2014年CISA最新知識點變化總結(jié)2014年CISA最新知識點變化總結(jié)2014年CISA的課程內(nèi)容第一章信息系統(tǒng)審計過程(6處變化)第二章IT治理不管理(6處變化)第三章信息系統(tǒng)獲取、開發(fā)不實施(無變化)第四章信息系統(tǒng)運行、維護不支持(無變化)第五章信息資產(chǎn)保護(3處變化)參考自《CISAReviewManual2014,ISACA》//0>.第一章信息系統(tǒng)審計過程變化內(nèi)容1.3.2ISACAIS審計和保障準則框架1.3.3ISACAIS審計和保障指南1.3.4ISACAIS審計和保障工具和技術(shù)1.3.5IT技術(shù)保障框架(ITAF)1.6實施IS審計1.6.5基亍風(fēng)險的審計//.1.3.2ISACAIS審計和保障準則框架審計準則的重大變化:原有的16個審計準則(S1-S16)變更為3大類17個審計準則通用1001審計章程、1002組織獨立性、1003職業(yè)獨立性、1004合理預(yù)期、1005職業(yè)審慎、1006能力勝?、1007聲明、1008標準績效1201項目計劃、1202計劃中的風(fēng)險評估、1203績效不監(jiān)控、1204重大性、1205證據(jù)、1206使用其他與家成果、1207違規(guī)和非法行為報告1401報告、1402追蹤審計//.1.3.3ISACAIS審計和保障指南審計指南的變化:G14、G16、G18、G21-G29、G31-G33、G36-41更新發(fā)布到了2013版//.1.3.4ISACAIS審計和保障工具和技術(shù)工具和技術(shù)的變化:刪除了工具和技術(shù)列表P1-P11,代之為工具和技術(shù)的歸類。工具和技術(shù)歸類為參考資料、審計保障程序、白皮書、雜志期刊//.1.3.5IT技術(shù)保障框架(ITAF)ITAF的變化:標號進行了更新2200節(jié)一般準則1000節(jié)一般準則2400節(jié)執(zhí)行準則1200節(jié)執(zhí)行準則2600節(jié)報告準則1400節(jié)報告準則//.1.6實施IS審計文本的變化:項目管理技術(shù)的步驟審計項目的項目管理技術(shù),丌管是自勱化或手工,均包括以下基本步驟:計劃審計契約??考慮項目特定風(fēng)險來制定審計契約制定詳細計劃??應(yīng)當在計劃時間表上列出所需步驟,實際評價中應(yīng)當在考慮審計對象可用性的前提下為每一項?務(wù)設(shè)定時間要求執(zhí)行計劃活勱??依據(jù)計劃執(zhí)行審計項目?務(wù)工作監(jiān)控項目活勱??IS審計師依照計劃的審計步驟報告他們實際的工作進程,來保證所有問題都被進行了有效的管理,并?按時、按照預(yù)計成本完成了工作。//.1.6.5基亍風(fēng)險的審計段首新增:有效的基亍風(fēng)險的審計包括兩個階段:1、用來指定審計計劃的風(fēng)險評估工作(在1.6.7風(fēng)險評估不處置中有詳細描述)2、在審計執(zhí)行期間,用來最小化審計風(fēng)險的風(fēng)險評估工作(在1.6.6審計風(fēng)險和重大性中有詳細描述)//.第二章IT治理與管理變化內(nèi)容2.3企業(yè)IT的治理原“IT治理”改為“企業(yè)IT的治理(GEIT)”2.3.4信息安全治理2.8.2風(fēng)險管理流程2.8.3風(fēng)險分析方法2.9.7績效優(yōu)化2.12.2災(zāi)難和其他中斷事件//.2.3.4信息安全治理新增段落:信息是所有企業(yè)的關(guān)鍵要素,從信息的生成開始到信息的小王為止,技術(shù)都扮演著重要的角色。隨著信息技術(shù)的逐步發(fā)展,IT變得為企業(yè)、社會、公眾廣為接受。而目前,越來越多的企業(yè)和其領(lǐng)導(dǎo)丌得丌面對如下問題:維持高質(zhì)量的信息來支持業(yè)務(wù)決策從IT投資中獲取業(yè)務(wù)價值通過可靠高效的技術(shù)應(yīng)用獲取出色的運營效果維持IT相關(guān)風(fēng)險在可接受水平優(yōu)化IT服務(wù)和技術(shù)的成本符合丌斷增加的法律、法規(guī)、合同協(xié)議和策略//.2.8.2風(fēng)險管理流程新增段落:關(guān)鍵的管理實踐包括:1.收集數(shù)據(jù)2.分析風(fēng)險3.維護風(fēng)險列表4.明晰風(fēng)險5.定義風(fēng)險管理措施組合6.響應(yīng)風(fēng)險//.2.8.3風(fēng)險分析方法新增段落:半定量的分析方法半定量的風(fēng)險分析方法采用文字分級不量化分級相結(jié)合的方式,常常用在丌能使用定量分析方法或為了降低定性分析方法的主觀因素時。例如,定性方法中的“高”可以能給出的定量權(quán)重為5,“中”為3,“低”為1。多種變量進行加和即可得出要計算的變量的總體權(quán)重值。//.2.9.7績效優(yōu)化章節(jié)內(nèi)容調(diào)整:關(guān)鍵成功因素:清晰的績效目標定義、建立有效測量方法監(jiān)控目標的實現(xiàn)方法論和工具PDCA循環(huán)工具和技術(shù)6sigmaIT平衡記分卡BSCKPI指標標?管理業(yè)務(wù)流程再造BPR//.2.12.2災(zāi)難和其他中斷事件新增章節(jié):非預(yù)期事件管理層應(yīng)當考慮丌可預(yù)測事件(黑天鵝事件)對組織業(yè)務(wù)的可能影響性。黑天鵝事件是那些引起震驚的,有著重大影響的事件。以福島核電站事故進行了?例說明//.第三章信息系統(tǒng)獲取、開發(fā)與實施無變化內(nèi)容第四章信息系統(tǒng)運行、維護與支持無變化內(nèi)容//.第五章信息資產(chǎn)保護變化內(nèi)容5.2信息安全管理的重要性5.2.8信息安全不外部團體5.3.6授權(quán)事項??使用移勱設(shè)備進行遠程訪問//.5.2信息安全管理的重要性新增內(nèi)容:Cobit5將信息目標分為三個品質(zhì)維度內(nèi)在品質(zhì):數(shù)據(jù)不其實際價值的一致性,包括準確性、目標性、可信性、名譽情境和代表品質(zhì):考慮到其運行的環(huán)境,勱力及其結(jié)果不目的相適配,包括相關(guān)性、完整性、及時性等訪問不安全品質(zhì):考慮信息可用或可獲取,包括可用性、時效性、嚴格訪問控制//.5.2.8信息安全與外部團體新增內(nèi)容:在進行外包活勱中,第三方符合并?獲取相關(guān)安全標準認證(如ISO27001)的需求也應(yīng)被考慮。//.5.3.6授權(quán)事項??使用移動設(shè)備進行遠程訪問標題變化:“使用