2006 CISA 考试范围

王东红 白杨

第一部分 : IS 审计流程 ( 约占 10%)

第二部分 : IT 治理 ( 约占 15%)

第三部分 : 系统和基础设施生命周期管理 ( 大约 16%)

第四部分 : IT 服务管理与支持 ( 大约 14%)

第五部分 : 信息资产的保护 ( 大约 31%)

第六部分 : 业务持续计划和灾难恢复 ( 大约 14%)

 

第一部分 : IS 审计流程 ( 约占 10%)

依据公认的 IS 审计标准、指导方针和最佳实践提供 IS 审计服务，保证组织的信息技术和业务系统受到充分的保护和控制。

目标

1.1 依据公认的标准、指导方针和最佳实践设计和实现基于风险的 IS 审计战略和目标。

1.2 规划具体的审计计划，确保 IT 和业务系统受到保护和控制。

1.3 依据 IS 审计标准、指导方针和最佳实践执行审计，确保满足既定的审计目标。

1.4 将出现的问题、潜在的风险和审计结果，与关键投资人进行交流。

1.5 在保持独立性的前提下， 对组织内部实现风险管理和控制策略提出建议。

知识域

1.1 ISACA 关于 IS 审计的标准和指导方针，职业道德规范 。

1.2 IS 审计实践和技术。

1.3 信息收集以及证据保护的技术知识（如观察、调查、访问、 CAATs 和电子媒介）

1.4 关于证据生命周期的知识（收集、保护等）

1.5 与 IS 相关的控制目标和控制（如： CobiT ）

1.6 审计工作中的风险评估

1.7 审计计划和管理技术的知识

1.8 关于报告与交流技巧的知识（如沟通、谈判及冲突决议）

1.9 控制自我评估（ CSA ）

1.10 关于连续审计技术的知识

回到顶部

第二部分 : IT 治理 ( 约占 15%)

确保组织有结构、政策、责任、机制和监督实践，以满足公司治理中对 IT 的要求。

目标

2.1 评估 IT 治理结构的有效性，确保在进行 IT 决策、方向和执行时，有足够的董事会控制，以支持组织的战略和目标。

2.2 评估 IT 组织结构和人力资源管理，确保他们能够支持组织的战略和目标

2.3 评估 IT 战略以及开发、批准、执行和维护的流程，保证其能够支持组织的战略和目标。

2.4 评估组织的 IT 政策、标准和程序以及开发、批准、执行和维护的流程，确保其能够支持 IT 战略并遵从法律、法规的要求。

2.5 评估管理实践，确保其与组织的 IT 战略、政策、标准和程序相一致。

2.6 评估 IT 资源的投资、使用和分配，确保与组织的战略和目标一致。

2.7 评估 IT 的外包战略和政策，以及合同管理实践，来保证其能够支持组织的战略和目标。

2.8 评估风险管理实践，确保与组织 IT 相关的风险都得到了适当的管理。

2.9 评估监督与保证实践，确保董事会和执行管理者能及时地收到有关 IT 绩效的充足信息。

知识域

2.1 组织 IT 战略、政策、标准和程序的目的的知识，以及每部分的关键要素。

2.2 IT 治理框架

2.3 IT 战略、政策、标准和程序（如信息资产的保护、系统和基础设施生命周期管理、 IT 服务交付与支持）的开发、批准、执行和维护的流程

2.4 质量管理战略和政策

2.5 与使用和管理 IT 相关的组织结构、角色和职责。

2.6 公认的国际 IT 标准和指南。

2.7 企业 IT 架构以及建立长期战略方向的意义。

2.8 风险管理的方法和工具。

2.9 控制框架的使用（如 CobiT, COSO, ISO 17799 ）。

2.10 成熟度模型和流程改进模型的使用（如 CMM, CobiT ）。

2.11 外包策略、流程和合同管理事务。

2.12 监督和报告 IT 绩效的实践（如平衡记分卡、关键绩效指标 [KPI] ）。

2.13 相关立法机关和法规的发布（隐私、知识产权、公司治理需求）。

2.14 IT 人力资源管理

2.15 IT 资源投资和分配实践（组合管理的投资回报率）

回到顶部

 

第三部分 : 系统和基础设施生命周期管理 ( 大约 16%)

保证系统与基础设施的开发 / 获取、测试、实施、维持和丢弃，能够满足组织的目标。

目标

3.1 评估系统开发 / 获取的业务案例，保证其满足组织的业务目标。

3.2 评估项目管理框架和项目治理实践，保证以低成本进行风险管理并实现业务目标。

3.3 有充足的文档支持，确保项目按照项目计划进行，以及状态报告的正确性。

3.4 评估系统和 / 或基础设施需求说明书、开发 / 获取及测试期的控制机制，确保其能为遵从组织政策和其他需求提供保证。

3.5 评估系统和 / 或基础设施开发 / 获取和测试的流程，确保交付能够满足组织的目标。

3.6 评估系统和 / 或基础设施实施或上线前是否准备就绪

3.7 在系统和 / 或基础设施实施后执行检查，确保其满足组织的目标，并且处于有效的内部控制之下。

3.8 对系统和 / 或基础设施执行定期检查，确保其满足组织的目标，并且处于有效的内部控制之下。

3.9 评估用于维护系统和 / 或基础设施的流程，确保其能持续满足组织的目标，并处于有效的内部控制之下。

3.10 评估用于系统和 / 或基础设施失效的流程，确保其符合组织的政策和程序。

知识域

3.1 管理实践的收益（可行性研究、业务案例）

3.2 项目治理机制（如：指导委员会、项目监督委员会）

3.3 项目管理实务、工具和控制框架。

3.4 项目风险管理实务。

3.5 项目成功标准和风险。

3.6 系统和 / 或基础设施开发与维护的配置、变更和发布管理。

3.7 在 IT 系统应用中，确保交易处理及数据完整性、准确性、有效性并被授权的控制目标和技术

3.8 企业数据、应用程序和技术的架构（分布式应用、基于网络的应用、网络服务、）。

3.9 需求分析及管理实务（如：需求确认、追诉性、差距分析）

3.10 获取与合同管理流程（如：厂商的评估、合同的准备、厂商的管理及第三方保管等）

3.11 系统开发方法和工具，以及对它们优势劣势的了解（如：敏捷的开发实务、原型法、快速应用开发、面向对象设计技术）。

3.12 质量保证法

3.13 测试流程管理（测试策略、测试计划、测试环境、进入及退出标准）。 )

3.14 数据转换工具、技术和程序。

3.15 系统和 / 或基础设施处置流程。

3.16 软件和硬件授权及鉴定实务。

3.17 项目实施后检查的目标及方法（项目终止、收益实现和绩效评价）。

3.18 系统移植和基础设施开发实务。

回到顶部

 

第四部分 : IT 服务管理与支持 ( 大约 14%)

确保 IT 服务管理实践能够保证交付组织所需的服务水平，以实现组织的目标

目标

4.1 评估服务级别管理实务，确保内部及外部服务提供者的服务级别被定义并得到管理。

4.2 评估执行管理，确保 IT 支持部门有效地满足业务需求。 .

4.3 评估数据管理实务，确保数据库的完整性和最优化。

4.4 评估能力管理以及绩效监督工具的使用，确保 IT 服务管理能够实现组织的目标。

4.5 评估变更管理、配置管理和发布管理实务，确保组织生产环境的变更被适当的控制和记录。

4.6 评估问题管理和事件管理实务，确保事件、问题或错误都被记录、分析并及时的得到处理。

4.7 评估 IT 基础设施的功能（如：网络要素、硬件和系统软件），确保其能支持组织目标。

知识域

4.1 服务级别管理实务。

4.2 操作管理最佳实践（如：工作量安排、网络服务管理以及预防维护）。

4.3 系统绩效监督流程、工具和技术（如：网络分析、系统优化报告和负载平衡）。

4.4 硬件和网络要素的功能（如：路由器、转换器、防火墙和外围设备）。

4.5 数据库管理实务。

4.6 系统软件的功能，如：操作系统、常用软件以及数据库管理系统。

4.7 能力计划和监控技术。

4.8 计划管理和生产系统和 / 或基础设施的紧急变更流程，包括变更管理、配置管理、发布管理、补丁管理实务

4.9 事件管理 / 问题管理实务（帮助台、升级程序和追踪）。

4.10 软件许可及存货实物

4.11 系统恢复工具和技术（硬件容错系统 ，防单点失败系统，聚集）。

回到顶部

 

第五部分 : 信息资产的保护 ( 大约 31%)

建设有效的安全体系结构（政策、标准、流程和控制）为保证信息资产的机密性、完整性和可用性，提供保障。

目标

5.1 评估逻辑访问控制的设计、实现和监测，保证信息资产的完整性、保密性、可用性以及使用的授权。

5.2 评估网络基础架构的安全性，保证网络和信息转送的完整性、保密性、可用性和授权使用。

5.3 评估环境控制的设计、实现和监督，使损失最小化。

5.4 评估逻辑访问控制的设计、实现和监督，确保信息资产得到适当的保护。

5.5 评估用于储存、恢复、传输以及处置信息资产的流程和程序。

知识域

5.1   设计、实现和监督实现信息安全的技术（如：威胁和风险评估、敏感性分析和隐私影响评估）。

5.2   关于识别、授权和限制授权用户访问应用系统和数据的逻辑访问控制程序。

5.3   逻辑访问安全架构（单点登陆 、 用户识别策略、身份管理）。

5.4   攻击方法和技术（黑客、欺骗、特洛伊木马、拒绝服务、垃圾邮件）

5.5   安全事件的监控及响应流程（如：升级程序、应急事件响应团队 ）

5.6   网络和互联安全设备、协议和技术（如： SSL 、 SET 、 VPN 、 NAT ）

5.7   入侵检测系统以及防火墙的配置、实施、操作和维护

5.8 加密算法技术（如： AESRSA ）

5.9 公共密钥基础设施组件（如 CA 认证、注册授权）以及数字签名技术。

5.10 病毒检测工具和控制技术。

5.11 安全性测试和评估工具（如：渗透测试、攻击扫描）。

5.12 环境保护实务和设备（灭火器、冷却系统、水传感器）。

5.13 物理安全系统和实务（生物测定、门卡、密码锁和令牌）

5.14 数据分类（如：公共的、机密的、隐私的和敏感的数据）。

5.15 语音通讯安全（如 VOIP ）

5.16 用于储存、恢复、传输和处理机密信息资产的流程。

5.17 与便携设备、无线设备相关的控制和风险（如： PDA 、 USB 设备和蓝牙设备）。

回到顶部

 

第六部分 : 业务持续计划和灾难恢复 ( 大约 14%)

确保当业务突然中断时，业务持续性计划和灾难恢复计划能够保证及时恢复 IT 服务，使其对业务的影响最小化。

目标

6.1 评估备份和恢复准备是否充分，以保证在需要时恢复正常的信息处理。

6.2 评估组织的灾难恢复计划，确保在发生灾难事件时，能够恢复 IT 处理能力。

6.3 评估组织的业务持续计划，确保在 IT 服务中断时，重要业务有继续运作的能力。

知识域

6.1 数据备份、储存、维护、保留和恢复流程及实务。

6.2 业务持续计划和灾难恢复计划的法规、法律、合同及保险问题

6.3 业务影响分析（ BIA ）。

6.4 业务持续计划和灾难恢复计划的开发和维护。

6.5 业务持续计划与灾难恢复计划的测试手段和方法

6.6 与业务持续计划和灾难恢复计划相关的人力资源管理实务（如：疏散计划、响应小组）。

6.7 启动业务持续性计划和灾难恢复计划的流程。  

6.8   灾难恢复的场所类别和用于监控合同契约的方法