《cisa知识体系讲解》由会员分享,可在线阅读,更多相关《cisa知识体系讲解(41页珍藏版)》请在金锄头文库上搜索。
1、第一部分 信息系统审计程序n1.1 ISACA 发布的信息系统审计标准、准则、程序和职业道德规 范n1.2 IS 审计实务和技术n1.3 收集信息和保存证据的技术(如观察、调查问卷、谈话、计 算机辅助审计技术、电子介质)n1.4 证据的生命周期(如证据的收集、保护和证据之间的相关性 )n1.5 与信息系统相关的控制目标和控制(如CobiT 模型)n1.6 审计过程中的风险评估n1.7 审计计划和管理技术n1.8 报告和沟通技术(如推进、商谈、解决冲突)n1.9 控制自我评估(CSA)n1.10 不间断审计技术(即:连续审计技术)第二部分 IT 治理(信息技术治理)n2.1 IT 战略、政策、标
2、准和程序对于组织的意义,及其基本要素n2.2 IT 治理框架(体系)n2.3 制定、实施和维护IT 战略、政策、标准和程序的流程。如: 信息资产的保护、业务持续和灾难恢复、系统和基础建设生命周 期、IT 服务交付与支持n2.4 质量管理战略和政策n2.5 与IT 使用和管理相关的组织结构、角色和职责。n2.6 公认的国际IT 标准和准则(指导)。n2.7 制订长期战略方向的企业所需的IT 体系及其内容n2.8 风险管理方法和工具n2.9 控制框架(模型)的使用,如:CobiT、COSO、ISO 17799 等控 制模型。n2.10 成熟度和流程改进模型(如:CMM、CobiT)的使用。第二部分
3、 IT 治理(信息技术治理)n2.11 签约战略、程序和合同管理实务。n2.12 IT 绩效的监督和报告实务n2.13 有关的法律、规章等问题(如:保密法/隐私法、 知识产权、公司治理的要求)n2.14 IT 人力资源管理n2.15 IT 资源投资和配置实务(如:投资的资产管理回 报)第三部分 系统和基础建设生命 周期管理n3.1 收益管理实务(例如:可行性研究、业务案例)n3.2 项目治理机制,如:项目指导委员会、项目监督委员会n3.3 项目管理实务、工具和控制框架n3.4 用于项目管理上的风险管理实务n3.5 项目成功的原则和风险n3.6 涉及开发、维护系统(和/或体系)的配置、变更和(发
4、布的)版 本管理n3.7 确保IT 系统应用的交易和数据的完整性、准确性、有效性和 授权的控制目标和技术n3.8 关于数据、应用和技术的企业框架n3.9 需求分析和管理实务,如:需求验证、跟踪(可追溯)、差距分 析n3.10 采购和合同管理程序,如:评估供应商、签合同准备、供应 商管理、由第三方保存附带条件委付的契约(escrow)。第三部分 系统和基础建设生命 周期管理n3.11 系统开发方法和工具,以及它们的优缺点。例如 ,敏捷开发实务,原型、快速应用开发(RAD),面向对 象的设计技术。n3.12 质量保证方法n3.13 测试流程的管理,如,测试战略、测试计划、测 试环境、启用和关闭(测
5、试)的标准。n3.14 数据转换工具、技术和程序。第四部分 IT 服务的交付与支持n4.1 服务的等级(或水平)管理实务n4.2 运营管理最佳实务,例如:工作负荷调度、网络服务管理、预防性维护 。n4.3 系统性能(或效能)监控程序、工具和技术。例如:网络分析器、系统利 用率报告、负载均衡n4.4 硬件和网络设备的功能。如:路由器、交换机、防火墙和外围设备n4.5 数据库管理实务n4.6 操作系统、工具软件和数据库管理系统(例如,关系型数据库:Oracle、 PostgreSQL)等系统软件的功能。n4.7 生产能力计划和监控技术n4.8 对生产系统(或体系)的应急变更和调度管理程序,包括变更
6、、配置、(版 本)发布和补丁管理实务。n4.9 (生产)事件/问题管理实务。如,帮助台(负责电话受询,提供一般性技 术救援)、(逐级)上报程序和(技术)追踪。n4.10 软件许可证和(其总量)清单管理实务。n4.11 系统弹性之工具和技术,例如:容错硬件、单点失效的排除、(服务器 )群集(或矩阵)。第五部分 信息资产的保护n5.1 (信息系统的)安全(措施的)设计、实施和监控技术。如:威胁和风险评 估、敏感性分析、泄密评估n5.2 用户使用授权的功能和数据时,识别、签订和约束等逻辑访问控制。 例如:动态密码、询问/应答、(配置)菜单、(用户)资料信息。n5.3 逻辑访问安全体系。如:单点登陆(
7、SSO)、用户识别策略、标识(身份) 管理。n5.4 攻击方法和技术。如:黑客、欺骗、特络伊木马、拒绝服务、垃圾电 子邮件。n5.5 对安全事件的监测和响应程序。如:上报程序、突发事件响应团队n5.6 网络和Internet 安全设备、协议和技术。如:SSL、SET、VPN、NATn5.7 入侵监测系统和防火墙的配置、实施、运行和维护。n5.8 加密算法/技术。如:AES、RSAn5.9 公共密钥结构(PKI)组件(如:CA、RA)和数字签名技术n5.10 病毒监测工具和控制技术第五部分 信息资产的保护n5.11 安全(方案)的测试和评估技术。例如:渗透测试、漏洞扫描n5.12 (生产)环境保
8、护实务和设备。如:火灾压制、冷却系统和水 传感器n5.13 物理安全系统和实务。例如:生物(特征)鉴定、门卡、密码 锁。n5.14 数据分类方案。例如:公开的、保密的、私密的和敏感的数 据。n5.15 语音通讯的安全。如:VoIPn5.16 保密信息资产的采集、存储、使用、传输(或运输)和(退役) 处置程序和流程。n5.17 与使用便携式和无线设备(例如:个人商务通PDA、USB 设 备和蓝牙设备)相关的控制和风险。第六部分 灾难恢复和业务连续 性计划n6.1 数据备份、存储、维护、保留和恢复流程,和实务 。n6.2 业务连续性和灾难恢复有关的法律、规章、协议和 保险问题。n6.3 业务影响分
9、析(BIA)n6.4 开发和维护灾难恢复和业务连续性计划。n6.5 灾难恢复和业务连续性计划测试途径和方法n6.6 与灾难恢复和业务连续性计划有关的人力资源管理 。例如:疏散计划、(紧急)响应团队。n6.7 启用灾难恢复和业务连续性计划的程序(或流程)。n6.8 备用业务处理站点(指场所和设施)的类型,和监督 有关协议/合同的方法。CISA vs. CISSP认证侧重点nCISSPn信息系统安全的管理与实践nCISAn信息系统的控制与审计对应的职业不同nCISSPnConsultant, managementnCISAnAuditor, management考试难度比较n技术深度nCISSPC
10、ISAnCISSP10 domainsnCISA6 domainsn答题压力nCISACISSPnCISSP 6小时 250题nCISA 4小时200题CISA OverviewCISA overviewnCISA and ISACAnCISA认证nCISA考试nCISA考试内容nCISA vs. CISSPCISA and ISACACISA and ISACAnCISAnCertified Information System Auditorn注册信息系统审计师nISACAnInformation Systems Audit and Control Associationn信息系统审计与控
11、制协会ISACAn信息系统审计与控制协会(ISACA)创始于 1967年,当时它是由从事同类职业的人所组成 的小团体计算机系统的审计和控制对他们 各自机构的运作都变得愈发关键因此他们 聚集起来讨论制定信息集中化资源和本领域指 导准则的必要性。在1969年,这个团体正式组 建为EDP 审计师协会。在1976年,这个协会成 立一项教育基金来开展大规模的研究工作,以 拓展信息产业管理与控制领域的知识与价值。ISACAn今天,ISACA在全球有两万八千多名成员,他们的组成 非常具有多元性。这些成员在100多个国家内生活和工 作,并涵盖众多专业信息技术的相关职业,比如信息 系统审计师、顾问、教导员、信息
12、系统安全专家、管 理者、首席信息官和内部审计师等。有些职业是本领 域内新兴的,其他为中级管理人员,另外还有许多人 担任最高级的职位。他们几乎遍及所有行业,包括财 政金融、公共会计、政府与公共部门、公用事业和制 造业。这种多元性使众多成员能够相互学习,并在许 多专业问题上广泛交流彼此的观点。该特点一直被认 为是ISACA的强势之一。ISACAnISACA的另一个强势就是它的分会网络。 ISACA的分会遍布世界60 多个国家,可 提供成员教育、资源共享、支持、专业 网络,以及其他由当地分会提供的诸多 利益。ISACAn在ISACA创立的三十年来,它已成为一个为信息管理、 控制、安全和审计专业设定规
13、范的全球性组织。n它的信息系统审计和信息系统控制标准为全球执业者 所遵从。它的研究工作针对那些挑战其重要原则的疑 难专业事项。n它的国际信息系统审计师(CISA)认证得到全球的公 认,并有三万多名专业人员得到认证。n它最新推出的国际信息安全经理(CISM)认证特别针 对信息安全管理的审计事务。n它出版了领先于信息控制领域的技术性期刊,即信 息系统控制期刊(Information Systems Control Journal)。n它举办一系列国际性会议,并且把焦点集中于信息系 统保障、控制、安全和信息技术管理专业的技术与管 理主题上。ISACAn唯一有权授予信息系统审计师资格的跨 国界、跨行业
14、专业机构ISACA Webnhttp:/www.isaca.orgCISA认证CISA的工作熟悉信息系统软件、硬件、开发、运营 、维护、管理以及安全熟悉业务运营管理利用规范和相关的审计技术,对信息系 统的安全性、稳定性、有效性进行审计 、检查、评价CISA证书的价值“全球化进展进一步提升了CISA资格证书 的价值,显示了它是真正国际认可的资 历证书。”-美国摩根大通公司,埃内斯托阿吉拉,CISACISA证书的价值n专业认证计划杰出的标志在于持证人提 高了自身的价值并受到了人们的尊重。 自1978年以来,由信息系统审计与控制 协会(ISACA)发起的国际信息系统审计 师(CISA)认证已经成为持
15、证人在信息 系统审计、控制与安全等专业领域中取 得成绩的象征,并逐步发展成全球公认 的标准。最高专业程度的标志n获得CISA资格证书有助于确立您作为一 名合格的信息系统审计、控制和安全专 业人才的声望。不论你是希望提高你的 工作业绩还是得到职务升迁,拥有CISA 资格证书都会使你拥有他人无法企及的 竞争优势。雇主寻求的资历n由于CISA 所认证的个人能够熟练掌握当 今需要的最先进的技能,雇主更愿意雇 用和留住那些达到并能够维持资格证书 所要求水平的人才。CISA资格证书向雇 主保证其雇员已达到工作要求所必需的 最新教育与实践经验。n“CISA 用它的四个字母向未来雇主表明: 我具备扎实的信息系
16、统审计知识与丰富的 经验。CISA 使持证人在市场中占据优势 。”-英国苏格兰皇家银行,罗勃特科里斯,CISA全球的认可n也许本认证对于你当前的工作并不是绝 对必需的,然而越来越多的机构希望员 工得到CISA认证。为了确保你在全球市 场中的成功,选择一个建立在全球认可 技术实务基础上的认证是至关重要的。 CISA所提供的就是这种认证。CISA作为 信息系统审计、控制与安全专业人员的 资格证书,受到全世界所有行业的广泛 认可。得到ISO/IEC 17024:2003标准 的公认 n美国国家标准协会(ANSI)已经按照 ISO/IEC 17024:2003标准对CISA认证计 划进行了鉴证和认可n该标准是对一个团体开展人员认证方面 的总体要求成为CISAn顺利通过CISA的考试;n遵守国际信息系统审计与控制协会的职业道德准则n提供从事信息系统审计、控制与安全工作5年以上经验的证明。 具有下列同等经验,可申请免除该项经验,并应获得如下证明:n1 年以下的信息系统审计、控制与安全工作的经验可用如下资历 相抵:n满1 年的非信息
