cisa复习要点

第二章IT治理★必须的知识点1.IT战略、政策、标准和程序对于组织的意义，及其基本要素2.IT治理框架(体系)3.制定、实施和维护IT战略、政策、标准和程序的流程。

如:信息资产的保护、业务持续和灾难恢复、系统和基础建设生命周期、IT服务交付与支持4.质量管理战略和政策5.与IT使用私}管理相关的组织结构、角色私!职责。

6.公认的国际IT标准和准则(指导)。

7.制订一长期战略方向的企业所需的IT体系及其内容8.风险管理方法和工具9.控制框架(模型)的使用，如:CobiT, COSO, ISO 17799等控制模型。

10.成熟度和流程改进模型(如:C1V1M, CobiT)的使用。

11.签约战略、程序和合同管理实务。

12.IT绩效的监督和报告实务13.有关的法律、规章等问题(如:保密法/隐私法、知识产权、公司治理的要求)14.IT人力资源管理15.资源投资和配置实务(如:投资的资产管理回报)★可能的考试重点公司治理与IT治理（概念）IT治理中董事会和执行经理层的作用（责任、关键成功因素）IT治理最佳实务（结构与关系）IT治理中审计的的作用（确保IT的运用符合组织目标）IT战略：IT战略委员会（职责、作用、组成）、IT平衡记分卡信息安全治理企业架构（结构化方式反映组织的IT资产）业务流程驱动的企业架构FEA参考模型风险管理（原第七章内容，重点）采购实务IS模块交付（内包、外包、混合采购）采购战略外包实务和战略（优缺点、风险）服务水平协议（SLA）全球化战略和实务第三方审计报告能力与发展服务改进和用户满意度行业标准/基准信息系统组织结构供货商和外包商管理体系运营和维护（原运维）应用开发和维护/系统开发和维护职责分离（重点）组织结构中不同人员的职责★需要了解和熟悉IT治理审计查询理解★★★★★★★信息系统安全管理的成果信息系统安全管理的不同层次★知识点摘要公司治理倡导的公司道德文化。

世界经合组织将公司治理定义:“公司内不同群体之间责权利的分配关系，如董事会、管理层、股东和其他利害相关者，这些分配关系清楚地勾勒出公司决策的规则和程序。

一、IS audit function的管理(一)IS审计功能组织1．Audit chapter 由管理高层审批用于建立IS内部审计的角色。

需要定义审计功能的authority,scope,responsibilities2．Engagement letter 是针对特定的审计项目3．外部审计的话通过contract或者statement of work来详细说明审计服务的objectives and scope4．任何情况，内部审计功能应该保持独立并向审计委员会或者董事会等高层汇报。

(二)IS审计资源管理1．IS审计师应该technically competent 应该通过持续的教育获得技术上的胜任2．审计部门应制定详细的员工培训计划，并定期检查，应提供必要的IT资源来实施IS审计。

(三)审计计划1．年度计划是短期，2．长期是考虑到影响计划IT环境的IT战略方向变化所带来的风险3．单个的审计任务需要考虑到定期风险评估结果，应用技术的变化，隐私的关注以及法律要求等，都会影响审计方法。

也要考虑系统部署/升级的deadlines, 现在或者将来的技术，业务流程owner的要求，以及IS资源的有限性等方面。

4．计划过程：获取对业务任务，目标，目的，过程的了解；也包括对信息系统CIA等安全要求的了解识别stated 内容包括策略，标准，要求的指引和组织架构执行RA来帮助开发审计计划设立审计scope和objectives开发审计方法或者审计strategy为审计分派人员解决engagement logistics5．IS审计师了解业务的方法：阅读背景资料，包括：工业出版物，年报，独立的财务分析报告回顾之前的审计报告，或者IT相关报告回顾业务和IT相关的长期战略计划访谈关键岗位来了解业务识别特定的适用于IT的法规识别外包的IT功能或相关活动Touring 关键的机构facilities(四)法律法规对IS审计计划的影响。

1、区分何时执行符合性测试和实质性测试?符合性测试（执行情况）验证控制的执行是否符合管理政策和规程验证真实的控制同审计师评价中所理解的方式相一致，判断控制是否在起作用测试一个既定流程的存在及其效果实质性测试（准确性）正式实际处理的完整性，验证财务报表数据及相关交易的有效性和完整性测试组织中直接影响财务报表平衡或其他相关数据的金额错误确定磁带库存货记录是否准确抽样执行：用户访问权限、程序变更控制基于对账户和交易的抽样来正式复杂计算的结流程、文件流程、编程文档、例外跟踪、果XX检查、软件XX2、给定场景下，确定哪一种证据收集技术是最好的。

收集证据的技术1）评价组织结构及其所提供的控制水平：采用分布式协作处理或最终用户计算方式，其IS职能的组织形式与传统的、具有独立的系统和运营部门的IS组织有所不同。

2）检查IS政策和程序：检查是否已建立适当的政策和规程，确定员工是否了解施行中的政策和规程、以及对这些政策和规程的遵循性。

验证管理层是否负责规划、制定、行文、发布和控制涵盖了总体目标与仿真的政策。

应当对政策和规程的适当性进行定期审查。

3）检查标准：了解组织中正式施行的标准4）检查IS文档：了解组织中存在的文件（硬拷贝形式、电子存档格式等）,如为电子存档的要评价对文件完整性的保护一一查明文件的最低水平。

5）访谈适当的人员：事先安排并确定明确的目标，按照预定的提纲进行并做好访谈记录。

收集审计证据的程序包括（调查' 观察、检查' 确认、演示和监控）6）观察工作流程和员工表现。

可考虑文件化的证据是否可作为有用证据，如照片等。

3、各种类型的抽样技术及其适用情况抽样方法统计抽样：采用客观的方法来确定样本量和样本抽取标准。

利用统计抽样，审计师可以量化描述样本与总体的接近程度以及用百分数表示的样本能够代表总体的概念。

非统计抽样（判断抽样）：采用审计师判断来确定抽样方法、样本量及抽样标准。

抽样结果基于审计师对抽样事项或交易的重要性及风险的主管判断属性抽样属性抽样: 利用估计总体中某种特性的发生比率的抽样方法，属性抽样回答“有多少”的问题变量抽样分层单位平均估计抽样：先对总体进行分层，然后从不同层分别抽取样本的统计抽样。

目录角色职责 (3)第一章 (3)基本职责归纳 (3)项目流程RACI (3)抽样方法及作用 (4)职业独立性与组织独立性区别： (4)对独立性/客观性是否造成危害的情况： (4)证据属性 (4)审计技术比较 (4)其他考点： (5)信息审计顺序 (5)第二章 (5)基本职责归纳 (5)安全治理成果与管理职责关系P45 (6)信息系统职责分离P209 (7)风险应对措施及举例 (7)控制措施及作用 (8)常用工具/分析方法的区别 (8)其他考点： (8)业务影响分析BIA (8)第三章 (8)基本职责归纳 (8)项目组织结构P29 (9)系统开发团队P37 (9)项目后审查与实施后审查区别P80 (10)各类项目管理工具、技术、测试的作用和目的 (10)SDLC各阶段 (11)质量评估指标 (11)攻击方法及说明 (11)网络组件及其作用 (12)开发方法描述及优缺点P312 (12)联机/在线事务处理数据完整性ACID原则 (13)其他考点： (13)第四章 (13)基本职责归纳 (13)恢复指标及作用 (14)不同计划及作用 (14)检查校验方式及目的 (14)廉价磁盘冗余阵列（RAID） (15)OSI七层结构 (15)备份方法优缺点 (16)其他考点： (16)协议等安全性 (16)容量/能力管理 (16)第五章 (16)基本职责归纳 (16)渗透测试方法比较 (17)机密性与访问控制 (17)权限安全管理相关 (18)电力安全相关 (18)防火墙相关 (18)其他考点： (18)公共密钥基础结构PKI (18)访问控制 (19)角色职责第一章基本职责归纳项目流程RACIBEM ：业务执行经理 CIO ：首席信息官BPO ：业务流程所有者 DO ：运营总监 CA ：首席架构师 DD ：开发总监ITA ：IT 行政主管 PMO ：项目管理官抽样方法及作用职业独立性与组织独立性区别：职业独立性：审计师推荐了一个特定的供应商就会破坏职业独立性 组织独立性：组织独立性在接受约定时考虑对独立性/客观性是否造成危害的情况：证据属性审计技术比较其他考点：信息审计顺序确定业务流程→控制目标及活动→关键信息资产→部署审计资源→约谈相关人员第二章基本职责归纳安全治理成果与管理职责关系P45信息系统职责分离P209风险应对措施及举例控制措施及作用常用工具/分析方法的区别其他考点：业务影响分析BIABIA的主要产出是了解运营中断成本，而不是BCP 第三章基本职责归纳项目组织结构 P29系统开发团队 P37QAT ）测试打没打到要求（UAT ）项目后审查与实施后审查区别P80项目后审查：参与人员为项目人员；目的是知识共享，流程改进；时间为项目结束后。

CISA个人考试学习笔记CISA个人考试学习笔记一、CISA考试概述CISA（Certified Information Systems Auditor，认证信息系统审计员）是由美国信息系统审计与控制协会（ISACA）主办的国际性认证考试。

CISA认证证明了持有人在信息系统及其控制、管理和审计方面的能力和知识。

考试内容包括五个领域：信息系统审计过程、信息系统控制与维护、信息系统开发和实施、信息系统运营、保护信息资源。

二、备考策略1.了解考试内容：详细阅读CISA考试大纲，了解考试的主要内容和重点领域，制定有针对性的备考计划。

2.准备教材：购买可靠的备考教材，且最好是与考试内容和大纲相符的。

3.制定学习计划：合理安排备考时间，每天留出固定的备考时间，并制定每天的学习任务和目标。

4.刷题与总结：针对各个领域的考试内容，进行相关题目的刷题和解析，并及时总结和归纳知识点。

5.考点整理：将备考过程中遇到的重难点和考点整理成思维导图或总结表格，方便复习时查阅。

三、备考内容1.信息系统审计过程信息系统审计的目的、范围和方法，审计准则与规范，信息系统安全和风险管理等内容。

2.信息系统控制与维护信息系统的逻辑性、完整性和保密性控制，物理安全，计算机作业控制，应用系统控制等内容。

3.信息系统开发和实施信息系统规划、设计与管理，信息系统开发的生命周期，信息系统开发中的关键控制，项目管理等内容。

4.信息系统运营信息系统运维的组织和结构，运维的策略和方法，运维过程中的风险和控制，运维项目管理等内容。

5.保护信息资源信息系统中的信息安全政策和目标，信息安全风险管理，网络安全，物理安全，密码学等内容。

四、备考建议1.制定学习计划：根据自己的备考时间和能力，制定合理的学习计划，合理分配时间和任务。

2.做好笔记：在学习过程中，及时记录和整理重要知识点，方便复习时查阅。

3.刷题训练：刷题是检验自己备考成果的有效方法，可以通过刷题来检验自己对知识点的掌握程度，并及时总结不足之处。

第二章IT治理★必须的知识点1.IT战略、政策、标准和程序对于组织的意义，及其基本要素2.IT治理框架(体系)3.制定、实施和维护IT战略、政策、标准和程序的流程。

如:信息资产的保护、业务持续和灾难恢复、系统和基础建设生命周期、IT服务交付与支持4.质量管理战略和政策5.与IT使用私}管理相关的组织结构、角色私!职责。

6.公认的国际IT标准和准则(指导)。

7.制订一长期战略方向的企业所需的IT体系及其内容8.风险管理方法和工具9.控制框架(模型)的使用，如:CobiT, COSO, ISO 17799等控制模型。

10.成熟度和流程改进模型(如:C1V1M, CobiT)的使用。

11.签约战略、程序和合同管理实务。

12.IT绩效的监督和报告实务13.有关的法律、规章等问题(如:保密法/隐私法、知识产权、公司治理的要求)14.IT人力资源管理15.资源投资和配置实务(如:投资的资产管理回报)★可能的考试重点公司治理与IT治理（概念）IT治理中董事会和执行经理层的作用（责任、关键成功因素）IT治理最佳实务（结构与关系）IT治理中审计的的作用（确保IT的运用符合组织目标）IT战略：IT战略委员会（职责、作用、组成）、IT平衡记分卡信息安全治理企业架构（结构化方式反映组织的IT资产）业务流程驱动的企业架构FEA参考模型风险管理（原第七章内容，重点）采购实务IS模块交付（内包、外包、混合采购）采购战略外包实务和战略（优缺点、风险）服务水平协议（SLA）全球化战略和实务第三方审计报告能力与发展服务改进和用户满意度行业标准/基准信息系统组织结构供货商和外包商管理体系运营和维护（原运维）应用开发和维护/系统开发和维护职责分离（重点）组织结构中不同人员的职责★需要了解和熟悉IT治理审计查询理解★★★★★★★信息系统安全管理的成果信息系统安全管理的不同层次★知识点摘要公司治理倡导的公司道德文化。

世界经合组织将公司治理定义:“公司内不同群体之间责权利的分配关系，如董事会、管理层、股东和其他利害相关者，这些分配关系清楚地勾勒出公司决策的规则和程序。

1.信息系统审计职能管理1.1.信息系统审计职能的组织IS审计服务可以有内部或外部提供。

➢内部审计：IS内部审计职能的角色应当由审计章程来确定。

可以为内部审计的部分、独立的职能部门、或融合于财务和运营审计中，为财务或管理审计师提供IT方面的控制保证。

任何情况下，内部审计职能都应当保持独立性，并向审计委员会或高级管理层报告工作。

➢审计章程：应当包括作为审计支持职能的IS审计，应明确阐述管理层对于IS审计职能的责任、目标和授权，应当概述审计职能的整体授权、范围和责任。

由最高管理层和审计委员会批准这部章程。

审计章程是涵盖组织中审计活动总体范围的最高层文档。

➢审计委托书：定位于组织中针对特定目标的具体审计任务。

➢外部审计：在组织与服务提供商之间应当以正式合同或工作书名数的形式，说明服务范围和目标，1.2.信息系统审计资源管理给予组织在技术和所需落实的相关风险方面的组织方针，按年制定详细的员工培训计划，并且定期组织检查以确保所需培训与审计部门采取的方针相一致，另外IS审计管理层也应当提供必要的IT资源来实施专业化的审计工作，如软件、网络、渗透测试等。

1.3.审计计划1.3.1.年度计划审计计划包括短期计划和长期计划。

短期计划：主要考虑年度内需实施的审计事项。

长期计划：主要考虑组织调整IT战略方针对IT环境造成的影响所带来的相关风险。

至少每年都应对短期和长期计划进行分析，分析中应考虑：新的控制问题、风险环境的变化、技术和业务流程、提高评估技术等，应有高级审计管理人员进行复核，并有审计委员会批准。

1.3.2.单项审计任务IS审计师应当按照以下步骤来实施审计计划：➢了解业务使命、目标、目的和流程，包括信息和处理要求；➢找出相关规定，如政策、标准何所需指南、规程以及组织结构；➢实施风险分析以帮助制定审计计划➢执行IT相关内部控制检查➢确定审计方法或审计策略➢为审计事项分配人力资源➢关组项目后勤保障IS审计师了解业务的步骤包括：➢巡检组织的关键设施；➢阅读背景资料，包括行业出版物、独立的财务分析报告；➢检查业务及IT长期战略规划➢访谈关键的管理人员以加深对业务事项的理解➢审阅以往的审计报告或IT相关报告➢识别适用于IT的具体章程➢识别已外包的IT职能或相关活动1.3.3.法律、法规对信息系统审计计划的影响一方面：审计或IS审计的法律要求另一方面：审计对象及其系统、数据管理和报告等方面相关的法律要求2.ISACA信息系统审计准则和指南2.1.ISACA职业道德规范ISACA会员和认证人应当：➢遵从并执行适当的IS审计准则、程序和控制；➢按照职业准则和最佳时间履行职责，并做到应用的客观、敬业和职业审慎；➢以诚实、合法的方式为利益相关服务，保持高尚的行为操守及品德，不得从事有损职业行为的活动；➢对工作中获取的信息，除按法律要求披露外，应保持其隐私和机密性，不得用于谋取私利或泄漏给他人；➢保持在所从事工作领域的专业胜任能力，仅从事自己能胜任的工作；➢向适当的组织报告工作成果，并向他们披露所有重大事项；➢应对利益相关者进行教育，以加强他们对信息系统安全和控制的理解2.2.ISACA信息系统审计准则框架ISACA信息系统审计准则的目标是指明：➢基于职业道德规范，IS审计师满足执业能力，可接受的最低业绩要求；➢管理层和相关部门对IS审计人员的执业期待➢CISA持证人的资格要求ISACA信息系统审计准则框架分为以下三个层次：➢准则定义了IS审计和报告的强制性要求➢指南为应用IS审计准则提供了指导➢程序为IS审计师执行审计任务提供了过程范例2.2.1.审计准则➢审计章程：信息系统审计职能或审计任务的目标、职责、授权和责任应当在审计章程或审计委托书中说明，审计章程或审计委托书应当由组织中适当层级批准和同意。

一站式解析CISA的备考要点CISA（注册信息系统审计师）是全球认可的信息系统审计和控制专业证书之一。

持有CISA证书的人员具备了全面的信息系统审核和控制的知识与技能。

本文将对CISA考试的备考要点进行详细解析，帮助考生全面了解备考的重点和难点，有效提高备考效果。

一、考试概览CISA考试是由美国信息系统审计与控制协会（ISACA）主办的一项认证考试。

考试内容涵盖了信息系统审计、控制和保护等方面的知识。

考试分为两个部分，第一部分是选择题，共150道题目，考察考生的理论知识；第二部分是案例分析题，考生需要根据实际案例进行分析和解答。

二、备考要点1. 熟悉考试大纲了解考试大纲是备考的第一步。

考试大纲详细列出了CISA考试的各个知识领域和考点，考生可以根据大纲有针对性地学习和备考，避免盲目性学习。

重点掌握大纲中列出的各个知识域和考点，并进行深入理解和记忆。

2. 学习教材和参考资料CISA备考教材是备考过程中最重要的参考资料。

选择一本权威可靠的教材，跟随教材的思路和结构进行学习。

同时，可以参考一些权威的学术期刊和行业刊物，了解最新的信息系统审计和控制研究成果，为备考提供更多的参考资料。

3. 制定备考计划制定备考计划是备考成功的关键。

根据自身的时间安排和学习进度，合理规划备考时间和学习任务。

将备考时间合理分配给各个知识领域，保证全面复习。

在备考计划中留出适当的复习和模拟考试时间，检验备考效果。

4. 注重理论与实践结合CISA考试注重应用能力的考察，理论知识的掌握是备考的基础，但实践能力同样重要。

在备考过程中，注重将理论知识与实际案例相结合，进行分析和解决问题的能力培养。

可以通过参加实践培训课程、模拟案例分析等方式，提高实践能力和应试水平。

5. 做题训练和模拟考试做题训练和模拟考试是备考过程中必不可少的环节。

通过反复做题，熟悉考试题型和解题思路，查漏补缺，提高解题速度。

在做题和模拟考试中，注意分析解题过程中的错误和不足之处，及时调整备考策略。

TASK STATEMENTS1.评估逻辑访问控制的设计，部署和监控，以确保信息资产的CIA2.评估network infrastructure的安全性3.评估环境控制4.评估物理访问控制5.评估存储，retrieve，传递和处理机密信息资产的过程和流程Knowledge STATEMENTS1.安全的设计，部署和监控的技术2.逻辑访问控制3.逻辑访问架构（SSO,用户识别，身份管理）4.攻击手段和技术5.安全事件响应6.挽留过和internet安全设别，协议和技术：SSL,SET,VPN,NAT7.IDS,IPS,Firewall的部署，操作，配置和维护8.加密算法技术，9.PKI10.病毒检测工具和控制技术11.安全测试和评估工具12.环境保护实践和设备13.物理安全系统和实践14.V oIP15.机密信息资产的生命周期保护16.手动，无线设备的控制和相关风险。

信息安全管理的重要性1.信息安全的目标C I A一、信息安全管理的关键要素1.IS安全不仅仅是一种机制，同样反应的是企业的文化。

高层支持策略和流程组织安全意识和交易监控和合规性事件处理和响应二、信息安全管理角色和职责1.IS security steering committee：不同管理层的人员足赤回忆2.Eexcutive management：对信息资产保护、发布和维护信息安全策略框架负责3.security advisor group：需要由bussiness人员设计，检查组织的安全计划，想CSO提供安全建议，以及向业务部门沟通安全项目是否符合业务需要4.CPO 首席隐私官5.CISO 首席信息安全官6.process owner：确保适当的安全措施与机构的策略一致，并得到维护rmation asset owners and data owner：ers9.external parties10.security administrator：staff级别的而为之，提供适当的物理和逻辑安全项目11.security specialists、advisor12.IT developers13.IS auditor：独立性assurance三、信息资产的目录和分级1.信息资产分级将安全与业务目标有效结合起来，减少风险，节省成本2.classification应该根据机构规模尽量简化。

CISA知识要点概述CISA（Certified Information Systems Auditor）认证是国际上被广泛认可的信息系统审计师资格认证。

它是由全球信息系统审计行业权威组织ISACA（Information Systems Audit and Control Association）设立和管理的一项专业认证，用于评估和认可个人在信息系统审计、控制和保护方面的专业知识和技能。

接下来，我将对CISA知识要点进行概述。

一、信息系统审计1. 信息系统审计基础- 了解信息系统审计的定义、目标和范围- 理解内部控制和风险管理的概念- 掌握信息系统审计过程的步骤和方法2. 信息系统审计准备- 理解信息系统审计的计划和组织- 学会编制信息系统审计计划和程序- 掌握有效的信息系统审计资源管理和沟通技巧3. 信息系统审计的执行- 掌握信息系统审计工作程序和技术- 学会收集、分析和评估审计证据- 熟悉信息系统审计报告的编制和沟通技巧二、信息系统控制和保护1. 信息系统控制的概念和目标- 了解信息系统控制的定义和角色- 掌握信息系统控制的基本原则和目标- 理解信息系统控制的分类和层次2. 信息系统控制框架- 掌握不同的信息系统控制框架，如COSO、COBIT等- 熟悉信息系统控制框架的组成和结构- 学会应用信息系统控制框架进行系统审计和评估3. 信息系统控制技术- 理解信息系统控制技术的定义和应用- 掌握常见的信息系统控制技术，如访问控制、网络安全、物理安全等- 学会评估和测试信息系统控制技术的有效性4. 信息系统控制策略和实施- 掌握信息系统控制策略的制定和实施- 了解信息系统控制策略的管理和监督- 学会评估和改进信息系统控制策略的效果三、信息系统生命周期管理1. 信息系统规划和组织- 了解信息系统规划和组织的基本概念- 掌握信息系统战略规划和业务需求分析的技术和方法- 学会制定和执行信息系统组织和资源管理策略2. 信息系统采购和交付- 掌握信息系统采购和供应商评估的技术和方法- 理解信息系统交付的过程和技术- 学会评估和监督信息系统采购和交付的质量和风险3. 信息系统操作和维护- 了解信息系统运营和维护的基本要求- 掌握信息系统操作和维护的技术和方法- 学会评估和改进信息系统操作和维护的效果4. 信息系统变更管理- 理解信息系统变更管理的定义和目标- 掌握信息系统变更管理的步骤和技术- 学会评估和监督信息系统变更管理的质量和风险总之，CISA知识要点包括信息系统审计、信息系统控制和保护以及信息系统生命周期管理三个方面。

第三章系统和基础建设生命周期管理★必须的知识点1.收益管理实务(例如:可行性研究、业务案例)2.项目治理机制，如:项目指导委员会、项目监督委员会3.项目管理实务、工具和控制框架4.用于项目管理上的风险管理实务5.项目成功的原则和风险6.涉及开发、维护系统(和/或体系)的配置、变更和(发布的)版本管理7.确保IT系统应用的交易和数据的完整性、准确性、有效性和授权的控制目标和技术8.关于数据、应用和技术的企业框架9.需求分析和管理实务，如:需求验证、跟踪(可追溯)、差距分析10.采购和合同管理程序，如:评估供应商、签合同准备、供应商管理、由第三方保存附带条件委付的契约(escrow).11.系统开发方法和工具，以及它们的优缺点。

例如，敏捷开发实务，原型、快速应用开发(RAD),面向对象的设计技术。

12.质量保证方法13.测试流程的管理，如，测试战略、测试计划、测试环境、启用和关闭(测试)的标准。

14.数据转换工具、技术和程序。

15.系统(和/或体系)(报废、退役)的处置程序。

16.软件、硬件的认证和鉴定实务。

17.(现场)实施后的检查的目标和方法。

如:项目关闭、收益实现、绩效的测定。

18.系统移植和体系开发实务。

★可能的考试重点物理体系分析项目阶段需要了解每个阶段的具体要求和审计师的关注检查现有体系分析和设计起草功能需求供应商和产品选择编写功能需求概念验证应用控制（原第七章）（重点）各种控制方法的含义输入控制（授权输入、批控制、错误报告与处理、联机系统或数据库系统的批完整性）处理程序与处理控制（数据确认和编辑检查、处理控制、数据文件控制程序）输出控制业务流程控制保证（在业务流程中实施应用控制）★知识点摘要业务运营的实现组合项目/大项目管理一方面，尽量使各项目((projects)独立运作，减少相互影响;另一方面，也要协调各项目(之间的资源、进度)。

这就需要专门的人项目组织(机制)。

大项目所有者(program owner role)，与项目所有人(Project owner role)是不同的。

cisa复习要点首先，需要了解CISA（注册信息系统审计师）考试的基本概念和要求。

CISA考试是由全球信息系统审计协会（ISACA）主办的国际性认证考试，旨在评估个人在信息系统及其管理方面的知识、技能和职业素质。

通过CISA考试，可以获得全球认可的信息系统审计师资格。

一、CISA考试概述CISA考试主要涵盖以下几个领域：1. 信息系统审计过程2. 信息系统的规划、建设和维护3. 信息系统的运营、支持和保护4. 信息系统的项目管理和风险管理二、信息系统审计过程信息系统审计过程是CISA考试的核心内容之一。

在这个领域中，需要掌握以下几个方面的知识：1. 信息系统审计原则和方法2. 审计计划和程序3. 数据采集与分析4. 审计报告和沟通三、信息系统的规划、建设和维护在信息系统的规划、建设和维护领域，需要了解以下知识点：1. 信息系统规划和战略2. 信息系统开发与实施3. 信息系统维护与运营4. 信息系统变更管理和配置管理四、信息系统的运营、支持和保护信息系统的运营、支持和保护是CISA考试的重要内容之一。

以下是需要关注的方面：1. 信息系统运营管理2. 业务连续性计划3. 系统支持与维护4. 信息系统安全管理五、信息系统的项目管理和风险管理在信息系统的项目管理和风险管理领域，需要重点掌握以下知识点：1. 项目管理概述2. 项目管理过程3. 风险管理与控制4. 质量管理和度量六、复习建议为了能够有效备考CISA考试，我建议采取以下几个复习策略：1. 制定详细的学习计划，包括每天的学习时间和内容安排。

2. 阅读ISACA官方提供的CISA考试指南和教材，了解考试的内容框架和要求。

3. 参加培训班或者自学，掌握CISA考试的基本知识和技能。

4. 刷题是复习的重要环节，可以通过模拟考试来评估自己的学习进展，并找出薄弱环节进行有针对性的复习。

5. 沉下心来，保持积极的学习态度和良好的复习习惯。

总结：CISA考试是一项全球认可的信息系统审计师资格考试，通过考试可以评估个人在信息系统及其管理方面的知识、技能和职业素质。

CISA知识点总结第一章.信息系统审计过程1.IS审计和保障标准、指南、工具、职业道德规范信息技术保证框架（ITAF，Information Technology Assurance Framework）●审计准则：强制性要求✓一般准则：基本的审计指导原理✓执行准则：涉及任务的执行和管理✓报告准则：落实报告类型、沟通方式和沟通信息●审计指南：侧重于审计方法、理论●工具和技术（也叫程序）：提供各种方法、工具和模版三者关系：IS审计师必须遵守审计准则，审计指南帮助应用审计准则，审计工具和技术提供了具体的流程和步骤范例。

2.风险评估概念、工具及技术风险的定义：“风险是特定的威胁利用资产的脆弱性从而对组织造成损害的可能性。

”（ISO/IEC PDTR13335-1）风险评估的过程：(1)识别业务目标（BO，Business Object）(2)识别信息资产（IA，Information Asset）(3)进行风险评估（RA，Risk Assessment）：威胁→脆弱性→可能性→影响(4)进行风险减缓（RM，Risk Mitigation）：落实相关控制(5)进行风险处置（RT，Risk Treatment）基于风险的审计：(1)搜集信息和计划(2)理解内部控制(3)执行符合性测试(4)执行实质性测试(5)完成审计和报告审计风险：审计过程中未发现信息可能存在的重大错误的风险。

●固有风险（Inherent Risk）：业务自身风险，不采取控制时的风险●控制风险（Control Risk）：采取控制后仍具有的风险●检查风险（Detection Risk）：得出错误检查结论的风险●整体审计风险（Overall Audit Risk）：对每一个控制目标评估出的各类审计风险的综合审计重大性（Materiality）：在问题程度上可被组织视为严重的错误。

●抽样不能检查出样本总体的所有错误，但可以将检查风险降低到可接受水平。