随着计算机技术在管理中的广泛运用,传统的管理、控制、检查和审计技术都面临着巨大的挑战。在网络经济迅猛发展的今天,IT审计师已被公认为全世界范围内非常抢手的高级人才。享誉全球的ISACA(国际信息系统审计协会)为全球专业人员提供知识、职业认证并打造社群网络,其推出的CISA(注册信息系统审计师,Certified Information Systems Auditor)认证在全球受到广泛认可,并已进入中国。本书是ISACA官方出版的获得CISA认证的指定教材。
ISACA(国际信息系统审计协会,网址:isaca.org)为全球专业人士提供创新性、世界级的知识、标准、社群、认证和职业发展,协助其引领及适应不断向前发展的数字世界并树立信心。ISACA 成立于 1969 年,是一家非营利的全球性协会,成员遍布 180 个国家,总数达到 140 000 人。ISACA 还提供一套完整的网络安全资源 Cybersecurity NexusTM(CSX) 以及用于治理企业技术的业务框架 COBIT?。此外,ISACA 通过全球著名的注册信息系统审计师 (Certified Information Systems Auditor?, CISA?)、注册信息安全经理 (Certified Information Security Manager?, CISM?)、企业 IT 治理认证 (Certified in the Governance of Enterprise IT?,CGEIT?) 和风险及信息系统控制认证 (Certified in Risk and Information Systems ControlTM, CRISCTM) 来提升和验证关键业务技能及知识。
ISACA(国际信息系统审计协会,网址:isaca.org)为全球专业人士提供创新性、世界级的知识、标准、社群、认证和职业发展,协助其引领及适应不断向前发展的数字世界并树立信心。ISACA 成立于 1969 年,是一家非营利的全球性协会,成员遍布 180 个国家,总数达到 140 000 人。ISACA 还提供一套完整的网络安全资源 Cybersecurity NexusTM(CSX) 以及用于治理企业技术的业务框架 COBIT?。此外,ISACA 通过全球著名的注册信息系统审计师 (Certified Information Systems Auditor?, CISA?)、注册信息安全经理 (Certified Information Security Manager?, CISM?)、企业 IT 治理认证 (Certified in the Governance of Enterprise IT?,CGEIT?) 和风险及信息系统控制认证 (Certified in Risk and Information Systems ControlTM, CRISCTM) 来提升和验证关键业务技能及知识。
目录
第1章 信息系统的审计流程 1
概述 2
领域1考试内容大纲 2
学习目标/任务说明 2
深造学习参考资源 2
自我评估问题 2
自我评估问题参考答案 4
A部分:规划 6
1.1 信息系统审计标准、准则、职能和道德规范 6
1.1.1 ISACA信息系统审计和鉴证标准 6
1.1.2 ISACA信息系统审计和鉴证准则 7
1.1.3 ISACA 职业道德规范 7
1.1.4 ITAF TM 7
1.1.5 信息系统内部审计职能 7
1.2 审计类型、评估和审查 9
1.2.1 控制自我评估 10
1.2.2 整合审计 11
1.3 基于风险的审计规划 12
1.3.1 单项审计任务 12
1.3.2 法律法规对信息系统审计规划的影响 13
1.3.3 审计风险和重要性 15
1.3.4 风险评估 15
1.3.5 信息系统审计风险评估技术 15
1.3.6 风险分析 16
1.4 控制类型和考虑因素 16
1.4.1 内部控制 16
1.4.2 控制目标和控制措施 16
1.4.3 控制分类 19
1.4.4 控制与风险的关系 21
1.4.5 规定性控制和框架 21
1.4.6 控制环境评估 22
B部分:执行 23
1.5 审计项目管理 23
1.5.1 审计目标 23
1.5.2 审计阶段 23
1.5.3 审计方案 25
1.5.4 审计工作底稿 26
1.5.5 欺诈、违规和非法行为 26
1.5.6 敏捷审计 26
1.6 审计测试和抽样方法 28
1.6.1 符合性与实质性测试 28
1.6.2 抽样 29
1.7 审计证据搜集技巧 31
1.7.1 面谈和观察员工以了解其职责履行情况 33
1.8 审计数据分析 33
1.8.1 计算机辅助审计技术 34
1.8.2 持续审计和监控 35
1.8.3 持续审计技术 36
1.8.4 信息系统审计中的人工智能 37
1.9 报告和沟通技巧 39
1.9.1 沟通审计结果 39
1.9.2 审计报告目标 40
1.9.3 审计报告的结构与内容 40
1.9.4 审计记录 41
1.9.5 跟进活动 42
1.9.6 信息系统审计报告的类型 42
1.10 质量保证和审计流程改进 42
1.10.1 审计委员会监督 42
1.10.2 审计质量保证 42
1.10.3 审计团队培训与发展 42
1.10.4 监控 42
案例研究 44
案例研究相关问题参考答案 46
第2章 IT治理与管理 47
概述 48
领域2考试内容大纲 48
学习目标/任务说明 48
深造学习参考资源 49
自我评估问题 49
自我评估问题参考答案 51
A部分:IT治理 53
2.1 法律、法规和行业标准 53
2.1.1 法律、法规和行业标准对信息系统审计的影响 53
2.1.2 治理、风险与合规性 54
2.2 组织结构、IT治理和IT战略 54
2.2.1 企业信息和技术治理 55
2.2.2 EGIT的良好实践 56
2.2.3 EGIT中的审计角色 56
2.2.4 信息安全治理 57
2.2.5 信息系统策略 59
2.2.6 战略规划 59
2.2.7 商业智能 60
2.2.8 组织结构 62
2.2.9 审计IT治理结构与实施 72
2.3 IT政策、标准、程序和准则 72
2.3.1 政策 73
2.3.2 标准 74
2.3.3 程序 75
2.3.4 准则 75
2.4 企业架构和注意事项 75
2.5 企业风险管理 76
2.5.1 开发风险管理方案 77
2.5.2 风险管理生命周期 77
2.5.3 风险分析方法 80
2.6 数据隐私方案和原则 80
2.6.1 隐私记录 81
2.6.2 审计流程 84
2.7 数据治理和分类 84
2.7.1 数据清单和分类 85
2.7.2 法律目的、同意和合法权益 85
2.7.3 数据主体的权利 87
B部分:IT管理 88
2.8 IT资源管理 88
2.8.1 IT的价值 88
2.8.2 实施IT组合管理 88
2.8.3 IT管理实务 88
2.8.4 人力资源管理 88
2.8.5 企业变更管理 91
2.8.6 财务管理实务 91
2.8.7 信息安全管理 92
2.9 IT供应商管理 93
2.9.1 资源开发实务 93
2.9.2 外包实务与战略 94
2.9.3 云治理 97
2.9.4 外包中的治理 97
2.9.5 容量和发展规划 98
2.9.6 第三方服务交付管理 98
2.10 IT性能监控与报告 99
2.10.1 关键绩效指标 99
2.10.2 关键风险指标 99
2.10.3 关键控制指标 99
2.10.4 绩效优化 100
2.10.5 方法和技术 101
2.11 IT质量保证和质量管理 103
2.11.1 质量保证 103
2.11.2 质量管理 104
2.11.3 卓越运营 104
案例研究 105
案例研究相关问题参考答案 106
第3章 信息系统的购置、开发与实施 107
概述 108
领域 3 考试内容大纲 108
学习目标/任务说明 108
深造学习参考资源 108
自我评估问题 108
自我评估问题参考答案 110
A部分:信息系统的购置与开发 112
3.1 项目治理和管理 112
3.1.1 项目管理实务 112
3.1.2 项目管理结构 112
3.1.3 项目管理角色和职责 113
3.1.4 项目管理技术 113
3.1.5 项目组合/项目集管理 115
3.1.6 项目管理办公室 116
3.1.7 项目效益实现 117
3.1.8 项目开始 118
3.1.9 项目目标 118
3.1.10 项目规划 119
3.1.11 项目执行 123
3.1.12 项目控制和监控 123
3.1.13 项目收尾 123
3.1.14 信息系统审计师在项目管理中的角色 124
3.2 业务案例和可行性分析 124
3.2.1 信息系统审计师在业务案例开发中的角色 125
3.3 系统开发方法 126
3.3.1 业务应用程序开发 126
3.3.2 SDLC模型 126
3.3.3 SDLC 阶段 128
3.3.4 信息系统审计师在 SDLC 项目管理中的角色 136
3.3.5 软件开发方法 136
3.3.6 系统开发工具和生产力辅助设备 142
3.3.7 基础架构开发/购置实务 144
3.3.8 硬件/软件购置 147
3.3.9 系统软件购置 149
3.4 控制识别和设计 151
3.4.1 应用控制 151
3.4.2 输出控制 155
B部分:信息系统实施 158
3.5 系统准备和实施测试 158
3.5.1 测试分类 158
3.5.2 软件测试 160
3.5.3 数据完整性测试 160
3.5.4 应用程序系统测试 161
3.5.5 系统实施 163
3.6 实施配置和管理 164
3.6.1 配置管理系统 164
3.7 系统迁移、基础设施部署和数据转换 165
3.7.1 数据迁移 165
3.7.2 转换(上线或切换)技术 167
3.7.3 系统变更程序和程序迁移流程 168
3.7.4 系统软件实施 169
3.7.5 认证/认可 169
3.8 实施后分析 169
3.8.1 信息系统审计师在实施后审查中的角色 170
案例研究 172
案例研究相关问题参考答案 174
第4章 信息系统的运营和业务恢复能力 175
概述 176
领域4 考试内容大纲 176
学习目标/任务说明 176
深造学习参考资源 176
自我评估问题 177
自我评估问题参考答案 179
A部分:信息系统运营 181
4.1 IT组件 181
4.1.1 网络 182
4.1.2 计算机硬件组件和架构 192
4.1.3 常用的企业后端设备 193
4.1.4 USB大容量存储设备 194
4.1.5 无线通信技术 196
4.1.6 硬件维护程序 196
4.1.7 硬件审查 197
4.2 IT资产管理 198
4.3 作业调度和生产流程自动化 198
4.3.1 作业调度软件 198
4.3.2 日程审查 198
4.4 系统接口 199
4.4.1 与系统接口相关的风险 200
4.4.2 与系统接口相关的控制 200
4.5 最终用户计算和影子IT 201
4.5.1 最终用户计算 201
4.5.2 影子IT 202
4.6 系统可用性和容量管理 202
4.6.1 信息系统架构和软件 202
4.6.2 操作系统 203
4.6.3 访问控制软件 204
4.6.4 数据通信软件 204
4.6.5 实用程序 206
4.6.6 软件许可问题 206
4.6.7 源代码管理 207
4.6.8 容量管理 208
4.7 问题和事故管理 209
4.7.1 问题管理 209
4.7.2 事故处理过程 209
4.7.3 异常情况的检测、记录、控制、解决和报告 209
4.7.4 技术支持/客户服务部门 210
4.7.5 网络管理工具 210
4.7.6 问题管理报告审查 211
4.8 IT变更、配置和修补程序管理 212
4.8.1 修补程序管理 212
4.8.2 发行管理 212
4.8.3 信息系统运营 213
4.9 运营日志管理 215
4.9.1 日志类型 215
4.9.2 日志管理 216
4.10 IT服务水平管理 218
4.10.1 服务等级协议 219
4.10.2 服务水平监控 220
4.10.3 服务水平与企业架构 220
4.11 数据库管理 220
4.11.1 DBMS结构 220
4.11.2 数据库结构 221
4.11.3 数据库控制 224
4.11.4 数据库审查 224
B部分:业务恢复能力 226
4.12 业务影响分析 226
4.12.1 运营和关键性分析分类 227
4.13 系统和运营恢复能力 228
4.13.1 应用程序恢复能力和灾难恢复方法 228
4.13.2 电信网络恢复能力和灾难恢复方法 229
4.14 数据备份、存储和恢复 230
4.14.1 数据存储恢复能力和灾难恢复方法 230
4.14.2 备份与恢复 230
4.14.3 备份方案 233
4.15 业务持续计划 235
4.15.1 IT业务持续计划 236
4.15.2 灾难和其他破坏性事件 237
4.15.3 业务持续计划流程 238
4.15.4 业务连续性政策 238
4.15.5 业务持续计划事故管理 239
4.15.6 制订业务持续计划 240
4.15.7 计划制订过程中的其他问题 240
4.15.8 业务持续计划的构成要素 241
4.15.9 计划测试 243
4.15.10 业务连续性管理良好实践 245
4.15.11 审计业务连续性 245
4.16 灾难恢复计划 248
4.16.1 恢复点目标、恢复时间目标和平均修复时间 248
4.16.2 恢复策略 249
4.16.3 恢复备选方案 250
4.16.4 灾难恢复计划的制订 252
4.16.5 灾难恢复测试方法 254
4.16.6 调用灾难恢复计划 256
案例研究 257
案例研究相关问题参考答案 258
第5章 信息资产的保护 259
概述 260
领域5考试内容大纲 260
学习目标/任务说明 260
深造学习参考资源 260
自我评估问题 261
自我评估问题参考答案 263
A部分:信息资产安全和控制 265
5.1 信息资产安全政策、框架、标准和准则 265
5.1.1 信息资产安全政策、程序和准则 265
5.1.2 信息安全框架和标准 267
5.1.3 信息安全基准指标 267
5.2 物理与环境控制 270
5.2.1 环境风险暴露和控制 271
5.2.2 物理访问风险暴露和控制 274
5.2.3 工业控制系统安全 276
5.3 身份和访问管理 278
5.3.1 身份和访问管理 278
5.3.2 身份认证、授权和问责制 281
5.3.3 零信任架构 284
5.3.4 特权访问管理 285
5.3.5 目录服务 287
5.3.6 身份治理和管理 287
5.3.7 身份即服务 288
5.3.8 系统访问权限 289
5.3.9 访问控制的类型 290
5.3.10 信息安全和外部相关方 290
5.3.11 数字版权管理 293
5.3.12 逻辑访问 295
5.3.13 访问控制软件 296
5.3.14 登录ID和密码 297
5.3.15 远程访问安全 299
5.3.16 生物特征识别 299
5.3.17 逻辑访问控制的命名约定 302
5.3.18 联合身份管理 302
5.3.19 审计逻辑访问 305
5.4 网络和终端安全 306
5.4.1 信息系统网络基础架构 306
5.4.2 企业网络架构 306
5.4.3 网络类型 307
5.4.4 网络服务 307
5.4.5 网络标准和协议 308
5.4.6 虚拟私有网络 308
5.4.7 网络连接存储 310
5.4.8 内容交付网络 311
5.4.9 网络时间协议 313
5.4.10 联网环境中的应用程序 314
5.4.11 网络基础设施安全性 316
5.4.12 防火墙 317
5.4.13 统一威胁管理 322
5.4.14 网络分段 323
5.4.15 终端安全 325
5.5 数据丢失防护 327
5.5.1 DLP的类型 327
5.5.2 数据丢失风险 327
5.5.3 DLP 解决方案和数据状态 329
5.5.4 DLP控制 329
5.5.5 DLP内容分析方法 330
5.5.6 DLP部署最佳实践 331
5.5.7 DLP风险、限制和考虑因素 331
5.6 数据加密 332
5.6.1 加密系统的要素 332
5.6.2 链路加密和端到端加密 334
5.6.3 对称密钥加密系统 334
5.6.4 公共(非对称)密钥加密系统 335
5.6.5 椭圆曲线加密算法 336
5.6.6 量子密码学 336
5.6.7 同态加密 336
5.6.8 数字签名 337
5.6.9 数字信封 338
5.6.10 加密系统的应用 338
5.6.11 Kerberos 339
5.6.12 安全外壳 340
5.6.13 域名系统安全扩展 341
5.6.14 电子邮件安全 341
5.6.15 加密审计程序 343
5.7 公钥基础设施 344
5.7.1 数字证书 344
5.7.2 密钥管理 344
5.7.3 证书取消 344
5.7.4 证书取消清单 345
5.7.5 PKI基础设施风险 346
5.7.6 PKI审计程序 346
5.8 云和虚拟化环境 346
5.8.1 虚拟化 347
5.8.2 虚拟电路 350
5.8.3 虚拟局域网 350
5.8.4 虚拟存储区域网络 350
5.8.5 软件定义网络 351
5.8.6 容器化 353
5.8.7 安全云迁移 355
5.8.8 责任共担模型 357
5.8.9 云环境中的关键风险 358
5.8.10 DevSecOps 359
5.9 移动、无线和物联网设备 360
5.9.1 移动计算 360
5.9.2 移动设备威胁 361
5.9.3 移动设备控制 361
5.9.4 移动设备管理 362
5.9.5 自带设备 364
5.9.6 移动设备上的互联网访问 364
5.9.7 移动设备审计程序 365
5.9.8 移动支付系统 366
5.9.9 无线网络 368
5.9.10 物联网 371
B部分:安全事件管理 374
5.10 安全意识培训和方案 374
5.10.1 信息安全学习连续体 374
5.10.2 安全意识、培训和教育方案的好处 375
5.10.3 安全意识、培训和教育的方法 375
5.10.4 成功安全意识培训和教育方案的条件 375
5.10.5 开展需求评估 376
5.10.6 实施安全意识和培训方案 376
5.11 信息系统攻击方法和技术 378
5.11.1 欺诈风险因素 378
5.11.2 计算机犯罪问题和风险暴露 378
5.11.3 互联网威胁和安全 384
5.11.4 恶意软件 385
5.11.5 勒索软件 387
5.12 安全测试工具和技术 389
5.12.1 安全测试的目标 389
5.12.2 安全评估和安全审计 389
5.12.3 漏洞评估 390
5.12.4 渗透测试 390
5.12.5 威胁准备/信息安全团队 393
5.12.6 安全测试技术 394
5.12.7 安全运营中心 394
5.12.8 安全测试审计程序 395
5.13 安全监控日志、工具和技术 397
5.13.1 信息安全监控 397
5.13.2 入侵检测系统 398
5.13.3 入侵防御系统 399
5.13.4 监控系统访问时的审计记录 400
5.13.5 保护日志数据 402
5.13.6 安全信息和事件管理 402
5.13.7 安全监控工具 405
5.14 安全事故响应管理 405
5.14.1 事故响应流程 405
5.14.2 计算机安全事故响应团队 406
5.14.3 事故响应计划 407
5.14.4 安全编排、自动化和响应 407
5.15 证据搜集和取证 409
5.15.1 调查类型 409
5.15.2 计算机取证的类型 409
5.15.3 计算机取证阶段 410
5.15.4 审计注意事项 410
5.15.5 计算机取证技术 411
5.15.6 计算机取证工具 412
5.15.7 监管链 413
5.15.8 保护数字证据的最佳实践 413
案例研究 415
案例研究相关问题参考答案 416
附录A CISA考试一般信息 417
成功完成CISA考试 418
在信息系统审计、控制和安全方面的工作经验 418
考试介绍 418
报名参加CISA考试 418
CISA方案再次通过ISO/IEC 17024:2012鉴定 418
预约安排考试日期 419
考试入场 419
安排时间 419
考试评分 419
附录B CISA工作实务 421
知识领域 422
信息系统的审计流程 422
IT治理与管理 422
信息系统的购置、开发与实施 422
信息系统的运营和业务恢复能力 422
信息资产的保护 423
次要分类—任务 423
术语表 425
首字母缩略词 438
书单推荐
