最新最全的CISA知识体系讲解
CISA重要知识第一章-信息系统审计程序重要知识点
第一层次:信息系统审计准则。信息系统审计准则是整个审计准则体系的总纲,是信息 系统审计师的资格条件、执业行为的基本规范,是制定审计指南和审计程序的基础依据。分 为 8 大类,共 12 条准则。只要是信息系统审计师执行审计业务,出具审计报告,都必须遵 守执行,具有强制性。
CISA 考试复习关键点
第一章 信息系统审计程序
★ 必须的知识点
1、ISACA 发布的信息系统审计标准、准则、程序和职业道德规范 2、IS 审计实务和技术 3、收集信息和保存证据的技术(如观察、调查问卷、谈话、计算机辅助审计技术、电子介质) 4、证据的生命周期(如证据的收集、保护和证据之间的相关性) 5、与信息系统相关的控制目标和控制(如 C}}I}'模型) 6、审计过程中的风险评估 7、审计计划和管理技术 8、报告和沟通技术(如推进、商谈、解决冲突) 9、控制自我评估(CSA) 10、持续审计技术(即:连续审计技术)
如果重大的误报或非法行为影响到信息系统审计人员继续实施审计工作时,信息系统审计人 员应该考虑该环境下的法律和职业责任。信息系统审计人员可以采取的行动有:向业务主管 人员报告、向公司治理机构或司法机构报告、中止审计业务。
信息系统审计人员应该检查和评估 I 职能部门的使命、愿景、价值观、目标和战略是否与组 织相一致。 信息系统审计人员应该检查 I 职能部门是否存在书面明确的业绩标准,评价其履行情况。
ISACA 信息系统审计标准
审计章程或审计业务约定书应得到组织中适当的管理层的同意和批准。
信息系统审计师在从事审计事项时,应该在实质和形式上独立于被审计方。
信息系统审计人员应编制基于风险的审计方法。 信息系统审计人员应编制详细的审计计划,包括审计性质、目标、范围和所需的资源。 信息系统审计人员应编制审计程序和步骤。
CISA重要知识第二章IT治理重要知识点
第二章IT治理★必须的知识点1.IT战略、政策、标准和程序对于组织的意义,及其基本要素2.IT治理框架(体系)3.制定、实施和维护IT战略、政策、标准和程序的流程。
如:信息资产的保护、业务持续和灾难恢复、系统和基础建设生命周期、IT服务交付与支持4.质量管理战略和政策5.与IT使用私}管理相关的组织结构、角色私!职责。
6.公认的国际IT标准和准则(指导)。
7.制订一长期战略方向的企业所需的IT体系及其内容8.风险管理方法和工具9.控制框架(模型)的使用,如:CobiT, COSO, ISO 17799等控制模型。
10.成熟度和流程改进模型(如:C1V1M, CobiT)的使用。
11.签约战略、程序和合同管理实务。
12.IT绩效的监督和报告实务13.有关的法律、规章等问题(如:保密法/隐私法、知识产权、公司治理的要求)14.IT人力资源管理15.资源投资和配置实务(如:投资的资产管理回报)★可能的考试重点公司治理与IT治理(概念)IT治理中董事会和执行经理层的作用(责任、关键成功因素)IT治理最佳实务(结构与关系)IT治理中审计的的作用(确保IT的运用符合组织目标)IT战略:IT战略委员会(职责、作用、组成)、IT平衡记分卡信息安全治理企业架构(结构化方式反映组织的IT资产)业务流程驱动的企业架构FEA参考模型风险管理(原第七章内容,重点)采购实务IS模块交付(内包、外包、混合采购)采购战略外包实务和战略(优缺点、风险)服务水平协议(SLA)全球化战略和实务第三方审计报告能力与发展服务改进和用户满意度行业标准/基准信息系统组织结构供货商和外包商管理体系运营和维护(原运维)应用开发和维护/系统开发和维护职责分离(重点)组织结构中不同人员的职责★需要了解和熟悉IT治理审计查询理解★★★★★★★信息系统安全管理的成果信息系统安全管理的不同层次★知识点摘要公司治理倡导的公司道德文化。
世界经合组织将公司治理定义:“公司内不同群体之间责权利的分配关系,如董事会、管理层、股东和其他利害相关者,这些分配关系清楚地勾勒出公司决策的规则和程序。
CISA知识点总结2024
引言概述:CISA(CertifiedInformationSystemsAuditor)是一项国际认可的信息系统审计师资格认证,对从事信息系统审计和控制的专业人士具有重要意义。
本文将针对CISA知识点进行总结,帮助读者全面了解CISA考试的内容和要求。
正文内容:一、信息系统审计的基本概念和原则1.信息系统审计的定义和目的2.信息系统审计的基本原则3.信息系统审计的类型和阶段4.信息系统审计的参与者和角色5.信息系统审计的国际标准和准则二、信息系统与技术基础1.信息系统的组成和分类2.信息系统的开发生命周期3.信息系统的运行和维护4.信息系统的风险与控制5.信息系统的安全性和保护措施三、信息系统审计过程与方法1.信息系统审计的策划和准备2.信息系统审计的实施和测试3.信息系统审计的发现和报告4.信息系统审计的跟踪和追踪5.信息系统审计的总结和建议四、信息系统审计的专业实践1.信息系统审计的法律法规和道德规范2.信息系统审计的流程和工具3.信息系统审计的案例和经验分享4.信息系统审计的问题识别和解决5.信息系统审计的持续学习和发展五、信息系统审计的未来发展趋势1.信息系统审计的技术创新和趋势预测2.信息系统审计的人才需求和发展机遇3.信息系统审计的国际合作和标准发展4.信息系统审计的重要性和挑战5.信息系统审计的职业形象和影响力总结:CISA知识点总结着重强调了信息系统审计的基本概念和原则、信息系统与技术基础、信息系统审计过程与方法、信息系统审计的专业实践以及信息系统审计的未来发展趋势五个大点。
每个大点下面设定了59个小点来详细阐述相关知识。
通过本文的学习,读者可以全面了解CISA考试所需的知识和技能,为提高信息系统审计能力和通过CISA考试提供有力的支持。
同时,本文还强调了信息系统审计在未来的发展趋势和重要性,鼓励读者不断学习和发展,为信息系统审计职业做出更大的贡献。
最新CISA认证全套中文资料完美版CH1知识点
一、IS audit function的管理(一)IS审计功能组织1.Audit chapter 由管理高层审批用于建立IS内部审计的角色。
需要定义审计功能的authority,scope,responsibilities2.Engagement letter 是针对特定的审计项目3.外部审计的话通过contract或者statement of work来详细说明审计服务的objectives and scope4.任何情况,内部审计功能应该保持独立并向审计委员会或者董事会等高层汇报。
(二)IS审计资源管理1.IS审计师应该technically competent 应该通过持续的教育获得技术上的胜任2.审计部门应制定详细的员工培训计划,并定期检查,应提供必要的IT资源来实施IS审计。
(三)审计计划1.年度计划是短期,2.长期是考虑到影响计划IT环境的IT战略方向变化所带来的风险3.单个的审计任务需要考虑到定期风险评估结果,应用技术的变化,隐私的关注以及法律要求等,都会影响审计方法。
也要考虑系统部署/升级的deadlines, 现在或者将来的技术,业务流程owner的要求,以及IS资源的有限性等方面。
4.计划过程:获取对业务任务,目标,目的,过程的了解;也包括对信息系统CIA等安全要求的了解识别stated 内容包括策略,标准,要求的指引和组织架构执行RA来帮助开发审计计划设立审计scope和objectives开发审计方法或者审计strategy为审计分派人员解决engagement logistics5.IS审计师了解业务的方法:阅读背景资料,包括:工业出版物,年报,独立的财务分析报告回顾之前的审计报告,或者IT相关报告回顾业务和IT相关的长期战略计划访谈关键岗位来了解业务识别特定的适用于IT的法规识别外包的IT功能或相关活动Touring 关键的机构facilities(四)法律法规对IS审计计划的影响。
CISA知识要点
★ 必须的知识点
1、ISACA 发布的信息系统审计标准、准则、程序和职业道德规范 2、IS 审计实务和技术 3、收集信息和保存证据的技术(如观察、调查问卷、谈话、计算机辅助审计技术、电子介质) 4、证据的生命周期(如证据的收集、保护和证据之间的相关性) 5、与信息系统相关的控制目标和控制(如 Cobit 模型) 6、审计过程中的风险评估 7、审计计划和管理技术 8、报告和沟通技术(如推进、商谈、解决冲突) 9、控制自我评估(CSA) 10、持续审计技术(即:连续审计技术)
★ 可能的考试重点
ISACA 审计标准的变化:违规和非法行为、IT 治理、在审计计划中运用风险评估 ISACA 审计指南索引与审计程序索引(不重要) COBIT(了解和补充) 审计程序(必考内容) 舞弊检查(审计师的职业谨慎、内部控制和舞弊) 面谈并观察员工履行职责情况(审计师识别职能、实际过程、安全意识和报告关系,原第二 章内容) 补偿控制与审计发现的重要性水平(重要) 审计报告(一般不会问到格式,考虑沟通技巧和报告关系) 控制自我评估:CSA 混合方式、CSA 优缺点、审计师在 CSA 中的作用 信息系统审计程序的新变化:电子底稿、综合审计、连续审计与在线审计
信息系统审计准则 信息系统审计准则是由信息系统审计准则、审计指南和审计程序构成的。
第一层次:信息系统审计准则。信息系统审计准则是整个审计准则体系的总纲,是信息 系统审计师的资格条件、执业行为的基本规范,是制定审计指南和审计程序的基础依据。分 为 8 大类,共 12 条准则。只要是信息系统审计师执行审计业务,出具审计报告,都必须遵 守执行,具有强制性。
在计划和实施审计工作时,信息系统审计人员应该考虑不合规和非法行为等可能带来的审 计风险。 无论不合规和非法行为的风险评估结果如何,信息系统审计人员在实施审计作业时都要对 由于不合规和非法行为而导致的重大误报的可能性保持职业怀疑的态度。 在确定或得到存在重人的不合规和非法行为的信息时,信息系统审计人员应该及时与适当的 管理层沟通该情况。 在确定重大的不合规和非法行为牵涉到管理层或和内部控制中关键岗位人员时,信息系统审 计人员应该及时与董事会沟通该情况。
最新最全CISA学习笔记
* 控制:防止风险
* 业务需求七要素:
种类
项目
解释
效果
质量
效率
符合业务部门的期望 成本效益
保密性
信息泄露
安全
可用性
物理设备的丢失、信息被破坏;需要时能用
完整性
防止篡改、修改
受信/受托
符合性 可靠性
合规性,法律法规 数据准确
* IT 资源:人员、信息、基础架构、应用系统;
* 通过流程化管理 IT 资源;
增强审计职责在控制责任和监控当中教育各级管理者通过对在csa中注意到的高风险和非正常项目进行复核来确定审计工作目标通过把纠错心动从所有者方面向雇员方面转移的办法来提高纠错行动的有效性一些组织在做csa评估时可能还会包括客户贸易伙伴等外部人员csa主要目标是通过把一些控制监督职责分散到职能部门来充分发挥内部审计职能的左右这并不是要替代审计的职责而是一种加强审计师应该牢记他们只是csa的推动者只有管理人员才是csa程序的具体实施者确定审计发现重要性的关键是评估这些审计发现对各级管理层的重要性评估中需要判断未针对审计发现采取纠正措施可能导致的潜在影响
* 内部控制:为减少风险所实施的各种政策、步骤、实践和组织结构;确保业务目标的有效达成。提高经营效率
最新CISA认证全套中文资料完美版All In One知识点详细注解
Bussiness Continuity and Disaster Recovery本章节主要讨论以下内容:1.灾难disaster类型以及他们对公司的冲击impacts2.业务连续性和灾难恢复计划的组成部分3.BIA业务受冲击分析4.恢复目标recovery targets5.对BCP,DRP的test测试6.培训员工7.对BCP,DRP的维护8.对BCP,DRP的审计此章节占比CISA考试的14%1.BCP和DRP的primariy objective: improve the chances that the organization will survive a disaster without incurring costly or even fatal damage to its most critical activites.2.BCP,DRP适用于任何规模的公司,任何公司都要建立自己的BCP,DRP。
3.即时灾难永远不发生,公司仍然可以从BCP,DRP的开发过程中获益,BCP,DRP 的开发可带来企业运行流程和技术的提升。
Disaster 灾难业务角度,灾难是能够导致业务运行中断的unexpected and unplanned events.灾难本身的规模和所引发的冲击各不相同。
一.灾难类型1.Natural disaster 自然灾害Earthquakes 地震Volcanoes火山Landslides滑坡Avalances 雪崩,分为slad avalance/loose snow avalance/pover snow avalanceWildfires野火Tropical cyclones热带气旋:强风,大雨,storm surgeTornades龙卷风Windstorm风暴Lightning闪电Ice storm暴雪Hail冰雹Flooding洪水Tsunamis海啸Pandemic瘟疫Extraterrestrial impacts地外冲击:meteority陨星2.Man-made disasters 人为灾害Civil disturbances:protests,demonstrations,riots,strikes,work slowdowns, stoppages, looting(掠劫), curfews(宵禁),evacuations, lockdowns(一级防范禁闭)Utility outages:电力、天然气、水、供热、通讯线路等设施失效Materials shortages:原材料短缺Fires火灾:建筑物、材料、器材的失火Hazardous materials spills危险材料泄露Transportation accidents运输事故Terrorism and war恐怖活动和战争:影响局部地区,但也会间接引起材料独缺和utility outagesSecurity events安全事件:hacker攻击等真正的灾难通常是由多方面因素引发的二.灾难如何影响公司许多灾难能够直接对业务运行造成直接影响,但是其secondary effects 对业务持续运转的能力造成更大的影响。
最新最全的CISA知识体系讲解共43页文档
1、纪律是管理关系的形式。——阿法 纳西耶 夫 2、改革如果不讲纪律,就难以成功。
3、道德行为训练,不是通过语言影响 ,而是 让儿童 练习良 好道德 行为, 克服懒 惰、轻 率、不 守纪律 、颓废 等不良 行为。 4、学校没有纪律便如磨房里没有水。 ——夸 美纽斯
5、教导儿童服从真理、服从集体,养 成儿童 自觉的 纪律性 ,这是 儿童道 德教育 最重要 的部分 。—— 陈鹤琴
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、有勇气承担命运这才是英雄好汉。——黑塞 4、与肝胆人共事,无字句处读书。——周恩来 5、阅读使人充实,会谈使人敏捷,写作使人精确。——培根
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CISA证书的价值
“全球化进展进一步提升了CISA资格证书 的价值,显示了它是真正国际认可的资 历证书。”
---------美国摩根大通公司,埃内斯托· 阿吉拉,CISA
CISA证书的价值
专业认证计划杰出的标志在于持证人提 高了自身的价值并受到了人们的尊重。 自1978年以来,由信息系统审计与控制 协会(ISACA)发起的国际信息系统审计 师(CISA)认证已经成为持证人在信息 系统审计、控制与安全等专业领域中取 得成绩的象征,并逐步发展成全球公认 的标准。
第二部分 IT 治理(信息技术治理)
2.11 签约战略、程序和合同管理实务。 2.12 IT 绩效的监督和报告实务 2.13 有关的法律、规章等问题(如:保密法/隐私法、 知识产权、公司治理的要求) 2.14 IT 人力资源管理 2.15 IT 资源投资和配置实务(如:投资的资产管理回 报)
答题压力
CISA〉CISSP CISSP 6小时 A Overview
CISA overview
CISA and ISACA CISA认证 CISA考试 CISA考试内容 CISA vs. CISSP
CISA and ISACA
最高专业程度的标志
获得CISA资格证书有助于确立您作为一 名合格的信息系统审计、控制和安全专 业人才的声望。不论你是希望提高你的 工作业绩还是得到职务升迁,拥有CISA 资格证书都会使你拥有他人无法企及的 竞争优势。
雇主寻求的资历
由于CISA 所认证的个人能够熟练掌握当 今需要的最先进的技能,雇主更愿意雇 用和留住那些达到并能够维持资格证书 所要求水平的人才。CISA资格证书向雇 主保证其雇员已达到工作要求所必需的 最新教育与实践经验。
第二部分 IT 治理(信息技术治理)
2.1 IT 战略、政策、标准和程序对于组织的意义,及其基本要素 2.2 IT 治理框架(体系) 2.3 制定、实施和维护IT 战略、政策、标准和程序的流程。如: 信息资产的保护、业务持续和灾难恢复、系统和基础建设生命周 期、IT 服务交付与支持 2.4 质量管理战略和政策 2.5 与IT 使用和管理相关的组织结构、角色和职责。 2.6 公认的国际IT 标准和准则(指导)。 2.7 制订长期战略方向的企业所需的IT 体系及其内容 2.8 风险管理方法和工具 2.9 控制框架(模型)的使用,如:CobiT、COSO、ISO 17799 等控 制模型。 2.10 成熟度和流程改进模型(如:CMM、CobiT)的使用。
第三部分 系统和基础建设生命 周期管理
3.1 收益管理实务(例如:可行性研究、业务案例) 3.2 项目治理机制,如:项目指导委员会、项目监督委员会 3.3 项目管理实务、工具和控制框架 3.4 用于项目管理上的风险管理实务 3.5 项目成功的原则和风险 3.6 涉及开发、维护系统(和/或体系)的配置、变更和(发布的)版 本管理 3.7 确保IT 系统应用的交易和数据的完整性、准确性、有效性和 授权的控制目标和技术 3.8 关于数据、应用和技术的企业框架 3.9 需求分析和管理实务,如:需求验证、跟踪(可追溯)、差距分 析 3.10 采购和合同管理程序,如:评估供应商、签合同准备、供应 商管理、由第三方保存附带条件委付的契约(escrow)。
CISA and ISACA
CISA
Certified Information System Auditor 注册信息系统审计师
ISACA
Information Systems Audit and Control Association 信息系统审计与控制协会
ISACA
信息系统审计与控制协会(ISACA)创始于 1967年,当时它是由从事同类职业的人所组成 的小团体——计算机系统的审计和控制对他们 各自机构的运作都变得愈发关键——因此他们 聚集起来讨论制定信息集中化资源和本领域指 导准则的必要性。在1969年,这个团体正式组 建为EDP 审计师协会。在1976年,这个协会成 立一项教育基金来开展大规模的研究工作,以 拓展信息产业管理与控制领域的知识与价值。
第一部分 信息系统审计程序
1.1 ISACA 发布的信息系统审计标准、准则、程序和职业道德规 范 1.2 IS 审计实务和技术 1.3 收集信息和保存证据的技术(如观察、调查问卷、谈话、计 算机辅助审计技术、电子介质) 1.4 证据的生命周期(如证据的收集、保护和证据之间的相关性) 1.5 与信息系统相关的控制目标和控制(如CobiT 模型) 1.6 审计过程中的风险评估 1.7 审计计划和管理技术 1.8 报告和沟通技术(如推进、商谈、解决冲突) 1.9 控制自我评估(CSA) 1.10 不间断审计技术(即:连续审计技术)
得到ISO/IEC 17024:2003标准 的公认
美国国家标准协会(ANSI)已经按照 ISO/IEC 17024:2003标准对CISA认证计 划进行了鉴证和认可 该标准是对一个团体开展人员认证方面 的总体要求
Journal)。
它举办一系列国际性会议,并且把焦点集中于信息系 统保障、控制、安全和信息技术管理专业的技术与管 理主题上。
ISACA
唯一有权授予信息系统审计师资格的跨 国界、跨行业专业机构
ISACA Web
CISA认证
CISA的工作
熟悉信息系统软件、硬件、开发、运营、 维护、管理以及安全 熟悉业务运营管理 利用规范和相关的审计技术,对信息系 统的安全性、稳定性、有效性进行审计、 检查、评价
ISACA
ISACA的另一个强势就是它的分会网络。 ISACA的分会遍布世界60 多个国家,可 提供成员教育、资源共享、支持、专业 网络,以及其他由当地分会提供的诸多 利益。
ISACA
在ISACA创立的三十年来,它已成为一个为信息管理、 控制、安全和审计专业设定规范的全球性组织。 它的信息系统审计和信息系统控制标准为全球执业者 所遵从。它的研究工作针对那些挑战其重要原则的疑 难专业事项。 它的国际信息系统审计师(CISA)认证得到全球的公 认,并有三万多名专业人员得到认证。 它最新推出的国际信息安全经理(CISM)认证特别针 对信息安全管理的审计事务。 它出版了领先于信息控制领域的技术性期刊,即《信 息系统控制期刊》(Information Systems Control
第三部分 系统和基础建设生命 周期管理
3.11 系统开发方法和工具,以及它们的优缺点。例如, 敏捷开发实务,原型、快速应用开发(RAD),面向对象 的设计技术。 3.12 质量保证方法 3.13 测试流程的管理,如,测试战略、测试计划、测 试环境、启用和关闭(测试)的标准。 3.14 数据转换工具、技术和程序。
第四部分 IT 服务的交付与支持
4.1 服务的等级(或水平)管理实务 4.2 运营管理最佳实务,例如:工作负荷调度、网络服务管理、预防性维护。 4.3 系统性能(或效能)监控程序、工具和技术。例如:网络分析器、系统利 用率报告、负载均衡 4.4 硬件和网络设备的功能。如:路由器、交换机、防火墙和外围设备 4.5 数据库管理实务 4.6 操作系统、工具软件和数据库管理系统(例如,关系型数据库:Oracle、 PostgreSQL)等系统软件的功能。 4.7 生产能力计划和监控技术 4.8 对生产系统(或体系)的应急变更和调度管理程序,包括变更、配置、(版 本)发布和补丁管理实务。 4.9 (生产)事件/问题管理实务。如,帮助台(负责电话受询,提供一般性技 术救援)、(逐级)上报程序和(技术)追踪。 4.10 软件许可证和(其总量)清单管理实务。 4.11 系统弹性之工具和技术,例如:容错硬件、单点失效的排除、(服务器) 群集(或矩阵)。
第五部分 信息资产的保护
5.11 安全(方案)的测试和评估技术。例如:渗透测试、漏洞扫描 5.12 (生产)环境保护实务和设备。如:火灾压制、冷却系统和水 传感器 5.13 物理安全系统和实务。例如:生物(特征)鉴定、门卡、密码 锁。 5.14 数据分类方案。例如:公开的、保密的、私密的和敏感的数 据。 5.15 语音通讯的安全。如:VoIP 5.16 保密信息资产的采集、存储、使用、传输(或运输)和(退役) 处置程序和流程。 5.17 与使用便携式和无线设备(例如:个人商务通PDA、USB 设 备和蓝牙设备)相关的控制和风险。
CISA vs. CISSP
认证侧重点
CISSP
信息系统安全的管理与实践
CISA
信息系统的控制与审计
对应的职业不同
CISSP
Consultant, management
CISA
Auditor, management
考试难度比较
技术深度
CISSP〉CISA CISSP 10 domains CISA 6 domains
第六部分 灾难恢复和业务连续 性计划
6.1 数据备份、存储、维护、保留和恢复流程,和实务。 6.2 业务连续性和灾难恢复有关的法律、规章、协议和 保险问题。 6.3 业务影响分析(BIA) 6.4 开发和维护灾难恢复和业务连续性计划。 6.5 灾难恢复和业务连续性计划测试途径和方法 6.6 与灾难恢复和业务连续性计划有关的人力资源管理。 例如:疏散计划、(紧急)响应团队。 6.7 启用灾难恢复和业务连续性计划的程序(或流程)。 6.8 备用业务处理站点(指场所和设施)的类型,和监督 有关协议/合同的方法。