最新最全的CISA知識(shí)體系講解.ppt

第一部分信息系統(tǒng)審計(jì)程序 1 1ISACA發(fā)布的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn) 準(zhǔn)則 程序和職業(yè)道德規(guī)范1 2IS審計(jì)實(shí)務(wù)和技術(shù)1 3收集信息和保存證據(jù)的技術(shù) 如觀察 調(diào)查問卷 談話 計(jì)算機(jī)輔助審計(jì)技術(shù) 電子介質(zhì) 1 4證據(jù)的生命周期 如證據(jù)的收集 保護(hù)和證據(jù)之間的相關(guān)性 1 5與信息系統(tǒng)相關(guān)的控制目標(biāo)和控制 如CobiT模型 1 6審計(jì)過程中的風(fēng)險(xiǎn)評估1 7審計(jì)計(jì)劃和管理技術(shù)1 8報(bào)告和溝通技術(shù) 如推進(jìn) 商談 解決沖突 1 9控制自我評估 CSA 1 10不間斷審計(jì)技術(shù) 即 連續(xù)審計(jì)技術(shù) 第二部分IT治理 信息技術(shù)治理 2 1IT戰(zhàn)略 政策 標(biāo)準(zhǔn)和程序?qū)τ诮M織的意義 及其基本要素2 2IT治理框架 體系 2 3制定 實(shí)施和維護(hù)IT戰(zhàn)略 政策 標(biāo)準(zhǔn)和程序的流程 如 信息資產(chǎn)的保護(hù) 業(yè)務(wù)持續(xù)和災(zāi)難恢復(fù) 系統(tǒng)和基礎(chǔ)建設(shè)生命周期 IT服務(wù)交付與支持2 4質(zhì)量管理戰(zhàn)略和政策2 5與IT使用和管理相關(guān)的組織結(jié)構(gòu) 角色和職責(zé) 2 6公認(rèn)的國際IT標(biāo)準(zhǔn)和準(zhǔn)則 指導(dǎo) 2 7制訂長期戰(zhàn)略方向的企業(yè)所需的IT體系及其內(nèi)容2 8風(fēng)險(xiǎn)管理方法和工具2 9控制框架 模型 的使用 如 CobiT COSO ISO17799等控制模型 2 10成熟度和流程改進(jìn)模型 如 CMM CobiT 的使用 第二部分IT治理 信息技術(shù)治理 2 11簽約戰(zhàn)略 程序和合同管理實(shí)務(wù) 2 12IT績效的監(jiān)督和報(bào)告實(shí)務(wù)2 13有關(guān)的法律 規(guī)章等問題 如 保密法 隱私法 知識(shí)產(chǎn)權(quán) 公司治理的要求 2 14IT人力資源管理2 15IT資源投資和配置實(shí)務(wù) 如 投資的資產(chǎn)管理回報(bào) 第三部分系統(tǒng)和基礎(chǔ)建設(shè)生命周期管理 3 1收益管理實(shí)務(wù) 例如 可行性研究 業(yè)務(wù)案例 3 2項(xiàng)目治理機(jī)制 如 項(xiàng)目指導(dǎo)委員會(huì) 項(xiàng)目監(jiān)督委員會(huì)3 3項(xiàng)目管理實(shí)務(wù) 工具和控制框架3 4用于項(xiàng)目管理上的風(fēng)險(xiǎn)管理實(shí)務(wù)3 5項(xiàng)目成功的原則和風(fēng)險(xiǎn)3 6涉及開發(fā) 維護(hù)系統(tǒng) 和 或體系 的配置 變更和 發(fā)布的 版本管理3 7確保IT系統(tǒng)應(yīng)用的交易和數(shù)據(jù)的完整性 準(zhǔn)確性 有效性和授權(quán)的控制目標(biāo)和技術(shù)3 8關(guān)于數(shù)據(jù) 應(yīng)用和技術(shù)的企業(yè)框架3 9需求分析和管理實(shí)務(wù) 如 需求驗(yàn)證 跟蹤 可追溯 差距分析3 10采購和合同管理程序 如 評估供應(yīng)商 簽合同準(zhǔn)備 供應(yīng)商管理 由第三方保存附帶條件委付的契約 escrow 第三部分系統(tǒng)和基礎(chǔ)建設(shè)生命周期管理 3 11系統(tǒng)開發(fā)方法和工具 以及它們的優(yōu)缺點(diǎn) 例如 敏捷開發(fā)實(shí)務(wù) 原型 快速應(yīng)用開發(fā) RAD 面向?qū)ο蟮脑O(shè)計(jì)技術(shù) 3 12質(zhì)量保證方法3 13測試流程的管理 如 測試戰(zhàn)略 測試計(jì)劃 測試環(huán)境 啟用和關(guān)閉 測試 的標(biāo)準(zhǔn) 3 14數(shù)據(jù)轉(zhuǎn)換工具 技術(shù)和程序 第四部分IT服務(wù)的交付與支持 4 1服務(wù)的等級 或水平 管理實(shí)務(wù)4 2運(yùn)營管理最佳實(shí)務(wù) 例如 工作負(fù)荷調(diào)度 網(wǎng)絡(luò)服務(wù)管理 預(yù)防性維護(hù) 4 3系統(tǒng)性能 或效能 監(jiān)控程序 工具和技術(shù) 例如 網(wǎng)絡(luò)分析器 系統(tǒng)利用率報(bào)告 負(fù)載均衡4 4硬件和網(wǎng)絡(luò)設(shè)備的功能 如 路由器 交換機(jī) 防火墻和外圍設(shè)備4 5數(shù)據(jù)庫管理實(shí)務(wù)4 6操作系統(tǒng) 工具軟件和數(shù)據(jù)庫管理系統(tǒng) 例如 關(guān)系型數(shù)據(jù)庫 Oracle PostgreSQL 等系統(tǒng)軟件的功能 4 7生產(chǎn)能力計(jì)劃和監(jiān)控技術(shù)4 8對生產(chǎn)系統(tǒng) 或體系 的應(yīng)急變更和調(diào)度管理程序 包括變更 配置 版本 發(fā)布和補(bǔ)丁管理實(shí)務(wù) 4 9 生產(chǎn) 事件 問題管理實(shí)務(wù) 如 幫助臺(tái) 負(fù)責(zé)電話受詢 提供一般性技術(shù)救援 逐級 上報(bào)程序和 技術(shù) 追蹤 4 10軟件許可證和 其總量 清單管理實(shí)務(wù) 4 11系統(tǒng)彈性之工具和技術(shù) 例如 容錯(cuò)硬件 單點(diǎn)失效的排除 服務(wù)器 群集 或矩陣 第五部分信息資產(chǎn)的保護(hù) 5 1 信息系統(tǒng)的 安全 措施的 設(shè)計(jì) 實(shí)施和監(jiān)控技術(shù) 如 威脅和風(fēng)險(xiǎn)評估 敏感性分析 泄密評估5 2用戶使用授權(quán)的功能和數(shù)據(jù)時(shí) 識(shí)別 簽訂和約束等邏輯訪問控制 例如 動(dòng)態(tài)密碼 詢問 應(yīng)答 配置 菜單 用戶 資料信息 5 3邏輯訪問安全體系 如 單點(diǎn)登陸 SSO 用戶識(shí)別策略 標(biāo)識(shí) 身份 管理 5 4攻擊方法和技術(shù) 如 黑客 欺騙 特絡(luò)伊木馬 拒絕服務(wù) 垃圾電子郵件 5 5對安全事件的監(jiān)測和響應(yīng)程序 如 上報(bào)程序 突發(fā)事件響應(yīng)團(tuán)隊(duì)5 6網(wǎng)絡(luò)和Internet安全設(shè)備 協(xié)議和技術(shù) 如 SSL SET VPN NAT5 7入侵監(jiān)測系統(tǒng)和防火墻的配置 實(shí)施 運(yùn)行和維護(hù) 5 8加密算法 技術(shù) 如 AES RSA5 9公共密鑰結(jié)構(gòu) PKI 組件 如 CA RA 和數(shù)字簽名技術(shù)5 10病毒監(jiān)測工具和控制技術(shù) 第五部分信息資產(chǎn)的保護(hù) 5 11安全 方案 的測試和評估技術(shù) 例如 滲透測試 漏洞掃描5 12 生產(chǎn) 環(huán)境保護(hù)實(shí)務(wù)和設(shè)備 如 火災(zāi)壓制 冷卻系統(tǒng)和水傳感器5 13物理安全系統(tǒng)和實(shí)務(wù) 例如 生物 特征 鑒定 門卡 密碼鎖 5 14數(shù)據(jù)分類方案 例如 公開的 保密的 私密的和敏感的數(shù)據(jù) 5 15語音通訊的安全 如 VoIP5 16保密信息資產(chǎn)的采集 存儲(chǔ) 使用 傳輸 或運(yùn)輸 和 退役 處置程序和流程 5 17與使用便攜式和無線設(shè)備 例如 個(gè)人商務(wù)通PDA USB設(shè)備和藍(lán)牙設(shè)備 相關(guān)的控制和風(fēng)險(xiǎn) 第六部分災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃 6 1數(shù)據(jù)備份 存儲(chǔ) 維護(hù) 保留和恢復(fù)流程 和實(shí)務(wù) 6 2業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)有關(guān)的法律 規(guī)章 協(xié)議和保險(xiǎn)問題 6 3業(yè)務(wù)影響分析 BIA 6 4開發(fā)和維護(hù)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃 6 5災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃測試途徑和方法6 6與災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃有關(guān)的人力資源管理 例如 疏散計(jì)劃 緊急 響應(yīng)團(tuán)隊(duì) 6 7啟用災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃的程序 或流程 6 8備用業(yè)務(wù)處理站點(diǎn) 指場所和設(shè)施 的類型 和監(jiān)督有關(guān)協(xié)議 合同的方法 CISAvs CISSP 認(rèn)證側(cè)重點(diǎn) CISSP信息系統(tǒng)安全的管理與實(shí)踐CISA信息系統(tǒng)的控制與審計(jì) 對應(yīng)的職業(yè)不同 CISSPConsultant managementCISAAuditor management 考試難度比較 技術(shù)深度CISSP CISACISSP10domainsCISA6domains答題壓力CISA CISSPCISSP6小時(shí)250題CISA4小時(shí)200題 CISAOverview CISAoverview CISAandISACACISA認(rèn)證CISA考試CISA考試內(nèi)容CISAvs CISSP CISAandISACA CISAandISACA CISACertifiedInformationSystemAuditor注冊信息系統(tǒng)審計(jì)師ISACAInformationSystemsAuditandControlAssociation信息系統(tǒng)審計(jì)與控制協(xié)會(huì) ISACA 信息系統(tǒng)審計(jì)與控制協(xié)會(huì) ISACA 創(chuàng)始于1967年 當(dāng)時(shí)它是由從事同類職業(yè)的人所組成的小團(tuán)體 計(jì)算機(jī)系統(tǒng)的審計(jì)和控制對他們各自機(jī)構(gòu)的運(yùn)作都變得愈發(fā)關(guān)鍵 因此他們聚集起來討論制定信息集中化資源和本領(lǐng)域指導(dǎo)準(zhǔn)則的必要性 在1969年 這個(gè)團(tuán)體正式組建為EDP審計(jì)師協(xié)會(huì) 在1976年 這個(gè)協(xié)會(huì)成立一項(xiàng)教育基金來開展大規(guī)模的研究工作 以拓展信息產(chǎn)業(yè)管理與控制領(lǐng)域的知識(shí)與價(jià)值 ISACA 今天 ISACA在全球有兩萬八千多名成員 他們的組成非常具有多元性 這些成員在100多個(gè)國家內(nèi)生活和工作 并涵蓋眾多專業(yè)信息技術(shù)的相關(guān)職業(yè) 比如信息系統(tǒng)審計(jì)師 顧問 教導(dǎo)員 信息系統(tǒng)安全專家 管理者 首席信息官和內(nèi)部審計(jì)師等 有些職業(yè)是本領(lǐng)域內(nèi)新興的 其他為中級管理人員 另外還有許多人擔(dān)任最高級的職位 他們幾乎遍及所有行業(yè) 包括財(cái)政金融 公共會(huì)計(jì) 政府與公共部門 公用事業(yè)和制造業(yè) 這種多元性使眾多成員能夠相互學(xué)習(xí) 并在許多專業(yè)問題上廣泛交流彼此的觀點(diǎn) 該特點(diǎn)一直被認(rèn)為是ISACA的強(qiáng)勢之一 ISACA ISACA的另一個(gè)強(qiáng)勢就是它的分會(huì)網(wǎng)絡(luò) ISACA的分會(huì)遍布世界60多個(gè)國家 可提供成員教育 資源共享 支持 專業(yè)網(wǎng)絡(luò) 以及其他由當(dāng)?shù)胤謺?huì)提供的諸多利益 ISACA 在ISACA創(chuàng)立的三十年來 它已成為一個(gè)為信息管理 控制 安全和審計(jì)專業(yè)設(shè)定規(guī)范的全球性組織 它的信息系統(tǒng)審計(jì)和信息系統(tǒng)控制標(biāo)準(zhǔn)為全球執(zhí)業(yè)者所遵從 它的研究工作針對那些挑戰(zhàn)其重要原則的疑難專業(yè)事項(xiàng) 它的國際信息系統(tǒng)審計(jì)師 CISA 認(rèn)證得到全球的公認(rèn) 并有三萬多名專業(yè)人員得到認(rèn)證 它最新推出的國際信息安全經(jīng)理 CISM 認(rèn)證特別針對信息安全管理的審計(jì)事務(wù) 它出版了領(lǐng)先于信息控制領(lǐng)域的技術(shù)性期刊 即 信息系統(tǒng)控制期刊 InformationSystemsControlJournal 它舉辦一系列國際性會(huì)議 并且把焦點(diǎn)集中于信息系統(tǒng)保障 控制 安全和信息技術(shù)管理專業(yè)的技術(shù)與管理主題上 ISACA 唯一有權(quán)授予信息系統(tǒng)審計(jì)師資格的跨國界 跨行業(yè)專業(yè)機(jī)構(gòu) ISACAWeb http www isaca org CISA認(rèn)證 CISA的工作 熟悉信息系統(tǒng)軟件 硬件 開發(fā) 運(yùn)營 維護(hù) 管理以及安全熟悉業(yè)務(wù)運(yùn)營管理利用規(guī)范和相關(guān)的審計(jì)技術(shù) 對信息系統(tǒng)的安全性 穩(wěn)定性 有效性進(jìn)行審計(jì) 檢查 評價(jià) CISA證書的價(jià)值 全球化進(jìn)展進(jìn)一步提升了CISA資格證書的價(jià)值 顯示了它是真正國際認(rèn)可的資歷證書 美國摩根大通公司 埃內(nèi)斯托 阿吉拉 CISA CISA證書的價(jià)值 專業(yè)認(rèn)證計(jì)劃杰出的標(biāo)志在于持證人提高了自身的價(jià)值并受到了人們的尊重 自1978年以來 由信息系統(tǒng)審計(jì)與控制協(xié)會(huì) ISACA 發(fā)起的國際信息系統(tǒng)審計(jì)師 CISA 認(rèn)證已經(jīng)成為持證人在信息系統(tǒng)審計(jì) 控制與安全等專業(yè)領(lǐng)域中取得成績的象征 并逐步發(fā)展成全球公認(rèn)的標(biāo)準(zhǔn) 最高專業(yè)程度的標(biāo)志 獲得CISA資格證書有助于確立您作為一名合格的信息系統(tǒng)審計(jì) 控制和安全專業(yè)人才的聲望 不論你是希望提高你的工作業(yè)績還是得到職務(wù)升遷 擁有CISA資格證書都會(huì)使你擁有他人無法企及的競爭優(yōu)勢 雇主尋求的資歷 由于CISA所認(rèn)證的個(gè)人能夠熟練掌握當(dāng)今需要的最先進(jìn)的技能 雇主更愿意雇用和留住那些達(dá)到并能夠維持資格證書所要求水平的人才 CISA資格證書向雇主保證其雇員已達(dá)到工作要求所必需的最新教育與實(shí)踐經(jīng)驗(yàn) CISA用它的四個(gè)字母向未來雇主表明 我具備扎實(shí)的信息系統(tǒng)審計(jì)知識(shí)與豐富的經(jīng)驗(yàn) CISA使持證人在市場中占據(jù)優(yōu)勢 英國蘇格蘭皇家銀行 羅勃特 科里斯 CISA 全球的認(rèn)可 也許本認(rèn)證對于你當(dāng)前的工作并不是絕對必需的 然而越來越多的機(jī)構(gòu)希望員工得到CISA認(rèn)證 為了確保你在全球市場中的成功 選擇一個(gè)建立在全球認(rèn)可技術(shù)實(shí)務(wù)基礎(chǔ)上的認(rèn)證是至關(guān)重要的 CISA所提供的就是這種認(rèn)證 CISA作為信息系統(tǒng)審計(jì) 控制與安全專業(yè)人員的資格證書 受到全世界所有行業(yè)的廣泛認(rèn)可 得到ISO IEC17024 2003標(biāo)準(zhǔn)的公認(rèn) 美國國家標(biāo)準(zhǔn)協(xié)會(huì) ANSI 已經(jīng)按照ISO IEC17024 2003標(biāo)準(zhǔn)對CISA認(rèn)證計(jì)劃進(jìn)行了鑒證和認(rèn)可該標(biāo)準(zhǔn)是對一個(gè)團(tuán)體開展人員認(rèn)證方面的總體要求 成為CISA 順利通過CISA的考試 遵守國際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)的 職業(yè)道德準(zhǔn)則 提供從事信息系統(tǒng)審計(jì) 控制與安全工作5年以上經(jīng)驗(yàn)的證明 具有下列同等經(jīng)驗(yàn) 可申請免除該項(xiàng)經(jīng)驗(yàn) 并應(yīng)獲得如下證明 1年以下的信息系統(tǒng)審計(jì) 控制與安全工作的經(jīng)驗(yàn)可用如下資歷相抵 滿1年的非信息系統(tǒng)審計(jì)工作經(jīng)驗(yàn) 或滿1年的信息系統(tǒng)工作經(jīng)驗(yàn) 和 或具有大專學(xué)歷 大學(xué)60個(gè)學(xué)分或同等學(xué)歷 2年信息系統(tǒng)審計(jì) 控制與安全工作的經(jīng)驗(yàn)可用學(xué)士學(xué)位 大學(xué)120個(gè)學(xué)分或同等學(xué)歷 相抵 1年信息系統(tǒng)審計(jì) 控制與安全工作的經(jīng)驗(yàn)可用2年相關(guān)領(lǐng)域 計(jì)算機(jī)科學(xué) 會(huì)計(jì) 信息系統(tǒng)審計(jì)等 內(nèi)從事大學(xué)專職講師的經(jīng)驗(yàn)相抵 無最高年限 即6年大學(xué)講師經(jīng)驗(yàn)等同于3年信息系統(tǒng)審計(jì) 控制與安全工作的經(jīng)驗(yàn) 成為CISA 專業(yè)經(jīng)驗(yàn)必須在申請前的10年之內(nèi)獲得 或在第一次通過考試之日的前5年之內(nèi) 認(rèn)證申請必須在通過CISA考試的5年之內(nèi)提出 所有專業(yè)經(jīng)驗(yàn)都必須由原雇主獨(dú)立地確認(rèn) CISA考試 CISA考試 CISA考試在每年6月份和12月份舉行2006年的考試日期為12月9日考題包含200道多項(xiàng)選擇題考試時(shí)間為4個(gè)小時(shí)75分通過 考試報(bào)名 填寫并郵寄報(bào)名表線上報(bào)名報(bào)名費(fèi) 5102006年8月16日之前 460線上報(bào)名 可節(jié)省 35報(bào)名截止日期 9月27日 考分的郵寄 自考試之日起約6個(gè)星期后 考生將接到郵寄的考試成績通知 為了對考試分?jǐn)?shù)保密 考試結(jié)果將不采用電話 傳真或電子郵件的方式進(jìn)行通知 然而 如果你在報(bào)名表的第27項(xiàng)上表明同意 我們可以通過電子郵件向你發(fā)送及格 不及格的考分 CISA資格證書的維持 獲得任何職業(yè)資格證書的持證人必須參與繼續(xù)教育計(jì)劃來維持其資格證書 為了維持CISA資格證書 持證人必須履行繼續(xù)職業(yè)教育政策 并遵守ISACA協(xié)會(huì)的 職業(yè)道德準(zhǔn)則 這些計(jì)劃有助于保證CISA持證人能夠與業(yè)內(nèi)先進(jìn)技術(shù)的發(fā)展保持同步 并展示較高的職業(yè)原則 繼續(xù)職業(yè)教育政策 要求持證人獲得并提供最低限度的繼續(xù)職業(yè)教育 CPE 學(xué)時(shí) 并每年支