cisa2013考生上课笔记--第二章

IT公司治董事会和高级管理层的监督和保证实ITIT治理在根本上关注两方面问题：ITIT风险得到管理。前者由IT与业务的一致驱动，后者通过向企业分配责任来驱动。IT治理的最佳实ITIT支持业务目标，ITIT工ITIT目标符合企业目标的要求，并实现预期的收益。审计在IT治理中的角色采用的报告路线：使查出的IT治理问题能报告给组织最IS审计师对信息的权限，包括对组织内部和第服务提供商。ISIT治理的相关内容：ISITIT平衡计分卡是从财务、客户、内部运营、学习与成长四个角度，将组织的为可操作的衡量指标和目标值的一种新型绩效管理体系。设计平衡计分卡的目的就是要建立“实现制导”的绩效管理系统，从而保证企业得到有效的执行。治2.4.1.治理概是投资与企业、既定的、脆弱性和风险特征保持一致流程整合：关织安全管理保证流程的整合。实施有效的安全治理和制定组织安全目标指导组成知道。首席官信息系规指导高级管理层应当组建一个计划或指导来监督IS职能及其活动，的指导是确保IS部门与公司目标协调一致的重要因素。该指导的主要职能是： 批准并监督重要项目\isISIS政政策是次的文，代表组织的业文化高管理层与务流程有人的思考。 对及合同要求的符合未被政策程风险管制定风险管理程风险管理过行综合的常用方法是计算每一类对脆弱性的影响，汇总得出整体风险值。风险分析方的分析方法，通常是用检查表及的风险分级，如高、中、低。方法或为了降低定性分析方法的因素时。BIA过程中使用定量风险分析方法，主要问题时如何量化信息资产。ALE方法采用量化的方式简化了对资产价值VPIS人力资源管背景利用协竞业协议准许及的行日程安排和工工作轮换为减少或行为的风险提供了额外的控制因为同一个员工不长期执行同一个任务，这也为由常规职责之外的其他人来代行职责并发现可能的行为提供了机会。采购实ISIS职能，也可以在全球范围对所有职能进行外包。IS职能的交付方式：IS职能可以在全球范围内实施：IS部门现场工作离场：也称为近岸，员工在同一地理区域内的不同地点工作外包实务和全球与实外包及第审计报管理第服务交监督和检查第服第服务的变更管SLA：Service-LevelAgreement的缩写，意思是服务等级协议。服务等级协议是关于网络服务供应商和客户间的一份合同，其中定义了服务类型、服务质量和客户付款等术语。组织变更管财务管理实ISIS质量管质量管理是控制、衡量和改善IS部门流程的法，IS部门制定并流程是有IS审计师关注IS部门是否存在管理以下职能的流程文件工HR管绩效优ISISIS部门员IS审计师应当在被审计人的工作现场进行观察以确认工作描述和结构是否充分，通常应当一下IS职能： 管理员：需要与IS部门进行分离并有CISO直接的职能基础设施运行和 质量保证QAIS质量控制QC：负责执试和，以验证并确保软件不存在缺陷并满足用户预期，它可SDLC的发起阶段、、安全架构师评估安全技术，涉及网络拓扑控制管理和其他安全系统相关的安全、、应用开发和基础设施开发和基础设施人员负责包括操作系统在内的系统软件该职能可能需要整个系统当只允许技术设施人员其负责的特定软件系统库对域管理用户和超级用户的使用IS内的职责分其错误或行为的可能性，职责分离是和预防行为的重要方式。资产的职责分离控，交易是用户部门的职责是指对部门中人员授予一定程度的职责水平。管理层和审计应当定期进行检查，以发现非交易记录。，对数据的控制是通过在用户场所和IPF综合采用物理层、系统层及应用层安全措施组成的。必须保护物理环境，以防止非人员与处理单元连接的各种物理设备。所有员工应当通过正式的申请和批准才被授予特定系统的权限应当保留签字用户所有例外事项。IS4-5个人，必须采取补偿控制来降低缺乏职责分离所带来的风险。审计轨迹：IS审计师应当能确定谁发起交易，发起日期及时间，数据类型，涉及哪些字段，离的小型组织中这种审核尤其重要，可以帮助检测错误或情况。审计IT未处理的例外报IT、规划和预算：它们为IS环境的规划和管理控制与业务的一致提供，安全政策文档：提供了符合性标准组织对所有安全风险的立场，指明谁对公司资，IS审计师理解某个特定部门或组织的报告路线，描述了职层次进行分组的能力