CISA认证学习指南

本书依据新的ITAF（IT审计框架）在上一版的基础上做了全面细致的更新，列出了术语的新定义，新增了ISO标准方面的内容。《CISA认证学习指南（第4版）注册信息系统审计师》是完整的学习指南，涵盖所有CISA考试目标，每章都包含小结、考试要点、复习题和答案很大程度涵盖所有考试目标。

D.L.坎农，是靠前的CISA培训提供商“CertTest培训中心”的创始人兼总裁，拥有20年以上的培训和咨询经验（涉及IT运维、安全、系统管理等）。David在美国各地讲授CISA备考课程，也常在重要的安全和审计会议上发表演讲。
白大龙，玛泽靠前、玛泽优选预备领导人、中审会计师事务所合伙人，中国通信协会信息安全专家。

第1章审计师成功的秘诀1
1.1理解IS审计需求2
1.1.1高管渎职2
1.1.2更多法规5
1.1.3基本监管目标6
1.1.4治理就是领导7
1.1.5用途不同的三类数据8
1.1.6审计结果揭示真相9
1.2理解政策、标准、准则和过程10
1.3理解职业道德12
1.3.1遵守ISACA的职业道德规范12
1.3.2防止道德冲突13
1.4理解审计的目的15
1.4.1审计类型的一般分类15
1.4.2确定审计方法的区别17
1.4.3理解审计师的职责18
1.4.4审计与评估的对比18
1.5区分审计师和被审计者的角色19
1.6实施审计标准21
1.6.1审计标准的来源21
1.6.2理解各种审计标准23
1.6.3定义最佳实务的具体法规28
1.6.4进行审计以证明财务健全29
1.7审计师是执行职位30
1.7.1理解审计师保密的重要性30
1.7.2与律师合作31
1.7.3与高管合作32
1.7.4与IT专家合作32
1.7.5保留审计文档33
1.7.6提供良好的沟通和融合33
1.7.7理解领导责任34
1.7.8规划和设定优先次序35
1.7.9提供标准参考术语36
1.7.10处理冲突和失败37
1.7.11确定内部审计师和外部审计师的价值37
1.7.12理解证据规则37
1.7.13利益相关者：确定要采访的对象38
1.8理解公司的组织结构39
1.8.1确定公司组织结构中的角色39
1.8.2确定咨询公司组织结构中的角色41
1.9本章小结42
1.10考试要点42
1.11复习题43
第2章治理49
2.1组织控制的战略规划53
2.1.1IT指导委员会概述55
2.1.2使用平衡计分卡59
2.1.3BSC的IT子集63
2.1.4解码IT战略63
2.1.5指定政策66
2.1.6项目管理67
2.1.7IT战略的实施规划76
2.1.8使用COBIT79
2.1.9识别发包位置80
2.1.10进行高管绩效评审84
2.1.11理解审计师在战略中的利益84
2.2战术管理概述85
2.3规划和绩效85
2.3.1管理控制方法86
2.3.2风险管理89
2.3.3实施标准91
2.3.4人力资源92
2.3.5系统生命周期管理94
2.3.6连续性计划94
2.3.7保险95
2.4业务流程重组概述95
2.4.1为什么进行业务流程重组95
2.4.2BPR方法学96
2.4.3天才还是疯子？96
2.4.4BPR的目标97
2.4.5BPR的指导原则97
2.4.6BPR的知识需求98
2.4.7BPR技术98
2.4.8BPR的应用步骤99
2.4.9IS在BPR中的角色100
2.4.10业务流程文档101
2.4.11BPR数据管理技术101
2.4.12将基准比较作为一个BPR工具102
2.4.13使用业务影响分析103
2.4.14BPR项目的风险评估104
2.4.15BPR的实际应用106
2.4.16BPR的实用选择方法108
2.4.17BPR问题排除109
2.4.18理解审计师对战术管理的兴趣109
2.5运营管理110
2.5.1维持运营110
2.5.2跟踪实际绩效110
2.5.3控制变更111
2.5.4理解审计师对运营交付的兴趣111
2.6本章小结112
2.7考试要点112
2.8复习题113
第3章审计流程117
3.1了解审计程序118
3.1.1审计程序的目标和范围119
3.1.2审计项目范围120
3.1.3审计程序责任121
3.1.4审计程序资源121
3.1.5审计程序过程122
3.1.6审计程序实施123
3.1.7审计程序记录123
3.1.8审计程序监控与回顾124
3.1.9规划专项审计125
3.2建立和批准审计章程127
3.3预规划具体审计129
3.3.1了解审计的多样性130
3.3.2识别范围上的限制133
3.3.3收集详细的审计需求134
3.3.4用系统化方法制定计划135
3.3.5比较传统审计评估和自评估137
3.4开展审计风险评估138
3.5确定是否具备可审计性139
3.5.1识别风险战略140
3.5.2确定审计的可行性142
3.6执行审计143
3.6.1选择审计团队143
3.6.2评估审计师并确定其胜任能力143
3.6.3审计质量控制145
3.6.4建立与被审核方的联系146
3.6.5与被审核方的初步联系147
3.6.6利用数据收集技术149
3.6.7文档审核150
3.6.8理解内控的层次151
3.6.9审查现存控制153
3.6.10准备审计计划156
3.6.11给审计团队分配工作157
3.6.12准备工作文档157
3.6.13开展现场审计158
3.7收集审计证据159
3.7.1用证据证明观点159
3.7.2理解证据类型159
3.7.3抽选审计样本160
3.7.4认识典型的信息系统审计证据161
3.7.5使用计算机辅助审计工具161
3.7.6理解电子证物164
3.7.7证据的等级165
3.7.8证据的时间166
3.7.9证据的生命周期167
3.8开展审计证据测试169
3.8.1符合性测试170
3.8.2实质性测试170
3.8.3可容忍错误率171
3.8.4记录测试结果171
3.9生成审计发现结果172
3.9.1检测违规和违法行为172
3.9.2违法违规行为的迹象173
3.9.3对违规或违法行为的响应173
3.9.4审计范围之外发现的问题174
3.10报告审计发现174
3.10.1批准和分发审计报告176
3.10.2识别被忽略的过程176
3.11开展后续工作（关闭会议）176
3.12本章小结177
3.13考试要点177
3.14复习题179
第4章网络技术基础185
4.1了解计算机体系结构的区别186
4.2选择最好的系统190
4.2.1识别各种操作系统190
4.2.2选择最好的计算机类型192
4.2.3比较计算机能力195
4.2.4确保系统控制196
4.2.5处理数据存储197
4.2.6使用接口和端口202
4.3操作系统互连模型（OSI）介绍204
4.3.1第一层：物理层206
4.3.2第二层：数据链路层206
4.3.3第三层：网络层208
4.3.4第四层：传输层214
4.3.5第五层：会话层214
4.3.6第六层：表示层215
4.3.7第七层：应用层215
4.3.8理解计算机如何通信216
4.4理解物理网络设计217
4.5理解网络电缆拓扑218
4.5.1总线拓扑218
4.5.2星形拓扑219
4.5.3环形拓扑220
4.5.4网状网络220
4.6区分网络电缆类型221
4.6.1同轴电缆222
4.6.2非屏蔽双绞线222
4.6.3光纤电缆223
4.7连接网络设备224
4.8使用网络服务226
4.8.1域名系统227
4.8.2动态主机配置协议228
4.9扩展网络229
4.9.1使用电话电路230
4.9.2网络防火墙233
4.9.3远程VPN访问238
4.9.4使用无线接入解决方案242
4.9.5防火墙保护无线网络244
4.9.6远程拨号访问245
4.9.7WLAN传输安全246
4.9.8实现802.11iRSN无线安全248
4.9.9入侵检测系统248
4.9.10总结各种区域网251
4.10使用软件即服务252
4.10.1优点252
4.10.2缺点253
4.10.3云计算254
4.11网络管理基础254
4.11.1自动局域网电缆测试仪255
4.11.2协议分析器255
4.11.3远程监控协议第2版257
4.12本章小结257
4.13考试要点258
4.14复习题259
第5章信息系统生命周期265
5.1软件开发中的治理266
5.2软件质量管理267
5.2.1能力成熟度模型267
5.2.2标准化国际组织269
5.2.3典型的商业记录分类方法273
5.3执行指导委员会概述274
5.3.1识别关键成功因素274
5.3.2使用场景分析法274
5.3.3整合软件与业务需求275
5.4变更管理278
5.5软件项目的管理278
5.5.1选择一种方法278
5.5.2采用传统的项目管理方法279
5.6系统开发生命周期概览282
5.6.1阶段1：可行性研究285
5.6.2阶段2：需求定义288
5.6.3阶段3：系统设计291
5.6.4阶段4：开发295
5.6.5阶段5：实施305
5.6.6阶段6：实施完成后的工作311
5.6.7阶段7：处置312
5.7数据架构概览313
5.7.1数据库313
5.7.2数据库事务的完整性317
5.8决策支持系统318
5.8.1演示决策支持数据319
5.8.2使用人工智能319
5.9程序架构320
5.10集中式与分布式320
5.11电子商务320
5.12本章小结322
5.13考试要点322
5.14复习题323
第6章系统实施与运营329
6.1IT服务的性质330
6.2IT运营管理332
6.2.1满足IT职能目标332
6.2.2运用信息技术基础设施库333
6.2.3支持IT目标335
6.2.4理解人员的角色和职责335
6.2.5使用指标340
6.2.6评估帮助台342
6.2.7服务等级管理342
6.2.8IT职能外包343
6.3容量管理345
6.4行政保护345
6.4.1信息安全管理346
6.4.2IT安全治理347
6.4.3数据角色的权利347
6.4.4数据保留要求348
6.4.5记录物理访问路径349
6.4.6人员管理349
6.4.7物理资产管理351
6.4.8补偿控制353
6.5问题管理353
6.5.1突发事件处理354
6.5.2数字取证356
6.6监视控制状态358
6.6.1系统监控359
6.6.2记录逻辑访问路径360
6.6.3系统访问控制361
6.6.4数据文件控制364
6.6.5应用程序处理控制365
6.6.6日志管理366
6.6.7防病毒软件367
6.6.8活动内容和移动软件代码367
6.6.9维护控制370
6.7实施物理防护372
6.7.1数据处理的位置374
6.7.2环境控制375
6.7.3安全介质存放381
6.8本章小结382
6.9考试要点383
6.10复习题384
第7章保护信息资产389
7.1了解威胁390
7.1.1识别威胁和计算机犯罪的
类型391
7.1.2识别犯罪者394
7.1.3了解攻击方法397
7.1.4实施管理防护406
7.2使用技术保护408
7.2.1技术保护分类408
7.2.2应用软件控制410
7.2.3身份验证方法411
7.2.4网络访问保护423
7.2.5加密方法425
7.2.6公钥架构430
7.2.7网络安全协议435
7.2.8电话安全439
7.2.9技术安全测试440
7.3本章小结440
7.4考试要点441
7.5复习题442
第8章业务连续性与灾难恢复447
8.1戳穿神话448
8.1.1神话1：设备设施至关重要448
8.1.2神话2：IT系统设备至关重要449
8.1.3从神话到现实449
8.2了解业务连续性中的五个冲突领域449
8.3定义灾难恢复450
8.3.1财务挑战451
8.3.2品牌价值451
8.3.3灾后重建452
8.4定义业务连续性的目的453
8.5业务连续性与其他计划联合455
8.5.1识别业务连续性实践456
8.5.2识别管理方法457
8.5.3遵循程序管理方法459
8.6理解业务连续性程序的5个阶段459
8.6.1阶段1：建立BC程序459
8.6.2阶段2：发现过程463
8.6.3阶段3：计划开发468
8.6.4阶段4：计划实施484
8.6.5阶段5：维护与整合486
8.7理解审计师在业务连续性／灾难恢复计划中的关注点487
8.8本章小结487
8.9考试要点488
8.10复习题489
附录复习题答案493

前    言

本书旨在帮助任何对注册信息系统审计师(Certified Information Systems Auditor，CISA)感兴趣且想通过认证的人提供直接的、诚恳的指导。CISA认证是市场上最热门的入门级审计师证书之一。
在全球范围内，各种组织升级安全级别并证明自己存在强有力的内部控制是一种大趋势。你可能听说过以下几种规定：
● 国际巴塞尔协议III银行业风险管理协议。
● COSO，其中包括国家的几个变体。美国版本的萨班斯-奥克斯利法案(Sarbanes-Oxley Act，SOX)针对公共企业提供等同于全球其他证券交易的控制。
● 安全港国际信息隐私保护。
● 美国联邦信息安全管理法案(Federal Information Security Management Act，FISMA)。
● 用于信用卡处理的支付卡行业(Payment Card Industry，PCI)标准。
● 健康保险便携和责任法案(Health Insurance Portability and Accountability Act，HIPAA)。
这些只是30多个高级规定中的几个，这些规定都要求提供内部控制的审计证据。坦白而言，他们为CISA提供了很多机会。这可能是你一直在寻找的机会，特别是如果你拥有财务或技术背景。
监管合规报告面临的最大问题之一是个人运行测试应用程序，但不了解所有需要完成的其他目标。仅运行软件永远不会让一个人成为合格的审计师。在测试应用程序之外存在太多的依赖项。为了解决这个问题，在心态上，审计师需要保持怀疑态度并加上严格的书面程序、测试计划、失败的实际报告(即使它们是程序性的)，并且要在范围和决策上保持客观独立性，这比只生成单独的测试结果要重要得多。
CISA认证概述
ISACA是世界上最公认的信息系统审计资格认证机构之一，提供注册信息系统审计师(CISA)认证。由于优秀的营销推广，它在全球得到了认可。ISACA的成员遍布180多个国家，被公认为IT治理理论、控制理论和各种保证准则的提供者之一。ISACA于1969年开始成立电子数据处理审计师协会，目的是制定具体的国际信息系统审计和控制标准。大部分内容是由Treadway委员会(Committee of Sponsoring Organizations，COSO)赞助组织委员会发布的全球财务控制所得出的控制点。因此，ISACA优秀的营销机制建立了知名的信息系统审计师认证—— CISA。
ISACA控制全球的CISA考试。它是IT治理和IT咨询中最常见的资格证书之一。与其他ISACA认证一样，CISA很容易获得，因为你不必执行单一审核程序来获得认证。另外你可能遇到的公认的认证证书是由内部审计师协会 (Institute of Internal Auditors，IIA)颁发的注册内部审计师证书(Certified Internal Auditor，CIA)。
CISA的市场前景
CISA仍在不断向全球推广，但技能差距正在迅速扩大。在2008年全球银行倒闭后，企业正在不断招聘和企图留住顾问，努力在因合规性受到处罚之前证明其合规性。咨询公司倾向于联系通过CISA认证的专业人士来为客户提供服务。如果大型和小型组织无法表现出更强的内部控制水平，那么会发现自己处于竞争劣势。一个组织可能因为“太大而不能失败”的神话已被证明是虚假捏造的。我将在第1章中向你举例说明这一点。
审计的基本规则之一是：参与审计中发现问题的修复(修正)会损害审计师的独立性和客观性。审计师必须保持独立性，或至少客观认证结果是有效的。另外，审计师应该协助进行整改工作。监管合规性的要求需要持续保持有效，这意味着在某种程度上的补救措施也将持续保持有效。换句话说，审计师的要求实际上增加了一倍。客户需求也在大幅增加。
100多年来，组织不断地开展财务审计。随着金融系统变得越来越复杂，计算机自动化引起了人们对电子财务记录完整性的担忧。过去，一个组织只会聘请一名注册会计师审查其财务记录，并证明其诚信。更大型的组织则聘请经过认证的内部审计师，协助审查业务的内部控制，帮助减少外部审计的持续成本。现在，内部控制的需求一直集中在信息系统上。计算机现在是财务记录的存储间。只有经过验证、测试，功能齐全的安全控制被证实确实存在，管理人员和员工才可能对电子记录中的篡改或虚假陈述负责。如果你无法证明计算机环境的完整性，也就不能相信电子记录的完整性。