2012 CISA 认证考试指南.pdf

Certified information SyStemS auditor 2012 CiSa 认证考试指南 2 CISA 认证考试指南 目录 概述. .3 CISA 计划再次通过ISO/IEC 17024:2003.认证. .3 CISA 考试.3 准备.CISA.考试3 CISA.考试管理. .4 CISA.考试评分规则. 6 CISA.考试试题类型. 6 申请.CISA.认证6 CISA.认证的首次申请要求. .6 CISA认证的维持要求7 ISACA.职业道德规范. .7 CISA认证的吊销. .7 CISA.任务和知识点说明. 8 国际信息系统审计协会 (ISACA) ISACA () 是全球公认提供信息系统 (IS) 鉴 证及保安、企业 IT 治理与管理，以及信息科技相关风险 与遵循之知识、认证、社群、倡导与教育培训的领导组 织，成员遍布逾 160 个国家，总数超过 95,000 人。ISACA 成立于 1969 年，是一个非牟利的独立组织。除了主办国际 会议外，还出版国际信息系统审计期刊(ISACA)，并制 定国际公认的信息系统的审计与监控标准，以协助其成员 缔造一个信赖可靠、有价值的信息系统。此外，为促进与 证明个人的 IT 技术及知识，ISACA 还推出各项享誉全球的 专业认证资格：注册信息系统审计师 (CISA)、注册信息 安全经理 (CISM) 、企业信息科技管治认证 (CGEIT)，以 及风险及信息系统监控认证TM (CRISCTM) 的认证资格。 ISACA 持续更新 COBIT，帮助 IT 专业人员和企业领导者完 成他们的 IT 治理和管理职责，特别是在鉴证、安全、风 险和监控领域，并且为业务部门提供价值。 免责声明 2012 年 CISA 认证考试指南是由 ISACA 和 CISA 认证 委员会开发设计的，可作为 CISA 认证考试的考生指导说 明。ISACA 不能保证和担保考生使用本指南以及其他协会 出版物就可以通过 CISA 考试。 保留权利 版权所有 2011 ISACA。未经 ISACA 事先书面许可，不 得以任何目的，进行任何形式的复制或保留。不授予关于 本指南任何其他权限。保留所有权利。 ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008, USA 电话：+1.847.253.1545 传真：+1.847.253.1443 电子邮件： 网站： CISA考试.2012 重要日期信息 考试日期.2012 年.6.月.9.日 优惠报名截止日期： 2012 年 2 月 8 日 最终报名截止日期： 2012 年 4 月 4 日 考试报名信息变更： 在 4月 14 日至 4 月 20 日 之间办理，费用为 50 美元， 2012 年 4 月 20 日之后不再接 受信息变更申请 退款： 在 2012 年 4 月 13 日之前办 理，手续费为 100 美元，之后将 不予退款 缓考： 2012 年 4 月 20 日之前提交的 缓考申请，手续费为 50 美元。 2012 年 4 月 21 日至 2012 年 5 月 24 日之间提交的缓考申 请，手续费为 100 美元。 2012 年 5 月 24 日以后不再接 受缓考申请。 考试日期.2012.年.12.月.8.日 优惠报名截止日期： 2012 年 8 月 15 日 最终报名截止日期： 2012 年 10 月 3 日 考试报名信息变更： 在 10 月 6 日至 10 月 12 日 之间办理，费用为 50 美元， 2012 年 10 月 12 日之后不再接 受信息变更申请 退款： 在 2012 年 10 月 5 日之前办 理，手续费为 100 美元，之后将 不予退款 缓考： 2012 年 10 月 12 日之前提交的 缓考申请，手续费为 50 美元。 2012 年 10 月 13 日至 2012 年 11 月 21 日之间提交的缓考申 请，手续费为 100 美元。2012 年 11 月 21 日之后不再接受缓考 申请。 所有截止时间都以美国伊利诺斯州芝加哥市（中部标准时间）下午 5:00 为准。 2012 CISA 认证考试指南 印刷地点：美国 3 CISA .认证考试指南 概述 对于通过专业性认证考试的个人而言，专业性认证考试可以证明他们的价值以及所得到的认可。自 1978 年以来，由 ISACA 组织的信息系统审计师 (CISA) 考试已为全球公认的信息系统 (IS) 审计、控制和安全专业人员的成就标准。 CISA 所推广和评估的技能和实践经验是信息技术领域成功的基石。获得了 CISA 资格证书，则表明拥有丰富的信息技术知 识，这是衡量专业水平的基础。随着社会对信息系统审计、控制和安全专业人员的需求不断高涨，CISA 已成为全球个人 以及组织首选的认证考试。CISA 认证是认证持有者对组织及其所选行业忠诚度的最佳证明。 CISA 计划再次通过.ISO/IEC 17024:2003 认证 美国国家标准协会 (ANSI) 已经依照 ISO/IEC 17024:2003 标准，对 CISA 认证计划进行了资格鉴定，ISO/IEC 17024:2003 标准是对从事个人资格认证的团体的总体要求。ANSI 是一家私营非牟利组织，专门对作为第三方的产品、系统和人员的 认证机构进行鉴定。 对于依照特定要求，进个人资格认证的机构而言，ISO/IEC 17024 标准规定了其所应遵守的要求。 ANSI 对 ISO/IEC 17024 的描述是“期望其在促进认证领域全球标准化、改善国家或地区间的流动性、 提高公共安全和保护消费者方面扮演突出的角色。” ANSI.鉴定具有以下作用： 推广 ISACA 认证所提供的特有资格和专业知识技能 保护认证的信誉并提供法律保护 增强消费者和公众对本认证及其持有人的信心 便利跨国、跨行业的人才流动 通过 ANSI 鉴定即表明 ISACA 的认证程序符合 ANSI 有关开放、均衡、普遍认可和适当程序方面的基本要求。由于通过了 此鉴定，ISACA 可预言 CISA 持证人将会继续受到来自世界各地的良好机会的青睐。 CISA 考试 CISA 考试的开发过程/说明 CISA 认证委员会负责监管 CISA 考试的开发过程，并确保其内容的通用性。CISA 的考试题目均是通过一套旨在提高考试 质量的综合性流程进行开发的。测试提高小组委员会 (TES) 是此流程的参与者之一，它会先和单个题目的编写人员一起 开发和审阅题目，然后才会将所开发的题目提交到 CISA 认证委员会进行审查。 工作实务是 CISA 考试的基本要件，同时也是申请 CISA 认证的经验要求。此工作实务会定期更新，内容涉及五个方面（领 域）。这些领域及相关任务和知识内容是全球相关领域的专家广泛研究和反馈的结果。 任务和知识内容描述了 CISA 人员要执行的任务以及执行这些任务所必备的知识。考试将会依据执行这些任务所需的实际 知识，对考生进行测试。 下面是更新后的当前工作实务分析所涉及的领域及其百分比： .信息系统的审计流程.(14%) .IT.治理与管理.(14%) .信息系统的购置、开发与实施.(19%) .信息系统的操作、维护与支持.(23%) .信息资产的保护.(30%) 请注意：与知识领域一起列出的百分比表示每个领域在考试中的比重或试题百分比。有关每个领域的任务和知识内容的说 明，请参阅第 8-11 页。 考试试题为 200 道选择题，每半年举行一次考试，分别在 6 月份 和 12 月份，考试时间为 4 小时。考生可以选择若干种 语言中的一种来参加考试。有关当前可选语言的列表，请访问 /cisaterminology。 准备 CISA 考试 完整而系统的学习计划有助于您通过 CISA 考试。为帮助考生制定成功的学习计划，ISACA 为考生提供了辅导材料和复习课 程，供检验学习成果。有关可帮助您做好考试准备的 ISACA 辅导材料，请参阅 /cisaguide。根据地理位置和海 关清关规定的不同，货运时间可能为一至四个星期，因此请尽早订购。若要查询当前的运输信息， 请访问/shipping。 ANSI.认证计划 个人认证 #0694 ISO/IEC.17024 4 CISA 认证考试指南 ISACA 还提供了一门 CISA 在线复习课程。此课程涵盖交互式练习、案例研究、复习工具和实证问题。您可 以访问网站 /elearning，查询详细信息并体验此课程。 2012 年 CISA 考试复习手册中提供了针对考生学习而推荐的参考资料详细单。 有关考生应熟悉的缩略语词汇表，以及考生可能希望查看的缩略语词汇表，请访问 /cisaguide。 为帮助考生复习技术术语，我们在 ISACA 网站中提供了最常用英文技术术语及其对应的其他语言翻译的列表，网址为 /cisaguide。 ISACA 负责维护术语表以及每种认证考试的特定词汇表。您可以从 /glossary 获得这些词汇表。 ISACA 或 CISA 认证委员会不能保证和担保考生使用本指南以及其他协会出版物就可以通过考试。 CISA 考试管理. ISACA 聘请国际公认的专业测试机构来帮助开发、管理和进行 CISA 考试评分。 考试时间结束时，可能会要求考生完成“考试管理问卷”以注明其对于考试管理规则和条例的意见。考试管理问卷在考试 试卷的背面，问卷答案必须在答题纸正面“特殊规范”部分（网格号 4）的框 P 到 S 中输入。 考生欲就考试管理附加任何建议或提出疑问（包括考点环境或考试内容），请写信或电邮 () 至 ISACA 国际总 部。ISACA 将在自考试日起的两周内受理这些建议或疑问。请您在建议中提供以下信息：考试身份证号、考试地点、考试日 期以及关于具体问题的任何相关细节。仅由 ISACA 自考试管理起的前两周内收到的建议才会被考虑纳入最终考试评分过程。 准考证 在 CISA 考试前 2 到 3 周，考生会收到来自 ISACA 的书面准考证以及电子准考证。考生也可以从网站 MyISACA 页面下载准考证的副本。准考证上标明了考试的日期、入场登记时间和考试地点、当天日程安排以及参加 CISA 考试必须携带 的材料。除非联系信息发生变更，否则考生不应在准考证上涂写。 请注意：考生必须先支付所有费用，然后才能收到准考证。准考证将通过硬拷贝和电子邮件以文件形式发送到当前邮件和 电子邮件地址。考生拥有准考证及政府颁发的正规身份证时才能参加考试，并且准考证上的姓名必须与政府颁发的身份证 上的姓名一致。书面准考证或打印的电子准考证均对本考试有效。如果考生的邮件和/或电子邮件地址发生变更，则考生 应更新其在 ISACA 网站 () 上的个人信息，或通过 取得联系。 考生务必要确切知道其准考证上的特定登记和考试时间。考试开始前约 30 分钟，主监考老师会开始宣读说明，此时，任 何考生均不得进入考场。在主监考老师宣读说明开始之后到达的任何考生都不得进入考场，并且不予退还报名费。准考证 只能在其所指定的考点使用。将在考试管理期间检查考生身份证。 特别安排 对于提出残疾或宗教习惯要求的考生，ISACA 会在收到请求后根据书面请求，对其考试程序进行合理的安排调整。具有上述要 求的考生可以申请适当地改变考试形式、衣着方式、考场内提供的饮食或考试时间安排。申请将食物和饮料带入考场必须 出具医生的证明材料，否则不允许将食品和饮料带入考场。考生向 ISACA 国际总部提交书面申请及相关证明材料的时间不 得晚于 2012 年 4 月 4 日（对应 2012 年 6 月的考试）和 2012 年 10 月 3 日（对应 2012 年 12 月的考试）。 遵守时间规定 所有考点的开始登记时间均为准考证上所注明的时间。在主监考老师开始宣读口头说明时，所有考生应登记完毕并已在考 场室内就坐。在考试开始前约.30.分钟，主监考老师会开始宣读口头说明，此时，任何考生均不得进入考场。 特色课程 CISA 认证考试指南 务必携带准考证 考生只能在指定考点使用其准考证，准考证可以是电子准考证，也可以是书面准考证。考生只有携带有效的准考证以及通 用的身份证明才能进入考场。可接受的身份证明必须是政府签发的当前有效身份证原件，其上的考生姓名要与准考证上的 考生姓名相同，同时还应带有考生照片。身份证明上的信息不能为手写形式。考生所提供的单张身份证明必须显示以上所 有重要特征。符合条件的身份证明包括但不限于护照、驾驶执照、军人身份证、省/州身份证、绿卡或国家身份证等。任 何无法提供身份证明原件的考生都不得进入考场，并且其报名费不予退还。 遵守考点规则 口头说明开始后，考生不得进入考场。 考生应携带若干削好的 2 号（即 HB 软芯）铅笔和橡皮。考点不提供铅笔和橡皮。根据考点的不同，将尽可能确保各考 点的气候适宜。考生可以根据自己的情况舒适穿着。 考生不得将参考资料、白纸、便条本或词典带入考场。 考生在考场不得携带或使用计算器。 考生不得将任何类型的通讯设备（即手机、PDA、Blackberries 等）带入考场。如果在考试管理期间查出某考生携带任 何此类设备，则该考生的成绩将被视为无效，并将要求该考生立即离开考场。 无关人员不得进入考场。 考场中不得饮食（在未事先得到 ISACA 批准的情况下）。 作弊行为 考场中如发现考生有任何形式的作弊行为，比如提供或接受帮助，使用纸条、试卷或其他辅助工具，试图替他人考试，在 考试管理期间使用任何类型的通讯设备（包括手机），或从考场带走考试册、答题卡或纸条，则将取消考生的考试资格并 可能采取法律措施。对于在未经监考人员批准或陪同的情况下擅自离开考场区域的考生，将不允许其返回考场，并将取消 其考试资格。考试机构将向 ISACA 的 CISA 认证委员会报告此类违规行为。 有关个人携带物品政策的完整内容，请访问 /cisabelongings。ISACA 及其考试供应商均不对考生的个人物 品负责。 填写答题纸时请务必小心 在考生开始答题前，考场的主监考老师会大声宣读有关在答题纸上书写个人信息的说明。考生必须正确输入其准考证上 的考号信息以及所有其他必需信息，否则可能会延误或误报其成绩。 每个考点都会有一位讲考试主语言的监考老师。有时，考生会希望以考点主语言以外的其他某种语言来参加考试，而监 考老师可能并不熟悉此考生所选的语言。不过，考点会提供考试所用语言的书面说明。 监考老师会提醒考生首先仔细阅读并理解所有的考试说明，然后再答题。如果考生浏览考试说明的速度过快，则可能会 漏掉重要的信息，从而导致丢分。 必须在答题纸上的对应圆圈内标记所有正确的答案。请考生注意，每个问题不得标记多个答案，并且请确保在正确的行 中答题。如果要修改答案，考生必须先用橡皮彻底擦掉错误的答案，然后再在正确的答案上做标记。 所有的问题都必须回答。如果答题错误，不会扣除分数。分数完全取决于正确答案的数量，因此请不要将任何问题留空。 答题完毕后，考生须交上答题纸及试卷。 安排好考试时间 考试时间为四个小时，每个问题有一分钟多一点的时间。建议考生调整好自己的进度，以便完成所有的问题。考生必须 平均在每个小时之内完成 50 道问题。 考生须及时在答题纸的正确答案上做标记。考试结束时间一到，考生不得拖延，必须立刻停止答题或誊写答案。 考场举止要得当 为保证考生的安全，维护考生成绩的有效性，考生必须在答题纸上签字。 考场中如发现考生有任何形式的作弊行为或考试违规行为，比如提供或接受帮助，使用纸条、试卷或其他辅助工具，试 图替他人考试或从考场带走考试资料或便条，CISA 认证委员会将保留取消该考生考试资格的权利。考试机构将向 CISA 认证委员会报告所发现的违规行为记录，并提请后者审核做出决策。 5 6 CISA 认证考试指南 驱逐或取消考试资格的原因 如有以下情况，监考老师有权将考生驱逐出场： 擅自进入考场。 考生扰乱考场纪律，或者提供或接受帮助。 考生试图撕下考卷或纸条并带出考场。 考生假扮为另一考生来应考。 考生将明令禁止的用具带入考场。 考生在考试管理期间持有任何通讯设备（即手机、PDA、BlackBerry）。 考生擅自离开考场区域。 如果在考试管理期间查出某考生携带任何通讯设备（即手机、PDA、BlackBerry），则该考生的成绩将被视为无效，并将要 求该考生立即离开考场。 CISA 考试评分规则 CISA 考试为 200 道选择题。考生的成绩按照比率分数来报告。比率分数是将原始考试分数转换为通用比例后所得的分 数。ISACA 按照从 200 至 800 的通用比例来使用和报告分数。例如，比率分数 800 分表示一个很优秀的成绩，即所有的 问题都回答正确；而比率分数 200 分则表示最低的分数，表示仅正确回答了很少的问题。考生必须达到或超过 450 分 才能通过考试。450 分代表了 CISA 认证委员会所制定的最低统一知识标准。如果考生考试分数及格，且符合所有其他要 求，即可提出认证申请。 CISA 考试中包含一些仅为研究和分析目的而采用的考题。这些考题未单独指明，不会用于计算最终成绩。 自考试日期起，约八周之后，考生将接到邮寄的正式考试成绩通知单。此外，如果考生在报名当中注明同意，我们还可以向 考生发送电子邮件，其中包含考生及格/不及格的状态以及考试得分。这份电子邮件只在最初发布考试成绩时向考生资料中所 列的电子邮件地址发送。为了对考试分数保密，考试结果将不采用电话或传真的方式进行通知。为了防止电子邮件通知 发送到垃圾邮件文件夹，考生需将 加入地址簿、白名单或安全发件人名单。 考生收到的成绩报告包含所有考核方面的单项得分。如果考生成绩及格，则将随成绩报告收到一份关于如何申请 CISA 认 证的详细说明。如果考生成绩不及格，则将随成绩报告收到一份新的 CISA 考生信息公告的副本。 如果未及格的考生需要再次参加考试，则单项得分表可帮助他们确定需要在哪些领域继续深入学习。未及格的考生须注意， 总比率分数不是各单项得分的简单或加权平均求和。 考试未及格的考生可以申请对试卷进行人工成绩复查。此过程可确保不规范的标记、多选等其他因素不致对计算机评判 的分数产生影响。但是，考生应知道，所有的成绩在公布之前都经过了若干道质量控制检查程序，因此，成绩复查极有 可能不会改变得分。考生必须在考试结果公布 90 天之内以书面形式向认证部门提交成绩复查申请。如果在截止日期之 后提交人工复查申请，则申请将不会得到处理。所有的申请都必须包含考生姓名、考号及邮寄地址。每份申请须同时提 交 75 美元的费用。 CISA 考试试题类型 CISA 试题的编写目的是对实务知识以及一般性概念和标准进行衡量和测试。每道问题只有一个最佳答案。 每道 CISA 问题均包含一个题干（问题）和四个选项（答案选项）。考生需从选项中选择正确或最佳答案。题干的形式可以是 问句，也可以是不完整的陈述句。在某些情况下，可能还会包含特定场景。这些问题通常包含对某情形的描述，并要求考生根 据所提供的信息回答两个或多个问题。考生应仔细阅读每道问题。CISA 试题可能会要求考生根据某限定词选择一个最恰 当的答案，例如可能性最大或最佳的答案。无论属于哪种情况，考生均需仔细阅读试题，排除已知错误答案，并在最佳 答案上做相应标记。有关 CISA 试题的示例，请访问 /cisaassessment 。 申请 CISA 认证 即使考生通过了考试，也并不表示考生即可拥有 CISA 证书。考生通过 CISA 考试之后，他/她必须在考试当日后的五 年内申请认证。考试及格的考生必须完成认证申请，并使用申请表中所附的对应表单验证其工作经验。在相关部门收到 并批准其完整的申请之前，考生不得使用 CISA 的称呼。请注意，申请的决定并不是最终的，考生还可以对认证申请遭拒进行 申诉。有关认证遭拒的问询，请发电子邮件至 。通过认证之后，新 CISA 会员将会收到一份证书以及 CISA 认证 PIN。申请时，个人还必须同时认可 ISACA 保留发布或披露其 CISA 状态的权利，但不是义务。必须随 CISA 认 证申请一起交纳 50 美元的手续费。 7 CISA 认证考试指南 CISA 认证的首次申请要求 我们将向成功通过 CISA 全部考试且满足以下工作经验要求的个人授予认证。 申请认证时，必须具有最少五年的专业信息系统审计、控制、鉴证与安全等方面的工作经验。具备下列条件者，可进行相 应抵减： 最多可以用一年的信息系统经验或一年非信息系统审计经验抵减一年的工作经验。 在大学完成 60-120 个学分（相当于两年或四年大学学历），不受 10 年先前经验的限制，可以相应抵减一年或两年的 工作经验。即使已获取多个学位，最多也只能抵减两年的工作经验。 在开设 ISACA 模型课程的大学中获得学士或硕士学位，则可抵减 1 年的工作经验。有关这些学校的名单，请访问 /modeluniversities 。如果已经使用三年经验抵减和教育豁免的规定，则不能使用本项规定。 从经认可的大学开设的信息安全或信息技术专业获取的硕士学位可抵减一年的工作经验。 例外情况：两年相关领域（例如，计算机科学、会计、信息系统审计等）大学全职讲师工作经验可抵减一年的工作经验。 工作经验必须在 CISA 认证申请日之前的十年内，或首次通过考试之日起的五年内获得。如果考生未在首次通过考试之日 的五年内提交 CISA 认证的完整申请，则需要重新参加并通过考试。 有一点需要注意，许多人员都是先参加 CISA 考试，之后才获取了相应的工作经验。这种做法是我们认可并鼓励的，不 过，只有在满足所有的要求之后，才能授予 CISA 认证。 CISA 认证的维持要求 只有在符合下列要求的情况下，才能保留 CISA 认证： 每年最少获取 20 个 CPE 小时数并递交报告，并在三年报告期内最少获取 120 个 CPE 小时数并递交报告。有关详细信 息，请阅读 /cisacpepolicy 上的 CISA CPE 政策。 向 ISACA 国际总部全额提交 CPE 维护年费。 如果在年度审计中被选择，则根据要求作出回应并提交所需的 CPE 活动相关文档，以证明所报告的小时数。 遵守ISACA 职业道德规范的要求。 如果认证持有人未能遵守这些一般性要求，其认证通常会被撤消。所有证书均属.ISACA.所有。如果获得认证批准的个人之后 被吊销证书，则其必须销毁所获得的证书。 ISACA.职业道德规范 ISACA制定职业道德规范的目的是引导协会会员和/或认证持有人的职业行为及个人行为。如果协会会员和/或认证持有 人未能遵守职业道德规范，则可能会招致相关部门对其行为进行调查，进而采取相应的纪律措施。可以在线查看 ISACA 职业道德规范，网址为 /ethics。 CISA 认证的吊销 CISA 认证委员会在经过恰当的全面考虑之后，可能会决定吊销某人的 CISA 认证，原因可能为下列中的任意一种： 未能遵守 CISA CPE 政策 违反了ISACA 职业道德规范中的任一条款 伪造或拒不提供相关信息 故意捏造重要的事实 参与或协助他人从事欺诈、未授权或不当行为，无论该行为发生在参加 CISA 考试时还是在申请认证过程中 8 CISA 认证考试指南 CISA.工作实务范围说明 CISA.任务和知识点说明 考试内容（领域）. 领域.1：信息系统的审计流程按照 IT 审计标准来提供审计服务，以帮助组织保护和控制其信息系统。 领域.1：任务说明 T1.1 按照 IT 审计标准制定并实施基于风险的 IT 审计战略，确保关键领域均包括在内。 T1.2 计划具体审计工作，以确定信息系统是否得到保护和控制并为组织提供价值。 T1.3 按照 IT 审计标准执行审计，以实现计划的审计目标。 T1.4 向重要的利益相关人员通报结果，报告审计发现的问题并提出建议，并在必要时实施变更。 T1.5 进行后续审计工作或准备状态报告，以确保管理部门及时采取相应措施。 领域.1：知识点说明 KS1.1 了解 ISACA 信息系统审计标准、准則、工具和技术；职业道德規范及其他适用标准 KS1.2 了解审计环境风险评估的概念、工具和技术 KS1.3 了解控制目标以及与信息系统相关的控制 KS1.4 了解审计计划和审计项目管理技巧（包括后续审计工作） KS1.5 了解基本业务流程（如采购、薪资管理、应付账款、应收账款等）以及相关的 IT KS1.6 了解会对审计范围、证据搜集与保管、以及审计频率等产生影响的相关法律法规 KS1.7 了解用于搜集、保护和保管审计证据的证据搜集技巧（例如观察、问询、检查、面谈、数据分析） KS1.8 了解各种抽样方法 KS1.9 了解报告和交流技巧（例如协助、协商、冲突解决、审计报告结构） KS1.10 了解审计的质量保障体系和框架 领域.2：IT.治理与管理用以确保具备必要的领导人员、组织结构及流程来实现相关目标和支持组织战略。 领域.2：任务说明 T2.1 对 IT 治理结构的有效性进行评估，以确定 IT 决策、方向和执行是否支持组织的战略和目标。 T2.2 对 IT 组织结构和人力资源（人事）管理情况进行评估，以确定它们是否为组织的战略和目标提供支持。 T2.3 对 IT 战略（包括 IT 方向）及该战略的制定、审批、实施和维护过程进行评估，确定它是否符合组织的战略和目标。 T2.4 对组织的 IT 政策、标准、流程及其制定、审批、实施、维护和监控过程进行评估，以确定它们是否支持 IT 政策并符 合法律法规的要求。 T2.5 对质量管理系统的充分性进行评估，以确定它是否以具有成本效益的方式为组织的战略和目标提供支持。 T2.6 对 IT 管理和控制的监控（例如，持续监控、质量保证 QA）进行评估，以确保它们符合组织的政策、标准和流程。 T2.7 对 IT 资源的投资、使用和分配实务（包括优先化评审标准）进行评估，以确定它们是否符合组织的战略和目标。 T2.8 对 IT 外判战略、政策及合同管理实务进行评估，以确定它们是否支持组织的战略和目标。 T2.9 对风险管理实务进行评估，以确定组织内 IT 相关的风险是否已得到合理管理。 T2.10 对监控和鉴证实务进行评估，以确定董事会和管理高层能否及时充分地获取有关 IT 执行情况的信息。 T2.11 对组织的业务连续性计划进行评估，以确定组织能否在 IT 遭到中断期间能继续基本业务的操作。 9 CISA 认证考试指南 考试内容（领域）. 领域.2：知识点说明 KS2.1 了解 IT 治理、管理、安全和控制框架以及相关标准、续和实务 KS2.2 了解组织的 IT 战略、政策、标准及流程的目的及其基本元素 KS2.3 了解 IT 的组织结构、角色和职责 KS2.4 了解 IT 战略、政策、标准及流程的制定、实施和维护过程 KS2.5 了解组织的技术方向和 IT 架构及其对于设定长期战略方向的意义 KS2.6 了解会对组织产生影响的相关法律、法规和行业标准 KS2.7 了解质量管理系统 KS2.8 了解成熟度模型的使用 KS2.9 了解流程优化技术 KS2.10 了解包括优先化评审标准在内的 IT 资源投资和分配实务（例如，资产组合管理、价值管理和项目管理） KS2.11 了解包括第三方外包关系在内的 IT 供应商选择、合同管理、关系管理和性能监控过程 KS2.12 了解企业风险管理 KS2.13 了解监控和报告 IT 执行的实务（例如，平衡记分卡和关键性能指标 KPI） KS2.14 了解用于调用业务连续性计划的 IT 人力资源（人事）管理实务 KS2.15 了解与业务连续性计划 (BCP) 相关的业务影响分析 (BIA) KS2.16 了解与业务连续性计划 (BCP) 的开发和维护相关的标准和流程以及测试方法 领域.3：信息系统的购置、开发与实施用以确保信息系统的购置、开发、测试和实施实务符合组织的战略与目标。 领域.3：任务说明 T3.1 评估在信息系统的购置、开发、维护及后期退役方面进行建议投资的业务案例，以确定它是否符合业务目标。 T3.2 对项目管理实务和控制进行评估，以确定在管理组织的风险时是否以具有成本效益的方式达到业务要求。 T3.3 进行审查，以确定进行中的项目是否与项目计划保持一致，具有充分的文档支持，并且状态报告正确无误。 T3.4 对在需求、购置、开发和测试阶段的信息系统控制进行评估，以确保符合组织的政策、标准、流程及相应外部要求。 T3.5 对信息系统的生产实施和迁移就绪情况进行评估，以确定其是否满足项目交付成果、控制及组织的要求。 T3.6 对信息系统执行后实施审查，以确定其是否满足项目交付成果、控制及组织的要求。 领域.3：知识点说明 KS3.1 了解收益实现实务（例如，可行性研究、业务案例、总体拥有成本 TCO、投资回报 ROI） KS3.2 了解项目治理机制（例如，督导委员会、项目监管董事会、项目管理办公室） KS3.3 了解项目管理控制框架、实务和工具 KS3.4 了解适用于项目的风险管理实务 KS3.5 了解与数据、应用程序和技术相关的 IT 架构（例如，分布式应用程序、基于 Web 的应用程序、Web 服务、n 层应 用） KS3.6 了解购置实务（例如，供应商评估、供应商管理、托管） KS3.7 了解需求的分析和管理实务（例如，需求验证、可跟踪性、差距分析、漏洞管理、安全要求） KS3.8 了解有关项目成功的审核标准和风险 KS3.9 了解控制目标和技巧，以确保事务和数据的完整性、准确性、有效性及授权 10 CISA 认证考试指南 考试内容（领域）. 领域.3：知识点说明（续） KS3.10 了解系统开发方法和工具，包括它们的优点和缺点（例如，敏捷开发实务、原型设计、快速应用开发 RAD、面向对 象的设计技术） KS3.11 了解与信息系统开发相关的测试方法和实务 KS3.12 了解与信息系统开发相关的配置和发布管理 KS3.13 了解系统迁移和基础架构部署实务，以及数据转换工具、技术和流程 KS3.14 了解后实施审查目标和实务（例如，项目收尾、控制的实施、收益实现、绩效衡量） 领域.4：信息系统的操作、维护与支持用以确保信息系统的操作、维护和支持过程符合组织的战略与目标。 领域.4：任务说明 T4.1 定期审查信息系统，以确定其是否持续满足组织目标。 T4.2 对服务水平管理实务进行评估，以确定能否对组织内部和外部服务提供商的服务水平进行定义和管理。 T4.3 对第三方管理实务进行评估，以确定提供商是否达到组织所期望的控制水平。 T4.4 对有关信息系统操作和终端用户的流程进行评估，以确定既定和非既定的流程是否得到管理并完成。 T4.5 对信息系统的维护过程进行评估，以确定其是否达到有效控制并持续支持组织的目标。 T4.6 对数据管理实务进行评估，以确定数据库的完整性和最优化情况。 T4.7 对容量和性能监控工具及技术的使用情况进行评估，以确定信息技术服务能否满足组织的目标。 T4.8 对问题和事故管理实务进行评估，以确定事故、问题或错误能否及时得到记录、分析和解决。 T4.9 对变更、配置和发布管理实务进行评估，以确定能否充分控制在组织生产环境内的计划内和计划外变更、并将这些变更记录 在案。 T4.10 对备份和恢复准备的充分性进行评估，以确定恢复处理所需信息的可用性。 T4.11 对组织的灾难恢复计划进行评估，以确定此计划能否在灾难发生时恢复 IT 的处理功能。 领域.4：知识点说明 KS4.1 了解服务水平管理实务及服务级别协议中的组成部分 KS4.2 了解用于监控第三方对组织内部控制措施遵守情况的相关技术 KS4.3 了解用于管理既定和非既定流程的信息系统操作和终端用户流程 KS4.4 了解与硬件和网络组件、系统软件及数据库管理系统相关的技术概念 KS4.5 了解可确保系统接口完整性的控制技术 KS4.6 了解软件许可和资产清单实务 KS4.7 了解系统弹性工具和技术（例如，容错硬件、消除单一故障点、群集） KS4.8 了解数据库管理实务 KS4.9 了解容量规划及相关的监控工具和技术 KS4.10 了解系统性能监控过程、工具和技术（例如，网络分析程序、系统使用情况报告、负载均衡） KS4.11 了解问题和事故管理实务（例如，服务台、升级流程、跟踪） KS4.12 了解管理生产系统和/或基础架构的计划内和突发变更的过程，包括变更、配置、发布和修补程序管理实务 KS4.13 了解数据备份、存储、维护、保留和恢复实务 KS4.14 了解与灾难恢复相关的法律、法规、合同及保险问题 11 CISA 认证考试指南 考试内容（领域）. 领域.4：知识点说明（续） KS4.15 了解与灾难恢复计划相关的业务影响分析 (BIA)