最新最全的CISA知识体系讲解.pptVIP

第一局部信息系统审计程序1.1ISACA发布的信息系统审计标准、准那么、程序和职业道德标准1.2IS审计实务和技术1.3收集信息和保存证据的技术〔如观察、调查问卷、谈话、计算机辅助审计技术、电子介质〕1.4证据的生命周期〔如证据的收集、保护和证据之间的相关性〕1.5与信息系统相关的控制目标和控制〔如CobiT模型〕1.6审计过程中的风险评估1.7审计方案和管理技术1.8报告和沟通技术〔如推进、商谈、解决冲突〕1.9控制自我评估〔CSA〕1.10不间断审计技术(即：连续审计技术)

第二局部IT治理(信息技术治理)2.1IT战略、政策、标准和程序对于组织的意义，及其根本要素2.2IT治理框架(体系)2.3制定、实施和维护IT战略、政策、标准和程序的流程。如：信息资产的保护、业务持续和灾难恢复、系统和根底建设生命周期、IT效劳交付与支持2.4质量管理战略和政策2.5与IT使用和管理相关的组织结构、角色和职责。2.6公认的国际IT标准和准那么(指导)。2.7制订长期战略方向的企业所需的IT体系及其内容2.8风险管理方法和工具2.9控制框架(模型)的使用，如：CobiT、COSO、ISO17799等控制模型。2.10成熟度和流程改进模型(如：CMM、CobiT)的使用。

第二局部IT治理(信息技术治理)2.11签约战略、程序和合同管理实务。2.12IT绩效的监督和报告实务2.13有关的法律、规章等问题(如：保密法/隐私法、知识产权、公司治理的要求)2.14IT人力资源管理2.15IT资源投资和配置实务(如：投资的资产管理回报)

第三局部系统和根底建设生命周期管理3.1收益管理实务(例如：可行性研究、业务案例)3.2工程治理机制，如：工程指导委员会、工程监督委员会3.3工程管理实务、工具和控制框架3.4用于工程管理上的风险管理实务3.5工程成功的原那么和风险3.6涉及开发、维护系统(和/或体系)的配置、变更和(发布的)版本管理3.7确保IT系统应用的交易和数据的完整性、准确性、有效性和授权的控制目标和技术3.8关于数据、应用和技术的企业框架3.9需求分析和管理实务，如：需求验证、跟踪(可追溯)、差距分析3.10采购和合同管理程序，如：评估供给商、签合同准备、供给商管理、由第三方保存附带条件委付的契约(escrow)。

第三局部系统和根底建设生命周期管理3.11系统开发方法和工具，以及它们的优缺点。例如，敏捷开发实务，原型、快速应用开发(RAD)，面向对象的设计技术。3.12质量保证方法3.13测试流程的管理，如，测试战略、测试方案、测试环境、启用和关闭(测试)的标准。3.14数据转换工具、技术和程序。

第四局部IT效劳的交付与支持4.1效劳的等级(或水平)管理实务4.2运营管理最正确实务，例如：工作负荷调度、网络效劳管理、预防性维护。4.3系统性能(或效能)监控程序、工具和技术。例如：网络分析器、系统利用率报告、负载均衡4.4硬件和网络设备的功能。如：路由器、交换机、防火墙和外围设备4.5数据库管理实务4.6操作系统、工具软件和数据库管理系统(例如，关系型数据库：Oracle、PostgreSQL)等系统软件的功能。4.7生产能力方案和监控技术4.8对生产系统(或体系)的应急变更和调度管理程序，包括变更、配置、(版本)发布和补丁管理实务。4.9(生产)事件/问题管理实务。如，帮助台(负责受询，提供一般性技术救援)、(逐级)上报程序和(技术)追踪。4.10软件许可证和(其总量)清单管理实务。4.11系统弹性之工具和技术，例如：容错硬件、单点失效的排除、(效劳器)群集(或矩阵)。

第五局部信息资产的保护5.1(信息系统的)平安(措施的)设计、实施和监控技术。如：威胁和风险评估、敏感性分析、泄密评估5.2用户使用授权的功能和数据时，识别、签订和约束等逻辑访问控制。例如：动态密码、询问/应答、〔配置〕菜单、(用户)资料信息。5.3逻辑访问平安体系。如：单点登陆(SSO)、用户识别策略、标识(身份)管理。5.4攻击方法和技术。如：黑客、欺骗、特络伊木马、拒绝效劳、垃圾电子邮件。5.5对平安事件的监测和响应程序。如：上报程序、突发事件响应团队5.6网络和Internet平安设备、协议和技术。如：SSL、SET、VPN、NAT5.7入侵监测系统和防火墙的配置、实施、运行和维护。5.8加密算法/技术。如：AES、RSA5.9公共密钥结构(PKI)组件(如：CA、RA)和数字签名技术5.10病毒监测工具和控制技术

第五局部信息资产的保护5.11平安(方案)的测试和评估技术。例