CISA的学习,具备知识领域覆盖广泛,知识点分散和繁杂的特点。学习的过程中,需要形成自己独立的学习思路和理解习惯。
《第一章 信息系统的审计流程》,总体上是审计师这个角色需要理解和学习,适用于日常工作开展的知识体系,介绍了三个方面:
审计师的职责、权利、制约因素:
审计章程明确审计部门和审计师的职责权利
审计师符合ISACA的标准
审计师的道德约束
审计师能做什么,审计师不能做什么
审计师的审计范围、目标、采用的工具和方法
审计流程
审计规划
基于风险的审计方法
控制类型:预防、检测、控制
审计工具和方法:抽样方法、持续性审计方法、CAAT、CSA等
审计报告(输出、沟通及沟通技巧)
审计师的审计报告及沟通
什么时候就审计发现进行沟通、什么时候上报等。
《第二章 IT治理和管理》,介绍了治理和管理两个部分的内容,治理属于高屋建瓴,属于战略层次,指明方向,犹如茫茫海域的灯塔。管理属于细分执行,属于战术层次,说明需要执行的环节,犹如航行的一叶舟。一句话说,治理和管理,一个偏虚,偏高大上,一个务实,偏实际作业。
IT治理
高级管理层、指导委员会、战略委员会的职责
组织结构(内部的SOD)、企业架构、标准、政策和程序等
企业风险管理(风险管理流程,评估方法等)
管理参照模型(CMMI)
IT战略委员会和管理层的工具:IT BSC
法律法规、行业准则的影响
IT管理
资源、服务、质量保证
相应的监控工具和方法
《第三章 信息系统的购置、开发与实施》,从项目的角度,介绍了信息系统从业务案例到实施后效果评估的全流程。全章基本可以从项目角度去理解,一个信息系统的建立,从可行性分析,业务案例的建立和审批,到需求收集、分析和定义、规划设计和实现,再到项目实施和项目收尾。其中,业务方的确认,在项目的各个环节都需要进行,一个环节的确认,代表一个阶段的结束,以便合理的进入下一阶段的执行。第三章涉及多个方面:
购置:
供应商的招投评授
开发:
原型法、敏捷、Devops、面向对象、基于组件等
模型:SDLC、V模型等
测试:单元、集成、系统、用户、并行、回归、社交等
上线:并行、一次性、阶段性
收尾:用户验收、实施后审查
《第四章 信息系统的运营和业务恢复能力》,从两方面来看,一方面是运营,一方面是业务恢复。学习的时候,需要了解运营都需要做什么,关注哪些方面,业务恢复相对比较容易理解,实操中,也是优先恢复关键业务系统。
运营:
业务所需的技术组件
资产管理
批处理和流程自动化
数据治理
系统管理(软件、版本控制、性能等)
事故和问题管理
变更管理
服务水平
业务恢复
业务影响分析(BIA)
恢复策略
恢复能力
备份
业务连续性计划(BCP)
BCP的测试
《第五章 保护信息资产》,简单理解,就是信息资产的理解,首先要搞清楚,有哪些资产,其次,从人防物防和技防的角度去考虑和总结。公司信息安全的管理,主要关注:数据、网络、终端和环境
数据:所有者、数据分类、权限管理(基于角色授权、按需知密等)、数据加密、隐私保护、DLP等
网络:网络边界、防火墙、路由器、无线
终端:USB、病毒防御等
环境:保安、门禁、监控、防火防水防盗等
安全意识培训,属于独立体系,基本每个方面都需要做。