最新最全的CISA知识体系讲解

第二章IT治理★必须的知识点1.IT战略、政策、标准和程序对于组织的意义，及其基本要素2.IT治理框架(体系)3.制定、实施和维护IT战略、政策、标准和程序的流程。

如:信息资产的保护、业务持续和灾难恢复、系统和基础建设生命周期、IT服务交付与支持4.质量管理战略和政策5.与IT使用私}管理相关的组织结构、角色私!职责。

6.公认的国际IT标准和准则(指导)。

7.制订一长期战略方向的企业所需的IT体系及其内容8.风险管理方法和工具9.控制框架(模型)的使用，如:CobiT, COSO, ISO 17799等控制模型。

10.成熟度和流程改进模型(如:C1V1M, CobiT)的使用。

11.签约战略、程序和合同管理实务。

12.IT绩效的监督和报告实务13.有关的法律、规章等问题(如:保密法/隐私法、知识产权、公司治理的要求)14.IT人力资源管理15.资源投资和配置实务(如:投资的资产管理回报)★可能的考试重点公司治理与IT治理（概念）IT治理中董事会和执行经理层的作用（责任、关键成功因素）IT治理最佳实务（结构与关系）IT治理中审计的的作用（确保IT的运用符合组织目标）IT战略：IT战略委员会（职责、作用、组成）、IT平衡记分卡信息安全治理企业架构（结构化方式反映组织的IT资产）业务流程驱动的企业架构FEA参考模型风险管理（原第七章内容，重点）采购实务IS模块交付（内包、外包、混合采购）采购战略外包实务和战略（优缺点、风险）服务水平协议（SLA）全球化战略和实务第三方审计报告能力与发展服务改进和用户满意度行业标准/基准信息系统组织结构供货商和外包商管理体系运营和维护（原运维）应用开发和维护/系统开发和维护职责分离（重点）组织结构中不同人员的职责★需要了解和熟悉IT治理审计查询理解★★★★★★★信息系统安全管理的成果信息系统安全管理的不同层次★知识点摘要公司治理倡导的公司道德文化。

世界经合组织将公司治理定义:“公司内不同群体之间责权利的分配关系，如董事会、管理层、股东和其他利害相关者，这些分配关系清楚地勾勒出公司决策的规则和程序。

引言概述：CISA（CertifiedInformationSystemsAuditor）是一项国际认可的信息系统审计师资格认证，对从事信息系统审计和控制的专业人士具有重要意义。

本文将针对CISA知识点进行总结，帮助读者全面了解CISA考试的内容和要求。

正文内容：一、信息系统审计的基本概念和原则1.信息系统审计的定义和目的2.信息系统审计的基本原则3.信息系统审计的类型和阶段4.信息系统审计的参与者和角色5.信息系统审计的国际标准和准则二、信息系统与技术基础1.信息系统的组成和分类2.信息系统的开发生命周期3.信息系统的运行和维护4.信息系统的风险与控制5.信息系统的安全性和保护措施三、信息系统审计过程与方法1.信息系统审计的策划和准备2.信息系统审计的实施和测试3.信息系统审计的发现和报告4.信息系统审计的跟踪和追踪5.信息系统审计的总结和建议四、信息系统审计的专业实践1.信息系统审计的法律法规和道德规范2.信息系统审计的流程和工具3.信息系统审计的案例和经验分享4.信息系统审计的问题识别和解决5.信息系统审计的持续学习和发展五、信息系统审计的未来发展趋势1.信息系统审计的技术创新和趋势预测2.信息系统审计的人才需求和发展机遇3.信息系统审计的国际合作和标准发展4.信息系统审计的重要性和挑战5.信息系统审计的职业形象和影响力总结：CISA知识点总结着重强调了信息系统审计的基本概念和原则、信息系统与技术基础、信息系统审计过程与方法、信息系统审计的专业实践以及信息系统审计的未来发展趋势五个大点。

每个大点下面设定了59个小点来详细阐述相关知识。

通过本文的学习，读者可以全面了解CISA考试所需的知识和技能，为提高信息系统审计能力和通过CISA考试提供有力的支持。

同时，本文还强调了信息系统审计在未来的发展趋势和重要性，鼓励读者不断学习和发展，为信息系统审计职业做出更大的贡献。

一、IS audit function的管理(一)IS审计功能组织1．Audit chapter 由管理高层审批用于建立IS内部审计的角色。

需要定义审计功能的authority,scope,responsibilities2．Engagement letter 是针对特定的审计项目3．外部审计的话通过contract或者statement of work来详细说明审计服务的objectives and scope4．任何情况，内部审计功能应该保持独立并向审计委员会或者董事会等高层汇报。

(二)IS审计资源管理1．IS审计师应该technically competent 应该通过持续的教育获得技术上的胜任2．审计部门应制定详细的员工培训计划，并定期检查，应提供必要的IT资源来实施IS审计。

(三)审计计划1．年度计划是短期，2．长期是考虑到影响计划IT环境的IT战略方向变化所带来的风险3．单个的审计任务需要考虑到定期风险评估结果，应用技术的变化，隐私的关注以及法律要求等，都会影响审计方法。

也要考虑系统部署/升级的deadlines, 现在或者将来的技术，业务流程owner的要求，以及IS资源的有限性等方面。

4．计划过程：获取对业务任务，目标，目的，过程的了解；也包括对信息系统CIA等安全要求的了解识别stated 内容包括策略，标准，要求的指引和组织架构执行RA来帮助开发审计计划设立审计scope和objectives开发审计方法或者审计strategy为审计分派人员解决engagement logistics5．IS审计师了解业务的方法：阅读背景资料，包括：工业出版物，年报，独立的财务分析报告回顾之前的审计报告，或者IT相关报告回顾业务和IT相关的长期战略计划访谈关键岗位来了解业务识别特定的适用于IT的法规识别外包的IT功能或相关活动Touring 关键的机构facilities(四)法律法规对IS审计计划的影响。

Bussiness Continuity and Disaster Recovery本章节主要讨论以下内容：1.灾难disaster类型以及他们对公司的冲击impacts2.业务连续性和灾难恢复计划的组成部分3.BIA业务受冲击分析4.恢复目标recovery targets5.对BCP,DRP的test测试6.培训员工7.对BCP,DRP的维护8.对BCP,DRP的审计此章节占比CISA考试的14％1.BCP和DRP的primariy objective: improve the chances that the organization will survive a disaster without incurring costly or even fatal damage to its most critical activites.2.BCP,DRP适用于任何规模的公司，任何公司都要建立自己的BCP,DRP。

3.即时灾难永远不发生，公司仍然可以从BCP,DRP的开发过程中获益，BCP,DRP 的开发可带来企业运行流程和技术的提升。

Disaster 灾难业务角度，灾难是能够导致业务运行中断的unexpected and unplanned events.灾难本身的规模和所引发的冲击各不相同。

一.灾难类型1．Natural disaster 自然灾害Earthquakes 地震Volcanoes火山Landslides滑坡Avalances 雪崩，分为slad avalance/loose snow avalance/pover snow avalanceWildfires野火Tropical cyclones热带气旋：强风，大雨，storm surgeTornades龙卷风Windstorm风暴Lightning闪电Ice storm暴雪Hail冰雹Flooding洪水Tsunamis海啸Pandemic瘟疫Extraterrestrial impacts地外冲击：meteority陨星2．Man-made disasters 人为灾害Civil disturbances：protests,demonstrations,riots,strikes,work slowdowns, stoppages, looting(掠劫), curfews(宵禁)，evacuations, lockdowns（一级防范禁闭）Utility outages:电力、天然气、水、供热、通讯线路等设施失效Materials shortages：原材料短缺Fires火灾:建筑物、材料、器材的失火Hazardous materials spills危险材料泄露Transportation accidents运输事故Terrorism and war恐怖活动和战争：影响局部地区，但也会间接引起材料独缺和utility outagesSecurity events安全事件：hacker攻击等真正的灾难通常是由多方面因素引发的二.灾难如何影响公司许多灾难能够直接对业务运行造成直接影响，但是其secondary effects 对业务持续运转的能力造成更大的影响。

第六章灾难恢复和业务连续性计划本章内容将占有CISA考试卷面的14%,大约28题。

★必须的知识点1、评估备份和恢复准备的充分性，确保恢复运营所需信息的有效性(和可用性)。

2、评估组织的灾难恢复计划，确保一旦发生灾难，之后IT处理能力的恢复。

3、评估组织的业务连续性计划，确保IT(遭破环)服务中断期间，基本业务运营不间断的能力。

★可能的考试重点数据备份、存储、维护、保留和恢复程序及其实务；业务持续性和灾难恢复的相关法律法规、协议和保险问题；业务影响分析(BIA);开发和维护灾难恢复计划和业务持续计划；灾难恢复和业务持续性计划测试途径和方法；与灾难恢复和业务持续计划相关的人力资源管理(疏散、紧急响应计划);启动灾难恢复和业务持续计划的程序和流程；备用业务处理站点的类型，监督有关协议/合同的方法。

处理形象、声誉或商标的损害(P471)BCP程序(业务持续和灾难恢复政策、BCP意外管理、BIA)(P471)恢复技术(P479)采购备份硬件(P480)备份和恢复(P490)★知识点摘要业务连续性和灾难恢复计划的目的在遇到灾难袭击时，最大限度地保护组织数据的实时性、完整性和一致性，降低数据的损失，快速恢复操作系统、应用和数据。

提供各种恢复策略选择，包括从磁带备份到全镜像以及恢复网络部件和基础设施的连接，尽量减小数据损失和恢复时间。

保证在发生各种不可预料的故障、破坏性事故或灾难情况时，能够持续服务，确保业务系统的不间断运行，极大地降低组织的损失。

灾难恢复与业务连续性计划(BCP)是组织为避免关键业务功能中断，减少业务风险而建立的一个控制过程，它包括了对支持组织关键功能的人力、物力需求和关键功能所需的最小级别服务水平的连续性保证。

剩余风BCP关注的是组织日常风险管理程序所不能完全消除的剩余风险，BCP的目标就是要把组织的剩余风险和因意外事件产生的风险降到组织可接受的程度。

BCP应当主要是组织最高管理层!的职责，因为最高管理层对组织的资产和生存负有最高责任。

cisa的知识梳理从其他地方找到的知识梳理，与大家一起分享下内部控制的分类预防性控制,在事情发生前监测问题,如职责分离/仅雇佣合格人员/使用访问控制软件/控制访问物理设备/完成程序化的编辑检查检查性控制,使用控制检查和报告发生的问题,如Hash totals哈希汇总/生产作业中的检查点内部审计/回显控制纠正性控制,修复检查控制发现的问题/找出问题原因,纠正问题衍生的错误/修改处理系统以减少未来发生问题,如意外处理计划/备份流程/恢复运营流程审计风险的分类固有风险,假设不存在相关的内部控制的情况下,发生重大错误的风险控制风险,指有内部控制制度,但无法预防\及时发现或纠正重要错误的风险检查风险,信息审计人员采用了不恰当的测试程序,未能发现已存在的重大错误风险整体审计风险,是对个别控制目标所评估出的各类审计风险的综合符合性测试和实质性测试符合性测试:1. 关注内部控制的有效性,从而帮助审计师确定实质性测试的性质、时间和范围，2. 符合性测试可以用来测试既定程序的存在和有效性3. 符合性测试需要测试组织符合控制程序所收集的证据实质性测试：1．实质性测试验证实际处理的完整性，通过实质性测试可以确定财务报表和财务信息所反映的业务活动的正确性和完整性2．实质性测试需要评估组织的交易、数据若其他信息的完整性审计抽样分类：按抽样决策的依据不同，可分为1．统计抽样：审计人员在计算正式抽样结果时采用统计推断技术的一种抽样方法，客观的方法决定样本量大小和抽样方式2．非统计抽样：审计人员全凭主观标准和个人经验来评价样本结果并对总体做出结论两者的区别是：非统计抽样不能理化抽样风险，统计抽样可以量化按审计抽样所了解的总体特征不同，可分为1．属性抽样：估计一个控制或一组相关控制属性的发生概率。

与符合性测试有关有三种基本方法：固定样本量抽样停-走抽样发现抽样2．变量抽样：根据总体的抽样来估计总体的金额数或其他衡量单位，与实质性测试有关有三种常用方法：分层单位平均估计抽样不分层单位平均估计抽样差额估计抽样补偿性控制和重叠性控制补偿性控制是由健全的控制来弥补其他控制缺陷重叠的控制同时有两个健全的控制标准IT平衡记分卡使用一个三层架构来四个方面的评价要素：使命，战略，措施四个方面：财务、客户、内部流程、学习与发展风险管理过程第一步：对那些具有脆弱性，易受威胁，需要保护的信息资产进行识别与分类第二步：评价与信息资源相关的威胁和脆弱性，及其发生的可能性第三步：结合考虑各风险要素形成对风险的总体项目管理方法：1、关键路径法：因为项目的构成是一系列、次序排列的独立任务，利用类似网络结构的图示表示各行为之间的关系，所有链中，时间消耗总数最大的一条链，也就是关键路径，因为它代表了整个项目预计的最短耗时。

CISA知识要点概述CISA（Certified Information Systems Auditor）认证是国际上被广泛认可的信息系统审计师资格认证。

它是由全球信息系统审计行业权威组织ISACA（Information Systems Audit and Control Association）设立和管理的一项专业认证，用于评估和认可个人在信息系统审计、控制和保护方面的专业知识和技能。

接下来，我将对CISA知识要点进行概述。

一、信息系统审计1. 信息系统审计基础- 了解信息系统审计的定义、目标和范围- 理解内部控制和风险管理的概念- 掌握信息系统审计过程的步骤和方法2. 信息系统审计准备- 理解信息系统审计的计划和组织- 学会编制信息系统审计计划和程序- 掌握有效的信息系统审计资源管理和沟通技巧3. 信息系统审计的执行- 掌握信息系统审计工作程序和技术- 学会收集、分析和评估审计证据- 熟悉信息系统审计报告的编制和沟通技巧二、信息系统控制和保护1. 信息系统控制的概念和目标- 了解信息系统控制的定义和角色- 掌握信息系统控制的基本原则和目标- 理解信息系统控制的分类和层次2. 信息系统控制框架- 掌握不同的信息系统控制框架，如COSO、COBIT等- 熟悉信息系统控制框架的组成和结构- 学会应用信息系统控制框架进行系统审计和评估3. 信息系统控制技术- 理解信息系统控制技术的定义和应用- 掌握常见的信息系统控制技术，如访问控制、网络安全、物理安全等- 学会评估和测试信息系统控制技术的有效性4. 信息系统控制策略和实施- 掌握信息系统控制策略的制定和实施- 了解信息系统控制策略的管理和监督- 学会评估和改进信息系统控制策略的效果三、信息系统生命周期管理1. 信息系统规划和组织- 了解信息系统规划和组织的基本概念- 掌握信息系统战略规划和业务需求分析的技术和方法- 学会制定和执行信息系统组织和资源管理策略2. 信息系统采购和交付- 掌握信息系统采购和供应商评估的技术和方法- 理解信息系统交付的过程和技术- 学会评估和监督信息系统采购和交付的质量和风险3. 信息系统操作和维护- 了解信息系统运营和维护的基本要求- 掌握信息系统操作和维护的技术和方法- 学会评估和改进信息系统操作和维护的效果4. 信息系统变更管理- 理解信息系统变更管理的定义和目标- 掌握信息系统变更管理的步骤和技术- 学会评估和监督信息系统变更管理的质量和风险总之，CISA知识要点包括信息系统审计、信息系统控制和保护以及信息系统生命周期管理三个方面。

CISA知识点总结第一章.信息系统审计过程1.IS审计和保障标准、指南、工具、职业道德规范信息技术保证框架（ITAF，Information Technology Assurance Framework）●审计准则：强制性要求✓一般准则：基本的审计指导原理✓执行准则：涉及任务的执行和管理✓报告准则：落实报告类型、沟通方式和沟通信息●审计指南：侧重于审计方法、理论●工具和技术（也叫程序）：提供各种方法、工具和模版三者关系：IS审计师必须遵守审计准则，审计指南帮助应用审计准则，审计工具和技术提供了具体的流程和步骤范例。

2.风险评估概念、工具及技术风险的定义：“风险是特定的威胁利用资产的脆弱性从而对组织造成损害的可能性。

”（ISO/IEC PDTR13335-1）风险评估的过程：(1)识别业务目标（BO，Business Object）(2)识别信息资产（IA，Information Asset）(3)进行风险评估（RA，Risk Assessment）：威胁→脆弱性→可能性→影响(4)进行风险减缓（RM，Risk Mitigation）：落实相关控制(5)进行风险处置（RT，Risk Treatment）基于风险的审计：(1)搜集信息和计划(2)理解内部控制(3)执行符合性测试(4)执行实质性测试(5)完成审计和报告审计风险：审计过程中未发现信息可能存在的重大错误的风险。

●固有风险（Inherent Risk）：业务自身风险，不采取控制时的风险●控制风险（Control Risk）：采取控制后仍具有的风险●检查风险（Detection Risk）：得出错误检查结论的风险●整体审计风险（Overall Audit Risk）：对每一个控制目标评估出的各类审计风险的综合审计重大性（Materiality）：在问题程度上可被组织视为严重的错误。

●抽样不能检查出样本总体的所有错误，但可以将检查风险降低到可接受水平。