CISA学习笔记(XXXX0206最新更新附个人考试心得)

1、说明：黄色背景需要特别关注，红色字体非常重要，红黄在一起的话，呵呵，大家就自己考虑吧，呵呵这个笔记是我在得知考试分数后进行整理的，应该还是具有点参考价值的，整理时间2013年2月6日个人考试心得（10月1号开始学习，12月8号参加考试，2013年2月1号成绩出来，得分 582分）：1、有可能的话最好参加相关的培训，5天的培训不会给你多少实质的提高，但最关键的是能给你一个学习的思路；而且在培训的时候，有不懂的问题可以问老师；2、如果你不是做IT出身的，最好恶补一下 IT知识，CISA对IT方面的知识还是有些要求的；3、对于IT出身的人，学 CISA特别要注意：要以审计师的视角来学习以及看待题目，

2、组织内部的项目 审计师的角色4、审计师是不具体解决问题的，但是要发现问题；5、最好能听两次培训，现在的培训只要缴费后，可以不限次数重听；6、培训前先把书看一遍，要每个字都要看，不论能不能看懂，至少能有个映像；7、不要急于做题目，我的做法是：先把书看一遍（我花了 3周左右的时间）一一参加培训（做好笔记）一一再把书看一遍（我花了将近2周左右的时间）一一开始做题目一一参加培训（补充上次培训的笔记）一一把书再看一遍（最好在一周左右的时间，这个我没做到）一一开始做题目，大量的做（我大概做了 4000道左右）一一参加考试（我拿到 582分，自己觉得比较满意）8、基本上每天花3到4个小时的时间就可以了，考试

3、前两天，有条件的话最好在家里整理和复习一下 自己所学的；9、重视QQ羊的动态，群里面很多朋友和前辈，可以学到很多的；10、 最关键的是，一定要参加考前辅导，这个是免费的，但是内容却是非常关键的！ ！ ！第一章信息系统审计过程* IS 审计是基于风险的审计；* 保持审计 独立性和胜任能力，确保审计小组所实施完成的审计任务能满足审计职能的目标要求* 风险分析是审计计划的一部分，帮助 IS审计师识别风险和脆弱性并确定降低风险所需的控制* 要以审计师的视角来学习以及看待题目，组织内部的项目审计师的角色；n* 第一方审计：自查一一报告给自己高层* 第二方审计：甲方审乙方* 第三方审计：外审一一报告给公众

4、或相关机构* 按照IT审计标准制定并实施基于风险的IT审计战略* 内审首先需要建立审计章程；外审首先需要合同以及委托书；* 审计章程或委托书应在组织内部适当的层次得到同意和通过，一旦创立，就只有在非常必要、并经过 充分的论证后才允许变更审计章程；* 审计章程涵盖整个范围的审计活动；合同侧重于特定的审计任务；* 信息系统审计的最重要的资源是：审计师* IS 审计师应有合格的职业能力，具备进行审计工作的相应知识；IS审计师应持续保持职业教育和培训，保持良好的职业能力；* 在制定审计计划时，要通过风险评估，确认高风险区域，找到审计的重点范围，合理分配审计资源；* 信息系统审计师常常关注高风险的问题，

5、如敏感和重要信息的机密性、可用性、完整性以及生成、存 储和处理这些信息的系统及流程等。在检查这类风险时，信息系统审计师常常对组织所使用的风险管理 过程的有效性进行评估。* 风险管理首要任务是识别出敏感或关键的信息资产；然后实施风险评估来识别威胁并确定其发生频率、 所导致的影响以及将风险降低至管理层可接受水平的相应安全措施；* 为保持其有效性，风险评估过程应当在组织中持续进行，以致力于及时发现和评估新出现的风险。* 内部控制通常由能够降低组织风险的政策、规程、实务和组织结构组成；* 内部控制的设计是为管理层提供风险事件能够被预防、检测和纠正，业务目标能够达成的合理保证。* 实施有效的IS审计的第

6、一步是审计计划；* 长期审计计划与企业的业务与发展有关，一般为 3到5年的期间；* 每年都需要对长、短期审计计划进行分析；* 无论长期短期规划每年都必须分析、调整；在环境有重大变化时也必须分析调整* 证据的优先级：审计师自己收集 >第三方提供 >被审计方提供（银行函证例外）* 制定审计计划的步骤：1、了解组织业务使命、目标、目的和流程的了解，包括信息和处理要求：对组织关键设施现场巡视; 收集阅读组织背景资料；检查长期战略计划；与管理人员会谈；审阅以前的俄审计报告；2、找出规定内容，如：政策、标准和作业指导书、程序和组织结构；3、评价管理层实施的风险评估和隐私保护影响分析；4、实施风

7、险分析，找出高风险区域一重点检查对象；5、执行内部控制检查（针对风险检查）；6、确定审计范围和审计目标；7、确定审计方法或审计战略；8、为审计任务和其后勤支援分配人力资源* 需要遵守相关的法律法规：被审计方、审计师；* 法律法规的合规性：识别政府或相关外部要求的法律法规一一记录相关法律法规一一评估被审计方在 制定计划或设定策略时是否考虑相关的法律法规一一制度的执行流程以及保障（文档及程序）一一执行 结果* 信息系统审计是指审计内容中包含了对自动化信息处理系统、相关手工流程及两者间接口进行全部或 部分检查及评价的任何审计* 审计程序包括确定审计范围、说明审计目标、找出审计标准、执行审计步骤、检查

8、和评估证据、形成 审计结论和意见、与关键流程所有人讨论后报告管理层* 审计方法是指：为实现预定的审计目标而设计的一系列书面审计程序，其内容包括审计范围、审计目 标和审计步骤；* 审计方法应当由审计管理层制定和批准并保持一致性。* ISACA信息系统审计准则：职业道德规范：必须遵守信息系统审计标准：强制必须遵守，不可偏离信息系统审计指南：在有合理解释的前提下可以调整和偏离信息系统审计工具和技术：根据实际情况作出自己的职业判断* 审计计划步骤：1、计划审计纲要；2、以书面形式记录一份基于风险评估的审计方法；3、以书面形式记录一份审计计划书，详述审计目标、性质、时间、范围以及所需相关资源；4、以书面

9、形式起草审计计划和审计程序* 信息系统审计人员应该得到监督，合理保证其审计目标的完成，并且符合审计职业标准；* 审计工作中收集证据的工作量最大；通过证据评估结论最困难；* 信息系统审计师必须拥有足够的、恰当的审计证据来解释报告中的审计结果；* 在报告审计发现和建议后，审计师必须持续跟进后续审计结果；* 审计最终目的： A&A（Audit & Assurance） 审计及保证* 审计实质性（重耍性）=阀值* 审计实质性（重要性）越低，需要投入的资源越大；审计实质性（重要性）越高，需要投入的资源越 小；* ITAF （信息技术保证框架）包括：1、一般准则：通用准则，所有审计都须遵守

10、；2、执行准则：在实施审计中的要求3、报告准则（绩效准则）4、指南5、工具和技术* 目标-> 风险-> 控制-> 审计* 风险是特定的威胁，利用资产的脆弱性从而对组织造成的一种潜在的损害；它通过使用资产和价值损 失的概念把风险放在了组织的业务环境中。* 业务风险是指那些可能对资产、流程、具体业务或组织目标造成负面影响的威胁。* 风险的三个要素：威胁、脆弱性、资产（价值）；其中应该首先评估资产；* 以年为单位评估风险一一基于成本效益原则（财务以年结算）* 风险评估：识别风险* 风险管理：消灭、控制风险* 风险评估首先识别敏感或关键信息资产；1* 风险评估的最终目标：将风险降低至

11、管理层可接受水平的相应安全措施；* 高风险=高发展、高收益* 风险控制（风险消减的措施）：1、预防：避免或减少风险事件发生的可能性；2、检查：发现不良事件的发生；3、纠正：减小影响向别的组织转移风险* 控制分为（书中）：预防性：在问题发生前预防，监控运营和输入；职责分离、控制对物理设施的访问、良好设计的文档、建立交易授权的适当流程、编辑检查、访问控制软件、加密软件检测性：使用控制措施来检查和报告已发生的错误；哈希、检查点、通讯回显控制纠正性：纠正问题引起的错误，把威胁影响降到最小；BCR备份、DRP* 审计风险：审计过程中未发现信息可能存在的重大错误的风险；审计风险包括（固有风险、控制风险、

12、检测风险、整体审计风险）* 固有风险审计过程中遇到的，在假定不存在相关补偿控制的情况下，当与其他错误相结合时会导致 重大错误的风险；也可以定义为：在不存在相关控制的情况下，易于导致重大错误的风险；是由于业务 性质所导致的，在审计中独立存在（复杂计算比简单计算更容易出错）* 所有审计项目的基本目标之一都是确定控制目标及针对这些目标的相关控制。并找出关键控制点。* 控制风险：内部控制体系不能及时预防或检测出存在的重大错误的风险（手工检查计算机日志的相关 检查风险很tWj）* 检测风险：信息系统审计师由于采用了不恰当的测试程序，对实际存在的重大错误得出错误结论的风 险。（识别检测风险能更好的评价审计

13、师的能力）* 整体审计风险：对每一个具体控制目标所评估出的各类审计风险的综合。* 统计抽样风险一一指由选定样本得出错误的整体特征的风险* 风险分析一一量化风险的系统方法* 风险评价一一对比风险值与风险标准确定风险重要性的过程* 风险评估中所识别出的每一个风险都必须处置，处置方式包括：降低、避免、接受、转移* 风险分析的目标是理解和识别由实体及其环境引起的风险和相关的内部控制* 审计是典型的检测性控制；* 审计可定义为：由具备资质、胜任、独立的组织或人员，针对流程的预定结果，客观地搜集并评价证据，以确定与既定标准的符合程度，形成意见并报告的系统过程。对特定经济实体的可计量的信息证据进行客观的收集

14、和评价，向利益相关者报告。可重现当时场景* 信息系统控制程序包括：战略和方针、全面的组织管理、 IT资源的访问（包括数据和程序）、系统 开发和变更控制、运行规程、系统编程及技术支持智能、质量保证（QA）流程、物理访问控制、BCRDRR网络和通讯、数据库管理、对内外部攻击的检查和保护机制* 风险评估过程应当在组织中持续进行，以致力于及时发现和评估新出现的风险；* 内部控制：为减少风险所实施的各种政策、步骤、实践和组织结构；确保业务目标的有效达成。提高 经营效率* 风险控制另外分类方法：技术类控制、物理类控制以及管理类控制；* COSO内部控制框架：控制环境一一风险分析一一控制活动一一内部沟通机制

15、一一监督和持续改进* COBIT通过域和流程框架来提供最佳实务，把 34个IT流程组合到四个域中：1、计划和组织（P。；2、获取与实施（AI）;3、交付与支持（DS）;4、监督与评价（ME .* COBIT框架定义：IT资源需要由自然归组的流程管理，为组织提供实现其目标所需要各种类型的、符合质量、可用性以及安全要求的信息。（业务部门需要IT部门提供满足一定要求的信息）；* 管理：好的事情发生，产生价值、创造效益；*控制：防止风险*业务需求七要素:种类项目解释效果符合业务部门的期望Mm效率成本效益保密性信息泄露打可用性物理设备的丢失、信息被破坏；需要时能用完整性防止篡改、修改旁信/旁杆符合性合规

16、性，法律法规又1 口 /又JL可靠性数据准确1资源：人员、信息、基础架构、应用系统；* 通过流程化管理IT资源；* 通用控制：适用于组织的各个方面，包括：会计控制、运营控制、管理控制；* 应用控制：针对特定的流程；* 信息系统控制：战略指导、信息系统开发流程的控制、程序变更管理控制、计算机运行管理控制、程 序与数据访问控制、信息系统安全的控制、网络和通讯、数据库管理、IT计划；* 审计是指：有胜任能力的独立机构或人员（审计主体）接受委托或授权（审计关系），对特定经济实 体的可计量的信息（审计对象）证据进行客观的收集和评价证据（审计工作），以确定这些信息与既定 标准（审计依据）的符合程度，并向利

17、益相关者报告（审计目标）的一个系统的过程（审计过程）； 审计的性质一一独立、客观。* 位流映像一一镜像之后再做哈希一一防止篡改* 审计的实质：审计信息是否满足7要素；* 制定信息系统审计计划的关键内容就是把宽泛的基本审计目标转化成具体的信息系统审计目标；信息 系统审计师必须明白如何把一般审计目标转换成特定的信息系统控制目标。确定审计目标是信息系统审 计计划的关键步骤。* 审计目标是指审计工作必须实现的特定目的；* 控制目标是指内部控制应当如何发挥作用* 信息系统审计人员从以下方面评估信息系统职能：安全质量受托责任服务和能力* 信息安全控制应当在系统和项目的需求说明及设计阶段予以考虑* 信息系统

18、审计师应当对各类风险进行评价并选择高风险领域实施审计* 符合性测试（控制测试）一一实质性测试：是否有控制一控制是否落实一控制是否有效一控制是否持* 舞弊检查：1、检查确认；2、与适当管理层沟通；3、与审计委员会沟通一一向董事会沟通；* 审计师在接受客户审计时就应对审计风险进行评估，将评估风险与预计可接受的总审计风险水平比较后，决定是否接受客户；* 审计风险分类：固有风险、控制风险、检查风险（审计风险）；总体审计风险。* 符合性测试是为测试组织对控制程序的符合性而收集证据，验证控制的执行是否符合管理政策和规程（测试内控是否起作用）；* 实质性测试是为评价交易、数据或其他信息的完整性而收集证据，证

19、实实际处理的完整性。* 需要进行实质性测试的数量与内部控制的水平直接相关* 符合性测试（控制测试）一一简单、快速、资源消耗少* 实质性（重要性）：可容忍错报或漏报的最好界限，其运用的情形：1、在编制审计计划的时候，进行初步彳t计；2、在做出审计结果时候，进行判断。* 审计风险与实质性（重要性）：实质性水平越高，审计工作风险就越低；实质性水平越低，审计工作 风险就越tWj;* 符合性测试（控制测试）：属性抽样* 实质性测试：判断控制是否完整* 充分性一数量上足够；适当性一审计证据有效且相关；* 统计抽样一一采用统计推断技术的一种抽样方法，可以量化抽样风险* 非统计抽样一一随机抽样* 属性抽样一般

20、用于符合性测试中估计属性的有或无，结论是用比率表示发生率（属性抽样、停一走抽样、发现抽样）；* 变量抽样一般用于实质性测试中估计总体的变化特征，结论是与正常值的偏差范围具体数值（分层单位平均估计抽样、不分层单位平均估计抽样、差额估计）* 属性抽样：1、固定样本抽样：100个里面抽10个2、停一走抽样：100个里面先抽5个，如果没有问题就停止，如果有问题就再抽3、发现抽样：100个里面一直抽，直到抽到一个有问题为止* 变量抽样：分层单位平均估计抽样、不分层单位平均估计抽样、差额估计抽样；* 置信系数越高，样本量越大；风险水平=1-置信系数；精度值越小样本量越大* 控制需求：发现高风险区域而又未控

21、制的区域* 补偿性控制与重叠性控制：需要重点关注的是补偿性控制；* 补偿控制是强控制补偿弱控制，而重叠控制是指两个强控制；* 信息系统审计师在报告控制缺陷之前应当先检查补偿性控制* 判断控制是否有效率和效果；* 信息系统审计师在报告发布前，就重要发现及时和合适的人员进行交流，但前提是交流不应该改变报告的内容；* 审计底稿是指在审计过程中产生的所有的记录和资料，应保存 7年；* 控制自我评估（CSA三个基本特征：1、关注业务的过程和控制的成效；2、有管理部门和职员共同进行；3、用结构化的方法开展自我评估。* 在控制自我评估（CSA中，信息系统审计师作为控制专家和评估引导人，只是CSA的推动者；*

22、 CSA把部门经理的监督职责分散到员工中|* 审计师在CSA中的目标：增强审计职责在控制责任和监控当中教育各级管理者通过对在CSA中注意到的高风险和非正常项目进行复核来确定审计工作目标通过把纠错心动从所有者方面向雇员方面转移的办法来提高纠错行动的有效性* 一些组织在做 CSA评估时，可能还会包括客户、贸易伙伴等外部人员* CSA主要目标是通过把一些控制监督职责分散到职能部门来充分发挥内部审计职能的左右，这并不是要替代审计的职责，而是一种加强* 审计师应该牢记他们只是 CSA的推动者，只有管理人员才是CSAg序的具体实施者* 连续监控与连续审计区别：监控仅仅记录所有满足设定条件的事件；审计则一旦

23、控制失效，自动触发 报警。* 持续审计的技术应该在系统开发和实施的早期阶段介入；* 持续审计的限制因素：成本问题* 持续审计是被审计事实的发生至证据收集和审计报告之间的时间间隔非常短* 持续审计应独立于持续控制或监控活动，当同时存在持续监控和持续审计时，就形成了持续保证* IT系统通常是预防和检查性控制的第一道防线，综合审计的根本就在于合理评估它们的效果及效率* 确定审计发现重要性的关键是评估这些审计发现对各级管理层的重要性，评估中需要判断未针对审计 发现采取纠正措施可能导致的潜在影响。* 审计证据可靠性的决定因素：1、提供审计证据的人员的独立性2、提供信息或证据的人员的资格3、证据的客观性4

24、、证据的时效性* 应当由信息系统审计师来最终决定审计报告中包括或不包括哪些内容* 综合审计的一个关键步骤就是审计组集体讨论风险及其影响和发生的可能性* 详细审计工作关注已存在的管理这些风险的相关控制。* 进行实际取证时，只能对位流映像进行操作，目标驱动器应该封存* 对司法取证审计师而言，最重要的考虑就是做好目标驱动器的位流映像（镜像），并检查该映像的时间戳和其他信息属性未被人为改变；* 位流映像做出来后应该对目标驱动器进行哈希，然后与位流映像的哈希进行对比，确保两者的完全一致；* 除了位流映像以外还有内存信息转储到文件中也是司法取证的一种；* 信息系统审计师通常从许多不同的角度来评估IT 职能

25、和系统：安全机密性、完整性、可用性质量效果、效率委托责任符合性、可靠性服务和能力第二章 IT 治理与管理* IT 治理是组织中的一种安排。目的是为了提高IT 绩效，降低IT 风险，有效利用资源。* 信息系统的战略规划是获取、配置和管理信息资源及实现组织远景目标的总体规划，包括软件、硬件、责任以及资源配置等，提供给组织相应的解决方案。* IT 治理有助于确保IT 和企业目标保持一致，IT 治理的关键因素是IT 与业务保持一致，以实现业务价值* IT 治理采用最佳实践来确保组织信息及相关技术支持其业务目标（如战略一致）和价值交付，确保资源得到合理使用、风险得到适当管理、绩效得到测评* 信息技术对企

26、业非常重要，不能把职责放给IT 管理人员或IT 专家，而必须得到整个高级管理层的关注* IT 治理在根本上关注以下两方面的问题：IT 如何向业务交付价值由 IT 与业务的战略一致推动IT 风险得到管理向企业分配责任来推动* IT 如何有效率有效果的使用IT 资源；* IT 治理的关键因素是保持与业务战略的一致，引导业务价值的实现；* IT 治理是董事会和最高管理层的责任，是企业整体治理的一部分，它由领导关系、组织结构以及能确保 IT 支撑和扩展组织战略及目标的流程组成* 关键的 IT 治理实务有：IT 战略委员会、风险管理和标准IT 平衡记分卡* IT 治理的关注领域：战略一致、价值支付、资源

27、管理、风险管理、绩效测评* IT 治理实各种关系与流程结构，用于指导和控制组织达成增值目标，同时还要保证IT 及其流程的风险与收益的平衡。* 在 IT 治理中，信息系统审计师应当确认已明确以下内容：1 、工作范围，包括清晰定义所涵盖的职能领域和事务；2 、采用的报告路线，使查出的IT 治理问题能报告给组织的最高层3 、信息系统审计师对信息的访问权限，包括对组织内部和第三方服务提供商* IT 战略委员会是方向性的：由一个董事会成员加外部专家组成，战略层面* IT 指导委员会是技术执行层面的* IT 平衡记分卡是协助IT 战略委员会和管理层实现IT 与业务保持一致的最有效的方法之一，其目标是建立管

28、理层向董事会的报告途径，就IT 战略目标在关键利益相关方之间达成一致，证实IT 的效果与价值，沟通IT 绩效、风险和能力。* 信息：具有特定意义和目标的数据* 信息安全的复杂性、相关性、危险性及其治理都要在组织的董事会层面予以考虑并提供支持* 信息安全的忧虑：对信息及其处理系统的持续依赖和众多威胁所导致的复杂风险。* 有效的信息安全能为组织带来巨大价值：1 、在与贸易伙伴的交往中提供可靠的信赖；2 、提高客户的信任度；3 、保护组织信誉4 、促进采用更新更好的方式处理电子交易* 业务战略方针通过业务目的和目标来明确，信息安全必须能支持业务活动向企业交付价值；* 信息安全治理框架为制定一套有成本

29、效益的、支持组织业务目标的信息安全程序提供了基础。该程序的目标是建立一系列的活动以保证信息资产受到与其价值或给组织带来的潜在风险相称的保护。* IT 治理是企业的一种制度安排，它通过为IT 提供必要的领导力、组织结构和相关过程，来保证企业的 IT 能支持企业战略和实现企业目标，同时控制风险、降低成本、提高绩效。* IT 治理是董事会和执行管理层的职责，是企业治理的重要组成部分；* IT 管理是公司的信息及信息系统的运营，确定IT 目标以及实现此目标所采取的行动；* IT 治理是最高管理层（董事会）通过IT 治理监督执行管理层在IT 战略上的过程、结构和联系，以确保这种运营处于正确的轨道上* I

30、T 治理是董事会和高级管理层的责任* IT 治理框架主要流程：1 、 IT 资源管理，关注现有的全部IT 资源的维护并落实风险管理程序；2 、绩效衡量，关注确保所有IT 资源向业务交付既定价值，也在早期识别风险；3 、合规管理，关注满足法律、法规要求的流程的落实* 关键 IT 治理实务：IT 战略委员会（隶属董事会，由董事会成员+专家组成），风险管理和标准IT 平衡记分卡* COBIT 五个 IT 治理域都受利益相关者价值驱动，其中价值交付、风险管理是结果，战略一致、绩效考评 是驱动力，IT 资源管理为治理提供支持。* IT 战略委员会负责宏观的指导性要求* IT 指导委员会负责具体事务，预算

31、、架构以及项目进展，不讨论具体细节问题；* 信息系统审计师需要对IT 治理的各个方面进行评估：1 、信息系统审计的职能与组织的使命、愿景、价值、目标和战略一致；2 、信息系统的职能绩效目标应当由业务来决定（效率与效果）；3 、法律问题、环境问题、信息质量、信用和安全需求；4 、组织的控制环境；5 、信息系统环境的内在风险；6 、 IT 投资 / 费用* IT 平衡记分卡的四个视角（只是管理报告工具）：财务视角：为了使股东满意客户视角：为了实现财务目标，需要服务客户过程视角：提高客户和利益相关者的满意度学习视角：为了达成目标，组织应当如何学习与创新*信息安全治理具有特定的价值驱动：信息安全的机密

32、性（C）、完整性（I）和可用性（A）,持续服务和信息资产保护等，使信息安全治理成为一个重点关注领域；是董事会和高管的职责。* 信息安全治理1 、价值交付：优化安全投资以支持业务目标；2、绩效评测：衡量、监督和报告信息安全流程，以确保实现SMARTW标（确定的、可度量的、可实现的、相关的和符合时间要求的）3 、资源管理：有效利用信息安全知识与基础设施4 、流程整合：关注组织安全管理保证流程的整合，目标在改善整体安全及运营效率。* 信息安全治理的安全职责：1 、董事会提出要求，听取汇报2 、执行管理层制定具体的流程定义3 、指导委员会具体事务的定义4 、信息安全管理层具体流程的执行5 、审计员对各

33、个流程执行的评价* 审计员永远不提具体的改进活动，改进审计出来的缺陷，是被审计单位的管理层的职责；* 企业架构（EA）通过一种结构化的方式来反映组织IT资产，并有效管理对 IT投资；* 企业架构通常应描述记录当前资产状态和最佳未来资产状态。* IT 治理目标要求IT 战略应当与整体业务保持一致* AUP: 可接受使用策略（Acceptable Use Policy ）是指这些网络能够被谁使用的约束策略（最终用户如何使用信息资产的准则以及期望）。AUPs的执行是随网络变化的。许多公共网络服务有一个AUR这个AU幅一个正式的或非正式的文件，其定义了网络的应用意图、不接受的使用和不服从的结果。一个人

34、注册一个基于网络的服务或工作在一个社团内部网时经常会遇到一个AUP 一个好的AUP将包括网络礼节的规定，限制网络资源的使用和明确指出网络应该尊敬的成员的隐私，最好的AUPs使"what if" 关一体化，其举例说明这个策略在现实世界协商中的作用。* IT 投资财务指标关注：投资回报率（ROI）* 关注风险的同时也要关注投资回报；* 平衡记分卡决定项目投资与否，强调愿景；IT 投资组合，具体项目投资量，关注投资回报最大化。* IT 平衡记分卡评估IT 功能和流程* 政策：永远都是高层政策决定低层政策。从集中到分散。* 政策最高管理层一定要签字确认，定期修订，重大变化时随时修订

35、。* 最重要的一个方面是受程序控制的人员熟悉规程内容，如果使用程序人员不了解其内容，该程序是无效* 风险：外在威胁利用资产本身（保护对象）的脆弱性（对象本身特点）造成损害的可能。控制就是阻断威胁* 坏事已经发生了叫事件，可能发生叫风险；* 凡是高于风险可接受水平的，就要进入风险处置（降低、转移、回避、接受）；* 任何对企业有价值的资源都叫资产，所有资产有有脆弱性。* 一个未经保护的线路一一脆弱性* 风险管理根据成本效益原则采取：避免风险：选择不从事导致风险的特定活动或流程降低风险：制定、实施并监督适当的控制降低风险发生的可能性转移风险：购买保险或者保修服务接受风险：经过评估后正视风险的存在，并

36、监视* 风险管理的核心是：保护资产* 在攻击发生后，还没有造成损失叫事态，已经发生侵害损失叫事件* 风险管理首先需要识别信息资产（包括物理的、逻辑的和无形的）* 风险管理过程：识别信息资产、识别并评估威胁、识别并评估脆弱性* IT风险管理在多种层面上进行综合分析：运行层面：关注能影响IT系统及基础设施的效果及效率的风险，绕过系统控制的风险，关键资源损失风险项目层面：关注理解和管理项目复杂性的能力，项目不能有效完成、未实现项目目标的风险战略层面：关注IT能力与业务战略保持一致的程度* 风险分析方法：定性方法：主观风险定级，采用问卷式的检查列表（ CHECKLIST半定量分析法：还是定性法的一种。

37、定量分析法：使用数值描述风险发生的可能性及其影响* 应在公司的所有IT职能领域内实施风险管理，风险管理是高层管理人员的职责，尽量使用量化风险 的管理办法* 信息安全治理的成果：1、战略一致一一使信息安全与业务战略保持一致以支持组织目标2、风险管理一一管理和实施适当的措施以降低风险并减少对信息资源的潜在影响至可接受水平3、价值交付一一优化安全投资以支持业务目标4、绩效衡量一一衡量、监督和报告信息安全流程，以确保实现SMART1标（具体的、可度量的、可实现的、切实的和有时限的）5、资源管理一一有效利用信息安全知识与基础设施6、流程整合一一关注组织安全管理保证流程的整合* 信息安全治理需要战略指导和

38、推动力，需要委任、资源和为信息安全管理分配责任，也包括董事会确 定其目标是否已实现的方式。* 企业架购关注的内容是响应不断增加的IT复杂性，现代组织的复杂性，重点关注IT与业务战略的一致性并确保IT投资产生真实回报* 企业架构（EA）的参考模型：绩效参考模型一衡量主要 IT投资绩效及其对业务流程绩效贡献度的框架业务参考模型一功能驱动的框架，描述由政府、独立机构所执行的功能服务组件参考模型一对支持业务和绩效目标的服务组件进行分类的功能性框架技术参考模型一描述技术如何支持服务组件的交付、替换和构建的框架数据参考模型一用在开发过程中，描述支持程序和业务生产线的数据信息* 对XX、控制是最有效一一找属

39、于预防性控制 * 强制休假一一防止舞弊，发现问题加强控制|* 信息系统职能的交付方式包括：内包一一由组织内员工实施外包一一全部由供应商实施（把公司无增值功能的事务转移出去）混合方式一一由组织员工和供应商混合实施* 信息系统职能实施方式：现场一一员工直接在信息系统现场工作离场（近岸）一一员工在同一地理区域内的不同地点远程工作离岸一一员工在不同的地理区域远程工作* 外包方式应该注意：数据的所有者、知识产权问题以及对外包方的审计权问题* 全球化外包需要注意事项：法律、法规和税务方面的事务一一不同国家和地区对IT系统的相关规定持续运行一一可能无法提供测试BC可口 DRP网络通讯事务跨国界和跨文化的事务

40、* 云计算服务交付模型：SaaS （软件交付）、PaaS （平台交付）、laaS （架构交付）* laaS （架构交付）需要关注：服务中断* PaaS （平台交付）需要关注：隐私性，数据所有权* SaaS （软件交付）需要关注：软件应用所处位置* 云计算注意的问题：服务商宕机、机密性如何保证、安全问题的法律责任、数据所有权* 私有云的安全性最好，但不容易扩展* 敏感数据的使用者需要关心数据安全性问题* 云治理要考虑使用云计算时主要考虑和IT的战略方向* 采购实务中第三方服务的变更管理：变更服务条款，包括对现有的信息安全政策、规程和控制的维护及改善，应考虑业务关系的关键性及其涉及流程进行管理，并

41、重新评估风险。* 建立IT用户计费机制可以提高应用水平，监督信息系统费用和可用资源* 软件开发，公司对内部使用软件的成本资本化（作为固定资产成本摊销）* 绩效优化：是在无须对信息技术基础设施追加额外投资的情况下，将信息系统的生产力尽可能提高到最高水平* 管理指南的重要内容：关键成功要素（CSF、关键目标指标（KGI）、关键绩效指标（KPI）、成熟度模型* 信息系统部门组织结构职务：最终用户服务台：与业务部门沟通的界面运行部门计算机操作员：在主机环境的控制台上执行任务技术支持部门的系统程序员：在主机环境中对操作系统进行修改统管理发现没有职责分离，找补偿性控制选择项中不选：多加人、停止工作、自动化

42、检查系统安全管理员不可以是系选项中业务案例最重要*审计师发现问题一一找证据审计师确认问题一一报告适当的管理层* 职责分离（要理解）* 控制组负责收集、转换和控制输入，核对结果并向用户分发结果* 质量控制：负责执行测试或审查，以验证并确保软件不存在缺陷并满足用户预期，必须在程序被迁移到生产环境之前进行。* 质量保证（QA :帮助信息系统部门确保其人员遵守规定的质量程序。发布、制定、维护质量标准* 不能对自己的工作做 QA用户、开发人员不能做 QA* 应用程序员负责开发和维护应用系统，只能在开发和测试环境中进行；* 在小型机构中，网络管理员可以负责局域网的安全管理，可以拥有系统程序员及最终用户的职

43、责，但 不应拥有应用程序编程的职责；* 从信息系统的角度来看，战略规划是组织为了利用信息技术来改善业务流程而确定的长期发展方向。* 在制定业务战略过程中缺乏 IT的介入将导致IT战略规划不能与业务战略保持一致的风险* 战略指导委员会的主要职责是对重要的信息系统项目进行审查，而不应当涉及日常运营。* IT指导委员会监督重大项目的进度和资源分配* 项目管理委员会负责制定 IT项目策略* 采用自顶向下的方法来制定低层政策，确保了各级政策的一致性* 采用自底向上的方法来制定低层政策，基于风险评估的结果而制定的，可能更加实用，但容易造成政 策间的不一致和相互抵触。* 程序反映了业务流程及嵌入的控制。程序

44、由流程所有人制定，是对政策的有效解释* 风险管理是组织用于识别信息资源的脆弱性及威胁，制定相应的对策（安全措施或控制），以实现组 织业务目标的过程。* 安全政策必须在控制水平与生产效率之间进行平衡，控制成本决不能超过控制所带来的预期收益。* 信息安全政策指导整个组织来确定所需保护的内容、相应的保护职责以及保护工作应遵循的策略。* 应当按照计划周期或当发生重大变化时对信息安全政策进行审查，以确保其适当性、充分性和有效性。* 应当为信息安全政策指定所有人，来批准安全政策的制定、审查和评估等管理职责。* 信息系统职责分离的原则：资产保管授权交易记录* 任何风险，都应当基于信息资源对组织的价值，将其降

45、低至可接受水平。* 有效的风险管理始于清楚的理解组织的风险偏好。在 IT环境下，风险偏好推动所有的风险管理工作, 影响未来的技术投资，IT资产的保护程度及所需的保证水平。* 风险管理包括识别、分析、评估、处置和沟通IT流程的风险影响* 风险的对应措施：避免风险、降低风险、转移风险、接受风险* 为制定风险管理程序，必须：1、确定风险管理程序的目的2、为风险管理计划分配职责* 风险管理过程第一步是对信息资产或资源进行标识并分类；第二步是评估与信息资产相关的威胁和脆弱性，及其发生的可能性；* 威胁的发生是由于信息资产存在脆弱性，脆弱性是信息资源的特性，可以被威胁利用并造成损害* 发生任何威胁所造成的

46、结果称为影响，它能导致这种或那种损失* 信息系统管理实务反映的是为各种信息系统相关管理活动所设计的政策与程序的实施情况* CIA要求：机密性、完整性和可用性* 服务台应建立正式流程来分别记录已报告、已解决和升级的问题，并对问题和疑难进行分析，以帮助监督用户和改善信息处理设施（IPF）的服务* 在计算机运行中，管理控制可以划分为物理安全控制、数据安全控制和处理控制三个类别* 控制组负责收集、转换和控制输入，核对结果并向用户分发输出结果* 数据录入人员由控制组管理，因此数据录入不一定是最终用户* 安全管理应首先得到管理层的支持，管理层必须了解并评估安全风险，制定书面政策清晰地说明应遵循的标准和规程

47、，并强制执行* 为保证充分的职责分离，安全管理员应当是全职员工，可以直接向基础设施主管报告* 质量保证人员通常执行两种不同任务：质量保证（QA 一帮助信息系统部门确保其人员遵守规定的质量程序质量控制（QC 一负责执行测试或审查，以验证并确保软件不存在缺陷并满足用户预期。* 质量控制（QC可以在系统开发的各个阶段进行，但必须在程序被迁移到生产环境之前进行* 在任何情况下都不应当让个人对自己所负责的工作执行质量审查* 针对数据库管理员（DBA的严格控制：1、职责分离2、DBA活动需要得到管理层批准3、由主管对访问日志和相关活动进行审查4、对数据库工具的使用事实检查性控制* 必须确保应用程序员不能修

48、改生产环境中的程序和应用数据，他们应当只能在测试环境下工作，由另 外的团队把程序和应用变更迁移到生产环境中。* 在小型机构中，网络管理员可以负责局域网的安全管理，拥有系统程序员及最终用户的职责，但不应 当拥有应用程序员编程的职责* 应当分离的职责包括：资产保管、授权、交易记录* 职责分离的目标是：通过识别补偿性控制来降低或消除业务风险* 访问控制决策应基于组织政策和两个普遍接受的实践标准：职责分离最小授权原则* 用户部门应提交授权单；信息系统部门根据授权单维护用户授权表* 审计痕迹的主要目的是建立交付处理的业务交易的职责（可追溯责任）。* 针对职责分离的补偿性控制 ：1、审计轨迹一在缺乏职责分离时，详细的审计轨迹将是可接受的补偿