艾威培训带您解读2017年CISA认证

发布时间:2017.05.11
    艾威中国培训中心是ISACA授权培训机构,提供ISACA的CISA、CEGIT、CISM、CRISC等产品的认证辅导培训,我们将CISA的考纲及考试范围整理出来,帮助我们的学员顺利通过CISA、CGEIT、CRISC、CISM认证考试。获得国际范围内普遍认可的国际认证证书。
    CISA认证是ISACA最早推向市场的信息系统审计专业认证,这个认证获得美国政府及美国证监会强制标准认证。全美上市公司内部必须有CISA信息系统审计师来配合外部审计师的审计,两者必须具备CISA认证才可以正式工作。足以证明CISA证书有着广泛的认知度及重要作用。艾威(中国)培训中心现对这一权威认证进行细致剖析。使我国企业的内部审计师能够全面了解这一国际标准的认证。同事也为在华的外资企业、外资上市公司提供标准化的资格认证。
一、 信息系统的审计流程 (21%) ——按照 IT 审计标准来提供审计服务,以帮助组织保护和控制其信息系统。
1、信息系统的审计流程的任务解读
(1) 按照 IT 审计标准制定并实施基于风险的 IT 审计战略,确保关键领域均包括在内。
(2)计划具体审计工作,以确定信息系统是否得到保护和控制并为组织提供价值。
(3)按照 IT 审计标准执行审计,以实现计划的审计目标。
(4)向重要的利益相关人员通报结果,报告审计发现的问题并提出建议,并在必要时实施变更。
(5) 进行后续审计工作或准备状态报告,以确保管理部门及时采取相应措施。
2、 信息系统的审计流程的知识点解读
(1)ISACA 信息系统审计标准、准則、工具和技术;职业道德規范及其他适用标准
(2)审计环境风险评估的概念、工具和技术
(3)控制目标以及与信息系统相关的控制
(4)审计计划和审计项目管理技巧(包括后续审计工作)
(5)基本业务流程(如采购、薪资管理、应付账款、应收账款等)以及相关的 IT
(6)会对审计范围、证据搜集与保管、以及审计频率等产生影响的相关法律法规
(7)用于搜集、保护和保管审计证据的证据搜集技巧(例如观察、问询、检查、面谈、数据分析)
(8)了解各种抽样方法
(9)报告和交流技巧(例如协助、协商、冲突解决、审计报告结构)
(10)审计的质量保障体系和框架
二、 IT 治理与管理 (16%) ——用以确保具备必要的领导人员、组织结构及流程来实现相关目标和支持组织战略。
1、IT 治理与管理的任务解读
(1) 对 IT 治理结构的有效性进行评估,以确定 IT 决策、方向和执行是否支持组织的战略和目标。
(2) 对 IT 组织结构和人力资源(人事)管理情况进行评估,以确定它们是否为组织的战略和目标提供支持。
(3) 对 IT 战略(包括 IT 方向)及该战略的制定、审批、实施和维护过程进行评估,确定它是否符合组织的战略和目标。
(4)对组织的 IT 政策、标准、流程及其制定、审批、实施、维护和监控过程进行评估,以确定它们是否支持 IT政策并符合法律法规的要求。
(5)对质量管理系统的充分性进行评估,以确定它是否以具有成本效益的方式为组织的战略和目标提供支持。
(6)对 IT 管理和控制的监控(例如,持续监控、质量保证 [QA])进行评估,以确保它们符合组织的政策、标准和流程。
(7)对 IT 资源的投资、使用和分配实务(包括优先化评审标准)进行评估,以确定它们是否符合组织的战略和目标。
(8)对 IT 外判战略、政策及合同管理实务进行评估,以确定它们是否支持组织的战略和目标。
(9) 对风险管理实务进行评估,以确定组织内 IT 相关的风险是否已得到合理管理。
(10)对监控和鉴证实务进行评估,以确定董事会和管理高层能否及时充分地获取有关 IT 执行情况的信息。
(11) 对组织的业务连续性计划进行评估,以确定组织能否在 IT 遭到中断期间能继续基本业务的操作。
2、IT 治理与管理的知识点说明
(1) IT 治理、管理、安全和控制框架以及相关标准、续和实务
(2) 组织的 IT 战略、政策、标准及流程的目的及其基本元素
(3)  IT 的组织结构、角色和职责
(4) IT 战略、政策、标准及流程的制定、实施和维护过程
(5) 组织的技术方向和 IT 架构及其对于设定长期战略方向的意义
(6) 会对组织产生影响的相关法律、法规和行业标准
(7) 质量管理系统
(8) 成熟度模型的使用
(9) 流程优化技术
(10) 包括优先化评审标准在内的 IT 资源投资和分配实务(例如,资产组合管理、价值管理和项目管理)
(11) 包括第三方外包关系在内的 IT 供应商选择、合同管理、关系管理和性能监控过程
(12) 企业风险管理
(13) 监控和报告 IT 执行的实务(例如,平衡记分卡和关键性能指标 KPI)
(14) 用于调用业务连续性计划的 IT 人力资源(人事)管理实务
(15)与业务连续性计划 (BCP) 相关的业务影响分析 (BIA)
(16) 与业务连续性计划 (BCP) 的开发和维护相关的标准和流程以及测试方法
三、信息系统的购置、开发 与实施 (18%) ——用以确保信息系统的购置、开发、测试和实施实务符合组织的战略与目标。
1、信息系统的购置、开发 与实施的任务解读
(1)评估在信息系统的购置、开发、维护及后期退役方面进行建议投资的业务案例,以确定它是否符合业务目标。
(2) 对项目管理实务和控制进行评估,以确定在管理组织的风险时是否以具有成本效益的方式达到业务要求。
(3)进行审查,以确定进行中的项目是否与项目计划保持一致,具有充分的文档支持,并且状态报告正确无误。
(4)对在需求、购置、开发和测试阶段的信息系统控制进行评估,以确保符合组织的政策、标准、流程及相应外部要求。
(5)对信息系统的生产实施和迁移就绪情况进行评估,以确定其是否满足项目交付成果、控制及组织的要求。
(6) 对信息系统执行后实施审查,以确定其是否满足项目交付成果、控制及组织的要求。
2、信息系统的购置、开发 与实施的知识点解读
(1) 收益实现实务(例如,可行性研究、业务案例、总体拥有成本 [TCO]、投资回报 [ROI])
(2) 项目治理机制(例如,督导委员会、项目监管董事会、项目管理办公室)
(3) 项目管理控制框架、实务和工具
(4) 适用于项目的风险管理实务
(5) 与数据、应用程序和技术相关的IT架构(例如,分布式应用程序、基于 Web 的应用程序、Web 服务、n层应用)
(6)购置实务(例如,供应商评估、供应商管理、托管)
(7)需求的分析和管理实务(例如,需求验证、可跟踪性、差距分析、漏洞管理、安全要求)
(8)有关项目成功的审核标准和风险
(9)控制目标和技巧,以确保事务和数据的完整性、准确性、有效性及授权
(10)系统开发方法和工具,包括它们的优点和缺点(例如,敏捷开发实务、原型设计、快速应用开发[RAD]、面向对象的设计技术)
(11) 与信息系统开发相关的测试方法和实务
(12) 与信息系统开发相关的配置和发布管理
(13)系统迁移和基础架构部署实务,以及数据转换工具、技术和流程
(14) 实施审查目标和实务(例如,项目收尾、控制的实施、收益实现、绩效衡量)
四、信息系统的操作、维护与服务管理 (20%) ——用以确保信息系统的操作、维护和管理过程符合组织的战略与目标。
1、信息系统的操作、维护与服务管理的任务解读
(1)定期审查信息系统,以确定其是否持续满足组织目标。
(2) 对服务水平管理实务进行评估,以确定能否对组织内部和外部服务提供商的服务水平进行定义和管理。
(3) 对第三方管理实务进行评估,以确定提供商是否达到组织所期望的控制水平。
(4) 对有关信息系统操作和终端用户的流程进行评估,以确定既定和非既定的流程是否得到管理并完成。
(5)对信息系统的维护过程进行评估,以确定其是否达到有效控制并持续支持组织的目标。
(6) 对数据管理实务进行评估,以确定数据库的完整性和最优化情况。
(7) 对容量和性能监控工具及技术的使用情况进行评估,以确定信息技术服务能否满足组织的目标。
(8) 对问题和事故管理实务进行评估,以确定事故、问题或错误能否及时得到记录、分析和解决。
(9) 对变更、配置和发布管理实务进行评估,以确定能否充分控制在组织生产环境内的计划内和计划外变更、并将这些变更记录在案。
(10)对备份和恢复准备的充分性进行评估,以确定恢复处理所需信息的可用性。
(11) 对组织的灾难恢复计划进行评估,以确定此计划能否在灾难发生时恢复 IT 的处理功能。
2、信息系统的操作、维护与服务管理的知识点解读
(1)服务水平管理实务及服务级别协议中的组成部分
(2)用于监控第三方对组织内部控制措施遵守情况的相关技术
(3)用于管理既定和非既定流程的信息系统操作和终端用户流程
(4)与硬件和网络组件、系统软件及数据库管理系统相关的技术概念
(5)可确保系统接口完整性的控制技术
(6)软件许可和资产清单实务
(7)系统弹性工具和技术(例如,容错硬件、消除单一故障点、群集)
(8)数据库管理实务
(9)容量规划及相关的监控工具和技术
(10)系统性能监控过程、工具和技术(例如,网络分析程序、系统使用情况报告、负载均衡)
(11)问题和事故管理实务(例如,服务台、升级流程、跟踪)
(12)管理生产系统和/或基础架构的计划内和突发变更的过程,包括变更、配置、发布和修补程序管理实务
(13)数据备份、存储、维护、保留和恢复实务
(14)与灾难恢复相关的法律、法规、合同及保险问题
(15)与灾难恢复计划相关的业务影响分析 (BIA)
(16)灾难恢复计划的开发和维护
(17)备用处理场所的类型和监控合同协议的方法(例如,热备站点、温备站点、冷备站点)
(18)用于调用灾难恢复计划的过程
(19)灾难恢复测试方法
五、信息资产的保护 (25%) ——用以确保组织的安全政策、标准、流程和控制能够保证信息资产的机密性、完整性和可用性。
1、信息资产的保护的任务解读
(1)对信息安全政策、标准和流程进行评估,以确保其完整性并符合普遍认可的实务。
(2)对系统和逻辑访问控制的设计、实施和监控进行评估,以验证信息的机密性、完整性及可用性。(3) 对数据分类过程和流程的设计、实施和监控进行评估,以确保它们符合组织的政策、标准、流程及相应的外部要求。
(4)对物理访问和环境控制的设计、实施和监控进行评估,以确定信息资产是否得到充分保护
(5)对用于存储、检索、传输和处理信息资产的过程和流程进行评估(例如,备份介质、外部存储、硬拷贝/打印数据和软拷贝介质),以确定信息资产是否得到充分保护。
2、信息资产的保护的知识点解读
(1)安全控制的设计、实施和监控技术(包括安全意识计划)
(2)与监控和响应安全事故相关的过程(例如,升级流程、突发事故响应团队)
(3)用户标识、身份验证以及授权功能和数据限制的逻辑访问控制
(4)与硬件、系统软件(例如,应用程序和操作系统)及数据库管理系统相关的安全控制
(5)与系统虚拟化相关的风险和控制
(6)网络安全控制的配置、实施、操作和维护
(7)网络和互联网的安全设备、协议和技术
(8)信息系统攻击方法和技术
(9)检测工具和控制技术(例如,恶意软件、病毒检测、间谍软件)
(10)安全测试技术(例如,入侵测试、漏洞扫描)
(11)与数据泄漏相关的风险和控制
(12)与数据加密相关的技术
(13)公钥基础架构 (PKI) 组件和数字签名技术
(14)与对等计算、即时消息及基于 Web 的技术(例如,社交网络、留言板、博客)相关的风险和控制
(15)与移动设备和无线设备的使用相关的控制和风险
(16)语音通信安全(例如,专用分组交换机、网络语音通讯)
(17)在取证调查中采用的证据保管技术和过程(例如,IT、过程、保管链)
(18)数据分类标准及支持流程
(19)用户标识、身份验证以及授权功能限制的物理访问控制
(20)环境保护设备及支持实务
(21)用于存储、检索、传输和处理机密信息资产的过程和流程
 
  TEL:400-888-5228
  web:http://www.avtechcn.com
  E-mail:training@avtechcn.cn
  WeChat:avtechina

【艾威(中国)】简介:

艾威培训隶属于上海艾威信息科技有限公司,于2002年在上海建立办事处,2003年正式注册成立上海艾威信息科技有限公司并全面开展国内的培训业务,主要专注于职业认证培训与IT技术培训,致力于中国数字化管理人才与技术人才的培养。

  

艾威主要业务为培训业务与咨询业务两大类,目前培训的主要产品有:项目管理培训、IT管理培训、敏捷培训、业务分析与需求管理培训、企业架构培训、业务流程管理培训、数据管理与治理培训、信息安全培训、办公软件与多媒体培训、大数据与人工智能培训、虚拟化与云计算培训、数据库培训、软件开发培训等....近30给分类上百门的课程的培训与咨询服务。

 

艾威凭借引进国际领先的课程知识体系和多年积累的丰富教学经验,结合中国本土企业文化、实际需求,为企业、个人提供定制化的培训解决方案。艾威已服务了超过 10000 多家客户,获得了良好的口碑!已被众多 500强企业纳入培训供应商,如 HP,NOKIA,CISCO,INTEL,GE,华为,宝马,德电,通用,大陆汽车,中国银行,交行,工行,罗氏,赛诺菲,埃森哲……等。

 
  • 2002年艾威成立上海办事处,并于2003年正式成立公司,开启全面培训业务
  • 2002年成为思科Cisco授权培训中心
  • 2003年成为Oracle授权培训中心
  • 2003年成为国际项目管理协会PMI授权的全球(PMP,PGMP,ACP,PBA)教育机构
  • 2005年成为国际需求管理协会IIBA授权的全球(ECBA,CCBA,CBAP)教育机构
  • 2008-2015年成为100+家央企、国企、外企指定培训供应商(惠普、诺基亚、德电、罗氏、中国银行、交通银行、中国海关等)。
  • 2015年艾威国际网校(edu.avtechcn.com)成立,引进数百门在线课程。
  • 2016年成为国际信息审计协会ISACA授权的CISA,CISM,CRISC,CGEIT,COBIT教育机构。
  • 2017年成为The Open Group授权的TOGAF企业架构的官方培训机构。
  • 2017年成为APMG与国际外包专业协会(IAOP)授权的外包治理国际认证SGF(Sourcing Governance Foundation)教育机构。
  • 2017年成为APMG与业务关系管理协会(BRMI)授权的BRMP、CBRM教育机构。
  • 2018年成为PeopleCert授权ITIL、Prince2、MSP培训及考试机构。
  • 2018年成为DRI授权CBCP培训及考试机构。
  • 2019年成为亚马逊培训合作伙伴。
  • 2019年成为国际云安全联盟CCSK授权培训合作伙伴。
  • 2020年艾威数字化人才培训中心成立,并首创发布了艾威MDD数字化人才三角模型及8大能力培训体系。
  • 2021年成为SAFe大规模敏捷认证官方培训机构。
  • 2021年成为DAMA国际数据管理协会CDGA/CGDP/CDMP数据管理认证官方培训机构。
  • 2022年艾威数字化人才培训中心成立一周年,进一步完善并升级“艾威MDD数字化人才三角模型及8大能力体系”为“艾威数字化人才18大能力罗盘”。