CISA信息系統審計師認證All-in-One(第4版‧2019大綱)（簡體書）

涵蓋所有考點：
• IT治理和管理
• 審計流程
• IT生命周期管理
• IT服務管理和業務持續
• 信息資產保護
配書網站包含：
•?300道模擬試題
•?一個測試引擎
•?既有標準長度的模擬考卷，也允許按主題定制題目

Peter H. Gregory持有CISM、CISA、CRISC、CISSP、CIPM、CCISO、CCSK和PCI-QSA等認證證書，是一位擁有近30年從業經驗的安全技術專家，擔任Optiv Security(美國的安全系統集成商)的執行董事。2002年至今，Peter致力於制訂和管理組織的信息安全管理計劃。從1990年以來，Peter一直領導安全IT環境的研發和測試工作。此外，Peter曾擔任軟件工程師、架構師、系統工程師、網絡工程師和安全工程師等職務。Peter在職業生涯中撰寫了大量文章、白皮書、用戶手冊、流程和程序，並多次組織講座、培訓、研討會和編撰大學課程。
Peter撰寫了40多本信息安全與信息技術的專業書籍，包括Solaris Security、CISSP Guide to Security Essentials、CISM Certified Information Security Manager All-In-One Exam Guide和CISA Certified Information Systems Auditor All-In-One Exam Guide等。Peter曾在許多行業會議上發表演講，包括RSA、Interop、ISACA CACS、(ISC)2大會、SecureWorld博覽會、西海岸安全論壇、OptivCon、維多利亞(BC)隱私和安全會議、IP3、信息管理協會、Interface、Tech Junction、SOURCE、華盛頓技術行業協會和InfraGard等。Peter擔任華盛頓大學信息安全和風險管理認證計劃顧問委員會成員、華盛頓大學網絡安全認證計劃的首席講師和顧問委員會成員、南佛羅裡達大學網絡安全認證顧問委員會成員和講師、InfraGard華盛頓州分會前理事會成員，以及太平洋CISO論壇的創始成員。Peter是FBI公民學院2008年畢業生、FBI公民學院校友會成員。

《CISA信息系統審計師認證All-in-One(第4版 • 2019大綱)》由審計專家撰寫，對上一版做了全面更新，內容權威，涵蓋2019年ISACA 開發的所有五個CISA考試領域。每章開頭列出學習目標，文中穿插考試提示，章末包含小結、本章要點、習題和答案。本書旨在幫助考生更輕鬆地通過CISA考試，也可供IS審計新人和資深人士在工作期間參考。

譯 者 序

近年來，隨著云計算、物聯網、大數據、移動互聯網、5G等技術的蓬勃發展，基於數字化經濟新範式的信息系統建設和運營體系也發生了翻天覆地的變化。信息系統的基礎性、全局性和全員性作用日益增強；企業內外網絡的邊界日益模糊，研發環境和生產環境的聯繫日趨緊密，信息內容實時交互和分享，這些趨勢帶來的風險都不可避免地從各個方面影響企業的正常經營，乃至影響國家安全。
目前國內外信息安全形勢日趨嚴峻，在經濟利益、同業競爭等因素的驅動下，各類組織和人員時刻都在通過在線線下的各種途徑獲取所需的信息。在此場景下，如何識別腳本小子的練手、如何阻止有組織犯罪集團獲取經濟信息、如何防範間諜滲透獲取情報，是每個企業都需要關注的重中之重。信息安全領域是一個無法預判對手、難以預測發生時間、看不見槍林彈雨的戰場。歐盟的《通用數據保護條例》，以及我國的《網絡安全法》《數據安全法》《關鍵信息基礎設施安全保護條例》《個人信息保護法》等法律法規都對關鍵基礎設施運營者或組織信息安全保護提出了明確要求，指導各級政府機關和企事業單位在複雜環境中應對風險。
信息安全作為信息化深入推進的重要保障，已成為國家安全戰略的重要組成部分。信息安全工作也呈現出長期性、艱巨性、複雜性的特點。因此，作為信息安全重要防線之一的“審計(Audit)”職能扮演著重要角色。信息系統審計工作採用系統化方法評估和提高風險管理、控制、治理流程的有效性，以實現相應目標。信息系統審計通過獨立、專業和客觀的判斷，充分發揮對業務系統安全合規保駕護航的作用。
有鑒於此，清華大學出版社引進出版了《CISA信息系統審計師認證All-in-One(第4版·2019大綱)》一書，希望通過本書，讓廣大信息系統審計從業人員對信息技術風險治理、信息系統和信息安全生命周期管理，以及信息系統審計的標準、流程和實務有全面和深入的認識，提升審計能力。本書作者Peter H. Gregory是一位在信息安全和風險管理方面擁有30年經驗的技術專家，一直深度參與IT控制和內部審計。本書重點講述IT治理和管理、審計流程、IT生命周期管理、IT服務管理和業務持續、信息資產保護等主題，將CISA考試所需的知識及其實際應用結合在一起，形成一本易於閱讀、學習和參考的指南。本書每一章中的注釋和技巧都提供了在現實環境中“如何開展審計實務”的真實案例，也包括不在考試範圍，卻對信息系統審計師很重要的概念(如IT風險框架和系統研發生命周期)。本書還非常重視IS審計師在IT控制之外的作用。總之，本書是一本不可多得的信息系統審計類參考資料，既可幫助對CISA認證有興趣的考生復習備考，也可作為從事信息系統審計和信息安全咨詢工作的人員的案頭參考書。
本書的翻譯歷時一年之久。翻譯中譯者力求忠於原著，盡可能傳達作者的原意。有近十名譯者參與本書的翻譯和校對工作。在此感謝他們的辛勤付出。同時，感謝參與本書校對的信息系統審計和網絡安全專家，他們保證了本書稿件內容表達的一致性和文字的流暢。同時要感謝欒浩、姚凱和齊力群先生對組稿、校對和統稿等工作所投入的大量時間和精力，保證了全書在技術上還原信息系統審計工作實務，以及內容表達的準確、一致和連貫。
同時，還要感謝本書的審校單位“永拓華安網絡空間技術服務(北京)有限公司”(簡稱“永拓華安”)。永拓華安作為北京永拓工程咨詢股份有限公司(股票代碼：832207)的全資子公司，以成就更高社會價值為目標，堅持黨的領導，堅持“客觀、公正、獨立、保密”的執業原則，發揚“永遠開拓”的企業精神，依靠嚴謹的專業團隊、完整有效的執業規程、全方位的網絡安全保障體系、良好的溝通能力，為國家機關、大型國企、銀行保險企業、上市企業、大型民營企業等客戶提供信息系統審計、信息安全咨詢等以實現管理目標和信息資產價值交付為核心的全方位、定制化專業服務。2018年，永拓華安成為中國信息安全測評中心批授予《信息安全服務(信息系統審計類)資質證書》的機構。在本書的譯校過程中，永拓華安的信息系統審計專家結合CISA認證考試特點，投入了大量技術人員和時間支撐譯校工作，保證了本書的質量。
後，再次感謝清華大學出版社和王軍等編輯的嚴格把關，悉心指導，正是有了他們的辛勤努力和付出，才有了本書中文譯稿的出版發行。
信息系統審計類書籍涉及多個縱向專業領域，內容涉獵廣泛，術語體系複雜。譯者能力有限，在翻譯中難免有不妥之處，懇請廣大讀者朋友不吝指正。

譯 者 介 紹

欒浩，獲得美國天普大學IT審計與網絡安全專業理學碩士學位，持有CISSP、CISA、CISP-A、TOGAF9、ISO27001LA和BS25999LA等認證。負責金融科技研發、數據安全、云計算安全和信息科技審計和風控等工作。擔任(ISC)2上海分會理事。欒浩先生擔任本書翻譯工作的總技術負責人，並承擔第3章的翻譯工作，以及全書的校對和定稿工作。
姚凱，獲得中歐國際工商學院工商管理碩士學位，持有CISA、CISSP、CCSP和CEH等認證。負責IT戰略規劃、政策程序制定、IT架構設計及應用部署、系統取證和應急響應、數據安全、災難恢復演練及復盤等工作。姚凱先生承擔本書前言和第1~2章的翻譯、5~6章的技術修訂工作以及全書的校對、定稿工作。
齊力群，獲得北京聯合大學機械工程學院機械設計與製造專業工學學士學位，持有CISA、CIA和CISP-A等認證。現任永拓華安網絡空間技術服務(北京)有限公司總經理，負責信息系統審計、信息安全咨詢服務等業務的推廣、實施等工作。齊力群先生承擔第4章和附錄A的翻譯工作以及全書校對、統稿工作。
王向宇，獲得安徽科技學院網絡工程專業工學學士學位，持有CISP、CISP-A等認證。負責數據安全運營、安全工具研發、信息系統審計和軟件開發安全等工作。王向宇先生承擔本書第1~2章的技術修訂、全書校對和統稿工作。
呂麗，獲得吉林大學文秘專業文學學士學位，持有CISSP、CISA、CISM和CISP-PTE等認證。現任中銀金融商務有限公司信息安全經理，負責信息科技風險管理、網絡安全技術評估、信息安全體系制度管理、業務持續及災難恢復體系管理、安全合規與審計等工作。呂麗女士承擔本書第3~4章的技術修訂、全書術語定稿和全書校對工作，並擔任本書項目經理，統籌全書各項事務。
湯國洪，獲得電子科技大學電子材料與元器件專業工學學士學位，持有CISSP、CISA等認證。負責基礎架構安全和網絡安全等工作。湯國洪先生承擔第5章的翻譯工作，並為本書撰寫了譯者序。
王銘，獲得北京航空航天大學軟件工程碩士學位，持有CISP-A、中級審計師等認證。現任陜西省審計計算機信息中心副主任，負責本省金審工程項目相關私有云平臺和信息安全系統的規劃和組織建設等工作。王銘先生擔任本書信息系統審計工作實務專家，並承擔部分章節的校對工作。

朱良，獲得華北電力大學計算機技術工學碩士學位。現任職於中國人民銀行長春中心支行科技處，負責指導轄內金融機構信息化和安全建設等相關工作。朱良先生擔任本書信息系統建設工作實務專家，承擔本書部分章節的校對工作。
馬春燕，挪威商學院工商管理碩士，持有CISSP和CCSP等認證。負責網絡安全管理戰略、安全架構、云安全、業務安全和應急響應等工作。馬春燕女士擔任本書第6章和附錄B的翻譯工作。
張李安，獲得北京信息工程學院信息管理與信息系統專業管理學學士學位，持有CISSP等認證。現任某國有商業銀行高級信息安全管理崗職務，負責信息安全管理、數據安全、運營安全、安全檢查等工作。張李安女士承擔本書部分章節的校對工作。
徐坦，獲得河北科技大學理工學院網絡工程專業工學學士學位，持有CISP等認證。現任安全滲透測試工程師職務，負責數據安全滲透測試、安全工具研發和企業安全攻防等工作。徐坦先生承擔本書部分章節的校對工作。
李浩軒，獲得河北科技大學理工學院網絡工程專業工學學士學位，持有CISP等認證。現任安全滲透測試工程師職務，負責安全工具研發、應用安全檢測、異常流量分析、攻擊事件研判和網絡攻擊溯源等工作。李浩軒先生承擔本書部分章節的校對工作。
趙一龍，獲得北京科技大學計算機科學與技術專業工學學士學位，持有CISSP、CISP和PMP等認證。負責安全咨詢、解決方案和安全建設等工作。趙一龍先生承擔本書部分章節的校對工作。
周可政，獲得上海交通大學電子與通信工程專業工學碩士學位，持有CISSP和CISA等認證。現任銀聯數據服務有限公司資深安全工程師職務，負責公司互聯網應用安全、SIEM平臺、主機安全和企業安全建設等工作。周可政先生承擔本書部分章節的校對工作。
牛承偉，獲得中南大學工商管理碩士學位，持有CISP等認證。現任廣州越秀集團有限公司高級主管，負責基礎設施安全、數據安全和資產安全等工作。牛承偉先生承擔本書部分章節的校對工作。
朱思奇，獲得上海交通大學通信與信息系統專業工學碩士學位，持有CISSP和CISA等認證。現任中國銀行股份有限公司江蘇省分行信息科技部門的科技經理職務，負責公司信息科技風險管理、信息科技審計等工作。朱思奇先生承擔本書部分章節的校對工作。
劉北水，獲得西安電子科技大學通信與信息系統專業工學碩士學位，持有CISSP、CISP和PMP等認證。現任工業和信息化部電子第五研究所項目主管，負責電子政務領域信息安全體系規劃、商用密碼應用安全性評估等工作。劉北水先生承擔本書部分章節的校對工作。
趙晨明，獲得西安交通大學工商管理碩士學位，持有CISA和CISSP等認證。負責數據安全和隱私保護等工作。趙晨明先生承擔本書部分章節的校對工作。
曾大寧，獲得南京航空航天大學飛行器環境控制與安全救生專業工學學士學位。持有PMP和RHCE等認證。曾大寧先生承擔本書部分章節的校對工作。
朱建濱，獲得香港大學工商管理碩士學位，持有CISSP等認證。負責信息安全治理、風險和合規、數據安全和隱私保護等工作。朱建濱先生承擔本書部分章節的校對工作。

許琛超，獲得上海交通大學計算機科學與技術工學學士學位。持有CISSP、CISP和CISA等認證。許琛超先生承擔本書部分章節的校對工作。
邢海韜，獲得北京工業大學軟件工程碩士學位。持有CDPSE等認證。邢海韜先生承擔本書部分章節的校對工作。
鄧詩智，獲得解放軍信息工程大學應用數學專業理學碩士學位。鄧詩智先生承擔本書部分章節的校對工作。
賀凱，獲得浙江大學寧波理工學院通信工程專業工學學士學位。持有CISSP和CISA等認證。賀凱先生承擔本書部分章節的校對工作。
張鋒，獲得鄭州大學計算機科學與技術專業工學碩士學位，持有CISA等認證。張鋒先生承擔本書部分章節的校對工作。
本書涉獵廣泛，內容涉及IT審計、IT治理、IT生命周期管理、IT服務管理、信息資產保護等方面的認證考試相關難點，特別是細分領域的安全術語和概念，中文譯本極易混淆，往往令應試者考場失利。在本次翻譯工作中，針對此類情況，舉行了專項學術討論，(ISC)2上海分會的諸位安全專家給予了高效專業的解答，這裡衷心感謝(ISC)2上海分會理事會和(ISC)2上海分會會員的參與、支持和幫助。

作 者 簡 介

Peter H. Gregory持有CISM、CISA、CRISC、CISSP、CIPM、CCISO、CCSK和PCI-QSA等認證證書，是一位擁有近30年從業經驗的安全技術專家，擔任Optiv Security(美國的安全系統集成商)的執行董事。2002年至今，Peter致力於制訂和管理組織的信息安全管理計劃。從1990年以來，Peter一直領導安全IT環境的研發和測試工作。此外，Peter曾擔任軟件工程師、架構師、系統工程師、網絡工程師和安全工程師等職務。Peter在職業生涯中撰寫了大量文章、白皮書、用戶手冊、流程和程序，並多次組織講座、培訓、研討會和編撰大學課程。
Peter撰寫了40多本信息安全與信息技術的專業書籍，包括Solaris Security、CISSP Guide to Security Essentials、CISM Certified Information Security Manager All-In-One Exam Guide和CISA Certified Information Systems Auditor All-In-One Exam Guide等。Peter曾在許多行業會議上發表演講，包括RSA、Interop、ISACA CACS、(ISC)2大會、SecureWorld博覽會、西海岸安全論壇、OptivCon、維多利亞(BC)隱私和安全會議、IP3、信息管理協會、Interface、Tech Junction、SOURCE、華盛頓技術行業協會和InfraGard等。Peter擔任華盛頓大學信息安全和風險管理認證計劃顧問委員會成員、華盛頓大學網絡安全認證計劃的首席講師和顧問委員會成員、南佛羅裡達大學網絡安全認證顧問委員會成員和講師、InfraGard華盛頓州分會前理事會成員，以及太平洋CISO論壇的創始成員。Peter是FBI公民學院2008年畢業生、FBI公民學院校友會成員。

技術編輯簡介

Bobby E. Rogers是一名擔任美國國防部承包商的信息安全工程師，幫助相關機構保護、認證和認可信息系統。Bobby負責信息系統安全工程、風險管理以及認證和認可等工作。Bobby在美國空軍服役21年後，以網絡安全工程師和講師的身份退休，擁有全球範圍的網絡安全人脈圈。Bobby獲得了信息鑒證(Information Assurance，IA)專業碩士學位和馬裡蘭州Capitol Technology University的網絡安全專業博士學位。Bobby持有CISSP-ISSEP、CRISC、CEH、MCSE(Security)、CompTIA A 、CompTIA Network 及CompTIA Security 等認證證書。Bobby是CRISC Certified in Risk and Information Systems Control All-In-One Exam Guide和CompTIA Mobility All-In-One Exam Guide的作者。Bobby還是許多網絡安全書籍的技術編輯，包括經典著作CISSP All-in-One Exam Guide；該書由清華大學出版社引進並出版，中文書名為《CISSP權威指南(第8版)》。

致 謝

特別感謝Wendy Rinaldi負責管理本書修訂流程並幫助團隊在極短時間內出版了本書。
衷心感謝Amy Stonebraker Gray女士對本項目的監督，Claire Yee(以及後加入的Emily Walters)嫻熟地推進本書的交付階段工作，保證項目交付件的快速中轉，並提供撰寫稿件所需的信息。
感謝負責技術審閱的Bobby Rogers。Bobby認真且細致地閱讀了全部稿件，提出了許多中肯的建議，這些建議大幅提升了本書質量。
非常感謝撰稿人Tanya Scott。Tanya撰寫了本書第1版的第1章和附錄B，並修訂了本書的第2版。Chris Tarnstrom 撰寫了初版的附錄A。在西雅圖執業的CISA和咨詢顧問Justin Hendrickson為第3版更新了附錄A和附錄B。此外，還要感謝安全和隱私專家John Clark(持有CISA、CISSP、Security 、CIPP/E、CIPT、CIPM、FIP及PMP等認證證書)對附錄B的修訂。這些章節有助於考生更好地理解CISA認證過程並幫助信息系統審計師提高工作效率。此外，Tanya、Chris、Justin和John的專業審計經驗和洞察力也極大地提升了本書價值，即便考生獲得CISA認證證書後，本書依然存在價值。本書的願景是向從事審計實務的信息系統審計師傳遞價值，上述所有專家的貢獻使本書的這一願景得以實現。
非常感謝Lisa Theobald出色的編輯工作，她的工作進一步提高了本書的可讀性。Lisa發現了若干錯誤，並為本書提出了寶貴建議。非常感謝Cenveo Publisher Services設計的頁面及布局。就像奧林匹克運動員一樣，他們使困難的工作變得容易。
特別感謝 Radhika Jolly和Janet Walden 監督本書的撰寫和出版流程並糾正了諸多錯誤。
非常感謝我的經紀人Carole Jelen在此項目以及其他許多項目中所給予的巨大幫助。衷心感謝我的業務經理、公關人員和研究助理Rebecca Steele的長遠眼光，使我能夠始終保持專注，並感謝她提供的圖片。
我已經撰寫了40多本圖書，非常感謝妻子Rebekah的付出。在我撰寫本書第4版期間，無法常態化地顧及家庭；如果沒有她堅定不移的大力支持，本書是不可能完成的。她應得到這份贊譽。

前 言

信息系統(Information Systems，IS)的高速創新令人眼花繚亂。通常，設計缺陷(Flaw)和技術漏洞(Vulnerability，亦稱脆弱性)將通過信息盜竊或泄露的各種形式帶來各種意想不到的嚴重後果。組織需要根據各項法律、法規和標準，如Sarbanes-Oxley、GLBA、HIPAA、PCI-DSS、NYDFS、PIPEDA、GDPR、CCPA以及大量要求公開個人信息安全漏洞的美國州立法律開展整改行動。修訂的法律法規和監管要求推動或鼓勵組織開展內部審計活動，或通過外部審計評估合規性，以避免組織受到處罰、制裁或出現在令人尷尬的新聞頭條上。
新出臺的法律監管要求也加大了各組織對於IT安全專家和信息系統審計師的需求，這些備受關注的安全專家們在制定合規計劃(Compliance Program)和降低風險方面發揮著決定性的作用。
始於1978年的注冊信息系統審計師(Certified Information Systems Auditor，CISA)認證，無疑是信息系統審計行業的領先認證體系。如今，各行各業對CISA認證專家的需求增長非常快，以至於ISACA在2005年將每年一次的認證考試增加為每年兩次，然後是每年三次，現在則是全年循環考試。2005年，CISA認證被美國國家標準協會(ANSI)認定為國際標準ISO/IEC 17024認證。CISA認證還是美國國防部正式批準的信息鑒證技術類別中的少數認證之一(DoD 8570.01-M)。2009年和2017年，SC Magazine將CISA評為專業認證計劃。2016年，持有CISA認證的專家數量超過129 000名。
信息系統審計並不是一時之“泡沫”或泛濫成災。與之相反，信息系統審計師必須及時了解新技術、新系統、新威脅，了解新數據安全和隱私法律、法規標準監管合規要求。CISA認證是從事控制、鑒證和安全等工作領域專家的黃金標準認證。
本書目的
本書是一本面向安全或IT審計專家的綜合學習指南，考生需要認真參考個人或團體主導的CISA認證考試學習。本書的絕大部分內容包含CISA考生必須掌握的技術信息。
本書也是具有抱負和實務經驗的信息系統審計師的參考用書。通過CISA認證考試所需的內容與執業審計師在日常工作中需要熟悉的內容相吻合。本書是理想的CISA考試學習指南，也是已獲得CISA認證人員的日常參考書。

對於需要接受外部組織審計和監管機構檢查的安全和業務專家而言，本書也具有不可估量的價值。行業專家需要對信息系統審計師所使用的審計實務和方法具有相當深入的了解。這不僅有助於內部審計體系的運轉，也有助於理解外部審計師及其工作方式。本書的知識和見解將促進更好的審計產出。
對於那些試圖了解信息系統審計行業的人士而言，本書是很好的指南。本書各章解釋了所有相關的技術和審計程序，附錄解釋了流程框架和專業審計實務。這些內容對於可能想了解信息系統審計專業詳情的人士非常有用。
本書結構
本書在邏輯上分為以下四個主要部分：
● 簡介 本書的前言和第1章概述了CISA認證和信息系統審計行業特點。
● CISA學習資料 第2~6章包含積極備考CISA認證的考生必須掌握的CISA考試內容，也是有抱負的信息系統審計師的快速查詢手冊。
● 信息系統審計師參考信息 附錄A引導CISA考生完成從審計規劃到終報告交付的專業化信息系統審計全流程。附錄B討論了控制措施框架，這將幫助信息系統審計師開展審計工作，幫助他們了解控制措施框架功能，並為需要實施控制措施框架的組織提供指導。注意，附錄A~C都放在本書配套網站中。

第1章 成為注冊信息系統審計師(CISA) 1
1.1 CISA認證的收益 2
1.2 CISA認證流程 3
1.3 ISACA職業道德準則 7
1.4 ISACA 信息系統(IS)標準 7
1.5 CISA認證考試 9
1.5.1 考試準備 10
1.5.2 考試之前 10
1.5.3 考試當天 11
1.5.4 考試之後 11
1.6 申請CISA認證 12
1.7 維持CISA認證 12
1.7.1 繼續教育 12
1.7.2 CPE維持費用 14
1.8 吊銷證書 14
1.9 CISA考試準備指導 15
1.10 小結 15
第2章 IT治理和管理 17
2.1 高管和董事會的IT治理實務 18
2.1.1 IT治理 18
2.1.2 IT治理框架 18
2.1.3 IT戰略委員會 19
2.1.4 平衡計分卡 19
2.1.5 信息安全治理 20
2.2 IT戰略規劃 23
2.3 策略、流程、程序和標準 24
2.3.1 信息安全策略 25
2.3.2 隱私策略 26
2.3.3 數據分類策略 26
2.3.4 系統分類策略 27
2.3.5 場所分類策略 27
2.3.6 訪問控制策略 27
2.3.7 移動設備策略 27
2.3.8 社交媒體策略 28
2.3.9 其他策略 28
2.3.10 流程和程序 28
2.3.11 標準 29
2.3.12 企業架構 30
2.3.13 法律、法規和標準的適用性 32
2.4 風險管理 33
2.4.1 風險管理計劃 33
2.4.2 風險管理流程 34
2.4.3 風險處理 43
2.5 IT管理實務 45
2.5.1 人員管理 45
2.5.2 尋源或尋找供應商 50
2.5.3 變更管理 56
2.5.4 財務管理 57
2.5.5 質量管理 57
2.5.6 組合管理 59
2.5.7 控制措施管理 59
2.5.8 安全管理 60
2.5.9 性能和容量管理 61
2.6 組織結構與職責 62
2.6.1 角色與職責 63
2.6.2 職責分離 68
2.7 IT治理審計 69
2.7.1 文檔和記錄審計 70
2.7.2 合同審計 71
2.7.3 外包審計 72
2.8 小結 73
2.9 本章要點 74
2.10 習題 74
2.11 答案 76
第3章 審計流程 79
3.1 審計管理 79
3.1.1 審計章程 80
3.1.2 審計計劃 80
3.1.3 戰略性審計規劃 80
3.1.4 審計和技術 82
3.1.5 審計相關的法律法規和監管合規要求 83
3.2 ISACA審計標準 88
3.2.1 ISACA職業道德規範 88
3.2.2 ISACA審計和鑒證標準 88
3.2.3 ISACA審計和鑒證準則 91
3.3 風險分析 95
3.3.1 審計師風險分析和企業風險管理計劃的側重點 96
3.3.2 評價業務流程 97
3.3.3 識別業務風險 98
3.3.4 風險緩解 99
3.3.5 安全對策評估 100
3.3.6 持續監測 100
3.4 控制措施 100
3.4.1 控制措施分類 100
3.4.2 內部控制目標 103
3.4.3 信息系統控制目標 104
3.4.4 通用計算控制措施 104
3.4.5 信息系統控制措施 105
3.5 開展審計實務 105
3.5.1 審計目標 106
3.5.2 審計類型 107
3.5.3 合規性測試和實質性測試 108
3.5.4 審計方法論和項目管理 109
3.5.5 審計證據 111
3.5.6 依賴其他審計師的工作成果 116
3.5.7 審計數據分析 117
3.5.8 報告審計結果 120
3.5.9 其他審計主題 122
3.6 CSA 124
3.6.1 CSA的優缺點 125
3.6.2 CSA生命周期 125
3.6.3 CSA目標 126
3.6.4 審計師和CSA 126
3.7 實施審計建議 127
3.8 小結 127
3.9 本章要點 128
3.10 習題 129
3.11 答案 131
第4章 IT生命周期管理 133
4.1 收益實現 134
4.1.1 項目組合和項目集管理 134
4.1.2 制定業務案例 136
4.1.3 衡量業務收益 137
4.2 項目管理 138
4.2.1 項目組織 138
4.2.2 制定項目目標 139
4.2.3 管理項目 141
4.2.4 項目角色和責任 142
4.2.5 項目規劃 143
4.2.6 項目管理方法論 154
4.3 系統研發生命周期(SDLC) 159
4.3.1 SDLC階段 160
4.3.2 軟件研發風險 180
4.3.3 其他軟件研發方法和技術 181
4.3.4 系統研發工具 185
4.3.5 采購基於云計算的基礎架構和應用程序 186
4.4 研發和實施基礎架構 188
4.4.1 審查現有基礎架構 189
4.4.2 需求 189
4.4.3 設計 190
4.4.4 采購 190
4.4.5 測試 191
4.4.6 實施 191
4.4.7 維護 191
4.5 信息系統維護 192
4.5.1 變更管理 192
4.5.2 配置管理 193
4.6 業務流程 194
4.6.1 業務流程生命周期與業務流程再造 194
4.6.2 能力成熟度模型 197
4.7 第三方管理 199
4.7.1 風險因素 199
4.7.2 入圍和盡職調查 199
4.7.3 分類 200
4.7.4 評估 200
4.7.5 補救 200
4.7.6 風險報告 201
4.8 應用程序控制措施 201
4.8.1 輸入控制措施 201
4.8.2 處理控制措施 203
4.8.3 輸出控制措施 205
4.9 系統研發生命周期審計 206
4.9.1 項目集與項目管理審計 206
4.9.2 可行性研究審計 207
4.9.3 項目需求審計 207
4.9.4 項目設計審計 207
4.9.5 軟件購置審計 207
4.9.6 項目研發審計 208
4.9.7 項目測試審計 208
4.9.8 項目實施審計 208
4.9.9 項目實施後審計 209
4.9.10 變更管理審計 209
4.9.11 配置管理審計 209
4.10 業務控制措施審計 209
4.11 應用程序控制措施審計 210
4.11.1 交易流向 210
4.11.2 觀察 210
4.11.3 數據完整性測試 211
4.11.4 在線處理系統測試 211
4.11.5 應用程序審計 211
4.11.6 持續審計 212
4.12 第三方風險管理審計 213
4.13 小結 213
4.14 本章要點 215
4.15 習題 216
4.16 答案 218
第5章 IT服務管理和業務持續 221
5.1 信息系統運營 221
5.1.1 運營的管理與控制 222
5.1.2 IT服務管理 222
5.1.3 IT運營和異常處置 230
5.1.4 終用戶計算 231
5.1.5 軟件程序代碼庫管理 232
5.1.6 質量保證 233
5.1.7 安全管理 233
5.1.8 介質控制措施 234
5.1.9 數據管理 234
5.2 信息系統硬件 235
5.2.1 計算機使用 235
5.2.2 計算機硬件架構 238
5.2.3 硬件維護 246
5.2.4 硬件持續監測 246
5.3 信息系統架構與軟件 247
5.3.1 計算機操作系統 247
5.3.2 數據通信軟件 248
5.3.3 文件系統 248
5.3.4 數據庫管理系統 249
5.3.5 介質管理系統 252
5.3.6 實用軟件 253
5.3.7 軟件許可證 254
5.3.8 數字版權管理 255
5.4 網絡基礎架構 255
5.4.1 企業架構 256
5.4.2 網絡架構 256
5.4.3 基於網絡的服務 258
5.4.4 網絡模型 260
5.4.5 網絡技術 269
5.5 業務韌性 299
5.5.1 業務持續規劃 299
5.5.2 災難恢復規劃 329
5.6 審計IT基礎架構和運營 346
5.6.1 審計信息系統硬件 346
5.6.2 審計操作系統 346
5.6.3 審計文件系統 347
5.6.4 審計數據庫管理系統 347
5.6.5 審計網絡基礎架構 347
5.6.6 審計網絡運行控制措施 348
5.6.7 審計IT運營 349
5.6.8 審計無人值守運營 350
5.6.9 審計問題管理操作 350
5.6.10 審計持續監測運營 350
5.6.11 審計采購 351
5.6.12 審計業務持續規劃 351
5.6.13 審計災難恢復規劃 354
5.7 小結 358
5.8 本章要點 359
5.9 習題 360
5.10 答案 363
第6章 信息資產保護 365
6.1 信息安全管理 365
6.1.1 信息安全管理的主要方面 365
6.1.2 角色和職責 369
6.1.3 業務一致性 370
6.1.4 資產清單和分類 371
6.1.5 訪問控制 373
6.1.6 隱私 374
6.1.7 第三方管理 375
6.1.8 人力資源安全 379
6.1.9 計算機犯罪 382
6.1.10 安全事故管理 386
6.1.11 法證調查 390
6.2 邏輯訪問控制措施 391
6.2.1 訪問控制概念 391
6.2.2 訪問控制模型 392
6.2.3 訪問控制的威脅 392
6.2.4 訪問控制漏洞 393
6.2.5 接入點和進入方式 394
6.2.6 身份識別、身份驗證和授權 397
6.2.7 保護存儲的信息 404
6.2.8 管理用戶訪問 410
6.2.9 保護移動設備 414
6.3 網絡安全控制措施 416
6.3.1 網絡安全 416
6.3.2 物聯網安全 419
6.3.3 保護客戶端/服務器應用程序 420
6.3.4 保護無線網絡 421
6.3.5 保護互聯網通信 424
6.3.6 加密 429
6.3.7 IP語音 439
6.3.8 專用分組交換機 440
6.3.9 惡意軟件 441
6.3.10 信息泄露 446
6.4 環境控制措施 448
6.4.1 環境威脅和脆弱性 448
6.4.2 環境控制措施與對策 449
6.5 物理安全控制措施 453
6.5.1 物理訪問威脅和脆弱性 454
6.5.2 物理訪問控制措施和對策 455
6.6 審計資產保護 456
6.6.1 審計安全管理 456
6.6.2 審計邏輯訪問控制措施 457
6.6.3 審計網絡安全控制措施 462
6.6.4 審計環境控制措施 465
6.6.5 審計物理安全控制措施 466
6.7 小結 467
6.8 本章要點 468
6.9 習題 469
6.10 答案 471
附錄A 開展專業化審計(可從網站下載)
附錄B 主流方法論、框架和準則(可從網站下載)
附錄C 關於在線學習資源(可從網站下載)