

但事实上，对上企业讲，静态VLAN显得更安全些，因为机器和端口是绑定的，变动时需手动设置。

目录角色职责 (3)第一章 (3)基本职责归纳 (3)项目流程RACI (3)抽样方法及作用 (4)职业独立性与组织独立性区别： (4)对独立性/客观性是否造成危害的情况： (4)证据属性 (4)审计技术比较 (4)其他考点： (5)信息审计顺序 (5)第二章 (5)基本职责归纳 (5)安全治理成果与管理职责关系P45 (6)信息系统职责分离P209 (7)风险应对措施及举例 (7)控制措施及作用 (8)常用工具/分析方法的区别 (8)其他考点： (8)业务影响分析BIA (8)第三章 (8)基本职责归纳 (8)项目组织结构P29 (9)系统开发团队P37 (9)项目后审查与实施后审查区别P80 (10)各类项目管理工具、技术、测试的作用和目的 (10)SDLC各阶段 (11)质量评估指标 (11)攻击方法及说明 (11)网络组件及其作用 (12)开发方法描述及优缺点P312 (12)联机/在线事务处理数据完整性ACID原则 (13)其他考点： (13)第四章 (13)基本职责归纳 (13)恢复指标及作用 (14)不同计划及作用 (14)检查校验方式及目的 (14)廉价磁盘冗余阵列（RAID） (15)OSI七层结构 (15)备份方法优缺点 (16)其他考点： (16)协议等安全性 (16)容量/能力管理 (16)第五章 (16)基本职责归纳 (16)渗透测试方法比较 (17)机密性与访问控制 (17)权限安全管理相关 (18)电力安全相关 (18)防火墙相关 (18)其他考点： (18)公共密钥基础结构PKI (18)访问控制 (19)角色职责第一章基本职责归纳项目流程RACIBEM ：业务执行经理 CIO ：首席信息官BPO ：业务流程所有者 DO ：运营总监 CA ：首席架构师 DD ：开发总监ITA ：IT 行政主管 PMO ：项目管理官抽样方法及作用职业独立性与组织独立性区别：职业独立性：审计师推荐了一个特定的供应商就会破坏职业独立性 组织独立性：组织独立性在接受约定时考虑对独立性/客观性是否造成危害的情况：证据属性审计技术比较其他考点：信息审计顺序确定业务流程→控制目标及活动→关键信息资产→部署审计资源→约谈相关人员第二章基本职责归纳安全治理成果与管理职责关系P45信息系统职责分离P209风险应对措施及举例控制措施及作用常用工具/分析方法的区别其他考点：业务影响分析BIABIA的主要产出是了解运营中断成本，而不是BCP 第三章基本职责归纳项目组织结构 P29系统开发团队 P37QAT ）测试打没打到要求（UAT ）项目后审查与实施后审查区别P80项目后审查：参与人员为项目人员；目的是知识共享，流程改进；时间为项目结束后。

一、IS audit function的管理(一)IS审计功能组织1．Audit chapter 由管理高层审批用于建立IS内部审计的角色。

需要定义审计功能的authority,scope,responsibilities2．Engagement letter 是针对特定的审计项目3．外部审计的话通过contract或者statement of work来详细说明审计服务的objectives and scope4．任何情况，内部审计功能应该保持独立并向审计委员会或者董事会等高层汇报。

(二)IS审计资源管理1．IS审计师应该technically competent 应该通过持续的教育获得技术上的胜任2．审计部门应制定详细的员工培训计划，并定期检查，应提供必要的IT资源来实施IS审计。

(三)审计计划1．年度计划是短期，2．长期是考虑到影响计划IT环境的IT战略方向变化所带来的风险3．单个的审计任务需要考虑到定期风险评估结果，应用技术的变化，隐私的关注以及法律要求等，都会影响审计方法。

也要考虑系统部署/升级的deadlines, 现在或者将来的技术，业务流程owner的要求，以及IS资源的有限性等方面。

4．计划过程：获取对业务任务，目标，目的，过程的了解；也包括对信息系统CIA等安全要求的了解识别stated 内容包括策略，标准，要求的指引和组织架构执行RA来帮助开发审计计划设立审计scope和objectives开发审计方法或者审计strategy为审计分派人员解决engagement logistics5．IS审计师了解业务的方法：阅读背景资料，包括：工业出版物，年报，独立的财务分析报告回顾之前的审计报告，或者IT相关报告回顾业务和IT相关的长期战略计划访谈关键岗位来了解业务识别特定的适用于IT的法规识别外包的IT功能或相关活动Touring 关键的机构facilities(四)法律法规对IS审计计划的影响。

预防性控制职责分工,物理访问控制检查性控制审计轨迹纠正性控制备份程序IS审计了解审计环境---进行风险评估---编制审计计划符合性测试:属性抽样符合性测试是对内部控制的完整性、有效性和实施情况进行的测试。

用以确定内部控制制度是否落实执行的审计测试。

实质性测试:一种审计测试的方法，用来保证在足够的内部控制的基础上，可以避免发生严重错误或诈欺行为。

变量抽样、分层单位平均估计法、差额估计法1固有风险评估2控制风险评估3控制测试评估4实质性测试评估符合性测试与实质性测试的区别主要有以下6点：1）测试目的不同：前者是为确定实质性测试性质，范围，时间；后者是为了对被审核单位内控制度发表审核意见。

2）测试范围不同，前者只对拟信赖的内控进行测试；后者视委托目的而定。

3）测试依据不同，前者依据《独立审计准则》；后者依据《内部控制审核指导意见》。

4）测试时间不同，前者和报表审计期间相同；后者视委托目的而定。

5）测试结果不同，前者形成审计工作底稿；后者形成内部控制审核报告。

6）内部控制审核要求被审核单位提供有关内控情况的书面声明，而符合性测试不需要。

第一章信息系统审计过程审计计划包括短期计划和长期计划。

短期年度内需要实施，长期考虑IT战略方针对IT环境造成的影响所带来的相关风险问题。

制定审计计划时：必须理解整体被审计环境。

包括了解审计对象的各项业务流程和职能。

审计计划步骤：1了解业务使命，目标、目的和流程2找出相关规定（政策、标准等）3风险分析4执行IT相关内部控制检查5确定审计目标和审计范围6制定审计方法或策略7为审计事项分配人力资源8关注项目后勤保障了解业务的步骤1巡检设施2阅读背景资料（出版物，报告）3检察业务及IT长期战略规划4访谈关键管理人5审阅以往审计报告或相关报告6识别适用于IT的具体规章7识别已外包的IT职能和相关活动。

审计程序列表：1风险评估方法2数字签名3入侵检测4病毒和其他恶意代码5控制风险自评估6防火墙7违规和非法行为8安全评估——穿透测试和脆弱性分析9评估加密方法的管理控制10业务应用系统变更控制11电子资金转账（EFT)风险分析风险分析是帮助IS审计师识别风险和脆弱性并确定降低风险所需的控制。

第二章IT治理1.公司治理整个组织层面的文化、决策和实务都必须通过公司治理来培养，公司治理被治理层定义为：为所有股东创造和呈现价值的企业道德行为，公司治理为制定公司目标、确定实现目标和监督绩效的方式提供了框架。

2.董事会和高级管理层的监督和保证实务IT治理是一个综合术语，它包括信息系统、技术和通讯、业务、法律相关事务，所有利益相关方、董事会、高级管理层、流程所有人、IT供应商、用户和审计师。

IT治理有助于确保IT 和企业的目标保持一致。

以实现业务的价值。

公司治理应采用公认的最佳实践，并通过特定控制来保证其实施。

通过这些实践来贯彻组织方针，指导特定活动使用组织资源。

对活动的结果要进行测评和报告，为控制的维护和持续改进提供依据。

IT治理采用最佳实践来确保组织信息及相关技术支持业务目标和价值交付，确保资源得到合理使用、风险得到适当管理、绩效得到测评。

IT治理在根本上关注两方面问题：IT向业务交付价值和IT风险得到管理。

前者由IT与业务的战略一致驱动，后者通过向企业分配责任来驱动。

2.1.IT治理的最佳实践IT治理整合最佳实践并使之制度化，确保企业IT支持业务目标，IT治理的目的是指导IT工作，确保IT绩效满足IT目标符合企业目标的要求，并实现预期的收益。

2.1.1.审计在IT治理中的角色P58IT治理包含了确定企业内如何应用IT的一系列问题，审计有助于确保组织满足所实施的IT 治理的要求。

IT治理报告涉及组织最高层次，并可能是跨区域，跨职能、跨部门的，IS审计师应当确认已明确以下内容：工作范围：包括清晰定义所涵盖的职能领域和事务；采用的报告路线：使查出的IT治理问题能报告给组织最高层；IS审计师对信息的访问权限，包括对组织内部和第三方服务提供商。

按照IS审计师的既定角色，需要评价与IT治理的相关内容：IS职能与组织使命、愿景、价值、目标和战略的一致性；法律、环境、信息质量、委托、安全和隐私方面的要求；组织的环境控制；IS环境的固有风险。