CISA知识体系讲解

第二章IT治理★必须的知识点1.IT战略、政策、标准和程序对于组织的意义，及其基本要素2.IT治理框架(体系)3.制定、实施和维护IT战略、政策、标准和程序的流程。

如:信息资产的保护、业务持续和灾难恢复、系统和基础建设生命周期、IT服务交付与支持4.质量管理战略和政策5.与IT使用私}管理相关的组织结构、角色私!职责。

6.公认的国际IT标准和准则(指导)。

7.制订一长期战略方向的企业所需的IT体系及其内容8.风险管理方法和工具9.控制框架(模型)的使用，如:CobiT, COSO, ISO 17799等控制模型。

10.成熟度和流程改进模型(如:C1V1M, CobiT)的使用。

11.签约战略、程序和合同管理实务。

12.IT绩效的监督和报告实务13.有关的法律、规章等问题(如:保密法/隐私法、知识产权、公司治理的要求)14.IT人力资源管理15.资源投资和配置实务(如:投资的资产管理回报)★可能的考试重点公司治理与IT治理（概念）IT治理中董事会和执行经理层的作用（责任、关键成功因素）IT治理最佳实务（结构与关系）IT治理中审计的的作用（确保IT的运用符合组织目标）IT战略：IT战略委员会（职责、作用、组成）、IT平衡记分卡信息安全治理企业架构（结构化方式反映组织的IT资产）业务流程驱动的企业架构FEA参考模型风险管理（原第七章内容，重点）采购实务IS模块交付（内包、外包、混合采购）采购战略外包实务和战略（优缺点、风险）服务水平协议（SLA）全球化战略和实务第三方审计报告能力与发展服务改进和用户满意度行业标准/基准信息系统组织结构供货商和外包商管理体系运营和维护（原运维）应用开发和维护/系统开发和维护职责分离（重点）组织结构中不同人员的职责★需要了解和熟悉IT治理审计查询理解★★★★★★★信息系统安全管理的成果信息系统安全管理的不同层次★知识点摘要公司治理倡导的公司道德文化。

世界经合组织将公司治理定义:“公司内不同群体之间责权利的分配关系，如董事会、管理层、股东和其他利害相关者，这些分配关系清楚地勾勒出公司决策的规则和程序。

一、IS audit function的管理(一)IS审计功能组织1．Audit chapter 由管理高层审批用于建立IS内部审计的角色。

需要定义审计功能的authority,scope,responsibilities2．Engagement letter 是针对特定的审计项目3．外部审计的话通过contract或者statement of work来详细说明审计服务的objectives and scope4．任何情况，内部审计功能应该保持独立并向审计委员会或者董事会等高层汇报。

(二)IS审计资源管理1．IS审计师应该technically competent 应该通过持续的教育获得技术上的胜任2．审计部门应制定详细的员工培训计划，并定期检查，应提供必要的IT资源来实施IS审计。

(三)审计计划1．年度计划是短期，2．长期是考虑到影响计划IT环境的IT战略方向变化所带来的风险3．单个的审计任务需要考虑到定期风险评估结果，应用技术的变化，隐私的关注以及法律要求等，都会影响审计方法。

也要考虑系统部署/升级的deadlines, 现在或者将来的技术，业务流程owner的要求，以及IS资源的有限性等方面。

4．计划过程：获取对业务任务，目标，目的，过程的了解；也包括对信息系统CIA等安全要求的了解识别stated 内容包括策略，标准，要求的指引和组织架构执行RA来帮助开发审计计划设立审计scope和objectives开发审计方法或者审计strategy为审计分派人员解决engagement logistics5．IS审计师了解业务的方法：阅读背景资料，包括：工业出版物，年报，独立的财务分析报告回顾之前的审计报告，或者IT相关报告回顾业务和IT相关的长期战略计划访谈关键岗位来了解业务识别特定的适用于IT的法规识别外包的IT功能或相关活动Touring 关键的机构facilities(四)法律法规对IS审计计划的影响。

一、IS audit function的管理(一)IS审计功能组织1．Audit chapter 由管理高层审批用于建立IS内部审计的角色。

需要定义审计功能的authority,scope,responsibilities2．Engagement letter 是针对特定的审计项目3．外部审计的话通过contract或者statement of work来详细说明审计服务的objectives and scope4．任何情况，内部审计功能应该保持独立并向审计委员会或者董事会等高层汇报。

(二)IS审计资源管理1．IS审计师应该technically competent 应该通过持续的教育获得技术上的胜任2．审计部门应制定详细的员工培训计划，并定期检查，应提供必要的IT资源来实施IS审计。

(三)审计计划1．年度计划是短期，2．长期是考虑到影响计划IT环境的IT战略方向变化所带来的风险3．单个的审计任务需要考虑到定期风险评估结果，应用技术的变化，隐私的关注以及法律要求等，都会影响审计方法。

也要考虑系统部署/升级的deadlines, 现在或者将来的技术，业务流程owner的要求，以及IS资源的有限性等方面。

4．计划过程：获取对业务任务，目标，目的，过程的了解；也包括对信息系统CIA等安全要求的了解识别stated 内容包括策略，标准，要求的指引和组织架构执行RA来帮助开发审计计划设立审计scope和objectives开发审计方法或者审计strategy为审计分派人员解决engagement logistics5．IS审计师了解业务的方法：阅读背景资料，包括：工业出版物，年报，独立的财务分析报告回顾之前的审计报告，或者IT相关报告回顾业务和IT相关的长期战略计划访谈关键岗位来了解业务识别特定的适用于IT的法规识别外包的IT功能或相关活动Touring 关键的机构facilities(四)法律法规对IS审计计划的影响。

Bussiness Continuity and Disaster Recovery本章节主要讨论以下内容：1.灾难disaster类型以及他们对公司的冲击impacts2.业务连续性和灾难恢复计划的组成部分3.BIA业务受冲击分析4.恢复目标recovery targets5.对BCP,DRP的test测试6.培训员工7.对BCP,DRP的维护8.对BCP,DRP的审计此章节占比CISA考试的14％1.BCP和DRP的primariy objective: improve the chances that the organization will survive a disaster without incurring costly or even fatal damage to its most critical activites.2.BCP,DRP适用于任何规模的公司，任何公司都要建立自己的BCP,DRP。

3.即时灾难永远不发生，公司仍然可以从BCP,DRP的开发过程中获益，BCP,DRP 的开发可带来企业运行流程和技术的提升。

Disaster 灾难业务角度，灾难是能够导致业务运行中断的unexpected and unplanned events.灾难本身的规模和所引发的冲击各不相同。

一.灾难类型1．Natural disaster 自然灾害Earthquakes 地震Volcanoes火山Landslides滑坡Avalances 雪崩，分为slad avalance/loose snow avalance/pover snow avalanceWildfires野火Tropical cyclones热带气旋：强风，大雨，storm surgeTornades龙卷风Windstorm风暴Lightning闪电Ice storm暴雪Hail冰雹Flooding洪水Tsunamis海啸Pandemic瘟疫Extraterrestrial impacts地外冲击：meteority陨星2．Man-made disasters 人为灾害Civil disturbances：protests,demonstrations,riots,strikes,work slowdowns, stoppages, looting(掠劫), curfews(宵禁)，evacuations, lockdowns（一级防范禁闭）Utility outages:电力、天然气、水、供热、通讯线路等设施失效Materials shortages：原材料短缺Fires火灾:建筑物、材料、器材的失火Hazardous materials spills危险材料泄露Transportation accidents运输事故Terrorism and war恐怖活动和战争：影响局部地区，但也会间接引起材料独缺和utility outagesSecurity events安全事件：hacker攻击等真正的灾难通常是由多方面因素引发的二.灾难如何影响公司许多灾难能够直接对业务运行造成直接影响，但是其secondary effects 对业务持续运转的能力造成更大的影响。

cisa学习资料CISA（Certified Information Systems Auditor，注册信息系统审计师）是国际信息系统审计与控制协会（ISACA）颁发的一个全球性的专业资格认证，它对从事信息系统（IS）审计、控制和安全领域的专业人员进行能力的认证。

获得CISA认证将对个人职业发展起到积极的推动作用。

在这篇文章中，我们将介绍CISA学习资料的种类和一些建议，以帮助您在备考CISA考试时取得更好的效果。

1. CISA考试概况CISA考试是由ISACA组织举办的，它评估了考生在信息系统审计、控制和安全方面的知识和能力。

考试内容主要涵盖五个领域，分别是信息系统审核过程、信息系统和基础架构生命周期管理、信息系统和基础架构控制、信息系统和基础架构安全性和监视与保障信息系统资源。

考试形式为多项选择题，并且需要在规定的时间内完成。

备考CISA考试需要系统学习和准备，而选择合适的学习资料将会对备考过程起到事半功倍的效果。

2. CISA学习资料的种类和建议2.1 书籍购买一本权威的CISA考试教材是备考的基础。

ISACA官方出版物《CISA Review Manual》是备考CISA考试的权威教材之一，它详细介绍了CISA考试的各个领域的知识点和考点，并提供了习题和答案，供考生进行自测和巩固知识。

此外，还有其他的参考书籍可供选择，根据自己的学习习惯和需求选择适合自己的教材。

2.2 练习题和模拟考试针对CISA考试的练习题和模拟考试是非常重要的学习资料，它们可以帮助考生熟悉考试题型和考试环境，提升答题速度和准确性。

ISACA官方提供了CISA考试模拟试题，考生可以通过官方网站或者考试指南中的链接进行在线模拟考试。

此外，市面上也有很多CISA考试的练习题和模拟考试册可供选择，选择适量的练习题进行反复练习，提高应试能力。

2.3 培训课程参加专业的培训课程是备考CISA考试的另一种选择。

许多培训机构和学校都提供针对CISA考试的培训课程，这些课程往往由经验丰富的讲师授课，内容全面而深入，适合对CISA考试还不够了解或需要重点复习的考生。

cisa的知识梳理从其他地方找到的知识梳理，与大家一起分享下内部控制的分类预防性控制,在事情发生前监测问题,如职责分离/仅雇佣合格人员/使用访问控制软件/控制访问物理设备/完成程序化的编辑检查检查性控制,使用控制检查和报告发生的问题,如Hash totals哈希汇总/生产作业中的检查点内部审计/回显控制纠正性控制,修复检查控制发现的问题/找出问题原因,纠正问题衍生的错误/修改处理系统以减少未来发生问题,如意外处理计划/备份流程/恢复运营流程审计风险的分类固有风险,假设不存在相关的内部控制的情况下,发生重大错误的风险控制风险,指有内部控制制度,但无法预防\及时发现或纠正重要错误的风险检查风险,信息审计人员采用了不恰当的测试程序,未能发现已存在的重大错误风险整体审计风险,是对个别控制目标所评估出的各类审计风险的综合符合性测试和实质性测试符合性测试:1. 关注内部控制的有效性,从而帮助审计师确定实质性测试的性质、时间和范围，2. 符合性测试可以用来测试既定程序的存在和有效性3. 符合性测试需要测试组织符合控制程序所收集的证据实质性测试：1．实质性测试验证实际处理的完整性，通过实质性测试可以确定财务报表和财务信息所反映的业务活动的正确性和完整性2．实质性测试需要评估组织的交易、数据若其他信息的完整性审计抽样分类：按抽样决策的依据不同，可分为1．统计抽样：审计人员在计算正式抽样结果时采用统计推断技术的一种抽样方法，客观的方法决定样本量大小和抽样方式2．非统计抽样：审计人员全凭主观标准和个人经验来评价样本结果并对总体做出结论两者的区别是：非统计抽样不能理化抽样风险，统计抽样可以量化按审计抽样所了解的总体特征不同，可分为1．属性抽样：估计一个控制或一组相关控制属性的发生概率。

与符合性测试有关有三种基本方法：固定样本量抽样停-走抽样发现抽样2．变量抽样：根据总体的抽样来估计总体的金额数或其他衡量单位，与实质性测试有关有三种常用方法：分层单位平均估计抽样不分层单位平均估计抽样差额估计抽样补偿性控制和重叠性控制补偿性控制是由健全的控制来弥补其他控制缺陷重叠的控制同时有两个健全的控制标准IT平衡记分卡使用一个三层架构来四个方面的评价要素：使命，战略，措施四个方面：财务、客户、内部流程、学习与发展风险管理过程第一步：对那些具有脆弱性，易受威胁，需要保护的信息资产进行识别与分类第二步：评价与信息资源相关的威胁和脆弱性，及其发生的可能性第三步：结合考虑各风险要素形成对风险的总体项目管理方法：1、关键路径法：因为项目的构成是一系列、次序排列的独立任务，利用类似网络结构的图示表示各行为之间的关系，所有链中，时间消耗总数最大的一条链，也就是关键路径，因为它代表了整个项目预计的最短耗时。

CISA知识要点概述CISA（Certified Information Systems Auditor）认证是国际上被广泛认可的信息系统审计师资格认证。

它是由全球信息系统审计行业权威组织ISACA（Information Systems Audit and Control Association）设立和管理的一项专业认证，用于评估和认可个人在信息系统审计、控制和保护方面的专业知识和技能。

接下来，我将对CISA知识要点进行概述。

一、信息系统审计1. 信息系统审计基础- 了解信息系统审计的定义、目标和范围- 理解内部控制和风险管理的概念- 掌握信息系统审计过程的步骤和方法2. 信息系统审计准备- 理解信息系统审计的计划和组织- 学会编制信息系统审计计划和程序- 掌握有效的信息系统审计资源管理和沟通技巧3. 信息系统审计的执行- 掌握信息系统审计工作程序和技术- 学会收集、分析和评估审计证据- 熟悉信息系统审计报告的编制和沟通技巧二、信息系统控制和保护1. 信息系统控制的概念和目标- 了解信息系统控制的定义和角色- 掌握信息系统控制的基本原则和目标- 理解信息系统控制的分类和层次2. 信息系统控制框架- 掌握不同的信息系统控制框架，如COSO、COBIT等- 熟悉信息系统控制框架的组成和结构- 学会应用信息系统控制框架进行系统审计和评估3. 信息系统控制技术- 理解信息系统控制技术的定义和应用- 掌握常见的信息系统控制技术，如访问控制、网络安全、物理安全等- 学会评估和测试信息系统控制技术的有效性4. 信息系统控制策略和实施- 掌握信息系统控制策略的制定和实施- 了解信息系统控制策略的管理和监督- 学会评估和改进信息系统控制策略的效果三、信息系统生命周期管理1. 信息系统规划和组织- 了解信息系统规划和组织的基本概念- 掌握信息系统战略规划和业务需求分析的技术和方法- 学会制定和执行信息系统组织和资源管理策略2. 信息系统采购和交付- 掌握信息系统采购和供应商评估的技术和方法- 理解信息系统交付的过程和技术- 学会评估和监督信息系统采购和交付的质量和风险3. 信息系统操作和维护- 了解信息系统运营和维护的基本要求- 掌握信息系统操作和维护的技术和方法- 学会评估和改进信息系统操作和维护的效果4. 信息系统变更管理- 理解信息系统变更管理的定义和目标- 掌握信息系统变更管理的步骤和技术- 学会评估和监督信息系统变更管理的质量和风险总之，CISA知识要点包括信息系统审计、信息系统控制和保护以及信息系统生命周期管理三个方面。

第三章系统和基础建设生命周期管理★必须的知识点1.收益管理实务(例如:可行性研究、业务案例)2.项目治理机制，如:项目指导委员会、项目监督委员会3.项目管理实务、工具和控制框架4.用于项目管理上的风险管理实务5.项目成功的原则和风险6.涉及开发、维护系统(和/或体系)的配置、变更和(发布的)版本管理7.确保IT系统应用的交易和数据的完整性、准确性、有效性和授权的控制目标和技术8.关于数据、应用和技术的企业框架9.需求分析和管理实务，如:需求验证、跟踪(可追溯)、差距分析10.采购和合同管理程序，如:评估供应商、签合同准备、供应商管理、由第三方保存附带条件委付的契约(escrow).11.系统开发方法和工具，以及它们的优缺点。

例如，敏捷开发实务，原型、快速应用开发(RAD),面向对象的设计技术。

12.质量保证方法13.测试流程的管理，如，测试战略、测试计划、测试环境、启用和关闭(测试)的标准。

14.数据转换工具、技术和程序。

15.系统(和/或体系)(报废、退役)的处置程序。

16.软件、硬件的认证和鉴定实务。

17.(现场)实施后的检查的目标和方法。

如:项目关闭、收益实现、绩效的测定。

18.系统移植和体系开发实务。

★可能的考试重点物理体系分析项目阶段需要了解每个阶段的具体要求和审计师的关注检查现有体系分析和设计起草功能需求供应商和产品选择编写功能需求概念验证应用控制（原第七章）（重点）各种控制方法的含义输入控制（授权输入、批控制、错误报告与处理、联机系统或数据库系统的批完整性）处理程序与处理控制（数据确认和编辑检查、处理控制、数据文件控制程序）输出控制业务流程控制保证（在业务流程中实施应用控制）★知识点摘要业务运营的实现组合项目/大项目管理一方面，尽量使各项目((projects)独立运作，减少相互影响;另一方面，也要协调各项目(之间的资源、进度)。

这就需要专门的人项目组织(机制)。

大项目所有者(program owner role)，与项目所有人(Project owner role)是不同的。