cisa2013考生上課筆記--第二章

IT公司治董事會(huì)和高級(jí)管理層的監(jiān)督和保證實(shí)ITIT治理在根本上關(guān)注兩方面問(wèn)題：ITIT風(fēng)險(xiǎn)得到管理。前者由IT與業(yè)務(wù)的一致驅(qū)動(dòng)，后者通過(guò)向企業(yè)分配責(zé)任來(lái)驅(qū)動(dòng)。IT治理的最佳實(shí)ITIT支持業(yè)務(wù)目標(biāo)，ITIT工ITIT目標(biāo)符合企業(yè)目標(biāo)的要求，并實(shí)現(xiàn)預(yù)期的收益。審計(jì)在IT治理中的角色采用的報(bào)告路線：使查出的IT治理問(wèn)題能報(bào)告給組織最I(lǐng)S審計(jì)師對(duì)信息的權(quán)限，包括對(duì)組織內(nèi)部和第服務(wù)提供商。ISIT治理的相關(guān)內(nèi)容：ISITIT平衡計(jì)分卡是從財(cái)務(wù)、客戶、內(nèi)部運(yùn)營(yíng)、學(xué)習(xí)與成長(zhǎng)四個(gè)角度，將組織的為可操作的衡量指標(biāo)和目標(biāo)值的一種新型績(jī)效管理體系。設(shè)計(jì)平衡計(jì)分卡的目的就是要建立“實(shí)現(xiàn)制導(dǎo)”的績(jī)效管理系統(tǒng)，從而保證企業(yè)得到有效的執(zhí)行。治2.4.1.治理概是投資與企業(yè)、既定的、脆弱性和風(fēng)險(xiǎn)特征保持一致流程整合：關(guān)織安全管理保證流程的整合。實(shí)施有效的安全治理和制定組織安全目標(biāo)指導(dǎo)組成知道。首席官信息系規(guī)指導(dǎo)高級(jí)管理層應(yīng)當(dāng)組建一個(gè)計(jì)劃或指導(dǎo)來(lái)監(jiān)督IS職能及其活動(dòng)，的指導(dǎo)是確保IS部門與公司目標(biāo)協(xié)調(diào)一致的重要因素。該指導(dǎo)的主要職能是： 批準(zhǔn)并監(jiān)督重要項(xiàng)目\isISIS政政策是次的文，代表組織的業(yè)文化高管理層與務(wù)流程有人的思考。 對(duì)及合同要求的符合未被政策程風(fēng)險(xiǎn)管制定風(fēng)險(xiǎn)管理程風(fēng)險(xiǎn)管理過(guò)行綜合的常用方法是計(jì)算每一類對(duì)脆弱性的影響，匯總得出整體風(fēng)險(xiǎn)值。風(fēng)險(xiǎn)分析方的分析方法，通常是用檢查表及的風(fēng)險(xiǎn)分級(jí)，如高、中、低。方法或?yàn)榱私档投ㄐ苑治龇椒ǖ囊蛩貢r(shí)。BIA過(guò)程中使用定量風(fēng)險(xiǎn)分析方法，主要問(wèn)題時(shí)如何量化信息資產(chǎn)。ALE方法采用量化的方式簡(jiǎn)化了對(duì)資產(chǎn)價(jià)值VPIS人力資源管背景利用協(xié)競(jìng)業(yè)協(xié)議準(zhǔn)許及的行日程安排和工工作輪換為減少或行為的風(fēng)險(xiǎn)提供了額外的控制因?yàn)橥粋€(gè)員工不長(zhǎng)期執(zhí)行同一個(gè)任務(wù)，這也為由常規(guī)職責(zé)之外的其他人來(lái)代行職責(zé)并發(fā)現(xiàn)可能的行為提供了機(jī)會(huì)。采購(gòu)實(shí)ISIS職能，也可以在全球范圍對(duì)所有職能進(jìn)行外包。IS職能的交付方式：IS職能可以在全球范圍內(nèi)實(shí)施：IS部門現(xiàn)場(chǎng)工作離場(chǎng)：也稱為近岸，員工在同一地理區(qū)域內(nèi)的不同地點(diǎn)工作外包實(shí)務(wù)和全球與實(shí)外包及第審計(jì)報(bào)管理第服務(wù)交監(jiān)督和檢查第服第服務(wù)的變更管SLA：Service-LevelAgreement的縮寫，意思是服務(wù)等級(jí)協(xié)議。服務(wù)等級(jí)協(xié)議是關(guān)于網(wǎng)絡(luò)服務(wù)供應(yīng)商和客戶間的一份合同，其中定義了服務(wù)類型、服務(wù)質(zhì)量和客戶付款等術(shù)語(yǔ)。組織變更管財(cái)務(wù)管理實(shí)ISIS質(zhì)量管質(zhì)量管理是控制、衡量和改善IS部門流程的法，IS部門制定并流程是有IS審計(jì)師關(guān)注IS部門是否存在管理以下職能的流程文件工HR管績(jī)效優(yōu)ISISIS部門員IS審計(jì)師應(yīng)當(dāng)在被審計(jì)人的工作現(xiàn)場(chǎng)進(jìn)行觀察以確認(rèn)工作描述和結(jié)構(gòu)是否充分，通常應(yīng)當(dāng)一下IS職能： 管理員：需要與IS部門進(jìn)行分離并有CISO直接的職能基礎(chǔ)設(shè)施運(yùn)行和 質(zhì)量保證QAIS質(zhì)量控制QC：負(fù)責(zé)執(zhí)試和，以驗(yàn)證并確保軟件不存在缺陷并滿足用戶預(yù)期，它可SDLC的發(fā)起階段、、安全架構(gòu)師評(píng)估安全技術(shù)，涉及網(wǎng)絡(luò)拓?fù)淇刂乒芾砗推渌踩到y(tǒng)相關(guān)的安全、、應(yīng)用開發(fā)和基礎(chǔ)設(shè)施開發(fā)和基礎(chǔ)設(shè)施人員負(fù)責(zé)包括操作系統(tǒng)在內(nèi)的系統(tǒng)軟件該職能可能需要整個(gè)系統(tǒng)當(dāng)只允許技術(shù)設(shè)施人員其負(fù)責(zé)的特定軟件系統(tǒng)庫(kù)對(duì)域管理用戶和超級(jí)用戶的使用IS內(nèi)的職責(zé)分其錯(cuò)誤或行為的可能性，職責(zé)分離是和預(yù)防行為的重要方式。資產(chǎn)的職責(zé)分離控，交易是用戶部門的職責(zé)是指對(duì)部門中人員授予一定程度的職責(zé)水平。管理層和審計(jì)應(yīng)當(dāng)定期進(jìn)行檢查，以發(fā)現(xiàn)非交易記錄。，對(duì)數(shù)據(jù)的控制是通過(guò)在用戶場(chǎng)所和IPF綜合采用物理層、系統(tǒng)層及應(yīng)用層安全措施組成的。必須保護(hù)物理環(huán)境，以防止非人員與處理單元連接的各種物理設(shè)備。所有員工應(yīng)當(dāng)通過(guò)正式的申請(qǐng)和批準(zhǔn)才被授予特定系統(tǒng)的權(quán)限應(yīng)當(dāng)保留簽字用戶所有例外事項(xiàng)。IS4-5個(gè)人，必須采取補(bǔ)償控制來(lái)降低缺乏職責(zé)分離所帶來(lái)的風(fēng)險(xiǎn)。審計(jì)軌跡：IS審計(jì)師應(yīng)當(dāng)能確定誰(shuí)發(fā)起交易，發(fā)起日期及時(shí)間，數(shù)據(jù)類型，涉及哪些字段，離的小型組織中這種審核尤其重要，可以幫助檢測(cè)錯(cuò)誤或情況。審計(jì)IT未處理的例外報(bào)IT、規(guī)劃和預(yù)算：它們?yōu)镮S環(huán)境的規(guī)劃和管理控制與業(yè)務(wù)的一致提供，安全政策文檔：提供了符合性標(biāo)準(zhǔn)組織對(duì)所有安全風(fēng)險(xiǎn)的立場(chǎng)，指明誰(shuí)對(duì)公司資，IS審計(jì)師理解某個(gè)特定部門或組織的報(bào)告路線，描述了職層次進(jìn)行分組的能力