2013年cisa考试知识点变化总结讲义

马 汇哲科技资深讲

©2013SPISEC技 PSC）致于 管、审、证方的训实研，以 流学指业SPSC为 ，于践服质的实，永。备 验五以培经身年于 业具较的业训平丰的训强的续务队为员决试认作多培经，培为服为实为个、内第合伙提优的训。SPISEC于2008年开始在业内陆续组织多场专业知识 座和研讨，持续发布多期专 文档和学习形式 、书籍。SPISEC至今为27000名会员提供免费的学习指导服务，其中为3000多名移动、能源、制造、IT等多个行业 Page <Title>| ©2013SPISEC2013年CISA考试第二章IT治理与管理第四章信息系统的操作、 第五章信息资产的保护Page <Title>| ©2013SPISEC第一章信息系统的审 Page <Title>| ©2013SPISEC第二章IT治理 2.9.2外包实务— 2.12.10Page <Title>| ©2013SPISEC第二章IT治理 治2.10.3职责分离 数据 外包实务—目前外包治理方法 删除标题 ）Page <Title>| ©2013SPISECIT平衡记为了把平衡记分卡应用于IT使成为首选的信息系统经济、有效地交付ITIT投资能获得一个合理的抓住机遇应对未开发良好的应用系统建立用户伙伴关系和良好的客户服提高服务水平控制IT为IT项目赋于业务提供新的业务培训和教育IT职员，追求卓为研究和开发提供

Page <Title>| ©2013SPISEC2.5过程改进模型和成熟 Page <Title>| ©2013SPISEC2.9.2采购实 方向在总体是技术供应和业 ，系统是安全的和风险是可管理的，在任何环境都是，在第管理中更加复杂。典型的治理活动例如目标设定，政策 Page <Title>| ©2013SPISEC2.9.2采购实）Page <Title>| ©2013SPISEC是信息系统基于部门的流程得到有效控制、评价和改善。流程是由一系列任预期的结果信息系统审计师应当ISO9001 ，取代早 的ISO标准（2013年变化知识点）；ISO20000ISO27001、ISO9126、CMM等正式成文并，是否能产生预期的信息系统审计应 织是否 制定职能与流程并遵照执行，如已制定，是否能产生信息系统审计师重点关注为关键业务职能制定的IT相 流程。为，审计师建议实施一个流程改善程序，排定所需活动的次序，制定所的活动计划，为执行Page <Title>| ©2013SPISEC （BritishStandardsInstitution,简称BSI）制定的 管理实践规范》(CodeofPracticeforInformationSecurity)，9月在英国发布。 。1998年2月为了适应第认证的需求,英国又制定世界上 估的基础。（2013年新增知识点）Page <Title>| ©2013SPISEC ，:2布成为正标，:2002大 ，引入国际上通行的管理模式过程方法和PDA持续改进式。2005年6月，ISO/IEC17799:2000经 ，同时，BS7799-2:2002ISO10 ISO/IEC17799:2005CodeofpracticeforInformationISO/IEC27001:2005InformationSecurity.SecurityInformationsecuritymanagementsystems.Page <Title>| ©2013SPISEC以ISO/IEC27001 管理标准逐渐发展成为一套完整的准族，具体包ISO/IEC27000，基础和术语ISO/IEC 管理体系要求，20051015发布（ISO/IEC27001:2005）ISO/IEC27002， 管理体系最佳实践，20074直接由ISO/IEC17799:2005（2005年6月15日正式发布）转换而来。（ISO/IEC27003，ISMS实施指ISO/IEC 管理度量和改进ISO/IEC 风险管理指南，以2005BS7799-3（基于ISO/IEC13335-2）为蓝Page <Title>| ©2013SPISEC 理人员作为参考文档使用，从而在他们的机构内部实施和信息安 管理系统的要求，实施组织需要通过风险评估来鉴定安全策略（Security的组织（安全策略（Security的组织（Organizinginformationsecurity）资产管理（Asset人力资源安全（Human物理和环境安全（Physical通信和操作安全（Communicationsand信息系统开发和（Informationsystemacquisition,developmentandmaintenance）访问控制（Access事故管理（Informationsecurityincidentmanagement）业务连续性管理（Businesscontinuitymanagement）符合性（Page <Title>| ©2013SPISECPDCA（Plan、Do、CheckAct）是管理学惯用的一个过程模型，最早是由休哈特（WalterShewhart）于19世纪30年代构想的，后来被戴明（EdwardsDeming）采纳、宣传并运用于持续改善产品质量的过程当中。Page <Title>| ©2013SPISEC（2013年新增知识点 Page <Title>| ©2013SPISEC不断前进、不断提高（2013年新增知识点PDCA循环就像爬楼梯一样，一个循环运转结束，生产的质量就会高一步，然后再制定下一个循环，再运转、再提高，不断前进，不提高，是一个螺旋式上升的过程质量

C螺旋上升的Page <Title>| ©2013SPISECPDCA和ISMS的结Page <Title>| ©2013SPISECIT治理最佳实IT治理和管理IT与各项业务保持一致，IT能够促进业务开展并使效益最大化，IT资源ISO/IEC27001(ISO27001)系列标准：属于一组最佳做法，可向各组 程序方面的指导。ISO27001最初作为英国标准7799(BS7799)在英国(UK)公布，现已成为该行业的公认标准。（注：第五章 管理体系（ISMS)”知识点，2013年新增知识点。 了关于如何实现成功的IT运营服务菅理的实用信息。2008年发布3.0版。Page <Title>| ©2013SPISEC （ITPage <Title>| ©2013SPISEC（2013年(CSF(KGI(KPIPage <Title>| ©2013SPISEC2.12.102013年变化知识点USNationalInstituteofStandardsandTechnology（ USFederalFinancialInstitutionsExaminationCouncil USFederalReserve USHealthandHumanServicesHHS 人员服务署制定的 USFederalEnergyRegulatoryCommission(FERC 能Page <Title>| ©2013SPISEC2.2公司必须通过公司治理实践促进组织内部问题的处理、决策的制定以及总体实践。公司治理已被定义为制商业公司的系统”。具体来说，职责和采取的做法，用以指明方向，从而确保实现目标、恰当解决风险并合理利用世界经济合作与发展组织（OECD）：“公司治理包括组织中管理层 权、促进经济繁荣和社会凝聚力、减少贫困、加强环境保护和自然资源 Page <Title>| ©2013SPISEC2.2公司作为本框架的一部分，还应建立管理与报告业务风险的机制。要求组织应具备一个内部控制系统，以便在探索用于改善业务的富有创新意义的 风险。同时，此框架也是保护利益相关者的平台，因作出他们的投资决定。这样，一方面需要利用各种可能的机会为利益相 社会责任的约束，因此公司治理便会试图在这两个互相 找到平衡点。考虑到社会责任在公司治理中的重要性，国际标准化组织（ISO)已开始制定国际标准（ISO26000),从而为社会责任(SR)提供强制性的准则。（2013年删除内容Page <Title>| ©2013SPISEC有效 治企业治理是董事会和高级管理层为提供方针所实行的合理使用企业资源。（2013年删除内容）业务方针通过是通过业务目的和目标来明确，信息安全必须支持业务活企业交付的价值。 Page <Title>| ©2013SPISEC第三章信息系统的购 3.5.2SDLCPhase4B—配置 3.12.4Page <Title>| ©2013SPISEC第三章信息系统的购 3.6.20 Page <Title>| ©2013SPISEC第三章信息系统的购20123.4.3项目管理的一般事务（2013年删除20123.6.13综合客户文件（2013年删除20123.6.14办公自动化（2013年删除20123.7（2013年删除20123.8.1面向数据的系统开发（2013年删除20123.9.7系统软件变更控制流程（2013年删除2012-3.13.1输入控制 联机系统或数据库系统中的批输入完整性（2013年删除Page <Title>| ©2013SPISEC3.2务实信性等主要因素的折衷结果。制定者需进行全面的研究素同可用于完成和系统的服务的优势、劣势、竞争力进Page <Title>| ©2013SPISEC3.5.2传统的SDLC各阶段Phase4B—配置（Configuration）（注：2013年新增知系统配置，与SDLC关联，包括：定义，和控制的 和批准所有变用控制而不是由直接用户干预Page <Title>| ©2013SPISEC电子 有网络。电子邮件由二进制数据组成，通常采用ASCII文本 Page <Title>| ©2013SPISECPOS 嵌入式微处理智能卡定义标准。（2013年新增知识点）Page <Title>| ©2013SPISEC电子银确保重要银行信息 规定（例如巴赛尔BaselAccordsIII）Page <Title>| ©2013SPISEC3.3.6项目中的团队及个人角色和 提出建议。点位置的设定取决于使用的SDLC方法、系统的结构和大小以及潜在偏差的影响。此外，还应重视基于流程的相应活动，请参阅本章3.11.4，ISO/IEC15504，2013年更新知识点）。QA功能的具体目标包–确保在修订、评估和，应用标准、管理准则和流程过程中所相关方积极配合Page <Title>| ©2013SPISECISO/IEC15504是标准族（一系列文档）为流程改善，基准能力维度提供对流程的度量以织目前或计划的流程的业务目标。流程能力以流程属性表达，如exhibit3.28显示 Page <Title>| ©2013SPISEC3.12.4ISO15504（2013年变化内容方式（计划，和调整）并且其产出产品被恰当地建立，控制和。Page <Title>| ©2013SPISEC付成果的质量。交付成果质量的参数可由项目督导或Page <Title>| ©2013SPISEC电子商消费者 和自报税申报等领域。（2013年删除内容）多个B-to-B关系/市场间的连接。X-to-X是B-to-B或B-到用品/产品。（2013年删除内容Page <Title>| ©2013SPISEC转移 ）Page <Title>| ©2013SPISEC特别是从IS审计师的角度来讲时，主要问题就是策略、运营和信誉风 银行应具有风险管理程序，以便能够识别、衡量 的技术险。新技术的风险管及如何提供该类服务，董事会应做出明确、精明且记录在案的性决关的具体问责性、政策和控制。董事会应、批准和对银行的风施适当的控制。（2013年删除内容）Page <Title>| ©2013SPISEC衡量和风险是运营管理人员的职责）电子银行 的风险管电子银 着众多的风险管 。Page <Title>| ©2013SPISEC3.6.20供应链流动。同时也避免了人工操作（订单确）所带来的固有成本和误差。 供应链，水灾影响全球硬盘价格，欧洲冰岛火山爆发影 。（Page <Title>| ©2013SPISEC3.8.5系统软件的或中断。软件供应商通常会将 序（旨在减少与安全相关的 公司（如SANS SEI)的CERT或McAfee 要求不兼容。（2013年删除内容Page <Title>| ©2013SPISEC业务流程很有效。构成业务的所有其他内容都在丧失其唯一性，而变成了一种商品。 程正在演变成一项世界性的董事会议程。”（Nagaraj,N.S.;BusinessProcessManagement——AnEmergingTrend,Infosys/SETLabs, ,2001)（组以生成客户导向型输出的特定输入和增值任务为特征的相互关联的工作活动。业务流程由 能的横向工作流程组成。”（Seth,Vikram;WilliamKing;OrganizationalTransformationthroughBusinessProcessReengineering,PrenticeHall,USA,1998)（2013年删除内容）Page <Title>| ©2013SPISEC应用控制是对输入功应用控制包括用于确仅在计算机系统中输处理操作完成正确处理结果满足预期数。Page <Title>| ©2013SPISEC3.4.3项目管理的一般事务（2013年删除项目管理软件的 文–自动化文档工具可处理系统和程序文档的制作、验证和。这些工具办公自–可减少员工参与为满足政策要求和在员工会议上执行通信和记录功能所Page <Title>| ©2013SPISEC3.6.13综合客户文件（2013年删除。有助于组织进行客户分析和市 Page <Title>| ©2013SPISEC3.6.14办公自动化（2013年删除很多组织的都使用了大量的电子设备和技术和电子邮件每天都在很多里使用，局域网将本地的计算机连接在一起，以便于这些技术，但是常常缺乏必要的控制和安全措施。Page <Title>| ©2013SPISEC3.6.16协同处理系统（2013年删除Page <Title>| ©2013SPISEC3.7其他的软件项目组织形式（2013年删除）。鉴于这些因素，IS递增式或渐进式开发(Incrementalorprogressivedevelopment)： Page <Title>| ©2013SPISEC3.7其他的软件项目组织形式（2013年删除 发(Iterativedevelopment)：这种方法涉及到通过迭代的方 复杂性的来源包现在所开发系统的深度和广度。例如电子商务、客户关系管理)、供应链集成 交易处理 分析处业务变更率需要作出各种各样架构方面的决策。例如，系统应具有图形用户面（GUI)还是浏览器界面；使用哪 ；使用哪个Web服务常常需要将新系统与旧版系统进行整Page <Title>| ©2013SPISEC3.7其他的软件项目组织形式（2013年删除–进化式开发(Evolutionarydevelopment)：通过原型螺旋式开发（Spiraldevelopment）：开发解决方案时需求的详细说明、系统设计和测试计划)。Page <Title>| ©2013SPISEC3.7其他的软件项目组织形式（2013年删除–敏捷开发(Agiledevelopment)：项目被划分为持续时 功能以与预定的开发方法和架构保持一致的方式开发。 Page <Title>| ©2013SPISEC面向数据的系统开发（2013年删除DOSD（DATA-ORIENTEDSYSTEMDEVELOPMENT）是一过关注数据及其结构来表示软件需求的方法。交易所以及一些服务提供商（如航空公司、公司等）生成的是与时间相关的数据。这些数据将离线提供给一些服务订购者。例如，交易所到经纪人再到次级经纪人；航空公司到各自的旅行社等ASCII或其他规定的格式提供 的应用程序（平台变体和开发工具变体），并可以直接将这些数据用于自己的应用程序中，以便 Page <Title>| ©2013SPISEC面向数据的系统开发（2013年删除Page <Title>| ©2013SPISEC3.9.7系统软件变更控制流程（2013年删除所 均应在用于生产前由具有技术方面资质 存档记录和批 求IS管理人员和工作人员了解并参与到系统软件变更流程中。变更控制流程应确保影响生产系统的变更进行过合理评估（尤其是安装时所产生。许多情况下，IS管Page <Title>| ©2013SPISEC3.11.3软件能力成熟度模型（2013年删除什么是1990年由卡耐基-梅隆大学软件工程师和行业的资助下软件能力成熟度模型（CMM）Page <Title>| ©2013SPISEC3.11.3软件能力成熟度模型（2013年删除软件开发 进行过 目的：评估软件供应商的能力→帮助软件企业管理和改Page <Title>| ©2013SPISEC3.11.3软件能力成熟度模型（2013年删除等特级级级Page <Title>| ©2013SPISEC3.11.3软件能力成熟度模型（2013年删除CMM的5个级别初始级、可重复各级别要强调定量的过程管理和软 改进，包括缺陷预Page <Title>| ©2013SPISEC输入控制 控Page <Title>| ©2013SPISEC第四章信息系统的操作 与支4.2.2IT4.2.54.4.84.5.6OSI模型在网络体系结构中的应用Page <Title>| ©2013SPISEC第四章信息系统的操作 与支4.2.3架构运行 4.3.1计算机硬件组成和架构—内存卡闪存盘，RFID（4.5.6OSI在网络架构的应用—局域网，广域网，无线网，公 4.7.6备份和恢复—备份安排 Page <Title>| ©2013SPISEC4.2.2IT服务 管理层使用多种技术，包括问卷（questionnaires），现场检查（onsitevisits），独立第 independentthird-partyassurancereport），例如：SSAE16SOC1report，AT-101SOC2andSOC3reportsformerlySAS70)审计（2013年新增知识点）。Page <Title>| ©2013SPISEC4.2.5支持与服当启动服务台工单/呼叫（ticket/call）时触发支持，基于 且可根据需要将其上报到IT管理人员。 Page <Title>| ©2013SPISEC4.4.8 Page <Title>| ©2013SPISEC4.5.6OSI模型在网络体系结构中的应（2013年删除内容客户机-服务器技要有效管理和支持这些环境，IT人员需要解决发展和复杂性带来 关键任务应用程序的日益复杂使越来越多的公司开始尝试客户端/服器平台公司正在经 将应用程序的更改整合到现有网络系统中的问题对客户端/服务器技术人员的需求导致频繁的人员流动，增加了雇佣培训的成本，对公司Page <Title>| ©2013SPISEC4.5.6