2014年9月cisa高分考生经验及真题回忆

2014年9月CISA高分考生经验及回方法，大多的基本的原则就是学霸型的学习方法，简单来说就是每天学习N个小时，碰到不懂的就用各种方法拼命搞懂，把题目前后做个N遍，参加培训，参加QQ群各种讨论等先贴一下我的成绩，我参加了2014年9月份的CISA考试，成绩587分法。连续几个月内几乎每天都在上面花了N个小时，内心每天，其实和大多数认证考试一样，CISA的题目也是很扯淡的，但是又不得不看。，不管什么原因部分人追求的目标只是大于等于最低通过线450分即可，即没有必，关于10遍你也记不住，并且所以，对于有人说什么要把这枯燥无味的精读，略读反复N遍的说法，我持保留态度。我觉得仅为通过CISA考试的前提下，根据个人情况略读/半精读/选择性部分精度1-2遍即可。然后重点接着说蓝皮书，也叫红宝书，就是提供的1150题的模拟题。这是重点的1150模拟题和原题集即可。其他各类来源的题可以无视，这也是培训老师反复几乎是一样的；这类题目印象中比列不算多，有个10-20题左右50%以上的解释和废话一XXX情况下，最重要的步骤的正确答案是A，因为A比B,C,D都重要；看到这种解释想给是要做到“”，实际中可不可行，能不能实现不重要，因为在CISA考试中这就是标准答案，CISA是不管现实情况的，尤其不理会中国现实情况。CISAIT（CCNA，MCSA，工ITIT技术的各类术语在工作中不怎么接触得到IT技术人员在工作中也就只是熟悉一部ITCISA提到的技术都熟悉，这就不得不导致-对不少学霸培训老师的建议是这样的碰到不懂的知识花时间看书等把它搞懂。大概有一半的IT知识是死记的。别。我是把题目按下面这些类分类的，这种分类不一定很完美很科学，只是在我看完1150题后的分类（另外有不少题目是跨类别的，通常跨2个到3个类别，这种题大概有200题，其他题只涉及到单一类别）另外大类里面还需要要分为小类：Encryption:包括digitalsignature,public/privatekey,messagedigest,nonrepudiation,decryption,dataintegrity,hash,symmetric/asymmetrickey,prehashcode,digital,PKI,RA,CA,CPS,sessionkey,CRL,cryptographichash,SSL,RSA,AES,ECC,dynamickey,PSK,IPSec,ESP,AH第二类：Attack：包括insiderattack,DoS,DDoS,pharming,logicbomb,phishing,man-in-the-middle,hijacking,synflood,SQLinjection,socialengineering,bufferoverflow,bruteforce,wardialing,trojanhorse,maliciouscode,es,worms,sypyware,malware,spoofing,portscanner,backdoors,shouldersurfing,piggybacking,dumpsterdiving,imation,trapdoor,honeypot,trafficysis,networkysis,leapfrog,NAK,masquerading,passwordsniffing,hacking,wardriving,spam,replay,parameterta/mpering,passive/activeattack,cyberattack,penetrationtest/externaltest/internaltest/blindordoubleblindInfrastructureARP,Ethernet,switch,router,serverornetworkconfiguration,protocolyzer,firewall,DHCP,NDMP,UDP,TCP,DNS,SNMP,net,Paas,SaaS,HTTP,HTTPS, ,,DSL,RFID,cable,software,OS,java,applet,patching,hardware,powerlead,UPS。即网络，服务器，通信，这里大部分都是考ITCCNAMCSE，但基本第五类：AccessControlMAC，DAC，LeastPrivilegeAccess,Role-basedaccess,two-factorauthentication,useraccount/accountability,password,PIN,adminlogin,ID,ACL,biometrics,FRR/CER/FAR/EER,authorization,guestID,2,,VLAN,dataowner,SSO,deadmandoor.第六类：Auditing，包括：compliancetesting/substantivetesting,discovery,stop-or-go,map,CAAT,statistical/judgmentsampling,auditcharter,organizationalchart,auditcommittee,auditmanager,walk-through,continuousauditing,trend/variancedetectiontool,SCARF,GAS,CSA,audittrail,logmanagementtool,auditindependence,auditplanning,riskassessment,riskysis,threat,vulnerability,impact,BIA,riskmitigation/acceptance/transfer,inherentrisk,legalandregulatoryrequirement,fraudulent,auditlogs,evidence,exceptionreport,forensicexitinterviewpreventive/detective/correctivecontrol技术方面的题目都可以放到这一分类下。CISA考试的重点之一就是各种情况的是否能在风险分析阶段/在审计计划阶段/在审计退出会议上碰到XXX情况下（或影响了，在第七类：Data/Database/DataWarehouse/DataCenter:dataloss,datastolenorleakage,databackup,checkdigit,validitycheck,hashtotal,sampletesting,automatedsystembalancing,CRC,forwarderrorcontrol,shadowfileprocessing,RAID,mediareliability,datastorage,datarestoration,referentialintegrity,foreignkey,dataintegrity,atomicity,consistency,accuracy,ity,classification,datamap,datadisposalIT知识，我的建议是对于比较基础的第八类,Security涉及安全方面的题目主要是informationsecuritypolicy,securitytest,RTO,RPO,functionaltest,tabletopexercise,hot/warm/cold/mobile/redundancysite，reciprocal10类，Segregationofduties：各类职责分离的题目，就是考在某一情况下，两个角括:各类项目阶段说做的testing类型，black/whiteboxtesting,regressiontesting,alpha/betatesting,UAT,QAtesting,stresstesting,paralleltesting,sociabilitytesting,integrationtesting,systemtesting,top-down/buttom-uptesting,ITF,还包括项目相关角色的职责以及项目的阶段流程工具方法论等,endusers,systemowner,usermanagement/businessunitmanagement,projectsteeringcommittee,projectsponsor,projectmanager,projectsecurityofficer,QA,projectperformancecriteria,projectportfoliomanagement,projectscopemanagement,projectmanagementapproach,projectresourceplan,projectinitiation,projectplanning,designphase,feasibilitystudy,requirementdefinition,postprojectreview,postimplementationreview,softwareescrow,GanttChart,EVA,PERT,FPA,prototy,SDLC,RAD,object-oriented,component-baseddevelopment,waterfalllifecycle,agiledevelopment,parallel/phased/abruptchangeovertimeboxmanagementCMMcertificationandaccreditation,codesigning,一个完整的overview的话，容易在多个概念知识点。需要和理解相结合。第12类，业务系统businessapplications:softwarebaselining, ，expertEFTEDIbankingapp,paymentsystemDSSPOS第14类：ITernance/ITBSC/Strategy/KPI:这一类也不包含IT技术知识，是一些方面的理解，基本原则就是IT的治理与要向企业总体对齐。第16类，可以看到我的这种分类不见得很完美或者有逻辑性，给大家一个外分类的一个难点我之前大概有200道左右题目的考点是跨类别的这个就增加了一161150 0.5% 第五类：Access 2.5%10类，Segregationof 11 12类，业务系统business 13 第14类：ITernance/IT 15 1620149本人在2014年9月6日神旺大酒店考的*基于网络的IDS*8小时以上的电力中断，应选择：alternativepower*宿主机(Host)最应:客户机数开发人员在测试环境有遗留的程序更新权限，如何保证程序更新权限不被移植：在*审计师发现*ITIT控制。审计师应回应：IT控制成本一般小于因没有控制而造成的损失*CSA（不直接评估风险/ /户可能不同意用生产数据进试，2）非人员可能接触敏感数据。我选2*以下哪项属于检测控制：HashDiagrams*RFP反馈结果的准确性,应:*Electricalsurgeprotector1）poweroutage2）voltagereduction3）sagsandes...我选3*CEOERPFullAccess的权限，审计师应该怎么做：1）报告为finding，2）不管，3）建议取消CEOERP权限...我应该选的是1（理由，CEOERPCEO私自更改里面的财务信息等，容易对公司财务报表造成重大的舞弊事件，CEO的ERP权限应该遵守Role-based原则来分配相应的权限）*员工使用即时消息(Instantmessage)软件与客户沟通，怎么确保对方是其本人（如何防止被（autenticate；）call我选1.*对下面哪些有防护作用：我选了networksniffing，其他选项忘，概意思是继续使用genericID的原因*PrimaryBasisofaudit什么的，我选：considerationofrisks（就说是在审计前要考虑风险，*workpaper师发现后如何处理？我选-把该问题重新录入审计报告审计，审计师应该怎么做。选项1）disclose/披露这个信息2）不告知他人继续审计直到结3）1，原因，因为有可能影响了审计独立性，*offsitestoragefacility1）有资质的快递公司2*USB1)USBcheck-in/Check-out的动作2）使用时要登记什么的3）USB个periodicallyreviewtablelink*考了关于QA*网络管理员不能承担以下哪个职能：我选不能更改Log*ERP系统有一个新的需求（newrequirement，如果要加新功能，以下选项哪个确保风险被考虑，选项1）updatedbusinessrequirement2）timeandcostysis3）财务部门批准变更。我选1（我在1和2间纠结，英文选项只是说timeandcostysis，但是timeandcost不是风险的全部，不过1也貌似不太对）*下面哪个说明项目目标达成，选项1）EVA，2）businessbenefit。我选1*SourceCodeEscrowVendor’sservicedeliverydoesnotincludesourcecode.*SSO*vendor1）突2vendor3announcedofvendor我选1*Portscanner*一个新的系统完成了，如何查找里面有没有逻辑？我选：independentprogrammexxx*关于middleware考了一题：好像是数据在两个系统中传输，因为不同步，需要使用*objectiveofvulnerabilityidentificationstep,选项1）likelihoodofthreats2)impactofthevulnerability...我在1和2间纠结，我最后选1.*在选择设备时，根据什么来选择？我选RTO2）1.*RFID*AB*reciprocalagreement*DataClassification什么的首要步骤：我选categorizedinformationby*实施单点登录SSO后，如何做补偿控制，我选：将延长的10个字符。其他选择好像懂我选了A-A的选项我没看懂，但是感觉是实质性测试，其中有billingsagedon*CSA*ITstrategycommitteeBoardofdirectors*Transferrisk*做incident和problemysis的目的：我选：rootcause*这道题我完全看不懂题干和选项的意思：是说审计师被要求reviewthedevelopmentofanonlineapplication,thesystemshavemorethan100terminals,auditorisaskedaboutoptionsysis...问审计师应该怎么做。选项：1)reportthisasafinding2)givecriteriaofalternativeoptions3) mendanalternativeoption什么的。*Feasibilitystudy后下面重要的一步是什么（不太清楚题干中这个项目是在做的过和budget*defectivevendor前要怎么做：我选用专门的软件做数据清除（选项中无deguassing。物理破坏也不合适，毕竟要还回去）*数据库质量的保证：我选metadata*如何确保项目不会发生scopecreep选项1)ProblemManagement2)quality3)changemanagement4baselining2*ITStrategy的执行:我选clearconciseenforcedIS*Codesigning*jobrotationrole-basedaccess不给该公司数据，此时怎么办？选项忘了*SLA外包-*数据分类，审计师最关注1）经理批准2）数据分类是否符合政策3）数据是否有所有者，4）数据分类是否使用自动化。我选2.*外包服务的好处是可以使公司免除哪项责任？我选-人员nel（我理解外包后，外包写测试。好像是原题集里的，我选1.*PKICA,RA,digitalsignature,digital,messa