2014年CISA考試知識點變化總結講義.pdf

2014年年CISA考試知識點變考試知識點變2014年年CISA考試知識點變考試知識點變 化總結講義化總結講義 匯哲科技原創(chuàng)匯哲科技原創(chuàng) 2014 SPISEC Corporation 關于我們關于我們關于我們關于我們 上海匯哲信息科技有限公司（簡稱“匯哲”或“SPISEC”），總部設立 在上海；其前身為內眾多學習群體的持久贊助者；長年致力于信息安全 ，IT治理，IT審計，IT風險管理，業(yè)務連續(xù)性，IT服務管理、項目管理 ；CISA，CISSP，CISP，COBIT，ITIL，CBCP，ISO27001等方面的；等方面的 培訓和實踐研究，始終以信息安全的共享交流、學習指導、職業(yè)規(guī)劃為 已任，并以培養(yǎng)國內信息安全人才、組織中國信息安全專業(yè)人員學習交 流為發(fā)展目標。流為發(fā)展目標。 SPISEC于2008年開始在業(yè)內陸續(xù)組織多場專業(yè)知識學習講座和研討， 并持續(xù)發(fā)布多期專業(yè)原創(chuàng)文檔和學習形式期刊、書籍。SPISEC至今為 30000多名會員提供免費的學習指導服務其中為3000多名會員直接提30000多名會員提供免費的學習指導服務，其中為3000多名會員直接提 供考試輔助、職業(yè)規(guī)劃、學習計劃梳理等服務，會員現(xiàn)分布央企、國企 、金融、電信、移動、能源、制造、IT等多個行業(yè)。SPISEC的成立將 更好地帶動業(yè)內信息安全人員的培養(yǎng)和發(fā)展，保障國際信息安全學習聯(lián) 盟的基本運營，實現(xiàn)業(yè)內各領域有志之士的共同愿望，匯聚業(yè)內各領域 的專業(yè)頂極人才。 2014 SPISEC CorporationPage 2 | 國際信息系統(tǒng)安全認證聯(lián)盟國際信息系統(tǒng)安全認證聯(lián)盟(ISC)2 官方授權培訓服務提供商！官方授權培訓服務提供商！ 2014年年CISA考試大綱考試大綱2014年年CISA考試大綱考試大綱 第一章 信息系統(tǒng)的審計流程第章 信統(tǒng)審計程 第二章 IT治理與管理 第三章 第三章信息系統(tǒng)的購置、開發(fā)與實施第章 第章信息系統(tǒng)的購置、開發(fā)與實施 第四章 信息系統(tǒng)的操作、維護與支持 第五章 信息資產的保護第五章 信息資產的保護 2014 SPISEC CorporationPage 3 | 第一章信息系統(tǒng)的審計流程第一章信息系統(tǒng)的審計流程第一章信息系統(tǒng)的審計流程第一章信息系統(tǒng)的審計流程 變化內容變化內容 1.3.2 ISACA信息系統(tǒng)審計和鑒證標準框架 1.3.3 ISACA信息系統(tǒng)審計和鑒證準則/指南信息系統(tǒng)審計和鑒證準則 指南 1.3.4 ISACA信息系統(tǒng)審計和鑒證工具和技術 2014年年ISACA審計標準簡體中文版審計標準簡體中文版 下載地址： 2014年年CISA學習備考群：學習備考群： 119072577 2014 SPISEC CorporationPage 4 | 1 3 2 ISACA信息系統(tǒng)審計和鑒證標準框架信息系統(tǒng)審計和鑒證標準框架1.3.2 ISACA信息系統(tǒng)審計和鑒證標準框架信息系統(tǒng)審計和鑒證標準框架 IS 審計和鑒證標準生效日期 1001 審計章程2013年11月1日1001 審計章程2013年11月1日 1002 組織獨立性2013年11月1日 1003 專業(yè)獨立性2013年11月1日 1004 合理預期2013年11月1日1004 合理預期2013年11月1日 1005 應有的職業(yè)謹慎2013年11月1日 1006 業(yè)務熟練2013年11月1日 1007 認定2013年11月1日1007 認定2013年11月1日 1008 衡量標準2013年11月1日 1201 項目規(guī)劃2013年11月1日 1202 規(guī)劃中的風險評估2013年11月1日1202 規(guī)劃中的風險評估2013年11月1日 1203 執(zhí)行和監(jiān)督2013年11月1日 1204 重要性2013年11月1日 1205 證據(jù)2013年11月1日證據(jù)年月 日 1206 使用其他專家的成果2013年11月1日 1207 違規(guī)和非法行為2013年11月1日 1401 報告2013年11月1日 2014 SPISEC CorporationPage 5 | 1402 后續(xù)活動2013年11月1日 1 3 3 ISACA信息系統(tǒng)審計和鑒證準則信息系統(tǒng)審計和鑒證準則/指南指南1.3.3 ISACA信息系統(tǒng)審計和鑒證準則信息系統(tǒng)審計和鑒證準則/指南指南 G14 Application Systems Review 1 October 2008 ppy Withdrawn 14 January 2013 See Generic Application Audit/Assurance Program G15 Audit Planning Revised 1 May 2010 G16 Effect of Third Parties on an Organisations IT Controls 1 March 2009 Withdrawn 14 January 2013 See Outsourced IT Environments Audit/Assurance Program 2014 SPISEC CorporationPage 6 | 1 3 3 ISACA信息系統(tǒng)審計和鑒證準則信息系統(tǒng)審計和鑒證準則/指南指南1.3.3 ISACA信息系統(tǒng)審計和鑒證準則信息系統(tǒng)審計和鑒證準則/指南指南 G18 IT Governance 1 July 2002 Withdrawn 14 January 2013 G19 Irregularities and Illegal Acts 1 July 2002 Withdrawn 1 September 2008 G21 Enterprise Resource Planning (ERP) Systems Review 16G21 Enterprise Resource Planning (ERP) Systems Review 16 August 2010 Withdrawn 14 January 2013 See Security, Audit and Control Features SAP ERP, 3rd Edition Audit Programs and ICQs G22 Business-to-consumer (B2C) E-commerce Review 1 October 2008 Withdrawn 14 January 20132008 Withdrawn 14 January 2013 See E-commerce and PKI Audit/Assurance Program G23 System Development Life Cycle (SDLC) Reviews 1 August 2003 Withdrawn 14 January 2013 See Systems Development and Project Management Audit/Assurance Program 2014 SPISEC CorporationPage 7 | Program 1 3 3 ISACA信息系統(tǒng)審計和鑒證準則信息系統(tǒng)審計和鑒證準則/指南指南1.3.3 ISACA信息系統(tǒng)審計和鑒證準則信息系統(tǒng)審計和鑒證準則/指南指南 G24 Internet Banking 1 August 2003 Withdrawn 14 January 2013 G25 Review of Virtual Private Networks 1 July 2004 Withdrawn 14 January 2013 See VPN Security Audit/Assurance ProgramSee VPN Security Audit/Assurance Program G26 Business Process Reengineering (BPR) Project Reviews 1 July 2004 Withdrawn 14 January 2013 G27 Mobile Computing 1 September 2004 Withdrawn 14 January 2013 See Mobile Computing Security Audit/Assurance ProgramSee Mobile Computing Security Audit/Assurance Program G28 Computer Forensics 1 September 2004 Withdrawn 14 January 2013 G29 Post-implementation Review 1 January 2005 Withdrawn 14 January 2013 See Systems Development and Project Management Audit/Assurance 2014 SPISEC CorporationPage 8 | See Systems Development and Project Management Audit/Assurance Program 1 3 3 ISACA信息系統(tǒng)審計和鑒證準則信息系統(tǒng)審計和鑒證準則/指南指南1.3.3 ISACA信息系統(tǒng)審計和鑒證準則信息系統(tǒng)審計和鑒證準則/指南指南 G31 Privacy 1 June 2005 Withdrawn 14 January 2013 Note: Personally Identifiable Information Audit/Assurance Program scheduled to be issued Jan. G32 Business Continuity Plan (BCP) Review From IT PerspectiveG32 Business Continuity Plan (BCP) Review From IT Perspective 1 September 2005 Withdrawn 14 January 2013 See Business Continuity Management Audit/Assurance Program G33 General Considerations on the Use of the Internet 1 March 2006 Withdrawn 14 January 2013 See E commerce and PKI Audit/Assurance ProgramSee E-commerce and PKI Audit/Assurance Program G36 Biometric Controls 1 February 2007 Withdrawn 14 January 2013 See Biometrics Audit/Assurance Program G37 Configuration Management Process 1 November 2007 Withdrawn 14 January 2013 2014 SPISEC CorporationPage 9 | 14 January 2013 1 3 3 ISACA信息系統(tǒng)審計和鑒證準則信息系統(tǒng)審計和鑒證準則/指南指南1.3.3 ISACA信息系統(tǒng)審計和鑒證準則信息系統(tǒng)審計和鑒證準則/指南指南 G38 Access Controls 1 February 2008 Withdrawn 14 January 2013yJy See Identity Management Audit/Assurance Program Note: An updated version is scheduled to be issued in February. G39 IT Organisation 1 May 2008 Withdrawn 14 January 2013 G40 Review of Security Management Practices 1 October 2008 g Withdrawn 14 January 2013 See Security Incident Management Audit/Assurance Program G41 Return on Security Investment (ROSI) 1 May 2010 Withdrawn 14 January 2013 2014 SPISEC CorporationPage 10 | 1 3 4 ISACA信息系統(tǒng)審計和鑒證工具和技術信息系統(tǒng)審計和鑒證工具和技術1.3.4 ISACA信息系統(tǒng)審計和鑒證工具和技術信息系統(tǒng)審計和鑒證工具和技術 工具和技術目前被分類為：具技術被分類為 參考書系列 (書籍) 審計鑒證程序審計鑒證程序 白皮書 雙月刊文章雙月刊文章 2014 SPISEC CorporationPage 11 | 第二章第二章IT治理與管理治理與管理第二章第二章IT治理與管理治理與管理 變化內容變化內容 2.3 企業(yè)IT治理 2.3.1 IT治理最佳實踐治理最佳實踐 2.3.3 IT平衡記分卡 2.6 投資和分配實務2.6 投資和分配實務 2.9.4 財務管理實務 2 9 7 績效優(yōu)化2.9.7 績效優(yōu)化 2.12.2 災難和其他破壞性事件 2014 SPISEC CorporationPage 12 | 企業(yè)企業(yè)IT治理治理企業(yè)企業(yè)IT治理治理 企業(yè)IT治理Governance of enterprise IT (GEIT)代替IT p()代替 Governance 參考文檔： COBIT5.0過程推動中文版 COBIT5.0實施指南中文版 COBIT5.0企業(yè)IT治理和管理的業(yè)務框架中文版 2014 SPISEC CorporationPage 13 | 2 3 1 IT治理最佳實踐治理最佳實踐2.3.1 IT治理最佳實踐治理最佳實踐 2014 SPISEC CorporationPage 14 | 2 3 1 IT治理最佳實踐治理最佳實踐2.3.1 IT治理最佳實踐治理最佳實踐 監(jiān)控、評價和指導（表2.3）流程被端到端集成治理流程，聚焦監(jiān)控、 評價和指導： 符合和績效 內部控制體系內部控制體系 符合外部要求 2014 SPISEC CorporationPage 15 | 2 3 3 IT平衡記分卡平衡記分卡2.3.3 IT平衡記分卡平衡記分卡 Figure 7-通用通用IT平衡計平衡計分卡Figure 7 通用通用IT平衡計平衡計分卡 業(yè)務貢獻 管理層如何看待IT部門？ 使命 從IT投資獲得合理的業(yè)務貢獻 目標 業(yè)務/IT 一致 價值交付 成本管理 風險管理 原因 效應 面向用戶 面向未來 IT定位滿足未來需求如何良 IT平衡計分卡IT平衡計分卡 風險管理 面向用戶 用戶如何看待IT部門？ 使命 成為信息系統(tǒng)的優(yōu)選供應 商目標 應用和運營的優(yōu)選供應商 IT定位滿足未來需求如何良 好？ 使命 開發(fā)機會回答未來的挑戰(zhàn) 目標 培訓和教育IT員工 應用和運營的優(yōu)選供應商 與用戶成為伙伴 用戶滿意度 專業(yè)化IT員工 研究最新技術 運營卓越 IT流程如何有效果和有效率 使命 交付有效果和有效率的IT應用 和服務 目標 有效率和有效果的開發(fā) 有效率和有效果的運營 2014 SPISEC CorporationPage 16 | IT流程的成熟度水平 2 6 投資和分配實務投資和分配實務2.6 投資和分配實務投資和分配實務 COBIT 5EDM02 確保收益交付流程最優(yōu)化以可接受的 COBIT 5，EDM02 確保收益交付流程最優(yōu)化，以可接受的 成本投資IT，從業(yè)務流程、IT服務和IT資產中貢獻業(yè)務的價 值。流程的關鍵治理實踐包括：值流程的關鍵治理實踐包括 1. 評價價值最優(yōu)化 2. 指導價值最優(yōu)化2. 指導價值最優(yōu)化 3. 監(jiān)控價值最優(yōu)化 2014 SPISEC CorporationPage 17 | 2 9 4 財務管理實務財務管理實務2.9.4 財務管理實務財務管理實務 計費提供所有利益相關方 “市場”度量信息處理設施提供計費提供所有關方市場度信設提供 的服務的效果和效率。當實施時，計費方針應 由董事會公 布，首席財務官，用戶管理層和信息系統(tǒng)管理層共同實施。 2014 SPISEC CorporationPage 18 | 2 9 7 績效優(yōu)化績效優(yōu)化2.9.7 績效優(yōu)化績效優(yōu)化 績效不是一個系統(tǒng)運作多好；績效是用戶和利益相關方感知績效不是個系統(tǒng)運作多好；績效是用戶和利益相關方感知 的服務；績效優(yōu)化是改善信息系統(tǒng)生產力到達最可能高水平 的流程，不需要不必要、額外的在信息技術基礎架構的投資 關鍵成功因素 在有效的績效管理方法中，度量不只被用于分配責任還 被遵守告求被創(chuàng)建推善績效被用于遵守報告要求，被用于創(chuàng)建和推動行動以改善績效和 企業(yè)IT治理 有效的績效度量依賴被處理的兩個關鍵方面有效的績效度量依賴被處理的兩個關鍵方面： 績效目標的清楚定義 建立有效的度量以監(jiān)控目標的獲得建立有效的度量以監(jiān)控目標的獲得 2014 SPISEC CorporationPage 19 | 2 9 7 績效優(yōu)化績效優(yōu)化2.9.7 績效優(yōu)化績效優(yōu)化 績效度量流程也被要求幫助確?？冃П灰恢碌睾涂煽康乇O(jiān)控 有效的治理顯著地使全部的績效最優(yōu)化，當如下發(fā)生時獲得 ： 目標被自頂向下設置與高層次已批準的業(yè)務目標致目標被自頂向下設置，與高層次已批準的業(yè)務目標一致 度量被自下向上建立，與使獲得所有層次被每個層次管 理層監(jiān)控目標一致理層監(jiān)控目標致 兩個關鍵的治理成功因素（使全面的績效最優(yōu)化） 利益相關者對目標的批準利益相關者對目標的批準 董事和經(jīng)理對獲得目標的問責的接受 IT是復雜的和技術的話題，因此，通過以對利益相關者是復雜的和技術的話題，因此，通過以對利益相關者 有意義的語言明確表達目標、度量和績效報告以便采取 活動以獲得透明 2014 SPISEC CorporationPage 20 | 2 9 7 績效優(yōu)化績效優(yōu)化2.9.7 績效優(yōu)化績效優(yōu)化 方法論和工具 多種改善和最優(yōu)化方法論補充簡單、內部開發(fā)的方法 持續(xù)改善方法論，例如PDCA循環(huán) 補充最佳實踐，例如ITIL補充最佳實踐，例如ITIL 框架，例如COBIT 工具和技術 推動度量良好交流和組織改革的具和技術包括推動度量、良好交流和組織改革的工具和技術包括： Six Sigma IT平衡計分卡IT平衡計分卡 關鍵績效指標（KPI） 基準測量 業(yè)務流程重組業(yè)務流程重組 根本原因分析 生命周期成本-效益分析 2014 SPISEC CorporationPage 21 | 2 9 7 績效優(yōu)化績效優(yōu)化2.9.7 績效優(yōu)化績效優(yōu)化 IT績效度量和報告可能是法令的或合同的要求，對企業(yè)恰當績效度報告能令或要求對恰 的績效度量實踐包括:業(yè)務價值的成果度量，競爭優(yōu)勢和定 義的績效度量，顯示IT如何表現(xiàn)。激勵，例如獎金、報酬和 認可應銜接績效度量與雇員客戶和利益相關者分享結果認可應銜接績效度量，與雇員、客戶和利益相關者分享結果 和進展是重要的 2014 SPISEC CorporationPage 22 | 2 12 2 災難和其他破壞性事件災難和其他破壞性事件2.12.2 災難和其他破壞性事件災難和其他破壞性事件 意外/不可預知事件外預事件 “不可預測的重大事件;它罕有發(fā)生,但一旦出現(xiàn),就具有很大 的影響力.發(fā)生后才能說明原因,是不可預測的現(xiàn)象- Black Swan”-Nassim Nicholas Taleb(2004) 黑天鵝現(xiàn)象 日本福島核災難 2014 SPISEC CorporationPage 23 | 第三章信息系統(tǒng)的購置第三章信息系統(tǒng)的購置開發(fā)與實施開發(fā)與實施第三章信息系統(tǒng)的購置第三章信息系統(tǒng)的購置、開發(fā)與實施開發(fā)與實施 無無無無 2014 SPISEC CorporationPage 24 | 第四章信息系統(tǒng)的操作第四章信息系統(tǒng)的操作維護與支持維護與支持第四章信息系統(tǒng)的操作第四章信息系統(tǒng)的操作、維護與支持維護與支持 無無無無 2014 SPISEC CorporationPage 25 | 第五章信息資產的保護第五章信息資產的保護第五章信息資產的保護第五章信息資產的保護 變化內容變化內容變化內容變化內容 5.3.6授權事項使用手持設備（Handheld Devices）遠程 訪問 刪除/變動小節(jié)內標題/但內容不變 5.6.1審計遠程訪問 網(wǎng)絡滲透測試（目錄刪除內部標題） 2014 SPISEC CorporationPage 26 | 5.3.6授權事項授權事項使用手持設備使用手持設備（Handheld Devices5.3.6授權事項授權事項使用手持設備使用手持設備（Handheld Devices ）遠程訪問）遠程訪問 移動設備可能包括:移動設備能 全功能手機，類似個人計算機功能或“智能手機” 筆記本電腦和上網(wǎng)本筆記本電腦和上網(wǎng)本 平板電腦 偏攜式數(shù)字助理(PDAs)偏攜式數(shù)字助理(PDAs) 偏攜式通用串行總線(USB) 設備 ：存儲(例如“拇指驅動器 ”和 MP3設備) 和連接 (例如 Wi-Fi, 藍牙 和)(, HSDPAlUMTSIEDGE/GPRS調制解調器卡) 數(shù)碼相機 無線射頻識別技術(RFID)和移動無線射頻識別技術(M- RFID)設備數(shù)據(jù)存儲，識別和資產管理 2014 SPISEC CorporationPage 27 | 啟用紅外(IrDA) 設備例如打印機和智能卡 2014年年CISA備考資料備考資料2014年年CISA備考資料備考資料 2014年年CISA認認證證考試講義考試講義（標標注注版版）年年認考試講義認考試講義標版標版 點評：CISA目前國內講義均為多年前原始版本更新，其中不少知識點涉 及面不全，重點考點較少、非考點出現(xiàn)較多，經(jīng)過20年CISA專業(yè)經(jīng)驗 講師全面梳理100%全新考試講義（突出考點強化復習對于無時間講師全面梳理100%全新考試講義（突出考點、強化復習、對于無時間 看書的學員適用于看講義，確保通過考試） 2014年年CISA認證考試中文書（第五版）認證考試中文書（第五版） 點評：2014年CISA認證考試中文書根據(jù)CISA Review Manual 2014英 文版本全面整理優(yōu)化歷年存在的問題全面幫助學員理解CISA考試內文版本全面整理，優(yōu)化歷年存在的問題，全面幫助學員理解CISA考試內 容和所有知識點，為學員學習CISA打下基礎。 2014 SPISEC CorporationPage 28 | 2014年年CISA備考資料備考資料2014年年CISA備考資料備考資料 2014年年CISA認認證證考試中英考試中英語語對照對照題目題目集集紅寶紅寶書第書第五五版版年年認考試中英對照集書第版認考試中英對照集書第版 點評：2013年CISA認證考試中英語對照題目集紅寶書第四版根據(jù)CISA Review Questions, Answers Explanations Manual 2014 Supplement CISA Review Questions Answers Explanations Manual 2014；CISA Review Questions, Answers Explanations Manual 2014； CISA Review Questions, Answers Explanations Manual 2012整理而 成；以幫助學員熟悉CISA所涉及所有題目類型，提高考試通過水平為目 得！得！ 2014年年CISA認證考試歷年出現(xiàn)題目手冊認證考試歷年出現(xiàn)題目手冊（2013年年12月更新版月更新版） 2014年年CISA認證考試歷年出現(xiàn)題目手冊認證考試歷年出現(xiàn)題目手冊（2013年年12月更新版月更新版） 點評：CISA認證考試歷年出現(xiàn)題目手冊是根據(jù)歷年CISA考 試中常出現(xiàn)的題目進行整理和收集而成以幫助和分析題目類試中常出現(xiàn)的題目進行整理和收集而成以幫助和分析題目類 型，適用于所有