CISA学习思路一览

CISA的学习，具备知识领域覆盖广泛，知识点分散和繁杂的特点。学习的过程中，需要形成自己独立的学习思路和理解习惯。

《第一章 信息系统的审计流程》，总体上是审计师这个角色需要理解和学习，适用于日常工作开展的知识体系，介绍了三个方面：

审计师的职责、权利、制约因素：

审计章程明确审计部门和审计师的职责权利

审计师符合ISACA的标准

审计师的道德约束

审计师能做什么，审计师不能做什么

审计师的审计范围、目标、采用的工具和方法

审计流程

审计规划

基于风险的审计方法

控制类型：预防、检测、控制

审计工具和方法：抽样方法、持续性审计方法、CAAT、CSA等

审计报告（输出、沟通及沟通技巧）

审计师的审计报告及沟通

什么时候就审计发现进行沟通、什么时候上报等。

《第二章 IT治理和管理》，介绍了治理和管理两个部分的内容，治理属于高屋建瓴，属于战略层次，指明方向，犹如茫茫海域的灯塔。管理属于细分执行，属于战术层次，说明需要执行的环节，犹如航行的一叶舟。一句话说，治理和管理，一个偏虚，偏高大上，一个务实，偏实际作业。

IT治理

高级管理层、指导委员会、战略委员会的职责

组织结构（内部的SOD）、企业架构、标准、政策和程序等

企业风险管理（风险管理流程，评估方法等）

管理参照模型（CMMI）

IT战略委员会和管理层的工具：IT BSC

法律法规、行业准则的影响

IT管理

资源、服务、质量保证

相应的监控工具和方法

《第三章 信息系统的购置、开发与实施》，从项目的角度，介绍了信息系统从业务案例到实施后效果评估的全流程。全章基本可以从项目角度去理解，一个信息系统的建立，从可行性分析，业务案例的建立和审批，到需求收集、分析和定义、规划设计和实现，再到项目实施和项目收尾。其中，业务方的确认，在项目的各个环节都需要进行，一个环节的确认，代表一个阶段的结束，以便合理的进入下一阶段的执行。第三章涉及多个方面：

购置：

供应商的招投评授

开发：

原型法、敏捷、Devops、面向对象、基于组件等

模型：SDLC、V模型等

测试：单元、集成、系统、用户、并行、回归、社交等

上线：并行、一次性、阶段性

收尾：用户验收、实施后审查

《第四章 信息系统的运营和业务恢复能力》，从两方面来看，一方面是运营，一方面是业务恢复。学习的时候，需要了解运营都需要做什么，关注哪些方面，业务恢复相对比较容易理解，实操中，也是优先恢复关键业务系统。

运营：

业务所需的技术组件

资产管理

批处理和流程自动化

数据治理

系统管理（软件、版本控制、性能等）

事故和问题管理

变更管理

服务水平

业务恢复

业务影响分析（BIA）

恢复策略

恢复能力

备份

业务连续性计划（BCP）

BCP的测试

《第五章 保护信息资产》，简单理解，就是信息资产的理解，首先要搞清楚，有哪些资产，其次，从人防物防和技防的角度去考虑和总结。公司信息安全的管理，主要关注：数据、网络、终端和环境

数据：所有者、数据分类、权限管理（基于角色授权、按需知密等）、数据加密、隐私保护、DLP等

网络：网络边界、防火墙、路由器、无线

终端：USB、病毒防御等

环境：保安、门禁、监控、防火防水防盗等

安全意识培训，属于独立体系，基本每个方面都需要做。