最新最全的CISA知识体系讲解共43页文档

一、IS audit function的管理(一)IS审计功能组织1．Audit chapter 由管理高层审批用于建立IS内部审计的角色。

需要定义审计功能的authority,scope,responsibilities2．Engagement letter 是针对特定的审计项目3．外部审计的话通过contract或者statement of work来详细说明审计服务的objectives and scope4．任何情况，内部审计功能应该保持独立并向审计委员会或者董事会等高层汇报。

(二)IS审计资源管理1．IS审计师应该technically competent 应该通过持续的教育获得技术上的胜任2．审计部门应制定详细的员工培训计划，并定期检查，应提供必要的IT资源来实施IS审计。

(三)审计计划1．年度计划是短期，2．长期是考虑到影响计划IT环境的IT战略方向变化所带来的风险3．单个的审计任务需要考虑到定期风险评估结果，应用技术的变化，隐私的关注以及法律要求等，都会影响审计方法。

也要考虑系统部署/升级的deadlines, 现在或者将来的技术，业务流程owner的要求，以及IS资源的有限性等方面。

4．计划过程：获取对业务任务，目标，目的，过程的了解；也包括对信息系统CIA等安全要求的了解识别stated 内容包括策略，标准，要求的指引和组织架构执行RA来帮助开发审计计划设立审计scope和objectives开发审计方法或者审计strategy为审计分派人员解决engagement logistics5．IS审计师了解业务的方法：阅读背景资料，包括：工业出版物，年报，独立的财务分析报告回顾之前的审计报告，或者IT相关报告回顾业务和IT相关的长期战略计划访谈关键岗位来了解业务识别特定的适用于IT的法规识别外包的IT功能或相关活动Touring 关键的机构facilities(四)法律法规对IS审计计划的影响。

目录角色职责 (3)第一章 (3)基本职责归纳 (3)项目流程RACI (3)抽样方法及作用 (4)职业独立性与组织独立性区别： (4)对独立性/客观性是否造成危害的情况： (4)证据属性 (4)审计技术比较 (4)其他考点： (5)信息审计顺序 (5)第二章 (5)基本职责归纳 (5)安全治理成果与管理职责关系P45 (6)信息系统职责分离P209 (7)风险应对措施及举例 (7)控制措施及作用 (8)常用工具/分析方法的区别 (8)其他考点： (8)业务影响分析BIA (8)第三章 (8)基本职责归纳 (8)项目组织结构P29 (9)系统开发团队P37 (9)项目后审查与实施后审查区别P80 (10)各类项目管理工具、技术、测试的作用和目的 (10)SDLC各阶段 (11)质量评估指标 (11)攻击方法及说明 (11)网络组件及其作用 (12)开发方法描述及优缺点P312 (12)联机/在线事务处理数据完整性ACID原则 (13)其他考点： (13)第四章 (13)基本职责归纳 (13)恢复指标及作用 (14)不同计划及作用 (14)检查校验方式及目的 (14)廉价磁盘冗余阵列（RAID） (15)OSI七层结构 (15)备份方法优缺点 (16)其他考点： (16)协议等安全性 (16)容量/能力管理 (16)第五章 (16)基本职责归纳 (16)渗透测试方法比较 (17)机密性与访问控制 (17)权限安全管理相关 (18)电力安全相关 (18)防火墙相关 (18)其他考点： (18)公共密钥基础结构PKI (18)访问控制 (19)角色职责第一章基本职责归纳项目流程RACIBEM ：业务执行经理 CIO ：首席信息官BPO ：业务流程所有者 DO ：运营总监 CA ：首席架构师 DD ：开发总监ITA ：IT 行政主管 PMO ：项目管理官抽样方法及作用职业独立性与组织独立性区别：职业独立性：审计师推荐了一个特定的供应商就会破坏职业独立性 组织独立性：组织独立性在接受约定时考虑对独立性/客观性是否造成危害的情况：证据属性审计技术比较其他考点：信息审计顺序确定业务流程→控制目标及活动→关键信息资产→部署审计资源→约谈相关人员第二章基本职责归纳安全治理成果与管理职责关系P45信息系统职责分离P209风险应对措施及举例控制措施及作用常用工具/分析方法的区别其他考点：业务影响分析BIABIA的主要产出是了解运营中断成本，而不是BCP 第三章基本职责归纳项目组织结构 P29系统开发团队 P37QAT ）测试打没打到要求（UAT ）项目后审查与实施后审查区别P80项目后审查：参与人员为项目人员；目的是知识共享，流程改进；时间为项目结束后。

一、IS audit function的管理(一)IS审计功能组织1．Audit chapter 由管理高层审批用于建立IS内部审计的角色。

需要定义审计功能的authority,scope,responsibilities2．Engagement letter 是针对特定的审计项目3．外部审计的话通过contract或者statement of work来详细说明审计服务的objectives and scope4．任何情况，内部审计功能应该保持独立并向审计委员会或者董事会等高层汇报。

(二)IS审计资源管理1．IS审计师应该technically competent 应该通过持续的教育获得技术上的胜任2．审计部门应制定详细的员工培训计划，并定期检查，应提供必要的IT资源来实施IS审计。

(三)审计计划1．年度计划是短期，2．长期是考虑到影响计划IT环境的IT战略方向变化所带来的风险3．单个的审计任务需要考虑到定期风险评估结果，应用技术的变化，隐私的关注以及法律要求等，都会影响审计方法。

也要考虑系统部署/升级的deadlines, 现在或者将来的技术，业务流程owner的要求，以及IS资源的有限性等方面。

4．计划过程：获取对业务任务，目标，目的，过程的了解；也包括对信息系统CIA等安全要求的了解识别stated 内容包括策略，标准，要求的指引和组织架构执行RA来帮助开发审计计划设立审计scope和objectives开发审计方法或者审计strategy为审计分派人员解决engagement logistics5．IS审计师了解业务的方法：阅读背景资料，包括：工业出版物，年报，独立的财务分析报告回顾之前的审计报告，或者IT相关报告回顾业务和IT相关的长期战略计划访谈关键岗位来了解业务识别特定的适用于IT的法规识别外包的IT功能或相关活动Touring 关键的机构facilities(四)法律法规对IS审计计划的影响。

一站式解析CISA的备考要点CISA（注册信息系统审计师）是全球认可的信息系统审计和控制专业证书之一。

持有CISA证书的人员具备了全面的信息系统审核和控制的知识与技能。

本文将对CISA考试的备考要点进行详细解析，帮助考生全面了解备考的重点和难点，有效提高备考效果。

一、考试概览CISA考试是由美国信息系统审计与控制协会（ISACA）主办的一项认证考试。

考试内容涵盖了信息系统审计、控制和保护等方面的知识。

考试分为两个部分，第一部分是选择题，共150道题目，考察考生的理论知识；第二部分是案例分析题，考生需要根据实际案例进行分析和解答。

二、备考要点1. 熟悉考试大纲了解考试大纲是备考的第一步。

考试大纲详细列出了CISA考试的各个知识领域和考点，考生可以根据大纲有针对性地学习和备考，避免盲目性学习。

重点掌握大纲中列出的各个知识域和考点，并进行深入理解和记忆。

2. 学习教材和参考资料CISA备考教材是备考过程中最重要的参考资料。

选择一本权威可靠的教材，跟随教材的思路和结构进行学习。

同时，可以参考一些权威的学术期刊和行业刊物，了解最新的信息系统审计和控制研究成果，为备考提供更多的参考资料。

3. 制定备考计划制定备考计划是备考成功的关键。

根据自身的时间安排和学习进度，合理规划备考时间和学习任务。

将备考时间合理分配给各个知识领域，保证全面复习。

在备考计划中留出适当的复习和模拟考试时间，检验备考效果。

4. 注重理论与实践结合CISA考试注重应用能力的考察，理论知识的掌握是备考的基础，但实践能力同样重要。

在备考过程中，注重将理论知识与实际案例相结合，进行分析和解决问题的能力培养。

可以通过参加实践培训课程、模拟案例分析等方式，提高实践能力和应试水平。

5. 做题训练和模拟考试做题训练和模拟考试是备考过程中必不可少的环节。

通过反复做题，熟悉考试题型和解题思路，查漏补缺，提高解题速度。

在做题和模拟考试中，注意分析解题过程中的错误和不足之处，及时调整备考策略。

cisa的知识梳理从其他地方找到的知识梳理，与大家一起分享下内部控制的分类预防性控制,在事情发生前监测问题,如职责分离/仅雇佣合格人员/使用访问控制软件/控制访问物理设备/完成程序化的编辑检查检查性控制,使用控制检查和报告发生的问题,如Hash totals哈希汇总/生产作业中的检查点内部审计/回显控制纠正性控制,修复检查控制发现的问题/找出问题原因,纠正问题衍生的错误/修改处理系统以减少未来发生问题,如意外处理计划/备份流程/恢复运营流程审计风险的分类固有风险,假设不存在相关的内部控制的情况下,发生重大错误的风险控制风险,指有内部控制制度,但无法预防\及时发现或纠正重要错误的风险检查风险,信息审计人员采用了不恰当的测试程序,未能发现已存在的重大错误风险整体审计风险,是对个别控制目标所评估出的各类审计风险的综合符合性测试和实质性测试符合性测试:1. 关注内部控制的有效性,从而帮助审计师确定实质性测试的性质、时间和范围，2. 符合性测试可以用来测试既定程序的存在和有效性3. 符合性测试需要测试组织符合控制程序所收集的证据实质性测试：1．实质性测试验证实际处理的完整性，通过实质性测试可以确定财务报表和财务信息所反映的业务活动的正确性和完整性2．实质性测试需要评估组织的交易、数据若其他信息的完整性审计抽样分类：按抽样决策的依据不同，可分为1．统计抽样：审计人员在计算正式抽样结果时采用统计推断技术的一种抽样方法，客观的方法决定样本量大小和抽样方式2．非统计抽样：审计人员全凭主观标准和个人经验来评价样本结果并对总体做出结论两者的区别是：非统计抽样不能理化抽样风险，统计抽样可以量化按审计抽样所了解的总体特征不同，可分为1．属性抽样：估计一个控制或一组相关控制属性的发生概率。

与符合性测试有关有三种基本方法：固定样本量抽样停-走抽样发现抽样2．变量抽样：根据总体的抽样来估计总体的金额数或其他衡量单位，与实质性测试有关有三种常用方法：分层单位平均估计抽样不分层单位平均估计抽样差额估计抽样补偿性控制和重叠性控制补偿性控制是由健全的控制来弥补其他控制缺陷重叠的控制同时有两个健全的控制标准IT平衡记分卡使用一个三层架构来四个方面的评价要素：使命，战略，措施四个方面：财务、客户、内部流程、学习与发展风险管理过程第一步：对那些具有脆弱性，易受威胁，需要保护的信息资产进行识别与分类第二步：评价与信息资源相关的威胁和脆弱性，及其发生的可能性第三步：结合考虑各风险要素形成对风险的总体项目管理方法：1、关键路径法：因为项目的构成是一系列、次序排列的独立任务，利用类似网络结构的图示表示各行为之间的关系，所有链中，时间消耗总数最大的一条链，也就是关键路径，因为它代表了整个项目预计的最短耗时。

CISA知识要点概述CISA（Certified Information Systems Auditor）认证是国际上被广泛认可的信息系统审计师资格认证。

它是由全球信息系统审计行业权威组织ISACA（Information Systems Audit and Control Association）设立和管理的一项专业认证，用于评估和认可个人在信息系统审计、控制和保护方面的专业知识和技能。

接下来，我将对CISA知识要点进行概述。

一、信息系统审计1. 信息系统审计基础- 了解信息系统审计的定义、目标和范围- 理解内部控制和风险管理的概念- 掌握信息系统审计过程的步骤和方法2. 信息系统审计准备- 理解信息系统审计的计划和组织- 学会编制信息系统审计计划和程序- 掌握有效的信息系统审计资源管理和沟通技巧3. 信息系统审计的执行- 掌握信息系统审计工作程序和技术- 学会收集、分析和评估审计证据- 熟悉信息系统审计报告的编制和沟通技巧二、信息系统控制和保护1. 信息系统控制的概念和目标- 了解信息系统控制的定义和角色- 掌握信息系统控制的基本原则和目标- 理解信息系统控制的分类和层次2. 信息系统控制框架- 掌握不同的信息系统控制框架，如COSO、COBIT等- 熟悉信息系统控制框架的组成和结构- 学会应用信息系统控制框架进行系统审计和评估3. 信息系统控制技术- 理解信息系统控制技术的定义和应用- 掌握常见的信息系统控制技术，如访问控制、网络安全、物理安全等- 学会评估和测试信息系统控制技术的有效性4. 信息系统控制策略和实施- 掌握信息系统控制策略的制定和实施- 了解信息系统控制策略的管理和监督- 学会评估和改进信息系统控制策略的效果三、信息系统生命周期管理1. 信息系统规划和组织- 了解信息系统规划和组织的基本概念- 掌握信息系统战略规划和业务需求分析的技术和方法- 学会制定和执行信息系统组织和资源管理策略2. 信息系统采购和交付- 掌握信息系统采购和供应商评估的技术和方法- 理解信息系统交付的过程和技术- 学会评估和监督信息系统采购和交付的质量和风险3. 信息系统操作和维护- 了解信息系统运营和维护的基本要求- 掌握信息系统操作和维护的技术和方法- 学会评估和改进信息系统操作和维护的效果4. 信息系统变更管理- 理解信息系统变更管理的定义和目标- 掌握信息系统变更管理的步骤和技术- 学会评估和监督信息系统变更管理的质量和风险总之，CISA知识要点包括信息系统审计、信息系统控制和保护以及信息系统生命周期管理三个方面。

CISA知识点总结第一章.信息系统审计过程1.IS审计和保障标准、指南、工具、职业道德规范信息技术保证框架（ITAF，Information Technology Assurance Framework）●审计准则：强制性要求✓一般准则：基本的审计指导原理✓执行准则：涉及任务的执行和管理✓报告准则：落实报告类型、沟通方式和沟通信息●审计指南：侧重于审计方法、理论●工具和技术（也叫程序）：提供各种方法、工具和模版三者关系：IS审计师必须遵守审计准则，审计指南帮助应用审计准则，审计工具和技术提供了具体的流程和步骤范例。

2.风险评估概念、工具及技术风险的定义：“风险是特定的威胁利用资产的脆弱性从而对组织造成损害的可能性。

”（ISO/IEC PDTR13335-1）风险评估的过程：(1)识别业务目标（BO，Business Object）(2)识别信息资产（IA，Information Asset）(3)进行风险评估（RA，Risk Assessment）：威胁→脆弱性→可能性→影响(4)进行风险减缓（RM，Risk Mitigation）：落实相关控制(5)进行风险处置（RT，Risk Treatment）基于风险的审计：(1)搜集信息和计划(2)理解内部控制(3)执行符合性测试(4)执行实质性测试(5)完成审计和报告审计风险：审计过程中未发现信息可能存在的重大错误的风险。

●固有风险（Inherent Risk）：业务自身风险，不采取控制时的风险●控制风险（Control Risk）：采取控制后仍具有的风险●检查风险（Detection Risk）：得出错误检查结论的风险●整体审计风险（Overall Audit Risk）：对每一个控制目标评估出的各类审计风险的综合审计重大性（Materiality）：在问题程度上可被组织视为严重的错误。

●抽样不能检查出样本总体的所有错误，但可以将检查风险降低到可接受水平。

cisa基础知识CISA认证适用于企业信息系统管理人员、IT管理人员、IT审计人员、或信息化咨询顾问、信息安全厂商或服务提供商、和其他对信息系统审计感兴趣的人员。

以下是由店铺整理关于cisa知识的内容，希望大家喜欢!CISA认证介绍自1978年以来，由信息系统审计与控制协会发起的注册信息系统审计师(CISA)认证计划已经成为涵盖信息系统审计、控制与安全等专业领域的全球公认的标准。

CISA 推广与评价的专业技术和实务是在该领域中取得成功的基石。

拥有CISA 资格证书说明持证人具备的实践能力和专业程度。

随着对信息系统审计、控制与安全专业人士需求的增长，CISA 已成为全球范围内个人与公司机构不可或缺的认证。

CISA 资格证书代表持证人有卓越的能力服务于公司的信息系统审计、控制与安全领域。

此外，它还为持证人带来相当的职业成就和经济利益。

CISA应试条件CISA 认证计划为信息系统审计、控制与安全职业领域中具有卓越技能与判断力的个人提供评估与认证。

若想获得CISA认证，申请人需要：◎顺利通过CISA 的考试;◎遵守信息系统审计与控制协会的《职业道德规范》，此规范已列入《Candidate’s Guide to the CISA Exam》中，供考生参考(在官方网站上均有介绍);◎提供从事信息系统审计、控制与安全工作5 年以上经验的证明。

具有下列经验者，可申请替代部分年限，并出示适当的证明：具备如下资历者，可以申请替代(最长达)1 年的信息系统审计、控制与安全的工作经验要求：· 满1 年的非信息系统审计工作经验，或· 满1 年的信息系统工作经验，和/或· 具有大专学历(大学60 个学分或同等学历)。

· 拥有学士学位(大学120 个学分或同等学历)者，可以替代2 年信息系统审计、控制与安全工作经验。

·2 年相关领域(计算机科学、会计、审计、信息系统审计等)大学专职讲师经验可以替代1 年信息系统审计、控制与安全工作经验。