产品特色
编辑推荐
《CISA认证学习指南(第4版) 注册信息系统审计师》是完整的学习指南,涵盖所有CISA考试目标,每章都包含小结、考试要点、复习题和答案。在线学习网站sybextestbanks.wiley.com,有200道练习题,300 多张Flash Card。
内容简介
CISA考试完全学习指南
能够获得CISA证书,就将成为安全领域收入*丰厚的专业人员。
《CISA认证学习指南(第4版) 注册信息系统审计师》依据新的ITAF(IT
审计框架)在上一版的基础上做了全面细致的更新,列出了术语的新定
义,新增了ISO标准方面的内容。《CISA认证学习指南(第4版) 注册信息系统审计师》是完整的学习指南,涵盖所有
CISA考试目标,每章都包含小结、考试要点、复习题和答案
100%涵盖所有考试目标:
◆ 理解策略、标准、指南和程序
◆ 规划战略以及完成业务流程再造
◆ 执行审计风险评估
◆ 使用OSI模型
◆ 管理系统开发生命周期
◆ 实施和运行系统
◆ 识别威胁类型
◆ 支持业务连续性和灾难恢复
作者简介
David L. Cannon,CISA、CCSP,是CertTest培训中心的创始人,CISA培训的领军人物。David在IT运营、安全、系统管理和企业管理方面有20多年的IT培训和咨询经验。他为美国各地提供CISA备考课程。在信息系统审计领域,他备受尊崇。经常在重要的安全和审计会议上发表演讲。David撰写的本书的前几个版本,在CISA备考指南市场上销量遥遥领先。
目录
第1章 审计师成功的秘诀 1
1.1 理解IS审计需求 2
1.1.1 高管渎职 2
1.1.2 更多法规 5
1.1.3 基本监管目标 6
1.1.4 治理就是领导 7
1.1.5 用途不同的三类数据 8
1.1.6 审计结果揭示真相 9
1.2 理解政策、标准、准则和
过程 10
1.3 理解职业道德 12
1.3.1 遵守ISACA的职业道德
规范 12
1.3.2 防止道德冲突 13
1.4 理解审计的目的 15
1.4.1 审计类型的一般分类 15
1.4.2 确定审计方法的区别 17
1.4.3 理解审计师的职责 18
1.4.4 审计与评估的对比 18
1.5 区分审计师和被审计者的
角色 19
1.6 实施审计标准 21
1.6.1 审计标准的来源 21
1.6.2 理解各种审计标准 23
1.6.3 定义最佳实务的具体法规 28
1.6.4 进行审计以证明财务健全 29
1.7 审计师是执行职位 30
1.7.1 理解审计师保密的重要性 30
1.7.2 与律师合作 31
1.7.3 与高管合作 32
1.7.4 与IT专家合作 32
1.7.5 保留审计文档 33
1.7.6 提供良好的沟通和融合 33
1.7.7 理解领导责任 34
1.7.8 规划和设定优先次序 35
1.7.9 提供标准参考术语 36
1.7.10 处理冲突和失败 37
1.7.11 确定内部审计师和外部 审计师的价值 37
1.7.12 理解证据规则 37
1.7.13 利益相关者:确定要采访的 对象 38
1.8 理解公司的组织结构 39
1.8.1 确定公司组织结构中的 角色 39
1.8.2 确定咨询公司组织结构中的 角色 41
1.9 本章小结 42
1.10 考试要点 42
1.11 复习题 43
第2章 治理 49
2.1 组织控制的战略规划 53
2.1.1 IT指导委员会概述 55
2.1.2 使用平衡计分卡 59
2.1.3 BSC的IT子集 63
2.1.4 解码IT战略 63
2.1.5 指定政策 66
2.1.6 项目管理 67
2.1.7 IT战略的实施规划 76
2.1.8 使用COBIT 79
2.1.9 识别发包位置 80
2.1.10 进行高管绩效评审 84
2.1.11 理解审计师在战略中的 利益 84
2.2 战术管理概述 85
2.3 规划和绩效 85
2.3.1 管理控制方法 86
2.3.2 风险管理 89
2.3.3 实施标准 91
2.3.4 人力资源 92
2.3.5 系统生命周期管理 94
2.3.6 连续性计划 94
2.3.7 保险 95
2.4 业务流程重组概述 95
2.4.1 为什么进行业务流程重组 95
2.4.2 BPR方法学 96
2.4.3 天才还是疯子? 96
2.4.4 BPR的目标 97
2.4.5 BPR的指导原则 97
2.4.6 BPR的知识需求 98
2.4.7 BPR技术 98
2.4.8 BPR的应用步骤 99
2.4.9 IS在BPR中的角色 100
2.4.10 业务流程文档 101
2.4.11 BPR数据管理技术 101
2.4.12 将基准比较作为一个BPR
工具 102
2.4.13 使用业务影响分析 103
2.4.14 BPR项目的风险评估 104
2.4.15 BPR的实际应用 106
2.4.16 BPR的实用选择方法 108
2.4.17 BPR问题排除 109
2.4.18 理解审计师对战术管理的 兴趣 109
2.5 运营管理 110
2.5.1 维持运营 110
2.5.2 跟踪实际绩效 110
2.5.3 控制变更 111
2.5.4 理解审计师对运营交付的 兴趣 111
2.6 本章小结 112
2.7 考试要点 112
2.8 复习题 113
第3章 审计流程 117
3.1 了解审计程序 118
3.1.1 审计程序的目标和范围 119
3.1.2 审计项目范围 120
3.1.3 审计程序责任 121
3.1.4 审计程序资源 121
3.1.5 审计程序过程 122
3.1.6 审计程序实施 123
3.1.7 审计程序记录 123
3.1.8 审计程序监控与回顾 124
3.1.9 规划专项审计 125
3.2 建立和批准审计章程 127
3.3 预规划具体审计 129
3.3.1 了解审计的多样性 130
3.3.2 识别范围上的限制 133
3.3.3 收集详细的审计需求 134
3.3.4 用系统化方法制定计划 135
3.3.5 比较传统审计评估和 自评估 137
3.4 开展审计风险评估 138
3.5 确定是否具备可审计性 139
3.5.1 识别风险战略 140
3.5.2 确定审计的可行性 142
3.6 执行审计 143
3.6.1 选择审计团队 143
3.6.2 评估审计师并确定其胜任 能力 143
3.6.3 审计质量控制 145
3.6.4 建立与被审核方的联系 146
3.6.5 与被审核方的初步联系 147
3.6.6 利用数据收集技术 149
3.6.7 文档审核 150
3.6.8 理解内控的层次 151
3.6.9 审查现存控制 153
3.6.10 准备审计计划 156
3.6.11 给审计团队分配工作 157
3.6.12 准备工作文档 157
3.6.13 开展现场审计 158
3.7 收集审计证据 159
3.7.1 用证据证明观点 159
3.7.2 理解证据类型 159
3.7.3 抽选审计样本 160
3.7.4 认识典型的信息系统审计 证据 161
3.7.5 使用计算机辅助审计 工具 161
3.7.6 理解电子证物 164
3.7.7 证据的等级 165
3.7.8 证据的时间 166
3.7.9 证据的生命周期 167
3.8 开展审计证据测试 169
3.8.1 符合性测试 170
3.8.2 实质性测试 170
3.8.3 可容忍错误率 171
3.8.4 记录测试结果 171
3.9 生成审计发现结果 172
3.9.1 检测违规和违法行为 172
3.9.2 违法违规行为的迹象 173
3.9.3 对违规或违法行为的响应 173
3.9.4 审计范围之外发现的问题 174
3.10 报告审计发现 174
3.10.1 批准和分发审计报告 176
3.10.2 识别被忽略的过程 176
3.11 开展后续工作(关闭会议) 176
3.12 本章小结 177
3.13 考试要点 177
3.14 复习题 179
第4章 网络技术基础 185
4.1 了解计算机体系结构的区别 186
4.2 选择最好的系统 190
4.2.1 识别各种操作系统 190
4.2.2 选择最好的计算机类型 192
4.2.3 比较计算机能力 195
4.2.4 确保系统控制 196
4.2.5 处理数据存储 197
4.2.6 使用接口和端口 202
4.3 操作系统互连模型(OSI)
介绍 204
4.3.1 第一层:物理层 206
4.3.2 第二层:数据链路层 206
4.3.3 第三层:网络层 208
4.3.4 第四层:传输层 214
4.3.5 第五层:会话层 214
4.3.6 第六层:表示层 215
4.3.7 第七层:应用层 215
4.3.8 理解计算机如何通信 216
4.4 理解物理网络设计 217
4.5 理解网络电缆拓扑 218
4.5.1 总线拓扑 218
4.5.2 星形拓扑 219
4.5.3 环形拓扑 220
4.5.4 网状网络 220
4.6 区分网络电缆类型 221
4.6.1 同轴电缆 222
4.6.2 非屏蔽双绞线 222
4.6.3 光纤电缆 223
4.7 连接网络设备 224
4.8 使用网络服务 226
4.8.1 域名系统 227
4.8.2 动态主机配置协议 228
4.9 扩展网络 229
4.9.1 使用电话电路 230
4.9.2 网络防火墙 233
4.9.3 远程VPN访问 238
4.9.4 使用无线接入解决方案 242
4.9.5 防火墙保护无线网络 244
4.9.6 远程拨号访问 245
4.9.7 WLAN传输安全 246
4.9.8 实现802.11i RSN无线
安全 248
4.9.9 入侵检测系统 248
4.9.10 总结各种区域网 251
4.10 使用软件即服务 252
4.10.1 优点 252
4.10.2 缺点 253
4.10.3 云计算 254
4.11 网络管理基础 254
4.11.1 自动局域网电缆测
试仪 255
4.11.2 协议分析器 255
4.11.3 远程监控协议第2版 257
4.12 本章小结 257
4.13 考试要点 258
4.14 复习题 259
第5章 信息系统生命周期 265
5.1 软件开发中的治理 266
5.2 软件质量管理 267
5.2.1 能力成熟度模型 267
5.2.2 标准化国际组织 269
5.2.3 典型的商业记录分类方法 273
5.3 执行指导委员会概述 274
5.3.1 识别关键成功因素 274
5.3.2 使用场景分析法 274
5.3.3 整合软件与业务需求 275
5.4 变更管理 278
5.5 软件项目的管理 278
5.5.1 选择一种方法 278
5.5.2 采用传统的项目管理方法 279
5.6 系统开发生命周期概览 282
5.6.1 阶段1:可行性研究 285
5.6.2 阶段2:需求定义 288
5.6.3 阶段3:系统设计 291
5.6.4 阶段4:开发 295
5.6.5 阶段5:实施 305
5.6.6 阶段6:实施完成后的
工作 311
5.6.7 阶段7:处置 312
5.7 数据架构概览 313
5.7.1 数据库 313
5.7.2 数据库事务的完整性 317
5.8 决策支持系统 318
5.8.1 演示决策支持数据 319
5.8.2 使用人工智能 319
5.9 程序架构 320
5.10 集中式与分布式 320
5.11 电子商务 320
5.12 本章小结 322
5.13 考试要点 322
5.14 复习题 323
第6章 系统实施与运营 329
6.1 IT服务的性质 330
6.2 IT运营管理 332
6.2.1 满足IT职能目标 332
6.2.2 运用信息技术基础设施库 333
6.2.3 支持IT目标 335
6.2.4 理解人员的角色和职责 335
6.2.5 使用指标 340
6.2.6 评估帮助台 342
6.2.7 服务等级管理 342
6.2.8 IT职能外包 343
6.3 容量管理 345
6.4 行政保护 345
6.4.1 信息安全管理 346
6.4.2 IT安全治理 347
6.4.3 数据角色的权利 347
6.4.4 数据保留要求 348
6.4.5 记录物理访问路径 349
6.4.6 人员管理 349
6.4.7 物理资产管理 351
6.4.8 补偿控制 353
6.5 问题管理 353
6.5.1 突发事件处理 354
6.5.2 数字取证 356
6.6 监视控制状态 358
6.6.1 系统监控 359
6.6.2 记录逻辑访问路径 360
6.6.3 系统访问控制 361
6.6.4 数据文件控制 364
6.6.5 应用程序处理控制 365
6.6.6 日志管理 366
6.6.7 防病毒软件 367
6.6.8 活动内容和移动软件代码 367
6.6.9 维护控制 370
6.7 实施物理防护 372
6.7.1 数据处理的位置 374
6.7.2 环境控制 375
6.7.3 安全介质存放 381
6.8 本章小结 382
6.9 考试要点 383
6.10 复习题 384
第7章 保护信息资产 389
7.1 了解威胁 390
7.1.1 识别威胁和计算机犯罪的
类型 391
7.1.2 识别犯罪者 394
7.1.3 了解攻击方法 397
7.1.4 实施管理防护 406
7.2 使用技术保护 408
7.2.1 技术保护分类 408
7.2.2 应用软件控制 410
7.2.3 身份验证方法 411
7.2.4 网络访问保护 423
7.2.5 加密方法 425
7.2.6 公钥架构 430
7.2.7 网络安全协议 435
7.2.8 电话安全 439
7.2.9 技术安全测试 440
7.3 本章小结 440
7.4 考试要点 441
7.5 复习题 442
第8章 业务连续性与灾难恢复 447
8.1 戳穿神话 448
8.1.1 神话1:设备设施至关
重要 448
8.1.2 神话2:IT系统设备至关
重要 449
8.1.3 从神话到现实 449
8.2 了解业务连续性中的五个冲突
领域 449
8.3 定义灾难恢复 450
8.3.1 财务挑战 451
8.3.2 品牌价值 451
8.3.3 灾后重建 452
8.4 定义业务连续性的目的 453
8.5 业务连续性与其他计划联合 455
8.5.1 识别业务连续性实践 456
8.5.2 识别管理方法 457
8.5.3 遵循程序管理方法 459
8.6 理解业务连续性程序的5个
阶段 459
8.6.1 阶段1:建立BC程序 459
8.6.2 阶段2:发现过程 463
8.6.3 阶段3:计划开发 468
8.6.4 阶段4:计划实施 484
8.6.5 阶段5:维护与整合 486
8.7 理解审计师在业务连续性/
灾难恢复计划中的关注点 487
8.8 本章小结 487
8.9 考试要点 488
8.10 复习题 489
附录 复习题答案 493
前言/序言
本书旨在帮助任何对注册信息系统审计师(Certified Information Systems Auditor,CISA)感兴趣且想通过认证的人提供直接的、诚恳的指导。CISA认证是市场上最热门的入门级审计师证书之一。
在全球范围内,各种组织升级安全级别并证明自己存在强有力的内部控制是一种大趋势。你可能听说过以下几种规定:
● 国际巴塞尔协议III银行业风险管理协议。
● COSO,其中包括国家的几个变体。美国版本的萨班斯-奥克斯利法案(Sarbanes-Oxley Act,SOX)针对公共企业提供等同于全球其他证券交易的控制。
● 安全港国际信息隐私保护。
● 美国联邦信息安全管理法案(Federal Information Security Ma
CISA认证学习指南(第4版) 注册信息系统审计师/安全技术经典译丛 下载 mobi epub pdf txt 电子书 格式