CISA考試學習指南 能夠獲得CISA證書,就將成為安全領(lǐng)域收入豐厚的專業(yè)人員。 《CISA認證學習指南(第4版) 注冊信息系統(tǒng)審計師》依據(jù)新的ITAF(IT 審計框架)在上一版的基礎(chǔ)上做了細致的更新,列出了術(shù)語的新定 義,新增了ISO標準方面的內(nèi)容。《CISA認證學習指南(第4版) 注冊信息系統(tǒng)審計師》是完整的學習指南,涵蓋所有 CISA考試目標,每章都包含小結(jié)、考試要點、復(fù)習題和答案 涵蓋所有考試目標: 理解策略、標準、指南和程序 規(guī)劃戰(zhàn)略以及完成業(yè)務(wù)流程再造 執(zhí)行審計風險評估 使用OSI模型 管理系統(tǒng)開發(fā)生命周期 實施和運行系統(tǒng) 識別威脅類型 支持業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)
CISA認證學習指南(第4版) 注冊信息系統(tǒng)審計師》是完整的學習指南,涵蓋所有CISA考試目標,每章都包含小結(jié)、考試要點、復(fù)習題和答案。在線學習網(wǎng)站sybextestbanks.wiley.com,有200道練習題,300 多張Flash Card。
作 者 簡 介
David L. Cannon CISA、CCSP,是CertTest培訓中心的創(chuàng)始人,CISA培訓的領(lǐng)軍人物。David在IT運營、安全、系統(tǒng)管理和企業(yè)管理方面有20多年的IT培訓和咨詢經(jīng)驗。他為美國各地提供CISA備考課程。在信息系統(tǒng)審計領(lǐng)域,他備受尊崇。經(jīng)常在重要的安全和審計會議上發(fā)表演講。David撰寫的本書的前幾個版本,在CISA備考指南市場上銷量經(jīng)驗豐富。
目 錄
第1章 審計師成功的秘訣 1
1.1 理解IS審計需求 2
1.1.1 高管瀆職 2
1.1.2 更多法規(guī) 5
1.1.3 基本監(jiān)管目標 6
1.1.4 治理就是領(lǐng)導(dǎo) 7
1.1.5 用途不同的三類數(shù)據(jù) 8
1.1.6 審計結(jié)果揭示真相 9
1.2 理解政策、標準、準則和
過程 10
1.3 理解職業(yè)道德 12
1.3.1 遵守ISACA的職業(yè)道德
規(guī)范 12
1.3.2 防止道德沖突 13
1.4 理解審計的目的 15
1.4.1 審計類型的一般分類 15
1.4.2 確定審計方法的區(qū)別 17
1.4.3 理解審計師的職責 18
1.4.4 審計與評估的對比 18
1.5 區(qū)分審計師和被審計者的
角色 19
1.6 實施審計標準 21
1.6.1 審計標準的來源 21
1.6.2 理解各種審計標準 23
1.6.3 定義實務(wù)的具體法規(guī) 28
1.6.4 進行審計以證明財務(wù)健全 29
1.7 審計師是執(zhí)行職位 30
1.7.1 理解審計師保密的重要性 30
1.7.2 與律師合作 31
1.7.3 與高管合作 32
1.7.4 與IT專家合作 32
1.7.5 保留審計文檔 33
1.7.6 提供良好的溝通和融合 33
1.7.7 理解領(lǐng)導(dǎo)責任 34
1.7.8 規(guī)劃和設(shè)定優(yōu)先次序 35
1.7.9 提供標準參考術(shù)語 36
1.7.10 處理沖突和失敗 37
1.7.11 確定內(nèi)部審計師和外部
審計師的價值 37
1.7.12 理解證據(jù)規(guī)則 37
1.7.13 利益相關(guān)者:確定要采訪的
對象 38
1.8 理解公司的組織結(jié)構(gòu) 39
1.8.1 確定公司組織結(jié)構(gòu)中的
角色 39
1.8.2 確定咨詢公司組織結(jié)構(gòu)中的
角色 41
1.9 本章小結(jié) 42
1.10 考試要點 42
1.11 復(fù)習題 43
第2章 治理 49
2.1 組織控制的戰(zhàn)略規(guī)劃 53
2.1.1 IT指導(dǎo)委員會概述 55
2.1.2 使用平衡計分卡 59
2.1.3 BSC的IT子集 63
2.1.4 解碼IT戰(zhàn)略 63
2.1.5 指定政策 66
2.1.6 項目管理 67
2.1.7 IT戰(zhàn)略的實施規(guī)劃 76
2.1.8 使用COBIT 79
2.1.9 識別發(fā)包位置 80
2.1.10 進行高管績效評審 84
2.1.11 理解審計師在戰(zhàn)略中的
利益 84
2.2 戰(zhàn)術(shù)管理概述 85
2.3 規(guī)劃和績效 85
2.3.1 管理控制方法 86
2.3.2 風險管理 89
2.3.3 實施標準 91
2.3.4 人力資源 92
2.3.5 系統(tǒng)生命周期管理 94
2.3.6 連續(xù)性計劃 94
2.3.7 保險 95
2.4 業(yè)務(wù)流程重組概述 95
2.4.1 為什么進行業(yè)務(wù)流程重組 95
2.4.2 BPR方法學 96
2.4.3 天才還是瘋子? 96
2.4.4 BPR的目標 97
2.4.5 BPR的指導(dǎo)原則 97
2.4.6 BPR的知識需求 98
2.4.7 BPR技術(shù) 98
2.4.8 BPR的應(yīng)用步驟 99
2.4.9 IS在BPR中的角色 100
2.4.10 業(yè)務(wù)流程文檔 101
2.4.11 BPR數(shù)據(jù)管理技術(shù) 101
2.4.12 將基準比較作為一個BPR
工具 102
2.4.13 使用業(yè)務(wù)影響分析 103
2.4.14 BPR項目的風險評估 104
2.4.15 BPR的實際應(yīng)用 106
2.4.16 BPR的實用選擇方法 108
2.4.17 BPR問題排除 109
2.4.18 理解審計師對戰(zhàn)術(shù)管理的
興趣 109
2.5 運營管理 110
2.5.1 維持運營 110
2.5.2 跟蹤實際績效 110
2.5.3 控制變更 111
2.5.4 理解審計師對運營交付的
興趣 111
2.6 本章小結(jié) 112
2.7 考試要點 112
2.8 復(fù)習題 113
第3章 審計流程 117
3.1 了解審計程序 118
3.1.1 審計程序的目標和范圍 119
3.1.2 審計項目范圍 120
3.1.3 審計程序責任 121
3.1.4 審計程序資源 121
3.1.5 審計程序過程 122
3.1.6 審計程序?qū)嵤?123
3.1.7 審計程序記錄 123
3.1.8 審計程序監(jiān)控與回顧 124
3.1.9 規(guī)劃專項審計 125
3.2 建立和批準審計章程 127
3.3 預(yù)規(guī)劃具體審計 129
3.3.1 了解審計的多樣性 130
3.3.2 識別范圍上的限制 133
3.3.3 收集詳細的審計需求 134
3.3.4 用系統(tǒng)化方法制定計劃 135
3.3.5 比較傳統(tǒng)審計評估和
自評估 137
3.4 開展審計風險評估 138
3.5 確定是否具備可審計性 139
3.5.1 識別風險戰(zhàn)略 140
3.5.2 確定審計的可行性 142
3.6 執(zhí)行審計 143
3.6.1 選擇審計團隊 143
3.6.2 評估審計師并確定其勝任
能力 143
3.6.3 審計質(zhì)量控制 145
3.6.4 建立與被審核方的聯(lián)系 146
3.6.5 與被審核方的初步聯(lián)系 147
3.6.6 利用數(shù)據(jù)收集技術(shù) 149
3.6.7 文檔審核 150
3.6.8 理解內(nèi)控的層次 151
3.6.9 審查現(xiàn)存控制 153
3.6.10 準備審計計劃 156
3.6.11 給審計團隊分配工作 157
3.6.12 準備工作文檔 157
3.6.13 開展現(xiàn)場審計 158
3.7 收集審計證據(jù) 159
3.7.1 用證據(jù)證明觀點 159
3.7.2 理解證據(jù)類型 159
3.7.3 抽選審計樣本 160
3.7.4 認識典型的信息系統(tǒng)審計
證據(jù) 161
3.7.5 使用計算機輔助審計
工具 161
3.7.6 理解電子證物 164
3.7.7 證據(jù)的等級 165
3.7.8 證據(jù)的時間 166
3.7.9 證據(jù)的生命周期 167
3.8 開展審計證據(jù)測試 169
3.8.1 符合性測試 170
3.8.2 實質(zhì)性測試 170
3.8.3 可容忍錯誤率 171
3.8.4 記錄測試結(jié)果 171
3.9 生成審計發(fā)現(xiàn)結(jié)果 172
3.9.1 檢測違規(guī)和違法行為 172
3.9.2 違法違規(guī)行為的跡象 173
3.9.3 對違規(guī)或違法行為的響應(yīng) 173
3.9.4 審計范圍之外發(fā)現(xiàn)的問題 174
3.10 報告審計發(fā)現(xiàn) 174
3.10.1 批準和分發(fā)審計報告 176
3.10.2 識別被忽略的過程 176
3.11 開展后續(xù)工作(關(guān)閉會議) 176
3.12 本章小結(jié) 177
3.13 考試要點 177
3.14 復(fù)習題 179
第4章 網(wǎng)絡(luò)技術(shù)基礎(chǔ) 185
4.1 了解計算機體系結(jié)構(gòu)的區(qū)別 186
4.2 選擇好的系統(tǒng) 190
4.2.1 識別各種操作系統(tǒng) 190
4.2.2 選擇好的計算機類型 192
4.2.3 比較計算機能力 195
4.2.4 確保系統(tǒng)控制 196
4.2.5 處理數(shù)據(jù)存儲 197
4.2.6 使用接口和端口 202
4.3 操作系統(tǒng)互連模型(OSI
介紹 204
4.3.1 及時層:物理層 206
4.3.2 第二層:數(shù)據(jù)鏈路層 206
4.3.3 第三層:網(wǎng)絡(luò)層 208
4.3.4 第四層:傳輸層 214
4.3.5 第五層:會話層 214
4.3.6 第六層:表示層 215
4.3.7 第七層:應(yīng)用層 215
4.3.8 理解計算機如何通信 216
4.4 理解物理網(wǎng)絡(luò)設(shè)計 217
4.5 理解網(wǎng)絡(luò)電纜拓撲 218
4.5.1 總線拓撲 218
4.5.2 星形拓撲 219
4.5.3 環(huán)形拓撲 220
4.5.4 網(wǎng)狀網(wǎng)絡(luò) 220
4.6 區(qū)分網(wǎng)絡(luò)電纜類型 221
4.6.1 同軸電纜 222
4.6.2 非屏蔽雙絞線 222
4.6.3 光纖電纜 223
4.7 連接網(wǎng)絡(luò)設(shè)備 224
4.8 使用網(wǎng)絡(luò)服務(wù) 226
4.8.1 域名系統(tǒng) 227
4.8.2 動態(tài)主機配置協(xié)議 228
4.9 擴展網(wǎng)絡(luò) 229
4.9.1 使用電話電路 230
4.9.2 網(wǎng)絡(luò)防火墻 233
4.9.3 遠程VPN訪問 238
4.9.4 使用無線接入解決方案 242
4.9.5 防火墻保護無線網(wǎng)絡(luò) 244
4.9.6 遠程撥號訪問 245
4.9.7 WLAN傳輸安全 246
4.9.8 實現(xiàn)802.11i RSN無線
安全 248
4.9.9 入侵檢測系統(tǒng) 248
4.9.10 總結(jié)各種區(qū)域網(wǎng) 251
4.10 使用軟件即服務(wù) 252
4.10.1 優(yōu)點 252
4.10.2 缺點 253
4.10.3 云計算 254
4.11 網(wǎng)絡(luò)管理基礎(chǔ) 254
4.11.1 自動局域網(wǎng)電纜測
試儀 255
4.11.2 協(xié)議分析器 255
4.11.3 遠程監(jiān)控協(xié)議第2版 257
4.12 本章小結(jié) 257
4.13 考試要點 258
4.14 復(fù)習題 259
第5章 信息系統(tǒng)生命周期 265
5.1 軟件開發(fā)中的治理 266
5.2 軟件質(zhì)量管理 267
5.2.1 能力成熟度模型 267
5.2.2 標準化國際組織 269
5.2.3 典型的商業(yè)記錄分類方法 273
5.3 執(zhí)行指導(dǎo)委員會概述 274
5.3.1 識別關(guān)鍵成功因素 274
5.3.2 使用場景分析法 274
5.3.3 整合軟件與業(yè)務(wù)需求 275
5.4 變更管理 278
5.5 軟件項目的管理 278
5.5.1 選擇一種方法 278
5.5.2 采用傳統(tǒng)的項目管理方法 279
5.6 系統(tǒng)開發(fā)生命周期概覽 282
5.6.1 階段1:可行性研究 285
5.6.2 階段2:需求定義 288
5.6.3 階段3:系統(tǒng)設(shè)計 291
5.6.4 階段4:開發(fā) 295
5.6.5 階段5:實施 305
5.6.6 階段6:實施完成后的
工作 311
5.6.7 階段7:處置 312
5.7 數(shù)據(jù)架構(gòu)概覽 313
5.7.1 數(shù)據(jù)庫 313
5.7.2 數(shù)據(jù)庫事務(wù)的完整性 317
5.8 決策支持系統(tǒng) 318
5.8.1 演示決策支持數(shù)據(jù) 319
5.8.2 使用人工智能 319
5.9 程序架構(gòu) 320
5.10 集中式與分布式 320
5.11 電子商務(wù) 320
5.12 本章小結(jié) 322
5.13 考試要點 322
5.14 復(fù)習題 323
第6章 系統(tǒng)實施與運營 329
6.1 IT服務(wù)的性質(zhì) 330
6.2 IT運營管理 332
6.2.1 滿足IT職能目標 332
6.2.2 運用信息技術(shù)基礎(chǔ)設(shè)施庫 333
6.2.3 支持IT目標 335
6.2.4 理解人員的角色和職責 335
6.2.5 使用指標 340
6.2.6 評估幫助臺 342
6.2.7 服務(wù)等級管理 342
6.2.8 IT職能外包 343
6.3 容量管理 345
6.4 行政保護 345
6.4.1 信息安全管理 346
6.4.2 IT安全治理 347
6.4.3 數(shù)據(jù)角色的權(quán)利 347
6.4.4 數(shù)據(jù)保留要求 348
6.4.5 記錄物理訪問路徑 349
6.4.6 人員管理 349
6.4.7 物理資產(chǎn)管理 351
6.4.8 補償控制 353
6.5 問題管理 353
6.5.1 突發(fā)事件處理 354
6.5.2 數(shù)字取證 356
6.6 監(jiān)視控制狀態(tài) 358
6.6.1 系統(tǒng)監(jiān)控 359
6.6.2 記錄邏輯訪問路徑 360
6.6.3 系統(tǒng)訪問控制 361
6.6.4 數(shù)據(jù)文件控制 364
6.6.5 應(yīng)用程序處理控制 365
6.6.6 日志管理 366
6.6.7 防病毒軟件 367
6.6.8 活動內(nèi)容和移動軟件代碼 367
6.6.9 維護控制 370
6.7 實施物理防護 372
6.7.1 數(shù)據(jù)處理的位置 374
6.7.2 環(huán)境控制 375
6.7.3 安全介質(zhì)存放 381
6.8 本章小結(jié) 382
6.9 考試要點 383
6.10 復(fù)習題 384
第7章 保護信息資產(chǎn) 389
7.1 了解威脅 390
7.1.1 識別威脅和計算機犯罪的
類型 391
7.1.2 識別犯罪者 394
7.1.3 了解攻擊方法 397
7.1.4 實施管理防護 406
7.2 使用技術(shù)保護 408
7.2.1 技術(shù)保護分類 408
7.2.2 應(yīng)用軟件控制 410
7.2.3 身份驗證方法 411
7.2.4 網(wǎng)絡(luò)訪問保護 423
7.2.5 加密方法 425
7.2.6 公鑰架構(gòu) 430
7.2.7 網(wǎng)絡(luò)安全協(xié)議 435
7.2.8 電話安全 439
7.2.9 技術(shù)安全測試 440
7.3 本章小結(jié) 440
7.4 考試要點 441
7.5 復(fù)習題 442
第8章 業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù) 447
8.1 戳穿神話 448
8.1.1 神話1:設(shè)備設(shè)施至關(guān)
重要 448
8.1.2 神話2:IT系統(tǒng)設(shè)備至關(guān)
重要 449
8.1.3 從神話到現(xiàn)實 449
8.2 了解業(yè)務(wù)連續(xù)性中的五個沖突
領(lǐng)域 449
8.3 定義災(zāi)難恢復(fù) 450
8.3.1 財務(wù)挑戰(zhàn) 451
8.3.2 品牌價值 451
8.3.3 災(zāi)后重建 452
8.4 定義業(yè)務(wù)連續(xù)性的目的 453
8.5 業(yè)務(wù)連續(xù)性與其他計劃聯(lián)合 455
8.5.1 識別業(yè)務(wù)連續(xù)性實踐 456
8.5.2 識別管理方法 457
8.5.3 遵循程序管理方法 459
8.6 理解業(yè)務(wù)連續(xù)性程序的5個
階段 459
8.6.1 階段1:建立BC程序 459
8.6.2 階段2:發(fā)現(xiàn)過程 463
8.6.3 階段3:計劃開發(fā) 468
8.6.4 階段4:計劃實施 484
8.6.5 階段5:維護與整合 486
8.7 理解審計師在業(yè)務(wù)連續(xù)性/
災(zāi)難恢復(fù)計劃中的關(guān)注點 487
8.8 本章小結(jié) 487
8.9 考試要點 488
8.10 復(fù)習題 489
附錄 復(fù)習題答案 49
