计算机
类型
可以朗读
语音朗读
522千字
字数
2019-10-01
发行日期
展开全部
主编推荐语
计算机技术挑战管理模式,CISA成全球热门职业。
内容简介
随着计算机技术在管理中的广泛运用,传统的管理、控制、检查和审计技术都面临着巨大的挑战。在网络经济迅猛发展的今天,IT审计师已被公认为全世界范围内非常抢手的高级人才。享誉全球的ISACA(国际信息系统审计协会)为全球专业人员提供知识、职业认证并打造社群网络,其推出的CISA(注册信息系统审计师,Certified Information Systems Auditor)认证在全球受到广泛认可,并已进入中国。本书是ISACA官方出版的获得CISA认证的指定教材。
目录
- 封面
- 版权页
- CISA考试复习手册(第27版)
- 致谢
- 新增CISA工作实务
- 目录
- 关于本手册
- 概述
- 本手册的编排
- 准备CISA考试
- 开始准备
- 使用《CISA考试复习手册》
- 手册特征
- 将《CISA考试复习手册》与其他ISACA资源结合使用
- 关于CISA复习考题及解答产品
- 第1章:信息系统的审计流程
- 概述
- 领域1考试内容大纲
- 学习目标/任务说明
- 深造学习参考资料
- 自我评估问题
- 自我评估问题解答
- 第A部分:规划
- 1.0 简介
- 1.1 信息系统审计标准、准则和道德规范
- 1.1.1 ISACA信息系统审计和鉴证标准
- 1.1.2 ISACA信息系统审计和鉴证准则
- 1.1.3 ISACA职业道德规范
- 1.1.4 ITAF
- 1.2 业务流程
- 1.2.1 信息系统内部审计职能
- 审计章程
- 1.2.2 信息系统审计职能的管理
- 信息系统审计资源的管理
- 1.2.3 审计规划
- 单项审计任务
- 1.2.4 法律法规对信息系统审计规划的影响
- 1.2.5 业务流程应用程序和控制
- 电子商务
- 电子数据交换
- 电子邮件
- 销售终端系统
- 电子银行
- 电子资金转账
- 自动提款机
- 电子金融
- 集成制造系统
- 交互式语音响应
- 采购会计系统
- 图像处理
- 工业控制系统
- 人工智能和专家系统
- 供应链管理
- 客户关系管理
- 1.2.6 使用其他审计师和专家的服务
- 1.3 控制类型
- 1.3.1 控制目标和控制措施
- 信息系统控制目标
- 1.3.2 控制环境评估
- 1.3.3 常规控制
- 1.3.4 信息系统特有的控制
- 1.4 基于风险的审计规划
- 1.4.1 审计风险和重要性
- 1.4.2 风险评估
- 1.4.3 信息系统审计风险评估技术
- 1.4.4 风险分析
- 1.5 审计类型和评估
- 第B部分:执行
- 1.6 审计项目管理
- 1.6.1 审计目标
- 1.6.2 审计阶段
- 1.6.3 审计程序
- 制定审计程序所需的基础技能
- 1.6.4 审计工作底稿
- 1.6.5 欺诈、违规和非法行为
- 1.7 抽样方法论
- 1.7.1 符合性与实质性测试
- 1.7.2 抽样
- 抽样风险
- 1.8 审计证据收集技巧
- 1.8.1 访问和观察员工以了解其职责履行情况
- 1.9 数据分析
- 1.9.1 计算机辅助审计技术
- 作为持续在线审计方法的CAAT
- 1.9.2 持续审计和监控
- 1.9.3 持续审计技术
- 1.10 报告和沟通技巧
- 1.10.1 沟通审计结果
- 1.10.2 审计报告目标
- 1.10.3 审计报告的结构与内容
- 1.10.4 审计记录
- 1.10.5 后续活动
- 1.10.6 信息系统审计报告的类型
- 1.11 质量保证和审计流程改进
- 1.11.1 控制自我评估
- CSA的目标
- CSA的优势
- CSA的劣势
- 信息系统审计师在CSA中的角色
- 1.11.2 整合审计
- 案例研究
- 案例研究相关问题的答案
- 第2章:IT治理与管理
- 概述
- 领域2考试内容大纲
- 学习目标/任务说明
- 深造学习参考资料
- 自我评估问题
- 自我评估问题解答
- 第A部分:IT治理
- 2.0 简介
- 2.1 IT治理和IT战略
- 2.1.1 企业信息和技术治理
- 2.1.2 EGIT的良好实践
- 2.1.3 EGIT中的审计角色
- 2.1.4 信息安全治理
- 有效的信息安全治理
- 2.1.5 信息系统战略
- 2.1.6 战略规划
- 2.1.7 商业智能
- 数据治理
- 2.2 IT相关框架
- 2.3 IT标准、政策、程序和准则
- 2.3.1 标准
- 2.3.2 政策
- 信息安全政策
- 审查信息安全政策
- 2.3.3 程序
- 2.3.4 准则
- 2.4 组织结构
- 2.4.1 IT治理委员会
- 2.4.2 高级管理层和董事会的角色和职责
- 董事会
- 高级管理层
- 信息安全标准委员会
- 首席信息安全官
- IT指导委员会
- 结果和职责矩阵
- 2.4.3 IT组织结构和职责
- IT角色和职责
- 2.4.4 IT内部的职责分离
- 职责分离控制
- 2.4.5 审计IT治理结构与实施
- 审查文档
- 2.5 企业架构
- 2.6 企业风险管理
- 2.6.1 制订风险管理方案
- 2.6.2 风险管理流程
- 第1步:资产识别
- 第2步:资产面临的威胁和漏洞评估
- 第3步:影响评估
- 第4步:风险计算
- 第5步:风险评估和响应
- 2.6.3 风险分析方法
- 定性分析方法
- 半定量分析方法
- 定量分析方法
- 2.7 成熟度模型
- 2.7.1 能力成熟度模型集成
- 2.7.2 初始化、诊断、建立、行动和学习模型
- 2.8 影响组织的法律、法规和行业标准
- 2.8.1 治理、风险与合规性
- 2.8.2 法律、法规和行业标准对信息系统审计的影响
- 第B部分:IT管理层
- 2.9 IT资源管理
- 2.9.1 IT的价值
- 2.9.2 实施IT组合管理
- IT组合管理与平衡计分卡
- 2.9.3 IT管理实务
- 2.9.4 人力资源管理
- 雇用
- 员工手册
- 晋升政策
- 培训
- 日程计划安排和时间报告
- 雇用期间
- 员工绩效评估
- 必休假期
- 离职政策
- 2.9.5 组织变更管理
- 2.9.6 财务管理实务
- 信息系统预算
- 软件开发
- 2.9.7 信息安全管理
- 2.10 IT服务提供商购置和管理
- 2.10.1 外包实务与战略
- 行业标准/基准检测
- 全球化实务与策略
- 2.10.2 外包和第三方审计报告
- 2.10.3 云治理
- 2.10.4 外包中的治理
- 2.10.5 容量和发展规划
- 2.10.6 第三方服务交付管理
- 2.10.7 第三方服务的监控和审查
- 2.10.8 管理第三方服务变更
- 服务改善和用户满意度
- 2.11 IT性能监控和报告
- 2.11.1 绩效优化
- 关键成功因素
- 方法和工具
- 2.11.2 工具和技术
- 2.12 IT质量保证和质量管理
- 2.12.1 质量保证
- 2.12.2 质量管理
- 案例研究
- 案例研究相关问题的答案
- 第3章:信息系统的购置、开发与实施
- 概述
- 领域3考试内容大纲
- 学习目标/任务说明
- 深造学习参考资料
- 自我评估问题
- 自我评估问题解答
- 第A部分:信息系统的购置与开发
- 3.0 简介
- 3.1 项目治理和管理
- 3.1.1 项目管理实务
- 3.1.2 项目管理结构
- 3.1.3 项目管理角色和职责
- 3.1.4 项目管理技术
- 3.1.5 组合/项目群管理
- 3.1.6 项目管理办公室
- 项目组合数据库
- 3.1.7 项目效益实现
- 3.1.8 项目启动
- 3.1.9 项目目标
- 3.1.10 项目规划
- 信息系统开发项目成本估算
- 软件规模估算
- 功能点分析
- 成本预算
- 软件成本估算
- 日程计划安排和确定时间范围
- 3.1.11 项目执行
- 3.1.12 项目控制和监控
- 范围变更管理
- 资源使用管理
- 3.1.13 项目完工
- 3.1.14 信息系统审计师在项目管理中的角色
- 3.2 业务案例和可行性分析
- 3.2.1 信息系统审计师在业务案例开发中的角色
- 3.3 系统开发方法
- 3.3.1 业务应用程序开发
- 3.3.2 SDLC模型
- 3.3.3 SDLC阶段
- 阶段1:可行性分析
- 阶段2:要求定义
- 阶段3A:软件选择与购置
- 阶段3B:设计
- 阶段4A:配置
- 阶段4B:开发
- 阶段5:最终测试与实施
- 阶段6:实施后审查
- 3.3.4 信息系统审计师在SDLC项目管理中的角色
- 3.3.5 软件开发方法
- 原型设计——进化式开发
- 快速应用开发
- 敏捷开发
- 面向对象的系统开发
- 基于组件的开发
- 软件再造
- 逆向工程
- DevOps
- 业务流程再造和流程变更
- 3.3.6 系统开发工具和生产力辅助手段
- 计算机辅助软件工程
- 代码生成器
- 第四代语言
- 3.3.7 基础架构开发/购置实践
- 物理架构分析的各个项目阶段
- 规划基础设施的实施
- 3.3.8 硬件/软件购置
- 购置步骤
- 信息系统审计师在硬件购置中的角色
- 3.3.9 系统软件购置
- 整合资源管理系统
- 信息系统审计师在软件购置中的角色
- 3.4 控制识别和设计
- 3.4.1 输入/来源控制
- 输入授权
- 批量控制和核对
- 错误报告和处理
- 3.4.2 处理程序和控制
- 数据验证和编辑程序
- 处理控制
- 数据文件控制程序
- 3.4.3 输出控制
- 3.4.4 应用控制
- 信息系统审计师在审查应用控制中的角色
- 3.4.5 用户程序
- 3.4.6 决策支持系统
- 设计与开发
- 实施和使用
- 风险因素
- 实施战略
- 评估与评价
- DSS共同特征
- 第B部分:信息系统实施
- 3.5 测试方法
- 3.5.1 测试分类
- 其他测试类型
- 3.5.2 软件测试
- 3.5.3 数据完整性测试
- 在线交易处理系统的数据完整性
- 3.5.4 应用程序系统测试
- 自动化应用程序测试
- 3.5.5 信息系统审计师在信息系统测试中的角色
- 3.6 配置和发布管理
- 3.7 系统迁移、基础设施部署和数据转换
- 3.7.1 数据迁移
- 完善迁移方案
- 回退(回滚)方案
- 3.7.2 转换(上线或切换)技术
- 并行转换
- 分阶段转换
- 一次性转换
- 3.7.3 系统实施
- 实施计划
- 3.7.4 系统变更程序和程序迁移流程
- 关键成功因素
- 最终用户培训
- 3.7.5 系统软件实施
- 3.7.6 认证/鉴定
- 3.8 实施后审查
- 3.8.1 信息系统审计师在实施后审查中的角色
- 案例研究
- 案例研究相关问题的答案
- 第4章:信息系统的运营和业务恢复能力
- 概述
- 领域4考试内容大纲
- 学习目标/任务说明
- 深造学习参考资料
- 自我评估问题
- 自我评估问题解答
- 第A部分:信息系统运营
- 4.0 简介
- 4.1 常用技术组件
- 4.1.1 计算机硬件组件和架构
- 处理组件
- 输入/输出组件
- 计算机类型
- 4.1.2 常用的企业后端设备
- 4.1.3 通用串行总线
- 与USB相关的风险
- 与USB相关的安全控制
- 4.1.4 射频识别
- RFID的应用
- RFID的相关风险
- RFID的安全控制
- 4.1.5 硬件维护程序
- 硬件监控程序
- 4.1.6 硬件审查
- 4.2 IT资产管理
- 4.3 作业调度和生产流程自动化
- 4.3.1 作业调度软件
- 4.3.2 日程计划安排审查
- 4.4 系统接口
- 4.4.1 与系统接口相关的风险
- 4.4.2 系统接口中的安全问题
- 4.5 最终用户计算
- 4.6 数据治理
- 4.6.1 数据管理
- 数据质量
- 数据生命周期
- 4.7 系统性能管理
- 4.7.1 信息系统架构和软件
- 4.7.2 操作系统
- 软件控制功能或参数
- 软件完整性问题
- 活动日志和报告选项
- 操作系统审查
- 4.7.3 访问控制软件
- 4.7.4 数据通信软件
- 4.7.5 实用程序
- 4.7.6 软件许可问题
- 4.7.7 源代码管理
- 4.7.8 容量管理
- 4.8 问题和事故管理
- 4.8.1 数据管理
- 4.8.2 事故处理过程
- 4.8.3 异常情况的检测、记录、控制、解决和报告
- 4.8.4 技术支持/客户服务部门
- 4.8.5 网络管理工具
- 4.8.6 问题管理报告审查
- 4.9 变更、配置、发布和修补程序管理
- 4.9.1 修补程序管理
- 4.9.2 发布管理
- 4.9.3 信息系统运营
- 信息系统运营审查
- 4.10 IT服务水平管理
- 4.10.1 服务水平协议
- 4.10.2 服务水平监控
- 4.10.3 服务水平与企业架构
- 4.11 数据库管理
- 4.11.1 DBMS架构
- 详细DBMS元数据架构
- 数据字典/目录系统
- 4.11.2 数据库结构
- 4.11.3 数据库控制
- 4.11.4 数据库审查
- 第B部分:业务恢复能力
- 4.12 业务影响分析
- 4.12.1 运营和关键性分析分类
- 4.13 系统恢复能力
- 4.13.1 应用程序恢复能力和灾难恢复方法
- 4.13.2 电信网恢复能力和灾难恢复方法
- 4.14 数据备份、存储和恢复
- 4.14.1 数据存储恢复能力和灾难恢复方法
- 4.14.2 备份与恢复
- 异地库控制
- 异地设施的安全和控制
- 介质和文档备份
- 备份设备和介质的类型
- 定期备份程序
- 轮换频率
- 轮换的介质和文档类型
- 4.14.3 备份方案
- 完全备份
- 增量备份
- 差异备份
- 轮换方法
- 异地储存的记录保存
- 4.15 业务连续性计划
- 4.15.1 IT业务连续性计划
- 4.15.2 灾难和其他破坏性事件
- 流行病计划
- 应对形象、声誉或品牌的损害
- 出乎意料/无法预测的事件
- 4.15.3 业务连续性计划流程
- 4.15.4 业务连续性政策
- 4.15.5 业务连续性计划事故管理
- 4.15.6 制订业务连续性计划
- 4.15.7 计划制订过程中的其他问题
- 4.15.8 业务连续性计划的构成要素
- 关键决策人员
- 所需用品的备份
- 保险
- 4.15.9 计划测试
- 规范
- 测试执行
- 结果记录
- 结果分析
- 计划维护
- 业务连续性管理良好实践
- 4.15.10 业务连续性汇总
- 4.15.11 审计业务连续性
- 审查业务连续性计划
- 对以前测试结果的评估
- 对异地存储的评估
- 对非异地设施安全性的评估
- 与关键人员面谈
- 审查备用处理设备合同
- 审查承保范围
- 4.16 灾难恢复计划
- 4.16.1 恢复点目标和恢复时间目标
- 4.16.2 恢复策略
- 4.16.3 恢复备选方案
- 合同条款
- 采购备用硬件
- 4.16.4 灾难恢复计划的制订
- IT DRP内容
- IT DRP情景
- 恢复程序
- 组织和职责分配
- 4.16.5 灾难恢复测试方法
- 测试的类型
- 测试
- 测试结果
- 4.16.6 调用灾难恢复计划
- 案例研究
- 案例研究相关问题的答案
- 第5章:保护信息资产
- 概述
- 领域5考试内容大纲
- 学习目标/任务说明
- 深造学习参考资料
- 自我评估问题
- 自我评估问题解答
- 第A部分:信息资产安全和控制
- 5.0 简介
- 5.1 信息资产安全框架、标准和准则
- 5.1.1 审计信息安全管理框架
- 审查书面政策、程序和标准
- 正式的安全意识培养和培训
- 数据所有权
- 数据所有者
- 数据保管员
- 安全管理员
- 新IT用户
- 数据用户
- 书面记录的授权
- 解约员工的访问权限
- 安全基准
- 访问标准
- 5.2 隐私保护原则
- 5.2.1 隐私保护的审计注意事项
- 5.3 物理访问和环境控制
- 5.3.1 管理、技术和物理控制
- 5.3.2 控制监控与有效性
- 5.3.3 环境暴露风险和控制措施
- 设备问题和与环境有关的暴露风险
- 环境暴露风险的控制
- 5.3.4 物理访问暴露风险和控制措施
- 物理访问问题和暴露风险
- 物理访问控制
- 审计物理访问
- 5.4 身份和访问管理
- 5.4.1 系统访问权限
- 5.4.2 强制和自主存取控制
- 5.4.3 信息安全和外部相关方
- 识别与外部各方相关的风险
- 满足与客户相关的安全要求
- 人力资源安全和第三方
- 5.4.4 逻辑访问
- 逻辑访问暴露风险
- 熟悉企业的IT环境
- 逻辑访问路径
- 5.4.5 访问控制软件
- 5.4.6 身份识别和认证
- 5.4.7 登录ID和密码
- 密码的特点
- 登录ID和密码良好实践
- 令牌设备、一次性密码
- 5.4.8生物特征识别
- 基于生理特征的生物特征识别
- 基于行为的生物特征识别
- 生物特征识别管理
- 5.4.9 单点登录
- 5.4.10 授权问题
- 访问控制列表
- 逻辑访问安全管理
- 远程访问安全
- 5.4.11 监控系统访问时的审计记录
- 系统日志的访问权限
- 审计轨迹(日志)分析工具
- 成本考虑因素
- 5.4.12 逻辑访问控制的命名约定
- 5.4.13 联合身份管理
- 5.4.14 审计逻辑访问
- 熟悉IT环境
- 评估和记录访问路径
- 与系统人员面谈
- 审查来自访问控制软件的报告
- 审查应用程序系统操作手册
- 5.4.15 数据泄露
- 数据泄露防护
- 5.5 网络和终端安全
- 5.5.1 信息系统网络基础设施
- 5.5.2 企业网络架构
- 5.5.3 网络类型
- 5.5.4 网络服务
- 5.5.5 网络标准和协议
- 5.5.6 OSI架构
- 5.5.7 网络架构中OSI模型的应用
- 局域网
- 广域网
- 帧中继
- TCP/IP及其与OSI参考模型的关系
- 网络管理和控制
- 网络性能指标
- 联网环境中的应用程序
- 按需计算
- 5.5.8 网络基础设施安全性
- 客户端/服务器安全
- 互联网安全控制
- 防火墙安全系统
- 数据包过滤防火墙
- 应用程序防火墙系统
- 状态检测防火墙
- 网络变更的开发和授权
- 5.5.9 影子IT
- 5.6 数据分类
- 5.7 数据加密和加密相关技术
- 5.7.1 加密系统的关键要素
- 5.7.2 对称密钥加密系统
- 5.7.3 公共(非对称)密钥加密系统
- 量子密码学
- 数字签名
- 数字信封
- 5.7.4 加密系统的应用
- 传输层安全性
- IP安全协议(IPSec)
- 安全壳
- 安全多功能互联网邮件扩展协议(S/MIME)
- 5.8 公钥基础设施
- 5.9 基于Web的通信技术
- 5.9.1 IP语音
- VoIP安全问题
- 5.9.2 专用分组交换机
- PBX风险
- PBX审计
- 5.9.3 电子邮件安全问题
- 5.9.4 对等计算
- 5.9.5 即时消息
- 5.9.6 社交媒体
- 5.9.7 云计算
- 5.10 虚拟化环境
- 5.10.1 关键风险领域
- 5.10.2 典型控制
- 5.11 移动、无线和物联网设备
- 5.11.1 移动计算
- 自带设备
- 移动设备上的互联网访问
- 5.11.2 无线网络
- 无线广域网
- 无线局域网
- WEP和Wi-Fi网络安全存取协议(WPA/WPA2)
- 无线个人局域网
- 临时网络
- 公共全球互联网基础设施
- 无线安全威胁和风险降低
- 5.11.3 物联网
- 第B部分:安全事件管理
- 5.12 安全意识培训和计划
- 5.13 信息系统攻击方法和技术
- 5.13.1 舞弊风险因素
- 5.13.2 计算机犯罪问题和暴露风险
- 5.13.3 互联网威胁和安全
- 网络安全威胁
- 被动攻击
- 主动攻击
- 互联网攻击的起因
- 5.13.4 恶意软件
- 病毒和蠕虫控制
- 管理程序控制
- 技术控制
- 防恶意软件实施策略
- 定向攻击
- 5.14 安全测试工具和技术
- 5.14.1 通用安全控制的测试技术
- 终端卡和密钥
- 终端标识
- 生产资源控制
- 计算机访问违规情况的记录和报告
- 绕过安全和补偿性控制
- 5.14.2 网络渗透测试
- 5.14.3 威胁情报
- 5.15 安全监控工具和技术
- 5.15.1 入侵检测系统
- 特点
- 局限性
- 政策
- 5.15.2 入侵防御系统
- 蜜罐和蜜网
- 全面网络评估审查
- 5.15.3 安全信息和事件管理
- 5.16 事故响应管理
- 5.17 证据收集和取证
- 5.17.1 计算机取证
- 数据保护
- 数据采集
- 镜像
- 提取
- 数据获取/正规化
- 报告
- 5.17.2 证据和监管链的保护
- 案例研究
- 案例研究相关问题的答案
- 附录A:CISA考试常规信息
- 附录B:2019年CISA工作实务
- 词汇表
- 缩略语
- 反侵权盗版声明
- 封底
展开全部
评分及书评
评分不足
1个评分
- 给这本书评了5.0非常棒 得到內容優質
資訊系統與 AI 的普及,資訊安全也越來越重要,希望得到有更多資訊安全的書籍、課程
出版方
电子工业出版社
电子工业出版社成立于1982年10月,是国务院独资、工信部直属的中央级科技与教育出版社,是专业的信息技术知识集成和服务提供商。经过三十多年的建设与发展,已成为一家以科技和教育出版、期刊、网络、行业支撑服务、数字出版、软件研发、软科学研究、职业培训和教育为核心业务的现代知识服务集团。出版物内容涵盖了电子信息技术的各个分支及工业技术、经济管理、科普与少儿、社科人文等领域,综合出版能力位居全国出版行业前列。
