CISA信息系统审计师认证All-in-One（第4版·2019大纲） 下载 pdf 电子版 epub 免费 txt 2025

《CISA信息系统审计师认证All-in-One(第4版 • 2019大纲)》由顶尖审计专家撰写，对上一版做了全面更新，内容权威，涵盖2019年ISACA 开发的所有五个CISA考试领域。每章开头列出学习目标，文中穿插考试提示，章末包含小结、本章要点、习题和答案。本书旨在帮助考生更轻松地通过CISA考试，也可供IS审计新人和资深人士在工作期间参考。

涵盖所有考点：

• IT治理和管理

• 审计流程

• IT生命周期管理

• IT服务管理和业务持续

• 信息资产保护

配书网站包含：

•300道模拟试题

•一个测试引擎

•既有标准长度的模拟考卷，也允许按主题定制题目

目 录

第1章 成为注册信息系统审计师(CISA)

1

1.1 CISA认证的收益

2

1.2 CISA认证流程

3

1.3 ISACA职业道德准则

7

1.4 ISACA 信息系统(IS)标准

7

1.5 CISA认证考试

9

1.5.1 考试准备

10

1.5.2 考试之前

10

1.5.3 考试当天

11

1.5.4 考试之后

11

1.6 申请CISA认证

12

1.7 维持CISA认证

12

1.7.1 继续教育

12

1.7.2 CPE维持费用

14

1.8 吊销证书

14

1.9 CISA考试准备指导

15

1.10 小结

15

第2章 IT治理和管理

17

2.1 高管和董事会的IT治理实务

18

2.1.1 IT治理

18

2.1.2 IT治理框架

18

2.1.3 IT战略委员会

19

2.1.4 平衡计分卡

19

2.1.5 信息安全治理

20

2.2 IT战略规划

23

2.3 策略、流程、程序和标准

24

2.3.1 信息安全策略

25

2.3.2 隐私策略

26

2.3.3 数据分类策略

26

2.3.4 系统分类策略

27

2.3.5 场所分类策略

27

2.3.6 访问控制策略

27

2.3.7 移动设备策略

27

2.3.8 社交媒体策略

28

2.3.9 其他策略

28

2.3.10 流程和程序

28

2.3.11 标准

29

2.3.12 企业架构

30

2.3.13 法律、法规和标准的适用性

32

2.4 风险管理

33

2.4.1 风险管理计划

33

2.4.2 风险管理流程

34

2.4.3 风险处理

43

2.5 IT管理实务

45

2.5.1 人员管理

45

2.5.2 寻源或寻找供应商

50

2.5.3 变更管理

56

2.5.4 财务管理

57

2.5.5 质量管理

57

2.5.6 组合管理

59

2.5.7 控制措施管理

59

2.5.8 安全管理

60

2.5.9 性能和容量管理

61

2.6 组织结构与职责

62

2.6.1 角色与职责

63

2.6.2 职责分离

68

2.7 IT治理审计

69

2.7.1 文档和记录审计

70

2.7.2 合同审计

71

2.7.3 外包审计

72

2.8 小结

73

2.9 本章要点

74

2.10 习题

74

2.11 答案

76

第3章 审计流程

79

3.1 审计管理

79

3.1.1 审计章程

80

3.1.2 审计计划

80

3.1.3 战略性审计规划

80

3.1.4 审计和技术

82

3.1.5 审计相关的法律法规和监管合规要求

83

3.2 ISACA审计标准

88

3.2.1 ISACA职业道德规范

88

3.2.2 ISACA审计和鉴证标准

88

3.2.3 ISACA审计和鉴证准则

91

3.3 风险分析

95

3.3.1 审计师风险分析和企业风险管理计划的侧重点

96

3.3.2 评价业务流程

97

3.3.3 识别业务风险

98

3.3.4 风险缓解

99

3.3.5 安全对策评估

100

3.3.6 持续监测

100

3.4 控制措施

100

3.4.1 控制措施分类

100

3.4.2 内部控制目标

103

3.4.3 信息系统控制目标

104

3.4.4 通用计算控制措施

104

3.4.5 信息系统控制措施

105

3.5 开展审计实务

105

3.5.1 审计目标

106

3.5.2 审计类型

107

3.5.3 合规性测试和实质性测试

108

3.5.4 审计方法论和项目管理

109

3.5.5 审计证据

111

3.5.6 依赖其他审计师的工作成果

116

3.5.7 审计数据分析

117

3.5.8 报告审计结果

120

3.5.9 其他审计主题

122

3.6 CSA

124

3.6.1 CSA的优缺点

125

3.6.2 CSA生命周期

125

3.6.3 CSA目标

126

3.6.4 审计师和CSA

126

3.7 实施审计建议

127

3.8 小结

127

3.9 本章要点

128

3.10 习题

129

3.11 答案

131

第4章 IT生命周期管理

133

4.1 收益实现

134

4.1.1 项目组合和项目集管理

134

4.1.2 制定业务案例

136

4.1.3 衡量业务收益

137

4.2 项目管理

138

4.2.1 项目组织

138

4.2.2 制定项目目标

139

4.2.3 管理项目

141

4.2.4 项目角色和责任

142

4.2.5 项目规划

143

4.2.6 项目管理方法论

154

4.3 系统研发生命周期(SDLC)

159

4.3.1 SDLC阶段

160

4.3.2 软件研发风险

180

4.3.3 其他软件研发方法和技术

181

4.3.4 系统研发工具

185

4.3.5 采购基于云计算的基础架构和应用程序

186

4.4 研发和实施基础架构

188

4.4.1 审查现有基础架构

189

4.4.2 需求

189

4.4.3 设计

190

4.4.4 采购

190

4.4.5 测试

191

4.4.6 实施

191

4.4.7 维护

191

4.5 信息系统维护

192

4.5.1 变更管理

192

4.5.2 配置管理

193

4.6 业务流程

194

4.6.1 业务流程生命周期与业务流程再造

194

4.6.2 能力成熟度模型

197

4.7 第三方管理

199

4.7.1 风险因素

199

4.7.2 入围和尽职调查

199

4.7.3 分类

200

4.7.4 评估

200

4.7.5 补救

200

4.7.6 风险报告

201

4.8 应用程序控制措施

201

4.8.1 输入控制措施

201

4.8.2 处理控制措施

203

4.8.3 输出控制措施

205

4.9 系统研发生命周期审计

206

4.9.1 项目集与项目管理审计

206

4.9.2 可行性研究审计

207

4.9.3 项目需求审计

207

4.9.4 项目设计审计

207

4.9.5 软件购置审计

207

4.9.6 项目研发审计

208

4.9.7 项目测试审计

208

4.9.8 项目实施审计

208

4.9.9 项目实施后审计

209

4.9.10 变更管理审计

209

4.9.11 配置管理审计

209

4.10 业务控制措施审计

209

4.11 应用程序控制措施审计

210

4.11.1 交易流向

210

4.11.2 观察

210

4.11.3 数据完整性测试

211

4.11.4 在线处理系统测试

211

4.11.5 应用程序审计

211

4.11.6 持续审计

212

4.12 第三方风险管理审计

213

4.13 小结

213

4.14 本章要点

215

4.15 习题

216

4.16 答案

218

第5章 IT服务管理和业务持续

221

5.1 信息系统运营

221

5.1.1 运营的管理与控制

222

5.1.2 IT服务管理

222

5.1.3 IT运营和异常处置

230

5.1.4 最终用户计算

231

5.1.5 软件程序代码库管理

232

5.1.6 质量保证

233

5.1.7 安全管理

233

5.1.8 介质控制措施

234

5.1.9 数据管理

234

5.2 信息系统硬件

235

5.2.1 计算机使用

235

5.2.2 计算机硬件架构

238

5.2.3 硬件维护

246

5.2.4 硬件持续监测

246

5.3 信息系统架构与软件

247

5.3.1 计算机操作系统

247

5.3.2 数据通信软件

248

5.3.3 文件系统

248

5.3.4 数据库管理系统

249

5.3.5 介质管理系统

252

5.3.6 实用软件

253

5.3.7 软件许可证

254

5.3.8 数字版权管理

255

5.4 网络基础架构

255

5.4.1 企业架构

256

5.4.2 网络架构

256

5.4.3 基于网络的服务

258

5.4.4 网络模型

260

5.4.5 网络技术

269

5.5 业务韧性

299

5.5.1 业务持续规划

299

5.5.2 灾难恢复规划

329

5.6 审计IT基础架构和运营

346

5.6.1 审计信息系统硬件

346

5.6.2 审计操作系统

346

5.6.3 审计文件系统

347

5.6.4 审计数据库管理系统

347

5.6.5 审计网络基础架构

347

5.6.6 审计网络运行控制措施

348

5.6.7 审计IT运营

349

5.6.8 审计无人值守运营

350

5.6.9 审计问题管理操作

350

5.6.10 审计持续监测运营

350

5.6.11 审计采购

351

5.6.12 审计业务持续规划

351

5.6.13 审计灾难恢复规划

354

5.7 小结

358

5.8 本章要点

359

5.9 习题

360

5.10 答案

363

第6章 信息资产保护

365

6.1 信息安全管理

365

6.1.1 信息安全管理的主要方面

365

6.1.2 角色和职责

369

6.1.3 业务一致性

370

6.1.4 资产清单和分类

371

6.1.5 访问控制

373

6.1.6 隐私

374

6.1.7 第三方管理

375

6.1.8 人力资源安全

379

6.1.9 计算机犯罪

382

6.1.10 安全事故管理

386

6.1.11 法证调查

390

6.2 逻辑访问控制措施

391

6.2.1 访问控制概念

391

6.2.2 访问控制模型

392

6.2.3 访问控制的威胁

392

6.2.4 访问控制漏洞

393

6.2.5 接入点和进入方式

394

6.2.6 身份识别、身份验证和授权

397

6.2.7 保护存储的信息

404

6.2.8 管理用户访问

410

6.2.9 保护移动设备

414

6.3 网络安全控制措施

416

6.3.1 网络安全

416

6.3.2 物联网安全

419

6.3.3 保护客户端/服务器应用程序

420

6.3.4 保护无线网络

421

6.3.5 保护互联网通信

424

6.3.6 加密

429

6.3.7 IP语音

439

6.3.8 专用分组交换机

440

6.3.9 恶意软件

441

6.3.10 信息泄露

446

6.4 环境控制措施

448

6.4.1 环境威胁和脆弱性

448

6.4.2 环境控制措施与对策

449

6.5 物理安全控制措施

453

6.5.1 物理访问威胁和脆弱性

454

6.5.2 物理访问控制措施和对策

455

6.6 审计资产保护

456

6.6.1 审计安全管理

456

6.6.2 审计逻辑访问控制措施

457

6.6.3 审计网络安全控制措施

462

6.6.4 审计环境控制措施

465

6.6.5 审计物理安全控制措施

466

6.7 小结

467

6.8 本章要点

468

6.9 习题

469

6.10 答案

471

附录A 开展专业化审计(可从网站下载)

附录B 主流方法论、框架和准则(可从网站下载)

附录C 关于在线学习资源(可从网站下载)

Peter H. Gregory持有CISM、CISA、CRISC、CISSP、CIPM、CCISO、CCSK和PCI-QSA等认证证书，是一位拥有近30年从业经验的安全技术专家，担任Optiv Security(美国最大的安全系统集成商)的执行董事。2002年至今，Peter致力于制订和管理组织的信息安全管理计划。从1990年以来，Peter一直领导安全IT环境的研发和测试工作。此外，Peter曾担任软件工程师、架构师、系统工程师、网络工程师和安全工程师等职务。Peter在职业生涯中撰写了大量文章、白皮书、用户手册、流程和程序，并多次组织讲座、培训、研讨会和编撰大学课程。

Peter撰写了40多本信息安全与信息技术的专业书籍，包括Solaris Security、CISSP Guide to Security Essentials、CISM Certified Information Security Manager All-In-One Exam Guide和CISA Certified Information Systems Auditor All-In-One Exam Guide等。Peter曾在许多行业会议上发表演讲，包括RSA、Interop、ISACA CACS、(ISC)2大会、SecureWorld博览会、西海岸安全论坛、OptivCon、维多利亚(BC)隐私和安全会议、IP3、信息管理协会、Interface、Tech Junction、SOURCE、华盛顿技术行业协会和InfraGard等。Peter担任华盛顿大学信息安全和风险管理认证计划顾问委员会成员、华盛顿大学网络安全认证计划的首席讲师和顾问委员会成员、南佛罗里达大学网络安全认证顾问委员会成员和讲师、InfraGard华盛顿州分会前理事会成员，以及太平洋CISO论坛的创始成员。Peter是FBI公民学院2008年毕业生、FBI公民学院校友会成员。

暂无出版社相关信息，正在全力查找中！

暂无相关书籍摘录，正在全力查找中！

在线阅读地址：CISA信息系统审计师认证All-in-One（第4版·2019大纲）在线阅读

在线听书地址：CISA信息系统审计师认证All-in-One（第4版·2019大纲）在线收听

在线购买地址：CISA信息系统审计师认证All-in-One（第4版·2019大纲）在线购买

暂无原文赏析，正在全力查找中！

书籍介绍

《CISA信息系统审计师认证All-in-One(第4版 • 2019大纲)》由顶尖审计专家撰写，对上一版做了全面更新，内容权威，涵盖2019年ISACA 开发的所有五个CISA考试领域。每章开头列出学习目标，文中穿插考试提示，章末包含小结、本章要点、习题和答案。本书旨在帮助考生更轻松地通过CISA考试，也可供IS审计新人和资深人士在工作期间参考。

涵盖所有考点：

• IT治理和管理

• 审计流程

• IT生命周期管理

• IT服务管理和业务持续

• 信息资产保护

配书网站包含：

•300道模拟试题

•一个测试引擎

•既有标准长度的模拟考卷，也允许按主题定制题目

• 作者：Athos 发布时间：2024-03-25 18:08:07

  太宰治神奇的打开方式，让我看到日本动漫里古已有之的丧气幽默传统，也有许多与鲁迅“白蝶巾猫头鹰”相通的底色，对他产生格外的兴趣！

• 作者：fansy 发布时间：2019-03-04 21:30:34

  课本很好，共有10个单元，每个单元一个主题，一个单元有5课(第5课 本单元总结），每课分为词汇，对话，语法和练习。沪江开心词场里面有延世韩国语1-6册的词书。自学的话，可以配合着沪江开心词场app一起。我平时都会用沪江把词背了，然后开始学习对话(网易云音乐有音频，可以边听边练习)，每一课后面都有语法，学了语法把课本练习和练习册都做了，做题完全是为了巩固。每天45分钟学习，30分钟做题，15分钟复习上一课，周一到周四每天一课，周五周六总结，周日休息。两个半月到三个月左右可以把一本书拿下。

• 作者：脆骨羊肉芝麻酱 发布时间：2021-01-11 18:32:19

  01.小岛上死了一个潜水的大小姐，留下了不明意义的“鲭鱼，鲤鱼，鲷鱼，比目鱼”的讯息。冲矢昴出镜。

  02.一位大小姐想找到当年救过自己身上有一道伤疤的人，两个人来了，只有一个是真的，为了分辨出冒牌货，小五郎出场，而事实上，警方怀疑其中一人是当年的杀人逃犯。

  03.连环杀人案15年时效即将过去，高木为了和佐藤去温泉努力查案，案件和麻将用语有关…最后中枪，佐藤病房亲吻高木。

  04.怪盗基德铁狸保险箱序幕拉开…

• 作者：hellopan 发布时间：2023-02-04 12:07:56

  闲来无事随手拿起的一本书，竟然有印刷错误，不知道只有我手里这本这样子，还是都印刷错误了

• 作者：Mr.3 发布时间：2020-06-03 18:00:25

  作为入门书籍很适合泛读

• 作者：李唐 发布时间：2019-01-21 16:43:24

  《月球房地产推销员》是一部软科幻小说，本来想写短点，结果没刹住闸成了小长篇。如果说第一本长篇是尝鲜的喜悦，到这部带给我的就几乎全是教训了。好在想到有些文字确是只有现在这般年纪才写得出的，并且对自己而言也算有突破，稍稍能安慰（自欺）一下。感谢华文天下和一直鼓励我的朋友。新的一年不奢求写出什么，唯有希望更加认真和专注，也更加享受写作。

• 很通俗的一本PMP备考用书

  作者：翼翼7号 发布时间：2010-09-14 14:18:03

  秉承了Head First丛书一贯的轻松的风格。很好的解释了PMP一些很概念性的东西，通篇都是以一个一个的小故事穿插其中来解释PMP中九大知识领域。有实例的概念性的书，读起来才不那么费劲，也比较好理解。

  虽然这本书开篇就强调，这本书只适合有PM相关工作经历的书。不过还好也没怎么妨碍我这种没有任何PM工作经历继续阅读下去。

  不过这本书没有谈及是适应PMP第几版的，本书说到的44 个processes，其中几个跟现在最新版第四版的44个processes有些不同，仔细对照了一下，发现第四版里面有增减的processes，所以如果出现和最新版本不一致的论述，大家还是要仔细界别一下。

  就入门书籍而言，我觉得还是值得推荐的。

• 三天的心灵史

  作者：海扬尘 发布时间：2010-11-23 21:11:54

  对西班牙内战我了解并不多。短短三天里的故事，中译本洋洋洒洒四十万字。也可以说是主人公罗伯特·乔丹——一个思想复杂的青年知识分子在三天里的心灵轨迹。生与死的问题，爱情与战斗职责的矛盾，道德伦理与严酷现实的矛盾交织在一起。

  你反对一切杀人的行为，可你既杀过人，而且还要继续杀人。因为要打胜仗就必须多杀敌人。

  双方都在屠杀，游击队员绞死长枪党，法西斯分子血洗拥护社会党的村庄。为了自由，尊严和所有人都有工作而不致挨饿的权利，我们对他们也干下了令人发指的暴行，“但那是因为我们缺乏教养，不知道该怎么办，而他们是蓄意地、深思熟虑地干着。”游击队员们射击，投掷手榴弹，炸火车。可是杀掉的人有几个是真正的法西斯分子？那些铁杆儿长枪党们都躲在后方屠杀平民。而在战壕里向我们瞄准的是和我们一样的穷人。联合政府内部也是成分复杂，斗争重重，军队缺少武器装备，指挥不畅。有着种种官僚主义，工作无能。党内的清洗斗争连在国际纵队里也难逃一劫。内部还有第五纵队活动。奥威尔当年志愿参加西班牙内战，身负重伤后回国，还有他的同志因为政见不同要追杀他。

  尽管这样，为了所拥护的一切，为了这种感情以及这种必要性，你还是参加战斗，为你接受的教育中所提到的新世界而战斗。然而，有谁能像青年牧师和军人始终保持着忠诚？是我们蜕变了，还是世界并不是我们原先想象的那样？根本没有完美的事业，以前没有，今后也不会有。

  我们意识到这一点，但我们并不能心灰意冷，就此投降，还是要接着进攻，继续杀人。因为不这样干战争就要失败。那些行不通的混蛋命令明明会夺去你的命，你也只能去豁出命来坚决执行。是啊，谁也没权夺取别人的生命，可不这样我们自己就要遭到更大的不幸。谁也不想和爱人分别，白白送死，可不这样最终的危险就不会过去。这确实是陈词滥调，但这也是真话。世界上还有什么事情是比战争更坏的呢？