CISA学习笔记(XXXX0206最新更新附个人考试心得)

《CISA学习笔记(XXXX0206最新更新附个人考试心得)》由会员分享，可在线阅读，更多相关《CISA学习笔记(XXXX0206最新更新附个人考试心得)（74页珍藏版）》请在装配图网上搜索。

1、说明：黄黄色背景景需要特特别关注注，红色色字体非非常重要要，红黄黄在一起起的话，呵呵呵，大大家就自自己考虑虑吧，呵呵呵 这个笔笔记是我我在得知知考试分分数后进进行整理理的，应应该还是是具有点点参考价价值的，整整理时间间20113年2月6日个人考试试心得（10月1号开始学习，12月8号参加考试，2013年2月1号成绩出来，得分582分）：1、 有可能的的话最好好参加相相关的培培训，55天的培培训不会会给你多多少实质质的提高高，但最最关键的的是能给给你一个个学习的的思路；而且在在培训的的时候，有有不懂的的问题可可以问老老师；2、 如果你不不是做IIT出身身的，最最好恶补补一下IIT知识识，CIIS

2、A对对IT方面面的知识识还是有有些要求求的；3、 对于ITT出身的的人，学学CISSA特别别要注意意：要以以审计师师的视角角来以及看看待题目目，组织织内部的的项目审审计师的的角色4、 审计师是是不具体体解决问问题的，但但是要发发现问题题；5、 最好能听听两次培培训，现现在的培培训只要要缴费后后，可以以不限次次数重听听；6、 培训前先先把书看看一遍，要要每个字字都要看看，不论论能不能能看懂，至至少能有有个映像像；7、 不要急于于做题目目，我的的做法是是：先把把书看一一遍（我我花了33周左右右的时间间）参加培培训（做做好笔记记）再把书书看一遍遍（我花花了将近近2周左右右的时间间）开始做做题目参加加

3、培训（补补充上次次培训的的笔记）把书书再看一一遍（最最好在一一周左右右的时间间，这个个我没做做到）开始始做题目目，大量量的做(我大概概做了440000道左右右)参参加考试试（我拿拿到5882分，自自己觉得得比较满满意）8、 基本上每每天花33到4个小时时的时间间就可以以了，考考试前两两天，有有条件的的话最好好在家里里整理和和复习一一下自己己所学的的；9、 重视QQQ群的动动态，群群里面很很多朋友友和前辈辈，可以以学到很很多的；10、 最关键的的是，一一定要参参加考前前辅导，这这个是免免费的，但但是内容容却是非非常关键键的！第一章信信息系统统审计过过程* ISS审计是是基于风风险的审审计；* 保

4、持持审计独独立性和和胜任能能力,确保审审计小组组所实施施完成的的审计任任务能满满足审计计职能的的目标要要求* 风险险分析是是审计计计划的一一部分，帮帮助ISS审计师师识别风风险和脆脆弱性并并确定降降低风险险所需的的控制* 要以以审计师师的视角角来以及看看待题目目，组织织内部的的项目审审计师的的角色；* 第一一方审计计：自查查报报告给自自己高层层* 第二二方审计计：甲方方审乙方方* 第三三方审计计：外审审报报告给公公众或相相关机构构* 按照照IT审计计标准制制定并实实施基于于风险的的IT审计计战略* 内审审首先需需要建立立审计章章程；外外审首先先需要合合同以及及委托书书；* 审计计章程或或委托书

5、书应在组组织内部部适当的的层次得得到同意意和通过过，一旦旦创立，就就只有在在非常必必要、并并经过充充分的论论证后才才允许变变更审计计章程；* 审计计章程涵涵盖整个个范围的的审计活活动；合合同侧重重于特定定的审计计任务；* 信息息系统审审计的最最重要的的资源是是：审计计师* ISS审计师师应有合合格的职职业能力力，具备备进行审审计工作作的相应应知识；IS审计计师应持持续保持持职业教教育和培培训，保保持良好好的职业业能力；* 在制制定审计计计划时时，要通通过风险险评估，确认高高风险区区域，找找到审计计的重点点范围，合理分配审计资源；* 信息息系统审审计师常常常关注注高风险险的问题题，如敏敏感和重重

6、要信息息的机密密性、可可用性、完整性性以及生生成、存存储和处处理这些些信息的的系统及及流程等等。在检检查这类类风险时时，信息息系统审审计师常常常对组组织所使使用的风风险管理理过程的的有效性性进行评评估。* 风险险管理首首要任务务是识别别出敏感感或关键键的信息息资产；然后实实施风险险评估来来识别威威胁并确确定其发发生频率率、所导导致的影影响以及及将风险险降低至至管理层层可接受受水平的的相应安安全措施施；* 为保保持其有有效性，风风险评估估过程应应当在组组织中持持续进行行，以致致力于及及时发现现和评估估新出现现的风险险。* 内部部控制通通常由能能够降低低组织风风险的政政策、规规程、实实务和组组织结

7、构构组成；* 内部部控制的的设计是是为管理理层提供供风险事事件能够够被预防防、检测测和纠正正，业务务目标能能够达成成的合理理保证。* 实施施有效的的 ISS审计的的第一步步是审计计计划；* 长期期审计计计划与企企业的业业务与发发展有关关，一般般为3到5年的期期间；* 每年年都需要要对长、短期审审计计划划进行分分析；* 无论论长期短短期规划划每年都都必须分分析、调调整；在在环境有有重大变变化时也也必须分分析调整整* 证据据的优先先级：审审计师自自己收集集第三方方提供被审计计方提供供（银行函函证例外外）* 制定定审计计计划的步步骤： 1、了解组组织业务务使命、目标、目的和和流程的的了解，包包括信息

8、息和处理理要求：对组织织关键设设施现场场巡视；收集阅阅读组织织背景资资料；检检查长期期战略计计划；与与管理人人员会谈谈；审阅阅以前的的饿审计计报告； 22、找出规规定内容容，如：政策、标准和和作业指指导书、程序和和组织结结构； 3、评价管管理层实实施的风风险评估估和隐私私保护影影响分析析； 4、实施风风险分析析，找出出高风险险区域重点检检查对象象； 5、执行内内部控制制检查（针针对风险险检查）； 6、确定审审计范围围和审计计目标； 7、确定审审计方法法或审计计战略； 8、为审计计任务和和其后勤勤支援分分配人力力资源* 需要要遵守相相关的法法律法规规：被审审计方、审计师师；* 法律律法规的的合规

9、性：识识别政府府或相关关外部要要求的法法律法规规记记录相关关法律法法规评估被被审计方方在制定定计划或或设定策策略时是是否考虑虑相关的的法律法法规制度的的执行流流程以及及保障（文文档及程程序）执行行结果* 信息息系统审审计是指指审计内内容中包包含了对对自动化化信息处处理系统统、相关关手工流流程及两两者间接接口进行行全部或或部分检检查及评评价的任任何审计计* 审计计程序包包括确定定审计范范围、说说明审计计目标、找出审审计标准准、执行行审计步步骤、检检查和评评估证据据、形成成审计结结论和意意见、与与关键流流程所有有人讨论论后报告告管理层层* 审计计方法是是指：为为实现预预定的审审计目标标而设计计的一

10、系系列书面面审计程程序，其其内容包包括审计计范围、审计目目标和审审计步骤骤；* 审计计方法应应当由审审计管理理层制定定和批准准并保持持一致性性。* ISSACAA信息系系统审计计准则： 职业业道德规规范：必必须遵守守 信息息系统审审计标准准：强制制必须遵遵守，不不可偏离离 信息息系统审审计指南南：在有有合理解解释的前前提下可可以调整整和偏离离 信息息系统审审计工具具和技术术：根据据实际情情况作出出自己的的职业判判断* 审计计计划步步骤： 1、计划审审计纲要要； 2、以书面面形式记记录一份份基于风风险评估估的审计计方法； 3、以书面面形式记记录一份份审计计计划书，详详述审计计目标、性质、时间、范

11、围以以及所需需相关资资源； 4、以书面面形式起起草审计计计划和和审计程程序* 信息息系统审审计人员员应该得得到监督督，合理理保证其其审计目目标的完完成，并并且符合合审计职职业标准准；* 审计计工作中中收集证证据的工工作量最最大；通通过证据据评估结结论最困困难；* 信息息系统审审计师必必须拥有有足够的的、恰当当的审计计证据来来解释报报告中的的审计结结果；* 在报报告审计计发现和和建议后后，审计计师必须须持续跟跟进后续续审计结结果；* 审计计最终目目的：AA&A(Auddit & AAssuurannce)审计及及保证* 审计计实质性性（重要要性）=阀值* 审计计实质性性（重要要性）越越低，需需要

12、投入入的资源源越大；审计实实质性（重重要性）越越高，需需要投入入的资源源越小；* ITTAF（信信息技术术保证框框架）包包括： 1、一般准准则：通通用准则则，所有有审计都都须遵守守； 2、执行准准则：在在实施审审计中的的要求 3、报告准准则（绩绩效准则则） 4、指南 5、工具和和技术* 目标标-风险险-控制制-审计计* 风险险是特定定的威胁胁，利用用资产的的脆弱性性从而对对组织造造成的一一种潜在在的损害害；它通通过使用用资产和和价值损损失的概概念把风风险放在在了组织织的业务务环境中中。* 业务务风险是是指那些些可能对对资产、流程、具体业业务或组组织目标标造成负负面影响响的威胁胁。* 风险险的三

13、个个要素：威胁、脆弱性性、资产产（价值值）；其其中应该该首先评评估资产产；* 以年年为单位位评估风风险基于成成本效益益原则（财财务以年年结算）* 风险险评估：识别风风险* 风险险管理：消灭、控制风风险* 风险险评估首首先识别别敏感或或关键信信息资产产；* 风险险评估的的最终目目标：将将风险降降低至管管理层可可接受水水平的相相应安全全措施；* 高风风险=高发展展、高收收益* 风险险控制（风险消消减的措措施）： 1、预防：避免或或减少风风险事件件发生的的可能性性； 2、检查：发现不不良事件件的发生生； 3、纠正：减小影影响 向别别的组织织转移风风险* 控制制分为（书书中）： 预防防性：在在问题发发

14、生前预预防，监监控运营营和输入入；职责责分离、控制对对物理设设施的访访问、良良好设计计的文档档、建立立交易授授权的适适当流程程、编辑辑检查、访问控控制软件件、加密密软件 检测测性：使使用控制制措施来来检查和和报告已已发生的的错误；哈希、检查点点、通讯讯回显控控制 纠正正性：纠纠正问题题引起的的错误，把把威胁影影响降到到最小；BCPP、备份份、DRRP* 审计计风险：审计过过程中未未发现信信息可能能存在的的重大错错误的风风险；审审计风险险包括（固固有风险险、控制制风险、检测风风险、整整体审计计风险）* 固有有风险：审计过过程中遇遇到的，在在假定不不存在相相关补偿偿控制的的情况下下，当与与其他错错

15、误相结结合时会会导致重重大错误误的风险险；也可可以定义义为：在在不存在在相关控控制的情情况下，易易于导致致重大错错误的风风险；是是由于业业务性质质所导致致的，在在审计中中独立存存在（复复杂计算算比简单单计算更更容易出出错）* 所有有审计项项目的基基本目标标之一都都是确定定控制目目标及针针对这些些目标的的相关控控制。并并找出关关键控制制点。* 控制制风险：内部控控制体系系不能及及时预防防或检测测出存在在的重大大错误的的风险（手手工检查查计算机机日志的的相关检检查风险险很高）* 检测测风险：信息系系统审计计师由于于采用了了不恰当当的测试试程序，对对实际存存在的重重大错误误得出错错误结论论的风险险。

16、（识识别检测测风险能能更好的的评价审审计师的的能力）* 整体体审计风风险：对对每一个个具体控控制目标标所评估估出的各各类审计计风险的的综合。* 统计计抽样风风险指由选选定样本本得出错错误的整整体特征征的风险险* 风险险分析量化化风险的的系统方方法* 风险险评价对比比风险值值与风险险标准确确定风险险重要性性的过程程* 风险险评估中中所识别别出的每每一个风风险都必必须处置置，处置置方式包包括：降降低、避避免、接接受、转转移* 风险险分析的的目标是是理解和和识别由由实体及及其环境境引起的的风险和和相关的的内部控控制* 审计计是典型型的检测测性控制制；* 审计计可定义义为：由由具备资资质、胜胜任、独独

17、立的组组织或人人员，针针对流程程的预定定结果，客客观地搜搜集并评评价证据据，以确确定与既既定标准准的符合合程度，形形成意见见并报告告的系统统过程。 对特特定经济济实体的的可计量量的信息息证据进进行客观观的收集集和评价价，向利利益相关关者报告告。可重重现当时时场景* 信息息系统控控制程序序包括：战略和和方针、全面的的组织管管理、IIT资源源的访问问（包括括数据和和程序）、系统开开发和变变更控制制、运行行规程、系统编编程及技技术支持持智能、质量保保证（QQA）流流程、物物理访问问控制、BCPP、DRPP、网络络和通讯讯、数据据库管理理、对内内外部攻攻击的检检查和保保护机制制* 风险险评估过过程应当

18、当在组织织中持续续进行，以以致力于于及时发发现和评评估新出出现的风风险；* 内部部控制：为减少少风险所所实施的的各种政政策、步步骤、实实践和组组织结构构；确保保业务目目标的有有效达成成。提高高经营效效率* 风险险控制另另外分类类方法：技术类类控制、物理类类控制以以及管理理类控制制；* COOSO内内部控制制框架：控制环环境风险分分析控制活活动内部沟沟通机制制监监督和持持续改进进* COOBITT通过域域和流程框框架来提提供最佳佳实务，把把34个IT流程程组合到到四个域域中： 1、计划和和组织（PO）； 2、获取与与实施（AI）； 3、交付与与支持（DS）； 4、监督与与评价（ME）.* COO

19、BITT框架定定义：IIT资源源需要由由自然归归组的流流程管理理，为组组织提供供实现其其目标所所需要各各种类型型的、符符合质量量、可用用性以及及安全要要求的信信息。（业业务部门门需要IIT部门门提供满满足一定定要求的的信息）；* 管理理：好的的事情发发生，产产生价值值、创造造效益；* 控制制：防止止风险* 业务务需求七七要素：种类项目解释质量效果符合业务务部门的的期望效率成本效益益安全保密性信息泄露露可用性物理设备备的丢失失、信息息被破坏坏；需要要时能用用完整性防止篡改改、修改改受信/受受托符合性合规性，法法律法规规可靠性数据准确确* IIT资源源：人员员、信息息、基础础架构、应用系系统；*

20、通过过流程化化管理IIT资源源；* 通用用控制：适用于于组织的的各个方方面，包包括：会会计控制制、运营营控制、管理控控制；* 应用用控制：针对特特定的流流程；* 信息息系统控控制：战战略指导导、信息息系统开开发流程程的控制制、程序序变更管管理控制制、计算算机运行行管理控控制、程程序与数数据访问问控制、信息系系统安全全的控制制、网络络和通讯讯、数据据库管理理、ITT计划；* 审计计是指：有胜任任能力的的独立机机构或人人员（审审计主体体）接受受委托或或授权（审审计关系系），对对特定经经济实体体的可计计量的信信息（审审计对象象）证据据进行客客观的收收集和评评价证据据（审计计工作），以确定这些信息与既

21、定标准（审计依据）的符合程度，并向利益相关者报告（审计目标）的一个系统的过程（审计过程）； 审计的性质独立、客观。* 位流流映像镜像像 之后后再做哈哈希防止篡篡改* 审计计的实质质：审计计信息是是否满足足7要素；* 制定定信息系系统审计计计划的的关键内内容就是是把宽泛泛的基本本审计目目标转化化成具体体的信息息系统审审计目标标；信息息系统审审计师必必须明白白如何把把一般审审计目标标转换成成特定的的信息系系统控制制目标。确定审审计目标标是信息息系统审审计计划划的关键键步骤。* 审计计目标是是指审计计工作必必须实现现的特定定目的；* 控制制目标是是指内部部控制应应当如何何发挥作作用* 信息息系统审审

22、计人员员从以下下方面评评估信息息系统职职能： 安全全 质量量 受托托责任 服务务和能力力* 信息息安全控控制应当当在系统统和项目目的需求求说明及及设计阶阶段予以以考虑* 信息息系统审审计师应应当对各各类风险险进行评评价并选选择高风风险领域域实施审审计* 符合合性测试试（控制制测试）实质质性测试试：是否否有控制制控制制是否落落实控控制是否否有效控制是是否持续续* 舞弊弊检查：1、检查查确认；2、与适适当管理理层沟通通；3、与审审计委员员会沟通通向向董事会会沟通；* 审计计师在接接受客户户审计时时就应对对审计风风险进行行评估，将将评估风风险与预预计可接接受的总总审计风风险水平平比较后后，决定定是否

23、接接受客户户；* 审计计风险分分类：固固有风险险、控制制风险、检查风风险（审审计风险险）；总总体审计计风险。* 符合合性测试试是为测测试组织织对控制制程序的的符合性性而收集集证据，验验证控制制的执行行是否符符合管理理政策和和规程（测测试内控控是否起起作用）；* 实质质性测试试是为评评价交易易、数据据或其他他信息的的完整性性而收集集证据，证证实实际际处理的的完整性性。* 需要要进行实实质性测测试的数数量与内内部控制制的水平平直接相相关* 符合合性测试试（控制制测试）简单单、快速速、资源源消耗少少* 实质质性（重重要性）：可容忍忍错报或或漏报的的最好界界限，其其运用的的情形：1、在编编制审计计计划

24、的的时候，进进行初步步估计；2、在做做出审计计结果时时候，进进行判断断。* 审计计风险与与实质性性（重要要性）：实质性性水平越越高，审审计工作作风险就就越低；实质性性水平越越低，审审计工作作风险就就越高；* 符合合性测试试（控制制测试）：属性抽抽样* 实质质性测试试：判断断控制是是否完整整* 充分分性数数量上足足够；适适当性审计证证据有效效且相关关；* 统计计抽样采用用统计推推断技术术的一种种抽样方方法，可可以量化化抽样风风险* 非统统计抽样样随随机抽样样* 属性性抽样一一般用于于符合性性测试中中估计属属性的有有或无，结结论是用用比率表表示发生生率（属属性抽样样、停走抽样样、发现现抽样）；*

25、变量量抽样一一般用于于实质性性测试中中估计总总体的变变化特征征，结论论是与正正常值的的偏差范范围 具体体数值 （分分层单位位平均估估计抽样样、不分层单单位平均均估计抽抽样、差差额估计计）* 属性性抽样： 1、固定样样本抽样样：1000个里面面抽100个 2、停走走抽样：1000个里面面先抽55个，如如果没有有问题就就停止，如如果有问问题就再再抽 3、发现抽抽样：1000个里面面一直抽抽，直到到抽到一一个有问问题为止止* 变量量抽样：分层单单位平均均估计抽抽样、不不分层单单位平均均估计抽抽样、差差额估计计抽样；* 置信信系数越越高，样样本量越越大；风风险水平平=1-置信系系数；精精度值越越小样本

26、本量越大大* 控制制需求：发现高高风险区区域而又又未控制制的区域域* 补偿偿性控制制与重叠叠性控制制：需要要重点关关注的是是补偿性性控制；* 补偿偿控制是是强控制制补偿弱弱控制，而而重叠控控制是指指两个强强控制；* 信息息系统审审计师在在报告控控制缺陷陷之前应应当先检检查补偿偿性控制制* 判断断控制是是否有效效率和效效果；* 信息息系统审审计师在在报告发发布前，就就重要发发现及时时和合适适的人员员进行交交流，但但前提是是交流不不应该改改变报告告的内容容；* 审计计底稿是是指在审审计过程程中产生生的所有有的记录录和资料料，应保保存7年；* 控制制自我评评估（CCSA）三三个基本本特征： 1、关注

27、业业务的过过程和控控制的成成效； 2、有管理理部门和和职员共共同进行行； 3、用结构构化的方方法开展展自我评评估。* 在控控制自我我评估（CSA）中，信息系统审计师作为控制专家和评估引导人，只是CSA的推动者；* CSSA把部部门经理理的监督督职责分分散到员员工中* 审计计师在CCSA中中的目标标： 增强强审计职职责 在控控制责任任和监控控当中教教育各级级管理者者 通过过对在CCSA中中注意到到的高风风险和非非正常项项目进行行复核来来确定审审计工作作目标 通过过把纠错错心动从从所有者者方面向向雇员方方面转移移的办法法来提高高纠错行行动的有有效性* 一些些组织在在做CSSA评估估时，可可能还会会

28、包括客客户、贸贸易伙伴伴等外部部人员* CSSA主要要目标是是通过把把一些控控制监督督职责分分散到职职能部门门来充分分发挥内内部审计计职能的的左右，这这并不是是要替代代审计的的职责，而而是一种种加强* 审计计师应该该牢记他他们只是是CSAA的推动动者，只只有管理理人员才才是CSSA程序序的具体体实施者者* 连续续监控与与连续审审计区别别：监控控仅仅记记录所有有满足设设定条件件的事件件；审计计则一旦旦控制失失效，自自动触发发报警。* 持续续审计的的技术应应该在系系统开发发和实施施的早期期阶段介介入；* 持续续审计的的限制因因素：成成本问题题* 持续续审计是是被审计计事实的的发生至至证据收收集和审

29、审计报告告之间的的时间间间隔非常常短* 持续续审计应应独立于于持续控控制或监监控活动动，当同同时存在在持续监监控和持持续审计计时，就就形成了了持续保保证* ITT系统通通常是预预防和检检查性控控制的第第一道防防线，综综合审计计的根本本就在于于合理评评估它们们的效果果及效率率* 确定定审计发发现重要要性的关关键是评评估这些些审计发发现对各各级管理理层的重重要性，评评估中需需要判断断未针对对审计发发现采取取纠正措措施可能能导致的的潜在影影响。* 审计计证据可可靠性的的决定因因素： 1、提供审审计证据据的人员员的独立立性 2、提供信信息或证证据的人人员的资资格 3、证据的的客观性性 4、证据的的时效

30、性性* 应当当由信息息系统审审计师来来最终决决定审计计报告中中包括或或不包括括哪些内内容* 综合合审计的的一个关关键步骤骤就是审审计组集集体讨论论风险及及其影响响和发生生的可能能性* 详细细审计工工作关注注已存在在的管理理这些风风险的相相关控制制。* 进行行实际取取证时，只只能对位位流映像像进行操操作，目目标驱动动器应该该封存* 对司司法取证证审计师师而言，最最重要的的考虑就就是做好好目标驱驱动器的的位流映映像（镜镜像），并并检查该该映像的的时间戳戳和其他他信息属属性未被被人为改改变；* 位流流映像做做出来后后应该对对目标驱驱动器进进行哈希希，然后后与位流流映像的的哈希进进行对比比，确保保两者

31、的的完全一一致；* 除了了位流映映像以外外还有内内存信息息转储到到文件中中也是司司法取证证的一种种；* 信息息系统审审计师通通常从许许多不同同的角度度来评估估IT职能能和系统统： 安全全机机密性、完整性性、可用用性 质量量效效果、效效率 委托托责任符合合性、可可靠性 服务务和能力力第二章 IT治治理与管管理* ITT治理是是组织中中的一种种安排。目的是是为了提提高ITT绩效，降降低ITT风险，有有效利用用资源。* 信息息系统的的战略规规划是获获取、配配置和管管理信息息资源及及实现组组织远景景目标的的总体规规划，包包括软件件、硬件件、责任任以及资资源配置置等，提提供给组组织相应应的解决决方案。*

32、 ITT治理有有助于确确保ITT和企业业目标保保持一致致，ITT治理的的关键因因素是IIT与业业务保持持一致，以以实现业业务价值值* ITT治理采采用最佳佳实践来来确保组组织信息息及相关关技术支支持其业业务目标标（如战战略一致致）和价价值交付付，确保保资源得得到合理理使用、风险得得到适当当管理、绩效得得到测评评* 信息息技术对对企业非非常重要要，不能能把职责责放给IIT管理理人员或或IT专家家，而必必须得到到整个高高级管理理层的关关注* ITT治理在在根本上上关注以以下两方方面的问问题： ITT如何向向业务交交付价值值由由IT与业业务的战战略一致致推动 ITT风险得得到管理理向向企业分分配责任

33、任来推动动* ITT如何有有效率有有效果的的使用IIT资源源；* ITT治理的的关键因因素是保保持与业业务战略略的一致致，引导导业务价价值的实实现；* ITT治理是是董事会会和最高高管理层层的责任任，是企企业整体体治理的的一部分分，它由由领导关关系、组组织结构构以及能能确保IIT支撑撑和扩展展组织战战略及目目标的流流程组成成* 关键键的ITT治理实实务有：IT战略略委员会会、风险险管理和和标准IIT平衡衡记分卡卡* ITT治理的的关注领领域：战战略一致致、价值值支付、资源管管理、风风险管理理、绩效效测评* ITT治理实各各种关系系与流程程结构，用用于指导导和控制制组织达达成增值值目标，同同时还

34、要要保证IIT及其其流程的的风险与与收益的的平衡。* 在IIT治理理中，信信息系统统审计师师应当确确认已明明确以下下内容： 1、工作范范围，包包括清晰晰定义所所涵盖的的职能领领域和事事务； 2、采用的的报告路路线，使使查出的的IT治理理问题能能报告给给组织的的最高层层 3、信息系系统审计计师对信信息的访访问权限限，包括括对组织织内部和和第三方方服务提提供商* ITT战略委委员会是是方向性性的：由由一个董董事会成成员加外外部专家家组成，战战略层面面* ITT指导委委员会是是技术执执行层面面的* ITT平衡记记分卡是是协助IIT战略略委员会会和管理理层实现现IT与业业务保持持一致的的最有效效的方法

35、法之一，其其目标是是建立管管理层向向董事会会的报告告途径，就就IT战略略目标在在关键利利益相关关方之间间达成一一致，证证实ITT的效果果与价值值，沟通通IT绩效效、风险险和能力力。* 信息息：具有有特定意意义和目目标的数数据* 信息息安全的的复杂性性、相关关性、危危险性及及其治理理都要在在组织的的董事会会层面予予以考虑虑并提供供支持* 信息息安全的的忧虑：对信息息及其处处理系统统的持续续依赖和和众多威威胁所导导致的复复杂风险险。* 有效效的信息息安全能能为组织织带来巨巨大价值值： 1、在与贸贸易伙伴伴的交往往中提供供可靠的的信赖； 2、提高客客户的信信任度； 3、保护组组织信誉誉 4、促进采采

36、用更新新更好的的方式处处理电子子交易* 业务务战略方方针通过过业务目目的和目目标来明明确，信信息安全全必须能能支持业业务活动动向企业业交付价价值；* 信息息安全治治理框架架为制定定一套有有成本效效益的、支持组组织业务务目标的的信息安安全程序序提供了了基础。该程序序的目标标是建立立一系列列的活动动以保证证信息资资产受到到与其价价值或给给组织带带来的潜潜在风险险相称的的保护。* ITT治理是是企业的的一种制制度安排排，它通通过为IIT提供供必要的的领导力力、组织织结构和和相关过过程，来来保证企企业的IIT能支支持企业业战略和和实现企企业目标标，同时时控制风风险、降降低成本本、提高高绩效。* ITT

37、治理是是董事会会和执行行管理层层的职责责，是企企业治理理的重要要组成部部分；* ITT管理是是公司的的信息及及信息系系统的运运营，确确定ITT目标以以及实现现此目标标所采取取的行动动；* ITT治理是是最高管管理层（董董事会）通通过ITT治理监监督执行行管理层层在ITT战略上上的过程程、结构构和联系系，以确确保这种种运营处处于正确确的轨道道上* ITT治理是是董事会会和高级级管理层层的责任任* ITT治理框框架主要要流程： 1、IT资源源管理，关关注现有有的全部部IT资源源的维护护并落实实风险管管理程序序； 2、绩效衡衡量，关关注确保保所有IIT资源源向业务务交付既既定价值值，也在在早期识识别

38、风险险； 3、合规管理，关关注满足足法律、法规要要求的流流程的落落实* 关键键IT治理理实务：IT战略略委员会会（隶属属董事会会，由董董事会成成员+专家组组成），风风险管理理和标准准IT平衡衡记分卡卡* COOBITT五个ITT治理域域都受利利益相关关者价值值驱动，其其中价值值交付、风险管管理是结结果，战战略一致致、绩效效考评是是驱动力力，ITT资源管管理为治治理提供供支持。* ITT战略委委员会负负责宏观观的指导导性要求求* ITT指导委委员会负负责具体体事务，预预算、架架构以及及项目进进展，不不讨论具具体细节节问题；* 信息息系统审审计师需需要对IIT治理理的各个个方面进进行评估估： 1、

39、信息系系统审计计的职能能与组织织的使命命、愿景景、价值值、目标标和战略略一致； 2、信息系系统的职职能绩效效目标应应当由业业务来决决定（效效率与效效果）； 3、法律问问题、环环境问题题、信息息质量、信用和和安全需需求； 4、组织的的控制环环境； 5、信息系系统环境境的内在在风险； 6、IT投资资/费用* ITT平衡记记分卡的的四个视视角（只只是管理理报告工工具）： 财务务视角：为了使使股东满满意 客户户视角：为了实实现财务务目标，需需要服务务客户 过程程视角：提高客客户和利利益相关关者的满满意度 视角：为了达达成目标标，组织织应当如如何与创新新* 信息息安全治治理具有有特定的的价值驱驱动：信信

40、息安全全的机密密性（CC）、完完整性（I）和可用性（A），持续服务和信息资产保护等，使信息安全治理成为一个重点关注领域；是董事会和高管的职责。* 信息息安全治治理 1、价值交交付：优优化安全全投资以以支持业业务目标标； 2、绩效评评测：衡衡量、监监督和报报告信息息安全流流程，以以确保实实现SMMARTT目标（确确定的、可度量量的、可可实现的的、相关关的和符符合时间间要求的的） 3、资源管管理：有有效利用用信息安安全知识识与基础础设施 4、流程整整合：关关注组织织安全管管理保证证流程的的整合，目目标在改改善整体体安全及及运营效效率。* 信息息安全治治理的安安全职责责： 1、董事会会提提出要求求，

41、听取取汇报 2、执行管管理层制定定具体的的流程定定义 3、指导委委员会具体体事务的的定义 4、信息安安全管理理层具体流流程的执执行 5、审计员员对对各个流流程执行行的评价价* 审计计员永远远不提具具体的改改进活动动，改进进审计出出来的缺缺陷，是是被审计计单位的的管理层层的职责责；* 企业业架构（EA）通过一种结构化的方式来反映组织IT资产，并有效管理对IT投资；* 企业业架构通通常应描描述记录录当前资资产状态态和最佳佳未来资资产状态态。* ITT治理目目标要求求IT战略略应当与与整体业业务保持持一致* AUUP:可可接受使使用策略略（Acccepptabble Usee Pooliccy）是是

42、指这些些网络能能够被谁谁使用的的约束策策略（最最终用户户如何使使用信息息资产的的准则以以及期望望）。AUPPs的执执行是随随网络变变化的。许多公公共网络络服务有有一个AAUP。这个AAUP是是一个正正式的或或非正式式的文件件，其定定义了网网络的应应用意图图、不接接受的使使用和不不服从的的结果。一个人人注册一一个基于于网络的的服务或或工作在在一个社社团内部部网时经经常会遇遇到一个个AUPP。一个个好的AAUP 将包括括网络礼礼节的规规定，限限制网络络资源的的使用和和明确指指出网络络应该尊尊敬的成成员的隐隐私，最最好的AAUPss使whhat if关一体体化，其其举例说说明这个个策略在在现实世世界

43、协商商中的作作用。* ITT投资财财务指标标关注：投资回回报率（ROI）* 关注注风险的的同时也也要关注注投资回回报；* 平衡衡记分卡卡决定项项目投资资与否，强强调愿景景；ITT投资组组合，具具体项目目投资量量，关注注投资回回报最大大化。* ITT平衡记记分卡评评估ITT功能和和流程* 政策策：永远远都是高高层政策策决定低低层政策策。从集集中到分分散。* 政策策最高管管理层一一定要签签字确认认，定期期修订，重重大变化化时随时时修订。* 最重重要的一一个方面面是受程程序控制制的人员员熟悉规规程内容容，如果果使用程程序人员员不了解解其内容容，该程程序是无无效* 风险险：外在在威胁利利用资产产本身（

44、保保护对象象）的脆脆弱性（对对象本身身特点）造造成损害害的可能能。控制制就是阻阻断威胁胁* 坏事事已经发发生了叫叫事件，可可能发生生叫风险险；* 凡是是高于风风险可接接受水平平的，就就要进入入风险处处置（降降低、转转移、回回避、接接受）；* 任何何对企业业有价值值的资源源都叫资资产，所所有资产产有有脆弱性性。* 一个个未经保保护的线线路脆弱性性* 风险险管理根根据成本本效益原原则采取取： 避免免风险：选择不不从事导导致风险险的特定定活动或或流程 降低低风险：制定、实施并并监督适适当的控控制降低低风险发发生的可可能性 转移移风险：购买保保险或者者保修服服务 接受受风险：经过评评估后正正视风险险的

45、存在在，并监监视* 风险险管理的的核心是是：保护护资产* 在攻攻击发生生后，还还没有造造成损失失叫事态态，已经经发生侵侵害损失失叫事件件* 风险险管理首首先需要要识别信信息资产产（包括括物理的的、逻辑辑的和无无形的）* 风险险管理过过程：识识别信息息资产、识别并并评估威威胁、识识别并评评估脆弱弱性* ITT风险管管理在多多种层面面上进行行综合分分析： 运行行层面：关注能能影响IIT系统统及基础础设施的的效果及及效率的的风险，绕绕过系统统控制的的风险，关关键资源源损失风风险 项目目层面：关注理理解和管管理项目目复杂性性的能力力，项目目不能有有效完成成、未实实现项目目目标的的风险 战略略层面：关注

46、IIT能力力与业务务战略保保持一致致的程度度* 风险险分析方方法： 定性性方法：主观风风险定级级，采用用问卷式式的检查查列表（CHECKLIST） 半定定量分析析法：还还是定性性法的一一种。 定量量分析法法：使用用数值描描述风险险发生的的可能性性及其影影响* 应在在公司的的所有IIT职能能领域内内实施风风险管理理，风险险管理是是高层管管理人员员的职责责，尽量量使用量量化风险险的管理理办法* 信息息安全治治理的成成果： 1、战略一一致使信息息安全与与业务战战略保持持一致以以支持组组织目标标 2、风险管管理管理和和实施适适当的措措施以降降低风险险并减少少对信息息资源的的潜在影影响至可可接受水水平

47、3、价值交交付优化安安全投资资以支持持业务目目标 4、绩效衡衡量衡量、监督和和报告信信息安全全流程，以以确保实实现SMMARTT目标（具具体的、可度量量的、可可实现的的、切实实的和有有时限的的） 5、资源管管理有效利利用信息息安全知知识与基基础设施施 6、流程整整合关注组组织安全全管理保保证流程程的整合合* 信息息安全治治理需要要战略指指导和推推动力，需需要委任任、资源源和为信信息安全全管理分分配责任任，也包包括董事事会确定定其目标标是否已已实现的的方式。* 企业业架购关关注的内内容是响响应不断断增加的的IT复杂杂性，现现代组织织的复杂杂性，重重点关注注IT与业业务战略略的一致致性并确确保IT

48、T投资产产生真实实回报* 企业业架构（EA）的参考模型： 绩效效参考模模型衡衡量主要要IT投资资绩效及及其对业业务流程程绩效贡贡献度的的框架 业务务参考模模型功功能驱动动的框架架，描述述由政府府、独立立机构所所执行的的功能 服务务组件参参考模型型对支支持业务务和绩效效目标的的服务组组件进行行分类的的功能性性框架 技术术参考模模型描描述技术术如何支支持服务务组件的的交付、替换和和构建的的框架 数据据参考模模型用用在开发发过程中中，描述述支持程程序和业业务生产产线的数数据信息息* 对XXX的控控制是最最有效找属属于预防防性控制制* 强制制休假防止止舞弊，发发现问题题加强控控制* 信息息系统职职能的

49、交交付方式式包括： 内包包由由组织内内员工实实施 外包包全全部由供供应商实实施（把把公司无无增值功功能的事事务转移移出去） 混合合方式由组组织员工工和供应应商混合合实施* 信息息系统职职能实施施方式： 现场场员员工直接接在信息息系统现现场工作作 离场场（近岸岸）员工在在同一地地理区域域内的不不同地点点远程工工作 离岸岸员员工在不不同的地地理区域域远程工工作* 外包包方式应应该注意意：数据据的所有有者、知知识产权权问题以以及对外外包方的的审计权权问题* 全球球化外包包需要注注意事项项： 法律律、法规规和税务务方面的的事务不同同国家和和地区对对IT系统统的相关关规定 持续续运行可能能无法提提供测试

50、试BCPP和DRPP 网络络通讯事事务 跨国国界和跨跨文化的的事务* 云计计算服务务交付模模型： SaaaS（软软件交付付）、 PaaaS（平平台交付付）、 laaaS（架架构交付付）* laaaS（架架构交付付）需要要关注：服务中中断* PaaaS（平平台交付付）需要要关注：隐私性性，数据据所有权权* SaaaS（软软件交付付）需要要关注：软件应应用所处处位置* 云计计算注意意的问题题：服务务商宕机、机机密性如如何保证证、安全全问题的的法律责责任、数数据所有有权* 私有有云的安安全性最最好，但但不容易易扩展* 敏感感数据的的使用者者需要关关心数据据安全性性问题* 云治治理要考考虑使用用云计算

51、算时主要要考虑和和IT的战战略方向向* 采购购实务中中第三方方服务的的变更管管理：变变更服务务条款，包包括对现现有的信信息安全全政策、规程和和控制的的维护及及改善，应应考虑业业务关系系的关键键性及其其涉及流流程进行行管理，并并重新评评估风险险。* 建立立IT用户户计费机机制可以以提高应应用水平平，监督督信息系系统费用用和可用用资源* 软件件开发，公公司对内内部使用用软件的的成本资资本化（作作为固定定资产成成本摊销销）* 绩效效优化：是在无无须对信信息技术术基础设设施追加加额外投投资的情情况下，将将信息系系统的生生产力尽尽可能提提高到最最高水平平* 管理理指南的的重要内内容： 关键键成功要要素（

52、CCSF）、 关键目目标指标标（KGGI）、 关键绩绩效指标标（KPPI）、 成熟度度模型* 信息息系统部部门组织织结构职职务： 最终终用户服服务台：与业务务部门沟沟通的界界面 运行行部门计计算机操操作员：在主机机环境的的控制台台上执行行任务 技术术支持部部门的系系统程序序员：在在主机环环境中对对操作系系统进行行修改IT部门DBA业务部门最终用户OS管理员网络管理员生产现场操作人员QA开发部门应用程序员分析员系统程序员* 职责责分离（要要理解） 安安全管理理员不可可以是系系统管理理员 选选项中业业务案例例最重要要* 发现现没有职职责分离离，找补补偿性控控制* 选择择项中不不选：多多加人、停止工

53、工作、自自动化检检查系统统* 审计计师发现现问题找证证据 审计计师确认认问题报告告适当的的管理层层* 控制制组负责责收集、转换和和控制输输入，核核对结果果并向用用户分发发结果* 质量量控制：负责执执行测试试或审查查，以验验证并确确保软件件不存在在缺陷并并满足用用户预期期，必须须在程序序被迁移移到生产产环境之之前进行行。* 质量量保证（QA）：帮助信息系统部门确保其人员遵守规定的质量程序。发布、制定、维护质量标准。* 不能能对自己己的工作作做QAA；用户户、开发发人员不不能做QQA* 应用用程序员员负责开开发和维维护应用用系统，只只能在开开发和测测试环境境中进行行；* 在小小型机构构中，网网络管

54、理理员可以以负责局局域网的的安全管管理，可可以拥有有系统程程序员及及最终用用户的职职责，但但不应拥拥有应用用程序编编程的职职责；* 从信信息系统统的角度度来看，战战略规划划是组织织为了利利用信息息技术来来改善业业务流程程而确定定的长期期发展方方向。* 在制制定业务务战略过过程中缺缺乏ITT的介入入将导致致IT战略略规划不不能与业业务战略略保持一一致的风风险* 战略略指导委委员会的的主要职职责是对对重要的的信息系系统项目目进行审审查，而而不应当当涉及日日常运营营。* ITT指导委委员会监监督重大大项目的的进度和和资源分分配* 项目目管理委委员会负负责制定定IT项目目策略* 采用用自顶向向下的方方

55、法来制制定低层层政策，确确保了各各级政策策的一致致性* 采用用自底向向上的方方法来制制定低层层政策，基基于风险险评估的的结果而而制定的的，可能能更加实实用，但但容易造造成政策策间的不不一致和和相互抵抵触。* 程序序反映了了业务流流程及嵌嵌入的控控制。程程序由流流程所有有人制定定，是对对政策的的有效解解释* 风险险管理是是组织用用于识别别信息资资源的脆脆弱性及及威胁，制制定相应应的对策策（安全全措施或或控制），以以实现组组织业务务目标的的过程。* 安全全政策必必须在控控制水平平与生产产效率之之间进行行平衡，控控制成本本决不能能超过控控制所带带来的预预期收益益。* 信息息安全政政策指导导整个组组织

56、来确确定所需需保护的的内容、相应的的保护职职责以及及保护工工作应遵遵循的策策略。* 应当当按照计计划周期期或当发发生重大大变化时时对信息息安全政政策进行行审查，以以确保其其适当性性、充分分性和有有效性。* 应当当为信息息安全政政策指定定所有人人，来批批准安全全政策的的制定、审查和和评估等等管理职职责。* 信息息系统职职责分离离的原则则： 资产产保管 授权权 交易易记录* 任何何风险，都都应当基基于信息息资源对对组织的的价值，将将其降低低至可接接受水平平。* 有效效的风险险管理始始于清楚楚的理解解组织的的风险偏偏好。在在IT环境境下，风风险偏好好推动所所有的风风险管理理工作，影影响未来来的技术术

57、投资，IT资产的保护程度及所需的保证水平。* 风险险管理包包括识别别、分析析、评估估、处置置和沟通通IT流程程的风险险影响* 风险险的对应应措施：避免风风险、降降低风险险、转移移风险、接受风风险* 为制制定风险险管理程程序，必必须： 1、确定风风险管理理程序的的目的 2、为风险险管理计计划分配配职责* 风险险管理过过程 第一一步是对对信息资资产或资资源进行行标识并并分类； 第二二步是评评估与信信息资产产相关的的威胁和和脆弱性性，及其其发生的的可能性性；* 威胁胁的发生生是由于于信息资资产存在在脆弱性性，脆弱弱性是信信息资源源的特性性，可以以被威胁胁利用并并造成损损害* 发生生任何威威胁所造造成

58、的结结果称为为影响，它它能导致致这种或或那种损损失* 信息息系统管管理实务务反映的的是为各各种信息息系统相相关管理理活动所所设计的的政策与与程序的的实施情情况* CIIA要求求：机密密性、完完整性和和可用性性* 服务务台应建建立正式式流程来来分别记记录已报报告、已已解决和和升级的的问题，并并对问题题和疑难难进行分分析，以以帮助监监督用户户和改善善信息处处理设施施（IPPF）的的服务* 在计计算机运运行中，管管理控制制可以划划分为物物理安全全控制、数据安安全控制制和处理理控制三三个类别别* 控制制组负责责收集、转换和和控制输输入，核核对结果果并向用用户分发发输出结结果* 数据据录入人人员由控控制

59、组管管理，因因此数据据录入不不一定是是最终用用户* 安全全管理应应首先得得到管理理层的支支持，管管理层必必须了解解并评估估安全风风险，制制定书面面政策清清晰地说说明应遵遵循的标标准和规规程，并并强制执执行* 为保保证充分分的职责责分离，安安全管理理员应当当是全职职员工，可可以直接接向基础础设施主主管报告告* 质量量保证人人员通常常执行两两种不同同任务： 质量量保证（QA）帮助信息系统部门确保其人员遵守规定的质量程序 质量量控制（QC）负责执行测试或审查，以验证并确保软件不存在缺陷并满足用户预期。* 质量量控制（QC）可以在系统开发的各个阶段进行，但必须在程序被迁移到生产环境之前进行* 在任任何

60、情况况下都不不应当让让个人对对自己所所负责的的工作执执行质量量审查* 针对对数据库库管理员员（DBBA）的的严格控控制： 1、职责分分离 2、DBAA活动需需要得到到管理层层批准 3、由主管管对访问问日志和和相关活活动进行行审查 4、对数据据库工具具的使用用事实检检查性控控制* 必须须确保应应用程序序员不能能修改生生产环境境中的程程序和应应用数据据，他们们应当只只能在测测试环境境下工作作，由另另外的团团队把程程序和应应用变更更迁移到到生产环环境中。* 在小小型机构构中，网网络管理理员可以以负责局局域网的的安全管管理，拥拥有系统统程序员员及最终终用户的的职责，但但不应当当拥有应应用程序序员编程程的职责责* 应当当分离的的职责包包括：资资产保管管、授权权、交易易记录* 职责责分离的的目标是是：通过过识别补补偿性控控制来降降低或消消除业务务风险* 访问问控制决决策应基基于组织织政策和和两个普普遍接受受的实践践标准： 职责责分离 最小小授权原原则* 用户户部门应应提交授授权单；信息系系统部门门根据授授权单维维护用户户授权表表* 审计计痕迹的的主要目目的是建建立交付付处理的的业务交交易的职职责（可可追溯责责任）。* 针对对职责分分离的补补偿性控控制：