最新最全的CISA知識體系講解.ppt

第一部分信息系統(tǒng)審計程序 1 1ISACA發(fā)布的信息系統(tǒng)審計標準 準則 程序和職業(yè)道德規(guī)范1 2IS審計實務和技術1 3收集信息和保存證據的技術 如觀察 調查問卷 談話 計算機輔助審計技術 電子介質 1 4證據的生命周期 如證據的收集 保護和證據之間的相關性 1 5與信息系統(tǒng)相關的控制目標和控制 如CobiT模型 1 6審計過程中的風險評估1 7審計計劃和管理技術1 8報告和溝通技術 如推進 商談 解決沖突 1 9控制自我評估 CSA 1 10不間斷審計技術 即 連續(xù)審計技術 第二部分IT治理 信息技術治理 2 1IT戰(zhàn)略 政策 標準和程序對于組織的意義 及其基本要素2 2IT治理框架 體系 2 3制定 實施和維護IT戰(zhàn)略 政策 標準和程序的流程 如 信息資產的保護 業(yè)務持續(xù)和災難恢復 系統(tǒng)和基礎建設生命周期 IT服務交付與支持2 4質量管理戰(zhàn)略和政策2 5與IT使用和管理相關的組織結構 角色和職責 2 6公認的國際IT標準和準則 指導 2 7制訂長期戰(zhàn)略方向的企業(yè)所需的IT體系及其內容2 8風險管理方法和工具2 9控制框架 模型 的使用 如 CobiT COSO ISO17799等控制模型 2 10成熟度和流程改進模型 如 CMM CobiT 的使用 第二部分IT治理 信息技術治理 2 11簽約戰(zhàn)略 程序和合同管理實務 2 12IT績效的監(jiān)督和報告實務2 13有關的法律 規(guī)章等問題 如 保密法 隱私法 知識產權 公司治理的要求 2 14IT人力資源管理2 15IT資源投資和配置實務 如 投資的資產管理回報 第三部分系統(tǒng)和基礎建設生命周期管理 3 1收益管理實務 例如 可行性研究 業(yè)務案例 3 2項目治理機制 如 項目指導委員會 項目監(jiān)督委員會3 3項目管理實務 工具和控制框架3 4用于項目管理上的風險管理實務3 5項目成功的原則和風險3 6涉及開發(fā) 維護系統(tǒng) 和 或體系 的配置 變更和 發(fā)布的 版本管理3 7確保IT系統(tǒng)應用的交易和數據的完整性 準確性 有效性和授權的控制目標和技術3 8關于數據 應用和技術的企業(yè)框架3 9需求分析和管理實務 如 需求驗證 跟蹤 可追溯 差距分析3 10采購和合同管理程序 如 評估供應商 簽合同準備 供應商管理 由第三方保存附帶條件委付的契約 escrow 第三部分系統(tǒng)和基礎建設生命周期管理 3 11系統(tǒng)開發(fā)方法和工具 以及它們的優(yōu)缺點 例如 敏捷開發(fā)實務 原型 快速應用開發(fā) RAD 面向對象的設計技術 3 12質量保證方法3 13測試流程的管理 如 測試戰(zhàn)略 測試計劃 測試環(huán)境 啟用和關閉 測試 的標準 3 14數據轉換工具 技術和程序 第四部分IT服務的交付與支持 4 1服務的等級 或水平 管理實務4 2運營管理最佳實務 例如 工作負荷調度 網絡服務管理 預防性維護 4 3系統(tǒng)性能 或效能 監(jiān)控程序 工具和技術 例如 網絡分析器 系統(tǒng)利用率報告 負載均衡4 4硬件和網絡設備的功能 如 路由器 交換機 防火墻和外圍設備4 5數據庫管理實務4 6操作系統(tǒng) 工具軟件和數據庫管理系統(tǒng) 例如 關系型數據庫 Oracle PostgreSQL 等系統(tǒng)軟件的功能 4 7生產能力計劃和監(jiān)控技術4 8對生產系統(tǒng) 或體系 的應急變更和調度管理程序 包括變更 配置 版本 發(fā)布和補丁管理實務 4 9 生產 事件 問題管理實務 如 幫助臺 負責電話受詢 提供一般性技術救援 逐級 上報程序和 技術 追蹤 4 10軟件許可證和 其總量 清單管理實務 4 11系統(tǒng)彈性之工具和技術 例如 容錯硬件 單點失效的排除 服務器 群集 或矩陣 第五部分信息資產的保護 5 1 信息系統(tǒng)的 安全 措施的 設計 實施和監(jiān)控技術 如 威脅和風險評估 敏感性分析 泄密評估5 2用戶使用授權的功能和數據時 識別 簽訂和約束等邏輯訪問控制 例如 動態(tài)密碼 詢問 應答 配置 菜單 用戶 資料信息 5 3邏輯訪問安全體系 如 單點登陸 SSO 用戶識別策略 標識 身份 管理 5 4攻擊方法和技術 如 黑客 欺騙 特絡伊木馬 拒絕服務 垃圾電子郵件 5 5對安全事件的監(jiān)測和響應程序 如 上報程序 突發(fā)事件響應團隊5 6網絡和Internet安全設備 協議和技術 如 SSL SET VPN NAT5 7入侵監(jiān)測系統(tǒng)和防火墻的配置 實施 運行和維護 5 8加密算法 技術 如 AES RSA5 9公共密鑰結構 PKI 組件 如 CA RA 和數字簽名技術5 10病毒監(jiān)測工具和控制技術 第五部分信息資產的保護 5 11安全 方案 的測試和評估技術 例如 滲透測試 漏洞掃描5 12 生產 環(huán)境保護實務和設備 如 火災壓制 冷卻系統(tǒng)和水傳感器5 13物理安全系統(tǒng)和實務 例如 生物 特征 鑒定 門卡 密碼鎖 5 14數據分類方案 例如 公開的 保密的 私密的和敏感的數據 5 15語音通訊的安全 如 VoIP5 16保密信息資產的采集 存儲 使用 傳輸 或運輸 和 退役 處置程序和流程 5 17與使用便攜式和無線設備 例如 個人商務通PDA USB設備和藍牙設備 相關的控制和風險 第六部分災難恢復和業(yè)務連續(xù)性計劃 6 1數據備份 存儲 維護 保留和恢復流程 和實務 6 2業(yè)務連續(xù)性和災難恢復有關的法律 規(guī)章 協議和保險問題 6 3業(yè)務影響分析 BIA 6 4開發(fā)和維護災難恢復和業(yè)務連續(xù)性計劃 6 5災難恢復和業(yè)務連續(xù)性計劃測試途徑和方法6 6與災難恢復和業(yè)務連續(xù)性計劃有關的人力資源管理 例如 疏散計劃 緊急 響應團隊 6 7啟用災難恢復和業(yè)務連續(xù)性計劃的程序 或流程 6 8備用業(yè)務處理站點 指場所和設施 的類型 和監(jiān)督有關協議 合同的方法 CISAvs CISSP 認證側重點 CISSP信息系統(tǒng)安全的管理與實踐CISA信息系統(tǒng)的控制與審計 對應的職業(yè)不同 CISSPConsultant managementCISAAuditor management 考試難度比較 技術深度CISSP CISACISSP10domainsCISA6domains答題壓力CISA CISSPCISSP6小時250題CISA4小時200題 CISAOverview CISAoverview CISAandISACACISA認證CISA考試CISA考試內容CISAvs CISSP CISAandISACA CISAandISACA CISACertifiedInformationSystemAuditor注冊信息系統(tǒng)審計師ISACAInformationSystemsAuditandControlAssociation信息系統(tǒng)審計與控制協會 ISACA 信息系統(tǒng)審計與控制協會 ISACA 創(chuàng)始于1967年 當時它是由從事同類職業(yè)的人所組成的小團體 計算機系統(tǒng)的審計和控制對他們各自機構的運作都變得愈發(fā)關鍵 因此他們聚集起來討論制定信息集中化資源和本領域指導準則的必要性 在1969年 這個團體正式組建為EDP審計師協會 在1976年 這個協會成立一項教育基金來開展大規(guī)模的研究工作 以拓展信息產業(yè)管理與控制領域的知識與價值 ISACA 今天 ISACA在全球有兩萬八千多名成員 他們的組成非常具有多元性 這些成員在100多個國家內生活和工作 并涵蓋眾多專業(yè)信息技術的相關職業(yè) 比如信息系統(tǒng)審計師 顧問 教導員 信息系統(tǒng)安全專家 管理者 首席信息官和內部審計師等 有些職業(yè)是本領域內新興的 其他為中級管理人員 另外還有許多人擔任最高級的職位 他們幾乎遍及所有行業(yè) 包括財政金融 公共會計 政府與公共部門 公用事業(yè)和制造業(yè) 這種多元性使眾多成員能夠相互學習 并在許多專業(yè)問題上廣泛交流彼此的觀點 該特點一直被認為是ISACA的強勢之一 ISACA ISACA的另一個強勢就是它的分會網絡 ISACA的分會遍布世界60多個國家 可提供成員教育 資源共享 支持 專業(yè)網絡 以及其他由當地分會提供的諸多利益 ISACA 在ISACA創(chuàng)立的三十年來 它已成為一個為信息管理 控制 安全和審計專業(yè)設定規(guī)范的全球性組織 它的信息系統(tǒng)審計和信息系統(tǒng)控制標準為全球執(zhí)業(yè)者所遵從 它的研究工作針對那些挑戰(zhàn)其重要原則的疑難專業(yè)事項 它的國際信息系統(tǒng)審計師 CISA 認證得到全球的公認 并有三萬多名專業(yè)人員得到認證 它最新推出的國際信息安全經理 CISM 認證特別針對信息安全管理的審計事務 它出版了領先于信息控制領域的技術性期刊 即 信息系統(tǒng)控制期刊 InformationSystemsControlJournal 它舉辦一系列國際性會議 并且把焦點集中于信息系統(tǒng)保障 控制 安全和信息技術管理專業(yè)的技術與管理主題上 ISACA 唯一有權授予信息系統(tǒng)審計師資格的跨國界 跨行業(yè)專業(yè)機構 ISACAWeb http www isaca org CISA認證 CISA的工作 熟悉信息系統(tǒng)軟件 硬件 開發(fā) 運營 維護 管理以及安全熟悉業(yè)務運營管理利用規(guī)范和相關的審計技術 對信息系統(tǒng)的安全性 穩(wěn)定性 有效性進行審計 檢查 評價 CISA證書的價值 全球化進展進一步提升了CISA資格證書的價值 顯示了它是真正國際認可的資歷證書 美國摩根大通公司 埃內斯托 阿吉拉 CISA CISA證書的價值 專業(yè)認證計劃杰出的標志在于持證人提高了自身的價值并受到了人們的尊重 自1978年以來 由信息系統(tǒng)審計與控制協會 ISACA 發(fā)起的國際信息系統(tǒng)審計師 CISA 認證已經成為持證人在信息系統(tǒng)審計 控制與安全等專業(yè)領域中取得成績的象征 并逐步發(fā)展成全球公認的標準 最高專業(yè)程度的標志 獲得CISA資格證書有助于確立您作為一名合格的信息系統(tǒng)審計 控制和安全專業(yè)人才的聲望 不論你是希望提高你的工作業(yè)績還是得到職務升遷 擁有CISA資格證書都會使你擁有他人無法企及的競爭優(yōu)勢 雇主尋求的資歷 由于CISA所認證的個人能夠熟練掌握當今需要的最先進的技能 雇主更愿意雇用和留住那些達到并能夠維持資格證書所要求水平的人才 CISA資格證書向雇主保證其雇員已達到工作要求所必需的最新教育與實踐經驗 CISA用它的四個字母向未來雇主表明 我具備扎實的信息系統(tǒng)審計知識與豐富的經驗 CISA使持證人在市場中占據優(yōu)勢 英國蘇格蘭皇家銀行 羅勃特 科里斯 CISA 全球的認可 也許本認證對于你當前的工作并不是絕對必需的 然而越來越多的機構希望員工得到CISA認證 為了確保你在全球市場中的成功 選擇一個建立在全球認可技術實務基礎上的認證是至關重要的 CISA所提供的就是這種認證 CISA作為信息系統(tǒng)審計 控制與安全專業(yè)人員的資格證書 受到全世界所有行業(yè)的廣泛認可 得到ISO IEC17024 2003標準的公認 美國國家標準協會 ANSI 已經按照ISO IEC17024 2003標準對CISA認證計劃進行了鑒證和認可該標準是對一個團體開展人員認證方面的總體要求 成為CISA 順利通過CISA的考試 遵守國際信息系統(tǒng)審計與控制協會的 職業(yè)道德準則 提供從事信息系統(tǒng)審計 控制與安全工作5年以上經驗的證明 具有下列同等經驗 可申請免除該項經驗 并應獲得如下證明 1年以下的信息系統(tǒng)審計 控制與安全工作的經驗可用如下資歷相抵 滿1年的非信息系統(tǒng)審計工作經驗 或滿1年的信息系統(tǒng)工作經驗 和 或具有大專學歷 大學60個學分或同等學歷 2年信息系統(tǒng)審計 控制與安全工作的經驗可用學士學位 大學120個學分或同等學歷 相抵 1年信息系統(tǒng)審計 控制與安全工作的經驗可用2年相關領域 計算機科學 會計 信息系統(tǒng)審計等 內從事大學專職講師的經驗相抵 無最高年限 即6年大學講師經驗等同于3年信息系統(tǒng)審計 控制與安全工作的經驗 成為CISA 專業(yè)經驗必須在申請前的10年之內獲得 或在第一次通過考試之日的前5年之內 認證申請必須在通過CISA考試的5年之內提出 所有專業(yè)經驗都必須由原雇主獨立地確認 CISA考試 CISA考試 CISA考試在每年6月份和12月份舉行2006年的考試日期為12月9日考題包含200道多項選擇題考試時間為4個小時75分通過 考試報名 填寫并郵寄報名表線上報名報名費 5102006年8月16日之前 460線上報名 可節(jié)省 35報名截止日期 9月27日 考分的郵寄 自考試之日起約6個星期后 考生將接到郵寄的考試成績通知 為了對考試分數保密 考試結果將不采用電話 傳真或電子郵件的方式進行通知 然而 如果你在報名表的第27項上表明同意 我們可以通過電子郵件向你發(fā)送及格 不及格的考分 CISA資格證書的維持 獲得任何職業(yè)資格證書的持證人必須參與繼續(xù)教育計劃來維持其資格證書 為了維持CISA資格證書 持證人必須履行繼續(xù)職業(yè)教育政策 并遵守ISACA協會的 職業(yè)道德準則 這些計劃有助于保證CISA持證人能夠與業(yè)內先進技術的發(fā)展保持同步 并展示較高的職業(yè)原則 繼續(xù)職業(yè)教育政策 要求持證人獲得并提供最低限度的繼續(xù)職業(yè)教育 CPE 學時 并每年支