最新最全的CISA知識體系講解.ppt

第一部分信息系統(tǒng)審計程序 1 1ISACA發(fā)布的信息系統(tǒng)審計標準 準則 程序和職業(yè)道德規(guī)范1 2IS審計實務(wù)和技術(shù)1 3收集信息和保存證據(jù)的技術(shù) 如觀察 調(diào)查問卷 談話 計算機輔助審計技術(shù) 電子介質(zhì) 1 4證據(jù)的生命周期 如證據(jù)的收集 保護和證據(jù)之間的相關(guān)性 1 5與信息系統(tǒng)相關(guān)的控制目標和控制 如CobiT模型 1 6審計過程中的風險評估1 7審計計劃和管理技術(shù)1 8報告和溝通技術(shù) 如推進 商談 解決沖突 1 9控制自我評估 CSA 1 10不間斷審計技術(shù) 即 連續(xù)審計技術(shù) 第二部分IT治理 信息技術(shù)治理 2 1IT戰(zhàn)略 政策 標準和程序?qū)τ诮M織的意義 及其基本要素2 2IT治理框架 體系 2 3制定 實施和維護IT戰(zhàn)略 政策 標準和程序的流程 如 信息資產(chǎn)的保護 業(yè)務(wù)持續(xù)和災(zāi)難恢復(fù) 系統(tǒng)和基礎(chǔ)建設(shè)生命周期 IT服務(wù)交付與支持2 4質(zhì)量管理戰(zhàn)略和政策2 5與IT使用和管理相關(guān)的組織結(jié)構(gòu) 角色和職責 2 6公認的國際IT標準和準則 指導(dǎo) 2 7制訂長期戰(zhàn)略方向的企業(yè)所需的IT體系及其內(nèi)容2 8風險管理方法和工具2 9控制框架 模型 的使用 如 CobiT COSO ISO17799等控制模型 2 10成熟度和流程改進模型 如 CMM CobiT 的使用 第二部分IT治理 信息技術(shù)治理 2 11簽約戰(zhàn)略 程序和合同管理實務(wù) 2 12IT績效的監(jiān)督和報告實務(wù)2 13有關(guān)的法律 規(guī)章等問題 如 保密法 隱私法 知識產(chǎn)權(quán) 公司治理的要求 2 14IT人力資源管理2 15IT資源投資和配置實務(wù) 如 投資的資產(chǎn)管理回報 第三部分系統(tǒng)和基礎(chǔ)建設(shè)生命周期管理 3 1收益管理實務(wù) 例如 可行性研究 業(yè)務(wù)案例 3 2項目治理機制 如 項目指導(dǎo)委員會 項目監(jiān)督委員會3 3項目管理實務(wù) 工具和控制框架3 4用于項目管理上的風險管理實務(wù)3 5項目成功的原則和風險3 6涉及開發(fā) 維護系統(tǒng) 和 或體系 的配置 變更和 發(fā)布的 版本管理3 7確保IT系統(tǒng)應(yīng)用的交易和數(shù)據(jù)的完整性 準確性 有效性和授權(quán)的控制目標和技術(shù)3 8關(guān)于數(shù)據(jù) 應(yīng)用和技術(shù)的企業(yè)框架3 9需求分析和管理實務(wù) 如 需求驗證 跟蹤 可追溯 差距分析3 10采購和合同管理程序 如 評估供應(yīng)商 簽合同準備 供應(yīng)商管理 由第三方保存附帶條件委付的契約 escrow 第三部分系統(tǒng)和基礎(chǔ)建設(shè)生命周期管理 3 11系統(tǒng)開發(fā)方法和工具 以及它們的優(yōu)缺點 例如 敏捷開發(fā)實務(wù) 原型 快速應(yīng)用開發(fā) RAD 面向?qū)ο蟮脑O(shè)計技術(shù) 3 12質(zhì)量保證方法3 13測試流程的管理 如 測試戰(zhàn)略 測試計劃 測試環(huán)境 啟用和關(guān)閉 測試 的標準 3 14數(shù)據(jù)轉(zhuǎn)換工具 技術(shù)和程序 第四部分IT服務(wù)的交付與支持 4 1服務(wù)的等級 或水平 管理實務(wù)4 2運營管理最佳實務(wù) 例如 工作負荷調(diào)度 網(wǎng)絡(luò)服務(wù)管理 預(yù)防性維護 4 3系統(tǒng)性能 或效能 監(jiān)控程序 工具和技術(shù) 例如 網(wǎng)絡(luò)分析器 系統(tǒng)利用率報告 負載均衡4 4硬件和網(wǎng)絡(luò)設(shè)備的功能 如 路由器 交換機 防火墻和外圍設(shè)備4 5數(shù)據(jù)庫管理實務(wù)4 6操作系統(tǒng) 工具軟件和數(shù)據(jù)庫管理系統(tǒng) 例如 關(guān)系型數(shù)據(jù)庫 Oracle PostgreSQL 等系統(tǒng)軟件的功能 4 7生產(chǎn)能力計劃和監(jiān)控技術(shù)4 8對生產(chǎn)系統(tǒng) 或體系 的應(yīng)急變更和調(diào)度管理程序 包括變更 配置 版本 發(fā)布和補丁管理實務(wù) 4 9 生產(chǎn) 事件 問題管理實務(wù) 如 幫助臺 負責電話受詢 提供一般性技術(shù)救援 逐級 上報程序和 技術(shù) 追蹤 4 10軟件許可證和 其總量 清單管理實務(wù) 4 11系統(tǒng)彈性之工具和技術(shù) 例如 容錯硬件 單點失效的排除 服務(wù)器 群集 或矩陣 第五部分信息資產(chǎn)的保護 5 1 信息系統(tǒng)的 安全 措施的 設(shè)計 實施和監(jiān)控技術(shù) 如 威脅和風險評估 敏感性分析 泄密評估5 2用戶使用授權(quán)的功能和數(shù)據(jù)時 識別 簽訂和約束等邏輯訪問控制 例如 動態(tài)密碼 詢問 應(yīng)答 配置 菜單 用戶 資料信息 5 3邏輯訪問安全體系 如 單點登陸 SSO 用戶識別策略 標識 身份 管理 5 4攻擊方法和技術(shù) 如 黑客 欺騙 特絡(luò)伊木馬 拒絕服務(wù) 垃圾電子郵件 5 5對安全事件的監(jiān)測和響應(yīng)程序 如 上報程序 突發(fā)事件響應(yīng)團隊5 6網(wǎng)絡(luò)和Internet安全設(shè)備 協(xié)議和技術(shù) 如 SSL SET VPN NAT5 7入侵監(jiān)測系統(tǒng)和防火墻的配置 實施 運行和維護 5 8加密算法 技術(shù) 如 AES RSA5 9公共密鑰結(jié)構(gòu) PKI 組件 如 CA RA 和數(shù)字簽名技術(shù)5 10病毒監(jiān)測工具和控制技術(shù) 第五部分信息資產(chǎn)的保護 5 11安全 方案 的測試和評估技術(shù) 例如 滲透測試 漏洞掃描5 12 生產(chǎn) 環(huán)境保護實務(wù)和設(shè)備 如 火災(zāi)壓制 冷卻系統(tǒng)和水傳感器5 13物理安全系統(tǒng)和實務(wù) 例如 生物 特征 鑒定 門卡 密碼鎖 5 14數(shù)據(jù)分類方案 例如 公開的 保密的 私密的和敏感的數(shù)據(jù) 5 15語音通訊的安全 如 VoIP5 16保密信息資產(chǎn)的采集 存儲 使用 傳輸 或運輸 和 退役 處置程序和流程 5 17與使用便攜式和無線設(shè)備 例如 個人商務(wù)通PDA USB設(shè)備和藍牙設(shè)備 相關(guān)的控制和風險 第六部分災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃 6 1數(shù)據(jù)備份 存儲 維護 保留和恢復(fù)流程 和實務(wù) 6 2業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)有關(guān)的法律 規(guī)章 協(xié)議和保險問題 6 3業(yè)務(wù)影響分析 BIA 6 4開發(fā)和維護災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃 6 5災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃測試途徑和方法6 6與災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃有關(guān)的人力資源管理 例如 疏散計劃 緊急 響應(yīng)團隊 6 7啟用災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃的程序 或流程 6 8備用業(yè)務(wù)處理站點 指場所和設(shè)施 的類型 和監(jiān)督有關(guān)協(xié)議 合同的方法 CISAvs CISSP 認證側(cè)重點 CISSP信息系統(tǒng)安全的管理與實踐CISA信息系統(tǒng)的控制與審計 對應(yīng)的職業(yè)不同 CISSPConsultant managementCISAAuditor management 考試難度比較 技術(shù)深度CISSP CISACISSP10domainsCISA6domains答題壓力CISA CISSPCISSP6小時250題CISA4小時200題 CISAOverview CISAoverview CISAandISACACISA認證CISA考試CISA考試內(nèi)容CISAvs CISSP CISAandISACA CISAandISACA CISACertifiedInformationSystemAuditor注冊信息系統(tǒng)審計師ISACAInformationSystemsAuditandControlAssociation信息系統(tǒng)審計與控制協(xié)會 ISACA 信息系統(tǒng)審計與控制協(xié)會 ISACA 創(chuàng)始于1967年 當時它是由從事同類職業(yè)的人所組成的小團體 計算機系統(tǒng)的審計和控制對他們各自機構(gòu)的運作都變得愈發(fā)關(guān)鍵 因此他們聚集起來討論制定信息集中化資源和本領(lǐng)域指導(dǎo)準則的必要性 在1969年 這個團體正式組建為EDP審計師協(xié)會 在1976年 這個協(xié)會成立一項教育基金來開展大規(guī)模的研究工作 以拓展信息產(chǎn)業(yè)管理與控制領(lǐng)域的知識與價值 ISACA 今天 ISACA在全球有兩萬八千多名成員 他們的組成非常具有多元性 這些成員在100多個國家內(nèi)生活和工作 并涵蓋眾多專業(yè)信息技術(shù)的相關(guān)職業(yè) 比如信息系統(tǒng)審計師 顧問 教導(dǎo)員 信息系統(tǒng)安全專家 管理者 首席信息官和內(nèi)部審計師等 有些職業(yè)是本領(lǐng)域內(nèi)新興的 其他為中級管理人員 另外還有許多人擔任最高級的職位 他們幾乎遍及所有行業(yè) 包括財政金融 公共會計 政府與公共部門 公用事業(yè)和制造業(yè) 這種多元性使眾多成員能夠相互學習 并在許多專業(yè)問題上廣泛交流彼此的觀點 該特點一直被認為是ISACA的強勢之一 ISACA ISACA的另一個強勢就是它的分會網(wǎng)絡(luò) ISACA的分會遍布世界60多個國家 可提供成員教育 資源共享 支持 專業(yè)網(wǎng)絡(luò) 以及其他由當?shù)胤謺峁┑闹T多利益 ISACA 在ISACA創(chuàng)立的三十年來 它已成為一個為信息管理 控制 安全和審計專業(yè)設(shè)定規(guī)范的全球性組織 它的信息系統(tǒng)審計和信息系統(tǒng)控制標準為全球執(zhí)業(yè)者所遵從 它的研究工作針對那些挑戰(zhàn)其重要原則的疑難專業(yè)事項 它的國際信息系統(tǒng)審計師 CISA 認證得到全球的公認 并有三萬多名專業(yè)人員得到認證 它最新推出的國際信息安全經(jīng)理 CISM 認證特別針對信息安全管理的審計事務(wù) 它出版了領(lǐng)先于信息控制領(lǐng)域的技術(shù)性期刊 即 信息系統(tǒng)控制期刊 InformationSystemsControlJournal 它舉辦一系列國際性會議 并且把焦點集中于信息系統(tǒng)保障 控制 安全和信息技術(shù)管理專業(yè)的技術(shù)與管理主題上 ISACA 唯一有權(quán)授予信息系統(tǒng)審計師資格的跨國界 跨行業(yè)專業(yè)機構(gòu) ISACAWeb http www isaca org CISA認證 CISA的工作 熟悉信息系統(tǒng)軟件 硬件 開發(fā) 運營 維護 管理以及安全熟悉業(yè)務(wù)運營管理利用規(guī)范和相關(guān)的審計技術(shù) 對信息系統(tǒng)的安全性 穩(wěn)定性 有效性進行審計 檢查 評價 CISA證書的價值 全球化進展進一步提升了CISA資格證書的價值 顯示了它是真正國際認可的資歷證書 美國摩根大通公司 埃內(nèi)斯托 阿吉拉 CISA CISA證書的價值 專業(yè)認證計劃杰出的標志在于持證人提高了自身的價值并受到了人們的尊重 自1978年以來 由信息系統(tǒng)審計與控制協(xié)會 ISACA 發(fā)起的國際信息系統(tǒng)審計師 CISA 認證已經(jīng)成為持證人在信息系統(tǒng)審計 控制與安全等專業(yè)領(lǐng)域中取得成績的象征 并逐步發(fā)展成全球公認的標準 最高專業(yè)程度的標志 獲得CISA資格證書有助于確立您作為一名合格的信息系統(tǒng)審計 控制和安全專業(yè)人才的聲望 不論你是希望提高你的工作業(yè)績還是得到職務(wù)升遷 擁有CISA資格證書都會使你擁有他人無法企及的競爭優(yōu)勢 雇主尋求的資歷 由于CISA所認證的個人能夠熟練掌握當今需要的最先進的技能 雇主更愿意雇用和留住那些達到并能夠維持資格證書所要求水平的人才 CISA資格證書向雇主保證其雇員已達到工作要求所必需的最新教育與實踐經(jīng)驗 CISA用它的四個字母向未來雇主表明 我具備扎實的信息系統(tǒng)審計知識與豐富的經(jīng)驗 CISA使持證人在市場中占據(jù)優(yōu)勢 英國蘇格蘭皇家銀行 羅勃特 科里斯 CISA 全球的認可 也許本認證對于你當前的工作并不是絕對必需的 然而越來越多的機構(gòu)希望員工得到CISA認證 為了確保你在全球市場中的成功 選擇一個建立在全球認可技術(shù)實務(wù)基礎(chǔ)上的認證是至關(guān)重要的 CISA所提供的就是這種認證 CISA作為信息系統(tǒng)審計 控制與安全專業(yè)人員的資格證書 受到全世界所有行業(yè)的廣泛認可 得到ISO IEC17024 2003標準的公認 美國國家標準協(xié)會 ANSI 已經(jīng)按照ISO IEC17024 2003標準對CISA認證計劃進行了鑒證和認可該標準是對一個團體開展人員認證方面的總體要求 成為CISA 順利通過CISA的考試 遵守國際信息系統(tǒng)審計與控制協(xié)會的 職業(yè)道德準則 提供從事信息系統(tǒng)審計 控制與安全工作5年以上經(jīng)驗的證明 具有下列同等經(jīng)驗 可申請免除該項經(jīng)驗 并應(yīng)獲得如下證明 1年以下的信息系統(tǒng)審計 控制與安全工作的經(jīng)驗可用如下資歷相抵 滿1年的非信息系統(tǒng)審計工作經(jīng)驗 或滿1年的信息系統(tǒng)工作經(jīng)驗 和 或具有大專學歷 大學60個學分或同等學歷 2年信息系統(tǒng)審計 控制與安全工作的經(jīng)驗可用學士學位 大學120個學分或同等學歷 相抵 1年信息系統(tǒng)審計 控制與安全工作的經(jīng)驗可用2年相關(guān)領(lǐng)域 計算機科學 會計 信息系統(tǒng)審計等 內(nèi)從事大學專職講師的經(jīng)驗相抵 無最高年限 即6年大學講師經(jīng)驗等同于3年信息系統(tǒng)審計 控制與安全工作的經(jīng)驗 成為CISA 專業(yè)經(jīng)驗必須在申請前的10年之內(nèi)獲得 或在第一次通過考試之日的前5年之內(nèi) 認證申請必須在通過CISA考試的5年之內(nèi)提出 所有專業(yè)經(jīng)驗都必須由原雇主獨立地確認 CISA考試 CISA考試 CISA考試在每年6月份和12月份舉行2006年的考試日期為12月9日考題包含200道多項選擇題考試時間為4個小時75分通過 考試報名 填寫并郵寄報名表線上報名報名費 5102006年8月16日之前 460線上報名 可節(jié)省 35報名截止日期 9月27日 考分的郵寄 自考試之日起約6個星期后 考生將接到郵寄的考試成績通知 為了對考試分數(shù)保密 考試結(jié)果將不采用電話 傳真或電子郵件的方式進行通知 然而 如果你在報名表的第27項上表明同意 我們可以通過電子郵件向你發(fā)送及格 不及格的考分 CISA資格證書的維持 獲得任何職業(yè)資格證書的持證人必須參與繼續(xù)教育計劃來維持其資格證書 為了維持CISA資格證書 持證人必須履行繼續(xù)職業(yè)教育政策 并遵守ISACA協(xié)會的 職業(yè)道德準則 這些計劃有助于保證CISA持證人能夠與業(yè)內(nèi)先進技術(shù)的發(fā)展保持同步 并展示較高的職業(yè)原則 繼續(xù)職業(yè)教育政策 要求持證人獲得并提供最低限度的繼續(xù)職業(yè)教育 CPE 學時 并每年支