# ISACA CISA 簡體中文彙總 更新時間:2023/11/25 因為要準備考簡體中文版的考試 所以特別整理出一版 簡體中文在描述一些問題的轉譯詮釋 注意到以下比較多會用簡體中文進行描述 命題/章節比重(官方公告) --- * 領域 1 — 資訊系統稽核流程 (Information System Auditing Process) (21%) * 領域 2 — 資訊科技治理與管理(Governance and Management of IT) (17%) * 領域 3 — 資訊系統的取得、開發與建置 (Information Systems Acquisition, Development and Implementation) (12%) * 領域 4 — 資訊系統的營運及企業靈活性 (Information Systems Operations and Business Resilience) (23%) * 領域 5 — 資訊資產的保護(Protection of Information Assets)(27%) 考試準備參考書 --- * CISA Review Manual, 27/e 英文版(簡稱RM) * CISA 考試復習手冊, 27/e (CISA Review Manual, 27/e)(簡體中文版)(簡稱RM) * CISA 復習考題及解答手冊, 12/e (CISA Review Questions, Answers & Explanations Manual, 12/e) (簡稱RQ) 要領 --- * 识别问题中的关键词或短语（例如：“最”、“最佳”或“首先”），然后再选择和记录答案。 * 排除已知的错误答案。 * 忽略或过快阅读这些说明可能会漏掉一些重要信息，从而可能导致丢分。 * 回答所有问题。回答错误不扣分，分数完全取决于正确回答的问题数。 * 考试将持续 4 个小时，每个问题只有略超过 1.5 分钟的回答时间。 分類重點提示 --- * 第一章資訊系統稽核流程(簡體中文-信息系统的审计流程) 信息系统 (IS) 是否遵守适用的法律、法规、合同和/或行业准则。  信息系统和相关流程是否符合治理标准以及相关政策和程序。  信息系统数据和信息的机密性、完整性和可用性等级是否适当。  是否高效完成信息系统的运作以及是否达到有效性目标。  ISACA IS审计和鉴证标准和准则分3类： * 通用：IS鉴证行业应遵守的指导原则。 * 执行：涉及到任务执行。 * 报告：涉及到报告类型、沟通方式及传达的信息。 通用（指导原则） 适用于所有任务的执行，还涉及道德、独立性、客观性和应有的审慎性，以及知识、能力和技能。 执行 涉及任务的执行，例如，规划与监督、确定任务范围、风险与重要性、资源调动、监督与任务管理、审计与鉴证证据。 报告 涉及报告类型、沟通方式以及传达的信息。 信息系统审计师必须了解并能评估其正在审计的组织的业务流程。这包括测试和评估控制措施的设计和实施，对证据进行监控和测试以确保业务流程内的内部控制有效运行。 信息系统审计可以是内部审计的一部分，作为独立的小组，也可以与财务和运营审计合并，为财务或管理审计师提供有关 IT 的控制鉴证。因此，审计章程可能将信息系统审计视作审计支持职能。 章程应明确说明管理层的责任、目标以及向信息系统审计职能部门授予的权力。最高管理层和审计委员会（如果存在）应对此章程进行审批。此章程一旦确立，仅当可以且彻底证明变更合理时，才可对其进行更改。 信息系统审计职能的责任、权限和义务应相应记录到审计章程或业务约定书中。审计章程是一个综合性文档，涵盖所有审计活动，审计业务约定书则侧重于特定的审计工作，主要由心怀具体目标的组织起草。如果信息系统审计服务由外部公司提供，服务范围和目标应记录在合约组织和服务提供商之间签订的正式合同或工作说明中。在任一情况下，内部审计职能都应独立运作，向审计委员会（如果存在）或最高管理层（例如董事会）报告。 执行 关注项 * 1201 项目规划(ITAF 1201) * 基于风险的方法 * 1202 规划中的风险评估(ITAF1202) * 应获取充分且适当的证据来实现审计目标 * 1204 重要性 (ITAF1204) * 应考虑微小控制缺陷或漏洞的累积效应以及控制缺失是否会转化为重大缺陷或严重漏洞 **执行信息系统审计的第一步是进行充分的规划。 要规划审计，必须完成以下任务： 列出可能要审计的所有流程。 通过定性或定量风险评估方法评估每个流程。 这些评估应基于客观标准。 确定每个流程的整体风险。 制定一份包含所有风险评级为“高”的流程的审计计划，该计划即为理想年度审计计划。** 审计风险受以下因素的影响： • 固有风险 — 与审计风险有关，指在不考虑管理层已实施控制措施的情况下，受审流程/实体面临的风险水平或敞口。固有风险不受审计影响，可能因业务的性质出现。 • 控制风险 — 指无法通过内部控制系统及时阻止或检测到的实质性错误。例如，与手动审查计算机日志相关的控制风险可能很高，因为需要调查的活动经常会因记录的信息量较大而被漏掉。如果始终坚持采用计算机化数据验证程序，则与之相关的控制风险通常较低。 • 检测风险 — 指已经出现但信息系统审计师无法检测到的实质性错误或失实陈述。 • 总体审计风险 — 信息或财务报告包含重大错误，且审计师没有检测到已发生错误的可能性。制定审计方法的目的是限制所监督领域中的审计风险，以使检查完成时，总体审计风险处于足够低的水平。 固有风险（Inherent Risk）： 业务自身风险， 不采取控制时的风险，客观存在的风险。 控制风险（Control Risk）： 采取控制后仍具有的风险，没有被内部控制及时防止或发现并纠正的可能性。控制风险与注册会计师的工作无关。 检查风险（Detection Risk）： 得出错误检查结论的风险、审计师没查出来。检查风险是审计风险要素中唯一可以通过注册会计师进行控制和管理的风险要素 符合性测试： 控制测试，用于在审计期间获取关于控制措施的有效性及其运行情况的审计证据。 实质性测试： 在审计期间获取关于活动或交易的完整性、准确性或存在性的审计证据。 因时间和成本的限制无法测试所有交易或事件时，应进行抽样测试。 有两种抽样方法： 统计抽样使用目标方法来确定样本量和选择标准。 非统计抽样使用信息系统审计师的职业判断来确定样本量和选择标准。 业务应用系统 电子商务、电子数据交换、电子银行和电子金融、支付系统和电子资金转账 (EFT) 聘请外部专家时应考虑： * 法律和法规对审计/安全服务外包的限制 * 审计章程或合同规定 * 对整体和具体信息系统审计目标的影响 * 对信息系统审计风险和专业责任的影响 * 其他审计师和专家的独立性和客观性 * 专业能力、资格和经验 * 拟定外包的工作范围及方法 * 监督和审计管理控制 内部控制旨在提高合理保证，确保实现业务目标并防止、检测和纠正意外事件。 内部控制需要在组织内的所有层级实施，从而降低组织受到可能会妨碍其实现业务目标的风险。 **风险评估流程主要特征表现为反复性的生命周期：** * 第一步：确定业务目标、资产以及信息资源，明晰资产清单（确定审计目标(针对的关键控制和控制目标)->确定涉及信息资产->执行风险评估） * **审计师在确定要审计的业务流程后，应首先确定应验证哪些控制目标和关键控制活动；只有与控制目标和关键控制活动有关的信息资产才与审计范围有关** A1-98 * * **对风险评估流程进行审计时应首先确认已对资产进行标识和等级划分，从而确定风险评估的基调或范围** A1-135 * **第二步：执行风险评估：以提供审计工作将涵盖`重要`项目的`合理`保证** A1-25 ISACA IS-2202 / A1-102 * **为组织创造最大价值，应首先确保专用于审计的资源和精力集中于风险较高的领域** A1-49 * 第三步：确定风险处置措施 * 监控所管理风险的状况（当出现触发风险重新评估的任何重大变动时，保证控制环境也相应变化） COBIT 5：有助于企业实现企业IT治理和管理（GEIT）目标。（维持实现效益、优化风险及资源利用之间的平衡） * 原则1：满足利益相关者的需要 * 原则2：端到端的覆盖企业 * 原则3：应用独立的集成框架 * 原则4：采用一个整体全面的方法 * 原则5：区分治理与管理 * 治理：确保利益相关者的需要、条件和选项被评估，以决定平衡、协商一致、需要实现的企业目标；通过优先等级和决策来设定导向；并监控商定的导向和目标的绩效和合规性。 * 管理：管理层计划、构建、运行和监控活动与治理机构制定的方向保持一致，以实现企业目标。 常规控制包括：**内部会计控制、运营控制、管理控制等** 审计风险：定义为信息中可能包含审计过程中无法发现的实质性错误的风险（或IS审计师在审计约定中准备接受的风险等级）。主要受以下影响： **固有风险：指在不考虑管理人员已实施的控制措施的情况下（即认为没有有关的内部控制来防止或检测错误），可能发生实质性错误的风险。固有风险独立于审计存在（不受IS审计师影响），且有可能因业务的影响的用户数量和业务领域变化而变化。** A1-110 * **控制风险：指无法通过内部控制系统及时防止或检测到的实质性错误。可以通过公司管理层的行动得到缓解（计算机日志的手动审查）** A1-11 * **检测风险：直接受到IS审计师选择的审计流程和技术的影响，指已经发生但IS审计师无法发现或检测到的重大错误或误报。** * **总体审计风险：信息或财务报告包含重大错误，且审计师没有察觉到已发生错误的可能性。**（制定审计方法的目的是限制所监督领域中的审计风险，以使总体审计风险在完成检查后处于足够低的程度） * **审计风险是审计工作的固有组成部分，直接与审计流程相关，但与待审计环境的风险分析及评估无关，也无需包含在风险评估内** A1-47 * **当在审计中确定，固有风险和控制风险均以被评定为高，则应通过额外执行实质性测试来获取审计期间有关活动或交易的完整性、准确性或存在性的审计证据** A1-122 **抽样** * 审计抽样分类 * 统计抽样：通过数学规律来确定样本量和选择标准的一种客观方法 * 非统计抽样（判断抽样）：通过判断来确定抽样方法、样本数和样本的选择 * 抽样方法 * **属性抽样：用于合规性测试，处理属性是否存在** * **属性抽样（固定样本量属性抽样/频率估计抽样）：用于估算总体中特定性质（属性）的发生率（百分比/有多少），可用于测试交易的合规性** A1-105 * **停-走抽样：存在错误较少时使用，允许审计测试尽早停止，不适合检查是否已遵循流程** * **发现抽样：预期发生率极低时，用于找出（发现）`欺诈`、法规规避或其他违规行为** A1-46 * **变量抽样：用于实质性测试，处理会发生变化的总体特征（测量值）** * **分层单位均值：对总体进行分组，然后从不同的组中抽样，试图确保样本能够代替总体** A1-17 * 不分层单位均值：计算某样本的均值并将其作为总估计值 * **差异估计：根据从样本观测得到的差异值来估计审计值和账面（未审计）值的总差异** 彙整中..待續.. * 第二章資訊科技治理(簡體中文-IT 治理与管理) IT 治理和 IT 战略 必须利用公司治理实务在组织内加快解决伦理问题、制定决策以及落实总体实务。这些会构成用于指导及控制企业的系统。董事会负责治理各企业。IT 治理中包括各领导人员、组织结构和各种流程，目的是确保企业的运营得以维持且其战略和目标得以扩展。 公司治理涉及公司管理层、董事会、股东及其他利益相关方之间的一系列关系。此外，公司治理还提供了一个架构，公司可据其设定目标，并确定达成这些目标以及监控绩效的方法。公司治理的目的是帮助建立必要的信任、透明和责任环境，以促进长期投资、财务稳定性和业务完整性，进而为实现更强劲的增长和更具包容性的社会提供支持。 为减少不准确财务报表的出现频率和影响、增强透明度和问责制，全球政府机构越来越倾向于使用公司治理框架。这些政府法规多数都要求高级管理层就内部控制的充足性进行签字确认，并要求在组织的财务报告中评估内部控制。此图介绍了企业治理框架的组件。 COBIT 由 ISACA 开发，通过提供一个框架来确保 IT 与业务保持一致、IT 使业务正常运转并使企业获得最大效益，以及负责任地使用 IT 资源和妥善管理 IT 风险，从而支持 EGIT。COBIT 提供的工具可用于评估和衡量组织中 IT 流程的绩效。 国际标准化组织 (ISO)/国际电工技术委员会 (IEC) 27000 系列属于一套最佳实践，可向各组织提供实施和维护信息安全程序方面的指导。ISO 27001 标准在业界已广为人知。 信息技术基础设施库 (ITIL) 由英国商务部 (OGC) 与 IT 服务管理论坛联合制定，此框架详细描述了关于如何实现成功的 IT 运营服务管理的实用信息，还包括业务价值实现。 开放式信息安全管理成熟度模型 (O-ISM3) 是一个针对安全性并基于流程的信息安全管理成熟度模型。 ISO/IEC 38500:2015：信息技术 — 组织 IT 治理可为组织的治理机构成员提供在其组织内有效、高效且恰当使用 IT 方面的指导性原则。 ISO/IEC 20000-1:2018 包含具体的服务管理改进要求，ISO/IEC 20000-2:2012 对 ISO/IEC 20000-1:2018 中的应用提供了指导和示例。 ISO 3100:2018：风险管理 — 准则为组织提供关于风险管理的准则和通用方法。 IT 治理委员会，组织通常有高级管理层级别组成的战略和指导委员会，该委员会会处理对整个组织范围有影响的 IT 问题。 信息系统审计师应了解此类委员会的职责、权力和成员组成。 IT 职责分离 * 信息系统审计师还必须评估 SoD 的充分性。 * SoD 可以限制一个人负责多个职能时发生无法发现的错误或不当行为的可能性。 * SoD 是抑制和防止欺诈或恶意行为的重要方法。 * SoD 还可以降低检测不到未经授权或错误的数据以及程序变更或修改的可能性。 风险管理流程是指识别组织为实现业务目标所用信息资源中的漏洞和威胁，并根据信息资源对组织的价值，决定采取何种对策（保护或控制）将风险降至可接受的水平（即残余风险）。 风险分析过程中，可以采用三种方法： 定性分析法 — 使用描述性等级来描述风险可能性和影响。 半定量分析法 — 描述性等级和数值相关联。 定量分析法 — 使用诸如财务成本形式的数值来描述风险可能性和影响。 彙整中..待續.. * 第三章資訊系統開發建置及取得 效益实现 * 目的：确保IT和业务部门履行其价值管理职责 * 前提：董事会和管理层非常担心IT相关举措的高支出无法实现其承诺的业务效益 * 定义：一种经过计划的收益实现方法，着眼于比项目周期更加长远的周期，考虑的是新系统整个生命周期内的总收益和总成本。 * 通常包括在系统实施后6-18个月内进行的实施后审查中。 项目管理是项目导向型组织中的一个业务流程，以制定项目章程为起点，以项目完成为终点。 * **项目管理三角：一个维度的改变可以通过变更另外一个或两个维度来补偿，维持三角面积不变** A3-92 * 交付内容 * 资源分配 * 交付时间 项目管理实务 成功的项目计划是 **基于风险的管理流程**并且本质上是迭代的。 * **IT系统生命周期基于风险的方法的最重要的关键成功因素CSF是：利益相关方的适当参与** A3-180 项目管理应关注三个关键元素：交付成果、持续时间、预算。 * TR（资源总量曲线） = R（资源） * D（时间） * TR曲线上，任意一点满足上述公式，TR与预算成正比。TR确定的情况下，R/D之间成反比。 风险管理 * 共2大类项目风险：影响商业利益的风险（由项目发起人负责）和影响项目本身的风险（由项目经理负责） * 风险管理程序共5个步骤 * 风险识别：团队集体创建一份潜在风险清单 * 风险评估：量化风险的可能性和风险的影响 * 风险管理：创建风险管理计划，描述采用的策略和应对风险的措施 * 风险监控：发现可能发生的风险并响应的采取行动 * 风险管理过程评估：审核并评估风险管理过程的有效性和成本 彙整中..待續.. * 第四章 資訊系統的營運及企業靈活性 <COBIT 5认定的企业治理与管理的区别> * 治理：是确保利益相关者的需要、条件和选项被评估，以决定平衡、协商一致、需要实现的企业目标；通过优先等级和决策来设定导向；并监控商定的导向和目标的绩效和合规性 * 全面治理是董事长领导下的董事会的职责 * 管理：管理层计划、构建、运行和监控活动与治理层指定的方向保持一致，以实现企业目标 * 管理是首席执行官CEO领导下的高级管理层的职责 * IS管理人员对IT部门内的所有操作全面负责 * 资源分配：确保在IS职能内可以使用必要的资源来执行计划的活动 * 标准和流程：为所有的操作与总体的业务战略和政策一致建立必要的标准和流程 * 流程监控：监控和测量IS操作流程的效能和效率，以使流程可以随着时间的推移而改进 发布管理 * 软件发布管理是用户可以使用软件的过程。 * 主要类型包括 * 主要发布：通常包含重要变更或新功能的添加 * 次要软件发布：通常包含小的改进程序和修复程序 * 紧急软件发布：通常包含对少量已知问题的修正 * 变更管理是将所有变更经过进行严格的测试和审批的过程 * 发布变更是将修改后的软件投入生产环境的过程 * **自动化发布管理软件可以通过无须任何手动干预将代码转入生产，从而防止未经授权的变更** A3-88 * 备份方案 * **完全备份：将所有文件和文件夹复制到备份介质中** * **增量备份：复制上次增量或完全备份后变更的或新的文件和文件夹** A4-188，可以最大限度的减少存储介质的使用。 * **差异备份：将复制自执行完全备份之后增加的或更改的所有文件和文件夹** * 轮换方法 * 三代备份存储法 * 日常备份（儿）在一周期间进行 * 一周期间的最后一次备份成为周备份（父） * 随后日常备份（儿）介质进行第二周期轮换 * 月末周期的周备份作为月备份保留（爷） * 随后早期周备份（父）介质进行轮换 * 年末周期的月备份作为年备份保留 * 通常，月/年备份会被保留，且不受轮换周期支配 * 异地轮换的备份不应返回重新使用 * 异地存储的记录保存 * 应维护异地存储位置的介质、文档内容清单 * **恢复时间目标RTO的达成能够在最大程度上确保备份和恢复程序的有效性** A4-172 灾难恢复测试方法 * **测试DRP的所有方面是在紧急情况下取得成功的最重要因素**；目的是确保执行这些计划能够成功恢复基础架构和关键业务流程。 * **DRP计划的测试和练习结果是组织DRP计划的有效性，随时可从灾难中恢复的最好证明（合理保证）** A4-67 * **如果DRP计划缺乏测试，则主要风险是组织无法从灾难中恢复，从而导致灾难性的服务终端。** A4-138 * 测试 * 可以促进团队的合作和协调，应定期开展及在重大变更后开展。 * 应周密计划、严格控制，避免业务风险 * 必须完整记录，前中后进行报告，并审查 * **未经测试的恢复计划是无法接受的** * **如果测试时，某些备份系统存在缺陷或未运行，则将导致测试失败、无效** A4-149，这些系统将无法在实际发生灾难时提供可用性保证。 * **审查灾难恢复程序确保`符合要求`的最佳指标是：用该程序进行过桌面演练** A4-211 * **确保灾难恢复DR工作`取得成功`的依据是：完成数据恢复** A4-218，将其恢复到系统证明恢复流程有效成功。 * 测试的类型 * 核对清单审查：真实测试的一个预备步骤，将恢复核对清单分发给恢复团队的所有成员进行审查，并确保核对清单的现实性 * 结构化推演：团队成员在纸上实际实施这些计划并审查每个步骤，以评估其有效性，查找强化因素、制约因素和不足之处 * 模拟测试：恢复团队在不启动恢复站点处理操作的情况下角色扮演一次准备好的灾难场景 * 平行测试：将恢复站点调试到操作就绪状态，但主站点的操作正常持续 * 完全中断测试：关闭主站点额操作并按照恢复计划切换到恢复站点；最严格，且代价高昂，可能具有破坏性 * 测试应安排在可最大限度降低正常操作的中断的时间（如长周末）执行，但应模拟实际黄金事件处理条件，且针对所有关键组件进行测试。 * 测试阶段 * 测试前：由为实际测试做准备的一系列必要行动组成 * 测试：灾难恢复测试的实际操作 * 测试指标 * 时间：完成规定任务所用的时间 * 数据：所有数据是否都已恢复，是否满足RPO * 量：工作量及处理能力能否达到要求 * **如果测试时发现恢复站点的性能较慢，首先应审查主要站点和灾难恢复站点的配置和一致性** A4-146，这是最有可能的原因。 * 百分比/数量：成功处理的操作数量 * 准确性：恢复站点数据录入的准确性与正常准确性之比 彙整中..待續.. * 第五章 資訊資產的保護 彙整中..待續.. 線上參考資源 --- - Information Systems Audit and Control Association(國際信息系統審計協會(ISACA))簡體中文(天瓏網路書店) https://www.tenlong.com.tw/products/9787121375897?list_name=srh - CISA 復習考題及解答手冊, 12/e (CISA Review Questions, Answers & Explanations Manual, 12/e)簡體中文(天瓏網路書店) https://www.tenlong.com.tw/products/9787121376016?list_name=srh - 60天CISA备考,634分通过，备考心得分享 https://zhuanlan.zhihu.com/p/582956690 - 成功始于目标，终于坚持。CISA备考经验分享 http://www.spisec.com/Resource/detail/cat_id/26/id/1813.html - CISA考试心得：个人基础与外部充电结合 http://www.auditcn.com/Item/192887.aspx ###### tags: `ISACA` `CISA`