CISA认证 (国际注册信息系统审计专家认证)

课程介绍

        CISA是专业管理咨询顾问真正的从业资质,表明其在IT审计、控制和安全方面取得了国际认可的专业身份。目前通过CISA认证的全球约5万余人,中国不足1000人。CISA常见于软件供应商、大型国有企业和上市公司,银行、证券公司等大中型机构。在信息系统查核证据、资料管控、控制方法及审计技术等方面,都要求IT经理必须掌握和发展新的安全控管技术。

知识概要

培训对象

  • CIO/高级IT经理/企业信息安全主管CSO/信息中心主任
  • 信息系统审计专业人士、IT审计人员
  • 负责信息系统安全管理和规划的经理及技术人员
  • 信息安全业内人士, IT或安全顾问人员

培训收益

  • 帮助您完善IT审计所必备的知识技能
  • 帮助企业培养一批具有专业资质的IT审计师,控制与安全人员
  • 为获得资质认证提高复习效率

认证过程

       培训后参加4小时的考试,完成200道 单选题,满分800分超过450分获取证书

课程大纲

Day 1

Chapter 0 信息系统审计基础

了解信息系统审计的历史沿革、基本概念

1. 传统审计与信息系统审计的比较

2. 信息系统审计标准与指南

3. 信息系统审计的概念

4. 信息系统审计内容

5. 信息系统审计的目的

6. 信息系统审计的标准

7. 信息安全案例分析

Chapter 1 信息系统审计流程  10%

1. ISACA 发布的信息系统审计标准、准则、程序和职业道德规范 

2. IS 审计实务和技术 

3. 收集信息和保存证据的技术(如观察、调查问卷、谈话、计算机辅助审计技术、电子介质) 

4. 证据的生命周期(如证据的收集、保护和证据之间的相关性) 

5. 与信息系统相关的控制目标和控制(如CobiT 模型) 

6. 审计过程中的风险评估 

7. 审计计划和管理技术 

8. 报告和沟通技术(如推进、商谈、解决冲突) 

9. 控制自我评估(CSA 

10. 不间断审计技术(即:连续审计技术

Day 2

Chapter 2 IT治理  15%

1. 董事会和执行经理层的监督和保障措施

2. 信息系统战略

3. 政策与程序

4. 风险管理

5. 信息系统管理实务

6. 信息系统组织结构与职责

7. IT治理结构和实施的审计

8. 云计算,云治理

9. 计算机开发

10. 流行性计划

Chapter 6  业务连续性和灾难恢复 14%

1. 业务连续性和灾难恢复计划编制(信息系统业务连续性计划/灾难恢复计划、灾难和其它中断事件、业务影响分析(BIA)、RPORTO、恢复战略、恢复的候选方法、开发BCPDRP、组织结构和职责分配、计划开发的其他问题、BCP要素、计划测试、离站库储存)

2. 审计灾难恢复和业务连续性(审核BCP、评估以前的测试结果、评估离站存储、访谈关键人员、评估离站库设施的安全、审核后备处理合同、审核保险覆盖)

3. 业务连续性管理最佳实践

4. 备份设备和介质的类型

5. 备份计划方式

Day 3

Chapter 3系统和架构生命周期管理  16%

1. 介绍

2. 实现业务价值Business Realization

3. 项目管理基础

4. 项目管理实务

5. 系统开发

6. 可选择的系统开发途径

7. 可选择的软件项目组织形式

8. 可选择的开发方法

9. 基础架构和采购

10. 信息系统维护实务

11. 系统开发工具

12. 流程改进

13. 应用控制

14. 审计应用控制

15. 审计系统开发、采购和维护

典型业务应用系统

16. 项目控制

17. 商业智能

Chapter 4 IT服务的交付与支持  14%

1. 介绍

2. 信息系统运行(IT服务管理、基础设施运行、资源使用的监控、Support/helpdesk、变更管理流程、程序库管理系统、程序库控制软件、版本管理、质量保证、信息安全管理)

3. 按需计算

Day 4

Chapter 4 IT服务的交付与支持  14%(续)

4. 信息系统硬件(计算机硬件组成与结构、硬件维护程序、硬件监测程序、能力管理)

5. 信息系统架构与软件(操作系统、访问控制软件、数据通信软件、数据管理、数据库管理系统、磁带与磁盘管理系统、系统工具软件、软件许可问题)

6. 信息系统网络基础设施(企业网络结构、网络类型、网络服务、网络协议与标准、OSI结构、OSI模型在网络架构的应用)

7. 对基础架构和运行的审计(硬件审核、操作系统审核、数据库审核、网络架构和实施审核、网络运行控制审核、信息系统运行审核、系统自动运行管理、审核问题管理报告、审核硬件可用性/利用性报告、审核作业排程)

Chapter 5 信息资产保护  31%

1. 目标和知识点介绍

2. 信息安全管理的重要性(信息安全管理的关键因素、信息安全管理的角色和责任、信息资产清点和分类、系统访问许可、计算机取证、自助与强制访问控制、隐私保护事项以及IS审计师的角色、信息安全管理关键成功因素、信息安全与第三方、人力资源与第三方安全措施、计算机犯罪与风险、安全应急处理和响应等)

3. 逻辑访问(逻辑访问风险、社交工程、熟悉组织的IT环境、逻辑访问路径、逻辑访问控制软件、身份识别与验证、授权事项、点对点计算、即时通讯等)

4. 网络基础架构安全(局域网安全、C/S架构安全、无线安全威胁和风险、互联网的威胁和安全、加密、病毒、VOIPPBX、数据泄露和基于Web的技术)

Day 5

Chapter 5 信息资产保护  31%(续)

5. 对信息安全管理框架进行审计(审计信息安全管理框架、审计逻辑访问、安全测试技术、调查技术)

6. 对网络基础架构安全的审计(审计远程访问)

7. 环境风险与控制(环境问题与风险、对环境风险的控制、对环境控制审计)

8. 物理访问风险与控制(物理访问问题与风险、物理访问控制、审计物理访问控制)

9. 移动计算

模拟测试和试题精讲