廣告服務 新浪微博 騰訊微博 微信公眾號 歡迎投稿
中審旗下: 中審網校 | 中審商城 | 中審論壇 | 繼續教育 投稿信箱:[email protected] 設為首頁 | 收藏本站
首頁 財審文庫 內控舞弊 行業法規 考試培訓 社區部落
考試頻道
國際信息系統審計師CISA考試大綱詳細說明

CISA 工作實務范圍說明

CISA 任務和知識點說明

²  考試內容(領域)

領域 1:信息系統的審計流程——按照 IT 審計標準來提供審計服務,以幫助組織保護和控制其信息系統。

【領域 1:任務說明】

T1.1 按照 IT 審計標準制定并實施基于風險的 IT 審計戰略,確保關鍵領域均包括在內。

T1.2 計劃具體審計工作,以確定信息系統是否得到保護和控制并為組織提供價值。

T1.3 按照 IT 審計標準執行審計,以實現計劃的審計目標。

T1.4 向重要的利益相關人員通報結果,報告審計發現的問題并提出建議,并在必要時實施變更。

T1.5 進行后續審計工作或準備狀態報告,以確保管理部門及時采取相應措施。

【領域 1:知識點說明】

KS1.1 了解 ISACA 信息系統審計標準、準則、工具和技術;職業道德規范及其他適用標準

KS1.2 了解審計環境風險評估的概念、工具和技術

KS1.3 了解控制目標以及與信息系統相關的控制

KS1.4 了解審計計劃和審計項目管理技巧(包括后續審計工作)

KS1.5 了解基本業務流程(如采購、薪資管理、應付賬款、應收賬款等)以及相關的 IT

KS1.6 了解會對審計范圍、證據搜集與保管、以及審計頻率等產生影響的相關法律法規

KS1.7 了解用于搜集、保護和保管審計證據的證據搜集技巧(例如觀察、問詢、檢查、面談、數據分析)

KS1.8 了解各種抽樣方法

KS1.9 了解報告和交流技巧(例如協助、協商、沖突解決、審計報告結構)

KS1.10 了解審計的質量保障體系和框架

領域 2IT 治理與管理用以確保具備必要的領導人員、組織結構及流程來實現相關目標和支持組織戰略。

【領域 2:任務說明】

T2.1  IT 治理結構的有效性進行評估,以確定 IT 決策、方向和執行是否支持組織的戰略和目標。

T2.2  IT 組織結構和人力資源(人事)管理情況進行評估,以確定它們是否為組織的戰略和目標提供支持。

T2.3  IT 戰略(包括 IT 方向)及該戰略的制定、審批、實施和維護過程進行評估,確定它是否符合組織的戰略和目標。

T2.4 對組織的 IT 政策、標準、流程及其制定、審批、實施、維護和監控過程進行評估,以確定它們是否支持 IT政策并符

合法律法規的要求。

T2.5 對質量管理系統的充分性進行評估,以確定它是否以具有成本效益的方式為組織的戰略和目標提供支持。

T2.6  IT 管理和控制的監控(例如,持續監控、質量保證 [QA])進行評估,以確保它們符合組織的政策、標準和流程。

T2.7  IT 資源的投資、使用和分配實務(包括優先化評審標準)進行評估,以確定它們是否符合組織的戰略和目標。

T2.8  IT 外判戰略、政策及合同管理實務進行評估,以確定它們是否支持組織的戰略和目標。

T2.9 對風險管理實務進行評估,以確定組織內 IT 相關的風險是否已得到合理管理。

T2.10 對監控和鑒證實務進行評估,以確定董事會和管理高層能否及時充分地獲取有關 IT 執行情況的信息。

T2.11 對組織的業務連續性計劃進行評估,以確定組織能否在 IT 遭到中斷期間能繼續基本業務的操作。

【領域 2:知識點說明】

KS2.1 了解 IT 治理、管理、安全和控制框架以及相關標準、續和實務

KS2.2 了解組織的 IT 戰略、政策、標準及流程的目的及其基本元素

KS2.3 了解 IT 的組織結構、角色和職責

KS2.4 了解 IT 戰略、政策、標準及流程的制定、實施和維護過程

KS2.5 了解組織的技術方向和 IT 架構及其對于設定長期戰略方向的意義

KS2.6 了解會對組織產生影響的相關法律、法規和行業標準

KS2.7 了解質量管理系統

KS2.8 了解成熟度模型的使用

KS2.9 了解流程優化技術

KS2.10 了解包括優先化評審標準在內的 IT 資源投資和分配實務(例如,資產組合管理、價值管理和項目管理)

KS2.11 了解包括第三方外包關系在內的 IT 供應商選擇、合同管理、關系管理和性能監控過程

KS2.12 了解企業風險管理

KS2.13 了解監控和報告 IT 執行的實務(例如,平衡記分卡和關鍵性能指標 [KPI]

KS2.14 了解用于調用業務連續性計劃的 IT 人力資源(人事)管理實務

KS2.15 了解與業務連續性計劃 (BCP) 相關的業務影響分析 (BIA)

KS2.16 了解與業務連續性計劃 (BCP) 的開發和維護相關的標準和流程以及測試方法

領域 3:信息系統的購置、開發與實施用以確保信息系統的購置、開發、測試和實施實務符合組織的戰略與目標。

【領域 3:任務說明】

T3.1 評估在信息系統的購置、開發、維護及后期退役方面進行建議投資的業務案例,以確定它是否符合業務目標。

T3.2 對項目管理實務和控制進行評估,以確定在管理組織的風險時是否以具有成本效益的方式達到業務要求。

T3.3 進行審查,以確定進行中的項目是否與項目計劃保持一致,具有充分的文檔支持,并且狀態報告正確無誤。

T3.4 對在需求、購置、開發和測試階段的信息系統控制進行評估,以確保符合組織的政策、標準、流程及相應外部要求。

T3.5 對信息系統的生產實施和遷移就緒情況進行評估,以確定其是否滿足項目交付成果、控制及組織的要求。

T3.6 對信息系統執行后實施審查,以確定其是否滿足項目交付成果、控制及組織的要求。

【領域 3:知識點說明】

KS3.1 了解收益實現實務(例如,可行性研究、業務案例、總體擁有成本 [TCO]、投資回報 [ROI]

KS3.2 了解項目治理機制(例如,督導委員會、項目監管董事會、項目管理辦公室)

KS3.3 了解項目管理控制框架、實務和工具

KS3.4 了解適用于項目的風險管理實務

KS3.5 了解與數據、應用程序和技術相關的 IT 架構(例如,分布式應用程序、基于 Web 的應用程序、Web 服務、層應

用)

KS3.6 了解購置實務(例如,供應商評估、供應商管理、托管)

KS3.7 了解需求的分析和管理實務(例如,需求驗證、可跟蹤性、差距分析、漏洞管理、安全要求)

KS3.8 了解有關項目成功的審核標準和風險

KS3.9 了解控制目標和技巧,以確保事務和數據的完整性、準確性、有效性及授權

KS3.10 了解系統開發方法和工具,包括它們的優點和缺點(例如,敏捷開發實務、原型設計、快速應用開發[RAD]、面向對

象的設計技術)

KS3.11 了解與信息系統開發相關的測試方法和實務

KS3.12 了解與信息系統開發相關的配置和發布管理

KS3.13 了解系統遷移和基礎架構部署實務,以及數據轉換工具、技術和流程

KS3.14 了解后實施審查目標和實務(例如,項目收尾、控制的實施、收益實現、績效衡量)

領域 4:信息系統的操作、維護與支持用以確保信息系統的操作、維護和支持過程符合組織的戰略與目標。

【領域 4:任務說明】

T4.1 定期審查信息系統,以確定其是否持續滿足組織目標。

T4.2 對服務水平管理實務進行評估,以確定能否對組織內部和外部服務提供商的服務水平進行定義和管理。

T4.3 對第三方管理實務進行評估,以確定提供商是否達到組織所期望的控制水平。

T4.4 對有關信息系統操作和終端用戶的流程進行評估,以確定既定和非既定的流程是否得到管理并完成。

T4.5 對信息系統的維護過程進行評估,以確定其是否達到有效控制并持續支持組織的目標。

T4.6 對數據管理實務進行評估,以確定數據庫的完整性和最優化情況。

T4.7 對容量和性能監控工具及技術的使用情況進行評估,以確定信息技術服務能否滿足組織的目標。

T4.8 對問題和事故管理實務進行評估,以確定事故、問題或錯誤能否及時得到記錄、分析和解決。

T4.9 對變更、配置和發布管理實務進行評估,以確定能否充分控制在組織生產環境內的計劃內和計劃外變更、并將這些變更記錄

在案。

T4.10 對備份和恢復準備的充分性進行評估,以確定恢復處理所需信息的可用性。

T4.11 對組織的災難恢復計劃進行評估,以確定此計劃能否在災難發生時恢復 IT 的處理功能。

【領域 4:知識點說明】

KS4.1 了解服務水平管理實務及服務級別協議中的組成部分

KS4.2 了解用于監控第三方對組織內部控制措施遵守情況的相關技術

KS4.3 了解用于管理既定和非既定流程的信息系統操作和終端用戶流程

KS4.4 了解與硬件和網絡組件、系統軟件及數據庫管理系統相關的技術概念

KS4.5 了解可確保系統接口完整性的控制技術

KS4.6 了解軟件許可和資產清單實務

KS4.7 了解系統彈性工具和技術(例如,容錯硬件、消除單一故障點、群集)

KS4.8 了解數據庫管理實務

KS4.9 了解容量規劃及相關的監控工具和技術

KS4.10 了解系統性能監控過程、工具和技術(例如,網絡分析程序、系統使用情況報告、負載均衡)

KS4.11 了解問題和事故管理實務(例如,服務臺、升級流程、跟蹤)

KS4.12 了解管理生產系統和/或基礎架構的計劃內和突發變更的過程,包括變更、配置、發布和修補程序管理實務

KS4.13 了解數據備份、存儲、維護、保留和恢復實務

KS4.14 了解與災難恢復相關的法律、法規、合同及保險問題

KS4.15 了解與災難恢復計劃相關的業務影響分析 (BIA)

KS4.16 了解災難恢復計劃的開發和維護

KS4.17 了解備用處理場所的類型和監控合同協議的方法(例如,熱備站點、溫備站點、冷備站點)

KS4.18 了解用于調用災難恢復計劃的過程

KS4.19 了解災難恢復測試方法

領域 5:信息資產的保護用以確保組織的安全政策、標準、流程和控制能夠保證信息資產的機密性、完整性和可用性。

【領域 5:任務說明】

T5.1 對信息安全政策、標準和流程進行評估,以確保其完整性并符合普遍認可的實務。

T5.2 對系統和邏輯訪問控制的設計、實施和監控進行評估,以驗證信息的機密性、完整性及可用性。

T5.3 對數據分類過程和流程的設計、實施和監控進行評估,以確保它們符合組織的政策、標準、流程及相應的外部要求。

T5.4 對物理訪問和環境控制的設計、實施和監控進行評估,以確定信息資產是否得到充分保護。

T5.5 對用于存儲、檢索、傳輸和處理信息資產的過程和流程進行評估(例如,備份介質、外部存儲、硬拷貝/打印數據和軟

拷貝介質),以確定信息資產是否得到充分保護。

【領域 5:知識點說明】

KS5.1 了解安全控制的設計、實施和監控技術(包括安全意識計劃)

KS5.2 了解與監控和響應安全事故相關的過程(例如,升級流程、突發事故響應團隊)

KS5.3 了解用戶標識、身份驗證以及授權功能和數據限制的邏輯訪問控制

KS5.4 了解與硬件、系統軟件(例如,應用程序和操作系統)及數據庫管理系統相關的安全控制

KS5.5 了解與系統虛擬化相關的風險和控制

KS5.6 了解網絡安全控制的配置、實施、操作和維護

KS5.7 了解網絡和互聯網的安全設備、協議和技術

KS5.8 了解信息系統攻擊方法和技術

KS5.9 了解檢測工具和控制技術(例如,惡意軟件、病毒檢測、間諜軟件)

KS5.10 了解安全測試技術(例如,入侵測試、漏洞掃描)

KS5.11 了解與數據泄漏相關的風險和控制

KS5.12 了解與數據加密相關的技術

KS5.13 了解公鑰基礎架構 (PKI) 組件和數字簽名技術

KS5.14 了解與對等計算、即時消息及基于 Web 的技術(例如,社交網絡、留言板、博客)相關的風險和控制

KS5.15 了解與移動設備和無線設備的使用相關的控制和風險

KS5.16 了解語音通信安全(例如,專用分組交換機、網絡語音通訊)

KS5.17 了解在取證調查中采用的證據保管技術和過程(例如,IT、過程、保管鏈)

KS5.18 了解數據分類標準及支持流程

KS5.19 了解用戶標識、身份驗證以及授權功能限制的物理訪問控制

KS5.20 了解環境保護設備及支持實務

KS5.21 了解用于存儲、檢索、傳輸和處理機密信息資產的過程和流程

作者:
審計網中文網址:審計網.中國
電信與信息服務業務與電子公告BBS 經營許可證:粵B2-20050153號
Copyright @ 2000-2014 www.shenji.cn All Rights Reserved.
彩神通关注码历史记录