CISA学习笔记
注意:本笔记未包含全部课本内容,只是记录个人不熟悉的一些知识点(错字请自行掠过)
目录
CISA学习笔记 (1)
第一章信息系统的审计流程 (1)
第二章IT治理和管理 (3)
第三章信息系统的购置开发和实施 (4)
第四章信息系统的操作维护与支持 (6)
第五章信息资产的保护 (7)
第一章信息系统的审计流程
标准主要定义对IS审计和鉴证以及报告的强制性要求
准则主要在IS审计和签证标准的应用方面提供指导
IS审计和签证部门应在审计章程中适当载明审计职能。说明目的、职责、和问责制
ISACA开发的工具和技术主要提供IS审计师可在审计项目中遵循的的流程实例
风险是发生某事件的可能性及其可能产生的后果这三者的组合
风险评估的过程:识别业务目标、识别信息资产、进行风险评估、进行风险减缓、进行风险处置
内部控制通常由政策、流程、实践和组织结构组成;
预防性、检测性、纠正性
Cobit是用于治理、控制和鉴证信息及其相关技术的领先框架
满足利益相关者需要:企业的存在就是通过在实现收益、优化风险和运用资源之间维持一种平衡,从而为其利益相关者创造价值
端到端覆盖企业
运用单一整合式框架
采用一个整体全面的方法
区分治理和管理:治理是确保利益相关者需要、条件和选项被评估,已决定平衡、协商一致、需要实现的企业目标;管理层计划、构建、运行和监控活动与治理机构制定的方向一致,以实现企业目标
审计计划:包含审计目标以满足以及满足这些目标所需的审计流程
审计过程要求IS审计师收集证据、基于收集的证据通过审计测试来评估控制的优点和弱点,然后准备向管理层提供一份审计报告,客观的叙述这些问题
合规性审计:包括具体的控制措施测试,以表明对特定法规或行业标准的遵守情况
实质性测试:评价交易、数据或其他信息的完整性,验证财务报表数据及相关交易的有效性和完整性
财务审计:评估组织财务报表的争取性,经常涉及到实质性测试
运营审计:旨在评估给定流程或区域的内部控制结构,比如对应用控制或逻辑安全系统的IS 审计
整合审计:结合了财务审计步骤和运营审计步骤
管理审计:旨在对组织内与运营生产力的效率相关的问题进行评估
IS审计:此过程会收集和评估相关证据,以确定信息系统和相关资源对资产进行了足够的保护、保持了数据和系统的完整性和可靠性、提供了可靠的相关信息
专业审计:属于一种IS审计,有许多专业的审查可以对者如第三方执行的服务等方面进行检验
司法审计:专门针对发现、揭露和跟踪欺诈与犯罪行为的审计,主要目的是为执法部门和司法当局进行审查提供证据
持续审计:及时发现风险或控制缺陷,独立于持续控制或监控活动
管理部门、审计师和审计委员会对检测和披露所有舞弊行为负有主要责任
审计流程与步骤:
审计对象:确定被审计领域
审计目标:明确审计目标
审计范围:确定要检查的具体系统、职能和单元
初步审计计划:确定所需技能与资源。确定测试检查的信息来源、确定审计地点和设置审计程序和步骤:选择测试的方法、确定访谈对象、搜集政策和标准、开发审计工具评价测试和检查结果
与管理人员沟通结果
审计报告
风险的种类
固有风险要审计的流程/实体的风险等级或暴漏风险
控制风险无法通过内部控制系统及时防止或检测到的实质性错误
检测风险已经发生但IS审计师无法检测到的重大错误或误报
整体审计风险信息或者财务报告包含重大错误,且审计师没有察觉到已发生错误的可能性
降低风险、接受风险、规避风险、转移/分摊风险
审计证据:适当性(质量)、充分性(数量)
证据收集技术:检查组织结构、IS政策和规程、IS标准、IS文档、访谈、观察、重新执行(提所提供的证据通常优先于其他技术提供的证据)、穿行测试(用来确定对控制的理解的审计技术)、走查
置信系数:置信系数越大,样本量越大,如果内部控制很强大,则可降低置信系数
属性抽样:估计总体中某种特性的发生比率
停走抽样:如果结果可接受则停止抽样,用于相信总体中只存在少量错误的情况
发现抽样:错误发生率低的时候,用于发生舞弊、违法法规或其他非法行为的情况
变量抽样:分层单位平均估计抽样、不分层单位平均估计抽样、差额估计
计算机辅助审计技术:优势是能够通过连续在线审计技术提高审计效率
通用审计软件:数学计算、统计分析、顺序检查、重复性检查和复算、主要用于实质性测试
使用通用审计软件来调查数据文件(包括系统日志)的内容
使用专门的软件来评估操作系统数据库以及应用程序参数文件的内容
由IS审计师决定是否将特点结果包含在审计报告中
管理人员可以不立即将所有审计建议付诸实践
控制自评估:调查问卷、专题研讨会,不是替代审计的职责、是一种加强。审计师只是CSA
的推动者,管理人员才是具体实施者,传统审计只有审计师和咨询顾问对内部控制负责,CSA 的责任在管理人员
持续性审计可以更好的监控公司内部财务问题,从而确保实时交易也能得益于实时监控,防止出现金融诈骗和审计丑闻,持续性审计应该独立于连续控制或者检测活动
审计师可以通过嵌入式审计模块捕获预定义的事件或者直接检测异常或可疑的情况和交易第二章IT治理和管理
公司治理是指已泄露组织的管理人员应该承担的职责和采取的做法,用以指明战略方向,从而确保实现目标,恰当解决风险并合理利用公司资源
公司治理的目标:实现两个互相冲突的目标,即在法规要求和社会义务的限制范围内维持组织的运营,同时利用一切可利用的机会提高利益相关者的价值
IT治理即指葱利益相关者的利益出发管理ITIT资源的职责和职务,IT治理是董事会和执行管理部门的职责。IT治理的关键因素:保持与业务战略一致,引导业务价值的实现27001:属于一套最佳实践,可向各组织提供实施和维护信息安全程序方面的指导
ITIL:详细描述了关于如何实现成功的IT运营服务管理的实用信息
IT平衡积分卡,属于流程管理评估技术,通过消费者满意度、内部流程以及创新能力方面的措施对传统的财务评估进行评估
目标是建立管理层向董事会的报告途径,就IT战略目标在关键利益相关方之间达成一致,证实IT的效果与价值,沟通IT绩效,风险和能力
IT战略委员会:起草战略计划,董事会审批
IT指导(督导)委员会:对重要IT项目进行审查,不涉及具体运行,审查短期计划
CMMI是一种过程改进方法,可用于为项目、部门或整个组织内的过程改进提供指导
政策是一种高级别的文档,反应的是组织的企业理念,为确保政策行之有效,其内容必须简介明确
安全政策必须经高级管理层批准并记录在案,并适时传达给所有员工,服务提供商以及业务伙伴
可接受使用政策:说明公司的IT资源如何使用的有效的指南和规则,说明了允许用户使用IT系统做什么,不能做什么,违反规则时应该受到何种惩罚。
流程用于实现政策目标的书面记录的明确定义步骤,需要不断审查和更新流程
威胁因素利用薄弱环节而导致的结果被称为影响
风险管理的步骤:
识别资产:对需要保护的信息资源或资产进行识别和分级
评估与信息资源相关的威胁和脆弱性及可能性
量化潜在的威胁的概率和对业务的影响
评价现有的控制,或设计新的控制俩减低风险至可接受水平
定量的风险分析
资产价值(AV)×暴露因子(EF)=单一损失期望(SLE)
–单一损失期望(SLE)×年发生比率(ARO)=年度损失期望(ALE)
人力资源管理
交叉培训、强制休假、员工离职
职责分离控制:预防和阻止欺诈机恶意行为的重要方式,目标是通过识别补偿性控制来降低或消除业务风险外包的目的是通过企业重组来实现业务流程和服务有意义的持续改善,从而利用供应商的核心竞争力
绩效是用户和利益相关者所感知的服务,绩效优化是在指不对IT基础设施进行不必要的额外投资的情况下将信息系统的生产力尽可能提高到最高水平
六西格玛是一种适用于IT的流程改进方法。目标是实施以测评为导向的策略,着重于
改进流程和减少缺陷
KPI是一种测评标准,用于在实现预期目标的过程中判断流程的执行情况,它是确定目标是否能够实现的重要指标
访问控制决策的主要依据是公司政策和连个普遍认可的实践标准职责分离和最小特权审计轨迹:可追踪交易流,确定谁能发起交易、发起时间、数据类型、字段、更新了那些文件
对账:最终用户的职责
异常报告:管理层处理,需要证据来证明例外情况已得到合理解决
组织/职能图:说明组织内部的责任分工和职责分离的程度
工作说明:定义了组织中所有职位的职能和责任。可以看出组织内部职责分离的程度实现业务连续性/灾难恢复的目的是确保企业能够在中断期间继续提供关键服务,并能使企业从灾难性的中断事件中恢复活动,BCP主要是高级管理层的责任,因为他们负责保护资产和维持组织的生存能力
恢复时间目标:在系统的不可用性严重影响到机构之前所允许消耗的最长时间
恢复点目标:数据必须被恢复以便继续进行处理的点,也就是所允许的最大数据损失量
IS业务连续性计划应该和组织的策略一致,在组织中部署的各种应用程序系统的重要性取决于业务性质以及每个应用对于该业务的价值
BIA可以帮助组织确定特定应用的最大允许停机时间记忆可能损失的数据量
不是所有的系统都需要恢复策略
BCP是最重要的改正性控制
发生任何触发事件后,应立即将所有相关事件告知安全专员或其他指定人员,此人应随即遵循事先确定升级协议,随后可能启动恢复计划,如信息技术DRP
BIA用来评估关键流程以及确定时间范围、优先级、资源和相关性。即使在执行BIA之前已完成风险评估
忠诚保险:涵盖由于员工不诚实或欺诈行为造成的损失
业务连续性测试的目的就是明确计划的开展情况记忆计划中需要改善的部分
BCP计划的测试:
纸上演练:所有相关者参与,讨论服务中断后的后果及应对策略,在预备性演练之前预备性演练:模拟灾难发生,在局部范围演练所涉及的BCP演练
全面演练:完全关闭业务运行,实施全面演练
维护BCP的责任通常在BCP协调人员身上
第三章信息系统的购置开发和实施
业务案例通常从可行性分析中得到,其中包含确定是采用此业务案例的决策过程信息,如果采用,将成为项目的基础
项目具有时限性,具有特定的开始日期和完成日期,特定的目标以及一系列交付内容
项目后审查:评估从项目管理过程中总结的经验教训,对项目的全面成功和对业务部门的影响进行度量
业务风险包括新系统不满足
项目群:共同的目标、同一预算以及交错安排的时间表和战略紧紧联系在一起
项目组合是企业在规定的时间点所实施的所有项目,管理项目组合必须建立项目组合数据库决策点(阶段关卡、终结点)业务案例将在这些决策点进行正式审查,以确保其仍适用
项目的时间背景应包括项目启动前的阶段和项目关闭后的阶段
项目需要清晰明确的结果,既具有明确性、可衡量性、可实现性和时限性,用于定义项目目标的方法:目标细分结构
任务列表由要执行的与工作包相关的一系列活动组成
高级管理层:展现对项目的承诺并审批完成项目所需的资金
用户管理人员:审查和批准系统交付成果的定义和执行
项目督导委员会对所有交付成果、项目成本、和日程安排承担最终责任
质量保证人员:在各阶段期间和结束时审查结果和交付成果的人员,还负责确认操作是否符合要求
软件规模度量使用单点估算(基于单个参数)完成
FPA是根据输入、输出、文件、界面和查询的数量和复杂度对信息系统规模的度量
时间段管理是一种项目管理技术,用于在在相对短且固定的时间段内,使用预定的特点资源定义和配置软件交付成果
瀑布模型及其变体通常会涉及生命周期验证方法,该防范可确保能够及早纠正潜在的错误而不是在最终验收测试阶段才发现错误
最小的测试(单元测试)在编写程序后立即执行
系统测试检测系统结构规范,而最终用户验收测试则用于核对要求
应该在项目规划阶段的早起确定阶段和交付成果
可行性分析:明确定义需求并确定可以满足需求的备选方案
形成总体设计的重要工具是使用实体关系图
设计冻结:对用户需求逐项进行审查,并从时间和成本方面对其加以考虑
程序编码标准最大程度降低了因人员变动而导致的系统开发受挫、提供了有效使用系统所需的材料,并且是高效进行程序维护和修改的必要条件
在线系统可以提高编程人员解决问题的能力,但在线系统也会因未经授权的访问而存在漏洞逻辑路径监控器:可用来报告程序执行事件的顺序
内存转储:可用来提供某一时间点上内存内容的图片
自下而上:可以再完成所有程序之前开始,尽早发现关键模块中的错误
自上而下:今早看到实际运行中的系统,对系统的信心大幅度提升
通常大多数大型系统的用用程序测试遵循自下而上的测试方法(单元或者程序、子系统/集成、系统)
接口或集成测试:评估将信息从区域传递到另一区域的两个或多个组件之间的连接情况
系统测试:确保共同构成的新系统或者改良系统各类修改程序、对象、数据库模式等正常运行的一系列测试
负载测试:通过大量的数据来测试应用程序。以评估其在高峰期的性能
容量测试:确定应用程序可以处理的最大记录(数据)量
压力测试:确定应用程序可以处理的最大并发用户/服务数
性能测试:使用明确定义的基准比较系统与其他同等系统的性能
最终验收测试:在实施阶段进行针对应用程序各方面技术执行的质量保证测试针对应用程各方面功能执行的用户验收测试
Beta测试是测试的最后阶段,常常需要与外界接触
试点测试:针对系统的某些特点和预定方面执行的初步测试,不是要替代其他测试方法,用于提供有限的系统评估。概念验证既属于早起试点测试
回归测试:重新执行部分测试方案或测试计划,确保相关改进或纠正措施未引入新的错误,使用的数据应当与原来在测试中使用的数据相同
社交性测试:确认新系统或改良系统能否在目标环境中运行,并且不会对现有系统产生不利影响
接力棒法是最适合用于转移知识的方案
培训计划必须在开发过程早期便开始
贮存库:可在项目开展过程中模拟迁移方案,还能够保证可追踪性
认证:评估机构根据信息系统中的管理标准以及操作和技术控制标准执行全面评估的流程认可:官方管理决定,用以批准信息系统的运行
实施后审查的目标是评估和衡量项目对已业务有何价值,IT审计师执行的实施后审查关注系统开发和实施过程的控制方面
可扩展样式表语言:定义XML文档如何呈现
XML查询:针对XML格式数据的查询
XML加密:针对XML文档的加密、解密记忆数字签名
CA:作为公/私秘钥对的受信任提供方,证明真实性
认证实施细则:一套详细的规则,用于管理认证办法机构的运营
网络钓鱼和鱼叉式网络钓鱼属于电子方式的社会工程攻击,只有通过安全意识培训才能解决对于IS审计师来说,最重要的是确认任何信用卡持有者信息是否存储在本地POS系统中,任何存储在POS系统中的此类信息均应使用强加密方法进行加密
在图像系统中,扫描设备是图像文档的输入点,而是最重要的风险领域
专家系统:获取知识和个人经验、分享知识和经验、提高员工的工作效率和洗脚。高度重复的任务实现自动化
BI 手机并分析信息来协助决策以及评估企业绩效
商业智能治理:确定为哪项BI活动提供资金,分配给活动什么优先级以及怎样衡量其投资回报率
决策支持系统:支持通常用于业务目的的半结构化决策任务,审计原则是较少关注效率,更注重效能原型设计师设计和开发dss最流行的方法
原型设计可以为企业节省大量的时间和成本
快速应用开发可以使企业在减少开发成本和保障质量的同时更快的开发具有战略重要性的系统
根据调用对象的超类的不同,两个或多个对象在执行时对消息有不同解释的能力成为多态性基于组件开发的最大好处可以从商业开发人员那里购买到经过验证和测试的软件
基于web的应用程序开发:旨在在企业内部和企业间实现更容易、更有效的代码模块集成SOAP适合于能够理解XML的任何操作系统和编程语言
软件再工程师一个通过抽取并重复使用设计和程序组件来更新现有系统的过程
对于生产数据,编程人员不应具有写入、修改、或删除访问权限
编辑控制是一种预防性控制,在处理数据前在程序中使用
第四章信息系统的操作维护与支持
服务水平管理的目的是保持和提高客户的满意度及提升交付给客户的服务质量
问题管理的目标是减少事故的数量和/或降低事故的严重程度,事故管理的目标是使受影响的业务流程尽快恢复到正常状态
借助源代码管理员软件,工作人员还可以监控程序版本以及对象完整性的源代码是否得到妥善保护
容量管理是对计算和网络资源的计划和监控,其目的是确保有效且高效地使用可利用的资源参数对已确定系统的运行方式非常重要,因为参数允许根据不同的环境来自定义标准的软件,确定控制在操作系统内如何发挥作用最有效的的方式是查看软件控制功能和参数
对于安全日志,存储在随后置于物理安全区域的可移动媒介,这点很重要
DBMS能够提供用来创建和维护组织良好的数据库设置,主要功能功能包括减少了的数据冗余、减低的访问时间和敏感数据的基本安全
层次数据库很容易进行执行、修改和搜索
关联数据库允许数据结构的定义、存储/检索操作和完整性限制,关系数据库的一个重要特点就是使用了正规化规则,从而最大限度减低了各表中所需信息的总量
在OSI模型中,每层不仅与本地堆栈中的上下各层进行通讯,还与远程系统中的相同层进行通信
表示层将传出数据转换为网络标准可接收的格式
令牌的用途是将消息/数据传给目标接受者时将自身附加于用户或设备
同步传输可以获得最大效率
异步传输发送开始和停止位来标记字节的开始和结束,效率较低,适合于字符和块模式传输Ipsec通道模式将对整个数据包进行加密,ipsec传输模式进对包的数据部分进行加密
合法性和法律保护问题,以及数据的安全性和完整性是跨境传输主要关注的问题
DRP的最终目标是对可能对人员以及将产品和服务交付到市场的运营能力产生影响的事故给予回应以及符合法规要求
捕获数据:恢复之后需要输入在RPO中断期间发生的事务
鼓励数据:即使在输入增量数据以后,一些数据也仍然无法恢复
RTO越小,容灾能力就越小,容灾是是指一段时间间隔,在此时间间隔范围内业务可承受IT 关键服务的不可用性
中断窗口:组织可从故障发生的时间点一直等到关键服务/应用程序恢复的这一时间段
最后一英里电路保护:很多恢复设施均提供本地运营商T1或E1、微波对本地通讯环路的同轴电缆访问的冗余组合
应急管理团队:负责协调所有其他恢复/连续性/响应团队的活动,并制定关键决策,负责决定是否激活BCP
DRP的关键因素在于能否获得足够的数据
第五章信息资产的保护
信息安全管理系统是建立实施操作监控审查维护和改善各类组织信息安全政策流程准则和相关资源的框架
计算机安全事故是指对计算机的应用处理造成不利影响的事件
信息资产所有者和数据所有者对所拥有的资产承担相应的所有权责任,其中包含执行风险评估、选择可将风险降至可接受水平的适当控制以及承担剩余风险
要实现有效控制,需要获得信息资产的详细清单,有了这样的清单之后,才能对资产进行分类,并确定要为各项资产实行的保护等级
中断攻击当通过请求操作系统执行特定系统条用来进行恶意操作时,即发生中断攻击
对等计算的主要风险:当进行对等连接的计算机没有充分保护机制时,对等网络用户可以访问未保护文件夹中的敏感数据
在执行具体的网络评估和访问控制审查工作时,应确定是否已掌握了所有接口点的相关信息访问控制软件的用途在于防止未经授权的情况系下访问和修改组织敏感数据和使用系统关键功能
误拒绝率:有权使用系统的个人被系统错误拒绝
误接受率:无权使用系统的个人被系统错误接受
通常回应事件最佳且eer最低的生物特征依次为手掌、手、虹膜、视网膜、指纹和声音
面部被认为是最自然、最友好的生物识别方法之一,速度快易于使用,主要缺点是缺乏唯一性
确保实现审计轨迹数据的完整性,使其不受到修改,使用数字签名或者使用仅可写一次的设备
审计精选工具:用于减少审计记录量以方便手动审查的预处理程序
趋势/差异检测工具查找用户或系统行为中的异常情况
攻击特征检测工具查找攻击特征
如果违规的行为带有严重的企图,则应通知执行管理部门
访问控制命名约定是用来管理用户对系统的访问以及用户对计算机资源的访问/使用权限的结构,可减少充分保护资源所需的规则数
可说明性:实体的操作必须能够唯一追踪到该实体
网络可用性:必须能够及时提供IT资源以满足任务要求或避免重大损失
隔离区或屏蔽子网防火墙创建最安全的防火墙系统
神经网络IDS 与统计模型类似,但增加了自学功能
数字签名可以确保:数据完整性、身份认证、不可否认性
通过加密技术无法保证重放保护,时间戳和文档哈希可以提供重放保护
数字签名和公钥加密极易受到中间人攻击,公钥基础架构对发送者数字签名和公钥的有效性执行独立的验证
数字信封用于发送通过对称密钥加密的信息以及相关的密钥会话
数字认证的作用就是将密钥与个人身份相关联
CA是网络上负责发行和管理用于对消息签名进行验证或加密的安全认证及公钥的机构,CA 证明公钥所有者的真实性CA负责在认证的整个生命周期对其进行管理
加密方法的安全性主要依靠密钥的保密性
防恶意软件既是预防性控制又是检测行控制
控制恶意软件传播的一个重要手段是在进入点检测恶意软件
为加强对电话系统和数据通信的保护,应使用vlan对VOIP的基础设施进行划分
使用边界会话控制器为VOIP通信提供安全功能
提高安全意识是一种预防性控制,也可以将其作为检测性措施,要确定计划是否有效,IS 审计师应予部分员工进行面谈,以判断他们的总体意识
在最终确认测试/约定范围之前必须获得管理人员的书面同意
烟雾检测器应位于整个设置中天花板的上方和下方,以及机房活动地板下方
1-1以下哪项概括了执行IS审计的整体权限范围? A.审计范围,包括目的和目标 B.管理层对审计执行的要求 C.经批准的审计章程 D.经批准的审计日程表 1-2 在执行基于风险的审计时,下列哪项风险评估最初由IS审计师完成? A.检测风险评估 B.控制风险评估 C.固有风险评估 D.舞弊风险评估 1-3 开发基于风险的审计方案时,IS审计师最可能关注下列哪项内容? A.业务流程 B.关键IT应用 C.运营控制 D.业务策略 1-4 下列哪种审计风险表示所审查领域中缺少补偿控制? A.控制风险 B.检测风险 C.固有风险 D.抽样风险 1-5 审查某应用程序控制的IS审计师发现系统软件中存在一个可能大大影响该应用程序的弱点。IS审计师应: A.忽视此类控制弱点,因为系统软件审查超过了此次审查的范围。
B.进行详细的系统软件审查并报告控制薄弱环节。 C.在报告中声明,本次审计仅限于审查应用程序控制。 D.仅审查相关的系统软件控制并建议进行详细的系统软件审查。 1-6 下列哪项是定期审查审计计划的最重要原因? A.为可用审计资源的部署制定计划 B.将风险环境的变化考虑其中 C.为审计章程记录文档提供输入数据 D.确定适合的IS审计标准 1-7 下列哪项对于在各业务部门范围内执行自我评估控制(CSA)最有效?A.非正式的同行评审 B.引导型的专题讨论会 C.流程描述 D.数据流程图 1-8 计划审计的第一个步骤是: A.定义审计的可交付成果 B.最终确定审计范围和审计目标 C.了解业务目标 D.开发审计方法或审计策略 1-9 IS审计师计划IS审计范围时使用的方法基于: A.风险 B.重要性 C.职业的怀疑态度
国际注册信息系统安全专家 CISSP认证考试指南
关于(ISC)2 ?国际信息系统安全认证协会(International Information Systems Security Certification Consortium) 成立于1989年,总部设在美国弗罗里达州Palm Harbor,在伦敦、香港、东京、北京等地设有办事处,是一个独立的、全球性的、非盈利的组织。 致力于: ?维护信息系统安全领域的通用知识体系 ?为信息系统安全专业人士和从业者提供认证 ?从事认证考试的培训和对认证考试进行的管理 ?通过连续教育培训,对有资格的认证候选人的授权工作进行管理.?(ISC)2同时也向公众提供信息安全方面的教育和咨询服务。
关于(ISC)2 ?(ISC)2是信息安全领域的顶级认证机构之一,到现在已经给超过120个国家的数万名安全专家授予了相关认证。(ISC)2目前提供如下认证: CISSP(Certified Information System Security Professional) 认证信息系统安全专家 SSCP(System Security Certificated Practitioner)认证系统安全实践者 CAP(Certification and Accreditation Professional)认证和评估专家 CSSLP(Certified Secure Software Lifecycle Professional )安全软件生命周期 认证专家
关于我们 ?“汇哲科技”由北京汇哲信安科技有限公司、上海汇哲信息科技有限公司等多个独立公司所组成。(简称“汇哲科技”或“SPISEC”)。长年致力于IT治理,信息安全,IT审计,IT服务管理,业务连续性,项目管理,领先理念等方面实践培训与研究,始终以培养国内信息安全专业人才、组织中国信息安全人交流为发展目标。 ?作为领先的专业培训服务机构,汇哲一直致力于推广信息安全理论和实践,为学员提供“学习国际知识、拓宽职业道路、融入专业社区、持续提升能力”服务。
2007年内部审计工作要点 2007年,公司内部审计工作将继续按照国资委、监事会和国家审计署的要求,在集团公司党组的领导下,探索推进SOX法案遵循工作的常态化机制,以风险为导向,完善公司风险管理和内部控制体系,服务于公司“新跨越战略”重要举措的落实和公司“软实力”的提升;充分发挥内部审计监督作用,除弊兴利;创新审计技术和领域,建立健全内部审计规章制度体系,探索完善内部审计管理体系,强化双重管理机制,加强内审团队建设;加强内部沟通,推动良好审计文化的形成,营造良好工作氛围;加强外部交流,扩大内部审计影响。围绕“增值、创新、和谐”,打造“世界一流内审”。 1、巩固法案遵循成果,建立常态内控机制 巩固2006年SOX遵循项目成果,将法案遵循工作向常态化转变。逐步将内控手册的维护、内部控制的测试工作与企业的日常经营管理活动相融合,形成常规化、制度化、规范化的常态工作机制,逐步使内部控制成为业务流程的一个有机部分并得到持续有效的执行。将原有开展的“十四个核心业务流程和管理机制”的风险及运营审计工作与SOX法案遵循测试工作、总部的独立测试与各子公司的自我测试工作有机结合,统筹安排,节约审计资源,提高工作效率。对于内部控制缺陷加大修补和执行的监督力度。继续完成相关业务流程和管理机制的审计,并对发现的问题进行跟踪落实,确保相关问题得到有效整改。按照SOX法案要求强化执行力,从细节着手,持续提高公司经营管理水平,增强公司的“软实力”,提升企业价值。 2.完善风险管理体系,健全风险评估机制 认真贯彻国资委下发的《中央企业全面风险管理指引》,围绕公司总体经营目标和外部监管要求,进一步完善公司风险管理体系,健全风险评估机制。编制企业风险评估问卷并组织实施风险评估,根据风险评估结果制定公司的风险管理策略;依据公司风险管理解决方案,制定审计计划并实施审计,监督风险应对措施的落实,降低公司经营管理风险。
国家信息安全人员注册 授权培训机构管理办法 中国信息安全测评中心 二〇〇八年六月 第一章总则 第一条随着国家信息化建设的高速发展,对信息安全专业人才的需求逐年增加,为贯彻中共中央办公厅、国务院办公厅中办发[2003]27号文件中关于“加快信息安全人才培养,增强全民信息安全意识”的精神,规范授权培训机构的职能,中国信息安全测评中心(以下简称:中心)特根据相关管理规定制定本办法。 第二条本办法适用于所有中心授权的信息安全培训机构。 第三条具备相应条件的单位可向中心申请授权信息安全专业培训资格。所有授权培训机构均应与中心签订授权协议书,明确双方的责任与义务。 第二章授权培训机构类型与性质 第四条被授权从事培训的单位应具备如下条件: 1、系独立的法人机构或法人单位的分支机构; 2、符合中心《授权培训机构评估准则》的要求;
3、符合相关的信息安全政策和法律法规要求。 第五条中心根据授权培训机构的实际情况,可以授权培训机构一级/二级,并以“中心”的名义分别从事以下培训业务: 一、授权培训机构(一级) 1、注册信息安全员(Certified Information Security Member简称CISM)培训; 2、其它培训项目以双方协议具体规定为准。 二、授权培训机构(二级) 1、注册信息专业人员,英文名称Certified Information Security Professional,简称CISP,根据工作领域和实际岗位工作的需要,CISP 分为三类证书: ●注册信息安全工程师(Certified Information Security Engineer简称CISE)培训; ●注册信息安全管理员(Certified Information Security Officer简称CISO)培训; ●注册信息安全审核员(Certified Information Security Auditor 简称CISA)培训; 2、其它培训项目以双方协议具体规定为准。 第六条授权培训机构与中心的关系 (一)双方均为独立的法人单位,但双方之间不具有行政隶属及产权归属关系,各自对自己的行为承担法律责任; (二)中心授权的培训机构可以从事其授权范围内的培训业务,并接
CISA 信息系统审计师培训 CISA(Certified Information System Auditor),自1978年起,由国际信息系统审计和控制协会(ISACA)开始实施注册。CISA 认证已经成为持证人在信息系统审计、控制与安全等专业领域中取得成绩的象征,并逐步发展成全球公认的标准。中国获得CISA 认证的审计师在信息安全与控制领域内发挥着重要的作用,信息系统审计也越来越被国内企业认可,截至2008年4月世界范围内获得认证的有47145人,中国大陆获得认证的人数仅有666人。此外,它还会带来相当数量的职业与个人收益。 增强的知识和技能 获得CISA 资格证书有助于确立职业人作为一名合格信息系统审计、控制、鉴证和安全领域专业人才的声望。CISA 持证人具备扎实可靠的能力,按照全球公认标准和指南开展各项审查工作,确保机构的信息技术与业务系统得到充分的控制、监控和评价。CISA 资格证书向雇主保证其雇员已成功达到取得工作业绩所必需的最新教育与实践经验标准。 职业发展 由于CISA 计划所认证的个人能够熟练掌握当今最急需的技能,雇主更愿意雇用和留住那些达到并能够维持资格证书所要求水平的人才。不论是希望提高工作业绩还是得到职务升迁或竞争新职位,拥有CISA 资格证书都会使一个人拥有他人无法企及的竞争优势。
全球的认可 也许本认证对于就业来说并不是绝对必需的,然而越来越多的机构要求或建议员工得到CISA 认证。例如,美国国防部(DoD) 要求信息鉴证人员获得国防部批准的商业资格认证机构的认证。CISA 是经过批准的认证计划,由此可表明国防部对此资格证书的信心。为了确保您在全球市场中的成功,选择一个以全球认可技术实务为基础的认证资格是至关重要的。CISA 所提供的就是这种认证。CISA 作为信息系统审计、控制、鉴证与安全领域专业人员的首选资格证书,得到了全世界所有行业的广泛认可。 参训相关信息 课程时间:5天 适合受众 企业内部传统审计人员、企业内部负责IS 审计从业人员、IT 经理、信息安全经理、审计经理、 企业内部负责信息系统安全管理从业人员、其他从事IT 审计相关人员、CISA 应试人员等 培训内容 ?信息系统的审计流程14%:依据IT 审计标准提供审计服务,帮助组织保护和控制信息系统;
中汇CISA习题精选 1.下列哪些形式的审计证据就被视为最可靠? A.口头声明的审计 B.由审计人员进行测试的结果 C.组织内部产生的计算机财务报告 D.从外界收到的确认来信 2.进行符合性测试的时候,下面哪一种抽样方法最有效? A.属性抽样 B.变量抽样 C.平均单位分层抽样 D.差别估算 3.审计人员在对几个关键服务进行审计的时候,想要通过分析审计轨迹的方法发现潜 在的用户或系统行为异常。下列哪些工具最适合从事这项工作? A.计算机辅助开发工具(case tool) B.嵌入式(embedded)数据收集工具 C.启发扫描工具(heuristic scanning tools) D.趋势/变化检测工具 4.在应用程序开发项目的系统设计阶段,审计人员的主要作用是: A.建议具体而详细的控制程序 B.保证设计准确地反映了需求 C.确保在开始设计的时候包括了所有必要的控制 D.开发经理严格遵守开发日程安排 5.IS审计师的决策和行动最有可能影响下面哪种风险? A.固有风险 B.检查分析 C.控制风险 D.业务风险 6.利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证: A.充分保护信息资产 B.根据资产价值进行基本水平的保护 C.对于信息资产进行合理水平的保护 D.根据所有要保护的信息资产分配相应的资源 7.审计计划阶段,最重要的一步是确定: A.高风险领域 B.审计人员的技能 C.审计测试步骤 D.审计时间 8.信息系统审计师在控制自我评估(CSA)中的传统角色是: A.推动者(facilitator) B.经理 C.伙伴 D.股东 9.下面哪一种审计技术为IS部门的职权分离提供了最好的证据:
讲明:黄色背景需要特不关注,红色字体特不重要,红黄在一起的话,呵呵,大伙儿就自己考虑吧,呵呵 那个笔记是我在得知考试分数后进行整理的,应该依旧具有点参考价值的,整理时刻2013年2月6日 个人考试心得(10月1号开始学习,12月8号参加考试,2013年2月1号成绩出来,得分582分): 1、有可能的话最好参加相关的培训,5天的培训可不能给你多少实质的提高, 但最关键的是能给你一个学习的思路;而且在培训的时候,有不明白的问题能够问老师; 2、假如你不是做IT出身的,最好恶补一下IT知识,CISA对IT方面的知识依 旧有些要求的; 3、关于IT出身的人,学CISA特不要注意:要以审计师的视角来学习以及看待 题目,组织内部的项目审计师的角色 4、审计师是不具体解决问题的,然而要发觉问题; 5、最好能听两次培训,现在的培训只要缴费后,能够不限次数重听; 6、培训前先把书看一遍,要每个字都要看,不论能不能看明白,至少能有个映 像; 7、不要急于做题目,我的做法是: 先把书看一遍(我花了3周左右的时刻)——参加培训(做好笔记)——再把书看一遍(我花了将近2周左右的时刻)——开始做题目——参加培训(补充上次培训的笔记)——把书再看一遍(最好在一周左右的时刻,那个我没做到)——
开始做题目,大量的做(我大概做了4000道左右)——参加考试(我拿到582分,自己觉得比较中意) 8、差不多上每天花3到4个小时的时刻就能够了,考试前两天,有条件的话最 好在家里整理和复习一下自己所学的; 9、重视QQ群的动态,群里面专门多朋友和前辈,能够学到专门多的; 10、最关键的是,一定要参加考前辅导,那个是免费的,然而内容却是特不关键 的!!! 第一章信息系统审计过程 * IS审计是基于风险的审计; * 保持审计独立性和胜任能力,确保审计小组所实施完成的审计任务能满足审计职能的目标要求 * 风险分析是审计打算的一部分,关心IS审计师识不风险和脆弱性并确定降低风险所需的操纵 * 要以审计师的视角来学习以及看待题目,组织内部的项目审计师的角色; * 第一方审计:自查——报告给自己高层 * 第二方审计:甲方审乙方 * 第三方审计:外审——报告给公众或相关机构 * 按照IT审计标准制定并实施基于风险的IT审计战略 * 内审首先需要建立审计章程;外审首先需要合同以及托付书;
谷安天下CISA培训自述(强烈建议CISA备考者一读) 我是谷安培训部的一员,很高兴能与大家有一次心与心的交流,希望我的这份独白对一些准备参加CISA考试、选择培训机构的朋友们有所帮助。 我自2007年加入到这个充满激情、充满希望的谷安培训事业部。屈指一数,我来到谷安已经接近6个年头了,这6年里跟着谷安天下培训事业部在众多学员的支持、信任、关怀下不断成长;6年里我看到了众多学员和谷安成为知心朋友,并成为谷安天下的伙伴。我对此倍感欣慰!所以写到这里,我特别想说的就是:衷心的感谢大家! 提到CISA培训课程,不得不着重的讲一下,随着国内金融、通信、央企等重点行业IT审计的迅速发展,IT审计岗位人才的需求也日益增多,CISA认证在这些重点行业中逐渐得到普及。据官方统计,目前CISA持证人员数量应该在1500-2000人左右,而谷安天下开设CISA 课程至今,培训的CISA学员数量也有近1000人了,这些学员多数以上都参加并通过了这项国际权威认证,这也是谷安学院的成就之一。 谷安天下CISA培训课程两大特色: 第一:谷安拥有众多专业的CISA讲师团队: 谷安天下目前CISA讲师有20多位,并且这些讲师都具有十年以上IT审计及IT风险管理控制项目经验。在培训中磨练出与学员的沟通、授课技巧,从项目中历练出与IT审计、IT风险控制相关的实施经验,是真真正正的可以将工作与课程相结合的实战派专家,并且在授课过程中各自讲授最擅长的章节,全部章节都以讲师最精彩的授课呈现给学员,理论与实践结合,并兼顾考试,绝对不会是纸上谈兵,空乏无味! 第二:谷安天下拥有最完善的课程授课保障体系: 课前: 谷安天下会收集学员基本信息,了解工作背景,依据所了解到的信息在课中加以侧重。以保障授课效果。 课中: a、谷安天下2013年CISA培训已有重大变革,由历史上标准的5天培训,变为8天,增加了在考前的3天冲刺辅导,而培训费用并无增加; b、培训期间发放谷安独家权威教材《谷安CISA中文知识体系》、《谷安CISA精选题库与解析》、《谷安CISA培训讲义》,都是由谷安数十位讲师精心编写而成,历年来根据ISACA官方发布最新版本及时更新,保障学员用到最新、最可靠的中文辅导资料。 课后: a、谷安天下在线模拟考试系统一直对外开放使用,只要你注册了,就可以参与模拟测试,该考试系统已经为学员服务了三年,三年里众多谷安学员和非学员参与了在线的CISA模拟考试,对学员顺利通过考试起到不可忽视的作用; b、2013年,谷安天下启动针对CISA包过班学员的专项论坛,CISA讲师与学员一起备战,保障学员一次性通过CISA考试; c、谷安天下2013年针对考过CISA与CISSP认证的人员,推出了《专业人员持续教育服务》,定期举办IT审计、IT风险管理领域内的相关现场与网络的免费培训,并提供支付酬劳的演讲机会,全年提供赚取CPE积分机会,值得大家后续关注。 谷安CISA培训的大事记(靠记忆,非官方数据): 2007年9月,举办CISA第一期班,以CISA培训为先河,开启谷安天下培训事业大门; 2008年3月,谷安天下参阅ISACA官方CISA Review Manual,结合一线资深顾问IT审计项目经验精心编译《谷安CISA中文知识体系》,为谷安学员作为应考复习资料免费发放使用,
产品族服务类别 产品名称服务说明 弱点评估通过调查表、人员访谈、现场勘查、文档查看等手段了解管理弱点;从网络、系统、应用三个层次通过工具扫描、人工审计和专家分析对信息系统的技术弱点进行评估,并给出弱点评 估报告。 渗透测试通过模拟实际攻击过程的方法,验证信息系统面临的风险,评价信息系统的安全性,并给出 渗透测试报告。 安全加固在弱点评估的基础上,通过专业人员的安全加固服务对信息系统进行安全性增强,消除信息 系统弱点,并给出加固报告。 风险评估管理服务RAMS 风险评估管理建立了业务-系统-资产的评估对象模型,拥有权威并且完整的安全知识库:基于CNCVE 的安全弱点库、安全威胁库和安全控制库,通过对安全风险评估流程管理、工程项目管理和 资产和安全信息数据的维护,将风险评估和管理与企业的业务运维结合起来,为企业提供实 时、完整的风险视图。安星远程网站安全检查服务 RTI 网站远程安全检查由启明星辰资深安全服务顾问及积极防御实验室成员对各类网站进行全方位的安全检查,提交详细的检查报告及整改建议,包括远程网站漏洞检查服务,远程网站木马检查服务等。脆弱性扫描服务 通过工具对企业的相关服务器和网络边界设备进行漏洞扫描,并分析其可能的危害。渗透测试服务 通过专业的高级安全专家,对系统进行模拟黑客攻击,以更实际的攻击技术发现系统的安全隐患或安全漏洞。安全监控服务提供7X24小时的实时安全监控,对网络边界的安全进行系统的监控。 安全管理服务对网络边界的安全防御产品和相关设备进行管理服务,以提高系统的安全性。 应急响应服务在系统发生安全问题时,及时进行安全应急服务。 系统加固服务提供系统的安全加固服务,保证系统的没有高风险漏洞。 安全通告服务 及时提供用户安全信息,使其多角度了解安全现状。BS7799信息安全管理体系(ISMS )咨询服务 基于ISO 17799/BS 7799风险管理理论,指导并协助组织建立科学的动态风险控制体系,保护组织关键信息资产,保护组织的安全投资,将信息风险控制在可接受的水平,保证信息的 保密性、完整性和可用性。业务连续性咨询服务 提供建立业务连续性框架和测试业务连续性计划两种形式的服务。为用户开发业务连续性管 理程序,将预防和恢复控制相结合,将灾难和安全故障造成的影响降低到可以接受的水平。ITIL 咨询服务按照ITIL 管理体系为用户建立运行管理平台、管理制度和流程,通过人员、技术和流程的有 机结合,实现IT 运维管理标准化和规范化,提高IT 运营的整体水平。 培训服务ISO 17799LA / ISO 27001LA / ISO 20000LA / CISA / CISSP / ITIL / COBIT / 安全攻防等。安全风险评估服务SACS 安全管理咨询顾问服务 SMCS 启明星辰安全服务体系 安全源自未雨绸缪,诚信贵在风雨同舟 安全管理与监控服务 M2S
CISA(Certified Information Systems Auditor简称,中文为国际信息系统审计师)认证是由信息系统审计与控制协会ISACA(Information Systems Audit and Control Association)发起的,是信息系统审计、控制与安全等专业领域中取得成绩的象征。CISA认证适用于企业信息系统管理人员、IT管理人员、IT审计人员、或信息化咨询顾问、信息安全厂商或服务提供商、和其他对信息系统审计感兴趣的人员。 cisa培训机构推荐谷安 谷安学院(GOOANN INSTITUTE),位于中国北京,隶属北京谷安天下科技有限公司,其前身是谷安培训,是中国信息安全人才培养和学术研究的重要基地之一。谷安学院的校训为“格物致知,知行合一”,以服务国家和行业为己任,以培养德才兼备的信息安全人才为宗旨,聚集了一批业内信息安全专家学者,为政府、央企、银行、证券、保险、电信、移动、交通、电力、安全厂商、互联网公司、高校等行业培养优秀信息安全专业人才几万人,创造了大批科研成果,影响和推动了中国信息安全行业的发展,为实现中国梦做出了应有的贡献。 应试条件
CISA 认证计划为信息系统审计、控制与安全职业领域中具有卓越技能与判断力的个人提供评估与认证。若想获得CISA认证,申请人需要: ◎顺利通过CISA 的考试; ◎遵守信息系统审计与控制协会的《职业道德规范》,此规范已列入《Candidate's Guide to the CISA Exam》中,供考生参考(在官方网站上均有介绍); ◎提供从事信息系统审计、控制与安全工作5 年以上经验的证明。具有下列经验者,可申请替代部分年限,并出示适当的证明: 具备如下资历者,可以申请替代(最长达)1 年的信息系统审计、控制与安全的工作经验要求: ·满1 年的非信息系统审计工作经验,或 ·满1 年的信息系统工作经验,和/或 ·具有大专学历(大学60 个学分或同等学历)。
CISSP认证 考试认证: CISSP认证 1、CISSP认证介绍 下一代信息安全领导者必备的IT安全认证 CISSP?(Certified Information Systems Security Professional) –“(ISC)2? 注册信息系统安全师”认证是信息安全领域最被全球广泛认可的IT安全认证,一直以来被誉为业界的“金牌标准”。CISSP 认证不仅是对个人信息安全专业知识的客观评估,也是全球公认的个人成就标准。 CISSP 持证人员是确保组织运营环境安全,定义组织安全架构、设计、管理和/或控制措施的信息安全保障专业人士,CISSP 持证者堪称名副其实的、可信赖的安全顾问。CISSP 认证将确保信息安全领导者拥有可靠地构建及管理组织的安全态势所必备的广泛知识、技能与经验。CISSP 是信息安全行业首个符合ISO/IEC 17024 国际标准严格要求的认证。如果您打算在信息安全这一当今最为瞩目的行业领域里成就一番事业,获得CISSP认证理应成为您下一个职业目标。 个人信息安全专业知识、技能与经验的证明 CISSP 认证考试测试专业人员在(ISC)2CISSP CBK?八大知识领域所具备的能力与水平,涵盖风险管理、云计算、移动安全、应用开发安全等关键安全议题。 CISSP 应考人员必须在八大知识领域的两个或以上范畴,拥有至少5年全职工作经验。 CISSP 考试对考生的综合素质要求较高、知识面广、信息量大、考试时间长、与实务和经验紧密结合,这些是CISSP 考试不同于其它认证考试的突出特点。 CISSP 持证人员通常在所任职公司担任以下工作职务: ?首席信息安全官 ?信息安全总监 ?信息技术总监/经理 ?安全经理 ?安全顾问 ?安全审计师 ?安全架构师 ?安全分析师 ?安全系统工程师 ?网络架构师 CISSP CBK 八大知识领域:(2015年4月15日执行) CISSP 知识领域基于(ISC)2 CBK 内包含的各种信息安全议题,并每年更新一次,以反映全球最新的行业最佳实践。 ?安全与风险管理(安全、风险、合规、法律、法规、业务连续性) ?资产安全(保护资产的安全性) ?安全工程(安全工程与管理) ?通信与网络安全(设计和保护网络安全) ?身份与访问管理(访问控制和身份管理) ?安全评估与测试(设计、执行和分析安全测试) ?安全运营(基本概念、调查、事件管理、灾难恢复)