CISA考試復習手冊(第28版）

目錄

第1章 信息系統的審計流程 1
概述 2
領域1考試內容大綱 2
學習目標/任務說明 2
深造學習參考資源 2
自我評估問題 2
自我評估問題參考答案 4
A部分：規劃 6
1.1 信息系統審計標準、準則、職能和道德規範 6
1.1.1 ISACA信息系統審計和鑒證標準 6
1.1.2 ISACA信息系統審計和鑒證準則 7
1.1.3 ISACA 職業道德規範 7
1.1.4 ITAF TM 7
1.1.5 信息系統內部審計職能 7
1.2 審計類型、評估和審查 9
1.2.1 控制自我評估 10
1.2.2 整合審計 11
1.3 基於風險的審計規劃 12
1.3.1 單項審計任務 12
1.3.2 法律法規對信息系統審計規劃的影響 13
1.3.3 審計風險和重要性 15
1.3.4 風險評估 15
1.3.5 信息系統審計風險評估技術 15
1.3.6 風險分析 16
1.4 控制類型和考慮因素 16
1.4.1 內部控制 16
1.4.2 控制目標和控制措施 16
1.4.3 控制分類 19
1.4.4 控制與風險的關系 21
1.4.5 規定性控制和框架 21
1.4.6 控制環境評估 22
B部分：執行 23
1.5 審計項目管理 23
1.5.1 審計目標 23
1.5.2 審計階段 23
1.5.3 審計方案 25
1.5.4 審計工作底稿 26
1.5.5 欺詐、違規和非法行為 26
1.5.6 敏捷審計 26
1.6 審計測試和抽樣方法 28
1.6.1 符合性與實質性測試 28
1.6.2 抽樣 29
1.7 審計證據搜集技巧 31
1.7.1 面談和觀察員工以瞭解其職責履行情況 33
1.8 審計數據分析 33
1.8.1 電腦輔助審計技術 34
1.8.2 持續審計和監控 35
1.8.3 持續審計技術 36
1.8.4 信息系統審計中的人工智能 37
1.9 報告和溝通技巧 39
1.9.1 溝通審計結果 39
1.9.2 審計報告目標 40
1.9.3 審計報告的結構與內容 40
1.9.4 審計記錄 41
1.9.5 跟進活動 42
1.9.6 信息系統審計報告的類型 42
1.10 質量保證和審計流程改進 42
1.10.1 審計委員會監督 42
1.10.2 審計質量保證 42
1.10.3 審計團隊培訓與發展 42
1.10.4 監控 42
案例研究 44
案例研究相關問題參考答案 46
第2章 IT治理與管理 47
概述 48
領域2考試內容大綱 48
學習目標/任務說明 48
深造學習參考資源 49
自我評估問題 49
自我評估問題參考答案 51
A部分：IT治理 53
2.1 法律、法規和行業標準 53
2.1.1 法律、法規和行業標準對信息系統審計的影響 53
2.1.2 治理、風險與合規性 54
2.2 組織結構、IT治理和IT戰略 54
2.2.1 企業信息和技術治理 55
2.2.2 EGIT的良好實踐 56
2.2.3 EGIT中的審計角色 56
2.2.4 信息安全治理 57
2.2.5 信息系統策略 59
2.2.6 戰略規劃 59
2.2.7 商業智能 60
2.2.8 組織結構 62
2.2.9 審計IT治理結構與實施 72
2.3 IT政策、標準、程序和準則 72
2.3.1 政策 73
2.3.2 標準 74
2.3.3 程序 75
2.3.4 準則 75
2.4 企業架構和註意事項 75
2.5 企業風險管理 76
2.5.1 開發風險管理方案 77
2.5.2 風險管理生命周期 77
2.5.3 風險分析方法 80
2.6 數據隱私方案和原則 80
2.6.1 隱私記錄 81
2.6.2 審計流程 84
2.7 數據治理和分類 84
2.7.1 數據清單和分類 85
2.7.2 法律目的、同意和合法權益 85
2.7.3 數據主體的權利 87
B部分：IT管理 88
2.8 IT資源管理 88
2.8.1 IT的價值 88
2.8.2 實施IT組合管理 88
2.8.3 IT管理實務 88
2.8.4 人力資源管理 88
2.8.5 企業變更管理 91
2.8.6 財務管理實務 91
2.8.7 信息安全管理 92
2.9 IT供應商管理 93
2.9.1 資源開發實務 93
2.9.2 外包實務與戰略 94
2.9.3 雲治理 97
2.9.4 外包中的治理 97
2.9.5 容量和發展規劃 98
2.9.6 第三方服務交付管理 98
2.10 IT性能監控與報告 99
2.10.1 關鍵績效指標 99
2.10.2 關鍵風險指標 99
2.10.3 關鍵控制指標 99
2.10.4 績效優化 100
2.10.5 方法和技術 101
2.11 IT質量保證和質量管理 103
2.11.1 質量保證 103
2.11.2 質量管理 104
2.11.3 卓越運營 104
案例研究 105
案例研究相關問題參考答案 106
第3章 信息系統的購置、開發與實施 107
概述 108
領域 3 考試內容大綱 108
學習目標/任務說明 108
深造學習參考資源 108
自我評估問題 108
自我評估問題參考答案 110
A部分：信息系統的購置與開發 112
3.1 項目治理和管理 112
3.1.1 項目管理實務 112
3.1.2 項目管理結構 112
3.1.3 項目管理角色和職責 113
3.1.4 項目管理技術 113
3.1.5 項目組合/項目集管理 115
3.1.6 項目管理辦公室 116
3.1.7 項目效益實現 117
3.1.8 項目開始 118
3.1.9 項目目標 118
3.1.10 項目規劃 119
3.1.11 項目執行 123
3.1.12 項目控制和監控 123
3.1.13 項目收尾 123
3.1.14 信息系統審計師在項目管理中的角色 124
3.2 業務案例和可行性分析 124
3.2.1 信息系統審計師在業務案例開發中的角色 125
3.3 系統開發方法 126
3.3.1 業務應用程序開發 126
3.3.2 SDLC模型 126
3.3.3 SDLC 階段 128
3.3.4 信息系統審計師在 SDLC 項目管理中的角色 136
3.3.5 軟件開發方法 136
3.3.6 系統開發工具和生產力輔助設備 142
3.3.7 基礎架構開發/購置實務 144
3.3.8 硬件/軟件購置 147
3.3.9 系統軟件購置 149
3.4 控制識別和設計 151
3.4.1 應用控制 151
3.4.2 輸出控制 155
B部分：信息系統實施 158
3.5 系統準備和實施測試 158
3.5.1 測試分類 158
3.5.2 軟件測試 160
3.5.3 數據完整性測試 160
3.5.4 應用程序系統測試 161
3.5.5 系統實施 163
3.6 實施配置和管理 164
3.6.1 配置管理系統 164
3.7 系統遷移、基礎設施部署和數據轉換 165
3.7.1 數據遷移 165
3.7.2 轉換（上線或切換）技術 167
3.7.3 系統變更程序和程序遷移流程 168
3.7.4 系統軟件實施 169
3.7.5 認證/認可 169
3.8 實施後分析 169
3.8.1 信息系統審計師在實施後審查中的角色 170
案例研究 172
案例研究相關問題參考答案 174
第4章 信息系統的運營和業務恢復能力 175
概述 176
領域4 考試內容大綱 176
學習目標/任務說明 176
深造學習參考資源 176
自我評估問題 177
自我評估問題參考答案 179
A部分：信息系統運營 181
4.1 IT組件 181
4.1.1 網絡 182
4.1.2 電腦硬件組件和架構 192
4.1.3 常用的企業後端設備 193
4.1.4 USB大容量存儲設備 194
4.1.5 無線通信技術 196
4.1.6 硬件維護程序 196
4.1.7 硬件審查 197
4.2 IT資產管理 198
4.3 作業調度和生產流程自動化 198
4.3.1 作業調度軟件 198
4.3.2 日程審查 198
4.4 系統接口 199
4.4.1 與系統接口相關的風險 200
4.4.2 與系統接口相關的控制 200
4.5 最終用戶計算和影子IT 201
4.5.1 最終用戶計算 201
4.5.2 影子IT 202
4.6 系統可用性和容量管理 202
4.6.1 信息系統架構和軟件 202
4.6.2 操作系統 203
4.6.3 訪問控制軟件 204
4.6.4 數據通信軟件 204
4.6.5 實用程序 206
4.6.6 軟件許可問題 206
4.6.7 源代碼管理 207
4.6.8 容量管理 208
4.7 問題和事故管理 209
4.7.1 問題管理 209
4.7.2 事故處理過程 209
4.7.3 異常情況的檢測、記錄、控制、解決和報告 209
4.7.4 技術支持/客戶服務部門 210
4.7.5 網絡管理工具 210
4.7.6 問題管理報告審查 211
4.8 IT變更、配置和修補程序管理 212
4.8.1 修補程序管理 212
4.8.2 發行管理 212
4.8.3 信息系統運營 213
4.9 運營日誌管理 215
4.9.1 日誌類型 215
4.9.2 日誌管理 216
4.10 IT服務水平管理 218
4.10.1 服務等級協議 219
4.10.2 服務水平監控 220
4.10.3 服務水平與企業架構 220
4.11 數據庫管理 220
4.11.1 DBMS結構 220
4.11.2 數據庫結構 221
4.11.3 數據庫控制 224
4.11.4 數據庫審查 224
B部分：業務恢復能力 226
4.12 業務影響分析 226
4.12.1 運營和關鍵性分析分類 227
4.13 系統和運營恢復能力 228
4.13.1 應用程序恢復能力和災難恢復方法 228
4.13.2 電信網絡恢復能力和災難恢復方法 229
4.14 數據備份、存儲和恢復 230
4.14.1 數據存儲恢復能力和災難恢復方法 230
4.14.2 備份與恢復 230
4.14.3 備份方案 233
4.15 業務持續計劃 235
4.15.1 IT業務持續計劃 236
4.15.2 災難和其他破壞性事件 237
4.15.3 業務持續計劃流程 238
4.15.4 業務連續性政策 238
4.15.5 業務持續計劃事故管理 239
4.15.6 制訂業務持續計劃 240
4.15.7 計劃制訂過程中的其他問題 240
4.15.8 業務持續計劃的構成要素 241
4.15.9 計劃測試 243
4.15.10 業務連續性管理良好實踐 245
4.15.11 審計業務連續性 245
4.16 災難恢復計劃 248
4.16.1 恢復點目標、恢復時間目標和平均修復時間 248
4.16.2 恢復策略 249
4.16.3 恢復備選方案 250
4.16.4 災難恢復計劃的制訂 252
4.16.5 災難恢復測試方法 254
4.16.6 調用災難恢復計劃 256
案例研究 257
案例研究相關問題參考答案 258
第5章 信息資產的保護 259
概述 260
領域5考試內容大綱 260
學習目標/任務說明 260
深造學習參考資源 260
自我評估問題 261
自我評估問題參考答案 263
A部分：信息資產安全和控制 265
5.1 信息資產安全政策、框架、標準和準則 265
5.1.1 信息資產安全政策、程序和準則 265
5.1.2 信息安全框架和標準 267
5.1.3 信息安全基準指標 267
5.2 物理與環境控制 270
5.2.1 環境風險暴露和控制 271
5.2.2 物理訪問風險暴露和控制 274
5.2.3 工業控制系統安全 276
5.3 身份和訪問管理 278
5.3.1 身份和訪問管理 278
5.3.2 身份認證、授權和問責制 281
5.3.3 零信任架構 284
5.3.4 特權訪問管理 285
5.3.5 目錄服務 287
5.3.6 身份治理和管理 287
5.3.7 身份即服務 288
5.3.8 系統訪問權限 289
5.3.9 訪問控制的類型 290
5.3.10 信息安全和外部相關方 290
5.3.11 數字版權管理 293
5.3.12 邏輯訪問 295
5.3.13 訪問控制軟件 296
5.3.14 登錄ID和密碼 297
5.3.15 遠程訪問安全 299
5.3.16 生物特徵識別 299
5.3.17 邏輯訪問控制的命名約定 302
5.3.18 聯合身份管理 302
5.3.19 審計邏輯訪問 305
5.4 網絡和終端安全 306
5.4.1 信息系統網絡基礎架構 306
5.4.2 企業網絡架構 306
5.4.3 網絡類型 307
5.4.4 網絡服務 307
5.4.5 網絡標準和協議 308
5.4.6 虛擬私有網絡 308
5.4.7 網絡連接存儲 310
5.4.8 內容交付網絡 311
5.4.9 網絡時間協議 313
5.4.10 聯網環境中的應用程序 314
5.4.11 網絡基礎設施安全性 316
5.4.12 防火牆 317
5.4.13 統一威脅管理 322
5.4.14 網絡分段 323
5.4.15 終端安全 325
5.5 數據丟失防護 327
5.5.1 DLP的類型 327
5.5.2 數據丟失風險 327
5.5.3 DLP 解決方案和數據狀態 329
5.5.4 DLP控制 329
5.5.5 DLP內容分析方法 330
5.5.6 DLP部署最佳實踐 331
5.5.7 DLP風險、限制和考慮因素 331
5.6 數據加密 332
5.6.1 加密系統的要素 332
5.6.2 鏈路加密和端到端加密 334
5.6.3 對稱密鑰加密系統 334
5.6.4 公共（非對稱）密鑰加密系統 335
5.6.5 橢圓曲線加密算法 336
5.6.6 量子密碼學 336
5.6.7 同態加密 336
5.6.8 數字簽名 337
5.6.9 數字信封 338
5.6.10 加密系統的應用 338
5.6.11 Kerberos 339
5.6.12 安全外殼 340
5.6.13 域名系統安全擴展 341
5.6.14 電子郵件安全 341
5.6.15 加密審計程序 343
5.7 公鑰基礎設施 344
5.7.1 數字證書 344
5.7.2 密鑰管理 344
5.7.3 證書取消 344
5.7.4 證書取消清單 345
5.7.5 PKI基礎設施風險 346
5.7.6 PKI審計程序 346
5.8 雲和虛擬化環境 346
5.8.1 虛擬化 347
5.8.2 虛擬電路 350
5.8.3 虛擬局域網 350
5.8.4 虛擬存儲區域網絡 350
5.8.5 軟件定義網絡 351
5.8.6 容器化 353
5.8.7 安全雲遷移 355
5.8.8 責任共擔模型 357
5.8.9 雲環境中的關鍵風險 358
5.8.10 DevSecOps 359
5.9 移動、無線和物聯網設備 360
5.9.1 移動計算 360
5.9.2 移動設備威脅 361
5.9.3 移動設備控制 361
5.9.4 移動設備管理 362
5.9.5 自帶設備 364
5.9.6 移動設備上的互聯網訪問 364
5.9.7 移動設備審計程序 365
5.9.8 移動支付系統 366
5.9.9 無線網絡 368
5.9.10 物聯網 371
B部分：安全事件管理 374
5.10 安全意識培訓和方案 374
5.10.1 信息安全學習連續體 374
5.10.2 安全意識、培訓和教育方案的好處 375
5.10.3 安全意識、培訓和教育的方法 375
5.10.4 成功安全意識培訓和教育方案的條件 375
5.10.5 開展需求評估 376
5.10.6 實施安全意識和培訓方案 376
5.11 信息系統攻擊方法和技術 378
5.11.1 欺詐風險因素 378
5.11.2 電腦犯罪問題和風險暴露 378
5.11.3 互聯網威脅和安全 384
5.11.4 惡意軟件 385
5.11.5 勒索軟件 387
5.12 安全測試工具和技術 389
5.12.1 安全測試的目標 389
5.12.2 安全評估和安全審計 389
5.12.3 漏洞評估 390
5.12.4 滲透測試 390
5.12.5 威脅準備/信息安全團隊 393
5.12.6 安全測試技術 394
5.12.7 安全運營中心 394
5.12.8 安全測試審計程序 395
5.13 安全監控日誌、工具和技術 397
5.13.1 信息安全監控 397
5.13.2 入侵檢測系統 398
5.13.3 入侵防禦系統 399
5.13.4 監控系統訪問時的審計記錄 400
5.13.5 保護日誌數據 402
5.13.6 安全信息和事件管理 402
5.13.7 安全監控工具 405
5.14 安全事故響應管理 405
5.14.1 事故響應流程 405
5.14.2 電腦安全事故響應團隊 406
5.14.3 事故響應計劃 407
5.14.4 安全編排、自動化和響應 407
5.15 證據搜集和取證 409
5.15.1 調查類型 409
5.15.2 電腦取證的類型 409
5.15.3 電腦取證階段 410
5.15.4 審計註意事項 410
5.15.5 電腦取證技術 411
5.15.6 電腦取證工具 412
5.15.7 監管鏈 413
5.15.8 保護數字證據的最佳實踐 413
案例研究 415
案例研究相關問題參考答案 416
附錄A CISA考試一般信息 417
成功完成CISA考試 418
在信息系統審計、控制和安全方面的工作經驗 418
考試介紹 418
報名參加CISA考試 418
CISA方案再次通過ISO/IEC 17024:2012鑒定 418
預約安排考試日期 419
考試入場 419
安排時間 419
考試評分 419
附錄B CISA工作實務 421
知識領域 422
信息系統的審計流程 422
IT治理與管理 422
信息系統的購置、開發與實施 422
信息系統的運營和業務恢復能力 422
信息資產的保護 423
次要分類—任務 423
術語表 425
首字母縮略詞 438