CISA备考详细学习笔记(适用于2014考试).pdf

说明：黄色背景需要特别关注，红色字体非常重要，红黄在一起的话，呵呵，大家就自己考虑吧，呵呵说明：黄色背景需要特别关注，红色字体非常重要，红黄在一起的话，呵呵，大家就自己考虑吧，呵呵 这个笔记是我在得知考试分数后进行整理的，应该还是具有点参考价值的，整理时间这个笔记是我在得知考试分数后进行整理的，应该还是具有点参考价值的，整理时间 2013 年年 2 月月 6 日日 个人考试心得（个人考试心得（10 月月 1 号开始学习，号开始学习，12 月月 8 号参加考试，号参加考试，2013 年年 2 月月 1 号成绩出来，得分号成绩出来，得分 582 分） ：分） ： 1、 有可能的话最好参加相关的培训，5 天的培训不会给你多少实质的提高，但最关键的是能给你一个学习的思路；而 且在培训的时候，有不懂的问题可以问老师； 2、 如果你不是做 IT 出身的，最好恶补一下 IT 知识，CISA 对 IT 方面的知识还是有些要求的； 3、 对于 IT 出身的人，学 CISA 特别要注意：要以审计师的视角来学习以及看待题目，组织内部的项目审计师的角色 4、 审计师是不具体解决问题的，但是要发现问题； 5、 最好能听两次培训，现在的培训只要缴费后，可以不限次数重听； 6、 培训前先把书看一遍，要每个字都要看，不论能不能看懂，至少能有个映像； 7、 不要急于做题目，我的做法是： 先把书看一遍（我花了 3 周左右的时间）参加培训（做好笔记）再把书看一遍（我花了将近 2 周左右的时 间）开始做题目参加培训（补充上次培训的笔记）把书再看一遍（最好在一周左右的时间，这个我没 做到）开始做题目，大量的做(我大概做了 4000 道左右)参加考试（我拿到 582 分，自己觉得比较满意） 8、 基本上每天花 3 到 4 个小时的时间就可以了，考试前两天，有条件的话最好在家里整理和复习一下自己所学的； 9、 重视 QQ 群的动态，群里面很多朋友和前辈，可以学到很多的； 10、 最关键的是，一定要参加考前辅导，这个是免费的，但是内容却是非常关键的！ ！ ！ 第一章信息系统审计过程第一章信息系统审计过程 * IS 审计是基于风险的审计； * 保持审计独立性和胜任能力,确保审计小组所实施完成的审计任务能满足审计职能的目标要求 * 风险分析是审计计划的一部分，帮助 IS 审计师识别风险和脆弱性并确定降低风险所需的控制 * 要以审计师的视角来学习以及看待题目，组织内部的项目审计师的角色； * 第一方审计：自查报告给自己高层 * 第二方审计：甲方审乙方 * 第三方审计：外审报告给公众或相关机构 * 按照 IT 审计标准制定并实施基于风险的 IT 审计战略 * 内审首先需要建立审计章程；外审首先需要合同以及委托书； * 审计章程或委托书应在组织内部适当的层次得到同意和通过，一旦创立，就只有在非常必要、并经过充分的论证后 才允许变更审计章程； * 审计章程涵盖整个范围的审计活动；合同侧重于特定的审计任务； * 信息系统审计的最重要的资源是：审计师 * IS 审计师应有合格的职业能力，具备进行审计工作的相应知识；IS 审计师应持续保持职业教育和培训，保持良好的职 业能力； * 在制定审计计划时，要通过风险评估，确认高风险区域，找到审计的重点范围，合理分配审计资源； * 信息系统审计师常常关注高风险的问题，如敏感和重要信息的机密性、可用性、完整性以及生成、存储和处理这些 信息的系统及流程等。在检查这类风险时，信息系统审计师常常对组织所使用的风险管理过程的有效性进行评估。 * 风险管理首要任务是识别出敏感或关键的信息资产；然后实施风险评估来识别威胁并确定其发生频率、所导致的影 响以及将风险降低至管理层可接受水平的相应安全措施； * 为保持其有效性，风险评估过程应当在组织中持续进行，以致力于及时发现和评估新出现的风险。 * 内部控制通常由能够降低组织风险的政策、规程、实务和组织结构组成； * 内部控制的设计是为管理层提供风险事件能够被预防、检测和纠正，业务目标能够达成的合理保证。 * 实施有效的 IS 审计的第一步是审计计划； * 长期审计计划与企业的业务与发展有关，一般为 3 到 5 年的期间； * 每年都需要对长、短期审计计划进行分析； * 无论长期短期规划每年都必须分析、调整；在环境有重大变化时也必须分析调整 * 证据的优先级：审计师自己收集第三方提供被审计方提供（银行函证例外） * 制定审计计划的步骤： 1、了解组织业务使命、目标、目的和流程的了解，包括信息和处理要求：对组织关键设施现场巡视；收集阅读组织 背景资料；检查长期战略计划；与管理人员会谈；审阅以前的饿审计报告； 2、找出规定内容，如：政策、标准和作业指导书、程序和组织结构； 3、评价管理层实施的风险评估和隐私保护影响分析； 4、实施风险分析，找出高风险区域重点检查对象； 5、执行内部控制检查（针对风险检查） ； 6、确定审计范围和审计目标； 7、确定审计方法或审计战略； 8、为审计任务和其后勤支援分配人力资源 * 需要遵守相关的法律法规：被审计方、审计师； * 法律法规的合规性：识别政府或相关外部要求的法律法规记录相关法律法规评估被审计方在制定计划或设 定策略时是否考虑相关的法律法规制度的执行流程以及保障（文档及程序）执行结果 * 信息系统审计是指审计内容中包含了对自动化信息处理系统、相关手工流程及两者间接口进行全部或部分检查及评 价的任何审计 * 审计程序包括确定审计范围、说明审计目标、找出审计标准、执行审计步骤、检查和评估证据、形成审计结论和意 见、与关键流程所有人讨论后报告管理层 * 审计方法是指： 为实现预定的审计目标而设计的一系列书面审计程序， 其内容包括审计范围、 审计目标和审计步骤； * 审计方法应当由审计管理层制定和批准并保持一致性。 * ISACA 信息系统审计准则： 职业道德规范：必须遵守 信息系统审计标准：强制必须遵守，不可偏离 信息系统审计指南：在有合理解释的前提下可以调整和偏离 信息系统审计工具和技术：根据实际情况作出自己的职业判断 * 审计计划步骤： 1、计划审计纲要； 2、以书面形式记录一份基于风险评估的审计方法； 3、以书面形式记录一份审计计划书，详述审计目标、性质、时间、范围以及所需相关资源； 4、以书面形式起草审计计划和审计程序 * 信息系统审计人员应该得到监督，合理保证其审计目标的完成，并且符合审计职业标准； * 审计工作中收集证据的工作量最大；通过证据评估结论最困难； * 信息系统审计师必须拥有足够的、恰当的审计证据来解释报告中的审计结果； * 在报告审计发现和建议后，审计师必须持续跟进后续审计结果； * 审计最终目的：A&A(Audit & Assurance)审计及保证 * 审计实质性（重要性）=阀值 * 审计实质性（重要性）越低，需要投入的资源越大；审计实质性（重要性）越高，需要投入的资源越小； * ITAF（信息技术保证框架）包括： 1、一般准则：通用准则，所有审计都须遵守； 2、执行准则：在实施审计中的要求 3、报告准则（绩效准则） 4、指南 5、工具和技术 * 目标-风险-控制-审计 * 风险是特定的威胁，利用资产的脆弱性从而对组织造成的一种潜在的损害；它通过使用资产和价值损失的概念把风 险放在了组织的业务环境中。 * 业务风险是指那些可能对资产、流程、具体业务或组织目标造成负面影响的威胁。 * 风险的三个要素：威胁、脆弱性、资产（价值） ；其中应该首先评估资产； * 以年为单位评估风险基于成本效益原则（财务以年结算） * 风险评估：识别风险 * 风险管理：消灭、控制风险 * 风险评估首先识别敏感或关键信息资产； * 风险评估的最终目标：将风险降低至管理层可接受水平的相应安全措施； * 高风险=高发展、高收益 * 风险控制（风险消减的措施） ： 1、预防：避免或减少风险事件发生的可能性； 2、检查：发现不良事件的发生； 3、纠正：减小影响 向别的组织转移风险 * 控制分为（书中） ： 预防性：在问题发生前预防，监控运营和输入；职责分离、控制对物理设施的访问、良好设计的文档、建立交易授 权的适当流程、编辑检查、访问控制软件、加密软件 检测性：使用控制措施来检查和报告已发生的错误；哈希、检查点、通讯回显控制 纠正性：纠正问题引起的错误，把威胁影响降到最小；BCP、备份、DRP * 审计风险：审计过程中未发现信息可能存在的重大错误的风险；审计风险包括（固有风险、控制风险、检测风险、 整体审计风险） * 固有风险：审计过程中遇到的，在假定不存在相关补偿控制的情况下，当与其他错误相结合时会导致重大错误的风 险；也可以定义为：在不存在相关控制的情况下，易于导致重大错误的风险；是由于业务性质所导致的，在审计中独 立存在（复杂计算比简单计算更容易出错） * 所有审计项目的基本目标之一都是确定控制目标及针对这些目标的相关控制。并找出关键控制点。 * 控制风险： 内部控制体系不能及时预防或检测出存在的重大错误的风险 （手工检查计算机日志的相关检查风险很高） * 检测风险：信息系统审计师由于采用了不恰当的测试程序，对实际存在的重大错误得出错误结论的风险。 （识别检测 风险能更好的评价审计师的能力） * 整体审计风险：对每一个具体控制目标所评估出的各类审计风险的综合。 * 统计抽样风险指由选定样本得出错误的整体特征的风险 * 风险分析量化风险的系统方法 * 风险评价对比风险值与风险标准确定风险重要性的过程 * 风险评估中所识别出的每一个风险都必须处置，处置方式包括：降低、避免、接受、转移 * 风险分析的目标是理解和识别由实体及其环境引起的风险和相关的内部控制 * 审计是典型的检测性控制； * 审计可定义为：由具备资质、胜任、独立的组织或人员，针对流程的预定结果，客观地搜集并评价证据，以确定与 既定标准的符合程度，形成意见并报告的系统过程。 对特定经济实体的可计量的信息证据进行客观的收集和评价， 向利益相关者报告。可重现当时场景 * 信息系统控制程序包括：战略和方针、全面的组织管理、IT 资源的访问（包括数据和程序） 、系统开发和变更控制、 运行规程、系统编程及技术支持智能、质量保证（QA）流程、物理访问控制、BCP、DRP、网络和通讯、数据库管理、 对内外部攻击的检查和保护机制 * 风险评估过程应当在组织中持续进行，以致力于及时发现和评估新出现的风险； * 内部控制：为减少风险所实施的各种政策、步骤、实践和组织结构；确保业务目标的有效达成。提高经营效率 * 风险控制另外分类方法：技术类控制、物理类控制以及管理类控制； * COSO 内部控制框架：控制环境风险分析控制活动内部沟通机制监督和持续改进 * COBIT 通过域和流程框架来提供最佳实务，把 34 个 IT 流程组合到四个域中： 1、计划和组织（PO） ； 2、获取与实施（AI） ； 3、交付与支持（DS） ； 4、监督与评价（ME）. * COBIT 框架定义：IT 资源需要由自然归组的流程管理，为组织提供实现其目标所需要各种类型的、符合质量、可用性 以及安全要求的信息。 （业务部门需要 IT 部门提供满足一定要求的信息） ； * 管理：好的事情发生，产生价值、创造效益； * 控制：防止风险 * 业务需求七要素： 种类 项目 解释 质量 效果效果 符合业务部门的期望 效率效率 成本效益 安全 保密性保密性 信息泄露 可用性可用性 物理设备的丢失、信息被破坏；需要时能用 完整性完整性 防止篡改、修改 受信/受托 符合性符合性 合规性，法律法规 可靠性可靠性 数据准确 * IT 资源：人员、信息、基础架构、应用系统； * 通过流程化管理 IT 资源； * 通用控制：适用于组织的各个方面，包括：会计控制、运营控制、管理控制； * 应用控制：针对特定的流程； * 信息系统控制：战略指导、信息系统开发流程的控制、程序变更管理控制、计算机运行管理控制、程序与数据访问 控制、信息系统安全的控制、网络和通讯、数据库管理、IT 计划； * 审计是指：有胜任能力的独立机构或人员（审计主体）接受委托或授权（审计关系） ，对特定经济实体的可计量的信 息（审计对象）证据进行客观的收集和评价证据（审计工作） ，以确定这些信息与既定标准（审计依据）的符合程度， 并向利益相关者报告（审计目标）的一个系统的过程（审计过程） ； 审计的性质独立、客观。 * 位流映像镜像 之后再做哈希防止篡改 * 审计的实质：审计信息是否满足 7 要素； * 制定信息系统审计计划的关键内容就是把宽泛的基本审计目标转化成具体的信息系统审计目标；信息系统审计师必 须明白如何把一般审计目标转换成特定的信息系统控制目标。确定审计目标是信息系统审计计划的关键步骤。 * 审计目标是指审计工作必须实现的特定目的； * 控制目标是指内部控制应当如何发挥作用 * 信息系统审计人员从以下方面评估信息系统职能： 安全 质量 受托责任 服务和能力 * 信息安全控制应当在系统和项目的需求说明及设计阶段予以考虑 * 信息系统审计师应当对各类风险进行评价并选择高风险领域实施审计 * 符合性测试（控制测试）实质性测试：是否有控制控制是否落实控制是否有效控制是否持续 * 舞弊检查：1、检查确认；2、与适当管理层沟通；3、与审计委员会沟通向董事会沟通； * 审计师在接受客户审计时就应对审计风险进行评估，将评估风险与预计可接受的总审计风险水平比较后，决定是否 接受客户； * 审计风险分类：固有风险、控制风险、检查风险（审计风险） ；总体审计风险。 * 符合性测试是为测试组织对控制程序的符合性而收集证据，验证控制的执行是否符合管理政策和规程（测试内控是 否起作用） ； * 实质性测试是为评价交易、数据或其他信息的完整性而收集证据，证实实际处理的完整性。 * 需要进行实质性测试的数量与内部控制的水平直接相关 * 符合性测试（控制测试）简单、快速、资源消耗少 * 实质性（重要性） ：可容忍错报或漏报的最好界限，其运用的情形：1、在编制审计计划的时候，进行初步估计；2、 在做出审计结果时候，进行判断。 * 审计风险与实质性（重要性） ：实质性水平越高，审计工作风险就越低；实质性水平越低，审计工作风险就越高； * 符合性测试（控制测试） ：属性抽样 * 实质性测试：判断控制是否完整 * 充分性数量上足够；适当性审计证据有效且相关； * 统计抽样采用统计推断技术的一种抽样方法，可以量化抽样风险 * 非统计抽样随机抽样 * 属性抽样一般用于符合性测试中估计属性的有或无， 结论是用比率表示发生率 （属性抽样、 停走抽样、 发现抽样） ； * 变量抽样一般用于实质性测试中估计总体的变化特征，结论是与正常值的偏差范围 具体数值 （分层单位平均估 计抽样、不分层单位平均估计抽样、差额估计） * 属性抽样： 1、固定样本抽样：100 个里面抽 10 个 2、停走抽样：100 个里面先抽 5 个，如果没有问题就停止，如果有问题就再抽 3、发现抽样：100 个里面一直抽，直到抽到一个有问题为止 * 变量抽样：分层单位平均估计抽样、不分层单位平均估计抽样、差额估计抽样； * 置信系数越高，样本量越大；风险水平=1-置信系数；精度值越小样本量越大 * 控制需求：发现高风险区域而又未控制的区域 * 补偿性控制与重叠性控制：需要重点关注的是补偿性控制； * 补偿控制是强控制补偿弱控制，而重叠控制是指两个强控制； * 信息系统审计师在报告控制缺陷之前应当先检查补偿性控制 * 判断控制是否有效率和效果； * 信息系统审计师在报告发布前，就重要发现及时和合适的人员进行交流，但前提是交流不应该改变报告的内容； * 审计底稿是指在审计过程中产生的所有的记录和资料，应保存 7 年； * 控制自我评估（CSA）三个基本特征： 1、关注业务的过程和控制的成效； 2、有管理部门和职员共同进行； 3、用结构化的方法开展自我评估。 * 在控制自我评估（CSA）中，信息系统审计师作为控制专家和评估引导人，只是 CSA 的推动者； * CSA 把部门经理的监督职责分散到员工中 * 审计师在 CSA 中的目标： 增强审计职责 在控制责任和监控当中教育各级管理者 通过对在 CSA 中注意到的高风险和非正常项目进行复核来确定审计工作目标 通过把纠错心动从所有者方面向雇员方面转移的办法来提高纠错行动的有效性 * 一些组织在做 CSA 评估时，可能还会包括客户、贸易伙伴等外部人员 * CSA 主要目标是通过把一些控制监督职责分散到职能部门来充分发挥内部审计职能的左右， 这并不是要替代审计的职 责，而是一种加强 * 审计师应该牢记他们只是 CSA 的推动者，只有管理人员才是 CSA 程序的具体实施者 * 连续监控与连续审计区别：监控仅仅记录所有满足设定条件的事件；审计则一旦控制失效，自动触发报警。 * 持续审计的技术应该在系统开发和实施的早期阶段介入； * 持续审计的限制因素：成本问题 * 持续审计是被审计事实的发生至证据收集和审计报告之间的时间间隔非常短 * 持续审计应独立于持续控制或监控活动，当同时存在持续监控和持续审计时，就形成了持续保证 * IT 系统通常是预防和检查性控制的第一道防线，综合审计的根本就在于合理评估它们的效果及效率 * 确定审计发现重要性的关键是评估这些审计发现对各级管理层的重要性，评估中需要判断未针对审计发现采取纠正 措施可能导致的潜在影响。 * 审计证据可靠性的决定因素： 1、提供审计证据的人员的独立性 2、提供信息或证据的人员的资格 3、证据的客观性 4、证据的时效性 * 应当由信息系统审计师来最终决定审计报告中包括或不包括哪些内容 * 综合审计的一个关键步骤就是审计组集体讨论风险及其影响和发生的可能性 * 详细审计工作关注已存在的管理这些风险的相关控制。 * 进行实际取证时，只能对位流映像进行操作，目标驱动器应该封存 * 对司法取证审计师而言，最重要的考虑就是做好目标驱动器的位流映像（镜像） ，并检查该映像的时间戳和其他信息 属性未被人为改变； * 位流映像做出来后应该对目标驱动器进行哈希，然后与位流映像的哈希进行对比，确保两者的完全一致； * 除了位流映像以外还有内存信息转储到文件中也是司法取证的一种； * 信息系统审计师通常从许多不同的角度来评估 IT 职能和系统： 安全机密性、完整性、可用性 质量效果、效率 委托责任符合性、可靠性 服务和能力 第二章 IT 治理与管理 * IT 治理是组织中的一种安排。目的是为了提高 IT 绩效，降低 IT 风险，有效利用资源。 * 信息系统的战略规划是获取、配置和管理信息资源及实现组织远景目标的总体规划，包括软件、硬件、责任以及资 源配置等，提供给组织相应的解决方案。 * IT 治理有助于确保 IT 和企业目标保持一致，IT 治理的关键因素是 IT 与业务保持一致，以实现业务价值 * IT 治理采用最佳实践来确保组织信息及相关技术支持其业务目标 （如战略一致） 和价值交付， 确保资源得到合理使用、 风险得到适当管理、绩效得到测评 * 信息技术对企业非常重要，不能把职责放给 IT 管理人员或 IT 专家，而必须得到整个高级管理层的关注 * IT 治理在根本上关注以下两方面的问题： IT 如何向业务交付价值由 IT 与业务的战略一致推动 IT 风险得到管理向企业分配责任来推动 * IT 如何有效率有效果的使用 IT 资源； * IT 治理的关键因素是保持与业务战略的一致，引导业务价值的实现； * IT 治理是董事会和最高管理层的责任，是企业整体治理的一部分，它由领导关系、组织结构以及能确保 IT 支撑和扩 展组织战略及目标的流程组成 * 关键的 IT 治理实务有：IT 战略委员会、风险管理和标准 IT 平衡记分卡 * IT 治理的关注领域：战略一致、价值支付、资源管理、风险管理、绩效测评 * IT 治理实各种关系与流程结构， 用于指导和控制组织达成增值目标， 同时还要保证 IT 及其流程的风险与收益的平衡。 * 在 IT 治理中，信息系统审计师应当确认已明确以下内容： 1、工作范围，包括清晰定义所涵盖的职能领域和事务； 2、采用的报告路线，使查出的 IT 治理问题能报告给组织的最高层 3、信息系统审计师对信息的访问权限，包括对组织内部和第三方服务提供商 * IT 战略委员会是方向性的：由一个董事会成员加外部专家组成，战略层面 * IT 指导委员会是技术执行层面的 * IT 平衡记分卡是协助 IT 战略委员会和管理层实现 IT 与业务保持一致的最有效的方法之一，其目标是建立管理层向董 事会的报告途径，就 IT 战略目标在关键利益相关方之间达成一致，证实 IT 的效果与价值，沟通 IT 绩效、风险和能力。 * 信息：具有特定意义和目标的数据 * 信息安全的复杂性、相关性、危险性及其治理都要在组织的董事会层面予以考虑并提供支持 * 信息安全的忧虑：对信息及其处理系统的持续依赖和众多威胁所导致的复杂风险。 * 有效的信息安全能为组织带来巨大价值： 1、在与贸易伙伴的交往中提供可靠的信赖； 2、提高客户的信任度； 3、保护组织信誉 4、促进采用更新更好的方式处理电子交易 * 业务战略方针通过业务目的和目标来明确，信息安全必须能支持业务活动向企业交付价值； * 信息安全治理框架为制定一套有成本效益的、支持组织业务目标的信息安全程序提供了基础。该程序的目标是建立 一系列的活动以保证信息资产受到与其价值或给组织带来的潜在风险相称的保护。 * IT 治理是企业的一种制度安排，它通过为 IT 提供必要的领导力、组织结构和相关过程，来保证企业的 IT 能支持企业 战略和实现企业目标，同时控制风险、降低成本、提高绩效。 * IT 治理是董事会和执行管理层的职责，是企业治理的重要组成部分； * IT 管理是公司的信息及信息系统的运营，确定 IT 目标以及实现此目标所采取的行动； * IT 治理是最高管理层（董事会）通过 IT 治理监督执行管理层在 IT 战略上的过程、结构和联系，以确保这种运营处于 正确的轨道上 * IT 治理是董事会和高级管理层的责任 * IT 治理框架主要流程： 1、IT 资源管理，关注现有的全部 IT 资源的维护并落实风险管理程序； 2、绩效衡量，关注确保所有 IT 资源向业务交付既定价值，也在早期识别风险； 3、合规管理，关注满足法律、法规要求的流程的落实 * 关键 IT 治理实务：IT 战略委员会（隶属董事会，由董事会成员+专家组成） ，风险管理和标准 IT 平衡记分卡 * COBIT 五个 IT 治理域都受利益相关者价值驱动，其中价值交付、风险管理是结果，战略一致、绩效考评是驱动力，IT 资源管理为治理提供支持。 * IT 战略委员会负责宏观的指导性要求 * IT 指导委员会负责具体事务，预算、架构以及项目进展，不讨论具体细节问题； * 信息系统审计师需要对 IT 治理的各个方面进行评估： 1、信息系统审计的职能与组织的使命、愿景、价值、目标和战略一致； 2、信息系统的职能绩效目标应当由业务来决定（效率与效果） ； 3、法律问题、环境问题、信息质量、信用和安全需求； 4、组织的控制环境； 5、信息系统环境的内在风险； 6、IT 投资/费用 * IT 平衡记分卡的四个视角（只是管理报告工具） ： 财务视角：为了使股东满意 客户视角：为了实现财务目标，需要服务客户 过程视角：提高客户和利益相关者的满意度 学习视角：为了达成目标，组织应当如何学习与创新 * 信息安全治理具有特定的价值驱动：信息安全的机密性（C） 、完整性（I）和可用性（A） ，持续服务和信息资产保护 等，使信息安全治理成为一个重点关注领域；是董事会和高管的职责。 * 信息安全治理 1、价值交付：优化安全投资以支持业务目标； 2、绩效评测：衡量、监督和报告信息安全流程，以确保实现 SMART 目标（确定的、可度量的、可实现的、相关的 和符合时间要求的） 3、资源管理：有效利用信息安全知识与基础设施 4、流程整合：关注组织安全管理保证流程的整合，目标在改善整体安全及运营效率。 * 信息安全治理的安全职责： 1、董事会提出要求，听取汇报 2、执行管理层制定具体的流程定义 3、指导委员会具体事务的定义 4、信息安全管理层具体流程的执行 5、审计员对各个流程执行的评价 * 审计员永远不提具体的改进活动，改进审计出来的缺陷，是被审计单位的管理层的职责； * 企业架构（EA）通过一种结构化的方式来反映组织 IT 资产，并有效管理对 IT 投资； * 企业架构通常应描述记录当前资产状态和最佳未来资产状态。 * IT 治理目标要求 IT 战略应当与整体业务保持一致 * AUP:可接受使用策略（Acceptable Use Policy）是指这些网络能够被谁使用的约束策略（最终用户如何使用信息资产的 准则以及期望） 。AUPs 的执行是随网络变化的。许多公共网络服务有一个 AUP。这个 AUP 是一个正式的或非正式的文 件，其定义了网络的应用意图、不接受的使用和不服从的结果。一个人注册一个基于网络的服务或工作在一个社团内 部网时经常会遇到一个 AUP。一个好的 AUP 将包括网络礼节的规定，限制网络资源的使用和明确指出网络应该尊敬的 成员的隐私，最好的 AUPs 使“what if“关一体化，其举例说明这个策略在现实世界协商中的作用。 * IT 投资财务指标关注：投资回报率（ROI） * 关注风险的同时也要关注投资回报； * 平衡记分卡决定项目投资与否，强调愿景；IT 投资组合，具体项目投资量，关注投资回报最大化。 * IT 平衡记分卡评估 IT 功能和流程 * 政策：永远都是高层政策决定低层政策。从集中到分散。 * 政策最高管理层一定要签字确认，定期修订，重大变化时随时修订。 * 最重要的一个方面是受程序控制的人员熟悉规程内容，如果使用程序人员不了解其内容，该程序是无效 * 风险：外在威胁利用资产本身（保护对象）的脆弱性（对象本身特点）造成损害的可能。控制就是阻断威胁 * 坏事已经发生了叫事件，可能发生叫风险； * 凡是高于风险可接受水平的，就要进入风险处置（降低、转移、回避、接受） ； * 任何对企业有价值的资源都叫资产，所有资产有有脆弱性。 * 一个未经保护的线路脆弱性 * 风险管理根据成本效益原则采取： 避免风险：选择不从事导致风险的特定活动或流程 降低风险：制定、实施并监督适当的控制降低风险发生的可能性 转移风险：购买保险或者保修服务 接受风险：经过评估后正视风险的存在，并监视 * 风险管理的核心是：保护资产 * 在攻击发生后，还没有造成损失叫事态，已经发生侵害损失叫事件 * 风险管理首先需要识别信息资产（包括物理的、逻辑的和无形的） * 风险管理过程：识别信息资产、识别并评估威胁、识别并评估脆弱性 * IT 风险管理在多种层面上进行综合分析： 运行层面：关注能影响 IT 系统及基础设施的效果及效率的风险，绕过系统控制的风险，关键资源损失风险 项目层面：关注理解和管理项目复杂性的能力，项目不能有效完成、未实现项目目标的风险 战略层面：关注 IT 能力与业务战略保持一致的程度 * 风险分析方法： 定性方法：主观风险定级，采用问卷式的检查列表（CHECKLIST） 半定量分析法：还是定性法的一种。 定量分析法：使用数值描述风险发生的可能性及其影响 * 应在公司的所有 IT 职能领域内实施风险管理，风险管理是高层管理人员的职责，尽量使用量化风险的管理办法 * 信息安全治理的成果： 1、战略一致使信息安全与业务战略保持一致以支持组织目标 2、风险管理管理和实施适当的措施以降低风险并减少对信息资源的潜在影响至可接受水平 3、价值交付优化安全投资以支持业务目标 4、绩效衡量衡量、监督和报告信息安全流程，以确保实现 SMART 目标（具体的、可度量的、可实现的、切实 的和有时限的） 5、资源管理有效利用信息安全知识与基础设施 6、流程整合关注组织安全管理保证流程的整合 * 信息安全治理需要战略指导和推动力，需要委任、资源和为信息安全管理分配责任，也包括董事会确定其目标是否 已实现的方式。 * 企业架购关注的内容是响应不断增加的 IT 复杂性，现代组织的复杂性，重点关注 IT 与业务战略的一致性并确保 IT 投资产生真实回报 * 企业架构（EA）的参考模型： 绩效参考模型衡量主要 IT 投资绩效及其对业务流程绩效贡献度的框架 业务参考模型功能驱动的框架，描述由政府、独立机构所执行的功能 服务组件参考模型对支持业务和绩效目标的服务组件进行分类的功能性框架 技术参考模型描述技术如何支持服务组件的交付、替换和构建的框架 数据参考模型用在开发过程中，描述支持程序和业务生产线的数据信息 * 对 XX 的控制是最有效找属于预防性控制 * 强制休假防止舞弊，发现问题加强控制 * 信息系统职能的交付方式包括： 内包由组织内员工实施 外包全部由供应商实施（把公司无增值功能的事务转移出去） 混合方式由组织员工和供应商混合实施 * 信息系统职能实施方式： 现场员工直接在信息系统现场工作 离场（近岸）员工在同一地理区域内的不同地点远程工作 离岸员工在不同的地理区域远程工作 * 外包方式应该注意：数据的所有者、知识产权问题以及对外包方的审计权问题 * 全球化外包需要注意事项： 法律、法规和税务方面的事务不同国家和地区对 IT 系统的相关规定 持续运行可能无法提供测试 BCP 和 DRP 网络通讯事务 跨国界和跨文化的事务 * 云计算服务交付模型： SaaS（软件交付） 、 PaaS（平台交付） 、 laaS（架构交付） * laaS（架构交付）需要关注：服务中断 * PaaS（平台交付）需要关注：隐私性，数据所有权 * SaaS（软件交付）需要关注：软件应用所处位置 * 云计算注意的问题：服务商宕机、机密性如何保证、安全问题的法律责任、数据所有权 * 私有云的安全性最好，但不容易扩展 * 敏感数据的使用者需要关心数据安全性问题 * 云治理要考虑使用云计算时主要考虑和 IT 的战略方向 * 采购实务中第三方服务的变更管理：变更服务条款，包括对现有的信息安全政策、规程和控制的维护及改善，应考 虑业务关系的关键性及其涉及流程进行管理，并重新评估风险。 * 建立 IT 用户计费机制可以提高应用水平，监督信息系统费用和可用资源 * 软件开发，公司对内部使用软件的成本资本化（作为固定资产成本摊销） * 绩效优化：是在无须对信息技术基础设施追加额外投资的情况下，将信息系统的生产力尽可能提高到最高水平 * 管理指南的重要内容： 关键成功要素（CSF） 、 关键目标指标（KGI） 、 关键绩效指标（KPI） 、 成熟度模型 * 信息系统部门组织结构职务： 最终用户服务台：与业务部门沟通的界面 运行部门计算机操作员：在主机环境的控制台上执行任务 技术支持部门的系统程序员：在主机环境中对操作系统进行修改 * 职责分离（要理解） 安全管理员不可以是系统管理员 选项中业务案例最重要 * 发现没有职责分离，找补偿性控制 * 选择项中不选：多加人、停止工作、自动化检查系统 * 审计师发现问题找证据 审计师确认问题报告适当的管理层 * 控制组负责收集、转换和控制输入，核对结果并向用户分发结果 * 质量控制：负责执行测试或审查，以验证并确保软件不存在缺陷并满足用户预期，必须在程序被迁移到生产环境之 前进行。 * 质量保证（QA） ：帮助信息系统部门确保其人员遵守规定的质量程序。发布、制定、维护质量标准。 * 不能对自己的工作做 QA；用户、开发人员不能做 QA * 应用程序员负责开发和维护应用系统，只能在开发和测试环境中进行； * 在小型机构中，网络管理员可以负责局域网的安全管理，可以拥有系统程序员及最终用户的职责，但不应拥有应用 程序编程的职责； * 从信息系统的角度来看，战略规划是组织为了利用信息技术来改善业务流程而确定的长期发展方向。 IT 部门部门 开发部门开发部门 应用程序员 分析员 系统程序员 生产现场生产现场 操作人员 QA 业务部门业务部门 最终用户 DBA OS 管理员管理员 网络管理员网络管理员 * 在制定业务战略过程中缺乏 IT 的介入将导致 IT 战略规划不能与业务战略保持一致的风险 * 战略指导委员会的主要职责是对重要的信息系统项目进行审查，而不应当涉及日常运营。 * IT 指导委员会监督重大项目的进度和资源分配 * 项目管理委员会负责制定 IT 项目策略 * 采用自顶向下的方法来制定低层政策，确保了各级政策的一致性 * 采用自底向上的方法来制定低层政策，基于风险评估的结果而制定的，可能更加实用，但容易造成政策间的不一致 和相互抵触。 * 程序反映了业务流程及嵌入的控制。程序由流程所有人制定，是对政策的有效解释 * 风险管理是组织用于识别信息资源的脆弱性及威胁，制定相应的对策（安全措施或控制） ，以实现组织业务目标的过 程。 * 安全政策必须在控制水平与生产效率之间进行平衡，控制成本决不能超过控制所带来的预期收益。 * 信息安全政策指导整个组织来确定所需保护的内容、相应的保护职责以及保护工作应遵循的策略。 * 应当按照计划周期或当发生重大变化时对信息安全政策进行审查，以确保其适当性、充分性和有效性。 * 应当为信息安全政策指定所有人，来批准安全政策的制定、审查和评估等管理职责。 * 信息系统职责分离的原则： 资产保管 授权 交易记录 * 任何风险，都应当基于信息资源对组织的价值，将其降低至可接受水平。 * 有效的风险管理始于清楚的理解组织的风险偏好。在 IT 环境下，风险偏好推动所有的风险管理工作，影响未来的技 术投资，IT 资产的保护程度及所需的保证水平。 * 风险管理包括识别、分析、评估、处置和沟通 IT 流程的风险影响 * 风险的对应措施：避免风险、降低风险、转移风险、接受风险 * 为制定风险管理程序，必须： 1、确定风险管理程序的目的 2、为风险管理计划分配职责 * 风险管理过程 第一步是对信息资产或资源进行标识并分类； 第二步是评估与信息资产相关的威胁和脆弱性，及其发生的可能性； * 威胁的发生是由于信息资产存在脆弱性，脆弱性是信息资源的特性，可以被威胁利用并造成损害 * 发生任何威胁所造成的结果称为影响，它能导致这种或那种损失 * 信息系统管理实务反映的是为各种信息系统相关管理活动所设计的政策与程序的实施情况 * CIA 要求：机密性、完整性和可用性 * 服务台应建立正式流程来分别记录已报告、已解决和升级的问题，并对问题和疑难进行分析，以帮助监督用户和改 善信息处理设施（IPF）的服务 * 在计算机运行中，管理控制可以划分为物理安全控制、数据安全控制和处理控制三个类别 * 控制组负责收集、转换和控制输入，核对结果并向用户分发输出结果 * 数据录入人员由控制组管理，因此数据录入不一定是最终用户 * 安全管理应首先得到管理层的支持，管理层必须了解并评估安全风险，制定书面政策清晰地说明应遵循的标准和规 程，并强制执行 * 为保证充分的职责分离，安全管理员应当是全职员工，可以直接向基础设施主管报告 * 质量保证人员通常执行两种不同任务： 质量保证（QA）帮助信息系统部门确保其人员遵守规定的质量程序 质量控制（QC）负责执行测试或审查，以验证并确保软件不存在缺陷并满足用户预期。 * 质量控制（QC）可以在系统开发的各个阶段进行，但必须在程序被迁移到生产环境之前进行 * 在任何情况下都不应当让个人对自己所负责的工作执行质量审查 * 针对数据库管理员（DBA）的严格控制： 1、职责分离 2、DBA 活动需要得到管理层批准 3、由主管对访问日志和相关活动进行审查 4、对数据库工具的使用事实检查性控制 * 必须确保应用程序员不能修改生产环境中的程序和应用数据，他们应当只能在测试环境下工作，由另外的团队把程 序和应用变更迁移到生产环境中。 * 在小型机构中，网络管理员可以负责局域网的安全管理，拥有系统程序员及最终用户的职责，但不应当拥有应用程 序员编程的职责 * 应当分离的职责包括：资产保管、授权、交易记录 * 职责分离的目标是：通过识别补偿性控制来降低或消除业务风险 * 访问控制决策应基于组织政策和两个普遍接受的实践标准： 职责分离 最小授权原则 * 用户部门应提交授权单；信息系统部门根据授权单维护用户授权表 * 审计痕迹的主要目的是建立交付处理的业务交易的职责（可追溯责任） 。 * 针对职责分离的补偿性控制： 1、审计轨迹在缺乏职责分离时，详细的审计轨迹将是可接受的补偿性控制 2、核对核对是用户的最终责任，还可以增加控制组使用控制总计和平衡表对应用系统执行部分核对功能 3、例外报告应当由主管层处理并且需要留下证据 4、交易日志可以时电子也可以手工 5、监督性审核可以通过现场观察、访谈或远程执行 6、独立性审核执行独立审核是对错误或故意违反既定流程的补偿性控制，在职责不能恰当分离的小型组织中尤其 重要 * 审计过程中应该审计的文档： IT 战略、规划和预算 安全政策文档 组织图或职能图 工作说明 指导委员会报告 系统开发和程序变更流程 操作流程 人力资源手册 质量保证程序 * 信息系统审计师应当验证管理层在合同过程中的参与程度，确保按适当的周期对合同遵循性进行审查。 * 制定 IT 服务外包决策应考虑的问题：服务质量、持续服务保证、控制程序、竞争优势和技术知识 * 外包实允许组织把服务交付转由第三方提供的机制。 * 外包的基本原则是：虽然将服务交付转移，但其职责仍属于组织内管理层，他们必须确保对风险的适当管理及供应 商持续的价值交付。 * 外包应注意：数据所有权，知识产权，审计权（或独立的第三方审计报告） * IT 目标应当是改善用户满意度并实现业务目标。应当通过用户访谈和调查来监督用户满意度 * 质量管理是控制、衡量和改善 IS 部门流程的一种方法 * 信息系统部门制定并维护的书面流程是有效管理信息资源的证据，坚持遵守流程及相关流程管理技术是信息系统部 门有效运营的关键因素。 * 绩效评价的主要阶段有： 1、制定和更新绩效指标 2、为绩效指标建立责任制 3、收集和分析绩效数据 4、报告和使用绩效信息 * 绩效指标用途 1、衡量产品和服务 2、管理产品和服务 3、确保责任制 4、制定预算决策 5、优化绩效 * 针对职责分离的补偿性控制： 审计踪迹、核对、例外报告、交易日志、监督性审核、独立性审核（在不能进行有效职责分离的小型组织尤其重要， 可以帮助发现错误或违规行为） * 业务连续性计划（BCP）涉及组织内绝大多数部门；灾难恢复计划（DRP）涉及 IT 及相关部门 * BCP 责任属于高级管理层，高级管理层不能将责任分到下属 * 业务连续性计划应当基于长期的 IT 计划，并与组织总体业务连续性战略一致 * 业务连续性计划和灾难恢复的目的是使组织在中断事件后可以持续提供关键服务并从灾难中断中恢复其活动； * 灾难恢复（DRP）与业务连续性计划（BCP）是组织为避免关键业务功能因重大灾难而中断，减少业务风险而建立的 一个控制过程；是业务流程，不是一个项目。 * BCP 主要是组织高级管理层的责任，因为高级管理层对组织的资产和生存负有最高责任；高级管理层不能推托将责任 委托给下级人员。 * BCP 计划不是所有的业务流程都要恢复（只恢复关键流程） ，也不是所有的服务都需要恢复，关键的目标是满足客户 的需求。 * BCP 维护的一个重要步骤：组织内任何相关变化产生时都要进行 BCP 的更新和演练 * 业务连续性计划（BCP）是组织为避免业务功能/运作中断，减少业务风险而建立的一个控制流程，包括对支持组织 关键业务的人力、物力需求和关键业务所需的最小级别服务水平的连续性保证。 * 准备一个新的 BCP 的第一步师识别战略性的业务流程，这些关键流程是业务持续增长和实现业务目标的保证 * 风险管理在 BCP 的准备阶段被关注。 * 无论发生何种中断，关注的焦点永远是关键业务流程的可用和持续运行 * 如果信息系统的 BCP 与 DRP 需要单独建立，必须与组织的总的 BCP 计划保持一致。 * 不存在单独的 DRP 计划，一定先有 BCP 才会有 DRP。 * 一个整合的 BCP 计划必须确保： 每个部分都被涵盖 承诺的资源被最有效的方式使用，并有充分证明通过它组织可以克服中断生存下去 * 灾难：把发生概率极小，但冲击极大 * 一个业务连续性计划应当识别出当发生灾难时，业务应当做什么 * 保证恢复的成本永远不要超过所获得的利益 * 流感大流行的到来具有很强的不确定性，对社会和经济的影响与威胁是确定的。 * 流感大流行特点是系统、设备没有问题，但是人没有了。 * 流感大流行的应对规划和传统的业务连续性规划不同，信息系统审计师应评价组织对流感大流行的准备；流感大流 行的影响由于范围和持续时间不同难以确定。 * 危机沟通范围： 内部：股东、员工 外部：新闻媒体、政府 * 危机沟通中，除发言人外，组织中的任何其他人不管官居何职，都不得发布任何公共言论 * BCP 主要针对服务中断 * BCP 是纠正性控制 * 根据对业务危害程度的估计，对各种事件进行分类：可忽略事件、微小事件、重大事件、危险事件，在事件被解决 前，任何对它的分类都是临时性的 * BCP 过程分为： 1、创建业务连续性方针/政策 2、风险分析 RA 3、BIA运行分类及重要性分析 4、识别支持关键组织功能的信息系统流程 5、开发 BCP 策略 6、开发业务连续性计划和 DRP 步骤 7、开发重建程序 8、培训与意识教育程序 9、计划的演练与实施 10、监测 * BIA 之后做策略供管理层选择，管理层批准后，制定计划 * 执行 BIA 的方法： 1、设计详细的调查问卷，分发给重要业务人员和 IT 人员（用户多，分布广，问题标准化） 2、拜访关键用户，通过面谈收集信息（问题复杂） 3、把 IT 和终端用户召集，讨论得到结论（跨部门） * 信息系统审计师应该分析过去的事务量以确定在系统不可用期间对业务的影响程度 * BIA 目标：业务、利润；合规；合同约定、承诺 * 对 BIA 应用的重要性分类： 关键的必须立即恢复（中断几小时到一天） 重要的短时间人工替代（15 天） 敏感的长时间人工替代（一周以上） 不敏感可完全手工替代 * BIA 中关键业务流程由流程所有者确定，由高级管理层批准 * BIA 之后先做恢复策略 * RPO 越小，最低可接受损失就越少，就需要采用镜像或磁盘双工技术 * 在制定 DRP 计划时需要 RPO 值 * RTO 指业务恢复。 * HR 的员工手册中必须有人员撤离计划 * RPO 影响备份技术的选择 * RTO 越小，对灾难容忍程度就越低，就只能选择“热站” * 完全不允许停机双生产中心（冗灾中心、镜像站点） * 灾难恢复策略其他参数： 中断窗口：组织能够等待的自失效点时刻到关键服务应用恢复的时刻 服务交付目标（SDO） ：直到正常的生产系统恢复