最新最全CISA学习笔记

引言概述：CISA（CertifiedInformationSystemsAuditor）是一项国际认可的信息系统审计师资格认证，对从事信息系统审计和控制的专业人士具有重要意义。

本文将针对CISA知识点进行总结，帮助读者全面了解CISA考试的内容和要求。

正文内容：一、信息系统审计的基本概念和原则1.信息系统审计的定义和目的2.信息系统审计的基本原则3.信息系统审计的类型和阶段4.信息系统审计的参与者和角色5.信息系统审计的国际标准和准则二、信息系统与技术基础1.信息系统的组成和分类2.信息系统的开发生命周期3.信息系统的运行和维护4.信息系统的风险与控制5.信息系统的安全性和保护措施三、信息系统审计过程与方法1.信息系统审计的策划和准备2.信息系统审计的实施和测试3.信息系统审计的发现和报告4.信息系统审计的跟踪和追踪5.信息系统审计的总结和建议四、信息系统审计的专业实践1.信息系统审计的法律法规和道德规范2.信息系统审计的流程和工具3.信息系统审计的案例和经验分享4.信息系统审计的问题识别和解决5.信息系统审计的持续学习和发展五、信息系统审计的未来发展趋势1.信息系统审计的技术创新和趋势预测2.信息系统审计的人才需求和发展机遇3.信息系统审计的国际合作和标准发展4.信息系统审计的重要性和挑战5.信息系统审计的职业形象和影响力总结：CISA知识点总结着重强调了信息系统审计的基本概念和原则、信息系统与技术基础、信息系统审计过程与方法、信息系统审计的专业实践以及信息系统审计的未来发展趋势五个大点。

每个大点下面设定了59个小点来详细阐述相关知识。

通过本文的学习，读者可以全面了解CISA考试所需的知识和技能，为提高信息系统审计能力和通过CISA考试提供有力的支持。

同时，本文还强调了信息系统审计在未来的发展趋势和重要性，鼓励读者不断学习和发展，为信息系统审计职业做出更大的贡献。

私有地址范围：A类：10.0.0.0 至10.255.255.255B类：172.16.0.0 至172.31.255.255C类：192.168.0.0 至192.168.255.255子网的划分：子网掩码与动态子网掩码（VLSM）子网掩码的使用是为了使网络被更细粒度的划分，但本身不会增加可用的IP资源，不过提高了IP资源的使用效率。

而动态子网掩码使得子网规模的划分更灵活，而且据我分析，动态子网掩码实际可增加可用的IP资源，因为由于掩码的不同，其４字节的IP地址可以存在重叠。

理论上重叠是可以出现的，但在具体应用时会使用IP地址分段图设计，避免重叠，而且应以２的次方来进行分段。

使用VLSM时，相应的路由协议在发送路由更新时需同时发送子网掩码信息。

我发现，在使用动态掩码设计时一般会使用IP地址分段图来划分各子网的IP块，会避免出现重叠。

那么，如果这样动态掩码岂不是也存在IP地址的“浪费”（因为不同大小IP 地址块间的空隙）？但是，掩码的作用主要是增加设计网络的灵活性！如对一个C类地址而言，如果使用１位掩码，则只能得到两个126大小的子网。

但如果需求是划分三个子网：1个126大小，1个62大小，1个30大小，则通过固定掩码的有类网是无法实现的，可以通过动态掩码(VLSM)的无类网实现。

私有地址和NA T映射方案则尽可能避免使用不必要的公网IP资源。

掩码不仅用于公网地址，同样应用于私网地址。

网络汇总网络汇总和子网掩码有些相似，通过汇总掩码表示一个网络地址IP段，而不是主机地址IP段。

IP排错Ping 127.0.0.1 验证TCP/IP栈Ping 本机IP 验证网卡Ping 默认网关验证是否与网络连接Ping 远端服务器验证通信是否正常相关DOS命令：pingtracertArp –aipconfig /allVLAN管理策略服务器(VMPS)用于自动地配置动态VLAN。

但事实上，对上企业讲，静态VLAN显得更安全些，因为机器和端口是绑定的，变动时需手动设置。

目录角色职责 (3)第一章 (3)基本职责归纳 (3)项目流程RACI (3)抽样方法及作用 (4)职业独立性与组织独立性区别： (4)对独立性/客观性是否造成危害的情况： (4)证据属性 (4)审计技术比较 (4)其他考点： (5)信息审计顺序 (5)第二章 (5)基本职责归纳 (5)安全治理成果与管理职责关系P45 (6)信息系统职责分离P209 (7)风险应对措施及举例 (7)控制措施及作用 (8)常用工具/分析方法的区别 (8)其他考点： (8)业务影响分析BIA (8)第三章 (8)基本职责归纳 (8)项目组织结构P29 (9)系统开发团队P37 (9)项目后审查与实施后审查区别P80 (10)各类项目管理工具、技术、测试的作用和目的 (10)SDLC各阶段 (11)质量评估指标 (11)攻击方法及说明 (11)网络组件及其作用 (12)开发方法描述及优缺点P312 (12)联机/在线事务处理数据完整性ACID原则 (13)其他考点： (13)第四章 (13)基本职责归纳 (13)恢复指标及作用 (14)不同计划及作用 (14)检查校验方式及目的 (14)廉价磁盘冗余阵列（RAID） (15)OSI七层结构 (15)备份方法优缺点 (16)其他考点： (16)协议等安全性 (16)容量/能力管理 (16)第五章 (16)基本职责归纳 (16)渗透测试方法比较 (17)机密性与访问控制 (17)权限安全管理相关 (18)电力安全相关 (18)防火墙相关 (18)其他考点： (18)公共密钥基础结构PKI (18)访问控制 (19)角色职责第一章基本职责归纳项目流程RACIBEM ：业务执行经理 CIO ：首席信息官BPO ：业务流程所有者 DO ：运营总监 CA ：首席架构师 DD ：开发总监ITA ：IT 行政主管 PMO ：项目管理官抽样方法及作用职业独立性与组织独立性区别：职业独立性：审计师推荐了一个特定的供应商就会破坏职业独立性 组织独立性：组织独立性在接受约定时考虑对独立性/客观性是否造成危害的情况：证据属性审计技术比较其他考点：信息审计顺序确定业务流程→控制目标及活动→关键信息资产→部署审计资源→约谈相关人员第二章基本职责归纳安全治理成果与管理职责关系P45信息系统职责分离P209风险应对措施及举例控制措施及作用常用工具/分析方法的区别其他考点：业务影响分析BIABIA的主要产出是了解运营中断成本，而不是BCP 第三章基本职责归纳项目组织结构 P29系统开发团队 P37QAT ）测试打没打到要求（UAT ）项目后审查与实施后审查区别P80项目后审查：参与人员为项目人员；目的是知识共享，流程改进；时间为项目结束后。

一、IS audit function的管理(一)IS审计功能组织1．Audit chapter 由管理高层审批用于建立IS内部审计的角色。

需要定义审计功能的authority,scope,responsibilities2．Engagement letter 是针对特定的审计项目3．外部审计的话通过contract或者statement of work来详细说明审计服务的objectives and scope4．任何情况，内部审计功能应该保持独立并向审计委员会或者董事会等高层汇报。

(二)IS审计资源管理1．IS审计师应该technically competent 应该通过持续的教育获得技术上的胜任2．审计部门应制定详细的员工培训计划，并定期检查，应提供必要的IT资源来实施IS审计。

(三)审计计划1．年度计划是短期，2．长期是考虑到影响计划IT环境的IT战略方向变化所带来的风险3．单个的审计任务需要考虑到定期风险评估结果，应用技术的变化，隐私的关注以及法律要求等，都会影响审计方法。

也要考虑系统部署/升级的deadlines, 现在或者将来的技术，业务流程owner的要求，以及IS资源的有限性等方面。

4．计划过程：获取对业务任务，目标，目的，过程的了解；也包括对信息系统CIA等安全要求的了解识别stated 内容包括策略，标准，要求的指引和组织架构执行RA来帮助开发审计计划设立审计scope和objectives开发审计方法或者审计strategy为审计分派人员解决engagement logistics5．IS审计师了解业务的方法：阅读背景资料，包括：工业出版物，年报，独立的财务分析报告回顾之前的审计报告，或者IT相关报告回顾业务和IT相关的长期战略计划访谈关键岗位来了解业务识别特定的适用于IT的法规识别外包的IT功能或相关活动Touring 关键的机构facilities(四)法律法规对IS审计计划的影响。

预防性控制职责分工,物理访问控制检查性控制审计轨迹纠正性控制备份程序IS审计了解审计环境---进行风险评估---编制审计计划符合性测试:属性抽样符合性测试是对内部控制的完整性、有效性和实施情况进行的测试。

用以确定内部控制制度是否落实执行的审计测试。

实质性测试:一种审计测试的方法，用来保证在足够的内部控制的基础上，可以避免发生严重错误或诈欺行为。

变量抽样、分层单位平均估计法、差额估计法1固有风险评估2控制风险评估3控制测试评估4实质性测试评估符合性测试与实质性测试的区别主要有以下6点：1）测试目的不同：前者是为确定实质性测试性质，范围，时间；后者是为了对被审核单位内控制度发表审核意见。

2）测试范围不同，前者只对拟信赖的内控进行测试；后者视委托目的而定。

3）测试依据不同，前者依据《独立审计准则》；后者依据《内部控制审核指导意见》。

4）测试时间不同，前者和报表审计期间相同；后者视委托目的而定。

5）测试结果不同，前者形成审计工作底稿；后者形成内部控制审核报告。

6）内部控制审核要求被审核单位提供有关内控情况的书面声明，而符合性测试不需要。

第一章信息系统审计过程审计计划包括短期计划和长期计划。

短期年度内需要实施，长期考虑IT战略方针对IT环境造成的影响所带来的相关风险问题。

制定审计计划时：必须理解整体被审计环境。

包括了解审计对象的各项业务流程和职能。

审计计划步骤：1了解业务使命，目标、目的和流程2找出相关规定（政策、标准等）3风险分析4执行IT相关内部控制检查5确定审计目标和审计范围6制定审计方法或策略7为审计事项分配人力资源8关注项目后勤保障了解业务的步骤1巡检设施2阅读背景资料（出版物，报告）3检察业务及IT长期战略规划4访谈关键管理人5审阅以往审计报告或相关报告6识别适用于IT的具体规章7识别已外包的IT职能和相关活动。

审计程序列表：1风险评估方法2数字签名3入侵检测4病毒和其他恶意代码5控制风险自评估6防火墙7违规和非法行为8安全评估——穿透测试和脆弱性分析9评估加密方法的管理控制10业务应用系统变更控制11电子资金转账（EFT)风险分析风险分析是帮助IS审计师识别风险和脆弱性并确定降低风险所需的控制。

第二章IT治理1.公司治理整个组织层面的文化、决策和实务都必须通过公司治理来培养，公司治理被治理层定义为：为所有股东创造和呈现价值的企业道德行为，公司治理为制定公司目标、确定实现目标和监督绩效的方式提供了框架。

2.董事会和高级管理层的监督和保证实务IT治理是一个综合术语，它包括信息系统、技术和通讯、业务、法律相关事务，所有利益相关方、董事会、高级管理层、流程所有人、IT供应商、用户和审计师。

IT治理有助于确保IT 和企业的目标保持一致。

以实现业务的价值。

公司治理应采用公认的最佳实践，并通过特定控制来保证其实施。

通过这些实践来贯彻组织方针，指导特定活动使用组织资源。

对活动的结果要进行测评和报告，为控制的维护和持续改进提供依据。

IT治理采用最佳实践来确保组织信息及相关技术支持业务目标和价值交付，确保资源得到合理使用、风险得到适当管理、绩效得到测评。

IT治理在根本上关注两方面问题：IT向业务交付价值和IT风险得到管理。

前者由IT与业务的战略一致驱动，后者通过向企业分配责任来驱动。

2.1.IT治理的最佳实践IT治理整合最佳实践并使之制度化，确保企业IT支持业务目标，IT治理的目的是指导IT工作，确保IT绩效满足IT目标符合企业目标的要求，并实现预期的收益。

2.1.1.审计在IT治理中的角色P58IT治理包含了确定企业内如何应用IT的一系列问题，审计有助于确保组织满足所实施的IT 治理的要求。

IT治理报告涉及组织最高层次，并可能是跨区域，跨职能、跨部门的，IS审计师应当确认已明确以下内容：工作范围：包括清晰定义所涵盖的职能领域和事务；采用的报告路线：使查出的IT治理问题能报告给组织最高层；IS审计师对信息的访问权限，包括对组织内部和第三方服务提供商。

按照IS审计师的既定角色，需要评价与IT治理的相关内容：IS职能与组织使命、愿景、价值、目标和战略的一致性；法律、环境、信息质量、委托、安全和隐私方面的要求；组织的环境控制；IS环境的固有风险。

CISA个人考试学习笔记CISA个人考试学习笔记一、CISA考试概述CISA（Certified Information Systems Auditor，认证信息系统审计员）是由美国信息系统审计与控制协会（ISACA）主办的国际性认证考试。

CISA认证证明了持有人在信息系统及其控制、管理和审计方面的能力和知识。

考试内容包括五个领域：信息系统审计过程、信息系统控制与维护、信息系统开发和实施、信息系统运营、保护信息资源。

二、备考策略1.了解考试内容：详细阅读CISA考试大纲，了解考试的主要内容和重点领域，制定有针对性的备考计划。

2.准备教材：购买可靠的备考教材，且最好是与考试内容和大纲相符的。

3.制定学习计划：合理安排备考时间，每天留出固定的备考时间，并制定每天的学习任务和目标。

4.刷题与总结：针对各个领域的考试内容，进行相关题目的刷题和解析，并及时总结和归纳知识点。

5.考点整理：将备考过程中遇到的重难点和考点整理成思维导图或总结表格，方便复习时查阅。

三、备考内容1.信息系统审计过程信息系统审计的目的、范围和方法，审计准则与规范，信息系统安全和风险管理等内容。

2.信息系统控制与维护信息系统的逻辑性、完整性和保密性控制，物理安全，计算机作业控制，应用系统控制等内容。

3.信息系统开发和实施信息系统规划、设计与管理，信息系统开发的生命周期，信息系统开发中的关键控制，项目管理等内容。

4.信息系统运营信息系统运维的组织和结构，运维的策略和方法，运维过程中的风险和控制，运维项目管理等内容。

5.保护信息资源信息系统中的信息安全政策和目标，信息安全风险管理，网络安全，物理安全，密码学等内容。

四、备考建议1.制定学习计划：根据自己的备考时间和能力，制定合理的学习计划，合理分配时间和任务。

2.做好笔记：在学习过程中，及时记录和整理重要知识点，方便复习时查阅。

3.刷题训练：刷题是检验自己备考成果的有效方法，可以通过刷题来检验自己对知识点的掌握程度，并及时总结不足之处。

CISA知识要点CISA（Certified Information Systems Auditor）是全球最受认可的信息系统审计师资质认证之一、获得CISA资格证书的人员能够提供专业的信息系统审计和保护建议，确保组织的信息系统安全和合规。

以下是CISA考试的主要知识要点：1.信息系统审计过程：了解信息系统审计的基本概念、目标和步骤，包括计划和准备、采集证据、分析和评估、确定问题和建议改进措施等。

2.信息系统和基础设施：熟悉不同类型的信息系统和基础设施，包括计算机网络、数据库、操作系统、应用程序、通信设备等。

3.信息系统开发和实施：了解信息系统开发和实施的方法和流程，包括需求分析、系统设计、编码和测试、部署和维护等。

4.信息系统运营、管理和维护：掌握信息系统运营、管理和维护的最佳实践，包括安全控制、备份和恢复、性能监控和优化等。

5.IT服务交付和支持：了解IT服务交付和支持的过程和工具，包括服务水平协议（SLA）、问题管理、变更管理等。

6.保护信息资产：熟悉保护信息资产的方法和技术，包括信息安全政策、访问控制、身份认证、加密等。

7.风险管理：了解风险管理的原则和方法，包括风险评估、风险处理和监控等。

8.确保应用系统安全：掌握确保应用系统安全的方法和控制措施，包括应用程序安全评估、代码审计、漏洞管理等。

9.IT治理：了解IT治理的原理和指南，包括组织结构、决策权责、合规性和合规审计等。

10.合规审计和信息系统审计管理：掌握合规审计的方法和要求，包括法规、标准和最佳实践；了解信息系统审计管理的方法和技术，包括资源管理、计划和监控、沟通和报告等。

11.业务持续性和灾难恢复计划：了解业务持续性和灾难恢复计划的制定和实施过程，包括业务影响分析、备份和恢复策略、测试和演练等。

12.微机审计和数据分析：掌握微机审计和数据分析的方法和工具，包括数据挖掘、数据可视化、模型和算法等。

13.信息系统审计法规和伦理：了解信息系统审计法规和伦理要求，包括隐私保护、知识产权和专业行为准则等。

Bussiness Continuity and Disaster Recovery本章节主要讨论以下内容：1.灾难disaster类型以及他们对公司的冲击impacts2.业务连续性和灾难恢复计划的组成部分3.BIA业务受冲击分析4.恢复目标recovery targets5.对BCP,DRP的test测试6.培训员工7.对BCP,DRP的维护8.对BCP,DRP的审计此章节占比CISA考试的14％1.BCP和DRP的primariy objective: improve the chances that the organization will survive a disaster without incurring costly or even fatal damage to its most critical activites.2.BCP,DRP适用于任何规模的公司，任何公司都要建立自己的BCP,DRP。

3.即时灾难永远不发生，公司仍然可以从BCP,DRP的开发过程中获益，BCP,DRP 的开发可带来企业运行流程和技术的提升。

Disaster 灾难业务角度，灾难是能够导致业务运行中断的unexpected and unplanned events.灾难本身的规模和所引发的冲击各不相同。

一.灾难类型1．Natural disaster 自然灾害Earthquakes 地震Volcanoes火山Landslides滑坡Avalances 雪崩，分为slad avalance/loose snow avalance/pover snow avalanceWildfires野火Tropical cyclones热带气旋：强风，大雨，storm surgeTornades龙卷风Windstorm风暴Lightning闪电Ice storm暴雪Hail冰雹Flooding洪水Tsunamis海啸Pandemic瘟疫Extraterrestrial impacts地外冲击：meteority陨星2．Man-made disasters 人为灾害Civil disturbances：protests,demonstrations,riots,strikes,work slowdowns, stoppages, looting(掠劫), curfews(宵禁)，evacuations, lockdowns（一级防范禁闭）Utility outages:电力、天然气、水、供热、通讯线路等设施失效Materials shortages：原材料短缺Fires火灾:建筑物、材料、器材的失火Hazardous materials spills危险材料泄露Transportation accidents运输事故Terrorism and war恐怖活动和战争：影响局部地区，但也会间接引起材料独缺和utility outagesSecurity events安全事件：hacker攻击等真正的灾难通常是由多方面因素引发的二.灾难如何影响公司许多灾难能够直接对业务运行造成直接影响，但是其secondary effects 对业务持续运转的能力造成更大的影响。

1.信息系统审计职能管理1.1.信息系统审计职能的组织IS审计服务可以有内部或外部提供。

➢内部审计：IS内部审计职能的角色应当由审计章程来确定。

可以为内部审计的部分、独立的职能部门、或融合于财务和运营审计中，为财务或管理审计师提供IT方面的控制保证。

任何情况下，内部审计职能都应当保持独立性，并向审计委员会或高级管理层报告工作。

➢审计章程：应当包括作为审计支持职能的IS审计，应明确阐述管理层对于IS审计职能的责任、目标和授权，应当概述审计职能的整体授权、范围和责任。

由最高管理层和审计委员会批准这部章程。

审计章程是涵盖组织中审计活动总体范围的最高层文档。

➢审计委托书：定位于组织中针对特定目标的具体审计任务。

➢外部审计：在组织与服务提供商之间应当以正式合同或工作书名数的形式，说明服务范围和目标，1.2.信息系统审计资源管理给予组织在技术和所需落实的相关风险方面的组织方针，按年制定详细的员工培训计划，并且定期组织检查以确保所需培训与审计部门采取的方针相一致，另外IS审计管理层也应当提供必要的IT资源来实施专业化的审计工作，如软件、网络、渗透测试等。

1.3.审计计划1.3.1.年度计划审计计划包括短期计划和长期计划。

短期计划：主要考虑年度内需实施的审计事项。

长期计划：主要考虑组织调整IT战略方针对IT环境造成的影响所带来的相关风险。

至少每年都应对短期和长期计划进行分析，分析中应考虑：新的控制问题、风险环境的变化、技术和业务流程、提高评估技术等，应有高级审计管理人员进行复核，并有审计委员会批准。

1.3.2.单项审计任务IS审计师应当按照以下步骤来实施审计计划：➢了解业务使命、目标、目的和流程，包括信息和处理要求；➢找出相关规定，如政策、标准何所需指南、规程以及组织结构；➢实施风险分析以帮助制定审计计划➢执行IT相关内部控制检查➢确定审计方法或审计策略➢为审计事项分配人力资源➢关组项目后勤保障IS审计师了解业务的步骤包括：➢巡检组织的关键设施；➢阅读背景资料，包括行业出版物、独立的财务分析报告；➢检查业务及IT长期战略规划➢访谈关键的管理人员以加深对业务事项的理解➢审阅以往的审计报告或IT相关报告➢识别适用于IT的具体章程➢识别已外包的IT职能或相关活动1.3.3.法律、法规对信息系统审计计划的影响一方面：审计或IS审计的法律要求另一方面：审计对象及其系统、数据管理和报告等方面相关的法律要求2.ISACA信息系统审计准则和指南2.1.ISACA职业道德规范ISACA会员和认证人应当：➢遵从并执行适当的IS审计准则、程序和控制；➢按照职业准则和最佳时间履行职责，并做到应用的客观、敬业和职业审慎；➢以诚实、合法的方式为利益相关服务，保持高尚的行为操守及品德，不得从事有损职业行为的活动；➢对工作中获取的信息，除按法律要求披露外，应保持其隐私和机密性，不得用于谋取私利或泄漏给他人；➢保持在所从事工作领域的专业胜任能力，仅从事自己能胜任的工作；➢向适当的组织报告工作成果，并向他们披露所有重大事项；➢应对利益相关者进行教育，以加强他们对信息系统安全和控制的理解2.2.ISACA信息系统审计准则框架ISACA信息系统审计准则的目标是指明：➢基于职业道德规范，IS审计师满足执业能力，可接受的最低业绩要求；➢管理层和相关部门对IS审计人员的执业期待➢CISA持证人的资格要求ISACA信息系统审计准则框架分为以下三个层次：➢准则定义了IS审计和报告的强制性要求➢指南为应用IS审计准则提供了指导➢程序为IS审计师执行审计任务提供了过程范例2.2.1.审计准则➢审计章程：信息系统审计职能或审计任务的目标、职责、授权和责任应当在审计章程或审计委托书中说明，审计章程或审计委托书应当由组织中适当层级批准和同意。

第二章IT治理1.公司治理整个组织层面的文化、决策和实务都必须通过公司治理来培养，公司治理被治理层定义为：为所有股东创造和呈现价值的企业道德行为，公司治理为制定公司目标、确定实现目标和监督绩效的方式提供了框架。

2.董事会和高级管理层的监督和保证实务IT治理是一个综合术语，它包括信息系统、技术和通讯、业务、法律相关事务，所有利益相关方、董事会、高级管理层、流程所有人、IT供应商、用户和审计师。

IT治理有助于确保IT 和企业的目标保持一致。

以实现业务的价值。

公司治理应采用公认的最佳实践，并通过特定控制来保证其实施。

通过这些实践来贯彻组织方针，指导特定活动使用组织资源。

对活动的结果要进行测评和报告，为控制的维护和持续改进提供依据。

IT治理采用最佳实践来确保组织信息及相关技术支持业务目标和价值交付，确保资源得到合理使用、风险得到适当管理、绩效得到测评。

IT治理在根本上关注两方面问题：IT向业务交付价值和IT风险得到管理。

前者由IT与业务的战略一致驱动，后者通过向企业分配责任来驱动。

2.1.IT治理的最佳实践IT治理整合最佳实践并使之制度化，确保企业IT支持业务目标，IT治理的目的是指导IT工作，确保IT绩效满足IT目标符合企业目标的要求，并实现预期的收益。

2.1.1.审计在IT治理中的角色P58IT治理包含了确定企业内如何应用IT的一系列问题，审计有助于确保组织满足所实施的IT 治理的要求。

IT治理报告涉及组织最高层次，并可能是跨区域，跨职能、跨部门的，IS审计师应当确认已明确以下内容：工作范围：包括清晰定义所涵盖的职能领域和事务；采用的报告路线：使查出的IT治理问题能报告给组织最高层；IS审计师对信息的访问权限，包括对组织内部和第三方服务提供商。

按照IS审计师的既定角色，需要评价与IT治理的相关内容：IS职能与组织使命、愿景、价值、目标和战略的一致性；法律、环境、信息质量、委托、安全和隐私方面的要求；组织的环境控制；IS环境的固有风险。

CISA学习笔记注意：本笔记未包含全部课本内容，只是记录个人不熟悉的一些知识点（错字请自行掠过）目录CISA学习笔记 (1)第一章信息系统的审计流程 (1)第二章IT治理和管理 (3)第三章信息系统的购置开发和实施 (4)第四章信息系统的操作维护与支持 (6)第五章信息资产的保护 (7)第一章信息系统的审计流程标准主要定义对IS审计和鉴证以及报告的强制性要求准则主要在IS审计和签证标准的应用方面提供指导IS审计和签证部门应在审计章程中适当载明审计职能。

说明目的、职责、和问责制ISACA开发的工具和技术主要提供IS审计师可在审计项目中遵循的的流程实例风险是发生某事件的可能性及其可能产生的后果这三者的组合风险评估的过程：识别业务目标、识别信息资产、进行风险评估、进行风险减缓、进行风险处置内部控制通常由政策、流程、实践和组织结构组成；预防性、检测性、纠正性Cobit是用于治理、控制和鉴证信息及其相关技术的领先框架满足利益相关者需要：企业的存在就是通过在实现收益、优化风险和运用资源之间维持一种平衡，从而为其利益相关者创造价值端到端覆盖企业运用单一整合式框架采用一个整体全面的方法区分治理和管理：治理是确保利益相关者需要、条件和选项被评估，已决定平衡、协商一致、需要实现的企业目标；管理层计划、构建、运行和监控活动与治理机构制定的方向一致，以实现企业目标审计计划：包含审计目标以满足以及满足这些目标所需的审计流程审计过程要求IS审计师收集证据、基于收集的证据通过审计测试来评估控制的优点和弱点，然后准备向管理层提供一份审计报告，客观的叙述这些问题合规性审计：包括具体的控制措施测试，以表明对特定法规或行业标准的遵守情况实质性测试：评价交易、数据或其他信息的完整性，验证财务报表数据及相关交易的有效性和完整性财务审计：评估组织财务报表的争取性，经常涉及到实质性测试运营审计：旨在评估给定流程或区域的内部控制结构，比如对应用控制或逻辑安全系统的IS 审计整合审计：结合了财务审计步骤和运营审计步骤管理审计：旨在对组织内与运营生产力的效率相关的问题进行评估IS审计：此过程会收集和评估相关证据，以确定信息系统和相关资源对资产进行了足够的保护、保持了数据和系统的完整性和可靠性、提供了可靠的相关信息专业审计：属于一种IS审计，有许多专业的审查可以对者如第三方执行的服务等方面进行检验司法审计：专门针对发现、揭露和跟踪欺诈与犯罪行为的审计，主要目的是为执法部门和司法当局进行审查提供证据持续审计：及时发现风险或控制缺陷，独立于持续控制或监控活动管理部门、审计师和审计委员会对检测和披露所有舞弊行为负有主要责任审计流程与步骤：审计对象：确定被审计领域审计目标：明确审计目标审计范围：确定要检查的具体系统、职能和单元初步审计计划：确定所需技能与资源。

TASK STATEMENTS1.评估逻辑访问控制的设计，部署和监控，以确保信息资产的CIA2.评估network infrastructure的安全性3.评估环境控制4.评估物理访问控制5.评估存储，retrieve，传递和处理机密信息资产的过程和流程Knowledge STATEMENTS1.安全的设计，部署和监控的技术2.逻辑访问控制3.逻辑访问架构（SSO,用户识别，身份管理）4.攻击手段和技术5.安全事件响应6.挽留过和internet安全设别，协议和技术：SSL,SET,VPN,NAT7.IDS,IPS,Firewall的部署，操作，配置和维护8.加密算法技术，9.PKI10.病毒检测工具和控制技术11.安全测试和评估工具12.环境保护实践和设备13.物理安全系统和实践14.V oIP15.机密信息资产的生命周期保护16.手动，无线设备的控制和相关风险。

信息安全管理的重要性1.信息安全的目标C I A一、信息安全管理的关键要素1.IS安全不仅仅是一种机制，同样反应的是企业的文化。

高层支持策略和流程组织安全意识和交易监控和合规性事件处理和响应二、信息安全管理角色和职责1.IS security steering committee：不同管理层的人员足赤回忆2.Eexcutive management：对信息资产保护、发布和维护信息安全策略框架负责3.security advisor group：需要由bussiness人员设计，检查组织的安全计划，想CSO提供安全建议，以及向业务部门沟通安全项目是否符合业务需要4.CPO 首席隐私官5.CISO 首席信息安全官6.process owner：确保适当的安全措施与机构的策略一致，并得到维护rmation asset owners and data owner：ers9.external parties10.security administrator：staff级别的而为之，提供适当的物理和逻辑安全项目11.security specialists、advisor12.IT developers13.IS auditor：独立性assurance三、信息资产的目录和分级1.信息资产分级将安全与业务目标有效结合起来，减少风险，节省成本2.classification应该根据机构规模尽量简化。

CISA知识点总结第一章.信息系统审计过程1.IS审计和保障标准、指南、工具、职业道德规范信息技术保证框架（ITAF，Information Technology Assurance Framework）●审计准则：强制性要求✓一般准则：基本的审计指导原理✓执行准则：涉及任务的执行和管理✓报告准则：落实报告类型、沟通方式和沟通信息●审计指南：侧重于审计方法、理论●工具和技术（也叫程序）：提供各种方法、工具和模版三者关系：IS审计师必须遵守审计准则，审计指南帮助应用审计准则，审计工具和技术提供了具体的流程和步骤范例。

2.风险评估概念、工具及技术风险的定义：“风险是特定的威胁利用资产的脆弱性从而对组织造成损害的可能性。

”（ISO/IEC PDTR13335-1）风险评估的过程：(1)识别业务目标（BO，Business Object）(2)识别信息资产（IA，Information Asset）(3)进行风险评估（RA，Risk Assessment）：威胁→脆弱性→可能性→影响(4)进行风险减缓（RM，Risk Mitigation）：落实相关控制(5)进行风险处置（RT，Risk Treatment）基于风险的审计：(1)搜集信息和计划(2)理解内部控制(3)执行符合性测试(4)执行实质性测试(5)完成审计和报告审计风险：审计过程中未发现信息可能存在的重大错误的风险。

●固有风险（Inherent Risk）：业务自身风险，不采取控制时的风险●控制风险（Control Risk）：采取控制后仍具有的风险●检查风险（Detection Risk）：得出错误检查结论的风险●整体审计风险（Overall Audit Risk）：对每一个控制目标评估出的各类审计风险的综合审计重大性（Materiality）：在问题程度上可被组织视为严重的错误。

●抽样不能检查出样本总体的所有错误，但可以将检查风险降低到可接受水平。