CISA个人考试学习笔记

说明：黄色背景需要特别关注，红色字体非常重要，红黄在一起的话，呵呵，大家就自己考虑吧，呵呵这个笔记是我在得知考试分数后进行整理的，应该还是具有点参考价值的，整理时间2023年2月6日个人考试心得（10月1号开始学习，12月8号参加考试，2023年2月1号成绩出来，得分582分）：有可能的话最好参加相关的培训，5天的培训不会给你多少实质的提高，但最关键的是能给你一个学习的思路；而且在培训的时候，有不懂的问题可以问老师；如果你不是做IT出身的，最好恶补一下IT知识，CISA对IT方面的知识还是有些要求的；对于IT出身的人，学CISA特别要注意：要以审计师的视角来学习以及看待题目，组织内部的项目审计师的角色审计师是不具体解决问题的，但是要发现问题；最好能听两次培训，现在的培训只要缴费后，可以不限次数重听；培训前先把书看一遍，要每个字都要看，不论能不能看懂，至少能有个映像；不要急于做题目，我的做法是：先把书看一遍（我花了3周左右的时间）——参加培训（做好笔记）——再把书看一遍（我花了将近2周左右的时间）——开始做题目——参加培训（补充上次培训的笔记）——把书再看一遍（最好在一周左右的时间，这个我没做到）——开始做题目，大量的做(我大概做了4000道左右)——参加考试（我拿到582分，自己觉得比较满意）基本上每天花3到4个小时的时间就可以了，考试前两天，有条件的话最好在家里整理和复习一下自己所学的；重视QQ群的动态，群里面很多朋友和前辈，可以学到很多的；最关键的是，一定要参加考前辅导，这个是免费的，但是内容却是非常关键的！！！第一章信息系统审计过程*IS审计是基于风险的审计；*保持审计独立性和胜任能力,确保审计小组所实施完成的审计任务能满足审计职能的目标要求观*风险分昼析是审计计茅划的一部分祝，帮助IS嚼审计师识别苗风险和脆弱贫性并确定降蝴低风险所需覆的控制皆*要以审悠计师的视角电来学习以及派看待题目国，组织内部脚的项目审计池师的角色与；均*第一方橡审计：自查板——烂报告给自己引高层捷*第二方竿审计：甲方评审乙方汇*第三方慨审计：外审贼——恶报告给公众块或相关机构案*按照I咱T审计标准升制定并实施责基于风险的遇IT审计战份略堂*内审首野先需要建立鸽审计章程；问外审首先需犬要合同以及梯委托书；占*审计章券程或委托书耽应在组织内稍部适当的层肥次得到同意馆和通过，一铸旦创立，就券只有在非常费必要、并经君过充分的论夹证后才允许筒变更审计章斯程；猪*审计章熟程涵盖整个握范围的审计浙活动；合同腥侧重于特定请的审计任务搂；忽*信息系谣统审计的最处重要的资源圈是：审计师骂*IS审指计师应有合员格的职业能狼力，具备进锄行审计工作跳的相应知识挎；IS审计夫师应持续保诞持职业教育文和培训，保规持良好的职沸业能力；躺*在制定暮审计计划时扮，要通过风虏险符评估礼，确认高风喉险区域，衣找到审计的陪重点范围，乳合理分配审畅计资源；善*信息系插统审计师常搁常关注高风旗险的问题，鞋如敏感和重唱要信息的机肤密性、可用轮性、完整性杨以及生成、躲存储和处理渗这些信息的薪系统及流程难等。在检查骤这类风险时邀，信息系统婶审计师常常泻对组织所使欣用的风险管锄理过程的有露效性进行评唱估。攻*风险管诞理首要任务厕是识别出敏具感或关键的俩信息资产；旨然后实施风牲险评估来识受别威胁并确唉定其发生频貌率、所导致惠的影响以及包将风险降低坐至管理层可活接受水平的闭相应安全措拨施；段*为保持氧其有效性，独风险评估过揭程应当在组体织中持续进浪行，以致力乏于及时发现殃和评估新出双现的风险。挣*内部控衫制通常由能超够降低组织放风险的政策宜、规程、实港务和组织结垮构组成；胀*内部控氏制的设计是蹄为管理层提纲供风险事件尼能够被预防角、检测和纠储正，业务目金标能够达成而的合理保证吐。锡*实施有备效的IS逝审计的第一虽步是审计计灾划；发*长期审彩计计划与企战业的业务与催发展有关，种一般为3到颜5年的期间丈；裁*每年都舞需要对长、屑短期审计计结划进行分析赶；些*象无论长期短石期规划每年笋都必须分析纪、调整；在狱环境有重大暴变化时也必宴须分析调整胃*睬证据的优先钳级：审计师龙自己收集乒>第三方提醋供缩>被审计方蚊提供僻（银行函证投例外）屋*制定审败计计划的步仇骤：宴1、了什解组织业务絮使命、目标沾、目的和流验程的了解，充包括信息和恒处理要求：叉对组织关键烛设施现场巡枕视；收集阅轮读组织背景团资料；检查禽长期战略计泰划；与管理车人员会谈偏；审阅以前横的饿审计报锤告；障2、草找出规定内就容，如：政结策、标准和汇作业指导书中、程序和组巨织结构；田3、评戚价管理层实胖施的风险评酒估和隐私保纹护影响分析精；层4、实以施风险分析芝，找出高风市险区域调—腥重点检查对站象；浪5、执者行内部控制口检查（针对圾风险检查）庸；秧6、确毙定审计范围标和审计目标至；萝7、确甘定审计方法斗或审计战略胞；滤8、为刊审计任务和忙其后勤支援舱分配人力资蛙源疾*需要遵播守相关的法畅律法规：被叨审计方、审棚计师；垮*法律法虑规的合规性铸：识别政府拆或相关外部瞎要求的法律墙法规粱——万记录相关法您律法规窜——闲评估被审计骡方在制定计锯划或设定策界略时是否考解虑相关的法诵律法规剧——柿制度的执行剑流程以及保粘障（文档及碰程序）闻——古执行结果漫*信息系贴统审计是指殖审计内容中骡包含了对自赠动化信息处码理系统、相观关手工流程峰及两者间接堂口进行全部卫或部分检查判及评价的任千何审计奇*审计程转序包括确定枣审计范围、塘说明审计目智标、找出审原计标准、执仰行审计步骤稼、检查和评翠估证据、形达成审计结论槽和意见、与券关键流程所裂有人讨论后蛙报告管理层卸*审计方枯法是指：为幕实现预定的田审计目标而显设计的一系湾列书面审计舰程序，其内单容包括审计庄范围、审计辞目标和审计新步骤；慢*审计方盾法应当由审既计管理层制态定和批准并正保持一致性随。储*ISA稻CA信息系信统审计准则赤：裳誉职业道德规景范舌：必须遵守姓如信息系统审缎计标准经：强制必须谣遵守，不可所偏离宫景信息系统审咸计指南纳：在有合理伯解释的前提具下可以调整能和偏离歪撑信息系统馒审计工具和敏技术：根据耐实际情况作涉出自己的职血业判断跪*审计计径划步骤：禾1、计称划审计纲要笋；弦2、以垫书面形式记扁录一份基于雀风险评估的督审计方法；宽3、以更书面形式记气录一份审计覆计划书，详里述审计目标桥、性质、时扮间、范围以采及所需相关绢资源；锅4、以炒书面形式起筒草审计计划太和审计程序沃*信息系红统审计人员封应该得到监虫督，合理保翼证其审计目净标的完成，啄并且符合审禾计职业标准内；艇*审计工苍作中收集证须据的工作量封最大；通过促证据评估结娇论最困难；帅*信息系留统审计师必愤须拥有足够璃的、恰当的协审计证据来脸解释报告中若的审计结果绩；响*在报告降审计发现和宵建议后，审颗计师必须持蝴续跟进后续莫审计结果；爸*审计最叛终目的：A莫&A(Au世dit&膨Assu烦rance酸)审计及保肠证巾*审计实放质性（重要铜性）==阀是值取*审计实昨质性（重要抢性）越低，斑需要投入的粘资源越大；曲审计实质性您（重要性）阔越高，需要兔投入的资源抗越小；薯*ITA秋F（信息技堆术保证框架局）包括：世1、一挠般准则：通芒用准则，所久有审计都须炉遵守；已2、执衔行准则：在么实施审计中贴的要求帮3、报歪告准则魂（绩效准则座）社4、指烧南幕5、工欣具和技术债*目标-滩>风险->麻控制->审弓计色*冬风险是特定哪的威胁，利摩用资产的脆倾弱性从而对嫩组织造成的口一种潜在的进损害；它通煤过使用资产充和价值损失筐的概念把风蒙险放在了组吹织的业务环呈境中。凭*业务风侮险是指那些瓣可能对资产蔽、流程、具部体业务或组巨织目标造成乱负面影响的弯威胁。犯*风险的蜘三个要素：圣威胁、脆弱陈性、资产（掏价值）；其输中应该首先许评估资产；坐*以年为续单位评估风华险果——原基于成本效樱益原则（财汪务以年结算尝）配*风险评微估：识别风胳险平*风险管笼理：消灭、链控制风险松*风险评雕估首先识别简敏感或关键习信息资产；缝*风险评街估的最终目版标：将风险阔降低至管理老层可接受水棒平的相应安哄全措施；巴*高风险碌==高发展纠、高收益削*墙风险控制弟（植风险消减的蜂措施芒）骤：门1、预渔防：避免或酱减少风险事尸件发生的可英能性；祸2、检卷查：发现不赢良事件的发谜生；棉3、纠安正：减小影垃响鞠向别的旬组织转移风尾险旁*控制分遵为（书中）跃：锁预防性疫：在问题发锐生前预防，久监控运营和俊输入；职责冻分离、控制雀对物理设施补的访问、良辰好设计的文教档、建立交西易授权的适摔当流程、编旅辑检查、访镜问控制软件师、加密软件页检测性支：使用控制栏措施来检查逐和报告已发叫生的错误；龄哈希、检查据点、通讯回罢显控制小纠正性舅：纠正问题匪引起的错误茎，把威胁影做响降到最小复；BCP、俱备份、DR限P圈*六审计风险偶：审计过程胆中未发现信进息可能存在愁的重大错误诞的风险；审童计风险包括旗（固有风险光、控制风险轨、检测风险截、整体审计该风险）睡*依固有风险谅：审计过程鸟中遇到的，由在假定不存肠在相关补偿傅控制的情况够下，当与其福他错误相结遵合时会导致症重大错误的启风险；也可折以定义为：窗在不存在相对关控制的情并况下，易于侨导致重大错臭误的风险；边是由于业务骨性质所导致桶的，在审计凝中独立存在剧（复杂计算亮比简单计算渐更容易出错滤）逆*所有审刷计项目的基嘴本目标之一剪都是确定控叼制目标及针蛾对这些目标螺的相关控制谷。并找出关葬键控制点。犬*控制风踢险：内部控洲制体系不能跑及时预防或酱检测出存在闸的重大错误睡的风险（手昆工检查计算今机日志的相雕关检查风险跨很高）礼*检测风初险：信息系缓统审计师由瓶于采用了不牌恰当的测试政程序，对实辰际存在的重鞭大错误得出啊错误结论的盯风险。（识足别检测风险扬能更好的评乘价审计师的丛能力）尖*整体审挺计风险：对快每一个具体渔控制目标所芝评估出的各孝类审计风险需的综合。蒜*统计抽退样风险嗽——家指由选定样诞本得出错误黄的整体特征衬的风险犁*风险分耗析弟——征量化风险的定系统方法咱*风险评座价粗——尘对比风险值后与风险标准董确定风险重斩要性的过程醋*风险评困估中所识别惨出的每一个权风险都必须苏处置，处置铜方式包括：避降低、避免章、接受、转惕移桑*风险分简析的目标是怨理解和识别吨由实体及其方环境引起的堪风险和相关充的内部控制哥*审计是啄典型的检测嗽性控制；称*审计可求定义为：由辟具备资质、局胜任、独立创的组织或人洁员，针对流宇程的预定结磨果，客观地春搜集并评价泪证据，以确菠定与既定标智准的符合程议度，形成意肥见并报告的卡系统过程。谎若对特定经济撤实体的可计页量的信息证叮据进行客观洒的收集和评玉价，向利益番相关者报告而。斗可重现当时拐场景蚁*信息系御统控制程序封包括：战略趣和方针、全迫面的组织管穴理、IT资阶源的访问（酿包括数据和黑程序）、系颤统开发和变屿更控制、运决行规程、系需统编程及技蔑术支持智能债、质量保证姑（QA）流表程、物理访年问控制、B珍CP、DR旷P、网络和主通讯、数据砌库管理、对妈内外部攻击拢的检查和保杜护机制索*风险评严估过程应当谎在组织中持帆续进行，以认致力于及时迹发现和评估缩新出现的风旱险；命*赏内部控制：束为减少风险唐所实施的各脉种政策、步芦骤、实践和炭组织结构；竭确保业务目替标的有效达尿成。提高经巷营效率垂*风险控洲制另外分类升方法：技术景类控制、物哀理类控制以香及管理类控占制；陷*COS行O内部控制乐框架：控制酸环境张——蒙风险分析霞——命控制活动罪——汽内部沟通机丽制权——略监督和持续受改进勒*COB勒IT通过域抽和予流程框架来肤提供最佳实锦务，把34览个IT流程拨组合到四个朋域中：网1、计师划和组织（残PO）；瞧2、获淹取与实施（心AI）；蚁3、交团付与支持（彩DS）；侍4、监椒督与评价（音ME）.星*流COBIT榜框架定义：凶IT资源需向要由自然归萌组的流程管蛇理，为组织拿提供实现其邪目标所需要得各种类型的麦、符合质量秆、可用性以俭及安全要求险的信息。（毁业务部门需亡要IT部门批提供满足一柏定要求的信帝息）；令*管理：诸好的事情发刃生，产生价梦值、创造效乏益；禽*控制：存防止风险霸*业务需疲求七要素：辽种类税项目欧解释误质量幼效果介符合业务部姥门的期望膝效率累成本效益救安全萄保密性循信息泄露誓可用性滑物理设备的碍丢失、信息摊被破坏；需溪要时能用潮完整性朽防止篡改、博修改拿受信侍/受托辛符合性往合规性，法产律法规果可靠性违数据准确贪*IT捡资源：人员城、信息、基迁础架构、应匠用系统；龄*通过流碎程化管理I忌T资源；混*通用控响制：适用于拐组织的各个舒方面，包括脉：会计控制俘、运营控制零、管理控制秀；软*应用控迷制：针对特土定的流程；凤*信息系杨统控制：战俗略指导、信慕息系统开发玉流程的控制罩、程序变更刑管理控制、最计算机运行盾管理控制、绣程序与数据盗访问控制、凶信息系统安猾全的控制、苏网络和通讯球、数据库管舒理、IT计方划；骡*审计是判指：有胜任持能力的独立厘机构或人员线（审计主体另）接受委托者或授权（审毙计关系），玻对特定经济糠实体的可计列量的信息东（审计对象帜）般证据进行客烛观的收集和炸评价债证据（审计算工作）栋，以确定这齐些信息与既核定标准显（审计依据铃）白的符合程度需，并向利益浓相关者报告侧（审计目标花）颜的一个系统舌的过程仓（审计过程辈）补；猾审计的河性质吴——泰独立、客观弃。阿*位流映胖像甲——谊镜像问之后再做微哈希类——芦防止篡改狂*审计的太实质：审计照信息是否满毅足7要素；海*制定信查息系统审计让计划的关键没内容就是把辟宽泛的基本佳审计目标转悠化成具体的队信息系统审涂计目标；信抛息系统审计歪师必须明白植如何把一般轿审计目标转贝换成特定的袖信息系统控芒制目标。确葡定审计目标拍是信息系统抬审计计划的夏关键步骤。捕*审计目涂标是指审计昌工作必须实洁现的特定目势的；毕*控制目某标是指内部播控制应当如淋何发挥作用做*信息系永统审计人员戏从以下方面剂评估信息系者统职能：安全质量希受托责隙任纯服务和于能力堤*信息安份全控制应当萝在系统和项炕目的需求说景明及设计阶陆段予以考虑己*信息系唤统审计师应唯当对各类风醉险进行评价巩并选择高风更险领域实施忍审计冠*符合性女测试（控制末测试）要——故实质性测试速：是否有控您制念—运控制是否落谁实醒—办控制是否有聪效凭—衬控制是否持蓄续乖*舞弊检桨查：1、检吩查确认；2宵、与适当管铸理层沟通；糖3、与审计殿委员会沟通汇——睬向董事会沟卖通；揭*审计师盗在接受客户棉审计时就应津对审计风险妖进行评估津，将评估风着险与预计可颤接受的总审候计风险水平茎比较后，决轰定是否接受逗客户；医*审计风牌险分类：固旧有风险、控磁制风险、检冬查风险（审茄计风险）；评总体审计风厨险。菊*武符合性测试地是为测试组隆织对控制程计序的符合性内而收集证据爽，验证控制贿的执行是否叶符合管理政棒策和规程萄（测试内控沉是否起作用睁）雀；逆*舌实质性测试榨是为评价交编易、数据或欲其他信息的堪完整性而收路集证据，证拍实实际处理贫的完整性。埋*需要进剩行实质性测叼试的数量与损内部控制的智水平直接相杨关筹*符合性祥测试（控制郊测试）经——桂简单、快速简、资源消耗锤少么*实质性嘉（重要性）用：可容忍错药报或漏报的乘最好界限，厅其运用的情咱形：1、在肝编制审计计寒划的时候，有进行初步估暮计；2、在寒做出审计结竞果时候，进引行判断。爆*审计风麦险与实质性稠（重要性）忆：实质性水冲平越高，审说计工作风险拖就越低；实遵质性水平越尚低，审计工丢作风险就越壳高；色*创符合性测试迁（控制测试芒）：属性抽喊样皇*实质性艺测试：判断酷控制是否完菌整形*今充分性简—占数量上足够第；适当性稀—箩审计证据有求效且相关位；芦*统计抽凑样悦——结采用统计推滔断技术的一骤种抽样方法式，可以量化阶抽样风险略*非统计动抽样北——鸦随机抽样节*属性抽恒样一般用于弊符合性测试肆中估计属性纷的有或无，边结论是用比银率表示发生板率（属性抽愿样、停逢—婶走抽样、发才现抽样）；顺*变量抽捞样一般用于煌实质性测试与中估计总体丘的变化特征培，结论是与登正常值的偏再差范围宰具体县数值吧（分层单位穿平均估计抽芳样、不分层赢单位平均估惧计抽样、差泻额估计）播*属性抽挎样：趴1、作固定样本抽掌样辟：100个窗里面抽10扭个颗2、真停况—畅走抽样盗：100个搜里面先抽5贩个，如果没径有问题就停触止，如果有启问题就再抽温3、贡发现抽样探：100个俊里面一直抽恳，直到抽到稍一个有问题矩为止吓*变量抽垮样：分层单暮位平均估计客抽样、不分石层单位平均乔估计抽样、挨差额估计抽查样；看*置信系值数越高，样血本量越大；救风险水平=救1-置信系群数；精度值睡越小样本量倾越大罪*控制需睬求：发现高酒风险区域而旗又未控制的怨区域央*补偿性胆控制与重叠泊性控制：需选要重点关注夜的是补偿性解控制；山*补偿控作制是强控制漫补偿弱控制痛，而重叠控隆制是指两个泪强控制；惨*信息系炒统审计师在汉报告控制缺坝陷之前应当挪先检查补偿山性控制投*判断控蜜制是否有效雕率和效果；贝*信息系捕统审计师在休报告发布前拖，就重要发盟现及时和合屠适的人员进签行交流，但真前提是交流荒不应该改变酬报告的内容年；内*审计底袖稿是指在审扇计过程中产问生的所有的素记录和资料瞎，应保存7奇年；悲*控制自股我评估（C互SA）三个尊基本特征：勒1、关勒注业务的过瓶程和控制的竭成效；永2、肤有管理部门券和职员共同敏进行；害3、用敲结构化的方陪法开展自我并评估。秆*在控制谈自我评估（型CSA）中派，信息系统抬审计师作为躬控制专家和就评估引导人升，只是CS洪A的推动者盖；城*瓦CSA矮把部门经理方的监督职责朗分散到员工把中因*审计师笨在CSA中旋的目标：湿增强审静计职责酱在控制锐责任和监控裹当中教育各帖级管理者怜通过对岩在CSA中贫注意到的高公风险和非正歉常项目进行眨复核来确定升审计工作目导标侮通过把泉纠错心动从怜所有者方面割向雇员方面航转移的办法涉来提高纠错痛行动的有效初性湾*一些组准织在做CS五A评估时，该可能还会包珠括客户、贸考易伙伴等外槽部人员怀*CSA妹主要目标是端通过把一些材控制监督职晃责分散到职迫能部门来充就分发挥内部天审计职能的送左右，这并临不是要替代版审计的职责趣，而是一种物加强计*审计师隐应该牢记他吩们只是CS榆A的推动者藏，只有管理健人员才是C追SA程序的劝具体实施者股*连续监图控与连续审坚计区别：监辞控仅仅记录泳所有满足设兼定条件的事局件；审计则源一旦控制失筝效，自动触斧发报警。能*持续审翼计的技术应头该在系统开纪发和实施的骄早期阶段介碗入；点*持续审忽计的限制因慌素：成本问榴题毒*持续审扰计是被审计穗事实的发生群至证据收集饲和审计报告乌之间的时间巷间隔非常短臣*持续审螺计应独立于葱持续控制或蜂监控活动，惹当同时存在柔持续监控和晋持续审计时皇，就形成了挥持续保证碌*IT系扒统通常是预强防和检查性更控制的第一灰道防线，综慧合审计的根秩本就在于合置理评估它们杀的效果及效映率武*确定审攀计发现重要隶性的关键是茂评估这些审贿计发现对各忧级管理层的幕重要性，评支估中需要判甘断未针对审播计发现采取怨纠正措施可嘱能导致的潜央在影响。春*审计证嘴据可靠性的奏决定因素：们1、提尊供审计证据惠的人员的独粒立性蒙2、提幼供信息或证限据的人员的掉资格情3、证妈据的客观性葡4、证墨据的时效性芝*应当由动信息系统审惰计师来最终退决定审计报集告中包括或环不包括哪些叛内容栗*综合审酷计的一个关浇键步骤就是狠审计组集体娇讨论风险及歉其影响和发虽生的可能性拾*详细审鼓计工作关注咽已存在的管累理这些风险涨的相关控制旨。灯*进行实衡际取证时，尸只能对位流荐映像进行操底作，目标驱脉动器应该封唐存尽*对司法传取证审计师盟而言，最重蚀要的考虑就究是做好目标款驱动器的位甲流映像（镜扔像），并检者查该映像的液时间戳和其浩他信息属性富未被人为改悄变；砖*位流映针像做出来后丛应该对目标负驱动器进行灵哈希，然后条与位流映像汗的哈希进行信对比，确保科两者的完全劲一致；酷*除了位子流映像以外夹还有内存信饼息转储到文意件中也是司偏法取证的一刚种；唐*信息系竖统审计师通精常从许多不献同的角度来活评估IT职垂能和系统：慌安全砌——讲机密性、完剩整性、可用闲性尘质量锦——鲁效果、效率团委托责达任悦——势符合性、可游靠性坛服务和川能力赔第二章I敏T治理与管冲理惜*IT治凳理是组织中姨的一种安排妹。目的是为扎了提高IT鬼绩效，降低欣IT风险，沫有效利用资仪源。例*信息系肚统的战略规枪划是获取、游配置和管理田信息资源及的实现组织远抓景目标的总摆体规划，包愧括软件、硬伯件、责任以社及资源配置画等，提供给同组织相应的凭解决方案。集*IT治军理有助于确距保IT和企山业目标保持蹦一致，IT欣治理的关键两因素是IT剂与业务保持表一致，以实抽现业务价值犬*IT治段理采用最佳壤实践来确保盆组织信息及轧相关技术支韵持其业务目撇标（如战略替一致）和价棕值交付，确植保资源得到你合理使用、打风险得到适谦当管理、绩引效得到测评互*信息技舒术对企业非殃常重要，不键能把职责放乎给IT管理渡人员或IT紫专家，而必灾须得到整个层高级管理层盲的关注壮*IT治军理在根本上脆关注以下两州方面的问题引：房IT如否何向业务交阁付价值踩——谁由IT与业剪务的战略一飘致推动坦IT风原险得到管理帮——原向企业分配裁责任来推动碑*IT如迅何有效率有括效果的使用算IT资源；赤*IT治聋理的关键因归素是保持与愧业务战略的刮一致，引导舒业务价值的抱实现；寒*IT治枝理是董事会凳和最高管理康层的责任，损是企业整体传治理的一部桌分，它由领级导关系、组止织结构以及无能确保IT套支撑和扩展歉组织战略及册目标的流程愚组成昆*关键的虚IT治理实逆务有：IT壁战略委员会雅、风险管理醒和标准IT长平衡记分卡败*IT治廊理的关注领舟域：战略一拿致、价值支无付、资源管踪理、风险管欺理、绩效测助评率*IT治京理实各种关益系与流程结逗构，用于指幕导和控制组晶织达成增值美目标，同时岗还要保证I册T及其流程尚的风险与收但益的平衡。皇*在IT许治理中，信液息系统审计奏师应当确认富已明确以下股内容：塘1、工莲作范围，包编括清晰定义灶所涵盖的职支能领域和事蒙务；振2、采辨用的报告路拥线，使查出胳的IT治理禁问题能报告籍给组织的最眉高层萝3、信脊息系统审计坟师对信息的煌访问权限，村包括对组织削内部和第三碗方服务提供剂商暂*IT战逗略委员会是光方向性的：念由一个董事充会成员加外爪部专家组成程，战略层面友*IT指短导委员会是哀技术执行层环面的怒*IT平送衡记分卡是恢协助IT战铁略委员会和歌管理层实现睡IT与业务嚼保持一致的业最有效的方特法之一，其浑目标是建立后管理层向董朗事会的报告我途径，就I误T战略目标修在关键利益域相关方之间将达成一致，革证实IT的至效果与价值越，沟通IT闻绩效、风险搭和能力。汁*信息：避具有特定意欠义和目标的程数据批*信息安灾全的复杂性释、相关性、奋危险性及其教治理都要在维组织的董事谷会层面予以春考虑并提供耐支持仙*信息安船全的忧虑：赤对信息及其做处理系统的开持续依赖和脖众多威胁所脑导致的复杂凶风险。拳*有效的嗓信息安全能吊为组织带来帮巨大价值：郊1、在酸与贸易伙伴破的交往中提正供可靠的信欺赖；很2、提肚高客户的信璃任度；铲3、保抚护组织信誉围4、促匀进采用更新垄更好的方式伍处理电子交敏易知*业务战巨略方针通过府业务目的和县目标来明确奇，信息安全担必须能支持捎业务活动向棕企业交付价劳值；裂*信息安除全治理框架珍为制定一套沃有成本效益谦的、支持组绢织业务目标秆的信息安全萌程序提供了柳基础。该程头序的目标是慎建立一系列凭的活动以保耐证信息资产赔受到与其价者值或给组织腾带来的潜在数风险相称的吐保护。握*IT治声理是企业的贝一种制度安爬排，它通过单为IT提供派必要的领导羡力、组织结碍构和相关过妖程，来保证种企业的IT颠能支持企业袍战略和实现难企业目标，捕同时控制风慕险、降低成枝本、提高绩才效。答*IT治构理是董事会淡和执行管理虚层的职责，蔬是企业治理飞的重要组成追部分；赏*IT管矮理是公司的判信息及信息谱系统的运营娃，确定IT跟目标以及实岸现此目标所躲采取的行动为；起*IT治龙理是最高管狭理层（董事伐会）通过I驳T治理监督非执行管理层把在IT战略抛上的过程、恐结构和联系荡，以确保这桶种运营处于饲正确的轨道药上荡*IT治茅理是董事会纷和高级管理户层的责任衫*IT治棕理框架主要本流程：雁1、I饺T资源管理务，关注现有嚼的全部IT每资源的维护生并落实风险唤管理程序；增2、绩兽效衡量，关播注确保所有恶IT资源向贩业务交付既察定价值，也用在早期识别附风险；暑3、合闲规管理，关阵注满足法律援、法规要求丧的流程的落蹈实睛*关键I包T治理实务窃：IT战略丹委员会（隶港属董事会，炭由董事会成粒员+专家组阔成），风险索管理和标准狗IT平衡记晓分卡普*COB朽IT五个I膊T治理域都量受利益相关季者价值驱动乱，其中弊价值交付、驶风险管理幻是结果，尚战略一致、袭绩效考评夺是驱动力，垂IT资源管字理耐为治理提供俗支持。捷*IT战颤略委员会负拉责宏观的指讯导性要求呼*IT指企导委员会负展责具体事务桶，预算、架下构以及项目舱进展，不讨侵论具体细节歇问题；科*信息系窜统审计师需险要对IT治钉理的各个方踪面进行评估车：视1、信资息系统审计瑞的职能与组获织的使命、除愿景、价值响、目标和战电略一致；滔2、信敞息系统的职开能绩效目标奇应当由业务歇来决定（效摄率与效果）而；诞3、法垦律问题、环脚境问题、信船息质量、信浪用和安全需积求；窜4、组嚷织的控制环嚼境；剃5、信牵息系统环境展的内在风险汗；畏6、I互T投资/费攀用絮*IT平局衡记分卡的剃四个视角（匙只是管理报被告工具）：炸财务视状角：为了使料股东满意涝客户视粗角：为了实伴现财务目标果，需要服务星客户肝过程视置角：提高客通户和利益相家关者的满意惨度下学习视炼角：为了达李成目标，组佩织应当如何渗学习与创新往*信息安毅全治理具有文特定的价值选驱动：信息适安全的机密剖性（C）、形完整性（I货）和可用性立（A），持孟续服务和信司息资产保护肤等，使信息墙安全治理成钓为一个重点竞关注领域；央是董事会和贷高管的职责肃。吧*信息安寻全治理付1、价轰值交付：优兵化安全投资伟以支持业务寻目标；下2、绩绸效评测：衡铺量、监督和讯报告信息安聋全流程，以成确保实现呈SMART悟目标（确定吨的、可度量作的、可实现索的、相关的耀和符合时间迷要求的）慨3、资园源管理：有代效利用信息候安全知识与截基础设施棋4、流抓程整合：关股注组织安全羊管理保证流飞程的整合，客目标在改善饭整体安全及疾运营效率。亩*信息安仁全治理的安嚼全职责：院1、董望事会来——近提出要求，程听取汇报刘2、执瑞行管理层跑——蔽制定具体的窜流程定义采3、指骡导委员会古——而具体事务的挑定义伤4、信逝息安全管理皆层僵——完具体流程的据执行祝5、审丙计员候——拔对各个流程横执行的评价微*献审计员永远戏不提具体的宴改进活动，耍改进审计出仍来的缺陷，奸是被审计单筛位的管理层胖的职责；宵*企业架享构（EA）究通过一种结晚构化的方式可来反映组织茶IT资产，艺并有效管理珠对IT投资属；魄*辅企业架构通喂常应描述记轧录当前资产哑状态和最佳此未来资产状访态。禁*IT治台理目标要求残IT战略应烂当与整体业街务保持一致盗*寻AUP:快可接受使用努策略（Ac男cepta紧bleU百sePo纯licy）容是指这些网耽络能够被谁住使用的约束丰策略佛（最终用户戒如何使用信泳息资产的准播则以及期望哥）营。AUPs贿的执行是随粗网络变化的指。许多公共固网络服务有趣一个AUP煤。这个AU不P是一个正渔式的或非正竟式的文件，西其定义了网料络的应用意对图、不接受俭的使用和不么服从的结果驻。一个人注厉册一个基于敲网络的服务降或工作在一悄个社团内部怒网时经常会输遇到一个A雾UP。一个底好的AUP狡将包括网彻络礼节的规托定，限制网恰络资源的使斗用和明确指违出网络应该腐尊敬的成员棉的隐私，最犁好的AUP锋s使"wh眠atif饥"关一体化英，其举例说口明这个策略被在现实世界俯协商中的作增用。萄*IT投包资财务指标失关注：投资滤回报率（R端OI）耍*关注风阵险的同时也海要关注投资功回报；圈*平衡记潮分卡决定项冲目投资与否住，强调愿景烫；IT投资正组合，具体叠项目投资量庄，关注投资竞回报最大化太。怖*IT平智衡记分卡评船估IT功能子和流程夹*政策：籍永远都是高杰层政策决定南低层政策。颗从集中到分惊散。遍*政策最独高管理层一徐定要签字确寇认，定期修钳订，重大变假化时随时修修订。券*最重要倍的一个方面鹰是受程序控蜓制的人员熟夕悉规程内容蛋，如果使用罪程序人员不塑了解其内容烈，该程序是迹无效耳*风险：广外在威胁利庆用资产本身莲（保护对象述）的脆弱性术（对象本身杯特点）造成贵损害的可能呈。控制就是逮阻断威胁猛*坏事已医经发生了叫次事件，可能杰发生叫风险骨；贺*凡是高间于风险可接陕受水平的，贝就要进入风忍险处置（降潮低、转移、巴回避、接受润）；圈*伸任何对企业湿有价值的资左源都叫资产株，所有资产淘有有脆弱性傅。盛*一个未疫经保护的线臣路该——乞脆弱性限*风险管黑理根据成本帝效益原则采乐取：贫避免风乘险：选择不哲从事导致风犬险的特定活采动或流程闪降低风屿险：制定、害实施并监督怕适当的控制衣降低风险发味生的可能性校转移风探险：购买保渣险或者保修瞒服务夏接受风宾险：经过评控估后正视风盼险的存在，篮并监视深*风险管余理的核心是钥：保护资产恒*在攻击宵发生后，还进没有造成损正失叫事态，母已经发生侵张害损失叫事酿件摄*风险管千理首先需要锻识别信息资宫产（包括物乱理的、逻辑存的和无形的桨）授*风险管性理过程：识伞别信息资产珠、识别并评咸估威胁、识朵别并评估脆陶弱性祖*IT风痕险管理在多冲种层面上进隐行综合分析乓：纳运行层涨面：关注能弃影响IT系台统及基础设慢施的效果及批效率的风险蒸，绕过系统泥控制的风险苍，关键资源冠损失风险宋项目层戚面：关注理额解和管理项将目复杂性的扣能力，项目密不能有效完醒成、未实现沉项目目标的希风险饼战略层蛙面：关注I扫T能力与业壶务战略保持绸一致的程度木*风险分她析方法：茄定性方嫩法：主观风冠险定级，采骑用问卷式的幻检查列表（鼓CHECK拢LIST）块半定量驳分析法：还矛是定性法的请一种。导定量分脖析法：使用锐数值描述风恩险发生的可化能性及其影卵响薪*应在公毁司的所有I以T职能领域守内实施风险合管理，风险牢管理是高层诚管理人员的逐职责，尽量杂使用量化风殿险的管理办岭法驾*信息安询全治理的成懂果：搭1、战煎略一致孝——伴使信息安全臭与业务战略忙保持一致以家支持组织目煎标踢2、风基险管理烫——检管理和实施牢适当的措施筐以降低风险脊并减少对信纲息资源的潜踏在影响至可拦接受水平驻3、价尤值交付牺——春优化安全投鲜资以支持业肆务目标激4、绩携效衡量透——择衡量、监督锦和报告信息副安全流程，梅以确保实现帖SMART户目标（具体哪的、可度量埋的、可实现意的、切实的骆和有时限的溪）攻5、资莫源管理晒——尿有效利用信胜息安全知识扁与基础设施炎6、流重程整合跟——咽关注组织安棒全管理保证间流程的整合势*信息安抱全治理需要雀战略指导和得推动力，需谜要委任、资狸源和为信息汪安全管理分警配责任，也怎包括董事会纠确定其目标己是否已实现阳的方式。胳*企业架码购关注的内沸容是响应不跃断增加的I帽T复杂性，申现代组织的德复杂性，重裹点关注IT寨与业务战略笔的一致性并殊确保IT投岔资产生真实冶回报岁*企业架策构（EA）车的参考模型惰：耻绩效参轰考模型蓬—目衡量主要I旧T投资绩效飞及其对业务叮流程绩效贡动献度的框架羊业务参谢考模型伸—鸟功能驱动的戴框架，描述仍由政府、独躲立机构所执弄行的功能聚服务组费件参考模型遍—冤对支持业务息和绩效目标纵的服务组件抹进行分类的邀功能性框架乱技术参伟考模型禁—斯描述技术如圆何支持服务矩组件的交付哨、替换和构怕建的框架泥数据参羽考模型吨—努用在开发过倍程中，描述哨支持程序和圆业务生产线储的数据信息犯*对XX颗的控制是最币有效痒——午找属于预防足性控制亲*强制休涂假延——捞防止舞弊，挥发现问题加晨强控制库*信息系咱统职能的交安付方式包括停：蚁内包扇——宁由组织内员洒工实施似外包确——毫全部由供应垄商实施（把铸公司无增值清功能的事务秆转移出去）发混合方猛式遣——壳由组织员工悔和供应商混重合实施狼*信息系依统职能实施溪方式：源现场表——翻员工直接在胜信息系统现议场工作脆离场（济近岸）席——进员工在同一透地理区域内牛的不同地点币远程工作框离岸戏——付员工在不同抵的地理区域圾远程工作遮*外包方百式应该注意纷：数据的所朋有者、知识李产权问题以叙及对外包方仆的审计权问鸽题态*全球化暂外包需要注违意事项：专法律、伞法规和税务瑞方面的事务答——循不同国家和河地区对IT赚系统的相关闲规定宅持续运眼行招——获可能无法提软供测试BC奶P和DRP句网络通成讯事务佳跨国界恒和跨文化的帐事务阳*云计算得服务交付模净型：S睡aaS（软蓬件交付）、忽Paa吸S（平台交难付）、百laaS（杯架构交付）菠*laa财S（架构交勒付）需要关贪注：服务中蓬断条*Paa筋S（平台交笼付）需要关劳注：隐私性灿，数据所有苗权当*Saa极S（软件交付付）需要关打注：软件应年用所处位置割*云计算店注意的问题锤：服务商宕址机、机密性员如何保证、爪安全问题的喘法律责任、笨数据所有权欺*私有云铁的安全性最坏好，但不容南易扩展甚*敏感数茫据的使用者凳需要关心数箱据安全性问弓题丸*云治理布要考虑使用腿云计算时主熟要考虑和I针T的战略方痛向缴*采购实哄务中第三方旺服务的变更本管理：变更吐服务条款，男包括对现有榴的信息安全根政策、规程扔和控制的维问护及改善，册应考虑业务斜关系的关键恒性及其涉及碌流程进行管鼓理，并重新蓝评估风险。狮*建立I悉T用户计费骂机制可以提遗高应用水平魂，监督信息糠系统费用和凝可用资源溉*软件开歼发，公司对眯内部使用软番件的成本资睬本化（作为谎固定资产成走本摊销）兽*绩效优屑化：是在无码须对信息技顷术基础设施府追加额外投污资的情况下雄，将信息系凉统的生产力帐尽可能提高妥到最高水平篮*管理指饮南的重要内属容：关篮键成功要素处（CSF）愚、关键目堡标指标（K堤GI）、蓄关键绩效指井标（KPI光）、成熟犹度模型洒*信息系饭统部门组织什结构职务：棍最终用海户服务台：码与业务部门存沟通的界面烤运行部惊门计算机操粪作员：在主蚁机环境的控言制台上执行摸任务准技术支占持部门的系会统程序员：辛在主机环境很中对操作系颤统进行修改IT部门DBA业务部门最终用户OS管理员网络管理员生产现场操作人员QA开发部门应用程序员分析员系统程序员讯*拔职责分离高（要理解）IT部门DBA业务部门最终用户OS管理员网络管理员生产现场操作人员QA开发部门应用程序员分析员系统程序员文文估钓拒究绘夜够船蠢滴拼浙匙安全管理员构不可以是系前统管理员悦凉进滥豪破纺握扰龟环最牵御骄选项中业务梢案例最重要细*发现没寻有职责分离惭，找补偿性豪控制姨*选择项塌中不选：多疏加人、停止寿工作、自动菠化检查系统云*审计师孕发现问题无——轨找证据椅审计师确昆认问题安——贯报告适当的惊管理层元*控制组麻负责收集、阅转换和控制保输入，核对轧结果并向用嫩户分发结果倚*质量控辛制：负责执桨行测试或审弊查，以验证池并确保软件普不存在缺陷辉并满足用户泊预期，必须途在程序被迁陷移到生产环持境之前进行织。勤*质量保申证（QA）错：帮助信息爪系统部门确境保其人员遵遵守规定的质移量程序。钩发布、制定鸣、维护质量臭标准末。余*跳不能对自己牌的工作做Q栽A；用户、负开发人员不覆能做QA活*告应用程序员蠢负责开发和伞维护应用系已统，只能在沟开发和测试伤环境中进行素；荣*诸在小型机构科中，网络管靠理员可以负帝责局域网的鬼安全管理，得可以拥有系肚统程序员及男最终用户的蜻职责，但不绵应拥有应用垫程序编程的投职责；窜*从信息茫系统的角度排来看，战略真规划是组织些为了利用信当息技术来改著善业务流程毫而确定的长洪期发展方向呢。躬*在制定意业务战略过蚊程中缺乏I警T的介入将哄导致IT战果略规划不能颗与业务战略题保持一致的赞风险夸*战略指稀导委员会的留主要职责是执对重要的信帆息系统项目闻进行审查，重而不应当涉影及日常运营它。技*IT指拆导委员会监特督重大项目浩的进度和资矩源分配架*项目管脑理委员会负级责制定IT筛项目策略提*采用自摸顶向下的方陷法来制定低烦层政策，确厅保了各级政披策的一致性侮*采用自绑底向上的方睬法来制定低末层政策，基弊于风险评估胞的结果而制串定的，可能榜更加实用，坡但容易造成潮政策间的不厦一致和相互圆抵触。论*程序反挤映了业务流宣程及嵌入的狠控制。程序蚕由流程所有档人制定，是乞对政策的有碌效解释赠*风险管雷理是组织用岛于识别信息挂资源的脆弱裙性及威胁，回制定相应的礼对策（安全添措施或控制浴），以实现苏组织业务目蜓标的过程。傻*安全政数策必须在控妙制水平与生竹产效率之间帜进行平衡，酷控制成本决脖不能超过控汁制所带来的驻预期收益。嘴*信息安射全政策指导枪整个组织来青确定所需保涂护的内容、草相应的保护袄职责以及保麻护工作应遵壁循的策略。投*应当按却照计划周期百或当发生重侨大变化时对懂信息安全政家策进行审查芹，以确保其礼适当性、充弯分性和有效绳性。夜*应当为扬信息安全政煌策指定所有阵人，来批准料安全政策的本制定、审查沾和评估等管塔理职责。抛*信息系仪统职责分离此的原则：弄资产保泼管授权结交易记粉录筛*任何风赏险，都应当付基于信息资欢源对组织的培价值，将其扒降低至可接运受水平。境*有效的咽风险管理始过于清楚的理叼解组织的风疑险偏好。在克IT环境下穿，风险偏好婚推动所有的拴风险管理工驰作，影响未碌来的技术投贤资，IT资急产的保护程耐度及所需的坟保证水平。洒*风险管孙理包括识别需、分析、评总估、处置和姥沟通IT流轮程的风险影叹响巷*风险的冤对应措施：砖避免风险、驱降低风险、叔转移风险、谋接受风险裹*为制定黄风险管理程滚序，必须：震1、确姑定风险管理灰程序的目的百2、为贿风险管理计污划分配职责车*风险管属理过程臂第一步退是对信息资受产或资源进醉行标识并分需类；枪第二步澡是评估与信君息资产相关归的威胁和脆奖弱性，及其托发生的可能响性；浅*威胁的介发生是由于仰信息资产存崇在脆弱性，黄脆弱性是信值息资源的特盟性，可以被骆威胁利用并递造成损害晴*发生任尿何威胁所造鼓成的结果称鹊为影响，它警能导致这种恒或那种损失潮*信息系铅统管理实务差反映的是为很各种信息系瞒统相关管理努活动所设计评的政策与程庄序的实施情悄况雾*CIA替要求：机密缴性、完整性筒和可用性蛙*服务台薪应建立正式粮流程来分别贷记录已报告析、已解决和姻升级的问题捡，并对问题序和疑难进行肾分析，以帮弊助监督用户肉和改善信息辱处理设施（播IPF）的污服务枕*在计算面机运行中，著管理控制可萝以划分为物梳理安全控制送、数据安全镇控制和处理爸控制三个类途别障*控制组瞒负责收集、耳转换和控制湿输入，核对太结果并向用镰户分发输出棉结果聪*数据录柱入人员由控蓬制组管理，评因此撤数据录入不啄一定是最终黑用户漠*安全管野理应首先得缴到管理层的泼支持，管理跌层必须了解遍并评估安全汇风险，制定抢书面政策清习晰地说明应皇遵循的标准漫和规程，并遍强制执行铃*为保证盘充分的职责次分离，安全龙管理员应当沟是全职员工沈，可以直接亿向基础设施芽主管报告疤*质量保痰证人员通常件执行两种不锄同任务：察质量保预证（QA）增—辈帮助信息系测统部门确保烛其人员遵守射规定的质量竹程序蹈质量控修制（QC）鸣—削负责执行测剧试或审查，迅以验证并确逗保软件不存纠在缺陷并满经足用户预期全。盟*质量控诞制（QC）将可以在系统慈开发的各个脸阶段进行，芳但必须在程芝序被迁移到介生产环境之晋前进行介*在任何捷情况下都不尘应当让个人肆对自己所负达责的工作执发行质量审查纱*针对数标据库管理员柴（DBA）赖的严格控制激：面1、职山责分离赏2、D馆BA活动需堪要得到管理忍层批准唱3、由炊主管对访问斥日志和相关辅活动进行审解查荷4、对御数据库工具司的使用事实岩检查性控制客*必须确珍保应用程序牢员不能修改规生产环境中铸的程序和应骆用数据，他平们应当只能侍在测试环境女下工作，由宿另外的团队数把程序和应鼻用变更迁移饰到生产环境缎中。大*在小型旗机构中，网修络管理员可罗以负责局域率网的安全管台理，拥有系凝统程序员及守最终用户的辟职责，但不照应当拥有应锐用程序员编扯程的职责欺*应当分泄离的职责包削括：资产保幸管、授权、傲交易记录漫*职责分配离的目标是阳：通过识别市补偿性控制抵来降低或消断除业务风险液*访问控昏制决策应基脊于组织政策宏和两个普遍匙接受的实践虚标准：怪职责分箭离柄最小授皇权原则遍*用户部蜻门应提交授栋权单；信息渡系统部门根致据授权单维罩护用户授权乒表欢*审计痕惜迹的主要目稼的是建立交参付处理的业匹务交易的职永责（可追溯砌责任）。热*历针对职责分乔离的补偿性罢控制父：雨1、满审计轨迹欢—负在缺乏职责龄分离时，详般细的审计轨妻迹将是可接枝受的补偿性慰控制惩2、担核对捏—跳核对是用户挖的最终责任悔，还可以增退加控制组使经用控制总计史和平衡表对券应用系统执翻行部分核对脱功能瞎3、断例外报告胖—结应当由主管四层处理并且疾需要留下证响据腐4、唇交易日志惑—原可以时电子丘也可以手工宾5、领监督性审核我—稀可以通过现扣场观察、访浊谈或远程执慨行猎6、晒独立性审核扁—妇执行独立审前核是对错误垄或故意违反脂既定流程的纠补偿性控制商，在职责不俭能恰当分离专的小型组织针中尤其重要随*审计过崭程中应该审桃计的文档：但IT战救略、规划和钢预算岸安全政打策文档吵组织图驻或职能图惨工作说毯明炊指导委嫩员会报告滩系统开旷发和程序变点更流程登操作流姑程帆人力资论源手册未质量保嘉证程序鹰*信息系扁统审计师应谜当验证管理扯层在合同过仰程中的参与敲程度，确保燕按适当的周粱期对合同遵缴循性进行审晶查。败*制定I宅T服务外包孩决策应考虑承的问题：服介务质量、持叮续服务保证护、控制程序上、竞争优势认和技术知识喷*外包实惜允许组织把坝服务交付转万由第三方提芳供的机制。晶*外包的很基本原则是篇：虽然将服粉务交付转移娱，但其职责荷仍属于组织沾内管理层，救他们必须确搂保对风险的般适当管理及主供应商持续延的价值交付笨。简*隐外包应注意佛：数据所有科权，知识产均权，审计权防（或独立的匠第三方审计怀报告）掉*IT目惠标应当是改土善用户满意诉度并实现业才务目标。应勤当通过用户伙访谈和调查足来监督用户剂满意度煮*质量管利理是控制、写衡量和改善求IS部门流获程的一种方队法为*信息系你统部门制定胳并维护的书宣面流程是有扛效管理信息恐资源的证据英，坚持遵守界流程及相关根流程管理技登术是信息系避统部门有效翅运营的关键双因素。狠*绩效评亿价的主要阶似段有：嘉1、制骤定和更新绩橡效指标漫2、为蔽绩效指标建拔立责任制闹3、收插集和分析绩提效数据蹦4、报量告和使用绩炎效信息斧*绩效指样标用途少1、衡著量产品和服肚务胶2、管列理产品和服凯务诚3、确狱保责任制沿4、制朵定预算决策剥5、优击化绩效侧*针对职抹责分离的补斤偿性控制：闯审计踪挥迹、核对、找例外报告、释交易日志、扫监督性审核鹊、演独立性审核孙（在不能进里行有效职责胳分离的小型诵组织尤其重陷要，可以帮俯助发现错误鞋或违规行为日）派*业务连于续性计划（彼BCP）区——菌涉及组织内芳绝大多数部蜜门；灾难恢肠复计划（D着RP）鞭——画涉及IT及堆相关部门庙*茧BCP责任韵属于高级管里理层，高级帐管理层不能追将责任分到惩下属香*业务连支续性计划应宿当基于长期手的IT计划坦，并与组织多总体业务连枯续性战略一钓致捧*业务连彩续性计划和领灾难恢复的糠目的是使组燕织在中断事灵件后可以持智续提供关键广服务并从灾食难中断中恢乐复其活动；叮*灾难恢焦复（DRP佳）与业务连杆续性计划（秘BCP）是培组织为避免梦关键业务功孟能因重大灾印难而中断，说减少业务风启险而建立的原一个控制过估程；锅是业务流程驼，不是一个今项目妖。泰*BCP堂主要是组织捎高级管理层己的责任，因关为高级管理厌层对组织的某资产和生存呆负有最高责螺任；高级管霉理层不能推王托将责任委胞托给下级人脱员。烫*BCP牲计划不是所艺有的业务流桐程都要恢复收（只恢复关绕键流程），躺也不是所有浅的服务都需配要恢复，泰关键的目标逆是满足客户葛的需求曾。微*BCP哗维护的一个挂重要步骤：森组织内任何酱相关变化产沸生时都要进遗行BCP的哨更新和演练部*业务连欠续性计划（伍BCP）是遭组织为避免轿业务功能/浇运作中断，疏减少业务风斜险而建立的热一个控制流龙程，包括对娱支持组织关霞键业务的人幅力、物力需押求和关键业脸务所需的最眯小级别服务抓水平的连续低性保证。递*准备一部个新的BC苦P的第一步砖师识别战略耀性的业务流算程，这些关剃键流程是业施务持续增长摇和实现业务毅目标的保证百*风险管李理在BCP牢的准备阶段衔被关注。岔*无论发愉生何种中断鲁，关注的焦绕点永远是关振键业务流程预的可用和持抗续运行锦*千如果信息系扬统的BCP拳与DRP需张要单独建立口，必须与组巩织的总的B舅CP计划保膨持一致唤。毫*知不存在单独爹的DRP计盼划，一定先迈有BCP才谢会有DRP帐。燥*一个整佛合的BCP蛇计划必须确穷保：柜每个部伐分都被涵盖易承诺的艺资源被最有塘效的方式使般用，并有充唇分证明通过矿它组织可以椒克服中断生醉存下去帜*灾难：版把发生概率坏极小，但冲林击极大集*一个业梢务连续性计酸划应当识别沾出当发生灾座难时，业务蜂应当做什么甚*保证恢览复的成本永博远不要超过衰所获得的利约益损*流感大对流行的到来坐具有很强的惰不确定性，纲对社会和经较济的影响与窄威胁是确定乎的。铲*流感大读流行特点是事系统、设备竭没有问题，剖但是人没有拴了这。棕*流感大挪流行的应对门规划和传统侧的业务连续拦性规划不同馅，信息系统惭审计师应评议价组织对流超感大流行的狸准备；流感酸大流行的影养响由于范围缴和持续时间肝不同难以确丰定。匪*危机沟叛通范围：茅内部：咬股东、员工车外部：膀新闻媒体、员政府匙*危机沟丽通中，除发需言人外，组斥织中的任何疼其他人不管孝官居何职，仙都不得发布兴任何公共言祝论避*BCP告主要针对服打务中断消*歉BCP是纠遇正性控制平*根据对磁业务危害程段度的估计，场对各种事件闪进行分类：廉可忽略事件贸、微小事件莲、重大事件隔、危险事件院，在事件被招解决前，任傍何对它的分孩类都是临时园性的口*BCP草过程分为：盒1、创骤建业务连续棍性方针/政宝策绍2、风喷险分析RA守3、B通IA\运行鹰分类及重要盛性分析屯4、识扛别支持关键伸组织功能的犬信息系统流怨程暖5、开缘发BCP策消略蜘6、开亭发业务连续膏性计划和D抵RP步骤米7、开依发重建程序收8、培桑训与意识教潜育程序监9、计急划的演练与矛实施华10、干监测鹊*坏BIA之锄后做策略供奸管理层选择寒，管理层批孔准后，制定别计划然*执行B摸IA的方法税：料1、设冒计详细的调本查问卷，分搅发给重要业岗务人员和I孩T人员（用茎户多，分布岭广，问题标涉准化）秒2、拜怎访关键用户疫，通过面谈寄收集信息（今问题复杂）桐3、把两IT和终端式用户召集，弹讨论得到结锄论（跨部门油）湿*信息系辛统审计师应她该分析过去散的事务量以肯确定在系统兴不可用期间业对业务的影品响程度目*BIA狠目标：业务弓、利润；合疾规；合同约隔定、承诺么*对BI龟A应用的重萄要性分类：升关键的今——孟必须立即恢弦复（中断几定小时到一天肆）振重要的麻——沸短时间人工踢替代（1~醋5天）盖敏感的枯——露长时间人工辉替代（一周轰以上）逝不敏感态——含可完全手工捡替代否*BIA秒中关键业务凤流程由流程联所有者确定戴，由高级管色理层批准巨*BIA千之后先做恢翁复策略卧*RPO影越小，最低夜可接受损失坊就越少，就蛙需要采用镜垮像或磁盘双步工技术挠*津在制定DR筐P计划时需梅要RPO值斤*察RTO指极业务恢复耳。隙*HR的片员工手册中端必须有人员留撤离计划漆*RPO冻影响备份技问术的选择腐*RTO例越小，对灾凉难容忍程度零就越低，就惰只能选择救“妻热站税”场*揪完全不允许良停机伞——稳双生产中心慧（冗灾中心泽、镜像站点短）圣*灾难恢介复策略其他剂参数：仅中断窗凳口：组织能某够等待的自群失效点时刻减到关键服务斑应用恢复的反时刻姜服务交茫付目标（S脆DO）：直阿到正常的生谎产系统恢复馋运营，由替植代流程实现收的服务水平垒。这直接与该业务需求相毫关猫最大可罪容忍中断：拆组织使用备盛用方式支持四的生产处理绑的最长时间纯*灾难必问须由授权人尤员宣告羞*管理层毯与员工积极想参与是BC惊P成功的重插要因素霉*如果组璃织中不存在猴统一的业务意连续性计划吵，针对信息挡系统的BC目P需要覆盖旨整个依赖信村息系统服务扒的部门和单喉位丝*脑恢复策略的乘选择基于下侨列因素：晕1、业拔务流程及支袜持此流程的碌应用系统的创重要性；嘱2、成慨本；签3、组盘织要求的恢定复时间；返4、安跪全工。懒*恢复成卵本不应大于浆停机成本诸*最适合言的恢复策略久的选择，首退先要通过业臣务影响分析施确定风险和婚重要性级别糕，然后通过娃比较恢复成惧本和停机成垒本来决定。成*热站的示安全级别不盲是最高的，式最高安全级很别的应该是秆镜像冗余站辈点，或者是位双生产中心谦*热战：锄除应用程序形、数据、文扁件以及操作叫人员外其他誉全部齐全沉*温站：狮在热站基础酒上减少主机伯*冷站：避只有基本环顽境，电、空旧调、场地鸣*高级管浙理人员是B尺CP关键决途策制定者，夜具有决定启貌动计划的最眉终裁定权航*与业务检连续性计划多相关的部门垃有：服务支鸡持部门、业矛务运行部门族、信息处理烟支持部门贷*BCP羽演练的各个界阶段：预演稠练阶段、演舍练阶段、演贤练后续阶段梁*演练类宪型：纸上推亡演、预备性塑演练、全面佳运行演练楼*铲如果信息系炕统的BCP启和DRP需拾要单独建立削，必须与组裕织的总的B夕CP计划保让持一致灰。乒*在管理五层选择了适吗用的恢复策狼略后，下一辞步的目标就医是制定详细慰的业务连续行性计划和灾卸难恢复计划眯，并在异地情备份场所存予放一份计划置的拷贝，最赠好是纸质纷*首先用央户和管理层斧的参与是识屯别关键资源衣的基础，其替次要由他们葵来决定关键仗的恢复时间迅和定义所需碧的资源。数*应急管病理小组通常财由高级管理饼人员领导缴*当VO裁IP作为组巨织的唯一通赖信线路时，料要考虑备份侵*爬冷热温站合绸同事项：魄1、配约备千—促包括软件和猎硬件是否满禽足需要摇2、灾申难繁—对对灾难的定悦义是否满足葬预期需要效3、启蚀用速度果—言多长时间可辣以启用草4、每李个站点的申惨请者量—逐是否限制每湖个站点申请浊者的数量抵5、每龟个区域的申摄请者填6、优版先权后7、保蒙险葡8、站身点使用期限例9、通沾讯能力忘10、鸣服务承诺镜11、弹审计条款贼12、头测试权限首13、迅恢复站点的陕可靠性证明椅*BCP危演练目标：度1、验狭证BCP的和完全性或准僵确性；厦2、评敲价BCP演茧练中个人的在绩效；端3、评传价对非BC公P团队成员便的其他员工可的教育与培略训；释4、评秀价BCP团锅队与外部供炎应商之间的峰协调性；杠5、通蹲过实施预定福的程序来演前练备份站点占的能力与容傍量；繁6、评象估重要记录勇的检索能力辞；纱7、评甘价要转移到库恢复站点的啄设备的状态贺、数量及供刮应情况；覆8、评直价与维护业笼务实体有关脱的运行活动枝和信息系统概处理活动的瞒绩效俗*仆对备份存储晃位置的逻辑更以及物理安酬全要求应该局与生产中心袭的级别一致啦*漏异地备份库倡管理员的责戏任：意1、维听护一个永久汽的备份存储将介质的库目残录帮（可以手工啦或者自动）果；将2、控枕制对这些存蛛储介质的访买问；宣3、根酒据需要，控途制存储介质生在不同的库揭中循环流通雄；写4、维炮护一份BC是P拷贝。唤*制定和童维护一个D另RP与BC罚P应该：耀1、执臣行BIA；苍2、识奖别各类资源间并分类；锻3、选干择策略恢复倾IT设施，惧支持关键业惑务流程；月4、制斩定详细计划钢恢复IT设盟施（DRP岭）；咏5、制论定详细计划过保证关键业艇务运行（B虹CP）；轧6、测惑试计划；因7、当窄业务和系统缓环境发生变定化时，维护怨与更新计划残。俯*BCP龄计划更新日眠期都是30泻天肺*备份和楼介质的选择铅因素：镜1、标爬准化糊——快技术支持雁2、容漠量翅——义满足需求农3、速伪度窑——悉与业务要求粥一致韵4、成昆本汽——乌包括设备和刷介质的成本务*备份的搜方法：全备洁(最慢)、忆增量（最快焦）、差分（鸦一般）哨*呼叫树扫清单每个月径都需要核实僻*计划演舱练目的：找近出错误、不渐足，没有控为制的点；炒个人进绩效亦*舌全面运行演赵练不能由演狱练变成真正婚的灾难倦*审核B泛CP计划：躲是否覆盖关裁键业务流程纽*典业务连续性欲计划中紧急览逃生最重要掏，人的安全朗永远排在第殖一位从第三章信息此系统与基础脚设施生命周饼期管理绩*项目的茂定义：萌1、项繁目是一项有腰待完成的任致务，且有特疗定环境与要孙求屡2、在宣一定的组织扇机构内，利芦用有限资源恨（人力、物钥力、财务等澡）在规定的悲时间内完成肢任务撇3、任提务要满足一疑定性能、质梳量、数量、符技术指标等她要求。莲*圾项目一定有女截至点,不举能无限期延代续；一定在瑞有限的时间遣、有限的预浪算内。交付梳物是可以长玻期保存的避。棚*沈软件项目一结旦交付到生仰产环境后应青立即交割给蠢运维人员皱。玩*项目的战目标应该包储括成果性目以标和约束性步目标，满足吓客户、管理壮层和供应商锐在时间、费尊用和性能上粱的不同需求阶。德*项目群吧可以看成是社由一系列项窜目和有时间司边界的任务求组成，这些溜项目和任务谢通过共同的扯目标、共同瑞的预算、相统互交织的日对程和策略等挤紧密的联系久在一起。却*成功的袍实施项目群虑，需要对以稼下内容进行凯有效管理：减1、项截目群的范围姑、财务、日竞程、目标及掉交付物；多2、项目目群所处的碰环境；宝3、项费目群的沟通伶与文化；射4、项比目群的组织集。市*项目群吗中典型的沟古通结构就是厚召开项目群验所有者会议巾和项目群团芽队会议桐*项目管屑理办公室是厨项目管理和逐项目群管理享过程的所有畜者，它必须灯是永久性的等组织结构，屡需要配置充恭足的人员，贿以对当前的昂项目管理提娘供充分的支为持，同时开害发新的程序拐和标准。惩*项目管叔理办公室只桂涉及项目管升理程序中的揪活动和任务救，并不涉及贫具体的项目济内容。首*在一个修给定的时间控点上，组织踩中正在进行艺的所有的项娱目的集合称短为项目组合良。岩*项目组扫合的管理目亮的：丽1、优侄化项目组合戴的结果若2、对泉项目优先级伯排序，进行侦日程安排裁3、协图调对资源的甚使用溉4、项垮目中的知识居传递归*尖项目是短期承的、战术性娇的率*双项目群是长往期的、战略版性的遮*费项目组合具金有管理周期束（每季度或纱每年）台*掘应追求整体场项目组合的愈收益最大化姨。乖*规划I睡T项目时首乏先需要进行藏业务利益分百析（商业案唱例岔/Busi玻ness凡Cass灵）扶，组织可以著获得的业务承利益是实施战IT项目的蜂源动力。话*组织可冠以获得的业浇务收益才是削实施IT项慨目的源动力成*规划I娘T项目时，舰首先要考虑书业务模式（夹商业模式、丢业务案例）增*可行性择分析时业务鲁模式分析的塘一种泼*颠在可行性研袄究分析时就浸必须决定软继件系统是自拘己开发还是赴购买。狭*对项目忙进行充分详垃细的业务模圆式分析，作尚为启动和持记续一个项目漆的验证条件扔，为项目的属实施提供一走个合理的理碎由郊*业务模招式分析是项狗目生命周期努中各个决策程过程的关键坐因素，无论顶在项目的哪必一个阶段，池如果业务模括式分析表明左由于成本增义加或预期的喂利益不能实河现使得项目粘不再有意义僵时，邻项目发起人桂或指导委员易会应当考虑由是否要终止丛项目的执行妄。抹*业务利圆益由谁来验妹证。叉*项目管患理的四个要尤素：扮环境、资源肯、目标、组盛织垄*项目管槽理的方式是叔目标管理。飞*在一个量良好定义的另项目中，通雁常建立了一羡些决策点，锦有时称为郑“尘阶段点填”敌或素“锁生死点梦”泻，在这些点剪上进行业务央模式分析后感决定当前的求项目是否依部然有意义。崭*如果I混T项目实施酸阶段中其业矮务模式发生什变化，应当蚁通过部门规谁划和审批流棚程对项目重羊新进行评估喊和批准煌*世实施后评审羊：在项目实查施后6~1暗8个月进行扁，评价利益册实现程度老，独立于项读目实施的审棋计师进行评救审灵*有关项多目的所有治窑理决策应当傅由业务效益湖驱动，并进音行周期性评戚审英*信息系把统项目可以徐由组织的任盯何一部分启昏动，包括信览息系统部门横*项目管牲理的一般过幕程：启动、爪计划、执行胀、控制、收盏尾（其中控墓制过程，贯仰穿整个项目先实施过程）乡*业务过忙程的设计方尊法也同样适雹用于项目管甩理过程茂*项目环瞎境最关键就松是一把手工陈程。扣*项目管领理的组织规誉划：味1、职甚能式组织形桥式：项目经碎理仅作为一领个成员，没摸有正式管理霉权案处权限无探2、项旗目式组织形额式：项目经范理有正式授勇权负责项目石览权限高瞧3、矩僻阵式组织形陕式：项目经惭理与部门经河理同时共同抚分担管理权邪限本劲权限中信*用户管订理部门拥有坛项目和最终俭系统的所有偏权，当系统摧被定义和完奏成时，用户有管理部门应瓣当评价和批舌准系统的交班付。币*饭安全主管评亦价安全测试窄计划并在实笛施之前进行辟报告条*项目发喇起人对项目拿指导委员会较负责；涛*项目经秆理负责项目凤的日常活动塘；翅*圈关键用户在件需求分析阶碎段、测试阶翼段需要积极医参与；用户叔培训在测试笼阶段进行将，主要培训斑怎么使用软伯件烤。尺*在测试肾阶段用户需绒要参与测试弊案例的开发表。泻*QA独套立整个项目植组，对整个贯项目的活动蔽做独立的评考价。凯*项目沟熄通文化：各箭类会议蜓*项目分丢解结构：半1、先唯建立对象分银解结构（O会BS）浙2、建确立项目工作咬分解结构（途WBS）榴3、W伴BS不包括野方案中基本便元素，表示鞠为工作包（蝴WPS）精*夹永远不能靠康忽视质量来攻满足工期、括时间、资源扒的要求。娘也不能忽略脖测试控；在特别的轻情况下，只泉能减少功能缘。孙*成功的些项目计划的莫全面特征式赌项目基于风肆险的管理过订程而且本身雹是互动的。草*项目中先三个元素/腊纬度必须考型虑庙1、时碧间/持续时在间需温要花多少时德间才能完成缺项目肌2、成进本/资源途需要花布费多少复3、交碧付品添什么是必须碎做的赞*软件规贷模评估：源悉代码行数、麻功能点分析虽（FPA）病、FPA特吩征点斥*源代码蛮行数评估结勉构化程序语吐言（BAS沫IC、CO竹BOL）有蛛用，其他不麻行透，菜尤其业务功膛能不行土*功能点斑分析（FP馒A）广泛用议于评估开发尘大型业务应乏用的复杂性优。功能点分突析的结果用新于度量基于船输入、输出墓、文件、接风口和查询系桶统的规模涌*FPA外特征点分析野对于网站应做用，能有效犁估算特征点苦、访问规则驱、页面链接熊和存储有关奉的应用谈*项目评旱审技术（P讯ERT）是闸一种网络管均理技术，常角用于充分计羞划的系统开畏发项目。今*握甘特图的缺奋点：无法表袭现任务之间骂的逻辑关系碗*具PERT时绣间计算=（损乐观完成时漫间+4X最混可能完成的首时间+悲观脊完成时间）墓/6絮*勤先用PER诞T算出每个租工作的工期魄，然后再用日关键路径法师*关键路通径法中，有带多条路的时扯候找最长的捡路。升也就要确保颤整个路径图扣中所有任务赏能在计算出细的时间内完灭成。脆*哑关键路径中锈的松弛时间欠为0压*设计系朝统开发项目燕的PERT赌网络时，第屑一步是识别央所有的任务希、项目的相芦关事件/里诞程碑和它们杠相对应次序牺*缺时间盒管理陆是项目管理肃方法享*岗原型法的项激目管理方法铁是时间盒管欧理闷*巾时间盒管理落中：时间、块质量、资源嫁不可变，只欠有功能可以轿变胖*时间盒黑管理是在一歼个相对短的锣、绝对的和鉴不许变更的养时间以及有晶限资源的情古况下，定义占和部署软件届交付产品。研*角时间盒方法争主要优点是搅避免项目成肉本超支以及采进度拖延怖*时间盒跌方法由于最伤终用户的参扒与，测试用宁例的准备和罢测试需求很毅容易达到，商系统测试和损用户接受测臂试通常可以广一起执行。溪*项目控领制活动包括员项目的范围喂管理，资源作使用和风险带管理。记录尽项目新的需垃求并在批准恭后分配合适错的资源。铃*范围变藏更管理：季变更请居求必须提交陡项目经理蚂项目经粪理提交项目把咨询顾问委惰员会决定是锈否建议变更栗项目出者资人决定是均否变更拔*龟项目出资人驰有最后决定杨是否变更的韵决定权。思*项目过宴程的变更控干制就是确保柳项目的完成脖时间，项目衰资金的使用工和项目质量醒达到利益相街关方的预期历*骆系统开发生说命周期（S僚DLC）一餐般具有开发解、实施、维遮护和废止阶奉段柴*项目资环源利用采用天EVA挣值斧分析谷*项目风践险主要有：箱1、对组业务收益产翼生冲击（及绒对项目的存访在性构成风担险）苗——谢项目投资人密2、对练项目本身产咬生风险的燥——园项目经理锦*非漠V模型中：美用户需择求唯——录接受测试U斥AT灾功能需盆求漫——穷系统测试填概要设碍计厅——揉集成测试井详细设得计蝴——羊单元测试延编写代悬码泊*V模型陆中：虏1、单仓元测试用于恳验证详细设挺计的正确性佛；量2、集便成测试是用看于验证各单誉元集成后的职正确性痰3、系馒统测试用于皇验证系统总捧体功能与架诸构的正确性等4、用享户接受测试费是用户为了渠验证软件是览否实现了用催户需求议*开发的蚕业务应用系艘统一般都可棕以归为两种滚类型：仓组织中注心计算型（绳采用SDL互C生命周期劝方法）凶用户中率心计算型牺*SDL篇C也被称为除瀑布式开发游技术，是一末种系统的、财顺序式的软虎件开发方法污，从可行性帜研究开始，糖通过需求定景义、设计、卫开发、实施日和实施后维圆护等阶段而杂逐步发展，这建立了相应升的责任、预辩期的结果和善完成目标的冒日期。蔽*SDL立C厅需求定义：皱描述系统应箩该做的，用深户如何与系四统交互，系猜统运行的条睛件，系统应拿满足的信息县标准哈；啄确保需求完悄整、连续、凯清楚、可验柴证、可修改璃、可跟踪朴*叹审计师在勤SDLC需僚求分析阶段潮需要关注：智业务部门的随人员积极参径与到需求调晕研中；锁安全控制是汇否提出（晶审计师作为呼用户，提出趣嵌入式捏在线宅审计模块是嫂否提出）沈*伪SDLC辨方法适用于膊一个需求稳跑定、定义准直确的项目，者并且在开发面工作早期建蜂立总体的系