CISA知识点总结

houbonan86430 62 0 PDF 2019-01-04 05:01:01

第一章. 信息系统审计过程 1. IS 审计和保障标准、指南工具、职业道德规范信息技术保证框架（ ITAFITAFITAFITAF，Information Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance Framewor kInformation Technology Assurance Framework Information Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance Framework Information Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance Framework）  审计准则：强制性要求：强制性要求：强制性要求  一般准则：基本的审计指导原理指导原理  执行准则：涉及任务的执行和管理任务的执行和管理任务的执行和管理  报告准则：落实：落实报告类型、沟通方式和信息报告类型、沟通方式和信息报告类型、沟通方式和信息报告类型、沟通方式和信息  审计指南：侧重审计指南：侧重于审计方法、理论于审计方法、理论于审计方法、理论  工具和技术（和技术（也叫程序）程序）：提供各种：提供各种方法、工具和模版方法、工具和模版方法、工具和模版方法、工具和模版三者关系：IS 审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供了具体的流程和步骤范例。了具体的流程和步骤范例。了具体的流程和步骤范例。 2. 风险评估概念、工具及技术风险的定义：“风险是特定的威胁是特定的威胁是特定的威胁利用资产的脆弱性资产的脆弱性从而对组织造成损害的可能性。对组织造成损害的可能性。对组织造成损害的可能性。对组织造成损害的可能性。 ”（ISO ISO/IEC /IEC /IEC PDTR13335PDTR13335 PDTR13335 PDTR13335PDTR13335PDTR13335PDTR13335-1）风险评估的过程： (1) 识别业务目标业务目标（BO ，Business Object Business Object Business Object Business Object Business ObjectBusiness ObjectBusiness ObjectBusiness Object） (2) 识别信息资产信息资产（IA ，Information Asset Information AssetInformation AssetInformation AssetInformation AssetInformation Asset Information Asset Information Asset Information AssetInformation AssetInformation Asset ） (3) 进行风险评估（风险评估（ RA ，Risk Assessment Risk Assessment Risk AssessmentRisk AssessmentRisk Assessment Risk AssessmentRisk AssessmentRisk Assessment ）：威胁 →脆弱性脆弱性 →可能性 →影响 (4) 进行风险减缓（减缓（ RM ，Risk M Risk M Risk Mitigation itigation itigation itigation itigation）：落实相关控制落实相关控制 (5) 进行风险处置（处置（ RT ，Risk Treatment Risk Treatment Risk TreatmentRisk Treatment Risk TreatmentRisk Treatment Risk Treatment）基于 kInformation Technology Assurance Framework Information Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance Framework Information Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance FrameworkInformation Technology Assurance Framework）  审计准则：强制性要求：强制性要求：强制性要求  一般准则：基本的审计指导原理指导原理  执行准则：涉及任务的执行和管理任务的执行和管理任务的执行和管理  报告准则：落实：落实报告类型、沟通方式和信息报告类型、沟通方式和信息报告类型、沟通方式和信息报告类型、沟通方式和信息  审计指南：侧重审计指南：侧重于审计方法、理论于审计方法、理论于审计方法、理论  工具和技术（和技术（也叫程序）程序）：提供各种：提供各种方法、工具和模版方法、工具和模版方法、工具和模版方法、工具和模版三者关系：IS 审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供审计师必须遵守准则，指南帮助应用工具和技术提供了具体的流程和步骤范例。了具体的流程和步骤范例。了具体的流程和步骤范例。 2. 风险评估概念、工具及技术风险的定义：“风险是特定的威胁是特定的威胁是特定的威胁利用资产的脆弱性资产的脆弱性从而对组织造成损害的可能性。对组织造成损害的可能性。对组织造成损害的可能性。对组织造成损害的可能性。 ”（ISO ISO/IEC /IEC /IEC PDTR13335PDTR13335 PDTR13335 PDTR13335PDTR13335PDTR13335PDTR13335-1）风险评估的过程： (1) 识别业务目标业务目标（BO ，Business Object Business Object Business Object Business Object Business ObjectBusiness ObjectBusiness ObjectBusiness Object） (2) 识别信息资产信息资产（IA ，Information Asset Information AssetInformation AssetInformation AssetInformation AssetInformation Asset Information Asset Information Asset Information AssetInformation AssetInformation Asset ） (3) 进行风险评估（风险评估（ RA ，Risk Assessment Risk Assessment Risk AssessmentRisk AssessmentRisk Assessment Risk AssessmentRisk AssessmentRisk Assessment ）：威胁 →脆弱性脆弱性 →可能性 →影响 (4) 进行风险减缓（减缓（ RM ，Risk M Risk M Risk Mitigation itigation itigation itigation itigation）：落实相关控制落实相关控制 (5) 进行风险处置（处置（ RT ，Risk Treatment Risk Treatment Risk TreatmentRisk Treatment Risk TreatmentRisk Treatment Risk Treatment）基于