CISA官方教材：《CISA Review Manual（CISA考試復習手冊）》及CISA知識體系介紹

CISA信息系統(tǒng)審計師認證 知識體系 考證須知 證書含金量 培訓大綱 3分鐘小視頻 我要提問

CISA認證是由信息系統(tǒng)審計與控制協(xié)會（ISACA）頒發(fā)的，針對信息系統(tǒng)審計、控制與安全領域的專業(yè)認證。它表明持證人在評估和審計信息系統(tǒng)的安全性、可靠性和有效性方面具備專業(yè)知識和技能。CISA 認證在信息技術和審計領域具有較高的認可度。

• 中文名CISA信息系統(tǒng)審計師認證
• 英文名Certified Information Systems Auditor
• 英文簡稱CISA
• 頒證機構ISACA（國際信息系統(tǒng)審計與控制協(xié)會）
• 證書類別IT審計，IT運維，信息安全
• 同類認證CISM、CRISC

>>>重要！CISA新版教材于2024年5月1日更新，到底發(fā)生了哪些變化？<<<

《CISA Review Manual（CISA考試復習手冊）》

CISA官方教材選用ISACA官方出版的《CISA Review Manual》，中文名稱是《CISA考試復習手冊》。教材每年更新，目前_新版是第27版。《CISA考試復習手冊》是CISA認證考試的基礎。

隨著計算機技術在管理中的廣泛運用，傳統(tǒng)的管理、控制、檢查和審計技術都面臨著巨大的挑戰(zhàn)。在網(wǎng)絡經(jīng)濟迅猛發(fā)展的今天，IT審計師已被公認為全世界范圍內(nèi)非常搶手的高級人才。享譽全球的ISACA(國際信息系統(tǒng)審計協(xié)會)為全球?qū)I(yè)人員提供知識、職業(yè)認證并打造社群網(wǎng)絡，其推出的CISA（注冊信息系統(tǒng)審計師，Certified Information Systems Auditor）認證在全球受到廣泛認可，并已進入中國。本書是ISACA官方出版的獲得CISA認證的指定教材。

另外推薦同樣是ISACA官方出版的《CISA復習考題及解答手冊》，目前_新版是第12版。《CISA 復習考題及解答手冊》中包括1000道選擇題及解答，是根據(jù)新修訂的CISA工作實務領域編排的。這些題目及解答旨在向CISA考生介紹可能在CISA考試中出現(xiàn)的題目類型。這些題目并不是考試中的真實題目?！禖ISA復習考題及解答手冊》還包含一份150道題目的考試樣卷，每個CISA工作實務領域相關的題目所占的比例與實際考試相同。

CISA考試復習手冊目錄結構

《CISA Review Manual》原書為英文，也有中文版《CISA考試復習手冊》出版，其目錄供參考，如下：

《CISA考試復習手冊（第27版）》目錄

致謝
新增CISA工作實務
關于本手冊
概述
本手冊的編排
準備CISA考試
開始準備
使用《CISA考試復習手冊》
手冊特征
將《CISA考試復習手冊》與其他ISACA資源結合使用
關于CISA復習考題及解答產(chǎn)品
第1章：信息系統(tǒng)的審計流程
概述
領域1考試內(nèi)容大綱
學習目標/任務說明
深造學習參考資料
自我評估問題
自我評估問題解答
第A部分：規(guī)劃
1.0 簡介
1.1 信息系統(tǒng)審計標準、準則和道德規(guī)范
1.1.1 ISACA信息系統(tǒng)審計和鑒證標準
1.1.2 ISACA信息系統(tǒng)審計和鑒證準則
1.1.3 ISACA職業(yè)道德規(guī)范
1.1.4 ITAF
1.2 業(yè)務流程
1.2.1 信息系統(tǒng)內(nèi)部審計職能
審計章程
1.2.2 信息系統(tǒng)審計職能的管理
信息系統(tǒng)審計資源的管理
1.2.3 審計規(guī)劃
單項審計任務
1.2.4 法律法規(guī)對信息系統(tǒng)審計規(guī)劃的影響
1.2.5 業(yè)務流程應用程序和控制
電子商務
電子數(shù)據(jù)交換
電子郵件
銷售終端系統(tǒng)
電子銀行
電子資金轉(zhuǎn)賬
自動提款機
電子金融
集成制造系統(tǒng)
交互式語音響應
采購會計系統(tǒng)
圖像處理
工業(yè)控制系統(tǒng)
人工智能和專家系統(tǒng)
供應鏈管理
客戶關系管理
1.2.6 使用其他審計師和專家的服務
1.3 控制類型
1.3.1 控制目標和控制措施
信息系統(tǒng)控制目標
1.3.2 控制環(huán)境評估
1.3.3 常規(guī)控制
1.3.4 信息系統(tǒng)特有的控制
1.4 基于風險的審計規(guī)劃
1.4.1 審計風險和重要性
1.4.2 風險評估
1.4.3 信息系統(tǒng)審計風險評估技術
1.4.4 風險分析
1.5 審計類型和評估
第B部分：執(zhí)行
1.6 審計項目管理
1.6.1 審計目標
1.6.2 審計階段
1.6.3 審計程序
制定審計程序所需的基礎技能
1.6.4 審計工作底稿
1.6.5 欺詐、違規(guī)和非法行為
1.7 抽樣方法論
1.7.1 符合性與實質(zhì)性測試
1.7.2 抽樣
抽樣風險
1.8 審計證據(jù)收集技巧
1.8.1 訪問和觀察員工以了解其職責履行情況
1.9 數(shù)據(jù)分析
1.9.1 計算機輔助審計技術
作為持續(xù)在線審計方法的CAAT
1.9.2 持續(xù)審計和監(jiān)控
1.9.3 持續(xù)審計技術
1.10 報告和溝通技巧
1.10.1 溝通審計結果
1.10.2 審計報告目標
1.10.3 審計報告的結構與內(nèi)容
1.10.4 審計記錄
1.10.5 后續(xù)活動
1.10.6 信息系統(tǒng)審計報告的類型
1.11 質(zhì)量_和審計流程改進
1.11.1 控制自我評估
CSA的目標
CSA的優(yōu)勢
CSA的劣勢
信息系統(tǒng)審計師在CSA中的角色
1.11.2 整合審計
案例研究
案例研究相關問題的答案
第2章：IT治理與管理
概述
領域2考試內(nèi)容大綱
學習目標/任務說明
深造學習參考資料
自我評估問題
自我評估問題解答
第A部分：IT治理
2.0 簡介
2.1 IT治理和IT戰(zhàn)略
2.1.1 企業(yè)信息和技術治理
2.1.2 EGIT的良好實踐
2.1.3 EGIT中的審計角色
2.1.4 信息安全治理
有效的信息安全治理
2.1.5 信息系統(tǒng)戰(zhàn)略
2.1.6 戰(zhàn)略規(guī)劃
2.1.7 商業(yè)智能
數(shù)據(jù)治理
2.2 IT相關框架
2.3 IT標準、政策、程序和準則
2.3.1 標準
2.3.2 政策
信息安全政策
審查信息安全政策
2.3.3 程序
2.3.4 準則
2.4 組織結構
2.4.1 IT治理委員會
2.4.2 高級管理層和董事會的角色和職責
董事會
高級管理層
信息安全標準委員會
首席信息安全官
IT指導委員會
結果和職責矩陣
2.4.3 IT組織結構和職責
IT角色和職責
2.4.4 IT內(nèi)部的職責分離
職責分離控制
2.4.5 審計IT治理結構與實施
審查文檔
2.5 企業(yè)架構
2.6 企業(yè)風險管理
2.6.1 制訂風險管理方案
2.6.2 風險管理流程
第1步：資產(chǎn)識別
第2步：資產(chǎn)面臨的威脅和漏洞評估
第3步：影響評估
第4步：風險計算
第5步：風險評估和響應
2.6.3 風險分析方法
定性分析方法
半定量分析方法
定量分析方法
2.7 成熟度模型
2.7.1 能力成熟度模型集成
2.7.2 初始化、診斷、建立、行動和學習模型
2.8 影響組織的法律、法規(guī)和行業(yè)標準
2.8.1 治理、風險與合規(guī)性
2.8.2 法律、法規(guī)和行業(yè)標準對信息系統(tǒng)審計的影響
第B部分：IT管理層
2.9 IT資源管理
2.9.1 IT的價值
2.9.2 實施IT組合管理
IT組合管理與平衡計分卡
2.9.3 IT管理實務
2.9.4 人力資源管理
雇用
員工手冊
晉升政策
培訓
日程計劃安排和時間報告
雇用期間
員工績效評估
必休假期
離職政策
2.9.5 組織變更管理
2.9.6 財務管理實務
信息系統(tǒng)預算
軟件開發(fā)
2.9.7 信息安全管理
2.10 IT服務提供商購置和管理
2.10.1 外包實務與戰(zhàn)略
行業(yè)標準/基準檢測
全球化實務與策略
2.10.2 外包和第三方審計報告
2.10.3 云治理
2.10.4 外包中的治理
2.10.5 容量和發(fā)展規(guī)劃
2.10.6 第三方服務交付管理
2.10.7 第三方服務的監(jiān)控和審查
2.10.8 管理第三方服務變更
服務改善和用戶滿意度
2.11 IT性能監(jiān)控和報告
2.11.1 績效優(yōu)化
關鍵成功因素
方法和工具
2.11.2 工具和技術
2.12 IT質(zhì)量_和質(zhì)量管理
2.12.1 質(zhì)量_
2.12.2 質(zhì)量管理
案例研究
案例研究相關問題的答案
第3章：信息系統(tǒng)的購置、開發(fā)與實施
概述
領域3考試內(nèi)容大綱
學習目標/任務說明
深造學習參考資料
自我評估問題
自我評估問題解答
第A部分：信息系統(tǒng)的購置與開發(fā)
3.0 簡介
3.1 項目治理和管理
3.1.1 項目管理實務
3.1.2 項目管理結構
3.1.3 項目管理角色和職責
3.1.4 項目管理技術
3.1.5 組合/項目群管理
3.1.6 項目管理辦公室
項目組合數(shù)據(jù)庫
3.1.7 項目效益實現(xiàn)
3.1.8 項目啟動
3.1.9 項目目標
3.1.10 項目規(guī)劃
信息系統(tǒng)開發(fā)項目成本估算
軟件規(guī)模估算
功能點分析
成本預算
軟件成本估算
日程計劃安排和確定時間范圍
3.1.11 項目執(zhí)行
3.1.12 項目控制和監(jiān)控
范圍變更管理
資源使用管理
3.1.13 項目完工
3.1.14 信息系統(tǒng)審計師在項目管理中的角色
3.2 業(yè)務案例和可行性分析
3.2.1 信息系統(tǒng)審計師在業(yè)務案例開發(fā)中的角色
3.3 系統(tǒng)開發(fā)方法
3.3.1 業(yè)務應用程序開發(fā)
3.3.2 SDLC模型
3.3.3 SDLC階段
階段1：可行性分析
階段2：要求定義
階段3A：軟件選擇與購置
階段3B：設計
階段4A：配置
階段4B：開發(fā)
階段5：_終測試與實施
階段6：實施后審查
3.3.4 信息系統(tǒng)審計師在SDLC項目管理中的角色
3.3.5 軟件開發(fā)方法
原型設計——進化式開發(fā)
快速應用開發(fā)
敏捷開發(fā)
面向?qū)ο蟮南到y(tǒng)開發(fā)
基于組件的開發(fā)
軟件再造
逆向工程
DevOps
業(yè)務流程再造和流程變更
3.3.6 系統(tǒng)開發(fā)工具和生產(chǎn)力輔助手段
計算機輔助軟件工程
代碼生成器
第四代語言
3.3.7 基礎架構開發(fā)/購置實踐
物理架構分析的各個項目階段
規(guī)劃基礎設施的實施
3.3.8 硬件/軟件購置
購置步驟
信息系統(tǒng)審計師在硬件購置中的角色
3.3.9 系統(tǒng)軟件購置
整合資源管理系統(tǒng)
信息系統(tǒng)審計師在軟件購置中的角色
3.4 控制識別和設計
3.4.1 輸入/來源控制
輸入授權
批量控制和核對
錯誤報告和處理
3.4.2 處理程序和控制
數(shù)據(jù)驗證和編輯程序
處理控制
數(shù)據(jù)文件控制程序
3.4.3 輸出控制
3.4.4 應用控制
信息系統(tǒng)審計師在審查應用控制中的角色
3.4.5 用戶程序
3.4.6 決策支持系統(tǒng)
設計與開發(fā)
實施和使用
風險因素
實施戰(zhàn)略
評估與評價
DSS共同特征
第B部分：信息系統(tǒng)實施
3.5 測試方法
3.5.1 測試分類
其他測試類型
3.5.2 軟件測試
3.5.3 數(shù)據(jù)完整性測試
在線交易處理系統(tǒng)的數(shù)據(jù)完整性
3.5.4 應用程序系統(tǒng)測試
自動化應用程序測試
3.5.5 信息系統(tǒng)審計師在信息系統(tǒng)測試中的角色
3.6 配置和發(fā)布管理
3.7 系統(tǒng)遷移、基礎設施部署和數(shù)據(jù)轉(zhuǎn)換
3.7.1 數(shù)據(jù)遷移
完善遷移方案
回退（回滾）方案
3.7.2 轉(zhuǎn)換（上線或切換）技術
并行轉(zhuǎn)換
分階段轉(zhuǎn)換
一次性轉(zhuǎn)換
3.7.3 系統(tǒng)實施
實施計劃
3.7.4 系統(tǒng)變更程序和程序遷移流程
關鍵成功因素
_終用戶培訓
3.7.5 系統(tǒng)軟件實施
3.7.6 認證/鑒定
3.8 實施后審查
3.8.1 信息系統(tǒng)審計師在實施后審查中的角色
案例研究
案例研究相關問題的答案
第4章：信息系統(tǒng)的運營和業(yè)務恢復能力
概述
領域4考試內(nèi)容大綱
學習目標/任務說明
深造學習參考資料
自我評估問題
自我評估問題解答
第A部分：信息系統(tǒng)運營
4.0 簡介
4.1 常用技術組件
4.1.1 計算機硬件組件和架構
處理組件
輸入/輸出組件
計算機類型
4.1.2 常用的企業(yè)后端設備
4.1.3 通用串行總線
與USB相關的風險
與USB相關的安全控制
4.1.4 射頻識別
RFID的應用
RFID的相關風險
RFID的安全控制
4.1.5 硬件維護程序
硬件監(jiān)控程序
4.1.6 硬件審查
4.2 IT資產(chǎn)管理
4.3 作業(yè)調(diào)度和生產(chǎn)流程自動化
4.3.1 作業(yè)調(diào)度軟件
4.3.2 日程計劃安排審查
4.4 系統(tǒng)接口
4.4.1 與系統(tǒng)接口相關的風險
4.4.2 系統(tǒng)接口中的安全問題
4.5 _終用戶計算
4.6 數(shù)據(jù)治理
4.6.1 數(shù)據(jù)管理
數(shù)據(jù)質(zhì)量
數(shù)據(jù)生命周期
4.7 系統(tǒng)性能管理
4.7.1 信息系統(tǒng)架構和軟件
4.7.2 操作系統(tǒng)
軟件控制功能或參數(shù)
軟件完整性問題
活動日志和報告選項
操作系統(tǒng)審查
4.7.3 訪問控制軟件
4.7.4 數(shù)據(jù)通信軟件
4.7.5 實用程序
4.7.6 軟件許可問題
4.7.7 源代碼管理
4.7.8 容量管理
4.8 問題和事故管理
4.8.1 數(shù)據(jù)管理
4.8.2 事故處理過程
4.8.3 異常情況的檢測、記錄、控制、解決和報告
4.8.4 技術支持/客戶服務部門
4.8.5 網(wǎng)絡管理工具
4.8.6 問題管理報告審查
4.9 變更、配置、發(fā)布和修補程序管理
4.9.1 修補程序管理
4.9.2 發(fā)布管理
4.9.3 信息系統(tǒng)運營
信息系統(tǒng)運營審查
4.10 IT服務水平管理
4.10.1 服務水平協(xié)議
4.10.2 服務水平監(jiān)控
4.10.3 服務水平與企業(yè)架構
4.11 數(shù)據(jù)庫管理
4.11.1 DBMS架構
詳細DBMS元數(shù)據(jù)架構
數(shù)據(jù)字典/目錄系統(tǒng)
4.11.2 數(shù)據(jù)庫結構
4.11.3 數(shù)據(jù)庫控制
4.11.4 數(shù)據(jù)庫審查
第B部分：業(yè)務恢復能力
4.12 業(yè)務影響分析
4.12.1 運營和關鍵性分析分類
4.13 系統(tǒng)恢復能力
4.13.1 應用程序恢復能力和災難恢復方法
4.13.2 電信網(wǎng)恢復能力和災難恢復方法
4.14 數(shù)據(jù)備份、存儲和恢復
4.14.1 數(shù)據(jù)存儲恢復能力和災難恢復方法
4.14.2 備份與恢復
異地庫控制
異地設施的安全和控制
介質(zhì)和文檔備份
備份設備和介質(zhì)的類型
定期備份程序
輪換頻率
輪換的介質(zhì)和文檔類型
4.14.3 備份方案
完全備份
增量備份
差異備份
輪換方法
異地儲存的記錄保存
4.15 業(yè)務連續(xù)性計劃
4.15.1 IT業(yè)務連續(xù)性計劃
4.15.2 災難和其他破壞性事件
流行病計劃
應對形象、聲譽或品牌的損害
出乎意料/無法預測的事件
4.15.3 業(yè)務連續(xù)性計劃流程
4.15.4 業(yè)務連續(xù)性政策
4.15.5 業(yè)務連續(xù)性計劃事故管理
4.15.6 制訂業(yè)務連續(xù)性計劃
4.15.7 計劃制訂過程中的其他問題
4.15.8 業(yè)務連續(xù)性計劃的構成要素
關鍵決策人員
所需用品的備份
保險
4.15.9 計劃測試
規(guī)范
測試執(zhí)行
結果記錄
結果分析
計劃維護
業(yè)務連續(xù)性管理良好實踐
4.15.10 業(yè)務連續(xù)性匯總
4.15.11 審計業(yè)務連續(xù)性
審查業(yè)務連續(xù)性計劃
對以前測試結果的評估
對異地存儲的評估
對非異地設施安全性的評估
與關鍵人員面談
審查備用處理設備合同
審查承保范圍
4.16 災難恢復計劃
4.16.1 恢復點目標和恢復時間目標
4.16.2 恢復策略
4.16.3 恢復備選方案
合同條款
采購備用硬件
4.16.4 災難恢復計劃的制訂
IT DRP內(nèi)容
IT DRP情景
恢復程序
組織和職責分配
4.16.5 災難恢復測試方法
測試的類型
測試
測試結果
4.16.6 調(diào)用災難恢復計劃
案例研究
案例研究相關問題的答案
第5章：保護信息資產(chǎn)
概述
領域5考試內(nèi)容大綱
學習目標/任務說明
深造學習參考資料
自我評估問題
自我評估問題解答
第A部分：信息資產(chǎn)安全和控制
5.0 簡介
5.1 信息資產(chǎn)安全框架、標準和準則
5.1.1 審計信息安全管理框架
審查書面政策、程序和標準
正式的安全意識培養(yǎng)和培訓
數(shù)據(jù)所有權
數(shù)據(jù)所有者
數(shù)據(jù)保管員
安全管理員
新IT用戶
數(shù)據(jù)用戶
書面記錄的授權
解約員工的訪問權限
安全基準
訪問標準
5.2 隱私保護原則
5.2.1 隱私保護的審計注意事項
5.3 物理訪問和環(huán)境控制
5.3.1 管理、技術和物理控制
5.3.2 控制監(jiān)控與有效性
5.3.3 環(huán)境暴露風險和控制措施
設備問題和與環(huán)境有關的暴露風險
環(huán)境暴露風險的控制
5.3.4 物理訪問暴露風險和控制措施
物理訪問問題和暴露風險
物理訪問控制
審計物理訪問
5.4 身份和訪問管理
5.4.1 系統(tǒng)訪問權限
5.4.2 強制和自主存取控制
5.4.3 信息安全和外部相關方
識別與外部各方相關的風險
滿足與客戶相關的安全要求
人力資源安全和第三方
5.4.4 邏輯訪問
邏輯訪問暴露風險
熟悉企業(yè)的IT環(huán)境
邏輯訪問路徑
5.4.5 訪問控制軟件
5.4.6 身份識別和認證
5.4.7 登錄ID和密碼
密碼的特點
登錄ID和密碼良好實踐
令牌設備、一次性密碼
5.4.8生物特征識別
基于生理特征的生物特征識別
基于行為的生物特征識別
生物特征識別管理
5.4.9 單點登錄
5.4.10 授權問題
訪問控制列表
邏輯訪問安全管理
遠程訪問安全
5.4.11 監(jiān)控系統(tǒng)訪問時的審計記錄
系統(tǒng)日志的訪問權限
審計軌跡（日志）分析工具
成本考慮因素
5.4.12 邏輯訪問控制的命名約定
5.4.13 聯(lián)合身份管理
5.4.14 審計邏輯訪問
熟悉IT環(huán)境
評估和記錄訪問路徑
與系統(tǒng)人員面談
審查來自訪問控制軟件的報告
審查應用程序系統(tǒng)操作手冊
5.4.15 數(shù)據(jù)泄露
數(shù)據(jù)泄露防護
5.5 網(wǎng)絡和終端安全
5.5.1 信息系統(tǒng)網(wǎng)絡基礎設施
5.5.2 企業(yè)網(wǎng)絡架構
5.5.3 網(wǎng)絡類型
5.5.4 網(wǎng)絡服務
5.5.5 網(wǎng)絡標準和協(xié)議
5.5.6 OSI架構
5.5.7 網(wǎng)絡架構中OSI模型的應用
局域網(wǎng)
廣域網(wǎng)
幀中繼
TCP/IP及其與OSI參考模型的關系
網(wǎng)絡管理和控制
網(wǎng)絡性能指標
聯(lián)網(wǎng)環(huán)境中的應用程序
按需計算
5.5.8 網(wǎng)絡基礎設施安全性
客戶端/服務器安全
互聯(lián)網(wǎng)安全控制
防火墻安全系統(tǒng)
數(shù)據(jù)_濾防火墻
應用程序防火墻系統(tǒng)
狀態(tài)檢測防火墻
網(wǎng)絡變更的開發(fā)和授權
5.5.9 影子IT
5.6 數(shù)據(jù)分類
5.7 數(shù)據(jù)加密和加密相關技術
5.7.1 加密系統(tǒng)的關鍵要素
5.7.2 對稱密鑰加密系統(tǒng)
5.7.3 公共（非對稱）密鑰加密系統(tǒng)
量子密碼學
數(shù)字簽名
數(shù)字信封
5.7.4 加密系統(tǒng)的應用
傳輸層安全性
IP安全協(xié)議（IPSec）
安全殼
安全多功能互聯(lián)網(wǎng)郵件擴展協(xié)議（S/MIME）
5.8 公鑰基礎設施
5.9 基于Web的通信技術
5.9.1 IP語音
VoIP安全問題
5.9.2 專用分組交換機
PBX風險
PBX審計
5.9.3 電子郵件安全問題
5.9.4 對等計算
5.9.5 即時消息
5.9.6 社交媒體
5.9.7 云計算
5.10 虛擬化環(huán)境
5.10.1 關鍵風險領域
5.10.2 典型控制
5.11 移動、無線和物聯(lián)網(wǎng)設備
5.11.1 移動計算
自帶設備
移動設備上的互聯(lián)網(wǎng)訪問
5.11.2 無線網(wǎng)絡
無線廣域網(wǎng)
無線局域網(wǎng)
WEP和Wi-Fi網(wǎng)絡安全存取協(xié)議（WPA/WPA2）
無線個人局域網(wǎng)
臨時網(wǎng)絡
公共全球互聯(lián)網(wǎng)基礎設施
無線安全威脅和風險降低
5.11.3 物聯(lián)網(wǎng)
第B部分：安全事件管理
5.12 安全意識培訓和計劃
5.13 信息系統(tǒng)攻擊方法和技術
5.13.1 舞弊風險因素
5.13.2 計算機犯罪問題和暴露風險
5.13.3 互聯(lián)網(wǎng)威脅和安全
網(wǎng)絡安全威脅
被動攻擊
主動攻擊
互聯(lián)網(wǎng)攻擊的起因
5.13.4 惡意軟件
病毒和蠕蟲控制
管理程序控制
技術控制
防惡意軟件實施策略
定向攻擊
5.14 安全測試工具和技術
5.14.1 通用安全控制的測試技術
終端卡和密鑰
終端標識
生產(chǎn)資源控制
計算機訪問違規(guī)情況的記錄和報告
繞過安全和補償性控制
5.14.2 網(wǎng)絡滲透測試
5.14.3 威脅情報
5.15 安全監(jiān)控工具和技術
5.15.1 入侵檢測系統(tǒng)
特點
局限性
政策
5.15.2 入侵防御系統(tǒng)
蜜罐和蜜網(wǎng)
全面網(wǎng)絡評估審查
5.15.3 安全信息和事件管理
5.16 事故響應管理
5.17 證據(jù)收集和取證
5.17.1 計算機取證
數(shù)據(jù)保護
數(shù)據(jù)采集
鏡像
提取
數(shù)據(jù)獲取/正規(guī)化
報告
5.17.2 證據(jù)和監(jiān)管鏈的保護
案例研究
案例研究相關問題的答案
附錄A：CISA考試常規(guī)信息
附錄B：2019年CISA工作實務
詞匯表
縮略語
反侵權盜版聲明

《CISA 復習考題及解答手冊（第12版）》目錄

前言
致謝/新增 ―― CISA 工作實務
引言
概述
CISA 考試中的題目類型
學前測驗
各領域相關題目與解答
領域 1 ―― 信息系統(tǒng)審計流程 (21%)
領域 2 ―― IT 治理與管理 (17%)
領域 3 ―― 信息系統(tǒng)的購置、開發(fā)與實施 (12%)
領域 4 ―― 信息系統(tǒng)的運營和業(yè)務恢復能力 (23%)
領域 5 ―― 信息資產(chǎn)的保護 (27%)
學后測驗
考試樣卷
考試樣卷參考答案
考試樣卷答題紙（學前測驗）
考試樣卷答題紙（學后測驗
評估

CISA知識體系介紹

CISA的學習，具備知識領域覆蓋廣泛，知識點分散和繁雜的特點。學習的過程中，需要形成自己學習思路和理解習慣。CISA知識體系主要由五大知識領域構成。

1．信息系統(tǒng)審計流程 (21%)——遵照 IT 審計標準提供審計服務，以幫助組織保護和控制其信息系統(tǒng)。

2．IT治理和管理 (17%)——用以確保具備必要的領導層、組織結構及流程來實現(xiàn)相關目標和支持組織戰(zhàn)略。

3．信息系統(tǒng)購置、開發(fā)與實施 (12%)——用以確保信息系統(tǒng)的購置、開發(fā)、測試和實施實務符合組織的戰(zhàn)略與目標。

4．信息系統(tǒng)的運營和業(yè)務恢復能力（23%）——用以確保信息系統(tǒng)的操作、維護與支持流程符合組織的戰(zhàn)略與目標。

5．信息資產(chǎn)的保護 (27%)——用以確保組織的安全政策、標準、規(guī)程和控制能夠_信息資產(chǎn)的機密性、完整性和可用性。

_部分 信息系統(tǒng)的審計流程

總體上是審計師這個角色需要理解和學習，適用于日常工作開展的知識體系，介紹了三個方面：

1. 審計師的職責、權利、制約因素：
   • 審計章程明確審計部門和審計師的職責權利
   • 審計師符合ISACA的標準
   • 審計師的道德約束
   • 審計師能做什么，審計師不能做什么
2. 審計師的審計范圍、目標、采用的工具和方法
   • 審計流程
   • 審計規(guī)劃
   • 基于風險的審計方法
   • 控制類型：預防、檢測、控制
   • 審計工具和方法：抽樣方法、持續(xù)性審計方法、CAAT、CSA等
   • 審計報告（輸出、溝通及溝通技巧）
3. 審計師的審計報告及溝通
   • 什么時候就審計發(fā)現(xiàn)進行溝通、什么時候上報等。

第二部分 IT治理和管理

介紹了治理和管理兩個部分的內(nèi)容，治理屬于高屋建瓴，屬于戰(zhàn)略層次，指明方向，猶如茫茫海域的燈塔。管理屬于細分執(zhí)行，屬于戰(zhàn)術層次，說明需要執(zhí)行的環(huán)節(jié)，猶如航行的一葉舟。一句話說，治理和管理，一個偏虛，偏高大上，一個務實，偏實際作業(yè)。

1. IT治理
   • 高級管理層、指導委員會、戰(zhàn)略委員會的職責
   • 組織結構（內(nèi)部的SOD）、企業(yè)架構、標準、政策和程序等
   • 企業(yè)風險管理（風險管理流程，評估方法等）
   • 管理參照模型（CMMI）
   • IT戰(zhàn)略委員會和管理層的工具：IT BSC
   • 法律法規(guī)、行業(yè)準則的影響
2. IT管理
   • 資源、服務、質(zhì)量_
   • 相應的監(jiān)控工具和方法

第三部分 信息系統(tǒng)的購置、開發(fā)與實施

從項目的角度，介紹了信息系統(tǒng)從業(yè)務案例到實施后效果評估的全流程。全章基本可以從項目角度去理解，一個信息系統(tǒng)的建立，從可行性分析，業(yè)務案例的建立和審批，到需求收集、分析和定義、規(guī)劃設計和實現(xiàn)，再到項目實施和項目收尾。其中，業(yè)務方的確認，在項目的各個環(huán)節(jié)都需要進行，一個環(huán)節(jié)的確認，代表一個階段的結束，以便合理的進入下一階段的執(zhí)行。第三章涉及多個方面：

1. 購置：
   • 供應商的招投評授
2. 開發(fā)：
   • 原型法、敏捷、Devops、面向?qū)ο?、基于組件等
   • 模型：SDLC、V模型等
3. 測試：單元、集成、系統(tǒng)、用戶、并行、回歸、社交等
4. 上線：并行、一次性、階段性
5. 收尾：用戶驗收、實施后審查
   • IT治理
     • 高級管理層、指導委員會、戰(zhàn)略委員會的職責
     • 組織結構（內(nèi)部的SOD）、企業(yè)架構、標準、政策和程序等
     • 企業(yè)風險管理（風險管理流程，評估方法等）
     • 管理參照模型（CMMI）
     • IT戰(zhàn)略委員會和管理層的工具：IT BSC
     • 法律法規(guī)、行業(yè)準則的影響
   • IT管理
     • 資源、服務、質(zhì)量_
     • 相應的監(jiān)控工具和方法

第四部分 信息系統(tǒng)的運營和業(yè)務恢復能力

從兩方面來看，一方面是運營，一方面是業(yè)務恢復。學習的時候，需要了解運營都需要做什么，關注哪些方面，業(yè)務恢復相對比較容易理解，實操中，也是優(yōu)先恢復關鍵業(yè)務系統(tǒng)。

1. 運營：
   • 業(yè)務所需的技術組件
   • 資產(chǎn)管理
   • 批處理和流程自動化
   • 數(shù)據(jù)治理
   • 系統(tǒng)管理（軟件、版本控制、性能等）
   • 事故和問題管理
   • 變更管理
   • 服務水平
2. 業(yè)務恢復
   • 業(yè)務影響分析（BIA）
   • 恢復策略
   • 恢復能力
   • 備份
   • 業(yè)務連續(xù)性計劃（BCP）
   • BCP的測試

第五部分 保護信息資產(chǎn)

簡單理解，就是信息資產(chǎn)的理解，首先要搞清楚，有哪些資產(chǎn)，其次，從人防物防和技防的角度去考慮和總結。公司信息安全的管理，主要關注：數(shù)據(jù)、網(wǎng)絡、終端和環(huán)境

1. 數(shù)據(jù)：所有者、數(shù)據(jù)分類、權限管理（基于角色授權、按需知密等）、數(shù)據(jù)加密、隱私保護、DLP等
2. 網(wǎng)絡：網(wǎng)絡邊界、防火墻、路由器、無線
3. 終端：USB、病毒防御等
4. 環(huán)境：保安、門禁、監(jiān)控、防火防水防盜等
5. 安全意識培訓，屬于獨立體系，基本每個方面都需要做。

視頻：帶你全方位了解CISA

點擊觀看視頻