• CISA考试复习手册(第28版)
21年品牌 40万+商家 超1.5亿件商品

CISA考试复习手册(第28版)

全新正版 极速发货

112.21 6.7折 168 全新

库存28件

广东广州
认证卖家担保交易快速发货售后保障

作者美国国际信息系统审计协会(ISACA) 著

出版社电子工业出版社

ISBN9787121489662

出版时间2024-10

装帧平装

开本16开

定价168元

货号1203403772

上书时间2024-11-22

大智慧小美丽

已实名 已认证 进店 收藏店铺

   商品详情   

品相描述:全新
商品描述
目录
第1章 信息系统的审计流程 1

概述 2

领域1考试内容大纲 2

学习目标/任务说明 2

深造学习参考资源 2

自我评估问题 2

自我评估问题参考答案 4

A部分:规划 6

1.1 信息系统审计标准、准则、职能和道德规范 6

1.1.1 ISACA信息系统审计和鉴证标准 6

1.1.2 ISACA信息系统审计和鉴证准则 7

1.1.3 ISACA 职业道德规范 7

1.1.4 ITAF TM 7

1.1.5 信息系统内部审计职能 7

1.2 审计类型、评估和审查 9

1.2.1 控制自我评估 10

1.2.2 整合审计 11

1.3 基于风险的审计规划 12

1.3.1 单项审计任务 12

1.3.2 法律法规对信息系统审计规划的影响 13

1.3.3 审计风险和重要性 15

1.3.4 风险评估 15

1.3.5 信息系统审计风险评估技术 15

1.3.6 风险分析 16

1.4 控制类型和考虑因素 16

1.4.1 内部控制 16

1.4.2 控制目标和控制措施 16

1.4.3 控制分类 19

1.4.4 控制与风险的关系 21

1.4.5 规定性控制和框架 21

1.4.6 控制环境评估 22

B部分:执行 23

1.5 审计项目管理 23

1.5.1 审计目标 23

1.5.2 审计阶段 23

1.5.3 审计方案 25

1.5.4 审计工作底稿 26

1.5.5 欺诈、违规和非法行为 26

1.5.6 敏捷审计 26

1.6 审计测试和抽样方法 28

1.6.1 符合性与实质性测试 28

1.6.2 抽样 29

1.7 审计证据搜集技巧 31

1.7.1 面谈和观察员工以了解其职责履行情况 33

1.8 审计数据分析 33

1.8.1 计算机辅助审计技术 34

1.8.2 持续审计和监控 35

1.8.3 持续审计技术 36

1.8.4 信息系统审计中的人工智能 37

1.9 报告和沟通技巧 39

1.9.1 沟通审计结果 39

1.9.2 审计报告目标 40

1.9.3 审计报告的结构与内容 40

1.9.4 审计记录 41

1.9.5 跟进活动 42

1.9.6 信息系统审计报告的类型 42

1.10 质量保证和审计流程改进 42

1.10.1 审计委员会监督 42

1.10.2 审计质量保证 42

1.10.3 审计团队培训与发展 42

1.10.4 监控 42

案例研究 44

案例研究相关问题参考答案 46

第2章 IT治理与管理 47

概述 48

领域2考试内容大纲 48

学习目标/任务说明 48

深造学习参考资源 49

自我评估问题 49

自我评估问题参考答案 51

A部分:IT治理 53

2.1 法律、法规和行业标准 53

2.1.1 法律、法规和行业标准对信息系统审计的影响 53

2.1.2 治理、风险与合规性 54

2.2 组织结构、IT治理和IT战略 54

2.2.1 企业信息和技术治理 55

2.2.2 EGIT的良好实践 56

2.2.3 EGIT中的审计角色 56

2.2.4 信息安全治理 57

2.2.5 信息系统策略 59

2.2.6 战略规划 59

2.2.7 商业智能 60

2.2.8 组织结构 62

2.2.9 审计IT治理结构与实施 72

2.3 IT政策、标准、程序和准则 72

2.3.1 政策 73

2.3.2 标准 74

2.3.3 程序 75

2.3.4 准则 75

2.4 企业架构和注意事项 75

2.5 企业风险管理 76

2.5.1 开发风险管理方案 77

2.5.2 风险管理生命周期 77

2.5.3 风险分析方法 80

2.6 数据隐私方案和原则 80

2.6.1 隐私记录 81

2.6.2 审计流程 84

2.7 数据治理和分类 84

2.7.1 数据清单和分类 85

2.7.2 法律目的、同意和合法权益 85

2.7.3 数据主体的权利 87

B部分:IT管理 88

2.8 IT资源管理 88

2.8.1 IT的价值 88

2.8.2 实施IT组合管理 88

2.8.3 IT管理实务 88

2.8.4 人力资源管理 88

2.8.5 企业变更管理 91

2.8.6 财务管理实务 91

2.8.7 信息安全管理 92

2.9 IT供应商管理 93

2.9.1 资源开发实务 93

2.9.2 外包实务与战略 94

2.9.3 云治理 97

2.9.4 外包中的治理 97

2.9.5 容量和发展规划 98

2.9.6 第三方服务交付管理 98

2.10 IT性能监控与报告 99

2.10.1 关键绩效指标 99

2.10.2 关键风险指标 99

2.10.3 关键控制指标 99

2.10.4 绩效优化 100

2.10.5 方法和技术 101

2.11 IT质量保证和质量管理 103

2.11.1 质量保证 103

2.11.2 质量管理 104

2.11.3 卓越运营 104

案例研究 105

案例研究相关问题参考答案 106

第3章 信息系统的购置、开发与实施 107

概述 108

领域 3 考试内容大纲 108

学习目标/任务说明 108

深造学习参考资源 108

自我评估问题 108

自我评估问题参考答案 110

A部分:信息系统的购置与开发 112

3.1 项目治理和管理 112

3.1.1 项目管理实务 112

3.1.2 项目管理结构 112

3.1.3 项目管理角色和职责 113

3.1.4 项目管理技术 113

3.1.5 项目组合/项目集管理 115

3.1.6 项目管理办公室 116

3.1.7 项目效益实现 117

3.1.8 项目开始 118

3.1.9 项目目标 118

3.1.10 项目规划 119

3.1.11 项目执行 123

3.1.12 项目控制和监控 123

3.1.13 项目收尾 123

3.1.14 信息系统审计师在项目管理中的角色 124

3.2 业务案例和可行性分析 124

3.2.1 信息系统审计师在业务案例开发中的角色 125

3.3 系统开发方法 126

3.3.1 业务应用程序开发 126

3.3.2 SDLC模型 126

3.3.3 SDLC 阶段 128

3.3.4 信息系统审计师在 SDLC 项目管理中的角色 136

3.3.5 软件开发方法 136

3.3.6 系统开发工具和生产力辅助设备 142

3.3.7 基础架构开发/购置实务 144

3.3.8 硬件/软件购置 147

3.3.9 系统软件购置 149

3.4 控制识别和设计 151

3.4.1 应用控制 151

3.4.2 输出控制 155

B部分:信息系统实施 158

3.5 系统准备和实施测试 158

3.5.1 测试分类 158

3.5.2 软件测试 160

3.5.3 数据完整性测试 160

3.5.4 应用程序系统测试 161

3.5.5 系统实施 163

3.6 实施配置和管理 164

3.6.1 配置管理系统 164

3.7 系统迁移、基础设施部署和数据转换 165

3.7.1 数据迁移 165

3.7.2 转换(上线或切换)技术 167

3.7.3 系统变更程序和程序迁移流程 168

3.7.4 系统软件实施 169

3.7.5 认证/认可 169

3.8 实施后分析 169

3.8.1 信息系统审计师在实施后审查中的角色 170

案例研究 172

案例研究相关问题参考答案 174

第4章 信息系统的运营和业务恢复能力 175

概述 176

领域4 考试内容大纲 176

学习目标/任务说明 176

深造学习参考资源 176

自我评估问题 177

自我评估问题参考答案 179

A部分:信息系统运营 181

4.1 IT组件 181

4.1.1 网络 182

4.1.2 计算机硬件组件和架构 192

4.1.3 常用的企业后端设备 193

4.1.4 USB大容量存储设备 194

4.1.5 无线通信技术 196

4.1.6 硬件维护程序 196

4.1.7 硬件审查 197

4.2 IT资产管理 198

4.3 作业调度和生产流程自动化 198

4.3.1 作业调度软件 198

4.3.2 日程审查 198

4.4 系统接口 199

4.4.1 与系统接口相关的风险 200

4.4.2 与系统接口相关的控制 200

4.5 最终用户计算和影子IT 201

4.5.1 最终用户计算 201

4.5.2 影子IT 202

4.6 系统可用性和容量管理 202

4.6.1 信息系统架构和软件 202

4.6.2 操作系统 203

4.6.3 访问控制软件 204

4.6.4 数据通信软件 204

4.6.5 实用程序 206

4.6.6 软件许可问题 206

4.6.7 源代码管理 207

4.6.8 容量管理 208

4.7 问题和事故管理 209

4.7.1 问题管理 209

4.7.2 事故处理过程 209

4.7.3 异常情况的检测、记录、控制、解决和报告 209

4.7.4 技术支持/客户服务部门 210

4.7.5 网络管理工具 210

4.7.6 问题管理报告审查 211

4.8 IT变更、配置和修补程序管理 212

4.8.1 修补程序管理 212

4.8.2 发行管理 212

4.8.3 信息系统运营 213

4.9 运营日志管理 215

4.9.1 日志类型 215

4.9.2 日志管理 216

4.10 IT服务水平管理 218

4.10.1 服务等级协议 219

4.10.2 服务水平监控 220

4.10.3 服务水平与企业架构 220

4.11 数据库管理 220

4.11.1 DBMS结构 220

4.11.2 数据库结构 221

4.11.3 数据库控制 224

4.11.4 数据库审查 224

B部分:业务恢复能力 226

4.12 业务影响分析 226

4.12.1 运营和关键性分析分类 227

4.13 系统和运营恢复能力 228

4.13.1 应用程序恢复能力和灾难恢复方法 228

4.13.2 电信网络恢复能力和灾难恢复方法 229

4.14 数据备份、存储和恢复 230

4.14.1 数据存储恢复能力和灾难恢复方法 230

4.14.2 备份与恢复 230

4.14.3 备份方案 233

4.15 业务持续计划 235

4.15.1 IT业务持续计划 236

4.15.2 灾难和其他破坏性事件 237

4.15.3 业务持续计划流程 238

4.15.4 业务连续性政策 238

4.15.5 业务持续计划事故管理 239

4.15.6 制订业务持续计划 240

4.15.7 计划制订过程中的其他问题 240

4.15.8 业务持续计划的构成要素 241

4.15.9 计划测试 243

4.15.10 业务连续性管理良好实践 245

4.15.11 审计业务连续性 245

4.16 灾难恢复计划 248

4.16.1 恢复点目标、恢复时间目标和平均修复时间 248

4.16.2 恢复策略 249

4.16.3 恢复备选方案 250

4.16.4 灾难恢复计划的制订 252

4.16.5 灾难恢复测试方法 254

4.16.6 调用灾难恢复计划 256

案例研究 257

案例研究相关问题参考答案 258

第5章 信息资产的保护 259

概述 260

领域5考试内容大纲 260

学习目标/任务说明 260

深造学习参考资源 260

自我评估问题 261

自我评估问题参考答案 263

A部分:信息资产安全和控制 265

5.1 信息资产安全政策、框架、标准和准则 265

5.1.1 信息资产安全政策、程序和准则 265

5.1.2 信息安全框架和标准 267

5.1.3 信息安全基准指标 267

5.2 物理与环境控制 270

5.2.1 环境风险暴露和控制 271

5.2.2 物理访问风险暴露和控制 274

5.2.3 工业控制系统安全 276

5.3 身份和访问管理 278

5.3.1 身份和访问管理 278

5.3.2 身份认证、授权和问责制 281

5.3.3 零信任架构 284

5.3.4 特权访问管理 285

5.3.5 目录服务 287

5.3.6 身份治理和管理 287

5.3.7 身份即服务 288

5.3.8 系统访问权限 289

5.3.9 访问控制的类型 290

5.3.10 信息安全和外部相关方 290

5.3.11 数字版权管理 293

5.3.12 逻辑访问 295

5.3.13 访问控制软件 296

5.3.14 登录ID和密码 297

5.3.15 远程访问安全 299

5.3.16 生物特征识别 299

5.3.17 逻辑访问控制的命名约定 302

5.3.18 联合身份管理 302

5.3.19 审计逻辑访问 305

5.4 网络和终端安全 306

5.4.1 信息系统网络基础架构 306

5.4.2 企业网络架构 306

5.4.3 网络类型 307

5.4.4 网络服务 307

5.4.5 网络标准和协议 308

5.4.6 虚拟私有网络 308

5.4.7 网络连接存储 310

5.4.8 内容交付网络 311

5.4.9 网络时间协议 313

5.4.10 联网环境中的应用程序 314

5.4.11 网络基础设施安全性 316

5.4.12 防火墙 317

5.4.13 统一威胁管理 322

5.4.14 网络分段 323

5.4.15 终端安全 325

5.5 数据丢失防护 327

5.5.1 DLP的类型 327

5.5.2 数据丢失风险 327

5.5.3 DLP 解决方案和数据状态 329

5.5.4 DLP控制 329

5.5.5 DLP内容分析方法 330

5.5.6 DLP部署最佳实践 331

5.5.7 DLP风险、限制和考虑因素 331

5.6 数据加密 332

5.6.1 加密系统的要素 332

5.6.2 链路加密和端到端加密 334

5.6.3 对称密钥加密系统 334

5.6.4 公共(非对称)密钥加密系统 335

5.6.5 椭圆曲线加密算法 336

5.6.6 量子密码学 336

5.6.7 同态加密 336

5.6.8 数字签名 337

5.6.9 数字信封 338

5.6.10 加密系统的应用 338

5.6.11 Kerberos 339

5.6.12 安全外壳 340

5.6.13 域名系统安全扩展 341

5.6.14 电子邮件安全 341

5.6.15 加密审计程序 343

5.7 公钥基础设施 344

5.7.1 数字证书 344

5.7.2 密钥管理 344

5.7.3 证书取消 344

5.7.4 证书取消清单 345

5.7.5 PKI基础设施风险 346

5.7.6 PKI审计程序 346

5.8 云和虚拟化环境 346

5.8.1 虚拟化 347

5.8.2 虚拟电路 350

5.8.3 虚拟局域网 350

5.8.4 虚拟存储区域网络 350

5.8.5 软件定义网络 351

5.8.6 容器化 353

5.8.7 安全云迁移 355

5.8.8 责任共担模型 357

5.8.9 云环境中的关键风险 358

5.8.10 DevSecOps 359

5.9 移动、无线和物联网设备 360

5.9.1 移动计算 360

5.9.2 移动设备威胁 361

5.9.3 移动设备控制 361

5.9.4 移动设备管理 362

5.9.5 自带设备 364

5.9.6 移动设备上的互联网访问 364

5.9.7 移动设备审计程序 365

5.9.8 移动支付系统 366

5.9.9 无线网络 368

5.9.10 物联网 371

B部分:安全事件管理 374

5.10 安全意识培训和方案 374

5.10.1 信息安全学习连续体 374

5.10.2 安全意识、培训和教育方案的好处 375

5.10.3 安全意识、培训和教育的方法 375

5.10.4 成功安全意识培训和教育方案的条件 375

5.10.5 开展需求评估 376

5.10.6 实施安全意识和培训方案 376

5.11 信息系统攻击方法和技术 378

5.11.1 欺诈风险因素 378

5.11.2 计算机犯罪问题和风险暴露 378

5.11.3 互联网威胁和安全 384

5.11.4 恶意软件 385

5.11.5 勒索软件 387

5.12 安全测试工具和技术 389

5.12.1 安全测试的目标 389

5.12.2 安全评估和安全审计 389

5.12.3 漏洞评估 390

5.12.4 渗透测试 390

5.12.5 威胁准备/信息安全团队 393

5.12.6 安全测试技术 394

5.12.7 安全运营中心 394

5.12.8 安全测试审计程序 395

5.13 安全监控日志、工具和技术 397

5.13.1 信息安全监控 397

5.13.2 入侵检测系统 398

5.13.3 入侵防御系统 399

5.13.4 监控系统访问时的审计记录 400

5.13.5 保护日志数据 402

5.13.6 安全信息和事件管理 402

5.13.7 安全监控工具 405

5.14 安全事故响应管理 405

5.14.1 事故响应流程 405

5.14.2 计算机安全事故响应团队 406

5.14.3 事故响应计划 407

5.14.4 安全编排、自动化和响应 407

5.15 证据搜集和取证 409

5.15.1 调查类型 409

5.15.2 计算机取证的类型 409

5.15.3 计算机取证阶段 410

5.15.4 审计注意事项 410

5.15.5 计算机取证技术 411

5.15.6 计算机取证工具 412

5.15.7 监管链 413

5.15.8 保护数字证据的最佳实践 413

案例研究 415

—  没有更多了  —

以下为对购买帮助不大的评价

此功能需要访问孔网APP才能使用
暂时不用
打开孔网APP