下载文档原格式
第二章IT治理★必须的知识点1.IT战略、政策、标准和程序对于组织的意义,及其基本要素2.IT治理框架(体系)3.制定、实施和维护IT战略、政策、标准和程序的流程。
如:信息资产的保护、业务持续和灾难恢复、系统和基础建设生命周期、IT服务交付与支持4.质量管理战略和政策5.与IT使用私}管理相关的组织结构、角色私!职责。
6.公认的国际IT标准和准则(指导)。
7.制订一长期战略方向的企业所需的IT体系及其内容8.风险管理方法和工具9.控制框架(模型)的使用,如:CobiT, COSO, ISO 17799等控制模型。
10.成熟度和流程改进模型(如:C1V1M, CobiT)的使用。
11.签约战略、程序和合同管理实务。
12.IT绩效的监督和报告实务13.有关的法律、规章等问题(如:保密法/隐私法、知识产权、公司治理的要求)14.IT人力资源管理15.资源投资和配置实务(如:投资的资产管理回报)★可能的考试重点公司治理与IT治理(概念)IT治理中董事会和执行经理层的作用(责任、关键成功因素)IT治理最佳实务(结构与关系)IT治理中审计的的作用(确保IT的运用符合组织目标)IT战略:IT战略委员会(职责、作用、组成)、IT平衡记分卡信息安全治理企业架构(结构化方式反映组织的IT资产)业务流程驱动的企业架构FEA参考模型风险管理(原第七章内容,重点)采购实务IS模块交付(内包、外包、混合采购)采购战略外包实务和战略(优缺点、风险)服务水平协议(SLA)全球化战略和实务第三方审计报告能力与发展服务改进和用户满意度行业标准/基准信息系统组织结构供货商和外包商管理体系运营和维护(原运维)应用开发和维护/系统开发和维护职责分离(重点)组织结构中不同人员的职责★需要了解和熟悉IT治理审计查询理解★★★★★★★信息系统安全管理的成果信息系统安全管理的不同层次★知识点摘要公司治理倡导的公司道德文化。
世界经合组织将公司治理定义:“公司内不同群体之间责权利的分配关系,如董事会、管理层、股东和其他利害相关者,这些分配关系清楚地勾勒出公司决策的规则和程序。
引言概述:CISA(CertifiedInformationSystemsAuditor)是一项国际认可的信息系统审计师资格认证,对从事信息系统审计和控制的专业人士具有重要意义。
本文将针对CISA知识点进行总结,帮助读者全面了解CISA考试的内容和要求。
正文内容:一、信息系统审计的基本概念和原则1.信息系统审计的定义和目的2.信息系统审计的基本原则3.信息系统审计的类型和阶段4.信息系统审计的参与者和角色5.信息系统审计的国际标准和准则二、信息系统与技术基础1.信息系统的组成和分类2.信息系统的开发生命周期3.信息系统的运行和维护4.信息系统的风险与控制5.信息系统的安全性和保护措施三、信息系统审计过程与方法1.信息系统审计的策划和准备2.信息系统审计的实施和测试3.信息系统审计的发现和报告4.信息系统审计的跟踪和追踪5.信息系统审计的总结和建议四、信息系统审计的专业实践1.信息系统审计的法律法规和道德规范2.信息系统审计的流程和工具3.信息系统审计的案例和经验分享4.信息系统审计的问题识别和解决5.信息系统审计的持续学习和发展五、信息系统审计的未来发展趋势1.信息系统审计的技术创新和趋势预测2.信息系统审计的人才需求和发展机遇3.信息系统审计的国际合作和标准发展4.信息系统审计的重要性和挑战5.信息系统审计的职业形象和影响力总结:CISA知识点总结着重强调了信息系统审计的基本概念和原则、信息系统与技术基础、信息系统审计过程与方法、信息系统审计的专业实践以及信息系统审计的未来发展趋势五个大点。
每个大点下面设定了59个小点来详细阐述相关知识。
通过本文的学习,读者可以全面了解CISA考试所需的知识和技能,为提高信息系统审计能力和通过CISA考试提供有力的支持。
同时,本文还强调了信息系统审计在未来的发展趋势和重要性,鼓励读者不断学习和发展,为信息系统审计职业做出更大的贡献。
一、IS audit function的管理(一)IS审计功能组织1.Audit chapter 由管理高层审批用于建立IS内部审计的角色。
需要定义审计功能的authority,scope,responsibilities2.Engagement letter 是针对特定的审计项目3.外部审计的话通过contract或者statement of work来详细说明审计服务的objectives and scope4.任何情况,内部审计功能应该保持独立并向审计委员会或者董事会等高层汇报。
(二)IS审计资源管理1.IS审计师应该technically competent 应该通过持续的教育获得技术上的胜任2.审计部门应制定详细的员工培训计划,并定期检查,应提供必要的IT资源来实施IS审计。
(三)审计计划1.年度计划是短期,2.长期是考虑到影响计划IT环境的IT战略方向变化所带来的风险3.单个的审计任务需要考虑到定期风险评估结果,应用技术的变化,隐私的关注以及法律要求等,都会影响审计方法。
也要考虑系统部署/升级的deadlines, 现在或者将来的技术,业务流程owner的要求,以及IS资源的有限性等方面。
4.计划过程:获取对业务任务,目标,目的,过程的了解;也包括对信息系统CIA等安全要求的了解识别stated 内容包括策略,标准,要求的指引和组织架构执行RA来帮助开发审计计划设立审计scope和objectives开发审计方法或者审计strategy为审计分派人员解决engagement logistics5.IS审计师了解业务的方法:阅读背景资料,包括:工业出版物,年报,独立的财务分析报告回顾之前的审计报告,或者IT相关报告回顾业务和IT相关的长期战略计划访谈关键岗位来了解业务识别特定的适用于IT的法规识别外包的IT功能或相关活动Touring 关键的机构facilities(四)法律法规对IS审计计划的影响。
Bussiness Continuity and Disaster Recovery本章节主要讨论以下内容:1.灾难disaster类型以及他们对公司的冲击impacts2.业务连续性和灾难恢复计划的组成部分3.BIA业务受冲击分析4.恢复目标recovery targets5.对BCP,DRP的test测试6.培训员工7.对BCP,DRP的维护8.对BCP,DRP的审计此章节占比CISA考试的14%1.BCP和DRP的primariy objective: improve the chances that the organization will survive a disaster without incurring costly or even fatal damage to its most critical activites.2.BCP,DRP适用于任何规模的公司,任何公司都要建立自己的BCP,DRP。
3.即时灾难永远不发生,公司仍然可以从BCP,DRP的开发过程中获益,BCP,DRP 的开发可带来企业运行流程和技术的提升。
Disaster 灾难业务角度,灾难是能够导致业务运行中断的unexpected and unplanned events.灾难本身的规模和所引发的冲击各不相同。
一.灾难类型1.Natural disaster 自然灾害Earthquakes 地震Volcanoes火山Landslides滑坡Avalances 雪崩,分为slad avalance/loose snow avalance/pover snow avalanceWildfires野火Tropical cyclones热带气旋:强风,大雨,storm surgeTornades龙卷风Windstorm风暴Lightning闪电Ice storm暴雪Hail冰雹Flooding洪水Tsunamis海啸Pandemic瘟疫Extraterrestrial impacts地外冲击:meteority陨星2.Man-made disasters 人为灾害Civil disturbances:protests,demonstrations,riots,strikes,work slowdowns, stoppages, looting(掠劫), curfews(宵禁),evacuations, lockdowns(一级防范禁闭)Utility outages:电力、天然气、水、供热、通讯线路等设施失效Materials shortages:原材料短缺Fires火灾:建筑物、材料、器材的失火Hazardous materials spills危险材料泄露Transportation accidents运输事故Terrorism and war恐怖活动和战争:影响局部地区,但也会间接引起材料独缺和utility outagesSecurity events安全事件:hacker攻击等真正的灾难通常是由多方面因素引发的二.灾难如何影响公司许多灾难能够直接对业务运行造成直接影响,但是其secondary effects 对业务持续运转的能力造成更大的影响。
第六章灾难恢复和业务连续性计划本章内容将占有CISA考试卷面的14%,大约28题。
★必须的知识点1、评估备份和恢复准备的充分性,确保恢复运营所需信息的有效性(和可用性)。
2、评估组织的灾难恢复计划,确保一旦发生灾难,之后IT处理能力的恢复。
3、评估组织的业务连续性计划,确保IT(遭破环)服务中断期间,基本业务运营不间断的能力。
★可能的考试重点数据备份、存储、维护、保留和恢复程序及其实务;业务持续性和灾难恢复的相关法律法规、协议和保险问题;业务影响分析(BIA);开发和维护灾难恢复计划和业务持续计划;灾难恢复和业务持续性计划测试途径和方法;与灾难恢复和业务持续计划相关的人力资源管理(疏散、紧急响应计划);启动灾难恢复和业务持续计划的程序和流程;备用业务处理站点的类型,监督有关协议/合同的方法。
处理形象、声誉或商标的损害(P471)BCP程序(业务持续和灾难恢复政策、BCP意外管理、BIA)(P471)恢复技术(P479)采购备份硬件(P480)备份和恢复(P490)★知识点摘要业务连续性和灾难恢复计划的目的在遇到灾难袭击时,最大限度地保护组织数据的实时性、完整性和一致性,降低数据的损失,快速恢复操作系统、应用和数据。
提供各种恢复策略选择,包括从磁带备份到全镜像以及恢复网络部件和基础设施的连接,尽量减小数据损失和恢复时间。
保证在发生各种不可预料的故障、破坏性事故或灾难情况时,能够持续服务,确保业务系统的不间断运行,极大地降低组织的损失。
灾难恢复与业务连续性计划(BCP)是组织为避免关键业务功能中断,减少业务风险而建立的一个控制过程,它包括了对支持组织关键功能的人力、物力需求和关键功能所需的最小级别服务水平的连续性保证。
剩余风BCP关注的是组织日常风险管理程序所不能完全消除的剩余风险,BCP的目标就是要把组织的剩余风险和因意外事件产生的风险降到组织可接受的程度。
BCP应当主要是组织最高管理层!的职责,因为最高管理层对组织的资产和生存负有最高责任。
cisa的知识梳理从其他地方找到的知识梳理,与大家一起分享下内部控制的分类预防性控制,在事情发生前监测问题,如职责分离/仅雇佣合格人员/使用访问控制软件/控制访问物理设备/完成程序化的编辑检查检查性控制,使用控制检查和报告发生的问题,如Hash totals哈希汇总/生产作业中的检查点内部审计/回显控制纠正性控制,修复检查控制发现的问题/找出问题原因,纠正问题衍生的错误/修改处理系统以减少未来发生问题,如意外处理计划/备份流程/恢复运营流程审计风险的分类固有风险,假设不存在相关的内部控制的情况下,发生重大错误的风险控制风险,指有内部控制制度,但无法预防\及时发现或纠正重要错误的风险检查风险,信息审计人员采用了不恰当的测试程序,未能发现已存在的重大错误风险整体审计风险,是对个别控制目标所评估出的各类审计风险的综合符合性测试和实质性测试符合性测试:1. 关注内部控制的有效性,从而帮助审计师确定实质性测试的性质、时间和范围,2. 符合性测试可以用来测试既定程序的存在和有效性3. 符合性测试需要测试组织符合控制程序所收集的证据实质性测试:1.实质性测试验证实际处理的完整性,通过实质性测试可以确定财务报表和财务信息所反映的业务活动的正确性和完整性2.实质性测试需要评估组织的交易、数据若其他信息的完整性审计抽样分类:按抽样决策的依据不同,可分为1.统计抽样:审计人员在计算正式抽样结果时采用统计推断技术的一种抽样方法,客观的方法决定样本量大小和抽样方式2.非统计抽样:审计人员全凭主观标准和个人经验来评价样本结果并对总体做出结论两者的区别是:非统计抽样不能理化抽样风险,统计抽样可以量化按审计抽样所了解的总体特征不同,可分为1.属性抽样:估计一个控制或一组相关控制属性的发生概率。
与符合性测试有关有三种基本方法:固定样本量抽样停-走抽样发现抽样2.变量抽样:根据总体的抽样来估计总体的金额数或其他衡量单位,与实质性测试有关有三种常用方法:分层单位平均估计抽样不分层单位平均估计抽样差额估计抽样补偿性控制和重叠性控制补偿性控制是由健全的控制来弥补其他控制缺陷重叠的控制同时有两个健全的控制标准IT平衡记分卡使用一个三层架构来四个方面的评价要素:使命,战略,措施四个方面:财务、客户、内部流程、学习与发展风险管理过程第一步:对那些具有脆弱性,易受威胁,需要保护的信息资产进行识别与分类第二步:评价与信息资源相关的威胁和脆弱性,及其发生的可能性第三步:结合考虑各风险要素形成对风险的总体项目管理方法:1、关键路径法:因为项目的构成是一系列、次序排列的独立任务,利用类似网络结构的图示表示各行为之间的关系,所有链中,时间消耗总数最大的一条链,也就是关键路径,因为它代表了整个项目预计的最短耗时。
