隨著計(jì)算機(jī)技術(shù)在管理中的廣泛運(yùn)用��,傳統(tǒng)的管理��、控制�、檢查和審計(jì)技術(shù)都面臨著巨大的挑戰(zhàn)��。在網(wǎng)絡(luò)經(jīng)濟(jì)迅猛發(fā)展的今天�����,IT審計(jì)師已被公認(rèn)為全世界范圍內(nèi)非常搶手的高級(jí)人才�����。享譽(yù)全球的ISACA(國際信息系統(tǒng)審計(jì)協(xié)會(huì))為全球?qū)I(yè)人員提供知識(shí)��、職業(yè)認(rèn)證并打造社群網(wǎng)絡(luò)��,其推出的CISA(注冊信息系統(tǒng)審計(jì)師�����,Certified Information Systems Auditor)認(rèn)證在全球受到廣泛認(rèn)可���,并已進(jìn)入中國��。本書是ISACA官方出版的獲得CISA認(rèn)證的指定教材�。
ISACA(國際信息系統(tǒng)審計(jì)協(xié)會(huì)��,網(wǎng)址:isaca.org)為全球?qū)I(yè)人士提供創(chuàng)新性��、世界級(jí)的知識(shí)�����、標(biāo)準(zhǔn)�����、社群、認(rèn)證和職業(yè)發(fā)展�����,協(xié)助其引領(lǐng)及適應(yīng)不斷向前發(fā)展的數(shù)字世界并樹立信心�����。ISACA 成立于 1969 年�,是一家非營利的全球性協(xié)會(huì),成員遍布 180 個(gè)國家��,總數(shù)達(dá)到 140 000 人�����。ISACA 還提供一套完整的網(wǎng)絡(luò)安全資源 Cybersecurity NexusTM(CSX) 以及用于治理企業(yè)技術(shù)的業(yè)務(wù)框架 COBIT?��。此外�����,ISACA 通過全球著名的注冊信息系統(tǒng)審計(jì)師 (Certified Information Systems Auditor?, CISA?)��、注冊信息安全經(jīng)理 (Certified Information Security Manager?, CISM?)、企業(yè) IT 治理認(rèn)證 (Certified in the Governance of Enterprise IT?,CGEIT?) 和風(fēng)險(xiǎn)及信息系統(tǒng)控制認(rèn)證 (Certified in Risk and Information Systems ControlTM, CRISCTM) 來提升和驗(yàn)證關(guān)鍵業(yè)務(wù)技能及知識(shí)�。
ISACA(國際信息系統(tǒng)審計(jì)協(xié)會(huì),網(wǎng)址:isaca.org)為全球?qū)I(yè)人士提供創(chuàng)新性����、世界級(jí)的知識(shí)�����、標(biāo)準(zhǔn)�����、社群�����、認(rèn)證和職業(yè)發(fā)展�,協(xié)助其引領(lǐng)及適應(yīng)不斷向前發(fā)展的數(shù)字世界并樹立信心。ISACA 成立于 1969 年�,是一家非營利的全球性協(xié)會(huì),成員遍布 180 個(gè)國家�����,總數(shù)達(dá)到 140 000 人。ISACA 還提供一套完整的網(wǎng)絡(luò)安全資源 Cybersecurity NexusTM(CSX) 以及用于治理企業(yè)技術(shù)的業(yè)務(wù)框架 COBIT?�。此外,ISACA 通過全球著名的注冊信息系統(tǒng)審計(jì)師 (Certified Information Systems Auditor?, CISA?)����、注冊信息安全經(jīng)理 (Certified Information Security Manager?, CISM?)、企業(yè) IT 治理認(rèn)證 (Certified in the Governance of Enterprise IT?,CGEIT?) 和風(fēng)險(xiǎn)及信息系統(tǒng)控制認(rèn)證 (Certified in Risk and Information Systems ControlTM, CRISCTM) 來提升和驗(yàn)證關(guān)鍵業(yè)務(wù)技能及知識(shí)�����。
目錄
第1章 信息系統(tǒng)的審計(jì)流程 1
概述 2
領(lǐng)域1考試內(nèi)容大綱 2
學(xué)習(xí)目標(biāo)/任務(wù)說明 2
深造學(xué)習(xí)參考資源 2
自我評估問題 2
自我評估問題參考答案 4
A部分:規(guī)劃 6
1.1 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)�����、準(zhǔn)則�����、職能和道德規(guī)范 6
1.1.1 ISACA信息系統(tǒng)審計(jì)和鑒證標(biāo)準(zhǔn) 6
1.1.2 ISACA信息系統(tǒng)審計(jì)和鑒證準(zhǔn)則 7
1.1.3 ISACA 職業(yè)道德規(guī)范 7
1.1.4 ITAF TM 7
1.1.5 信息系統(tǒng)內(nèi)部審計(jì)職能 7
1.2 審計(jì)類型�、評估和審查 9
1.2.1 控制自我評估 10
1.2.2 整合審計(jì) 11
1.3 基于風(fēng)險(xiǎn)的審計(jì)規(guī)劃 12
1.3.1 單項(xiàng)審計(jì)任務(wù) 12
1.3.2 法律法規(guī)對信息系統(tǒng)審計(jì)規(guī)劃的影響 13
1.3.3 審計(jì)風(fēng)險(xiǎn)和重要性 15
1.3.4 風(fēng)險(xiǎn)評估 15
1.3.5 信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)評估技術(shù) 15
1.3.6 風(fēng)險(xiǎn)分析 16
1.4 控制類型和考慮因素 16
1.4.1 內(nèi)部控制 16
1.4.2 控制目標(biāo)和控制措施 16
1.4.3 控制分類 19
1.4.4 控制與風(fēng)險(xiǎn)的關(guān)系 21
1.4.5 規(guī)定性控制和框架 21
1.4.6 控制環(huán)境評估 22
B部分:執(zhí)行 23
1.5 審計(jì)項(xiàng)目管理 23
1.5.1 審計(jì)目標(biāo) 23
1.5.2 審計(jì)階段 23
1.5.3 審計(jì)方案 25
1.5.4 審計(jì)工作底稿 26
1.5.5 欺詐、違規(guī)和非法行為 26
1.5.6 敏捷審計(jì) 26
1.6 審計(jì)測試和抽樣方法 28
1.6.1 符合性與實(shí)質(zhì)性測試 28
1.6.2 抽樣 29
1.7 審計(jì)證據(jù)搜集技巧 31
1.7.1 面談和觀察員工以了解其職責(zé)履行情況 33
1.8 審計(jì)數(shù)據(jù)分析 33
1.8.1 計(jì)算機(jī)輔助審計(jì)技術(shù) 34
1.8.2 持續(xù)審計(jì)和監(jiān)控 35
1.8.3 持續(xù)審計(jì)技術(shù) 36
1.8.4 信息系統(tǒng)審計(jì)中的人工智能 37
1.9 報(bào)告和溝通技巧 39
1.9.1 溝通審計(jì)結(jié)果 39
1.9.2 審計(jì)報(bào)告目標(biāo) 40
1.9.3 審計(jì)報(bào)告的結(jié)構(gòu)與內(nèi)容 40
1.9.4 審計(jì)記錄 41
1.9.5 跟進(jìn)活動(dòng) 42
1.9.6 信息系統(tǒng)審計(jì)報(bào)告的類型 42
1.10 質(zhì)量保證和審計(jì)流程改進(jìn) 42
1.10.1 審計(jì)委員會(huì)監(jiān)督 42
1.10.2 審計(jì)質(zhì)量保證 42
1.10.3 審計(jì)團(tuán)隊(duì)培訓(xùn)與發(fā)展 42
1.10.4 監(jiān)控 42
案例研究 44
案例研究相關(guān)問題參考答案 46
第2章 IT治理與管理 47
概述 48
領(lǐng)域2考試內(nèi)容大綱 48
學(xué)習(xí)目標(biāo)/任務(wù)說明 48
深造學(xué)習(xí)參考資源 49
自我評估問題 49
自我評估問題參考答案 51
A部分:IT治理 53
2.1 法律���、法規(guī)和行業(yè)標(biāo)準(zhǔn) 53
2.1.1 法律���、法規(guī)和行業(yè)標(biāo)準(zhǔn)對信息系統(tǒng)審計(jì)的影響 53
2.1.2 治理���、風(fēng)險(xiǎn)與合規(guī)性 54
2.2 組織結(jié)構(gòu)、IT治理和IT戰(zhàn)略 54
2.2.1 企業(yè)信息和技術(shù)治理 55
2.2.2 EGIT的良好實(shí)踐 56
2.2.3 EGIT中的審計(jì)角色 56
2.2.4 信息安全治理 57
2.2.5 信息系統(tǒng)策略 59
2.2.6 戰(zhàn)略規(guī)劃 59
2.2.7 商業(yè)智能 60
2.2.8 組織結(jié)構(gòu) 62
2.2.9 審計(jì)IT治理結(jié)構(gòu)與實(shí)施 72
2.3 IT政策��、標(biāo)準(zhǔn)���、程序和準(zhǔn)則 72
2.3.1 政策 73
2.3.2 標(biāo)準(zhǔn) 74
2.3.3 程序 75
2.3.4 準(zhǔn)則 75
2.4 企業(yè)架構(gòu)和注意事項(xiàng) 75
2.5 企業(yè)風(fēng)險(xiǎn)管理 76
2.5.1 開發(fā)風(fēng)險(xiǎn)管理方案 77
2.5.2 風(fēng)險(xiǎn)管理生命周期 77
2.5.3 風(fēng)險(xiǎn)分析方法 80
2.6 數(shù)據(jù)隱私方案和原則 80
2.6.1 隱私記錄 81
2.6.2 審計(jì)流程 84
2.7 數(shù)據(jù)治理和分類 84
2.7.1 數(shù)據(jù)清單和分類 85
2.7.2 法律目的���、同意和合法權(quán)益 85
2.7.3 數(shù)據(jù)主體的權(quán)利 87
B部分:IT管理 88
2.8 IT資源管理 88
2.8.1 IT的價(jià)值 88
2.8.2 實(shí)施IT組合管理 88
2.8.3 IT管理實(shí)務(wù) 88
2.8.4 人力資源管理 88
2.8.5 企業(yè)變更管理 91
2.8.6 財(cái)務(wù)管理實(shí)務(wù) 91
2.8.7 信息安全管理 92
2.9 IT供應(yīng)商管理 93
2.9.1 資源開發(fā)實(shí)務(wù) 93
2.9.2 外包實(shí)務(wù)與戰(zhàn)略 94
2.9.3 云治理 97
2.9.4 外包中的治理 97
2.9.5 容量和發(fā)展規(guī)劃 98
2.9.6 第三方服務(wù)交付管理 98
2.10 IT性能監(jiān)控與報(bào)告 99
2.10.1 關(guān)鍵績效指標(biāo) 99
2.10.2 關(guān)鍵風(fēng)險(xiǎn)指標(biāo) 99
2.10.3 關(guān)鍵控制指標(biāo) 99
2.10.4 績效優(yōu)化 100
2.10.5 方法和技術(shù) 101
2.11 IT質(zhì)量保證和質(zhì)量管理 103
2.11.1 質(zhì)量保證 103
2.11.2 質(zhì)量管理 104
2.11.3 卓越運(yùn)營 104
案例研究 105
案例研究相關(guān)問題參考答案 106
第3章 信息系統(tǒng)的購置�、開發(fā)與實(shí)施 107
概述 108
領(lǐng)域 3 考試內(nèi)容大綱 108
學(xué)習(xí)目標(biāo)/任務(wù)說明 108
深造學(xué)習(xí)參考資源 108
自我評估問題 108
自我評估問題參考答案 110
A部分:信息系統(tǒng)的購置與開發(fā) 112
3.1 項(xiàng)目治理和管理 112
3.1.1 項(xiàng)目管理實(shí)務(wù) 112
3.1.2 項(xiàng)目管理結(jié)構(gòu) 112
3.1.3 項(xiàng)目管理角色和職責(zé) 113
3.1.4 項(xiàng)目管理技術(shù) 113
3.1.5 項(xiàng)目組合/項(xiàng)目集管理 115
3.1.6 項(xiàng)目管理辦公室 116
3.1.7 項(xiàng)目效益實(shí)現(xiàn) 117
3.1.8 項(xiàng)目開始 118
3.1.9 項(xiàng)目目標(biāo) 118
3.1.10 項(xiàng)目規(guī)劃 119
3.1.11 項(xiàng)目執(zhí)行 123
3.1.12 項(xiàng)目控制和監(jiān)控 123
3.1.13 項(xiàng)目收尾 123
3.1.14 信息系統(tǒng)審計(jì)師在項(xiàng)目管理中的角色 124
3.2 業(yè)務(wù)案例和可行性分析 124
3.2.1 信息系統(tǒng)審計(jì)師在業(yè)務(wù)案例開發(fā)中的角色 125
3.3 系統(tǒng)開發(fā)方法 126
3.3.1 業(yè)務(wù)應(yīng)用程序開發(fā) 126
3.3.2 SDLC模型 126
3.3.3 SDLC 階段 128
3.3.4 信息系統(tǒng)審計(jì)師在 SDLC 項(xiàng)目管理中的角色 136
3.3.5 軟件開發(fā)方法 136
3.3.6 系統(tǒng)開發(fā)工具和生產(chǎn)力輔助設(shè)備 142
3.3.7 基礎(chǔ)架構(gòu)開發(fā)/購置實(shí)務(wù) 144
3.3.8 硬件/軟件購置 147
3.3.9 系統(tǒng)軟件購置 149
3.4 控制識(shí)別和設(shè)計(jì) 151
3.4.1 應(yīng)用控制 151
3.4.2 輸出控制 155
B部分:信息系統(tǒng)實(shí)施 158
3.5 系統(tǒng)準(zhǔn)備和實(shí)施測試 158
3.5.1 測試分類 158
3.5.2 軟件測試 160
3.5.3 數(shù)據(jù)完整性測試 160
3.5.4 應(yīng)用程序系統(tǒng)測試 161
3.5.5 系統(tǒng)實(shí)施 163
3.6 實(shí)施配置和管理 164
3.6.1 配置管理系統(tǒng) 164
3.7 系統(tǒng)遷移、基礎(chǔ)設(shè)施部署和數(shù)據(jù)轉(zhuǎn)換 165
3.7.1 數(shù)據(jù)遷移 165
3.7.2 轉(zhuǎn)換(上線或切換)技術(shù) 167
3.7.3 系統(tǒng)變更程序和程序遷移流程 168
3.7.4 系統(tǒng)軟件實(shí)施 169
3.7.5 認(rèn)證/認(rèn)可 169
3.8 實(shí)施后分析 169
3.8.1 信息系統(tǒng)審計(jì)師在實(shí)施后審查中的角色 170
案例研究 172
案例研究相關(guān)問題參考答案 174
第4章 信息系統(tǒng)的運(yùn)營和業(yè)務(wù)恢復(fù)能力 175
概述 176
領(lǐng)域4 考試內(nèi)容大綱 176
學(xué)習(xí)目標(biāo)/任務(wù)說明 176
深造學(xué)習(xí)參考資源 176
自我評估問題 177
自我評估問題參考答案 179
A部分:信息系統(tǒng)運(yùn)營 181
4.1 IT組件 181
4.1.1 網(wǎng)絡(luò) 182
4.1.2 計(jì)算機(jī)硬件組件和架構(gòu) 192
4.1.3 常用的企業(yè)后端設(shè)備 193
4.1.4 USB大容量存儲(chǔ)設(shè)備 194
4.1.5 無線通信技術(shù) 196
4.1.6 硬件維護(hù)程序 196
4.1.7 硬件審查 197
4.2 IT資產(chǎn)管理 198
4.3 作業(yè)調(diào)度和生產(chǎn)流程自動(dòng)化 198
4.3.1 作業(yè)調(diào)度軟件 198
4.3.2 日程審查 198
4.4 系統(tǒng)接口 199
4.4.1 與系統(tǒng)接口相關(guān)的風(fēng)險(xiǎn) 200
4.4.2 與系統(tǒng)接口相關(guān)的控制 200
4.5 最終用戶計(jì)算和影子IT 201
4.5.1 最終用戶計(jì)算 201
4.5.2 影子IT 202
4.6 系統(tǒng)可用性和容量管理 202
4.6.1 信息系統(tǒng)架構(gòu)和軟件 202
4.6.2 操作系統(tǒng) 203
4.6.3 訪問控制軟件 204
4.6.4 數(shù)據(jù)通信軟件 204
4.6.5 實(shí)用程序 206
4.6.6 軟件許可問題 206
4.6.7 源代碼管理 207
4.6.8 容量管理 208
4.7 問題和事故管理 209
4.7.1 問題管理 209
4.7.2 事故處理過程 209
4.7.3 異常情況的檢測����、記錄、控制�����、解決和報(bào)告 209
4.7.4 技術(shù)支持/客戶服務(wù)部門 210
4.7.5 網(wǎng)絡(luò)管理工具 210
4.7.6 問題管理報(bào)告審查 211
4.8 IT變更����、配置和修補(bǔ)程序管理 212
4.8.1 修補(bǔ)程序管理 212
4.8.2 發(fā)行管理 212
4.8.3 信息系統(tǒng)運(yùn)營 213
4.9 運(yùn)營日志管理 215
4.9.1 日志類型 215
4.9.2 日志管理 216
4.10 IT服務(wù)水平管理 218
4.10.1 服務(wù)等級(jí)協(xié)議 219
4.10.2 服務(wù)水平監(jiān)控 220
4.10.3 服務(wù)水平與企業(yè)架構(gòu) 220
4.11 數(shù)據(jù)庫管理 220
4.11.1 DBMS結(jié)構(gòu) 220
4.11.2 數(shù)據(jù)庫結(jié)構(gòu) 221
4.11.3 數(shù)據(jù)庫控制 224
4.11.4 數(shù)據(jù)庫審查 224
B部分:業(yè)務(wù)恢復(fù)能力 226
4.12 業(yè)務(wù)影響分析 226
4.12.1 運(yùn)營和關(guān)鍵性分析分類 227
4.13 系統(tǒng)和運(yùn)營恢復(fù)能力 228
4.13.1 應(yīng)用程序恢復(fù)能力和災(zāi)難恢復(fù)方法 228
4.13.2 電信網(wǎng)絡(luò)恢復(fù)能力和災(zāi)難恢復(fù)方法 229
4.14 數(shù)據(jù)備份、存儲(chǔ)和恢復(fù) 230
4.14.1 數(shù)據(jù)存儲(chǔ)恢復(fù)能力和災(zāi)難恢復(fù)方法 230
4.14.2 備份與恢復(fù) 230
4.14.3 備份方案 233
4.15 業(yè)務(wù)持續(xù)計(jì)劃 235
4.15.1 IT業(yè)務(wù)持續(xù)計(jì)劃 236
4.15.2 災(zāi)難和其他破壞性事件 237
4.15.3 業(yè)務(wù)持續(xù)計(jì)劃流程 238
4.15.4 業(yè)務(wù)連續(xù)性政策 238
4.15.5 業(yè)務(wù)持續(xù)計(jì)劃事故管理 239
4.15.6 制訂業(yè)務(wù)持續(xù)計(jì)劃 240
4.15.7 計(jì)劃制訂過程中的其他問題 240
4.15.8 業(yè)務(wù)持續(xù)計(jì)劃的構(gòu)成要素 241
4.15.9 計(jì)劃測試 243
4.15.10 業(yè)務(wù)連續(xù)性管理良好實(shí)踐 245
4.15.11 審計(jì)業(yè)務(wù)連續(xù)性 245
4.16 災(zāi)難恢復(fù)計(jì)劃 248
4.16.1 恢復(fù)點(diǎn)目標(biāo)、恢復(fù)時(shí)間目標(biāo)和平均修復(fù)時(shí)間 248
4.16.2 恢復(fù)策略 249
4.16.3 恢復(fù)備選方案 250
4.16.4 災(zāi)難恢復(fù)計(jì)劃的制訂 252
4.16.5 災(zāi)難恢復(fù)測試方法 254
4.16.6 調(diào)用災(zāi)難恢復(fù)計(jì)劃 256
案例研究 257
案例研究相關(guān)問題參考答案 258
第5章 信息資產(chǎn)的保護(hù) 259
概述 260
領(lǐng)域5考試內(nèi)容大綱 260
學(xué)習(xí)目標(biāo)/任務(wù)說明 260
深造學(xué)習(xí)參考資源 260
自我評估問題 261
自我評估問題參考答案 263
A部分:信息資產(chǎn)安全和控制 265
5.1 信息資產(chǎn)安全政策����、框架、標(biāo)準(zhǔn)和準(zhǔn)則 265
5.1.1 信息資產(chǎn)安全政策�����、程序和準(zhǔn)則 265
5.1.2 信息安全框架和標(biāo)準(zhǔn) 267
5.1.3 信息安全基準(zhǔn)指標(biāo) 267
5.2 物理與環(huán)境控制 270
5.2.1 環(huán)境風(fēng)險(xiǎn)暴露和控制 271
5.2.2 物理訪問風(fēng)險(xiǎn)暴露和控制 274
5.2.3 工業(yè)控制系統(tǒng)安全 276
5.3 身份和訪問管理 278
5.3.1 身份和訪問管理 278
5.3.2 身份認(rèn)證���、授權(quán)和問責(zé)制 281
5.3.3 零信任架構(gòu) 284
5.3.4 特權(quán)訪問管理 285
5.3.5 目錄服務(wù) 287
5.3.6 身份治理和管理 287
5.3.7 身份即服務(wù) 288
5.3.8 系統(tǒng)訪問權(quán)限 289
5.3.9 訪問控制的類型 290
5.3.10 信息安全和外部相關(guān)方 290
5.3.11 數(shù)字版權(quán)管理 293
5.3.12 邏輯訪問 295
5.3.13 訪問控制軟件 296
5.3.14 登錄ID和密碼 297
5.3.15 遠(yuǎn)程訪問安全 299
5.3.16 生物特征識(shí)別 299
5.3.17 邏輯訪問控制的命名約定 302
5.3.18 聯(lián)合身份管理 302
5.3.19 審計(jì)邏輯訪問 305
5.4 網(wǎng)絡(luò)和終端安全 306
5.4.1 信息系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu) 306
5.4.2 企業(yè)網(wǎng)絡(luò)架構(gòu) 306
5.4.3 網(wǎng)絡(luò)類型 307
5.4.4 網(wǎng)絡(luò)服務(wù) 307
5.4.5 網(wǎng)絡(luò)標(biāo)準(zhǔn)和協(xié)議 308
5.4.6 虛擬私有網(wǎng)絡(luò) 308
5.4.7 網(wǎng)絡(luò)連接存儲(chǔ) 310
5.4.8 內(nèi)容交付網(wǎng)絡(luò) 311
5.4.9 網(wǎng)絡(luò)時(shí)間協(xié)議 313
5.4.10 聯(lián)網(wǎng)環(huán)境中的應(yīng)用程序 314
5.4.11 網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性 316
5.4.12 防火墻 317
5.4.13 統(tǒng)一威脅管理 322
5.4.14 網(wǎng)絡(luò)分段 323
5.4.15 終端安全 325
5.5 數(shù)據(jù)丟失防護(hù) 327
5.5.1 DLP的類型 327
5.5.2 數(shù)據(jù)丟失風(fēng)險(xiǎn) 327
5.5.3 DLP 解決方案和數(shù)據(jù)狀態(tài) 329
5.5.4 DLP控制 329
5.5.5 DLP內(nèi)容分析方法 330
5.5.6 DLP部署最佳實(shí)踐 331
5.5.7 DLP風(fēng)險(xiǎn)��、限制和考慮因素 331
5.6 數(shù)據(jù)加密 332
5.6.1 加密系統(tǒng)的要素 332
5.6.2 鏈路加密和端到端加密 334
5.6.3 對稱密鑰加密系統(tǒng) 334
5.6.4 公共(非對稱)密鑰加密系統(tǒng) 335
5.6.5 橢圓曲線加密算法 336
5.6.6 量子密碼學(xué) 336
5.6.7 同態(tài)加密 336
5.6.8 數(shù)字簽名 337
5.6.9 數(shù)字信封 338
5.6.10 加密系統(tǒng)的應(yīng)用 338
5.6.11 Kerberos 339
5.6.12 安全外殼 340
5.6.13 域名系統(tǒng)安全擴(kuò)展 341
5.6.14 電子郵件安全 341
5.6.15 加密審計(jì)程序 343
5.7 公鑰基礎(chǔ)設(shè)施 344
5.7.1 數(shù)字證書 344
5.7.2 密鑰管理 344
5.7.3 證書取消 344
5.7.4 證書取消清單 345
5.7.5 PKI基礎(chǔ)設(shè)施風(fēng)險(xiǎn) 346
5.7.6 PKI審計(jì)程序 346
5.8 云和虛擬化環(huán)境 346
5.8.1 虛擬化 347
5.8.2 虛擬電路 350
5.8.3 虛擬局域網(wǎng) 350
5.8.4 虛擬存儲(chǔ)區(qū)域網(wǎng)絡(luò) 350
5.8.5 軟件定義網(wǎng)絡(luò) 351
5.8.6 容器化 353
5.8.7 安全云遷移 355
5.8.8 責(zé)任共擔(dān)模型 357
5.8.9 云環(huán)境中的關(guān)鍵風(fēng)險(xiǎn) 358
5.8.10 DevSecOps 359
5.9 移動(dòng)�����、無線和物聯(lián)網(wǎng)設(shè)備 360
5.9.1 移動(dòng)計(jì)算 360
5.9.2 移動(dòng)設(shè)備威脅 361
5.9.3 移動(dòng)設(shè)備控制 361
5.9.4 移動(dòng)設(shè)備管理 362
5.9.5 自帶設(shè)備 364
5.9.6 移動(dòng)設(shè)備上的互聯(lián)網(wǎng)訪問 364
5.9.7 移動(dòng)設(shè)備審計(jì)程序 365
5.9.8 移動(dòng)支付系統(tǒng) 366
5.9.9 無線網(wǎng)絡(luò) 368
5.9.10 物聯(lián)網(wǎng) 371
B部分:安全事件管理 374
5.10 安全意識(shí)培訓(xùn)和方案 374
5.10.1 信息安全學(xué)習(xí)連續(xù)體 374
5.10.2 安全意識(shí)�����、培訓(xùn)和教育方案的好處 375
5.10.3 安全意識(shí)�����、培訓(xùn)和教育的方法 375
5.10.4 成功安全意識(shí)培訓(xùn)和教育方案的條件 375
5.10.5 開展需求評估 376
5.10.6 實(shí)施安全意識(shí)和培訓(xùn)方案 376
5.11 信息系統(tǒng)攻擊方法和技術(shù) 378
5.11.1 欺詐風(fēng)險(xiǎn)因素 378
5.11.2 計(jì)算機(jī)犯罪問題和風(fēng)險(xiǎn)暴露 378
5.11.3 互聯(lián)網(wǎng)威脅和安全 384
5.11.4 惡意軟件 385
5.11.5 勒索軟件 387
5.12 安全測試工具和技術(shù) 389
5.12.1 安全測試的目標(biāo) 389
5.12.2 安全評估和安全審計(jì) 389
5.12.3 漏洞評估 390
5.12.4 滲透測試 390
5.12.5 威脅準(zhǔn)備/信息安全團(tuán)隊(duì) 393
5.12.6 安全測試技術(shù) 394
5.12.7 安全運(yùn)營中心 394
5.12.8 安全測試審計(jì)程序 395
5.13 安全監(jiān)控日志�����、工具和技術(shù) 397
5.13.1 信息安全監(jiān)控 397
5.13.2 入侵檢測系統(tǒng) 398
5.13.3 入侵防御系統(tǒng) 399
5.13.4 監(jiān)控系統(tǒng)訪問時(shí)的審計(jì)記錄 400
5.13.5 保護(hù)日志數(shù)據(jù) 402
5.13.6 安全信息和事件管理 402
5.13.7 安全監(jiān)控工具 405
5.14 安全事故響應(yīng)管理 405
5.14.1 事故響應(yīng)流程 405
5.14.2 計(jì)算機(jī)安全事故響應(yīng)團(tuán)隊(duì) 406
5.14.3 事故響應(yīng)計(jì)劃 407
5.14.4 安全編排��、自動(dòng)化和響應(yīng) 407
5.15 證據(jù)搜集和取證 409
5.15.1 調(diào)查類型 409
5.15.2 計(jì)算機(jī)取證的類型 409
5.15.3 計(jì)算機(jī)取證階段 410
5.15.4 審計(jì)注意事項(xiàng) 410
5.15.5 計(jì)算機(jī)取證技術(shù) 411
5.15.6 計(jì)算機(jī)取證工具 412
5.15.7 監(jiān)管鏈 413
5.15.8 保護(hù)數(shù)字證據(jù)的最佳實(shí)踐 413
案例研究 415
案例研究相關(guān)問題參考答案 416
附錄A CISA考試一般信息 417
成功完成CISA考試 418
在信息系統(tǒng)審計(jì)�、控制和安全方面的工作經(jīng)驗(yàn) 418
考試介紹 418
報(bào)名參加CISA考試 418
CISA方案再次通過ISO/IEC 17024:2012鑒定 418
預(yù)約安排考試日期 419
考試入場 419
安排時(shí)間 419
考試評分 419
附錄B CISA工作實(shí)務(wù) 421
知識(shí)領(lǐng)域 422
信息系統(tǒng)的審計(jì)流程 422
IT治理與管理 422
信息系統(tǒng)的購置、開發(fā)與實(shí)施 422
信息系統(tǒng)的運(yùn)營和業(yè)務(wù)恢復(fù)能力 422
信息資產(chǎn)的保護(hù) 423
次要分類—任務(wù) 423
術(shù)語表 425
首字母縮略詞 438
書單推薦
