隨著計算機技術在管理中的廣泛運用�����,傳統(tǒng)的管理�����、控制、檢查和審計技術都面臨著巨大的挑戰(zhàn)����。在網(wǎng)絡經(jīng)濟迅猛發(fā)展的今天,IT審計師已被公認為全世界范圍內(nèi)非常搶手的高級人才�����。享譽全球的ISACA(國際信息系統(tǒng)審計協(xié)會)為全球?qū)I(yè)人員提供知識���、職業(yè)認證并打造社群網(wǎng)絡����,其推出的CISA(注冊信息系統(tǒng)審計師�,Certified Information Systems Auditor)認證在全球受到廣泛認可,并已進入中國�����。本書是ISACA官方出版的獲得CISA認證的指定教材����。
ISACA(國際信息系統(tǒng)審計協(xié)會�����,網(wǎng)址:isaca.org)為全球?qū)I(yè)人士提供創(chuàng)新性����、世界級的知識�、標準、社群��、認證和職業(yè)發(fā)展����,協(xié)助其引領及適應不斷向前發(fā)展的數(shù)字世界并樹立信心�����。ISACA 成立于 1969 年�,是一家非營利的全球性協(xié)會,成員遍布 180 個國家����,總數(shù)達到 140 000 人。ISACA 還提供一套完整的網(wǎng)絡安全資源 Cybersecurity NexusTM(CSX) 以及用于治理企業(yè)技術的業(yè)務框架 COBIT?����。此外�����,ISACA 通過全球著名的注冊信息系統(tǒng)審計師 (Certified Information Systems Auditor?, CISA?)���、注冊信息安全經(jīng)理 (Certified Information Security Manager?, CISM?)、企業(yè) IT 治理認證 (Certified in the Governance of Enterprise IT?,CGEIT?) 和風險及信息系統(tǒng)控制認證 (Certified in Risk and Information Systems ControlTM, CRISCTM) 來提升和驗證關鍵業(yè)務技能及知識����。
ISACA(國際信息系統(tǒng)審計協(xié)會,網(wǎng)址:isaca.org)為全球?qū)I(yè)人士提供創(chuàng)新性���、世界級的知識���、標準、社群��、認證和職業(yè)發(fā)展��,協(xié)助其引領及適應不斷向前發(fā)展的數(shù)字世界并樹立信心����。ISACA 成立于 1969 年����,是一家非營利的全球性協(xié)會�����,成員遍布 180 個國家�����,總數(shù)達到 140 000 人���。ISACA 還提供一套完整的網(wǎng)絡安全資源 Cybersecurity NexusTM(CSX) 以及用于治理企業(yè)技術的業(yè)務框架 COBIT?����。此外�����,ISACA 通過全球著名的注冊信息系統(tǒng)審計師 (Certified Information Systems Auditor?, CISA?)��、注冊信息安全經(jīng)理 (Certified Information Security Manager?, CISM?)����、企業(yè) IT 治理認證 (Certified in the Governance of Enterprise IT?,CGEIT?) 和風險及信息系統(tǒng)控制認證 (Certified in Risk and Information Systems ControlTM, CRISCTM) 來提升和驗證關鍵業(yè)務技能及知識。
目錄
第1章 信息系統(tǒng)的審計流程 1
概述 2
領域1考試內(nèi)容大綱 2
學習目標/任務說明 2
深造學習參考資源 2
自我評估問題 2
自我評估問題參考答案 4
A部分:規(guī)劃 6
1.1 信息系統(tǒng)審計標準�����、準則��、職能和道德規(guī)范 6
1.1.1 ISACA信息系統(tǒng)審計和鑒證標準 6
1.1.2 ISACA信息系統(tǒng)審計和鑒證準則 7
1.1.3 ISACA 職業(yè)道德規(guī)范 7
1.1.4 ITAF TM 7
1.1.5 信息系統(tǒng)內(nèi)部審計職能 7
1.2 審計類型����、評估和審查 9
1.2.1 控制自我評估 10
1.2.2 整合審計 11
1.3 基于風險的審計規(guī)劃 12
1.3.1 單項審計任務 12
1.3.2 法律法規(guī)對信息系統(tǒng)審計規(guī)劃的影響 13
1.3.3 審計風險和重要性 15
1.3.4 風險評估 15
1.3.5 信息系統(tǒng)審計風險評估技術 15
1.3.6 風險分析 16
1.4 控制類型和考慮因素 16
1.4.1 內(nèi)部控制 16
1.4.2 控制目標和控制措施 16
1.4.3 控制分類 19
1.4.4 控制與風險的關系 21
1.4.5 規(guī)定性控制和框架 21
1.4.6 控制環(huán)境評估 22
B部分:執(zhí)行 23
1.5 審計項目管理 23
1.5.1 審計目標 23
1.5.2 審計階段 23
1.5.3 審計方案 25
1.5.4 審計工作底稿 26
1.5.5 欺詐、違規(guī)和非法行為 26
1.5.6 敏捷審計 26
1.6 審計測試和抽樣方法 28
1.6.1 符合性與實質(zhì)性測試 28
1.6.2 抽樣 29
1.7 審計證據(jù)搜集技巧 31
1.7.1 面談和觀察員工以了解其職責履行情況 33
1.8 審計數(shù)據(jù)分析 33
1.8.1 計算機輔助審計技術 34
1.8.2 持續(xù)審計和監(jiān)控 35
1.8.3 持續(xù)審計技術 36
1.8.4 信息系統(tǒng)審計中的人工智能 37
1.9 報告和溝通技巧 39
1.9.1 溝通審計結(jié)果 39
1.9.2 審計報告目標 40
1.9.3 審計報告的結(jié)構與內(nèi)容 40
1.9.4 審計記錄 41
1.9.5 跟進活動 42
1.9.6 信息系統(tǒng)審計報告的類型 42
1.10 質(zhì)量保證和審計流程改進 42
1.10.1 審計委員會監(jiān)督 42
1.10.2 審計質(zhì)量保證 42
1.10.3 審計團隊培訓與發(fā)展 42
1.10.4 監(jiān)控 42
案例研究 44
案例研究相關問題參考答案 46
第2章 IT治理與管理 47
概述 48
領域2考試內(nèi)容大綱 48
學習目標/任務說明 48
深造學習參考資源 49
自我評估問題 49
自我評估問題參考答案 51
A部分:IT治理 53
2.1 法律����、法規(guī)和行業(yè)標準 53
2.1.1 法律、法規(guī)和行業(yè)標準對信息系統(tǒng)審計的影響 53
2.1.2 治理�、風險與合規(guī)性 54
2.2 組織結(jié)構、IT治理和IT戰(zhàn)略 54
2.2.1 企業(yè)信息和技術治理 55
2.2.2 EGIT的良好實踐 56
2.2.3 EGIT中的審計角色 56
2.2.4 信息安全治理 57
2.2.5 信息系統(tǒng)策略 59
2.2.6 戰(zhàn)略規(guī)劃 59
2.2.7 商業(yè)智能 60
2.2.8 組織結(jié)構 62
2.2.9 審計IT治理結(jié)構與實施 72
2.3 IT政策�����、標準�����、程序和準則 72
2.3.1 政策 73
2.3.2 標準 74
2.3.3 程序 75
2.3.4 準則 75
2.4 企業(yè)架構和注意事項 75
2.5 企業(yè)風險管理 76
2.5.1 開發(fā)風險管理方案 77
2.5.2 風險管理生命周期 77
2.5.3 風險分析方法 80
2.6 數(shù)據(jù)隱私方案和原則 80
2.6.1 隱私記錄 81
2.6.2 審計流程 84
2.7 數(shù)據(jù)治理和分類 84
2.7.1 數(shù)據(jù)清單和分類 85
2.7.2 法律目的、同意和合法權益 85
2.7.3 數(shù)據(jù)主體的權利 87
B部分:IT管理 88
2.8 IT資源管理 88
2.8.1 IT的價值 88
2.8.2 實施IT組合管理 88
2.8.3 IT管理實務 88
2.8.4 人力資源管理 88
2.8.5 企業(yè)變更管理 91
2.8.6 財務管理實務 91
2.8.7 信息安全管理 92
2.9 IT供應商管理 93
2.9.1 資源開發(fā)實務 93
2.9.2 外包實務與戰(zhàn)略 94
2.9.3 云治理 97
2.9.4 外包中的治理 97
2.9.5 容量和發(fā)展規(guī)劃 98
2.9.6 第三方服務交付管理 98
2.10 IT性能監(jiān)控與報告 99
2.10.1 關鍵績效指標 99
2.10.2 關鍵風險指標 99
2.10.3 關鍵控制指標 99
2.10.4 績效優(yōu)化 100
2.10.5 方法和技術 101
2.11 IT質(zhì)量保證和質(zhì)量管理 103
2.11.1 質(zhì)量保證 103
2.11.2 質(zhì)量管理 104
2.11.3 卓越運營 104
案例研究 105
案例研究相關問題參考答案 106
第3章 信息系統(tǒng)的購置�、開發(fā)與實施 107
概述 108
領域 3 考試內(nèi)容大綱 108
學習目標/任務說明 108
深造學習參考資源 108
自我評估問題 108
自我評估問題參考答案 110
A部分:信息系統(tǒng)的購置與開發(fā) 112
3.1 項目治理和管理 112
3.1.1 項目管理實務 112
3.1.2 項目管理結(jié)構 112
3.1.3 項目管理角色和職責 113
3.1.4 項目管理技術 113
3.1.5 項目組合/項目集管理 115
3.1.6 項目管理辦公室 116
3.1.7 項目效益實現(xiàn) 117
3.1.8 項目開始 118
3.1.9 項目目標 118
3.1.10 項目規(guī)劃 119
3.1.11 項目執(zhí)行 123
3.1.12 項目控制和監(jiān)控 123
3.1.13 項目收尾 123
3.1.14 信息系統(tǒng)審計師在項目管理中的角色 124
3.2 業(yè)務案例和可行性分析 124
3.2.1 信息系統(tǒng)審計師在業(yè)務案例開發(fā)中的角色 125
3.3 系統(tǒng)開發(fā)方法 126
3.3.1 業(yè)務應用程序開發(fā) 126
3.3.2 SDLC模型 126
3.3.3 SDLC 階段 128
3.3.4 信息系統(tǒng)審計師在 SDLC 項目管理中的角色 136
3.3.5 軟件開發(fā)方法 136
3.3.6 系統(tǒng)開發(fā)工具和生產(chǎn)力輔助設備 142
3.3.7 基礎架構開發(fā)/購置實務 144
3.3.8 硬件/軟件購置 147
3.3.9 系統(tǒng)軟件購置 149
3.4 控制識別和設計 151
3.4.1 應用控制 151
3.4.2 輸出控制 155
B部分:信息系統(tǒng)實施 158
3.5 系統(tǒng)準備和實施測試 158
3.5.1 測試分類 158
3.5.2 軟件測試 160
3.5.3 數(shù)據(jù)完整性測試 160
3.5.4 應用程序系統(tǒng)測試 161
3.5.5 系統(tǒng)實施 163
3.6 實施配置和管理 164
3.6.1 配置管理系統(tǒng) 164
3.7 系統(tǒng)遷移、基礎設施部署和數(shù)據(jù)轉(zhuǎn)換 165
3.7.1 數(shù)據(jù)遷移 165
3.7.2 轉(zhuǎn)換(上線或切換)技術 167
3.7.3 系統(tǒng)變更程序和程序遷移流程 168
3.7.4 系統(tǒng)軟件實施 169
3.7.5 認證/認可 169
3.8 實施后分析 169
3.8.1 信息系統(tǒng)審計師在實施后審查中的角色 170
案例研究 172
案例研究相關問題參考答案 174
第4章 信息系統(tǒng)的運營和業(yè)務恢復能力 175
概述 176
領域4 考試內(nèi)容大綱 176
學習目標/任務說明 176
深造學習參考資源 176
自我評估問題 177
自我評估問題參考答案 179
A部分:信息系統(tǒng)運營 181
4.1 IT組件 181
4.1.1 網(wǎng)絡 182
4.1.2 計算機硬件組件和架構 192
4.1.3 常用的企業(yè)后端設備 193
4.1.4 USB大容量存儲設備 194
4.1.5 無線通信技術 196
4.1.6 硬件維護程序 196
4.1.7 硬件審查 197
4.2 IT資產(chǎn)管理 198
4.3 作業(yè)調(diào)度和生產(chǎn)流程自動化 198
4.3.1 作業(yè)調(diào)度軟件 198
4.3.2 日程審查 198
4.4 系統(tǒng)接口 199
4.4.1 與系統(tǒng)接口相關的風險 200
4.4.2 與系統(tǒng)接口相關的控制 200
4.5 最終用戶計算和影子IT 201
4.5.1 最終用戶計算 201
4.5.2 影子IT 202
4.6 系統(tǒng)可用性和容量管理 202
4.6.1 信息系統(tǒng)架構和軟件 202
4.6.2 操作系統(tǒng) 203
4.6.3 訪問控制軟件 204
4.6.4 數(shù)據(jù)通信軟件 204
4.6.5 實用程序 206
4.6.6 軟件許可問題 206
4.6.7 源代碼管理 207
4.6.8 容量管理 208
4.7 問題和事故管理 209
4.7.1 問題管理 209
4.7.2 事故處理過程 209
4.7.3 異常情況的檢測�、記錄、控制��、解決和報告 209
4.7.4 技術支持/客戶服務部門 210
4.7.5 網(wǎng)絡管理工具 210
4.7.6 問題管理報告審查 211
4.8 IT變更����、配置和修補程序管理 212
4.8.1 修補程序管理 212
4.8.2 發(fā)行管理 212
4.8.3 信息系統(tǒng)運營 213
4.9 運營日志管理 215
4.9.1 日志類型 215
4.9.2 日志管理 216
4.10 IT服務水平管理 218
4.10.1 服務等級協(xié)議 219
4.10.2 服務水平監(jiān)控 220
4.10.3 服務水平與企業(yè)架構 220
4.11 數(shù)據(jù)庫管理 220
4.11.1 DBMS結(jié)構 220
4.11.2 數(shù)據(jù)庫結(jié)構 221
4.11.3 數(shù)據(jù)庫控制 224
4.11.4 數(shù)據(jù)庫審查 224
B部分:業(yè)務恢復能力 226
4.12 業(yè)務影響分析 226
4.12.1 運營和關鍵性分析分類 227
4.13 系統(tǒng)和運營恢復能力 228
4.13.1 應用程序恢復能力和災難恢復方法 228
4.13.2 電信網(wǎng)絡恢復能力和災難恢復方法 229
4.14 數(shù)據(jù)備份、存儲和恢復 230
4.14.1 數(shù)據(jù)存儲恢復能力和災難恢復方法 230
4.14.2 備份與恢復 230
4.14.3 備份方案 233
4.15 業(yè)務持續(xù)計劃 235
4.15.1 IT業(yè)務持續(xù)計劃 236
4.15.2 災難和其他破壞性事件 237
4.15.3 業(yè)務持續(xù)計劃流程 238
4.15.4 業(yè)務連續(xù)性政策 238
4.15.5 業(yè)務持續(xù)計劃事故管理 239
4.15.6 制訂業(yè)務持續(xù)計劃 240
4.15.7 計劃制訂過程中的其他問題 240
4.15.8 業(yè)務持續(xù)計劃的構成要素 241
4.15.9 計劃測試 243
4.15.10 業(yè)務連續(xù)性管理良好實踐 245
4.15.11 審計業(yè)務連續(xù)性 245
4.16 災難恢復計劃 248
4.16.1 恢復點目標�����、恢復時間目標和平均修復時間 248
4.16.2 恢復策略 249
4.16.3 恢復備選方案 250
4.16.4 災難恢復計劃的制訂 252
4.16.5 災難恢復測試方法 254
4.16.6 調(diào)用災難恢復計劃 256
案例研究 257
案例研究相關問題參考答案 258
第5章 信息資產(chǎn)的保護 259
概述 260
領域5考試內(nèi)容大綱 260
學習目標/任務說明 260
深造學習參考資源 260
自我評估問題 261
自我評估問題參考答案 263
A部分:信息資產(chǎn)安全和控制 265
5.1 信息資產(chǎn)安全政策�����、框架����、標準和準則 265
5.1.1 信息資產(chǎn)安全政策、程序和準則 265
5.1.2 信息安全框架和標準 267
5.1.3 信息安全基準指標 267
5.2 物理與環(huán)境控制 270
5.2.1 環(huán)境風險暴露和控制 271
5.2.2 物理訪問風險暴露和控制 274
5.2.3 工業(yè)控制系統(tǒng)安全 276
5.3 身份和訪問管理 278
5.3.1 身份和訪問管理 278
5.3.2 身份認證��、授權和問責制 281
5.3.3 零信任架構 284
5.3.4 特權訪問管理 285
5.3.5 目錄服務 287
5.3.6 身份治理和管理 287
5.3.7 身份即服務 288
5.3.8 系統(tǒng)訪問權限 289
5.3.9 訪問控制的類型 290
5.3.10 信息安全和外部相關方 290
5.3.11 數(shù)字版權管理 293
5.3.12 邏輯訪問 295
5.3.13 訪問控制軟件 296
5.3.14 登錄ID和密碼 297
5.3.15 遠程訪問安全 299
5.3.16 生物特征識別 299
5.3.17 邏輯訪問控制的命名約定 302
5.3.18 聯(lián)合身份管理 302
5.3.19 審計邏輯訪問 305
5.4 網(wǎng)絡和終端安全 306
5.4.1 信息系統(tǒng)網(wǎng)絡基礎架構 306
5.4.2 企業(yè)網(wǎng)絡架構 306
5.4.3 網(wǎng)絡類型 307
5.4.4 網(wǎng)絡服務 307
5.4.5 網(wǎng)絡標準和協(xié)議 308
5.4.6 虛擬私有網(wǎng)絡 308
5.4.7 網(wǎng)絡連接存儲 310
5.4.8 內(nèi)容交付網(wǎng)絡 311
5.4.9 網(wǎng)絡時間協(xié)議 313
5.4.10 聯(lián)網(wǎng)環(huán)境中的應用程序 314
5.4.11 網(wǎng)絡基礎設施安全性 316
5.4.12 防火墻 317
5.4.13 統(tǒng)一威脅管理 322
5.4.14 網(wǎng)絡分段 323
5.4.15 終端安全 325
5.5 數(shù)據(jù)丟失防護 327
5.5.1 DLP的類型 327
5.5.2 數(shù)據(jù)丟失風險 327
5.5.3 DLP 解決方案和數(shù)據(jù)狀態(tài) 329
5.5.4 DLP控制 329
5.5.5 DLP內(nèi)容分析方法 330
5.5.6 DLP部署最佳實踐 331
5.5.7 DLP風險����、限制和考慮因素 331
5.6 數(shù)據(jù)加密 332
5.6.1 加密系統(tǒng)的要素 332
5.6.2 鏈路加密和端到端加密 334
5.6.3 對稱密鑰加密系統(tǒng) 334
5.6.4 公共(非對稱)密鑰加密系統(tǒng) 335
5.6.5 橢圓曲線加密算法 336
5.6.6 量子密碼學 336
5.6.7 同態(tài)加密 336
5.6.8 數(shù)字簽名 337
5.6.9 數(shù)字信封 338
5.6.10 加密系統(tǒng)的應用 338
5.6.11 Kerberos 339
5.6.12 安全外殼 340
5.6.13 域名系統(tǒng)安全擴展 341
5.6.14 電子郵件安全 341
5.6.15 加密審計程序 343
5.7 公鑰基礎設施 344
5.7.1 數(shù)字證書 344
5.7.2 密鑰管理 344
5.7.3 證書取消 344
5.7.4 證書取消清單 345
5.7.5 PKI基礎設施風險 346
5.7.6 PKI審計程序 346
5.8 云和虛擬化環(huán)境 346
5.8.1 虛擬化 347
5.8.2 虛擬電路 350
5.8.3 虛擬局域網(wǎng) 350
5.8.4 虛擬存儲區(qū)域網(wǎng)絡 350
5.8.5 軟件定義網(wǎng)絡 351
5.8.6 容器化 353
5.8.7 安全云遷移 355
5.8.8 責任共擔模型 357
5.8.9 云環(huán)境中的關鍵風險 358
5.8.10 DevSecOps 359
5.9 移動、無線和物聯(lián)網(wǎng)設備 360
5.9.1 移動計算 360
5.9.2 移動設備威脅 361
5.9.3 移動設備控制 361
5.9.4 移動設備管理 362
5.9.5 自帶設備 364
5.9.6 移動設備上的互聯(lián)網(wǎng)訪問 364
5.9.7 移動設備審計程序 365
5.9.8 移動支付系統(tǒng) 366
5.9.9 無線網(wǎng)絡 368
5.9.10 物聯(lián)網(wǎng) 371
B部分:安全事件管理 374
5.10 安全意識培訓和方案 374
5.10.1 信息安全學習連續(xù)體 374
5.10.2 安全意識����、培訓和教育方案的好處 375
5.10.3 安全意識、培訓和教育的方法 375
5.10.4 成功安全意識培訓和教育方案的條件 375
5.10.5 開展需求評估 376
5.10.6 實施安全意識和培訓方案 376
5.11 信息系統(tǒng)攻擊方法和技術 378
5.11.1 欺詐風險因素 378
5.11.2 計算機犯罪問題和風險暴露 378
5.11.3 互聯(lián)網(wǎng)威脅和安全 384
5.11.4 惡意軟件 385
5.11.5 勒索軟件 387
5.12 安全測試工具和技術 389
5.12.1 安全測試的目標 389
5.12.2 安全評估和安全審計 389
5.12.3 漏洞評估 390
5.12.4 滲透測試 390
5.12.5 威脅準備/信息安全團隊 393
5.12.6 安全測試技術 394
5.12.7 安全運營中心 394
5.12.8 安全測試審計程序 395
5.13 安全監(jiān)控日志����、工具和技術 397
5.13.1 信息安全監(jiān)控 397
5.13.2 入侵檢測系統(tǒng) 398
5.13.3 入侵防御系統(tǒng) 399
5.13.4 監(jiān)控系統(tǒng)訪問時的審計記錄 400
5.13.5 保護日志數(shù)據(jù) 402
5.13.6 安全信息和事件管理 402
5.13.7 安全監(jiān)控工具 405
5.14 安全事故響應管理 405
5.14.1 事故響應流程 405
5.14.2 計算機安全事故響應團隊 406
5.14.3 事故響應計劃 407
5.14.4 安全編排、自動化和響應 407
5.15 證據(jù)搜集和取證 409
5.15.1 調(diào)查類型 409
5.15.2 計算機取證的類型 409
5.15.3 計算機取證階段 410
5.15.4 審計注意事項 410
5.15.5 計算機取證技術 411
5.15.6 計算機取證工具 412
5.15.7 監(jiān)管鏈 413
5.15.8 保護數(shù)字證據(jù)的最佳實踐 413
案例研究 415
案例研究相關問題參考答案 416
附錄A CISA考試一般信息 417
成功完成CISA考試 418
在信息系統(tǒng)審計���、控制和安全方面的工作經(jīng)驗 418
考試介紹 418
報名參加CISA考試 418
CISA方案再次通過ISO/IEC 17024:2012鑒定 418
預約安排考試日期 419
考試入場 419
安排時間 419
考試評分 419
附錄B CISA工作實務 421
知識領域 422
信息系統(tǒng)的審計流程 422
IT治理與管理 422
信息系統(tǒng)的購置�����、開發(fā)與實施 422
信息系統(tǒng)的運營和業(yè)務恢復能力 422
信息資產(chǎn)的保護 423
次要分類—任務 423
術語表 425
首字母縮略詞 438
