CISA知识点

审计流程21%；运营和业务恢复23%；保护资产27%；IT治理17%；开发12%。

领域1-信息系统审计流程

规划-现场工作-报告

（1）审计规划

了解业务使命、目标、目的和流程

找到相关规定

实施风险分析（找到高风险领域）

确定审计目标和审计范围

制定审计方法

为审计工作分配人力资源（人员分配那块审计）

安排好业务的后勤工作

（2）内部控制分类

预防性控制（防止事件发生，降低不良事件的可能性，防火墙，IPS）

检测性控制（发现问题，IDS）

纠正性控制（意外发生后修补组件或系统）

其他的：补偿性（可以替代的方法）

（3）基于风险的审计方法

（收集信息和计划-固有风险；了解内部控制-控制风险/检测风险；执行符合性测试；执行实质性测试；总结审计）

符合性测试：属性抽样

实质性测试：变量抽样

符合性测试是指对被审计单位与生成会计信息有关的内部控制设计和执行的有效性进行了解，并对该内部控制是否得到一贯遵循加以审计的过程。实质性测试是指在符合性测试的基础上，为取得直接证据而运用检查、监盘、观察、查询及函证、计算、分析性复核等方法，对被审计单位会计报表的真实性和财务收支的合法性进行审查，以得出审计结论的过程。

(4)审计证据属性

相关性、客观性、时效性

证据可靠性：外部审计师测试结果>第三方确认函>审计师测试>被审人员提供

（5）控制自我评估和审计区别

控制自我评估由职责部门发起，多方参与。

（6）审计章程

规定信息系统内部审计职能的角色；明确说明管理层的责任、目标以及向信息系统审计职能部门授予的权力。

董事会（最高管理层）和审计委员会应对此章程进行审批。

（8）通用审计软件

数据分析工具，可用于过滤大量数据

（9）计算机辅助审计技术 计算机辅助软件工程工具

计算机辅助审计技术用于访问各种软件环境、记录格式等电子数据的工具。包括通用审计软件。

（10）审查方法

观察流程和员工表现：以不引人注意的方式观察。

面谈：本质是挖掘信息。

重新执行：所提供的证据通常优于其他技术提供的证据。

浏览审查：用于确认对控制的理解的审计技术。

（11）抽样方法

符合性测试：属性抽样（特定性质的发生率）、停走抽样（对控制信任，目的防止过度抽样，尽快停止审计）、发现抽样（目的发现问题）

实质性测试：变量抽样（较小样本推算大的）、分层单位均值（分组）、不分层均值（平均值）、差异估计（看差异）。

置信系数：如果信息系统审计师知道内部控制很强大，则可以降低置信系数。置信系数越高，样本量越大。置信系数越大，置信区间越宽，样本量越大。内控有效时，可以采用较低的置信系数，使用较小的采样规模。

精度（样本与总体的接近程度）：精度制越小，样本量越大

(12)小风险聚合

单个风险可能很小，但合在一起可能会对整改系统产生重大影响，故小错误不可直接忽视。

（13）固有风险、控制风险、检测风险

固有风险：业务自身带有的风险

控制风险：实施风险控制后，仍存在的风险

检测风险：已经出现，但是审计师没有发现的风险

（14）持续审计技术

系统控制审计检查文件和内嵌审计模型（SCARF/EAM）：非常复杂，适用于正常处理不能被中断；通过在组织的主机应用系统中内嵌经特别编写的审计软件，使审计师以可以选择的方式来监控应用系统的使用；

 快照（Snapshots）：复杂性中等，需要审计踪迹时；记录一个事务从输入到输出各阶段的处理轨迹。通过对输入数据使用标识符来对事务作标签，并跟踪该记录的处理轨迹，供信息系统审计师后续检查。

 审计钩（Hooks）：复杂性低，只有所选择的事务或过程需要检查；在应用系统中内嵌程序“钩”，像标识符那样

起作用，在错误或不规范事务失去控制前，提醒信息系统审计师采取行动

 集成测试设施（ITF）：复杂性高，采用测试数据没有益处时；在审计对象应用系统的生产文件中设置虚构的事务，通过与真实事务一起进入应用系统中运行，然后信息系统审计师经独立计算的数据来比较虚构事务的处理输出，确认计算机处理数据的正确性（一定要隔离测试数据和生产数据）

 持续和间歇性模拟（CIS）：复杂性中等，符合某些标准的事务需要被检查时；在一个事务的处理运行期间，计算机系统模拟应用程序指令的执行。在每一个事务输入时，模拟器就确定该事务是否符合预定义的标准，符合就审计；不符合，模拟器就等待直到下一个符合标准的事务出现。

（15）审计的独立性

审计师不能撤销或修改审计结果。

审计发现无论微小或者已经修正，要记录到最终审计报告

潜在利益冲突影响独立性，应开始执行前提醒管理部门注意。

审计师独立性受损，（直接参与了系统开发、设计等），必须向管理层说明并在报告中披露

领域2-IT治理与管理

（1）IT治理三大目标

保持IT与业务目标一致；有效利用IT资源；有效控制IT 风险。

IT治理关注领域战略一致、绩效考核（战略和实际的）、风险管理、资源管理（优化资源）、价值交付（如何保证IT能够按照战略要求，实现企业预期价值）

（2）平衡记分卡

管理人员通过使用IT BSC帮助IT战略委员及管理层确保IT和业务正确保持一致。目标是建立管理层向董事会的报告途径,就 IT 战略目标在关键利益相关方之间达成一致,证实 IT 的效果与价值,沟通 IT 绩效,风险和能力

（3）IT资源投资与分配实务

◇  价值治理（VG，Value Government）

◇ 投资组合管理（PM，）

◇ 投资管理（IM，InvestmentManagement）

（4）公司治理

利益相关者之间职权利的分配。

（5）IT战略委员会 IT指导委员会

IT战略委员会：确保IT目标与业务战略一致

IT指导委员会：（1）设定项目优先级；（2）确定IT风险偏好

IT战略/治理委员会（战略层面）：由董事会成员和专家组成。把握宏观方向，投资回报问题。

IT指导/督导委员会(技术层面)：由高级管理层、各个业务部门和IT部门的代表组成。关注具体工作，不具体干活，对内的。

IT战略委员会职责：对董事会负责。

IT指导委员会职责：对重要的IT项目进行审查，而不应当涉及日常运营。审查IT部门的短期计划（几个月）和长期计划（1-2年），而战略计划（3-5年）则由IT战略委员会起草，董事会审批。

企业的风险偏好最好由督导委员会决定。

(6)IT外包管理

外包合同：明确规定知识产权、数据和系统的所有权

包含SLA：定期审查合同（是否遵循）和服务级别（是否符合SLA.）

供应商需具有突发情况继续提高服务支持的能力

核心业务不能外包：例如企业安全的问责制对外包必须进行独立全面的审核，审计师最关心独立审计报告或者安全审计调查。

外包供应商接受外部安全审查。独立全面审核。

所有外包必须建立业务案例。离岸外包开发必须制定详细的正确应用规范。

外包业务风险：缺乏对IS的控制、供应商违约或出现业务故障，供应商员工不遵守安全政策（应在合同中规定赔偿条款）、系信息丢失。

降低风险的措施：（1）为降低成本、提高服务水平，建立伙伴式利益共享目标和奖励机制

（7）职责分离

职责分离的目标是通过识别补偿性控制来降低或消除业务风险。

◇ 审计轨迹（AuditTrail）：可追踪交易流，能确定谁发起交易、发起时间、数据类型、字段、更新了哪些文件等。

◇ 核对（Reconciliation）：增加了系统处理正确性及数据平衡的可信度水平。

◇ 例外报告（Exception Reporting）：需要确保例外情况能及时得到解决。

◇ 交易日志（TransactionLog）：可以手动或自动生成，为所有已处理的交易保留一份记录。

◇ 监督性审核（SupervisoryReview）：可通过现场观察、访谈或远程执行。

◇ 独立性审核（IndependentReview）：是对错误或故意违反既定流程的补偿控制，可帮助检测错误或违规情况。

系统管理员应与数据库、系统开发人员、应用程序编程人员职责分离。

安全管理员应与系统开发人员职责分离。

应用程序开发人员应与其他人员职责分离。

(8)可接受使用策略

说明了允许用户使用IT系统做什么，不能做什么，违反规则时应受到何种处罚。

（9）风险管理方式

接受风险：有意什么也不做，正式接收风险并监控或记录在册。

规避风险：禁止可能导致风险的行为规避风险。

缓解风险：利用适当措施降低风险。

转移风险：将风险转移给其他方。例如保险。

（10）信息安全策略

安全策略提供由高级管理层或董事会批准的。

领域3-信息系统生命周期

（1）项目管理

时间盒管理：规定时间

业务案例（BC）:应充分描述项目的业务理由或效益。也就是立项报告

项目组合管理的目标：优化项目组合的结果；排定项目的优先级和时间表；

（2）测试分类

单元测试：对单个程序或模块的测试。

接口或集成测试：采用经过单元测试的模块并构建满足设计要求的集成结构。

系统测试：确保新系统或改良系统中经过修改的程序、对象、数据库模式等运行正常。包括恢复测试、安全测试、负载测试、压力测试、容量测试、性能测试（压力测试：通过递增并发用户/服务数测试应用程序所受的影响，从而确定应用处理的最大并发用户/服务数；负载测试：通过大量数据来测试应用程序，评估其在高峰期的性能）

验收测试：包括质量保证测试和用户验收测试，两者不合并。

其他测试：α测试是由一个用户在开发环境下进行的测试，是在受控环境下的测试，开发和业务分析人员执行，属于系统测试。β测试是由多个用户在一个或多个用户的实际环境下进行的测试，非受控环境下的测试，开发工作以外的用户，UAT测试(User Acceptance Test)。社交性测试：确认新系统或改良系统可以在目标环境中运行，不会对现有系统产生不利影响的测试。回归测试：确保变更或更正未引入新的错误。

（3）自下而上测试

提早发现关键模块中的错误

（4）自上而下测试

及早发现接口错误

（5）ACID

原子性是指事务是一个不可再分割的工作单位，事务中的操作要么都发生，要么都不发生.

一致性是指在事务开始之前和事务结束以后，数据库的完整性约束没有被破坏。这是说数据库事务不能破坏关系数据的完整性以及业务逻辑上的一致性。

多个事务并发访问时，事务之间是隔离的，一个事务不应该影响其它事务运行效果。隔离性这指的是在并发环境中，当不同的事务同时操纵相同的数据时，每个事务都有各自的完整数据空间。由并发事务所做的修改必须与任何其他并发事务所做的修改隔离。事务查看数据更新时，数据所处的状态要么是另一事务修改它之前的状态，要么是另一事务修改它之后 的状态，事务不会查看到中间状态的数据。

持久性，意味着在事务完成以后，该事务所对数据库所作的更改便持久的保存在数据库之中，并不会被回滚。

（6）业务流程再造最需要关注的问题

一些关键控制可能会在业务重组过程中没有被纳入到新流程中去。

（7）SDL

传统瀑布模型

V型模型：用户需求-验收测试；功能需求-系统测试；架构设计-集成测试；单元测试-详细设计

（8）软件基线

软件版本1.0和软件版本2.0

（9）实施后审查和项目后审查

实施后审查-后评估：项目完成后的几周或几个月内执行，此时可了解实施解决方案的主要优缺点，还用于确认是否存在系统重内置了适当的控制措施。例如评估预计的成本效益或投资回报衡量结果； 

项目后审查：确定项目目标是否达成或得到免除，总结可应用到未来项目中的经验教训避免错误再次发生。

（10）输入、输出、处理控制

数据验证-校验数字位：经过数学计算得到的数值添加到相应数据，以确保原始数据未被篡改或被不正确但有效的值替换。完整性检查：字段应始终包含数据。

（11）应用程序测试

嵌入式审计数据收集(包括SCARF和SARF)：该软件将作为系统开发的一部分来进行开发，超阈值告警，优点：提供生产统计数据；缺点开发和维护成本高，审计师独立性问题。

整体测试设施（ITF）：数据库中创立虚拟文件，同时处理测试数据和实时数据，优点：定期测试不需要但单独的测试流程，缺点：需要隔离测试数据和生产数据。

快照：记录通过程序内各逻辑路径的指定交易。验证程序逻辑。

（12）数据完整性测试

关系完整性测试：例如，主键不能空值，不能重复，唯一；用户定义的完整性规则。

参照完整性检查：包括确保所有外键都存在于原始表中。

（13）甘特图和PERT

甘特图：沿时间轴显示活动应该开始的时间及结束时间，还显示那些活动可以同时进行及那些必须按顺序完成。

计划评审技术：用网络图来表达项目中各项活动的进度和它们之间的相互关系，在此基础上，进行网络分析和时间估计。

（14）数据验证编辑

范围检查：数据保持在预定的值范围以内。

校验数字位：一个经过算术计算的数值，可将其附加到数据中以确保原数据未经修改。

有效性检查：根据预定标准检查数据有效性的程序校验。

重复检查：将新交易与先前输入的交易进行匹配，以确保系统中没有包含这些新交易。

（15）挣值分析

EVA:挣值分析，及早发现延期或者超支，判断项目进度。

（16）触发器和视图

触发器经常用于加强数据的完整性约束和业务规则等。

触发器的作用：在写入数据表前强制检验或转换数据。

视图并不在数据库中以存储的数据值集形式存在。行和列数据来自由定义视图的查询所引用的表，并且在引用视图时动态生成

领域4-信息系统运营和恢复能力

（1）热备、温备、冷备

热备缺数据

温备缺程序、数据

冷备缺程序、数据、电脑,陪有电线、空调和地板

（2）业务影响分析

业务影响分析的一个关键结果是恢复时间目标和恢复点目标，可承受的最大停机时间和数据丢失，进一步确定恢复策略。BIA主要目标，识别影响组织运行持续性时间，从而定义恢复策略。

（3）灾备恢复测试方法

核对清单审查：恢复检查清单分发给恢复团队的所有成员进行审查。

结构化浏览审查：在纸上实际实施这些计划并审查每个步骤。

模拟测试：角色扮演一次准备好的灾难场景。

平行测试：主站点操作正常持续。将恢复站点调整到操作状态。

完全中断测试：关闭主站点并按照恢复计划转移到恢复站点，这是最严格的测试形式。

（4）业务连续性计划测试方法

纸面测试：浏览审查计划的纸面材料

准备情况测试：测试中会模拟系统崩溃并耗用实际资源

全面运营测试：灾难测试，与实际的服务中断仅一步之遥。

（5）RTO、RPO、MTO、SDO

RPO:最后一次做备份到发生灾难时间点的数据丢失（用时间衡量）。

RTO:灾难发生的时间点到系统恢复的时间点，不是业务恢复的时间点；

MTO:RTO+（备业务恢复时间点-系统恢复时间点）=业务中断开始到业务恢复时间=灾备业务恢复时间点-灾难发生的时间点；

服务交付目标SDO=主站点完全恢复的时间点-系统恢复时间点。

（6）容量管理

能力管理（容量管理）是对计算机资源的计划和监控，其目标是根据总体业务的增长或减少动态的增减资源，确保能够以最有效和高效的方式实现业务目标。

（7）事故管理和问题管理

事故管理：划分事件的优先级，侧正于解决当前问题，目标是尽快使受影响的有流程恢复正常的服务。问题管理：对异常报告和错误活动日志进行分析，找出问题的根本原因。目标：主动预防相同的错误再发生

为解决事件管理：首要风险是可能导致业务处理重点，管理层应当制定未解决事件的升级标准，并确保问升级流程得到贯彻执行。

（8）恢复点目标

恢复点目标很低就是时间短，停机容灾能力低也是时间短，首先热备。

RTO:系统恢复时间点-灾难发生的时间点；

MTO:灾备业务恢复时间点-灾难发生的时间点；

服务交付目标SDO=主站点业务完全恢复的时间点-系统恢复时间点。

领域5-保护信息资产

（1）火灾相关

七氟丙烷（FM-200）以及Argonite为无污染灭火器。

（2）审计网络

审计网络系统，首先应查阅拓扑图。

（3）主动攻击和被动攻击

收集网络信息的被动攻击示例包括网络分析、窃听和流量分析；主动攻击包括消息修改、穷举攻击、网络钓鱼等。

1. 循环冗余检测

数据传输的有效性由循环冗余检测验证。循环冗余检测可以检测传输数据块。

1. 电力相关

电涌保护设备用于防御高压脉冲。

1. CA和RA

数字证书是一段包含用户身份信息、用户公钥信息以及验证机构数字签名的数据。

CA有助于通信伙伴之间身份的认证，但CA本身不参与通信活动。CA的主要作用是检查拥有证书的实体身份和确认所颁发证书的完整性。

1.  VoIP最关注服务的连续性

最大风险是：分布式拒绝服务攻击（DDOS）。

最大的问题是：数字和语音传输的单一故障点。

为保护VoIP免受DOS攻击，最重要的是保护会话边界控制器。可能导致VoIP遭到窃听：以太网交换器中的地址解析协议（ARP）缓存损坏。