第1章  成为注册信息系统审计师(CISA) 1

1.1  CISA认证的收益 2

1.2  CISA认证流程 3

1.3  ISACA职业道德准则 7

1.4  ISACA 信息系统(IS)标准 7

1.5  CISA认证考试 9

1.5.1  考试准备 10

1.5.2  考试之前 10

1.5.3  考试当天 11

1.5.4  考试之后 11

1.6  申请CISA认证 12

1.7  维持CISA认证 12

1.7.1  继续教育 12

1.7.2  CPE维持费用 14

1.8  吊销证书 14

1.9  CISA考试准备指导 15

1.10  小结 15

第2章  IT治理和管理 17

2.1  高管和董事会的IT治理实务 18

2.1.1  IT治理 18

2.1.2  IT治理框架 18

2.1.3  IT战略委员会 19

2.1.4  平衡计分卡 19

2.1.5  信息安全治理 20

2.2  IT战略规划 23

2.3  策略、流程、程序和标准 24

2.3.1  信息安全策略 25

2.3.2  隐私策略 26

2.3.3  数据分类策略 26

2.3.4  系统分类策略 27

2.3.5  场所分类策略 27

2.3.6  访问控制策略 27

2.3.7  移动设备策略 27

2.3.8  社交媒体策略 28

2.3.9  其他策略 28

2.3.10  流程和程序 28

2.3.11  标准 29

2.3.12  企业架构 30

2.3.13  法律、法规和标准的适用性 32

2.4  风险管理 33

2.4.1  风险管理计划 33

2.4.2  风险管理流程 34

2.4.3  风险处理 43

2.5  IT管理实务 45

2.5.1  人员管理 45

2.5.2  寻源或寻找供应商 50

2.5.3  变更管理 56

2.5.4  财务管理 57

2.5.5  质量管理 57

2.5.6  组合管理 59

2.5.7  控制措施管理 59

2.5.8  安全管理 60

2.5.9  性能和容量管理 61

2.6  组织结构与职责 62

2.6.1  角色与职责 63

2.6.2  职责分离 68

2.7  IT治理审计 69

2.7.1  文档和记录审计 70

2.7.2  合同审计 71

2.7.3  外包审计 72

2.8  小结 73

2.9  本章要点 74

2.10  习题 74

2.11  答案 76

第3章  审计流程 79

3.1  审计管理 79

3.1.1  审计章程 80

3.1.2  审计计划 80

3.1.3  战略性审计规划 80

3.1.4  审计和技术 82

3.1.5  审计相关的法律法规和监管合规要求 83

3.2  ISACA审计标准 88

3.2.1  ISACA职业道德规范 88

3.2.2  ISACA审计和鉴证标准 88

3.2.3  ISACA审计和鉴证准则 91

3.3  风险分析 95

3.3.1  审计师风险分析和企业风险管理计划的侧重点 96

3.3.2  评价业务流程 97

3.3.3  识别业务风险 98

3.3.4  风险缓解 99

3.3.5  安全对策评估 100

3.3.6  持续监测 100

3.4  控制措施 100

3.4.1  控制措施分类 100

3.4.2  内部控制目标 103

3.4.3  信息系统控制目标 104

3.4.4  通用计算控制措施 104

3.4.5  信息系统控制措施 105

3.5  开展审计实务 105

3.5.1  审计目标 106

3.5.2  审计类型 107

3.5.3  合规性测试和实质性测试 108

3.5.4  审计方法论和项目管理 109

3.5.5  审计证据 111

3.5.6  依赖其他审计师的工作成果 116

3.5.7  审计数据分析 117

3.5.8  报告审计结果 120

3.5.9  其他审计主题 122

3.6  CSA 124

3.6.1  CSA的优缺点 125

3.6.2  CSA生命周期 125

3.6.3  CSA目标 126

3.6.4  审计师和CSA 126

3.7  实施审计建议 127

3.8  小结 127

3.9  本章要点 128

3.10  习题 129

3.11  答案 131

第4章  IT生命周期管理 133

4.1  收益实现 134

4.1.1  项目组合和项目集管理 134

4.1.2  制定业务案例 136

4.1.3  衡量业务收益 137

4.2  项目管理 138

4.2.1  项目组织 138

4.2.2  制定项目目标 139

4.2.3  管理项目 141

4.2.4  项目角色和责任 142

4.2.5  项目规划 143

4.2.6  项目管理方法论 154

4.3  系统研发生命周期(SDLC) 159

4.3.1  SDLC阶段 160

4.3.2  软件研发风险 180

4.3.3  其他软件研发方法和技术 181

4.3.4  系统研发工具 185

4.3.5  采购基于云计算的基础架构和应用程序 186

4.4  研发和实施基础架构 188

4.4.1  审查现有基础架构 189

4.4.2  需求 189

4.4.3  设计 190

4.4.4  采购 190

4.4.5  测试 191

4.4.6  实施 191

4.4.7  维护 191

4.5  信息系统维护 192

4.5.1  变更管理 192

4.5.2  配置管理 193

4.6  业务流程 194

4.6.1  业务流程生命周期与业务流程再造 194

4.6.2  能力成熟度模型 197

4.7  第三方管理 199

4.7.1  风险因素 199

4.7.2  入围和尽职调查 199

4.7.3  分类 200

4.7.4  评估 200

4.7.5  补救 200

4.7.6  风险报告 201

4.8  应用程序控制措施 201

4.8.1  输入控制措施 201

4.8.2  处理控制措施 203

4.8.3  输出控制措施 205

4.9  系统研发生命周期审计 206

4.9.1  项目集与项目管理审计 206

4.9.2  可行性研究审计 207

4.9.3  项目需求审计 207

4.9.4  项目设计审计 207

4.9.5  软件购置审计 207

4.9.6  项目研发审计 208

4.9.7  项目测试审计 208

4.9.8  项目实施审计 208

4.9.9  项目实施后审计 209

4.9.10  变更管理审计 209

4.9.11  配置管理审计 209

4.10  业务控制措施审计 209

4.11  应用程序控制措施审计 210

4.11.1  交易流向 210

4.11.2  观察 210

4.11.3  数据完整性测试 211

4.11.4  在线处理系统测试 211

4.11.5  应用程序审计 211

4.11.6  持续审计 212

4.12  第三方风险管理审计 213

4.13  小结 213

4.14  本章要点 215

4.15  习题 216

4.16  答案 218

第5章  IT服务管理和业务持续 221

5.1  信息系统运营 221

5.1.1  运营的管理与控制 222

5.1.2  IT服务管理 222

5.1.3  IT运营和异常处置 230

5.1.4  最终用户计算 231

5.1.5  软件程序代码库管理 232

5.1.6  质量保证 233

5.1.7  安全管理 233

5.1.8  介质控制措施 234

5.1.9  数据管理 234

5.2  信息系统硬件 235

5.2.1  计算机使用 235

5.2.2  计算机硬件架构 238

5.2.3  硬件维护 246

5.2.4  硬件持续监测 246

5.3  信息系统架构与软件 247

5.3.1  计算机操作系统 247

5.3.2  数据通信软件 248

5.3.3  文件系统 248

5.3.4  数据库管理系统 249

5.3.5  介质管理系统 252

5.3.6  实用软件 253

5.3.7  软件许可证 254

5.3.8  数字版权管理 255

5.4  网络基础架构 255

5.4.1  企业架构 256

5.4.2  网络架构 256

5.4.3  基于网络的服务 258

5.4.4  网络模型 260

5.4.5  网络技术 269

5.5  业务韧性 299

5.5.1  业务持续规划 299

5.5.2  灾难恢复规划 329

5.6  审计IT基础架构和运营 346

5.6.1  审计信息系统硬件 346

5.6.2  审计操作系统 346

5.6.3  审计文件系统 347

5.6.4  审计数据库管理系统 347

5.6.5  审计网络基础架构 347

5.6.6  审计网络运行控制措施 348

5.6.7  审计IT运营 349

5.6.8  审计无人值守运营 350

5.6.9  审计问题管理操作 350

5.6.10  审计持续监测运营 350

5.6.11  审计采购 351

5.6.12  审计业务持续规划 351

5.6.13  审计灾难恢复规划 354

5.7  小结 358

5.8  本章要点 359

5.9  习题 360

5.10  答案 363

第6章  信息资产保护 365

6.1  信息安全管理 365

6.1.1  信息安全管理的主要方面 365

6.1.2  角色和职责 369

6.1.3  业务一致性 370

6.1.4  资产清单和分类 371

6.1.5  访问控制 373

6.1.6  隐私 374

6.1.7  第三方管理 375

6.1.8  人力资源安全 379

6.1.9  计算机犯罪 382

6.1.10  安全事故管理 386

6.1.11  法证调查 390

6.2  逻辑访问控制措施 391

6.2.1  访问控制概念 391

6.2.2  访问控制模型 392

6.2.3  访问控制的威胁 392

6.2.4  访问控制漏洞 393

6.2.5  接入点和进入方式 394

6.2.6  身份识别、身份验证和授权 397

6.2.7  保护存储的信息 404

6.2.8  管理用户访问 410

6.2.9  保护移动设备 414

6.3  网络安全控制措施 416

6.3.1  网络安全 416

6.3.2  物联网安全 419

6.3.3  保护客户端/服务器应用程序 420

6.3.4  保护无线网络 421

6.3.5  保护互联网通信 424

6.3.6  加密 429

6.3.7  IP语音 439

6.3.8  专用分组交换机 440

6.3.9  恶意软件 441

6.3.10  信息泄露 446

6.4  环境控制措施 448

6.4.1  环境威胁和脆弱性 448

6.4.2  环境控制措施与对策 449

6.5  物理安全控制措施 453

6.5.1  物理访问威胁和脆弱性 454

6.5.2  物理访问控制措施和对策 455

6.6  审计资产保护 456

6.6.1  审计安全管理 456

6.6.2  审计逻辑访问控制措施 457

6.6.3  审计网络安全控制措施 462

6.6.4  审计环境控制措施 465

6.6.5  审计物理安全控制措施 466

6.7  小结 467

6.8  本章要点 468

6.9  习题 469

6.10  答案 471

附录A  开展专业化审计(可从网站下载)

附录B  主流方法论、框架和准则(可从网站下载)

附录C  关于在线学习资源(可从网站下载)