首页 > 图书中心 >图书详情
CISA信息系统审计师认证All-in-One(第4版·2019大纲)
作者:[美] 彼得·H.格雷戈里(Peter H. Gregory)著 姚凯 齐力群 栾浩 译
定价:128元
印次:1-1
ISBN:9787302597292
出版日期:2022.05.01
印刷日期:2022.04.26
涵盖所有考点: ? IT治理和管理 ? 审计流程 ? IT生命周期管理 ? IT服务管理和业务持续 ? 信息资产保护 配书网站包含: ??300道模拟试题 ??一个测试引擎 ??既有标准长度的模拟考卷,也允许按主题定制题目
more >译 者 序 近年来,随着云计算、物联网、大数据、移动互联网、5G等技术的蓬勃发展,基于数字化经济新范式的信息系统建设和运营体系也发生了翻天覆地的变化。信息系统的基础性、全局性和全员性作用日益增强;企业内外网络的边界日益模糊,研发环境和生产环境的联系日趋紧密,信息内容即时交互和分享,这些趋势带来的风险都不可避免地从各个方面影响企业的正常经营,乃至影响国家安全。 目前国内外信息安全形势日趋严峻,在经济利益、同业竞争等因素的驱动下,各类组织和人员时刻都在通过线上线下的各种途径获取所需的信息。在此场景下,如何识别脚本小子的练手、如何阻止有组织犯罪集团获取经济信息、如何防范间谍渗透获取情报,是每个企业都需要关注的重中之重。信息安全领域是一个无法预判对手、难以预测发生时间、看不见枪林弹雨的战场。欧盟的《通用数据保护条例》,以及我国的《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》等法律法规都对关键基础设施运营者或组织信息安全保护提出了明确要求,指导各级政府机关和企事业单位在复杂环境中应对风险。 信息安全作为信息化深入推进的重要保障,已成为国家安全战略的重要组成部分。信息安全工作也呈现出长期性、艰巨性、复杂性的特点。因此,作为信息安全重要防线之一的“审计(Audit)”职能扮演着重要角色。信息系统审计工作采用系统化方法评估和提高风险管理、控制、治理流程的有效性,以实现相应目标。信息系统审计通过独立、专业和客观的判断,充分发挥对业务系统安全合规保驾护航的作用。 有鉴于此,清华大学出版社引进出版了《CISA信息系统审计师认证All-in-One(第4版·2019大纲)》一书,希望通过本书,让广大信息系统审计从业人员对信息技术风险治理、信息系统和信息安全生命周期管理,以及信息系统审计的标准、流程和实务有全面和深入的认识,提升审计能力。本书作者Peter H. Gregory是一位在信息安全和风险管理方面拥有30年经验的技术专家,一直深度参与IT控制和内部审计。本书重点讲述IT治理和管理、审计流程、IT生命周期管理、IT服务管理和业务持续、信息资产保护等主题,将CISA考试所需的知识及其实际应用结合在一起,形成一本易于阅读、学习和参考的指南。本书每一章中的注释和技巧都提供了在现实环境中“如何开展审计实务”的真实案例,也包括不在考试范围,却对信息系统审计师很重要的概念(如IT风险框架和系统研发生命周期)。本书还非常重视IS审计师在IT控制之外的作用。总之,本书是一本不可多得的信息系统审计类参考资料,既可帮助对CISA认证有兴趣的考生复习备考,也可作为从事信息系统审计和信息安全咨询工作的人员的案头必备参考书。 本书的翻译历时一年之久。翻译中译者力求忠于原著,尽可能传达作者的原意。有近十名译者参与本书的翻译和校对工作。在此感谢他们的辛勤付出。同时,感谢参与本书校对的信息系统审计和网络安全专家,他们保证了本书稿件内容表达的一致性和文字的流畅。同时要感谢栾浩、姚凯和齐力群先生对组稿、校对和统稿等工作所投入的大量时间和精力,保证了全书在技术上还原信息系统审计工作实务,以及内容表达的准确、一致和连贯。 同时,还要感谢本书的审校单位“永拓华安网络空间技术服务(北京)有限公司”(简称“永拓华安”)。永拓华安作为北京永拓工程咨询股份有限公司(股票代码:832207)的全资子公司,以成就更高社会价值为目标,坚持党的领导,坚持“客观、公正、独立、保密”的执业原则,发扬“永远开拓”的企业精神,依靠严谨的专业团队、完整有效的执业规程、全方位的网络安全保障体系、良好的沟通能力,为国家机关、大型国企、银行保险企业、上市企业、大型民营企业等客户提供信息系统审计、信息安全咨询等以实现管理目标和信息资产价值交付为核心的全方位、定制化专业服务。2018年,永拓华安成为中国信息安全测评中心第一批授予《信息安全服务(信息系统审计类)资质证书》的机构。在本书的译校过程中,永拓华安的信息系统审计专家结合CISA认证考试特点,投入了大量技术人员和时间支撑译校工作,保证了本书的质量。 最后,再次感谢清华大学出版社和王军等编辑的严格把关,悉心指导,正是有了他们的辛勤努力和付出,才有了本书中文译稿的出版发行。 信息系统审计类书籍涉及多个纵向专业领域,内容涉猎广泛,术语体系复杂。译者能力有限,在翻译中难免有不妥之处,恳请广大读者朋友不吝指正。 译 者 介 绍 栾浩,获得美国天普大学IT审计与网络安全专业理学硕士学位,持有CISSP、CISA、CISP-A、TOGAF9、ISO27001LA和BS25999LA等认证。负责金融科技研发、数据安全、云计算安全和信息科技审计和风控等工作。担任(ISC)2上海分会理事。栾浩先生担任本书翻译工作的总技术负责人,并承担第3章的翻译工作,以及全书的校对和定稿工作。 姚凯,获得中欧国际工商学院工商管理硕士学位,持有CISA、CISSP、CCSP和CEH等认证。负责IT战略规划、政策程序制定、IT架构设计及应用部署、系统取证和应急响应、数据安全、灾难恢复演练及复盘等工作。姚凯先生承担本书前言和第1~2章的翻译、5~6章的技术修订工作以及全书的校对、定稿工作。 齐力群,获得北京联合大学机械工程学院机械设计与制造专业工学学士学位,持有CISA、CIA和CISP-A等认证。现任永拓华安网络空间技术服务(北京)有限公司总经理,负责信息系统审计、信息安全咨询服务等业务的推广、实施等工作。齐力群先生承担第4章和附录A的翻译工作以及全书校对、统稿工作。 王向宇,获得安徽科技学院网络工程专业工学学士学位,持有CISP、CISP-A等认证。负责数据安全运营、安全工具研发、信息系统审计和软件开发安全等工作。王向宇先生承担本书第1~2章的技术修订、全书校对和统稿工作。 吕丽,获得吉林大学文秘专业文学学士学位,持有CISSP、CISA、CISM和CISP-PTE等认证。现任中银金融商务有限公司信息安全经理,负责信息科技风险管理、网络安全技术评估、信息安全体系制度管理、业务持续及灾难恢复体系管理、安全合规与审计等工作。吕丽女士承担本书第3~4章的技术修订、全书术语定稿和全书校对工作,并担任本书项目经理,统筹全书各项事务。 汤国洪,获得电子科技大学电子材料与元器件专业工学学士学位,持有CISSP、CISA等认证。负责基础架构安全和网络安全等工作。汤国洪先生承担第5章的翻译工作,并为本书撰写了译者序。 王铭,获得北京航空航天大学软件工程硕士学位,持有CISP-A、中级审计师等认证。现任陕西省审计计算机信息中心副主任,负责本省金审工程项目相关私有云平台和信息安全系统的规划和组织建设等工作。王铭先生担任本书信息系统审计工作实务专家,并承担部分章节的校对工作。 朱良,获得华北电力大学计算机技术工学硕士学位。现任职于中国人民银行长春中心支行科技处,负责指导辖内金融机构信息化和安全建设等相关工作。朱良先生担任本书信息系统建设工作实务专家,承担本书部分章节的校对工作。 马春燕,挪威商学院工商管理硕士,持有CISSP和CCSP等认证。负责网络安全管理战略、安全架构、云安全、业务安全和应急响应等工作。马春燕女士担任本书第6章和附录B的翻译工作。 张李安,获得北京信息工程学院信息管理与信息系统专业管理学学士学位,持有CISSP等认证。现任某国有商业银行高级信息安全管理岗职务,负责信息安全管理、数据安全、运营安全、安全检查等工作。张李安女士承担本书部分章节的校对工作。 徐坦,获得河北科技大学理工学院网络工程专业工学学士学位,持有CISP等认证。现任安全渗透测试工程师职务,负责数据安全渗透测试、安全工具研发和企业安全攻防等工作。徐坦先生承担本书部分章节的校对工作。 李浩轩,获得河北科技大学理工学院网络工程专业工学学士学位,持有CISP等认证。现任安全渗透测试工程师职务,负责安全工具研发、应用安全检测、异常流量分析、攻击事件研判和网络攻击溯源等工作。李浩轩先生承担本书部分章节的校对工作。 赵一龙,获得北京科技大学计算机科学与技术专业工学学士学位,持有CISSP、CISP和PMP等认证。负责安全咨询、解决方案和安全建设等工作。赵一龙先生承担本书部分章节的校对工作。 周可政,获得上海交通大学电子与通信工程专业工学硕士学位,持有CISSP和CISA等认证。现任银联数据服务有限公司资深安全工程师职务,负责公司互联网应用安全、SIEM平台、主机安全和企业安全建设等工作。周可政先生承担本书部分章节的校对工作。 牛承伟,获得中南大学工商管理硕士学位,持有CISP等认证。现任广州越秀集团有限公司高级主管,负责基础设施安全、数据安全和资产安全等工作。牛承伟先生承担本书部分章节的校对工作。 朱思奇,获得上海交通大学通信与信息系统专业工学硕士学位,持有CISSP和CISA等认证。现任中国银行股份有限公司江苏省分行信息科技部门的科技经理职务,负责公司信息科技风险管理、信息科技审计等工作。朱思奇先生承担本书部分章节的校对工作。 刘北水,获得西安电子科技大学通信与信息系统专业工学硕士学位,持有CISSP、CISP和PMP等认证。现任工业和信息化部电子第五研究所项目主管,负责电子政务领域信息安全体系规划、商用密码应用安全性评估等工作。刘北水先生承担本书部分章节的校对工作。 赵晨明,获得西安交通大学工商管理硕士学位,持有CISA和CISSP等认证。负责数据安全和隐私保护等工作。赵晨明先生承担本书部分章节的校对工作。 曾大宁,获得南京航空航天大学飞行器环境控制与安全救生专业工学学士学位。持有PMP和RHCE等认证。曾大宁先生承担本书部分章节的校对工作。 朱建滨,获得香港大学工商管理硕士学位,持有CISSP等认证。负责信息安全治理、风险和合规、数据安全和隐私保护等工作。朱建滨先生承担本书部分章节的校对工作。 许琛超,获得上海交通大学计算机科学与技术工学学士学位。持有CISSP、CISP和CISA等认证。许琛超先生承担本书部分章节的校对工作。 邢海韬,获得北京工业大学软件工程硕士学位。持有CDPSE等认证。邢海韬先生承担本书部分章节的校对工作。 邓诗智,获得解放军信息工程大学应用数学专业理学硕士学位。邓诗智先生承担本书部分章节的校对工作。 贺凯,获得浙江大学宁波理工学院通信工程专业工学学士学位。持有CISSP和CISA等认证。贺凯先生承担本书部分章节的校对工作。 张锋,获得郑州大学计算机科学与技术专业工学硕士学位,持有CISA等认证。张锋先生承担本书部分章节的校对工作。 本书涉猎广泛,内容涉及IT审计、IT治理、IT生命周期管理、IT服务管理、信息资产保护等方面的认证考试相关难点,特别是细分领域的安全术语和概念,中文译本极易混淆,往往令应试者考场失利。在本次翻译工作中,针对此类情况,举行了专项学术讨论,(ISC)2上海分会的诸位安全专家给予了高效专业的解答,这里衷心感谢(ISC)2上海分会理事会和(ISC)2上海分会会员的参与、支持和帮助。 作 者 简 介 Peter H. Gregory持有CISM、CISA、CRISC、CISSP、CIPM、CCISO、CCSK和PCI-QSA等认证证书,是一位拥有近30年从业经验的安全技术专家,担任Optiv Security(美国最大的安全系统集成商)的执行董事。2002年至今,Peter致力于制订和管理组织的信息安全管理计划。从1990年以来,Peter一直领导安全IT环境的研发和测试工作。此外,Peter曾担任软件工程师、架构师、系统工程师、网络工程师和安全工程师等职务。Peter在职业生涯中撰写了大量文章、白皮书、用户手册、流程和程序,并多次组织讲座、培训、研讨会和编撰大学课程。 Peter撰写了40多本信息安全与信息技术的专业书籍,包括Solaris Security、CISSP Guide to Security Essentials、CISM Certified Information Security Manager All-In-One Exam Guide和CISA Certified Information Systems Auditor All-In-One Exam Guide等。Peter曾在许多行业会议上发表演讲,包括RSA、Interop、ISACA CACS、(ISC)2大会、SecureWorld博览会、西海岸安全论坛、OptivCon、维多利亚(BC)隐私和安全会议、IP3、信息管理协会、Interface、Tech Junction、SOURCE、华盛顿技术行业协会和InfraGard等。Peter担任华盛顿大学信息安全和风险管理认证计划顾问委员会成员、华盛顿大学网络安全认证计划的首席讲师和顾问委员会成员、南佛罗里达大学网络安全认证顾问委员会成员和讲师、InfraGard华盛顿州分会前理事会成员,以及太平洋CISO论坛的创始成员。Peter是FBI公民学院2008年毕业生、FBI公民学院校友会成员。 技术编辑简介 Bobby E. Rogers是一名担任美国国防部承包商的信息安全工程师,帮助相关机构保护、认证和认可信息系统。Bobby负责信息系统安全工程、风险管理以及认证和认可等工作。Bobby在美国空军服役21年后,以网络安全工程师和讲师的身份退休,拥有全球范围的网络安全人脉圈。Bobby获得了信息鉴证(Information Assurance,IA)专业硕士学位和马里兰州Capitol Technology University的网络安全专业博士学位。Bobby持有CISSP-ISSEP、CRISC、CEH、MCSE(Security)、CompTIA A +、CompTIA Network+及CompTIA Security+等认证证书。Bobby是CRISC Certified in Risk and Information Systems Control All-In-One Exam Guide和CompTIA Mobility+ All-In-One Exam Guide的作者。Bobby还是许多网络安全书籍的技术编辑,包括经典著作CISSP All-in-One Exam Guide;该书由清华大学出版社引进并出版,中文书名为《CISSP权威指南(第8版)》。 致 谢 特别感谢Wendy Rinaldi负责管理本书修订流程并帮助团队在极短时间内出版了本书。 衷心感谢Amy Stonebraker Gray女士对本项目的监督,Claire Yee(以及后加入的Emily Walters)娴熟地推进本书的交付阶段工作,保证项目交付件的快速中转,并提供撰写稿件所需的信息。 感谢负责技术审阅的Bobby Rogers。Bobby认真且细致地阅读了全部稿件,提出了许多中肯的建议,这些建议大幅提升了本书质量。 非常感谢撰稿人Tanya Scott。Tanya撰写了本书第1版的第1章和附录B,并修订了本书的第2版。Chris Tarnstrom 撰写了初版的附录A。在西雅图执业的CISA和咨询顾问Justin Hendrickson为第3版更新了附录A和附录B。此外,还要感谢安全和隐私专家John Clark(持有CISA、CISSP、Security+、CIPP/E、CIPT、CIPM、FIP及PMP等认证证书)对附录B的修订。这些章节有助于考生更好地理解CISA认证过程并帮助信息系统审计师提高工作效率。此外,Tanya、Chris、Justin和John的专业审计经验和洞察力也极大地提升了本书价值,即便考生获得CISA认证证书后,本书依然存在价值。本书的愿景是向从事审计实务的信息系统审计师传递价值,上述所有专家的贡献使本书的这一愿景得以实现。 非常感谢Lisa Theobald出色的编辑工作,她的工作进一步提高了本书的可读性。Lisa发现了若干错误,并为本书提出了宝贵建议。非常感谢Cenveo Publisher Services设计的页面及布局。就像奥林匹克运动员一样,他们使困难的工作变得容易。 特别感谢 Radhika Jolly和Janet Walden 监督本书的撰写和出版流程并纠正了诸多错误。 非常感谢我的经纪人Carole Jelen在此项目以及其他许多项目中所给予的巨大帮助。衷心感谢我的业务经理、公关人员和研究助理Rebecca Steele的长远眼光,使我能够始终保持专注,并感谢她提供的图片。 我已经撰写了40多本图书,非常感谢妻子Rebekah的付出。在我撰写本书第4版期间,无法常态化地顾及家庭;如果没有她坚定不移的大力支持,本书是不可能完成的。她应得到这份赞誉。 前 言 信息系统(Information Systems,IS)的高速创新令人眼花缭乱。通常,设计缺陷(Flaw)和技术漏洞(Vulnerability,亦称脆弱性)将通过信息盗窃或泄露的各种形式带来各种意想不到的严重后果。组织需要根据各项法律、法规和标准,如Sarbanes-Oxley、GLBA、HIPAA、PCI-DSS、NYDFS、PIPEDA、GDPR、CCPA以及大量要求公开个人信息安全漏洞的美国州立法律开展整改行动。最新修订的法律法规和监管要求推动或鼓励组织开展内部审计活动,或通过外部审计评估合规性,以避免组织受到处罚、制裁或出现在令人尴尬的新闻头条上。 新出台的法律监管要求也加大了各组织对于IT安全专家和信息系统审计师的需求,这些备受关注的安全专家们在制定合规计划(Compliance Program)和降低风险方面发挥着决定性的作用。 始于1978年的注册信息系统审计师(Certified Information Systems Auditor,CISA)认证,无疑是信息系统审计行业的领先认证体系。如今,各行各业对CISA认证专家的需求增长非常快,以至于ISACA在2005年将每年一次的认证考试增加为每年两次,然后是每年三次,现在则是全年循环考试。2005年,CISA认证被美国国家标准协会(ANSI)认定为国际标准ISO/IEC 17024认证。CISA认证还是美国国防部正式批准的信息鉴证技术类别中的少数认证之一(DoD 8570.01-M)。2009年和2017年,SC Magazine将CISA评为最佳专业认证计划。2016年,持有CISA认证的专家数量超过129 000名。 信息系统审计并不是一时之“泡沫”或泛滥成灾。与之相反,信息系统审计师必须及时了解新技术、新系统、新威胁,了解新数据安全和隐私法律、法规标准监管合规要求。CISA认证是从事控制、鉴证和安全等工作领域专家的黄金标准认证。 本书目的 本书是一本面向安全或IT审计专家的综合学习指南,考生需要认真参考个人或团体主导的CISA认证考试学习。本书的绝大部分内容包含CISA考生必须掌握的技术信息。 本书也是具有抱负和实务经验的信息系统审计师的参考用书。通过CISA认证考试所需的内容与执业审计师在日常工作中需要熟悉的内容相吻合。本书是理想的CISA考试学习指南,也是已获得CISA认证人员的日常参考书。 对于需要接受外部组织审计和监管机构检查的安全和业务专家而言,本书也具有不可估量的价值。行业专家需要对信息系统审计师所使用的审计实务和方法具有相当深入的了解。这不仅有助于内部审计体系的运转,也有助于理解外部审计师及其工作方式。本书的知识和见解将促进更好的审计产出。 对于那些试图了解信息系统审计行业的人士而言,本书是很好的指南。本书各章解释了所有相关的技术和审计程序,附录解释了流程框架和专业审计实务。这些内容对于可能想了解信息系统审计专业详情的人士非常有用。 本书结构 本书在逻辑上分为以下四个主要部分: ● 简介 本书的前言和第1章概述了CISA认证和信息系统审计行业特点。 ● CISA学习资料 第2~6章包含积极备考CISA认证的考生必须掌握的CISA考试内容,也是有抱负的信息系统审计师的快速查询手册。 ● 信息系统审计师参考信息 附录A引导CISA考生完成从审计规划到最终报告交付的专业化信息系统审计全流程。附录B讨论了控制措施框架,这将帮助信息系统审计师开展审计工作,帮助他们了解控制措施框架功能,并为需要实施控制措施框架的组织提供指导。注意,附录A~C都放在本书配套网站中。 ● 模拟考试 附录C说明了本书随附的CISA模拟考试和TotalTester在线测试引擎。 第4版注意事项 ISACA历史上,每五年就会重新调整一次认证内容。2018年末,ISACA宣布将更新CISA工作实务(考试的基础和获得认证的要求),自2019年6月的考试起生效。为了使本书保持最新状态,Peter H. Gregory联系了McGraw-Hill的Wendy Rinaldi,以便尽快制定本书第4版的出版方案。本书是大家共同努力的成果。 新的CISA工作实务信息已于2018年12月下旬发布。彼时,本书工作团队开始着手更新第3版手稿。结果是本书通过更新,反映了自第2版出版以来CISA工作实务的所有变化以及审计实务、信息安全和信息技术的变化。 CISA工作实务的变化 下表对比了2016版和2019版CISA工作实务差异及其与各章的关系。 2016 CISA工作实务 2019 CISA工作实务 本书章节 1. 信息系统审计流程 21% 1. 信息系统审计流程 21% 第3章:审计流程 2. IT治理和管理 16% 2. IT治理和管理 17% 第2章:IT治理和管理 (续表) 2016 CISA工作实务 2019 CISA工作实务 本书章节 3. 信息系统的购置、研发和实施 18% 3. 信息系统的购置、研发和实施 12% 第4章:IT生命周期管理 4. 信息系统的运营、维护和服务管理 20% 4. 信息系统运营和业务韧性 23% 第5章:IT服务管理和业务持续 5. 信息资产保护 25% 5. 信息资产保护 27% 第6章:信息资产保护 ISACA更新了2019年CISA工作实务中实务领域的描述方式。以前,每个工作实务领域都有一组知识陈述(Knowledge Statement)和任务陈述(Task Statement)。2019版的每个工作实务领域都包含两个主要类别,每个类别包含4~11个子主题域。接下来是39个CISA整体支持任务,这39个任务与5个知识域没有明确关联。 正如每项新工作实务和本CISA考试指南修订版的典型做法一样,本书也做了差距分析,以掌握2019年工作实务中增加和删除的主题。尽管结构上的变化让这种操作更加乏味,但总的来说,这些变化在内容上值得注意: ● 新增审计项目管理(Audit Project Management)主题。 ● 新增审计数据分析(Audit Data Analytics)主题。 ● 新增隐私原则主题。 ● 业务持续规划和灾难恢复规划从知识域2(IT治理和管理)移入知识域4(信息系统运营和业务韧性),但其他方面没有变化。 ● 企业架构从知识域3移至知识域2。 ● 新增物联网(Internet of Things,IoT)主题。 除了CISA工作实务的变化,还有一些主题是从第3版开始更新或新增的,变化包括: ● 分段和微分段技术。 ● 虚拟化、容器化和虚拟键盘技术。 ● 5G技术。 ● 在系统研发生命周期中更注重系统的获取,反映了从定制软件研发向获取面向核心业务应用的可伸缩软件和SaaS的迁移。 ● 数字化转型(DX)。 ● 组织架构的零信任原则。 ● NIST网络安全框架(CSF)技术。 ● GDPR和CCPA等新法律法规和监管要求。 ● 用于管理基础架构和业务流程变更的敏捷方法。 ● 若干新研发方法论。 ● 云责任模型。 ● 口令(Password)管理以及是否设置口令定期失效。 ● 勒索软件(Ransomware)和破坏性软件的威胁。 ● 远程访问和VPN的含义发生变化。 ● 添加了若干新技术,如BLE和WPA3。 ● 删除了若干旧技术,如X.25。 ● 词汇表添加了64项新条目和交叉引用(并删除了一些过期条目)。 截至本书完成时,日新月异的新型研发、技术、技巧和安全漏洞提供了更多见闻,并有望进一步改进。就像土卫二表面一样,IT审计行业也在不断变化。技术回收站充斥着过时的供应商、产品、协议、技术和方法论。各个组织曾经对这些产品和技术等抱有很大希望,但后来被更先进的解决方案取代。这突显了信息系统审计师(以及IT、安全和风险专家)需要通过学习新事件、新技术和新技巧来跟上最新潮流。 配套资源下载 读者可扫描封底二维码,或扫描以下二维码,下载本书附录A“开展专业化审计”、附录B“主流方法论、框架和准则”以及附录C“关于在线学习资源”(中文)以及术语表(英文)。
more >