CISA认证学习指南(第4版) 注册信息系统审计师/安全技术经典译丛 pdf epub mobi txt 电子书下载 2025

简体网页||繁体网页

☆☆☆☆☆

[美] David L.Cannon，Brian T.O’Hara 著

下载链接在页面底部

facebook linkedin mastodon messenger pinterest reddit telegram twitter viber vkontakte whatsapp 复制链接

想要找书就要到静流书站

windowsfront.com

立刻按 ctrl+D收藏本页

你会得到大惊喜!!

出版社：清华大学出版社

ISBN：9787302478096

版次：1

商品编码：12225969

包装：平装

丛书名：安全技术经典译丛

开本：16开

出版时间：2017-10-01

用纸：胶版纸

页数：560

字数：809000

正文语种：中文

具体描述

产品特色

编辑推荐

《CISA认证学习指南(第4版) 注册信息系统审计师》是完整的学习指南，涵盖所有CISA考试目标，每章都包含小结、考试要点、复习题和答案。在线学习网站sybextestbanks.wiley.com，有200道练习题，300 多张Flash Card。

内容简介

CISA考试完全学习指南
能够获得CISA证书，就将成为安全领域收入*丰厚的专业人员。
《CISA认证学习指南(第4版) 注册信息系统审计师》依据新的ITAF(IT
审计框架)在上一版的基础上做了全面细致的更新，列出了术语的新定
义，新增了ISO标准方面的内容。《CISA认证学习指南(第4版) 注册信息系统审计师》是完整的学习指南，涵盖所有
CISA考试目标，每章都包含小结、考试要点、复习题和答案
100%涵盖所有考试目标：
◆ 理解策略、标准、指南和程序
◆ 规划战略以及完成业务流程再造
◆ 执行审计风险评估
◆ 使用OSI模型
◆ 管理系统开发生命周期
◆ 实施和运行系统
◆ 识别威胁类型
◆ 支持业务连续性和灾难恢复

作者简介

David L. Cannon，CISA、CCSP，是CertTest培训中心的创始人，CISA培训的领军人物。David在IT运营、安全、系统管理和企业管理方面有20多年的IT培训和咨询经验。他为美国各地提供CISA备考课程。在信息系统审计领域，他备受尊崇。经常在重要的安全和审计会议上发表演讲。David撰写的本书的前几个版本，在CISA备考指南市场上销量遥遥领先。

第1章审计师成功的秘诀 1
1.1 理解IS审计需求 2
1.1.1 高管渎职 2
1.1.2 更多法规 5
1.1.3 基本监管目标 6
1.1.4 治理就是领导 7
1.1.5 用途不同的三类数据 8
1.1.6 审计结果揭示真相 9
1.2 理解政策、标准、准则和
过程 10
1.3 理解职业道德 12
1.3.1 遵守ISACA的职业道德
规范 12
1.3.2 防止道德冲突 13
1.4 理解审计的目的 15
1.4.1 审计类型的一般分类 15
1.4.2 确定审计方法的区别 17
1.4.3 理解审计师的职责 18
1.4.4 审计与评估的对比 18
1.5 区分审计师和被审计者的
角色 19
1.6 实施审计标准 21
1.6.1 审计标准的来源 21
1.6.2 理解各种审计标准 23
1.6.3 定义最佳实务的具体法规 28
1.6.4 进行审计以证明财务健全 29
1.7 审计师是执行职位 30
1.7.1 理解审计师保密的重要性 30
1.7.2 与律师合作 31
1.7.3 与高管合作 32
1.7.4 与IT专家合作 32
1.7.5 保留审计文档 33
1.7.6 提供良好的沟通和融合 33
1.7.7 理解领导责任 34
1.7.8 规划和设定优先次序 35
1.7.9 提供标准参考术语 36
1.7.10 处理冲突和失败 37
1.7.11 确定内部审计师和外部审计师的价值 37
1.7.12 理解证据规则 37
1.7.13 利益相关者：确定要采访的对象 38
1.8 理解公司的组织结构 39
1.8.1 确定公司组织结构中的角色 39
1.8.2 确定咨询公司组织结构中的角色 41
1.9 本章小结 42
1.10 考试要点 42
1.11 复习题 43
第2章治理 49
2.1 组织控制的战略规划 53
2.1.1 IT指导委员会概述 55
2.1.2 使用平衡计分卡 59
2.1.3 BSC的IT子集 63
2.1.4 解码IT战略 63
2.1.5 指定政策 66
2.1.6 项目管理 67
2.1.7 IT战略的实施规划 76
2.1.8 使用COBIT 79
2.1.9 识别发包位置 80
2.1.10 进行高管绩效评审 84
2.1.11 理解审计师在战略中的利益 84
2.2 战术管理概述 85
2.3 规划和绩效 85
2.3.1 管理控制方法 86
2.3.2 风险管理 89
2.3.3 实施标准 91
2.3.4 人力资源 92
2.3.5 系统生命周期管理 94
2.3.6 连续性计划 94
2.3.7 保险 95
2.4 业务流程重组概述 95
2.4.1 为什么进行业务流程重组 95
2.4.2 BPR方法学 96
2.4.3 天才还是疯子？ 96
2.4.4 BPR的目标 97
2.4.5 BPR的指导原则 97
2.4.6 BPR的知识需求 98
2.4.7 BPR技术 98
2.4.8 BPR的应用步骤 99
2.4.9 IS在BPR中的角色 100
2.4.10 业务流程文档 101
2.4.11 BPR数据管理技术 101
2.4.12 将基准比较作为一个BPR
工具 102
2.4.13 使用业务影响分析 103
2.4.14 BPR项目的风险评估 104
2.4.15 BPR的实际应用 106
2.4.16 BPR的实用选择方法 108
2.4.17 BPR问题排除 109
2.4.18 理解审计师对战术管理的兴趣 109
2.5 运营管理 110
2.5.1 维持运营 110
2.5.2 跟踪实际绩效 110
2.5.3 控制变更 111
2.5.4 理解审计师对运营交付的兴趣 111
2.6 本章小结 112
2.7 考试要点 112
2.8 复习题 113
第3章审计流程 117
3.1 了解审计程序 118
3.1.1 审计程序的目标和范围 119
3.1.2 审计项目范围 120
3.1.3 审计程序责任 121
3.1.4 审计程序资源 121
3.1.5 审计程序过程 122
3.1.6 审计程序实施 123
3.1.7 审计程序记录 123
3.1.8 审计程序监控与回顾 124
3.1.9 规划专项审计 125
3.2 建立和批准审计章程 127
3.3 预规划具体审计 129
3.3.1 了解审计的多样性 130
3.3.2 识别范围上的限制 133
3.3.3 收集详细的审计需求 134
3.3.4 用系统化方法制定计划 135
3.3.5 比较传统审计评估和自评估 137
3.4 开展审计风险评估 138
3.5 确定是否具备可审计性 139
3.5.1 识别风险战略 140
3.5.2 确定审计的可行性 142
3.6 执行审计 143
3.6.1 选择审计团队 143
3.6.2 评估审计师并确定其胜任能力 143
3.6.3 审计质量控制 145
3.6.4 建立与被审核方的联系 146
3.6.5 与被审核方的初步联系 147
3.6.6 利用数据收集技术 149
3.6.7 文档审核 150
3.6.8 理解内控的层次 151
3.6.9 审查现存控制 153
3.6.10 准备审计计划 156
3.6.11 给审计团队分配工作 157
3.6.12 准备工作文档 157
3.6.13 开展现场审计 158
3.7 收集审计证据 159
3.7.1 用证据证明观点 159
3.7.2 理解证据类型 159
3.7.3 抽选审计样本 160
3.7.4 认识典型的信息系统审计证据 161
3.7.5 使用计算机辅助审计工具 161
3.7.6 理解电子证物 164
3.7.7 证据的等级 165
3.7.8 证据的时间 166
3.7.9 证据的生命周期 167
3.8 开展审计证据测试 169
3.8.1 符合性测试 170
3.8.2 实质性测试 170
3.8.3 可容忍错误率 171
3.8.4 记录测试结果 171
3.9 生成审计发现结果 172
3.9.1 检测违规和违法行为 172
3.9.2 违法违规行为的迹象 173
3.9.3 对违规或违法行为的响应 173
3.9.4 审计范围之外发现的问题 174
3.10 报告审计发现 174
3.10.1 批准和分发审计报告 176
3.10.2 识别被忽略的过程 176
3.11 开展后续工作(关闭会议) 176
3.12 本章小结 177
3.13 考试要点 177
3.14 复习题 179
第4章网络技术基础 185
4.1 了解计算机体系结构的区别 186
4.2 选择最好的系统 190
4.2.1 识别各种操作系统 190
4.2.2 选择最好的计算机类型 192
4.2.3 比较计算机能力 195
4.2.4 确保系统控制 196
4.2.5 处理数据存储 197
4.2.6 使用接口和端口 202
4.3 操作系统互连模型(OSI)
介绍 204
4.3.1 第一层：物理层 206
4.3.2 第二层：数据链路层 206
4.3.3 第三层：网络层 208
4.3.4 第四层：传输层 214
4.3.5 第五层：会话层 214
4.3.6 第六层：表示层 215
4.3.7 第七层：应用层 215
4.3.8 理解计算机如何通信 216
4.4 理解物理网络设计 217
4.5 理解网络电缆拓扑 218
4.5.1 总线拓扑 218
4.5.2 星形拓扑 219
4.5.3 环形拓扑 220
4.5.4 网状网络 220
4.6 区分网络电缆类型 221
4.6.1 同轴电缆 222
4.6.2 非屏蔽双绞线 222
4.6.3 光纤电缆 223
4.7 连接网络设备 224
4.8 使用网络服务 226
4.8.1 域名系统 227
4.8.2 动态主机配置协议 228
4.9 扩展网络 229
4.9.1 使用电话电路 230
4.9.2 网络防火墙 233
4.9.3 远程VPN访问 238
4.9.4 使用无线接入解决方案 242
4.9.5 防火墙保护无线网络 244
4.9.6 远程拨号访问 245
4.9.7 WLAN传输安全 246
4.9.8 实现802.11i RSN无线
安全 248
4.9.9 入侵检测系统 248
4.9.10 总结各种区域网 251
4.10 使用软件即服务 252
4.10.1 优点 252
4.10.2 缺点 253
4.10.3 云计算 254
4.11 网络管理基础 254
4.11.1 自动局域网电缆测
试仪 255
4.11.2 协议分析器 255
4.11.3 远程监控协议第2版 257
4.12 本章小结 257
4.13 考试要点 258
4.14 复习题 259
第5章信息系统生命周期 265
5.1 软件开发中的治理 266
5.2 软件质量管理 267
5.2.1 能力成熟度模型 267
5.2.2 标准化国际组织 269
5.2.3 典型的商业记录分类方法 273
5.3 执行指导委员会概述 274
5.3.1 识别关键成功因素 274
5.3.2 使用场景分析法 274
5.3.3 整合软件与业务需求 275
5.4 变更管理 278
5.5 软件项目的管理 278
5.5.1 选择一种方法 278
5.5.2 采用传统的项目管理方法 279
5.6 系统开发生命周期概览 282
5.6.1 阶段1：可行性研究 285
5.6.2 阶段2：需求定义 288
5.6.3 阶段3：系统设计 291
5.6.4 阶段4：开发 295
5.6.5 阶段5：实施 305
5.6.6 阶段6：实施完成后的
工作 311
5.6.7 阶段7：处置 312
5.7 数据架构概览 313
5.7.1 数据库 313
5.7.2 数据库事务的完整性 317
5.8 决策支持系统 318
5.8.1 演示决策支持数据 319
5.8.2 使用人工智能 319
5.9 程序架构 320
5.10 集中式与分布式 320
5.11 电子商务 320
5.12 本章小结 322
5.13 考试要点 322
5.14 复习题 323
第6章系统实施与运营 329
6.1 IT服务的性质 330
6.2 IT运营管理 332
6.2.1 满足IT职能目标 332
6.2.2 运用信息技术基础设施库 333
6.2.3 支持IT目标 335
6.2.4 理解人员的角色和职责 335
6.2.5 使用指标 340
6.2.6 评估帮助台 342
6.2.7 服务等级管理 342
6.2.8 IT职能外包 343
6.3 容量管理 345
6.4 行政保护 345
6.4.1 信息安全管理 346
6.4.2 IT安全治理 347
6.4.3 数据角色的权利 347
6.4.4 数据保留要求 348
6.4.5 记录物理访问路径 349
6.4.6 人员管理 349
6.4.7 物理资产管理 351
6.4.8 补偿控制 353
6.5 问题管理 353
6.5.1 突发事件处理 354
6.5.2 数字取证 356
6.6 监视控制状态 358
6.6.1 系统监控 359
6.6.2 记录逻辑访问路径 360
6.6.3 系统访问控制 361
6.6.4 数据文件控制 364
6.6.5 应用程序处理控制 365
6.6.6 日志管理 366
6.6.7 防病毒软件 367
6.6.8 活动内容和移动软件代码 367
6.6.9 维护控制 370
6.7 实施物理防护 372
6.7.1 数据处理的位置 374
6.7.2 环境控制 375
6.7.3 安全介质存放 381
6.8 本章小结 382
6.9 考试要点 383
6.10 复习题 384
第7章保护信息资产 389
7.1 了解威胁 390
7.1.1 识别威胁和计算机犯罪的
类型 391
7.1.2 识别犯罪者 394
7.1.3 了解攻击方法 397
7.1.4 实施管理防护 406
7.2 使用技术保护 408
7.2.1 技术保护分类 408
7.2.2 应用软件控制 410
7.2.3 身份验证方法 411
7.2.4 网络访问保护 423
7.2.5 加密方法 425
7.2.6 公钥架构 430
7.2.7 网络安全协议 435
7.2.8 电话安全 439
7.2.9 技术安全测试 440
7.3 本章小结 440
7.4 考试要点 441
7.5 复习题 442
第8章业务连续性与灾难恢复 447
8.1 戳穿神话 448
8.1.1 神话1：设备设施至关
重要 448
8.1.2 神话2：IT系统设备至关
重要 449
8.1.3 从神话到现实 449
8.2 了解业务连续性中的五个冲突
领域 449
8.3 定义灾难恢复 450
8.3.1 财务挑战 451
8.3.2 品牌价值 451
8.3.3 灾后重建 452
8.4 定义业务连续性的目的 453
8.5 业务连续性与其他计划联合 455
8.5.1 识别业务连续性实践 456
8.5.2 识别管理方法 457
8.5.3 遵循程序管理方法 459
8.6 理解业务连续性程序的5个
阶段 459
8.6.1 阶段1：建立BC程序 459
8.6.2 阶段2：发现过程 463
8.6.3 阶段3：计划开发 468
8.6.4 阶段4：计划实施 484
8.6.5 阶段5：维护与整合 486
8.7 理解审计师在业务连续性/
灾难恢复计划中的关注点 487
8.8 本章小结 487
8.9 考试要点 488
8.10 复习题 489
附录复习题答案 493

前言/序言

本书旨在帮助任何对注册信息系统审计师(Certified Information Systems Auditor，CISA)感兴趣且想通过认证的人提供直接的、诚恳的指导。CISA认证是市场上最热门的入门级审计师证书之一。
在全球范围内，各种组织升级安全级别并证明自己存在强有力的内部控制是一种大趋势。你可能听说过以下几种规定：
● 国际巴塞尔协议III银行业风险管理协议。
● COSO，其中包括国家的几个变体。美国版本的萨班斯-奥克斯利法案(Sarbanes-Oxley Act，SOX)针对公共企业提供等同于全球其他证券交易的控制。
● 安全港国际信息隐私保护。
● 美国联邦信息安全管理法案(Federal Information Security Management Act，FISMA)。
● 用于信用卡处理的支付卡行业(Payment Card Industry，PCI)标准。
● 健康保险便携和责任法案(Health Insurance Portability and Accountability Act，HIPAA)。
这些只是30多个高级规定中的几个，这些规定都要求提供内部控制的审计证据。坦白而言，他们为CISA提供了很多机会。这可能是你一直在寻找的机会，特别是如果你拥有财务或技术背景。
监管合规报告面临的最大问题之一是个人运行测试应用程序，但不了解所有需要完成的其他目标。仅运行软件永远不会让一个人成为合格的审计师。在测试应用程序之外存在太多的依赖项。为了解决这个问题，在心态上，审计师需要保持怀疑态度并加上严格的书面程序、测试计划、失败的实际报告(即使它们是程序性的)，并且要在范围和决策上保持客观独立性，这比只生成单独的测试结果要重要得多。
CISA认证概述
ISACA是世界上最公认的信息系统审计资格认证机构之一，提供注册信息系统审计师(CISA)认证。由于优秀的营销推广，它在全球得到了认可。ISACA的成员遍布180多个国家，被公认为IT治理理论、控制理论和各种保证准则的提供者之一。ISACA于1969年开始成立电子数据处理审计师协会，目的是制定具体的国际信息系统审计和控制标准。大部分内容是由Treadway委员会(Committee of Sponsoring Organizations，COSO)赞助组织委员会发布的全球财务控制所得出的控制点。因此，ISACA优秀的营销机制建立了知名的信息系统审计师认证—— CISA。
ISACA控制全球的CISA考试。它是IT治理和IT咨询中最常见的资格证书之一。与其他ISACA认证一样，CISA很容易获得，因为你不必执行单一审核程序来获得认证。另外你可能遇到的公认的认证证书是由内部审计师协会 (Institute of Internal Auditors，IIA)颁发的注册内部审计师证书(Certified Internal Auditor，CIA)。
CISA的市场前景
CISA仍在不断向全球推广，但技能差距正在迅速扩大。在2008年全球银行倒闭后，企业正在不断招聘和企图留住顾问，努力在因合规性受到处罚之前证明其合规性。咨询公司倾向于联系通过CISA认证的专业人士来为客户提供服务。如果大型和小型组织无法表现出更强的内部控制水平，那么会发现自己处于竞争劣势。一个组织可能因为“太大而不能失败”的神话已被证明是虚假捏造的。我将在第1章中向你举例说明这一点。
审计的基本规则之一是：参与审计中发现问题的修复(修正)会损害审计师的独立性和客观性。审计师必须保持独立性，或至少客观认证结果是有效的。另外，审计师应该协助进行整改工作。监管合规性的要求需要持续保持有效，这意味着在某种程度上的补救措施也将持续保持有效。换句话说，审计师的要求实际上增加了一倍。客户需求也在大幅增加。
100多年来，组织不断地开展财务审计。随着金融系统变得越来越复杂，计算机自动化引起了人们对电子财务记录完整性的担忧。过去，一个组织只会聘请一名注册会计师审查其财务记录，并证明其诚信。更大型的组织则聘请经过认证的内部审计师，协助审查业务的内部控制，帮助减少外部审计的持续成本。现在，内部控制的需求一直集中在信息系统上。计算机现在是财务记录的存储间。只有经过验证、测试，功能齐全的安全控制被证实确实存在，管理人员和员工才可能对电子记录中的篡改或虚假陈述负责。如果你无法证明计算机环境的完整性，也就不能相信电子记录的完整性。