400-888-5228

CISA认证是由信息系统审计与控制协会(ISACA)颁发的,针对信息系统审计、控制与安全领域的专业认证。它表明持证人在评估和审计信息系统的安全性、可靠性和有效性方面具备专业知识和技能。CISA 认证在信息技术和审计领域具有较高的认可度。

  • 中文名CISA信息系统审计师认证
  • 英文名Certified Information Systems Auditor
  • 英文简称CISA
  • 颁证机构ISACA(国际信息系统审计与控制协会)
  • 证书类别IT审计,IT运维,信息安全
  • 同类认证CISMCRISC

>>>重要!CISA新版教材于2024年5月1日更新,到底发生了哪些变化?<<<

《CISA Review Manual(CISA考试复习手册)》

CISA官方教材选用ISACA官方出版的《CISA Review Manual》,中文名称是《CISA考试复习手册》。教材每年更新,目前_新版是第27版。《CISA考试复习手册》是CISA认证考试的基础。

随着计算机技术在管理中的广泛运用,传统的管理、控制、检查和审计技术都面临着巨大的挑战。在网络经济迅猛发展的今天,IT审计师已被公认为全世界范围内非常抢手的高级人才。享誉全球的ISACA(国际信息系统审计协会)为全球专业人员提供知识、职业认证并打造社群网络,其推出的CISA(注册信息系统审计师,Certified Information Systems Auditor)认证在全球受到广泛认可,并已进入中国。本书是ISACA官方出版的获得CISA认证的指定教材。

另外推荐同样是ISACA官方出版的《CISA复习考题及解答手册》,目前_新版是第12版。《CISA 复习考题及解答手册》中包括1000道选择题及解答,是根据新修订的CISA工作实务领域编排的。这些题目及解答旨在向CISA考生介绍可能在CISA考试中出现的题目类型。这些题目并不是考试中的真实题目。《CISA复习考题及解答手册》还包含一份150道题目的考试样卷,每个CISA工作实务领域相关的题目所占的比例与实际考试相同。

CISA官方教材:《CISA Review Manual(CISA考试复习手册)》及CISA知识体系介绍 -- 第1张CISA官方教材:《CISA Review Manual(CISA考试复习手册)》及CISA知识体系介绍 -- 第2张

CISA考试复习手册目录结构

《CISA Review Manual》原书为英文,也有中文版《CISA考试复习手册》出版,其目录供参考,如下:

《CISA考试复习手册(第27版)》目录

致谢
新增CISA工作实务
关于本手册
概述
本手册的编排
准备CISA考试
开始准备
使用《CISA考试复习手册》
手册特征
将《CISA考试复习手册》与其他ISACA资源结合使用
关于CISA复习考题及解答产品
第1章:信息系统的审计流程
概述
领域1考试内容大纲
学习目标/任务说明
深造学习参考资料
自我评估问题
自我评估问题解答
第A部分:规划
1.0 简介
1.1 信息系统审计标准、准则和道德规范
1.1.1 ISACA信息系统审计和鉴证标准
1.1.2 ISACA信息系统审计和鉴证准则
1.1.3 ISACA职业道德规范
1.1.4 ITAF
1.2 业务流程
1.2.1 信息系统内部审计职能
审计章程
1.2.2 信息系统审计职能的管理
信息系统审计资源的管理
1.2.3 审计规划
单项审计任务
1.2.4 法律法规对信息系统审计规划的影响
1.2.5 业务流程应用程序和控制
电子商务
电子数据交换
电子邮件
销售终端系统
电子银行
电子资金转账
自动提款机
电子金融
集成制造系统
交互式语音响应
采购会计系统
图像处理
工业控制系统
人工智能和专家系统
供应链管理
客户关系管理
1.2.6 使用其他审计师和专家的服务
1.3 控制类型
1.3.1 控制目标和控制措施
信息系统控制目标
1.3.2 控制环境评估
1.3.3 常规控制
1.3.4 信息系统特有的控制
1.4 基于风险的审计规划
1.4.1 审计风险和重要性
1.4.2 风险评估
1.4.3 信息系统审计风险评估技术
1.4.4 风险分析
1.5 审计类型和评估
第B部分:执行
1.6 审计项目管理
1.6.1 审计目标
1.6.2 审计阶段
1.6.3 审计程序
制定审计程序所需的基础技能
1.6.4 审计工作底稿
1.6.5 欺诈、违规和非法行为
1.7 抽样方法论
1.7.1 符合性与实质性测试
1.7.2 抽样
抽样风险
1.8 审计证据收集技巧
1.8.1 访问和观察员工以了解其职责履行情况
1.9 数据分析
1.9.1 计算机辅助审计技术
作为持续在线审计方法的CAAT
1.9.2 持续审计和监控
1.9.3 持续审计技术
1.10 报告和沟通技巧
1.10.1 沟通审计结果
1.10.2 审计报告目标
1.10.3 审计报告的结构与内容
1.10.4 审计记录
1.10.5 后续活动
1.10.6 信息系统审计报告的类型
1.11 质量_和审计流程改进
1.11.1 控制自我评估
CSA的目标
CSA的优势
CSA的劣势
信息系统审计师在CSA中的角色
1.11.2 整合审计
案例研究
案例研究相关问题的答案
第2章:IT治理与管理
概述
领域2考试内容大纲
学习目标/任务说明
深造学习参考资料
自我评估问题
自我评估问题解答
第A部分:IT治理
2.0 简介
2.1 IT治理和IT战略
2.1.1 企业信息和技术治理
2.1.2 EGIT的良好实践
2.1.3 EGIT中的审计角色
2.1.4 信息安全治理
有效的信息安全治理
2.1.5 信息系统战略
2.1.6 战略规划
2.1.7 商业智能
数据治理
2.2 IT相关框架
2.3 IT标准、政策、程序和准则
2.3.1 标准
2.3.2 政策
信息安全政策
审查信息安全政策
2.3.3 程序
2.3.4 准则
2.4 组织结构
2.4.1 IT治理委员会
2.4.2 高级管理层和董事会的角色和职责
董事会
高级管理层
信息安全标准委员会
首席信息安全官
IT指导委员会
结果和职责矩阵
2.4.3 IT组织结构和职责
IT角色和职责
2.4.4 IT内部的职责分离
职责分离控制
2.4.5 审计IT治理结构与实施
审查文档
2.5 企业架构
2.6 企业风险管理
2.6.1 制订风险管理方案
2.6.2 风险管理流程
第1步:资产识别
第2步:资产面临的威胁和漏洞评估
第3步:影响评估
第4步:风险计算
第5步:风险评估和响应
2.6.3 风险分析方法
定性分析方法
半定量分析方法
定量分析方法
2.7 成熟度模型
2.7.1 能力成熟度模型集成
2.7.2 初始化、诊断、建立、行动和学习模型
2.8 影响组织的法律、法规和行业标准
2.8.1 治理、风险与合规性
2.8.2 法律、法规和行业标准对信息系统审计的影响
第B部分:IT管理层
2.9 IT资源管理
2.9.1 IT的价值
2.9.2 实施IT组合管理
IT组合管理与平衡计分卡
2.9.3 IT管理实务
2.9.4 人力资源管理
雇用
员工手册
晋升政策
培训
日程计划安排和时间报告
雇用期间
员工绩效评估
必休假期
离职政策
2.9.5 组织变更管理
2.9.6 财务管理实务
信息系统预算
软件开发
2.9.7 信息安全管理
2.10 IT服务提供商购置和管理
2.10.1 外包实务与战略
行业标准/基准检测
全球化实务与策略
2.10.2 外包和第三方审计报告
2.10.3 云治理
2.10.4 外包中的治理
2.10.5 容量和发展规划
2.10.6 第三方服务交付管理
2.10.7 第三方服务的监控和审查
2.10.8 管理第三方服务变更
服务改善和用户满意度
2.11 IT性能监控和报告
2.11.1 绩效优化
关键成功因素
方法和工具
2.11.2 工具和技术
2.12 IT质量_和质量管理
2.12.1 质量_
2.12.2 质量管理
案例研究
案例研究相关问题的答案
第3章:信息系统的购置、开发与实施
概述
领域3考试内容大纲
学习目标/任务说明
深造学习参考资料
自我评估问题
自我评估问题解答
第A部分:信息系统的购置与开发
3.0 简介
3.1 项目治理和管理
3.1.1 项目管理实务
3.1.2 项目管理结构
3.1.3 项目管理角色和职责
3.1.4 项目管理技术
3.1.5 组合/项目群管理
3.1.6 项目管理办公室
项目组合数据库
3.1.7 项目效益实现
3.1.8 项目启动
3.1.9 项目目标
3.1.10 项目规划
信息系统开发项目成本估算
软件规模估算
功能点分析
成本预算
软件成本估算
日程计划安排和确定时间范围
3.1.11 项目执行
3.1.12 项目控制和监控
范围变更管理
资源使用管理
3.1.13 项目完工
3.1.14 信息系统审计师在项目管理中的角色
3.2 业务案例和可行性分析
3.2.1 信息系统审计师在业务案例开发中的角色
3.3 系统开发方法
3.3.1 业务应用程序开发
3.3.2 SDLC模型
3.3.3 SDLC阶段
阶段1:可行性分析
阶段2:要求定义
阶段3A:软件选择与购置
阶段3B:设计
阶段4A:配置
阶段4B:开发
阶段5:_终测试与实施
阶段6:实施后审查
3.3.4 信息系统审计师在SDLC项目管理中的角色
3.3.5 软件开发方法
原型设计——进化式开发
快速应用开发
敏捷开发
面向对象的系统开发
基于组件的开发
软件再造
逆向工程
DevOps
业务流程再造和流程变更
3.3.6 系统开发工具和生产力辅助手段
计算机辅助软件工程
代码生成器
第四代语言
3.3.7 基础架构开发/购置实践
物理架构分析的各个项目阶段
规划基础设施的实施
3.3.8 硬件/软件购置
购置步骤
信息系统审计师在硬件购置中的角色
3.3.9 系统软件购置
整合资源管理系统
信息系统审计师在软件购置中的角色
3.4 控制识别和设计
3.4.1 输入/来源控制
输入授权
批量控制和核对
错误报告和处理
3.4.2 处理程序和控制
数据验证和编辑程序
处理控制
数据文件控制程序
3.4.3 输出控制
3.4.4 应用控制
信息系统审计师在审查应用控制中的角色
3.4.5 用户程序
3.4.6 决策支持系统
设计与开发
实施和使用
风险因素
实施战略
评估与评价
DSS共同特征
第B部分:信息系统实施
3.5 测试方法
3.5.1 测试分类
其他测试类型
3.5.2 软件测试
3.5.3 数据完整性测试
在线交易处理系统的数据完整性
3.5.4 应用程序系统测试
自动化应用程序测试
3.5.5 信息系统审计师在信息系统测试中的角色
3.6 配置和发布管理
3.7 系统迁移、基础设施部署和数据转换
3.7.1 数据迁移
完善迁移方案
回退(回滚)方案
3.7.2 转换(上线或切换)技术
并行转换
分阶段转换
一次性转换
3.7.3 系统实施
实施计划
3.7.4 系统变更程序和程序迁移流程
关键成功因素
_终用户培训
3.7.5 系统软件实施
3.7.6 认证/鉴定
3.8 实施后审查
3.8.1 信息系统审计师在实施后审查中的角色
案例研究
案例研究相关问题的答案
第4章:信息系统的运营和业务恢复能力
概述
领域4考试内容大纲
学习目标/任务说明
深造学习参考资料
自我评估问题
自我评估问题解答
第A部分:信息系统运营
4.0 简介
4.1 常用技术组件
4.1.1 计算机硬件组件和架构
处理组件
输入/输出组件
计算机类型
4.1.2 常用的企业后端设备
4.1.3 通用串行总线
与USB相关的风险
与USB相关的安全控制
4.1.4 射频识别
RFID的应用
RFID的相关风险
RFID的安全控制
4.1.5 硬件维护程序
硬件监控程序
4.1.6 硬件审查
4.2 IT资产管理
4.3 作业调度和生产流程自动化
4.3.1 作业调度软件
4.3.2 日程计划安排审查
4.4 系统接口
4.4.1 与系统接口相关的风险
4.4.2 系统接口中的安全问题
4.5 _终用户计算
4.6 数据治理
4.6.1 数据管理
数据质量
数据生命周期
4.7 系统性能管理
4.7.1 信息系统架构和软件
4.7.2 操作系统
软件控制功能或参数
软件完整性问题
活动日志和报告选项
操作系统审查
4.7.3 访问控制软件
4.7.4 数据通信软件
4.7.5 实用程序
4.7.6 软件许可问题
4.7.7 源代码管理
4.7.8 容量管理
4.8 问题和事故管理
4.8.1 数据管理
4.8.2 事故处理过程
4.8.3 异常情况的检测、记录、控制、解决和报告
4.8.4 技术支持/客户服务部门
4.8.5 网络管理工具
4.8.6 问题管理报告审查
4.9 变更、配置、发布和修补程序管理
4.9.1 修补程序管理
4.9.2 发布管理
4.9.3 信息系统运营
信息系统运营审查
4.10 IT服务水平管理
4.10.1 服务水平协议
4.10.2 服务水平监控
4.10.3 服务水平与企业架构
4.11 数据库管理
4.11.1 DBMS架构
详细DBMS元数据架构
数据字典/目录系统
4.11.2 数据库结构
4.11.3 数据库控制
4.11.4 数据库审查
第B部分:业务恢复能力
4.12 业务影响分析
4.12.1 运营和关键性分析分类
4.13 系统恢复能力
4.13.1 应用程序恢复能力和灾难恢复方法
4.13.2 电信网恢复能力和灾难恢复方法
4.14 数据备份、存储和恢复
4.14.1 数据存储恢复能力和灾难恢复方法
4.14.2 备份与恢复
异地库控制
异地设施的安全和控制
介质和文档备份
备份设备和介质的类型
定期备份程序
轮换频率
轮换的介质和文档类型
4.14.3 备份方案
完全备份
增量备份
差异备份
轮换方法
异地储存的记录保存
4.15 业务连续性计划
4.15.1 IT业务连续性计划
4.15.2 灾难和其他破坏性事件
流行病计划
应对形象、声誉或品牌的损害
出乎意料/无法预测的事件
4.15.3 业务连续性计划流程
4.15.4 业务连续性政策
4.15.5 业务连续性计划事故管理
4.15.6 制订业务连续性计划
4.15.7 计划制订过程中的其他问题
4.15.8 业务连续性计划的构成要素
关键决策人员
所需用品的备份
保险
4.15.9 计划测试
规范
测试执行
结果记录
结果分析
计划维护
业务连续性管理良好实践
4.15.10 业务连续性汇总
4.15.11 审计业务连续性
审查业务连续性计划
对以前测试结果的评估
对异地存储的评估
对非异地设施安全性的评估
与关键人员面谈
审查备用处理设备合同
审查承保范围
4.16 灾难恢复计划
4.16.1 恢复点目标和恢复时间目标
4.16.2 恢复策略
4.16.3 恢复备选方案
合同条款
采购备用硬件
4.16.4 灾难恢复计划的制订
IT DRP内容
IT DRP情景
恢复程序
组织和职责分配
4.16.5 灾难恢复测试方法
测试的类型
测试
测试结果
4.16.6 调用灾难恢复计划
案例研究
案例研究相关问题的答案
第5章:保护信息资产
概述
领域5考试内容大纲
学习目标/任务说明
深造学习参考资料
自我评估问题
自我评估问题解答
第A部分:信息资产安全和控制
5.0 简介
5.1 信息资产安全框架、标准和准则
5.1.1 审计信息安全管理框架
审查书面政策、程序和标准
正式的安全意识培养和培训
数据所有权
数据所有者
数据保管员
安全管理员
新IT用户
数据用户
书面记录的授权
解约员工的访问权限
安全基准
访问标准
5.2 隐私保护原则
5.2.1 隐私保护的审计注意事项
5.3 物理访问和环境控制
5.3.1 管理、技术和物理控制
5.3.2 控制监控与有效性
5.3.3 环境暴露风险和控制措施
设备问题和与环境有关的暴露风险
环境暴露风险的控制
5.3.4 物理访问暴露风险和控制措施
物理访问问题和暴露风险
物理访问控制
审计物理访问
5.4 身份和访问管理
5.4.1 系统访问权限
5.4.2 强制和自主存取控制
5.4.3 信息安全和外部相关方
识别与外部各方相关的风险
满足与客户相关的安全要求
人力资源安全和第三方
5.4.4 逻辑访问
逻辑访问暴露风险
熟悉企业的IT环境
逻辑访问路径
5.4.5 访问控制软件
5.4.6 身份识别和认证
5.4.7 登录ID和密码
密码的特点
登录ID和密码良好实践
令牌设备、一次性密码
5.4.8生物特征识别
基于生理特征的生物特征识别
基于行为的生物特征识别
生物特征识别管理
5.4.9 单点登录
5.4.10 授权问题
访问控制列表
逻辑访问安全管理
远程访问安全
5.4.11 监控系统访问时的审计记录
系统日志的访问权限
审计轨迹(日志)分析工具
成本考虑因素
5.4.12 逻辑访问控制的命名约定
5.4.13 联合身份管理
5.4.14 审计逻辑访问
熟悉IT环境
评估和记录访问路径
与系统人员面谈
审查来自访问控制软件的报告
审查应用程序系统操作手册
5.4.15 数据泄露
数据泄露防护
5.5 网络和终端安全
5.5.1 信息系统网络基础设施
5.5.2 企业网络架构
5.5.3 网络类型
5.5.4 网络服务
5.5.5 网络标准和协议
5.5.6 OSI架构
5.5.7 网络架构中OSI模型的应用
局域网
广域网
帧中继
TCP/IP及其与OSI参考模型的关系
网络管理和控制
网络性能指标
联网环境中的应用程序
按需计算
5.5.8 网络基础设施安全性
客户端/服务器安全
互联网安全控制
防火墙安全系统
数据_滤防火墙
应用程序防火墙系统
状态检测防火墙
网络变更的开发和授权
5.5.9 影子IT
5.6 数据分类
5.7 数据加密和加密相关技术
5.7.1 加密系统的关键要素
5.7.2 对称密钥加密系统
5.7.3 公共(非对称)密钥加密系统
量子密码学
数字签名
数字信封
5.7.4 加密系统的应用
传输层安全性
IP安全协议(IPSec)
安全壳
安全多功能互联网邮件扩展协议(S/MIME)
5.8 公钥基础设施
5.9 基于Web的通信技术
5.9.1 IP语音
VoIP安全问题
5.9.2 专用分组交换机
PBX风险
PBX审计
5.9.3 电子邮件安全问题
5.9.4 对等计算
5.9.5 即时消息
5.9.6 社交媒体
5.9.7 云计算
5.10 虚拟化环境
5.10.1 关键风险领域
5.10.2 典型控制
5.11 移动、无线和物联网设备
5.11.1 移动计算
自带设备
移动设备上的互联网访问
5.11.2 无线网络
无线广域网
无线局域网
WEP和Wi-Fi网络安全存取协议(WPA/WPA2)
无线个人局域网
临时网络
公共全球互联网基础设施
无线安全威胁和风险降低
5.11.3 物联网
第B部分:安全事件管理
5.12 安全意识培训和计划
5.13 信息系统攻击方法和技术
5.13.1 舞弊风险因素
5.13.2 计算机犯罪问题和暴露风险
5.13.3 互联网威胁和安全
网络安全威胁
被动攻击
主动攻击
互联网攻击的起因
5.13.4 恶意软件
病毒和蠕虫控制
管理程序控制
技术控制
防恶意软件实施策略
定向攻击
5.14 安全测试工具和技术
5.14.1 通用安全控制的测试技术
终端卡和密钥
终端标识
生产资源控制
计算机访问违规情况的记录和报告
绕过安全和补偿性控制
5.14.2 网络渗透测试
5.14.3 威胁情报
5.15 安全监控工具和技术
5.15.1 入侵检测系统
特点
局限性
政策
5.15.2 入侵防御系统
蜜罐和蜜网
全面网络评估审查
5.15.3 安全信息和事件管理
5.16 事故响应管理
5.17 证据收集和取证
5.17.1 计算机取证
数据保护
数据采集
镜像
提取
数据获取/正规化
报告
5.17.2 证据和监管链的保护
案例研究
案例研究相关问题的答案
附录A:CISA考试常规信息
附录B:2019年CISA工作实务
词汇表
缩略语
反侵权盗版声明

《CISA 复习考题及解答手册(第12版)》目录

前言
致谢/新增 ―― CISA 工作实务
引言
概述
CISA 考试中的题目类型
学前测验
各领域相关题目与解答
领域 1 ―― 信息系统审计流程 (21%)
领域 2 ―― IT 治理与管理 (17%)
领域 3 ―― 信息系统的购置、开发与实施 (12%)
领域 4 ―― 信息系统的运营和业务恢复能力 (23%)
领域 5 ―― 信息资产的保护 (27%)
学后测验
考试样卷
考试样卷参考答案
考试样卷答题纸(学前测验)
考试样卷答题纸(学后测验
评估

CISA知识体系介绍

CISA的学习,具备知识领域覆盖广泛,知识点分散和繁杂的特点。学习的过程中,需要形成自己学习思路和理解习惯。CISA知识体系主要由五大知识领域构成。

CISA官方教材:《CISA Review Manual(CISA考试复习手册)》及CISA知识体系介绍 -- 第3张

1.信息系统审计流程 (21%)——遵照 IT 审计标准提供审计服务,以帮助组织保护和控制其信息系统。

2.IT治理和管理 (17%)——用以确保具备必要的领导层、组织结构及流程来实现相关目标和支持组织战略。

3.信息系统购置、开发与实施 (12%)——用以确保信息系统的购置、开发、测试和实施实务符合组织的战略与目标。

4.信息系统的运营和业务恢复能力(23%)——用以确保信息系统的操作、维护与支持流程符合组织的战略与目标。

5.信息资产的保护 (27%)——用以确保组织的安全政策、标准、规程和控制能够_信息资产的机密性、完整性和可用性。

_部分 信息系统的审计流程

总体上是审计师这个角色需要理解和学习,适用于日常工作开展的知识体系,介绍了三个方面:

  1. 审计师的职责、权利、制约因素:
    • 审计章程明确审计部门和审计师的职责权利
    • 审计师符合ISACA的标准
    • 审计师的道德约束
    • 审计师能做什么,审计师不能做什么
  2. 审计师的审计范围、目标、采用的工具和方法
    • 审计流程
    • 审计规划
    • 基于风险的审计方法
    • 控制类型:预防、检测、控制
    • 审计工具和方法:抽样方法、持续性审计方法、CAAT、CSA等
    • 审计报告(输出、沟通及沟通技巧)
  3. 审计师的审计报告及沟通
    • 什么时候就审计发现进行沟通、什么时候上报等。

第二部分 IT治理和管理

介绍了治理和管理两个部分的内容,治理属于高屋建瓴,属于战略层次,指明方向,犹如茫茫海域的灯塔。管理属于细分执行,属于战术层次,说明需要执行的环节,犹如航行的一叶舟。一句话说,治理和管理,一个偏虚,偏高大上,一个务实,偏实际作业。

  1. IT治理
    • 高级管理层、指导委员会、战略委员会的职责
    • 组织结构(内部的SOD)、企业架构、标准、政策和程序等
    • 企业风险管理(风险管理流程,评估方法等)
    • 管理参照模型(CMMI)
    • IT战略委员会和管理层的工具:IT BSC
    • 法律法规、行业准则的影响
  2. IT管理
    • 资源、服务、质量_
    • 相应的监控工具和方法

第三部分 信息系统的购置、开发与实施

从项目的角度,介绍了信息系统从业务案例到实施后效果评估的全流程。全章基本可以从项目角度去理解,一个信息系统的建立,从可行性分析,业务案例的建立和审批,到需求收集、分析和定义、规划设计和实现,再到项目实施和项目收尾。其中,业务方的确认,在项目的各个环节都需要进行,一个环节的确认,代表一个阶段的结束,以便合理的进入下一阶段的执行。第三章涉及多个方面:

  1. 购置:
    • 供应商的招投评授
  2. 开发:
    • 原型法、敏捷、Devops、面向对象、基于组件等
    • 模型:SDLC、V模型等
  3. 测试:单元、集成、系统、用户、并行、回归、社交等
  4. 上线:并行、一次性、阶段性
  5. 收尾:用户验收、实施后审查
    • IT治理
      • 高级管理层、指导委员会、战略委员会的职责
      • 组织结构(内部的SOD)、企业架构、标准、政策和程序等
      • 企业风险管理(风险管理流程,评估方法等)
      • 管理参照模型(CMMI)
      • IT战略委员会和管理层的工具:IT BSC
      • 法律法规、行业准则的影响
    • IT管理
      • 资源、服务、质量_
      • 相应的监控工具和方法

第四部分 信息系统的运营和业务恢复能力

从两方面来看,一方面是运营,一方面是业务恢复。学习的时候,需要了解运营都需要做什么,关注哪些方面,业务恢复相对比较容易理解,实操中,也是优先恢复关键业务系统。

  1. 运营:
    • 业务所需的技术组件
    • 资产管理
    • 批处理和流程自动化
    • 数据治理
    • 系统管理(软件、版本控制、性能等)
    • 事故和问题管理
    • 变更管理
    • 服务水平
  2. 业务恢复
    • 业务影响分析(BIA)
    • 恢复策略
    • 恢复能力
    • 备份
    • 业务连续性计划(BCP)
    • BCP的测试

第五部分 保护信息资产

简单理解,就是信息资产的理解,首先要搞清楚,有哪些资产,其次,从人防物防和技防的角度去考虑和总结。公司信息安全的管理,主要关注:数据、网络、终端和环境

  1. 数据:所有者、数据分类、权限管理(基于角色授权、按需知密等)、数据加密、隐私保护、DLP等
  2. 网络:网络边界、防火墙、路由器、无线
  3. 终端:USB、病毒防御等
  4. 环境:保安、门禁、监控、防火防水防盗等
  5. 安全意识培训,属于独立体系,基本每个方面都需要做。

视频:带你全方位了解CISA

CISA官方教材:《CISA Review Manual(CISA考试复习手册)》及CISA知识体系介绍 -- 第4张

点击观看视频

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

  • 2024-04-02 20:00
    数据治理工作:挑战与冲突、职责与目标以及谁做决定、谁向谁报告
  • 2024-04-10 20:00
    职场故事:敏捷,与时代同步的方法论
  • 2024-04-11 20:00
    从战略规划到执行的全生命周期
  • 2024-04-16 20:00
    职场故事:工作中,我是怎么用到PMP学到的知识的?vision/mission/hoshin/projects...
  • 2024-04-17 20:00
    管理你的IT团队:管什么,怎么管,IT部门的管理思路
  • 2024-04-18 20:00
    市场洞察方法:从孤立的数据到市场预测,产品研发前需要做哪些调研工作?
  • 2024-04-23 20:00
    职场故事:PMO项目经理避“坑”指南 我总结了一些项目沟通中“argue”的技巧...
  • 2024-04-24 20:00
    信息安全解密大拆解①:长治久安,信息安全治理
  • 2024-04-30 20:00
    开发说“这个需求做不了”,怎么破?需求分析的逻辑及关键技巧
  • 更多直播讲座
    小艾老师还在安排中…
查看全部 >

扫码一键预约全部

查看更多 > 查看更多 >

数字化转型8大核心认证

  1. PMP项目管理认证

    艾威最近一期班: 针对2024年06月考试
  2. CBAP业务分析认证

    艾威最近一期班·开课时间: 2024-03-30
  3. CBPP流程管理认证

    艾威最近一期班·开课时间: 2024-06-15
  4. ITIL4 IT管理认证

    艾威最近一期班·开课时间: 2024-04-20
  5. TOGAF企业架构认证

    艾威最近一期班·开课时间: 2024-04-21
  6. CDMP数据管理认证

    艾威最近一期班·开课时间: 2024-05-25
  7. CISA信息安全审计师认证

    艾威最近一期班·开课时间: 2024-05-12
  8. CISSP信息安全专家认证

    艾威最近一期班·开课时间: 2024-06-15
近期课程安排
文章目录