最新最全的CISA知识体系讲解.ppt

第一部分 信息系统审计程序•1.1 ISACA 发布的信息系统审计标准、准则、程序和职业道德规范•1.2 IS 审计实务和技术•1.3 收集信息和保存证据的技术（如观察、调查问卷、谈话、计算机辅助审计技术、电子介质）•1.4 证据的生命周期（如证据的收集、保护和证据之间的相关性）•1.5 与信息系统相关的控制目标和控制（如CobiT 模型）•1.6 审计过程中的风险评估•1.7 审计计划和管理技术•1.8 报告和沟通技术（如推进、商谈、解决冲突）•1.9 控制自我评估（CSA）•1.10 不间断审计技术(即：连续审计技术)第二部分 IT 治理(信息技术治理)•2.1 IT 战略、政策、标准和程序对于组织的意义，及其基本要素•2.2 IT 治理框架(体系)•2.3 制定、实施和维护IT 战略、政策、标准和程序的流程如：信息资产的保护、业务持续和灾难恢复、系统和基础建设生命周期、IT 服务交付与支持•2.4 质量管理战略和政策•2.5 与IT 使用和管理相关的组织结构、角色和职责•2.6 公认的国际IT 标准和准则(指导)•2.7 制订长期战略方向的企业所需的IT 体系及其内容•2.8 风险管理方法和工具•2.9 控制框架(模型)的使用，如：CobiT、COSO、ISO 17799 等控制模型。

•2.10 成熟度和流程改进模型(如：CMM、CobiT)的使用第二部分 IT 治理(信息技术治理)•2.11 签约战略、程序和合同管理实务•2.12 IT 绩效的监督和报告实务•2.13 有关的法律、规章等问题(如：保密法/隐私法、知识产权、公司治理的要求)•2.14 IT 人力资源管理•2.15 IT 资源投资和配置实务(如：投资的资产管理回报)第三部分 系统和基础建设生命周期管理•3.1 收益管理实务(例如：可行性研究、业务案例)•3.2 项目治理机制，如：项目指导委员会、项目监督委员会•3.3 项目管理实务、工具和控制框架•3.4 用于项目管理上的风险管理实务•3.5 项目成功的原则和风险•3.6 涉及开发、维护系统(和/或体系)的配置、变更和(发布的)版本管理•3.7 确保IT 系统应用的交易和数据的完整性、准确性、有效性和授权的控制目标和技术•3.8 关于数据、应用和技术的企业框架•3.9 需求分析和管理实务，如：需求验证、跟踪(可追溯)、差距分析•3.10 采购和合同管理程序，如：评估供应商、签合同准备、供应商管理、由第三方保存附带条件委付的契约(escrow)第三部分 系统和基础建设生命周期管理•3.11 系统开发方法和工具，以及它们的优缺点。

例如，敏捷开发实务，原型、快速应用开发(RAD)，面向对象的设计技术•3.12 质量保证方法•3.13 测试流程的管理，如，测试战略、测试计划、测试环境、启用和关闭(测试)的标准•3.14 数据转换工具、技术和程序第四部分 IT 服务的交付与支持•4.1 服务的等级(或水平)管理实务•4.2 运营管理最佳实务，例如：工作负荷调度、网络服务管理、预防性维护•4.3 系统性能(或效能)监控程序、工具和技术例如：网络分析器、系统利用率报告、负载均衡•4.4 硬件和网络设备的功能如：路由器、交换机、防火墙和外围设备•4.5 数据库管理实务•4.6 操作系统、工具软件和数据库管理系统(例如，关系型数据库：Oracle、PostgreSQL)等系统软件的功能•4.7 生产能力计划和监控技术•4.8 对生产系统(或体系)的应急变更和调度管理程序，包括变更、配置、(版本)发布和补丁管理实务•4.9 (生产)事件/问题管理实务如，帮助台(负责受询，提供一般性技术救援)、(逐级)上报程序和(技术)追踪•4.10 软件许可证和(其总量)清单管理实务•4.11 系统弹性之工具和技术，例如：容错硬件、单点失效的排除、(服务器)群集(或矩阵)。

第五部分 信息资产的保护•5.1 (信息系统的)安全(措施的)设计、实施和监控技术如：威胁和风险评估、敏感性分析、泄密评估•5.2 用户使用授权的功能和数据时，识别、签订和约束等逻辑访问控制例如：动态密码、询问/应答、（配置）菜单、(用户)资料信息•5.3 逻辑访问安全体系如：单点登陆(SSO)、用户识别策略、标识(身份)管理•5.4 攻击方法和技术如：黑客、欺骗、特络伊木马、拒绝服务、垃圾电子邮件•5.5 对安全事件的监测和响应程序如：上报程序、突发事件响应团队•5.6 网络和Internet 安全设备、协议和技术如：SSL、SET、VPN、NAT•5.7 入侵监测系统和防火墙的配置、实施、运行和维护•5.8 加密算法/技术如：AES、RSA•5.9 公共密钥结构(PKI)组件(如：CA、RA)和数字签名技术•5.10 病毒监测工具和控制技术第五部分 信息资产的保护•5.11 安全(方案)的测试和评估技术例如：渗透测试、漏洞扫描•5.12 (生产)环境保护实务和设备如：火灾压制、冷却系统和水传感器•5.13 物理安全系统和实务例如：生物(特征)鉴定、门卡、密码锁•5.14 数据分类方案。

例如：公开的、保密的、私密的和敏感的数据•5.15 语音通讯的安全如：VoIP•5.16 保密信息资产的采集、存储、使用、传输(或运输)和(退役)处置程序和流程•5.17 与使用便携式和无线设备(例如：个人商务通PDA、USB 设备和蓝牙设备)相关的控制和风险第六部分 灾难恢复和业务连续性计划•6.1 数据备份、存储、维护、保留和恢复流程，和实务•6.2 业务连续性和灾难恢复有关的法律、规章、协议和保险问题•6.3 业务影响分析(BIA)•6.4 开发和维护灾难恢复和业务连续性计划•6.5 灾难恢复和业务连续性计划测试途径和方法•6.6 与灾难恢复和业务连续性计划有关的人力资源管理例如：疏散计划、(紧急)响应团队•6.7 启用灾难恢复和业务连续性计划的程序(或流程)•6.8 备用业务处理站点(指场所和设施)的类型，和监督有关协议/合同的方法 CISA vs. CISSP认证侧重点•CISSP–信息系统安全的管理与实践•CISA–信息系统的控制与审计对应的职业不同•CISSP–Consultant, management•CISA–Auditor, management考试难度比较•技术深度–CISSP〉CISA–CISSP10 domains–CISA6 domains•答题压力–CISA〉CISSP–CISSP  6小时 250题–CISA 4小时200题CISA OverviewCISA overview•CISA and ISACA•CISA认证•CISA考试•CISA考试内容•CISA vs. CISSP  CISA and ISACACISA and ISACA•CISA–Certified Information System Auditor–注册信息系统审计师•ISACA–Information Systems Audit and Control Association–信息系统审计与控制协会ISACA•信息系统审计与控制协会（ISACA）创始于1967年，当时它是由从事同类职业的人所组成的小团体——计算机系统的审计和控制对他们各自机构的运作都变得愈发关键——因此他们聚集起来讨论制定信息集中化资源和本领域指导准则的必要性。

在1969年，这个团体正式组建为EDP 审计师协会在1976年，这个协会成立一项教育基金来开展大规模的研究工作，以拓展信息产业管理与控制领域的知识与价值ISACA•今天，ISACA在全球有两万八千多名成员，他们的组成非常具有多元性这些成员在100多个国家内生活和工作，并涵盖众多专业信息技术的相关职业，比如信息系统审计师、顾问、教导员、信息系统安全专家、管理者、首席信息官和内部审计师等有些职业是本领域内新兴的，其他为中级管理人员，另外还有许多人担任最高级的职位他们几乎遍及所有行业，包括财政金融、公共会计、政府与公共部门、公用事业和制造业这种多元性使众多成员能够相互学习，并在许多专业问题上广泛交流彼此的观点该特点一直被认为是ISACA的强势之一ISACA•ISACA的另一个强势就是它的分会网络ISACA的分会遍布世界60 多个国家，可提供成员教育、资源共享、支持、专业网络，以及其他由当地分会提供的诸多利益ISACA•在ISACA创立的三十年来，它已成为一个为信息管理、控制、安全和审计专业设定规范的全球性组织•它的信息系统审计和信息系统控制标准为全球执业者所遵从它的研究工作针对那些挑战其重要原则的疑难专业事项。

•它的国际信息系统审计师（CISA）认证得到全球的公认，并有三万多名专业人员得到认证•它最新推出的国际信息安全经理（CISM）认证特别针对信息安全管理的审计事务•它出版了领先于信息控制领域的技术性期刊，即《信息系统控制期刊》（Information Systems Control Journal）•它举办一系列国际性会议，并且把焦点集中于信息系统保障、控制、安全和信息技术管理专业的技术与管理主题上ISACA•唯一有权授予信息系统审计师资格的跨国界、跨行业专业机构ISACA Web•http://www.isaca.org CISA认证CISA的工作ü熟悉信息系统软件、硬件、开发、运营、维护、管理以及安全ü熟悉业务运营管理ü利用规范和相关的审计技术，对信息系统的安全性、稳定性、有效性进行审计、检查、评价CISA证书的价值“全球化进展进一步提升了CISA资格证书的价值，显示了它是真正国际认可的资历证书美国摩根大通公司，埃内斯托·阿吉拉，CISACISA证书的价值•专业认证计划杰出的标志在于持证人提高了自身的价值并受到了人们的尊重自1978年以来，由信息系统审计与控制协会（ISACA）发起的国际信息系统审计师（CISA）认证已经成为持证人在信息系统审计、控制与安全等专业领域中取得成绩的象征，并逐步发展成全球公认的标准。

最高专业程度的标志•获得CISA资格证书有助于确立您作为一名合格的信息系统审计、控制和安全专业人才的声望不论你是希望提高你的工作业绩还是得到职务升迁，拥有CISA资格证书都会使你拥有他人无法企及的竞争优势雇主寻求的资历•由于CISA 所认证的个人能够熟练掌握当今需要的最先进的技能，雇主更愿意雇用和留住那些达到并能够维持资格证书所要求水平的人才CISA资格证书向雇主保证其雇员已达到工作要求所必需的最新教育与实践经验•“CISA 用它的四个字母向未来雇主表明：我具备扎实的信息系统审计知识与丰富的经验CISA 使持证人在市场中占据优势     ---------英国苏格兰皇家银行，罗勃特·科里斯，CISA全球的认可•也许本认证对于你当前的工作并不是绝对必需的，然而越来越多的机构希望员工得到CISA认证为了确保你在全球市场中的成功，选择一个建立在全球认可技术实务基础上的认证是至关重要的CISA所提供的就是这种认证CISA作为信息系统审计、控制与安全专业人员的资格证书，受到全世界所有行业的广泛认可得到ISO/IEC 17024:2003标准的公认 •美国国家标准协会（ANSI）已经按照ISO/IEC 17024:2003标准对CISA认证计划进行了鉴证和认可•该标准是对一个团体开展人员认证方面的总体要求成为CISA•顺利通过CISA的考试；•遵守国际信息系统审计与控制协会的『职业道德准则』•提供从事信息系统审计、控制与安全工作5年以上经验的证明。

具有下列同等经验，可申请免除该项经验，并应获得如下证明：•1 年以下的信息系统审计、控制与安全工作的经验可用如下资历相抵：–满1 年的非信息系统审计工作经验，或–满1 年的信息系统工作经验，和／或–具有大专学历（大学60 个学分或同等学历）•2 年信息系统审计、控制与安全工作的经验可用学士学位（大学120 个学分或同等学历）相抵•1 年信息系统审计、控制与安全工作的经验可用2 年相关领域（计算机科学、会计、信息系统审计等）内从事大学专职讲师的经验相抵无最高年限（即6 年大学讲师经验等同于3 年信息系统审计、控制与安全工作的经验）成为CISA•专业经验必须在申请前的10 年之内获得，或在第一次通过考试之日的前5 年之内认证申请必须在通过CISA考试的5 年之内提出所有专业经验都必须由原雇主独立地确认CISA考试CISA考试•CISA考试在每年6 月份和12月份举行–2006年的考试日期为12月9日•考题包含200 道多项选择题•考试时间为4 个小时•75分通过 考试报名•填写并邮寄报名表•线上报名•报名费：$510•2006年8月16日之前：$460•线上报名：可节省$35•报名截止日期：9月27日考分的邮寄•自考试之日起约6 个星期后，考生将接到邮寄的考试成绩通知。

为了对考试分数保密，考试结果将不采用、或电子邮件的方式进行通知然而，如果你在报名表的第27项上表明同意，我们可以通过电子邮件向你发送及格/不及格的考分CISA 资格证书的维持•获得任何职业资格证书的持证人必须参与继续教育计划来维持其资格证书为了维持CISA资格证书，持证人必须履行继续职业教育政策，并遵守ISACA协会的『职业道德准则』这些计划有助于保证CISA 持证人能够与业内先进技术的发展保持同步，并展示较高的职业原则•『继续职业教育政策』要求持证人获得并提供最低限度的继续职业教育（CPE）学时，并每年支付维持费此外，最低学时的获得与提供必须在固定的3 年认证期内完成不能履行此政策的持证人拥有的认证资格将被撤消 CISA考试内容CISA Content Areas Effective 2006 •1  IS Audit Process 10 %•2  IT Governance 15% •3  Systems and Infrastructure Lifecycle Management  16 %•4  IT Service Delivery and Support 14%•5  Protection of Information Assets 31% •6  Business Continuity and Disaster Recovery 14%。