2015年CISA考试知识点变化总结讲义.pdf

SPISEC Corporation第 1 页 2015年CISA考试知识点变化总结讲义 汇哲科技 | SPISEC Corporation第 2 页 2015年CISA考试大纲 第一章 信息系统的审计流程 第二章 IT治理与管理 第三章 第三章信息系统的购置、开发与实施 第四章 信息系统的操作、维护与支持 第五章 信息资产的保护 | SPISEC Corporation第 3 页 第一章信息系统的审计流程 变化内容 1.2.1 信息系统审计职能组织 1.2.2 信息系统审计资源管理 1.3.2 ISACA信息系统审计和鉴证标准框架 1.3.3 ISACA信息系统审计和鉴证准则/指南 1.3.4 ISACA信息系统审计和鉴证工具和技术 1.3.5 审计标准、准则/指南、工具和技术（程序）的关系 1.3.6 信息技术保证框架（ITAF） 1.6.4 舞弊检查 1.6.11 审计证据 1.6.17 沟通审计结果 1.6.19 审计文档 | SPISEC Corporation第 4 页 1.2.1 信息系统审计职能组织 审计章程可将IS审计作为一种审计支持职能包括在内。该章程应说明管 理人员的责任以及IS审计职能的目标和授权。此文档应概述审计职能的 整体权限、范围和责任。最高管理层（董事会）和审计委员会（如果存 在）应对此章程进行审批。此章程确立之后，仅当可以且已经彻底证明 变更合理时才应对其进行更改。 ISACA IS审计标准要求将IS审计职能的责任、权限和义务相应记录到审 计章程或业务约定书中（1001审计章程）。应注意，审计章程是一个 综合性文档，总体涵盖整个范围的审计活动，而业务约定书侧重于特定 的审计工作，主要由具有具体目标的组织发起。 如果IS审计服务由外部公司提供，则这些服务的范围和目标应在合约组 织和服务提供商之间以正式合同或工作说明的形式记录在案。注：审计 合同，工作说明书(SOW) 在任意一种情况下，内部审计职能都应具有独立性，并向审计委员会（ 如果存在）或最高管理层（董事会）报告。 | SPISEC Corporation第 5 页 1.2.2 信息系统审计资源管理 ISACA信息系统审计准则（Standard）要求信息系统审计师技术上胜任 （1006业务熟练），具备从事审计工作所需的能力、知识和经验。 注意：2015年变化知识点 新审计技术（CAAT）和技术领域（虚拟化/云计算/大数据/移动互联网） 信息系统审计师必须通过适当的继续职业教育（CPE）保持其胜任能力。 在制订审计计划和分配人员到特定审计委托项目时需要考虑审计师的技 能和知识。 审计师的信息系统相关知识与能力 审计项目管理的能力 审计人员的培训计划（基于组织的方向，技术和相关风险）每年复审确 保培训需求和审计组织的方向一致 必要的IT资源以正确执行特定审计，工具、方法论、审计程序软件，例如 ：网络扫描工具Nessus、渗透测试工具、日志分析工具、IDEA数据分析 工具等 | SPISEC Corporation第 6 页 1.3.2 ISACA信息系统审计和鉴证标准框架 专业性质的IS审计和执行此类审计所需的技能和知识需要专用针对IS审 计的全球适用性标准。 注意：2015年变化知识点 ISACA的一项最重要的功能是提供可支持知识要求的信息（通用知识体 系）。（请参阅标准1106职业能力）ISACA的目标之一是提出满足此 需求的标准。IT审计和鉴证标准的制定和传播是该协会对审计领域的职 业贡献的基础。IS审计师需要知道还可能存在其他标准，甚至是通过立 法对审计师提出的法律要求。 ISACA IT审计和鉴证标准的目标应告知以下人员： 要求符合IS审计师职业道德规范中阐述的职业责任的最低可接受执行级 别的IS审计师。 与审计从业者工作相关的业界管理人员及其他相关方。 | SPISEC Corporation第 7 页 1.3.3 ISACA信息系统审计和鉴证准则/指南 注意：CISA考生无需掌握某项IT审计和鉴证准则的具体编号。CISA考试 考察考生如何在审计过程中应用各项准则。IS审计师应详细审查IT审计 和鉴证准则，以确定工作中真正需要的内容。 注意：CISA考生熟悉IT审计和鉴证准则中与“审计章程”（2001）相 关的部分。要报告诸如欺诈等违规行为， 与标准“违规和非法行为”（ 1207）相关的“违规行为的审计注意事项“（2007）同样也很重要。 此外，IS审计师还应熟悉与“专业独立性”（2003）相关的IT审计和鉴 证准则以及相关的标准“专业独立性”（1003）。有关“后续活动”（ 2402）方面的知识，IS审计 师应在IT审计和鉴证准则中进一步识别。 注意：2015年变化知识点 | SPISEC Corporation第 8 页 1.3.3 ISACA信息系统审计和鉴证准则/指南 信息系统审计和鉴证准则/指南生效日期 2001审计章程2014年9月1日 2002组织独立性2014年9月1日 2003专业独立性2014年9月1日 2004合理的预期2014年9月1日 2005应有的职业谨慎2014年9月1日 2006业务熟练2014年9月1日 2007认定2014年9月1日 2008衡量标准2014年9月1日 2201项目规划2014年9月1日 2202规划中的风险评估2014年9月1日 2203执行和监督2014年9月1日 2204重要性2014年9月1日 2205证据2014年9月1日 2206使用其他专家的成果2014年9月1日 2207违规和非法行为2014年9月1日 2208审计抽样2014年9月1日 2401报告2014年9月1日 2402后续活动2014年9月1日 2015年变化知识点 | SPISEC Corporation第 9 页 1.3.3 ISACA信息系统审计和鉴证准则/指南 常规 2001 审计章程，2014年9月1日生效 1.1.1 本准则的目的是协助IS审计和鉴证专业人员准备审计章程。审计章 程定义IS审计和鉴证职能部门的目的、责任、权限和义务。 1.1.2 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中做出专 业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指导时 ，应当考虑此准则。 2002 组织独立性，2014年9月1日生效 1.1.1 本准则的目的是阐述企业内部IS审计和鉴证职能部门的独立性。考 虑三个重要方面： 企业内部IS审计和鉴证职能部门的地位； 企业内部IS审计和鉴证职能部门对哪一级负责； 企业内部IS审计和鉴证管理层及企业内部IS审计和鉴证专业人员执行的非 审计服务；注意：2015年变化知识点 | SPISEC Corporation第 10 页 1.3.3 ISACA信息系统审计和鉴证准则/指南 1.1.2 本准则指导如何评估组织的独立性，并详细阐述组织独立性与审 计章程和审计计划之间的关系。 1.1.3 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中作出 专业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指 导时，应当考虑此准则。 注意：2015年变化知识点 2003 专业独立性，2014年9月1日生效 1.1.1 本准则的目的是协助IS审计和鉴证专业人员提供一个框架，使其 能够： 确定独立性在什么时候可能或看似可能受到损害 在独立性受到或看似可能受到损害时，考虑完成审计流程的潜在备用方 法 减轻或消除对执行非审计角色、功能和服务的IS审计和鉴证专业人员的 独立性的影响 确定所需独立性可能或看似可能受到损害时的披露要求 | SPISEC Corporation第 11 页 1.3.3 ISACA信息系统审计和鉴证准则/指南 1.1.2 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中作出 专业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指 导时，应当考虑此准则。 2004 合理预期，2014年9月1日生效 1.1.1 本准则的目的是协助IS审计和鉴证专业人员在执行审计项目时贯 彻合理预期原则。专业人员对其应具有合理预期的主要特征如下： 可根据这些标准、其他适用的标准或法规完成审计项目，并产生专业意 见或结论。 审计项目的范围允许表达有关主题的意见或结论 管理层将向他们提供完成审计项目所需要的适当、相关和及时的信息。 1.1.2 本准则进一步协助IS审计和鉴证专业人员解决范围限制问题，并 提供有关范围条件变动的指导。 1.1.3 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中作出 专业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指 导时，应当考虑此准则。注意：2015年变化知识点 | SPISEC Corporation第 12 页 1.3.3 ISACA信息系统审计和鉴证准则/指南 2005 应有的职业谨慎，2014年9月1日生效 1.1.1 本指南的目的是阐明术语“应有的职业谨慎”，原因是它适用于 如何根据ISACA职业道德规范诚实和谨慎地完成审计项目。 1.1.2 本准则解释IS审计和鉴证专业人员在规划、完成和报告审计项目 时，应如何适用应有的职业谨慎。 1.1.3 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中作出 专业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指 导时，应当考虑此准则。 2006 业务熟炼，2014年9月1日生效 1.1.1 本准则指导IS审计和鉴证专业人员如何获得必备的技能和知识， 并如何在完成审计项目过程中保持专业能力。 1.1.2 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中作出 专业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指 导时，应当考虑此准则。注意：2015年变化知识点 | SPISEC Corporation第 13 页 1.3.3 ISACA信息系统审计和鉴证准则/指南 2007 认定，2014年9月1日生效 1.1.1 本准则的目的是详细阐述不同的认定，指导IS审计和鉴证专业人 员如何确保用于参照评估主题的衡量标准支持其认定，并指导如何形成 结论和起草认定报告。 1.1.2 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中作出 专业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指 导时，应当考虑此准则。 2008 衡量标准，2014年9月1日生效 1.1.1 本准则的目的是协助IS审计和鉴证专业人员选择用于参照评估主 题事项，合适、可以接受和来自相关来源的衡量标准。 1.1.2 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中作出 专业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指 导时，应当考虑此准则。注意：2015年变化知识点 | SPISEC Corporation第 14 页 1.3.3 ISACA信息系统审计和鉴证准则/指南 执行 2201 项目规划，2014年9月1日生效 1.1.1 本准则向IS审计和鉴证专业人员提供指导。充分规划有助确保适 当关注审计的重要领域，及时识别和解决潜在问题，并及时、有效和正 确地组织、管理和完成审计项目。 1.1.2 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中作出 专业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指 导时，应当考虑此准则。 2202 规划中的风险评估， 1.1.1 满足审计目标所需要的审计工作级别是IS审计和鉴证专业人员的 主观决定。本准则的目的是减小根据审计结果得出错误结论的风险，并 减少被审计领域中存在的错误。 1.1.2 本准则提供有关如何应用风险评估方法的指导，以制定： 涵盖所有年度审计项目的IS审计计划 强调某个具体审计项目的审计项目计划 2015年变化知识点 | SPISEC Corporation第 15 页 1.3.3 ISACA信息系统审计和鉴证准则/指南 1.1.3 本准则详细介绍IS审计和鉴证专业人员遇到的各种风险。 1.1.4 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中作出 专业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指 导时，应当考虑此准则。 2203 执行与监督，2014年9月1日生效 1.1.1 本准则指导IS审计和鉴证专业人员如何完成审计项目和监督IS审计 团队成员。内容包括： 完成审计项目 角色和职责，完成审计项目所需要的知识和技能 监督的主要方面 搜集证据 记录所完成的工作 形成结果和结论 2015年变化知识点 | SPISEC Corporation第 16 页 1.3.3 ISACA信息系统审计和鉴证准则/指南 1.1.2 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中作出 专业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指 导时，应当考虑此准则。 2204 重要性，2014年9月1日生效 1.1.1 本准则的目的是明确定义适用IS审计和鉴证专业人员的“重要性 ”概念，并明确区分财务审计和鉴证专业人员所用的重要性概念。 1.1.2 本准则协助IS审计和鉴证专业人员评估主题的重要性和考虑事关 控制和报告问题的重要性。 1.1.3 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中作出 专业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指 导时，应当考虑此准则。 2205 证据，2014年9月1日生效 1.1.1 本准则的目的是指导IS审计和鉴证专业人员如何获得有效和适当 的证据，如何评估得到的证据和如何准备适当的审计记录。 2015年变化知识点 | SPISEC Corporation第 17 页 1.3.3 ISACA信息系统审计和鉴证准则/指南 1.1.2 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中作出 专业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指 导时，应当考虑此准则。 2206 使用其他专家的成果，2014年9月1日生效 1.1.1 本准则指导IS审计和鉴证专业人员如何使用其他专家的成果。该 准则协助评估专家的充分性、审查和评估其他专家的成果、评估完成其 他测试流程的需求和表达审计项目的意见，同时考虑使用其他专家完成 的工作。 1.1.2 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中作出 专业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指 导时，应当考虑此准则。 2207 违规和非法行为，2014年9月1日生效 1.1.1 本准则的目的是指导IS审计和鉴证专业人员如何处理违规和非法 行为。 2015年变化知识点 | SPISEC Corporation第 18 页 1.3.3 ISACA信息系统审计和鉴证准则/指南 1.1.2 本准则详细阐述管理层及IS审计和鉴证专业人员在违规和非法行 为方面的职责。它进一步指导如何在规划和完成审计工作的过程中处理 违规和非法行为。最后，该准则推荐内部和外部报告违规和非法行为的 良好实践。 1.1.3 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中作出 专业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指 导时，应当考虑此准则。 2208 抽样，2014年9月1日生效 1.1.1 本准则的目的是指导IS审计和鉴证专业人员如何设计和选择审计 样本及评估样本结果。适当的抽样和评估将有助达到证据充分且适当的 要求。 1.1.2 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中作出 专业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指 导时，应当考虑此准则。 2015年变化知识点 | SPISEC Corporation第 19 页 1.3.3 ISACA信息系统审计和鉴证准则/指南 报告 2401 报告，2014年9月1日生效 1.1.1 本准则指导IS审计和鉴证专业人员掌握不同类型的IS审计项目及相 关报告。 1.1.2 该准则详细阐述审计项目中应包含的所有方面，并向IS审计和鉴 证专业人员提供起草和最终完成审计项目报告时需考虑的因素。 1.1.3 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中作出 专业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指 导时，应当考虑此准则。 2402 后续活动，2014年9月1日生效 1.1.1 本准则的目的是指导IS审计和鉴证专业人员如何监测管理层是否 对报告的建议和审计结果及时采取适当的行动。 1.1.2 IS审计和鉴证专业人员在确定如何实施标准、如何在应用中作出 专业判断、如何准备证明任何背离情况的合理性及如何酌情寻求更多指 导时，应当考虑此准则。 2015年变化知识点 | SPISEC Corporation第 20 页 1.3.4 ISACA信息系统审计和鉴证工具和技术 工具和技术目前分为以下几类： 白皮书，/whitepapers（免费PDF文件） 审计/鉴证方案，/auditprograms（ISACA会员免费 Word文件） COBIT5产品系列，/cobit 技术和风险管理参考系列，/Knowledge- Center/ITAF-IT-Assurance-Audit-/Pages/Reference-Series.aspx （ISACA书店提供） ISACA Journal IT审计基础专栏，/Knowledge- Center/ITAF-IT-Assurance-Audit-/IT-Audit-Basics/Pages/IT- Audit-Basics-Articles.aspx（免费访问） 2015年变化知识点 | SPISEC Corporation第 21 页 1.3.5 审计标准、准则/指南、工具和技术（程序）的关系 可能出现法律法规要求比ISACA标准要求更严格，在这种情况下，信息 系统审计师应确保遵守更严格的法律/法规要求。例如，支持“标准 1002组织独立性”的“准则2002”的“2.3.2”部分声明：“日常 或行政性，或涉及琐碎事务的活动通常被视非由管理层负责，并因此不 会损害独立性。如果落实足够的保证措施，同样不会损害独立性或客观 性的非审计服务包括提供信息技术风险及控制方面的日常建议。”但是 ，在某些国家，监管法规严格禁止审计师接受提供其个人信用服务银行 的审计委托。在这种情况下，信息系统审计师应依据适用的法律要求优 先原则，不接受该委托，即使接受该委托也遵守“准则2002”的要求 。 2015年变化知识点 | SPISEC Corporation第 22 页 1.3.6 信息技术保证框架（ITAF） 信息技术鉴证框架（ITAF)是一个设定良好实践的综合模型，该模型： 为IT审计和鉴证任务的设计、执行和报告提供指导 定义与IT鉴证特定的术语和概念 制定相应标准，主要涉及到IT审计和鉴证的专业角色与职责、知识与技 能，以及职业精神、执行和报告的要求 注意：CISA考试不测试ITAF。CISA考试测试热河在审计过程中应用这些框架。 ITAF是随时更新的文档。可到网站/ITAF上查看最新版本的文档。 ITAF重点针对ISACA材料并提供单一的资源库，可供IT审计和鉴证专业 人员搜索指导材料、研究政策和操作流程、获取审计和鉴证程序，以及 制作有效的报告。 ITAF第2版包含于2013年11月1日生效的ISACA IS 审计和鉴证标准。ITAF第3版包含于2014年9月1日生效的准则。制定 和发布新的准则后，将收录在框架之内。 2015年变化知识点 | SPISEC Corporation第 23 页 1.3.6 信息技术保证框架（ITAF） 第1000条-通用标准 通用标准是IT鉴证行业应遵守的指导原则。这些标准适用于所有审计任 务的执行，而且还涉及到IT审计和鉴证专业人员的道德、独立性、客观 性和应有的审慎性，以及知识、职业能力和技能。 在完成IS审计和鉴证任务时， IS审计和鉴证专业人员需评估许多被审计 主题的关键决策，以及用于参照评估主题的衡量标准。为此， IS审计和 鉴证专业人员将需要考虑参照完成任务（执行标准）和参照评估主题（ 衡量标准）的基准。 2015年变化知识点 | SPISEC Corporation第 24 页 1.3.6 信息技术保证框架（ITAF） IS审计和鉴证准则 以下是支持标准的准则： 2000 通用准则 2200 执行准则 2400 报告准则 准则中的各部分侧重于以下内容之一： IS审计和鉴证专业人员在确定IS审计和鉴证的计划、范围、执行和报告 时，应了解和考虑的IS问题和流程 IS审计和鉴证专业人员在进行IS审计和鉴证活动时，应予考虑的IS审计 和鉴证流程、程序、方法和途径 2015年变化知识点 | SPISEC Corporation第 25 页 1.3.6 信息技术保证框架（ITAF） 2000-通用准则 通用准则： 2001审计章程 2002组织独立性 2003专业独立性 2004合理的预期 2005应有的职业谨慎 2006业务熟练 2007认定 2008衡量标准 2015年变化知识点 | SPISEC Corporation第 26 页 1.3.6 信息技术保证框架（ITAF） 2200-执行准则 执行准则： 2201项目规划 2202规划中的风险评估 2203执行和监督 2204重要性 2205证据 2206使用其他专家的成果 2207违规和非法行为 2208审计抽样 2015年变化知识点 | SPISEC Corporation第 27 页 1.3.6 信息技术保证框架（ITAF） 2400-报告准则 报告准则： 2401报告 2402后续活动 2015年变化知识点 | SPISEC Corporation第 28 页 1.3.6 信息技术保证框架（ITAF） 审计和鉴证工具和技术 工具和技术为IS审计和鉴证专业人员提供更多示例。本部分可能包含指 向其他相关及可靠来源以及ISACA的参考： 白皮书，/whitepapers(免费PDF文件） 审计/鉴证方案，/auditprograms(ISACA会员免费Word 文件） COBIT5产品系列，/cobit 技术和风险管理参考系列，/Knowledge-Center/ITAF- IT-Assurance-Audit-/Pages/Reference-Series.aspx(ISACA书店提供） ISACA Journal IT审计基础专栏，/Knowledge- Center/ITAF-IT-Assurance-Audit-/IT-Audit-Basics/Pages/IT-Audit- Basics-Articles.aspx(免费访问） 2015年变化知识点 | SPISEC Corporation第 29 页 1.6.4 舞弊检查 在业务中应用信息技术显著地提高信息传送的质量，从而使各个企业获 益良多。但是，信息技术和互联网的广泛使用也将带来可能导致犯罪和 舞弊的风险。 管理部门主要负责建立、实施和维护IT控制的框架和设计以实现内部控 制目标。精心设计的内部控制系统可以很好地制止和/或及时检测到舞 弊行为。如果控制中的薄弱环节被利用、管理上存在容易造成犯罪的漏 洞或发生人员串通，则内部控制可能会被巧妙避开，从而导致失败。 有关公司治理的法律和法规中规定，管理部门、审计师和审计委员会对 检测和披露所有舞弊行为（无论是否属于实质性舞弊）负有主要责任。 IS审计师在工作的各个方面均应遵守并奉行应有的专业的怀疑态度（ ISACA IS审计标准1005应有的职业谨慎)。承担鉴证职责的IS审计师应 确保在工作中尽职尽责并警惕可能发生的舞弊行为。 2015年变化知识点 | SPISEC Corporation第 30 页 1.6.11 审计证据 证据是IS审计师确定受审实体或数据是否符合已确立的衡量标准或目标 时使用的所有信息，用于支持审计结论。 要求审计师的结论所基于的证据具有充分性、相关性和说服力。 在规划 IS审计时，IS审计师应当考虑要搜集的审计证据的类型以及如何通过审 计证据实现审计目标以及不同级别的可靠性。 审计证据可包括：IS审计师的意见（提交给管理部门）、面谈笔记、从 信函中提取的材料、内部文档、与外部合作伙伴签订的合同或审计测试 流程的结果。尽管所有证据都有助于IS审计师得出审计结论，但相比之 下，某些证据比其他证据更可靠。必须根据审计标准的要求以考虑证据 的规则、证据的充分性和说服力。 2015年变化知识点 | SPISEC Corporation第 31 页 1.6.11 审计证据 在审计过程中，搜集证据是一个关键的步骤。IS审计师应当了解各种形 式的审计证据以及如何搜集和审查证据。IS审计师应当了解ISACA IT鉴 证标准“1006 业务熟练”和“1205 证据”,并且应当获得客观而充分 的证据以支持审计发现。 收集证据的技术 审査IS组织结构：职责分离非常充分的组织结构在IS环境中是一种关键 的常规控制手段。IS审计师应当了解常规的组织控制并且能够评估受审 组织中的这些控制。如果非常注重协作分布式处理或终端用户计算，则 IS功能的组织方式可能与传统的IS组织方式（由独立的系统和操作功能 组成）稍有不同。IS审计师应当能够审查这些组织结构并评估结构所能 提供控制的水平。（注：结合第二章知识点“职责分离（SoD）”，全 书中出现组织结构图的知识点，例如第二章“IT组织”，第三章“项目 管理组织”，“软件开发组织”） 2015年变化知识点 | SPISEC Corporation第 32 页 1.6.17 沟通审计结果 与受审方达成一致后，IS审计管理人员应向受审组织的高级管理层进行 简要说明。审计活动摘要将定期提交给审计委员会。审计委员会通常由 不直接为该组织工作的个人组成，因此为审计师提供一条独立的途径以 报告敏感结果。 审计报吿的结构与内容 审计报告是IS审计工作的最终产物。IS审计师将其用于向管理人员报告 结果和建议。审计报告的确切格式因组织的不同而发生变化；但有经验 的IS审计师应该了解审计报告的基本组成部分以及如何将其用于向管理 人员传达审计发现。 注意：CISA考生应熟悉ISACA标准1401-报告和1402-后续活动。 2015年变化知识点 | SPISEC Corporation第 33 页 1.6.17 沟通审计结果 ISACA IS审计标准1401和有关报告的ISACA IS审计准则 (2401)中规 定，报告中应包括所有重要的审计发现。需要解释说明某个结果时，IS 审计师应描述该结果及其原因和风险。必要时，IS审计师应通过单独的 文档进行解释说明，并在报告中引用此说明。例如，处理高度机密内容 时，此方法可能比较适用。IS审计师还应确定所采用的组织标准、专业 标准和政府标准，如COBIT。报告应及时发布，以便促进纠正措施的及 时执行。必要时，IS审计师应在报告发布前便将重大的结果立即传达给 相关人员。在发布之前传达重大结果时，不得改变报告的目的或内容。 注意：CISA考生应复习有关IS审计准则(2401)中提到的详细内容。 2015年变化知识点 | SPISEC Corporation第 34 页 1.6.19 审计文档 ISACA IT审计和鉴证标准和准则阐述了许多工作底稿方面的规格，包 括需要记录审计计划、方案和证据（2205）；如何使用其他审计师的 成果（2206使用其他专家的成果）或样本的使用（2208抽样）。 2015年变化知识点 2008年至今历年CISA考前免费辅导现场 | SPISEC Corporation第 35 页 第二章IT治理与管理 变化内容 2.3 企业IT治理 2.7.1 政策 2.8 风险管理 2.9.1 人力资源管理 2.9.2 采购实务 2.11.1 审核文档 2.12.9 BCP 的组成 2.13.3 评估异地存储 | SPISEC Corporation第 36 页 2.3 企业IT治理 ISACA的COBIT5框架明确区分治理和管理两个概念。这两个概念涵盖 不同类型的活动，需要不同的组织结构，并服务于不同的用途。从 COBIT5的角度，治理和管理之间的关键区别在于： 治理：治理确保利益相关者的需要、条件和选项得到评估，以决定平衡 、协商一致、需要实现的企业目标；通过优先等级和决策以设定导向； 并监控商定的导向和目标的绩效和合规性。 管理：管理层计划，构建、运行和监控与治理机构设立导向一致的活动 ，以实现企业目标。 GEIT属于企业治理的领域之一，由考虑如何在企业中应用IT时所面临的 主体构成。 2015年变化知识点 | SPISEC Corporation第 37 页 2.7.1 政策 审查信息安全政策 应按计划定期或在企业及其业务经营或内在安全风险出现重大变更时审 查信息安全政策，以确保其持续适用性、充分性和有效性。应指定一名 信息安全政策负责人并明确其职责，由其对信息安全政策的制定、审查 和评估进行管理。审查时应针对组织信息安全政策的完善机遇和信息安 全管理方法进行评估，以应对组织环境、业务状况、法律条件或技术环 境发生的变化。 信息安全政策维护应考虑此类审查的结果。应有明确定义的管理层审查 流程，包括审查时间表或审查周期。 2015年变化知识点 | SPISEC Corporation第 38 页 2.8 风险管理 分担/转移(引开或分摊）风险（Transfer）与业务伙伴分担风险或通 过保险、合同约定及其他方式转移风险。（注：指设法将风险的后果连 同应对的责任转移给第三方身上，而并非将风险排除。例如保险、履约 保证书、担保书和保证书等。） 接受风险（Accept）正式承认风险的存在并对风险进行监控。（注： 由于不可能消除项目所有的风险，采取此风险策略表明项目团队已经决 定不打算为处置某项风险而改变项目计划，或者表明他们无法找到任何 其他应对良策。此策略可分为主动和被动方式。被动时暂时不采取任何 行动，待风险发生时相机处理。主动时的常见方式是制定应急储备金。 ） 组织可规避、降低、转移或接受风险。 通过忽略风险(Ignore Risk)以拒绝风险（Reject Risk)是危险的，信息 系统审计师应考虑“红旗”引起注意。(注：酒驾：酒量好，车技好，“ 鸵鸟”式处理风险：假装没有风险） 2015年CISA备考群 165503910 | SPISEC Corporation第 39 页 2.9.1 人力资源管理 实行岗位轮换属于额外控制，因为这样一来，同一个人便不会始终执行 同一类任务，从而可减少欺诈或恶意行为。这样一来，其他人便有机会 代替常规委任的员工执行此工作，从而察觉到可能存在的违规行为。此 外，岗位轮换也可以通过将控制流程中的经验和具体技术进行传播的方 式开展，防止出现过度依赖关键人员的风险（人员单点依赖）。否则， 一旦缺少关键员工，企业企业可能变得脆弱。注意：CISA应熟悉减少内 部舞弊的方法，强制休假即可作为此类控制措施。 离职政策 应制定书面离职政策，为员工离职提供清晰明确的步骤。制定政策时应 为组织的计算机资产和数据提供充足的保护，这一点很重要。 离职实务针对的是自愿离职和强制（如立即）离职两类。在某些情况下 （如强制离职遭到抵抗的情况），组织应当具有清晰明确且记录在案的 流程，保证将解约员工送离工作场所。 2015年变化知识点 | SPISEC Corporation第 40 页 2.9.2 采购实务 运营的连续性-可能没有提供充分的和测试过的业务连续性与灾难 恢复。 人事-可能没有考虑到人事政策的所需修改。 电信方面问题-偏遥或离岸位置的网络控制和存取更易断电或者存 在较多的安全漏洞。 跨境和跨文化问题-管理跨多时区、语言和文化的人员和过程可能 存在意想不到的挑战和问题。跨境数据流也可能需要遵从法律要求 ，例如，数据在传输过程中必须加密。 2015年变化知识点 | SPISEC Corporation第 41 页 2.9.2 采购实务 我们可以将云模型看作由三个服务模型、四个配置模型和五大特征组成 。而每个模型的整体风险和优势都各有不同，在考虑各个类型的服务和 部署模型时，企业一定要注意自身面临的风险情况，然后再加以选择。 云存储也可能涉及其他法律要求，IS审计师应当意识到这一点。例如， 有些立法要求对存储在其管辖区之外的数据，需采取额外的安全控制措 施，包括强加密。 2015年变化知识点 | SPISEC Corporation第 42 页 2.9.2 采购实务 行业标准和基准 行业标准/基准检测提供一种确定相似信息处理场所环境所提供性能水 平的手段。可通过供应商用户组、行业刊物和专业协会获得这些标准或 基准检测统计数据。例如ISO9000和软件工程协会的CMM。外包组织 必须遵循一套客户可以依赖的明确标准。 2015年删除知识点 | SPISEC Corporation第 43 页 2.11.1 审核文档 操作程序-这些流程描述操作人员的职责。性能测评流程通常包含在操 作流程中，并定期向高级管理层/督导委员会进行报告。IS审计师应确保 这些流程包含在操作流程中。 人力资源手册-这些手册就员工应如何表现的问题提出相关规定和法规 （由组织确定）。人力资源手册还将包含休年假方面的规定，以保护组 织免遭欺诈或不当行为及过度依赖关键员工的风险。 质量保证程序-这些流程包含可供IS部门遵循的框架和标准。 对各类文档的审核应当进一步评估以确定是否： 经过管理人员的批准并按其目标创建 符合当前状况 是当前最新的 2015年变化知识点 | SPISEC Corporation第 44 页 2.12.9 BCP 的组成 保险事务 诚实（Fidelity coverage）-通常采用银行综合保证保险、超额保证 保险和商业综合保证保险的形式，涵盖由于员工不诚实或欺诈行为 造成的损失。该类型承保范围在运行自有IPF的金融机构普遍流行。 存储介质的运输-涵盖异地IPF在运输过程中介质可能发生的损失或损 坏。保险单中的运输承保范围用语通常规定，必须影印或复制所有 文档。如果保险单未明确规定在运输前影印数据，而且没有影印工 作文档，则管理人员应从保险公司获取信函，信函要明确说明运输 公司的地位以及在数据发生损坏时的承保范围。 大多数保险仅涵盖基于历史性能水平（而非现有性能水平）的财务 损失。IS审计师还将注重确保技术设备、基础设施和数据之类的承 包物品的估值是适当的和最新的。此外，保险不能弥补形象/商誉上 的损失。 2015年变化知识点 | SPISEC Corporation第 45 页 2.13.3 评估异地存储 应对异地存储设施进行评估以确保关键介质和文档的存在、同步和通用 性。 异地存贮：数据文件、应用软件、应用文档、系统软件、系统文档、操 作文档、必要的物品供应、特殊的表格和一份业务连续性计划的副本。 需要验证以上信息，信息系统审计师应进行详细的存储目录审核，审核 内容包括数据集名称、卷序列号、记账周期、存储介质标签卡编号。 信息系统审计师应检查备份文档，并将其与实际中使用的文档进行比较 ，确定是否一致。 信息系统审计师需要检查异地存储设施的可用性，确保设施符合管理层 的要求。 IS审计师还应审查与异地存储设施之间往来传输备份数据的方法，以确 保其不会给信息安全管理体系带来漏洞。 2015年变化知识点 | SPISEC Corporation第 46 页 第三章信息系统的购置、开发与实施 变化内容 3.2 业务实现 3.3 项目管理结构 3.3.1 项目管理的一般过程 趋势动态 前沿技术 管理实践 持续更新 代码审计 应用安全 软件开发 安全 云安全 虚拟化 微信银行 第三方支 付风险 APT攻击 APP攻击 工控安全 用户信息 窃取 CISM国际 注册安全经 理中文书 汇哲科技 CISA中英语 对照题目解析 合集红宝书第 六版 汇哲科技 CISA国际注 册信息系统 审计师中文 书 汇哲科技 | SPISEC Corporation第 47 页 3.2 业务实现 效益实现的目的是确保IT和业务部门履行其价值管理职责，尤其是： IT启动的业务投资实现承诺的效益和产生可衡量的业务价值。 在预算范围内及时交付需要的能力（解决方案和服务）。 IT服务及其他IT资产继续带来业务价值。 效益实现的前提是，董事会和管理层非常担心IT相关举措的高开支无法 实现其承诺的业务效益。研究和调查还表明，规划不当和执行不当的举 措会带来巨大损失。尽管人们越来越强调价值，但在多数企业中，价值 管理实践的能力成熟度仍然很低。 2015年变化知识点 | SPISEC Corporation第 48 页 3.3 项目管理结构 项目管理的结构取决于组织的规模和业务/经营的复杂度。相应地，可 对某些角色和职责进行组合或更换。在这种情况下，IS审计师的职责是 确保系统开发中有关职责分离的控制措施不被削弱。 项目管理把各种资源应用于目标，以实现项目的目标，满足各方面既定 的需求