1、 1 / 8 2015-11 CISA 学习笔记 注意:本笔记未包含全部课本内容,只是记录个人不熟悉的一些知识点 ( 错字 请 自行 掠过 ) 目录 CISA 学习笔记 1 第一章 信息系统的审计流程 . 1 第二章 IT 治理和管理 . 3 第三章 信息系统的购置开发和实施 . 4 第四章 信息系统的操作维护与支持 . 6 第五章 信息资产的保护 . 7 第一章 信息系统的审计流程 标准主要定义对 IS 审计和鉴证以及报告的强制性要求 准则主要在 IS 审计和签证标准的应用方面提供指导 IS 审计和签证部门应在审计章程中适当载明审计职能。说明目的、职责、和问责制 ISACA 开发的工具和技术
2、主要提供 IS 审计师可在审计项目中遵循的的流程 实例 风险是发生某事件的可能性及其可能产生的后果这三者的组合 风险评估 的过程 : 识别业务目标 、 识别信息资产 、 进行风险评估 、 进行风险减缓 、 进行风险处置 内部控制通常由 政策、流程、实践和组织结构组成; 预防性、检测性、纠正性 Cobit 是用于治理、控制和鉴证信息及其相关技术的领先框架 满足利益相关者需要:企业的存在就是通过在实现收益、优化风险和运用资源之间维持一种平衡,从而为其利益相关者创造价值 端到端覆盖企业 运用单一整合式框架 采用一个整体全面的方法 区分治理和管理:治理是确保利益相关者需要、条件和选项被评估,已决定平衡
3、、协商一致 、需要实现的企业目标;管理层计划、构建、运行和监控活动与治理机构制定的方向一致,以实现企业目标 审计计划:包含审计目标以满足以及满 足这些目标所需的审计流程 审计过程要求 IS 审计师收集证据、基于收集的证据通过审计测试来评估控制的优点和弱点,然后准备向管理层提供一份审计报告,客观的叙述这些问题 合规性审计:包括具体 的控制措施测试,以表明对特定法规或行业标准的遵守情况 实质性测试:评价交易、数据或其他信息的完整性,验证财务报表数据及相关交易的有效性和完整性 2 / 8 2015-11 财务审计:评估组织财务报表的争取性,经常涉及到实质性测试 运营审计:旨在评估给定流程或区域的内部
4、控制结构,比如对应用控制或逻辑安全系统的 IS审计 整合审计:结合了财务审计步骤和运营审计步 骤 管理审计:旨在对组织内与运营生产力的效率相关的问题进行评估 IS 审计:此过程会收集和评估相关证据,以确定信息系统和相关资源对资产进行了足够的保护 、保持了数据和系统的完整性和可靠性、提供了可靠的相关信息 专业审计:属于一种 IS 审计,有许多专业的审查可以对者如第三方执行的服务等方面进行检验 司法审计:专门针对发现、揭露和跟踪欺诈与犯罪行为的审计 ,主要目的是为执法部门和司法当局进行审查提供证据 持续审计 :及时发现风险或控制缺陷,独立于持续控制或监控活动 管理部门、审计师和审计 委员会对检测和
5、披露所有舞弊行为负有 主要责任 审计流程与步骤: 审计对象:确定被审计领域 审计目标:明确审计目标 审计范围:确定要检查的具体系统、职能和单元 初步审计计划:确定所需技能与资源。确定测试检查的信息来源、确定审计地点和设置 审计程序和步骤:选择测试的方法、确定访谈对象、搜集政策和标准、开发审计工具 评价测试和检查结果 与管理人员沟通结果 审计报告 风险的种类 固有风险 要审计的流程 /实体的风险等级或暴漏风险 控制风险 无法通过内部控制系统及时防止或检测到的实质性错误 检测风险 已经发生但 IS 审计师无法检测到的重大错误或误报 整体审计风险 信息或者财务报告包含重大错误,且审计师没有察觉到已发
6、生错误的可能性 降低风险、接受风险、规避风险、转移 /分摊风险 审计证据:适当性(质量)、充分性(数量) 证据收集技术:检查组织结构、 IS 政策和规程、 IS 标准、 IS 文档、访谈、观察、重新执行(提所提供的证据 通常优先于其他技术提供的证据 ) 、 穿行测试(用来确定对控制的理解的审计技术)、走查 置信系数:置信系数越大,样本量越大 ,如果内部控制很强大,则可降低置信系数 属性抽样:估计总体中某种特性的发生比率 停走抽样:如果结果可接受则停止抽样,用于 相信总体中只存在少量错误的情况 发现抽样:错误发生率低的时候,用于发生舞弊、违法法规或其他非法行为的情况 变量抽样:分层单位平均估计抽
7、样、不分层单位平均估计抽样、差额估计 计算机辅助审计技术:优势是能够通过连续在线审计技术提高审计效率 通用审计软件:数学计算、统计分析、顺序检查、重复性检查和复算、主要用于实质性测试 使用通用审计软件来调查数据文件(包括系统日志)的内容 使用专门的软件来评估操作系统数据库以及应用程序参数文件的内容 由 IS 审计师决定是否将特点结果包含在审计报告中 管理人员可以不立即将所有审计建 议付诸实践 控制自评估:调查问卷、专题研讨会,不是替代审计的职责、是一种加强。审计师只是 CSA3 / 8 2015-11 的推动者,管理人员才是具体实施者,传统审计只有审计师和咨询顾问对内部控制负责, CSA的责任
8、在管理人员 持续性审计可以更好的监控公司 内部财务问题,从而确保实时交易也能得益于实时监控,防止出现金融 诈骗 和审计丑闻,持续性审计应该独立于连续控制或者检测活动 审计师可以通过嵌入式审计模块捕获预定义的事件或者直接检测异常或可疑的情况和交易 第二章 IT 治理和管理 公司治理是指已泄露组织的管理人员应该承担的职责和采取的做法,用以指明战略 方向,从而确保实现目标,恰当解决风险并合理利用公司资源 公司治理的目标:实现两个互相冲突的目标,即在法规要求和社会义务的限制范围内维持组织的运营,同时利用一切可利用的机会提高利益相关者的价值 IT 治理即指葱利益相关者的利益出发管理 ITIT 资源的职责
9、和职务, IT 治理是董事会和执行管理部门的职责 。 IT 治理的关键因素:保持与业务战略一致,引导业务价值的实现 27001:属于一套最佳实践,可向各组织提供实施和维护信息安全程序方面的指导 ITIL:详细描述了关于如何实现成功的 IT 运营服务管理的实用信息 IT 平衡积分卡 ,属于流程管理评估技术,通过消费者满意度、内部流程以及创新能力方面的措施对传统的财务评估进行评估 目标是建立管理层向董事会的报告途径,就 IT 战略目标在关键利益相关方之间达成一致,证实 IT 的效果与价值,沟通 IT 绩效,风险和能力 IT 战略委员会:起草战略 计划,董事会审批 IT 指导 (督导 )委员会:对重
10、要 IT 项目进行审查,不涉及具体运行,审查短期计划 CMMI 是一种过程改进方法,可用于为项目、部门或整个组织内的过程改进提供指导 政策是一种高级别的文档,反应的是组织的企业理念,为确保政策行之有效,其内容必须 简介明确 安全政策必须经高级管理层批准并记录在案,并适时传达给所有员工,服务提供商以及业务伙伴 可接受使用政策:说明公司的 IT 资源如何使用的有效的指南和规则,说明了允许用户使用IT 系统做什么,不能做什么,违反规则时应该受到何种惩罚。 流程用于实现政策目标的书面记录的明确定义步骤,需要不断审查和更新流程 威胁因素利用薄弱环节而导致的结果被称为影响 风险管理的步骤: 识别资产:对需
11、要保护的信息资源或资产进行识别和分级 评估与信息资源相关的威胁和脆弱性及可能性 量化潜在的威胁的概率和对业务的影响 评价现有的控制, 或设计新的控制俩减低风险至可接受水平 定量的风险分析 资产价值( AV)暴露因子( EF) =单一损失期望( SLE) 单一损失期望( SLE)年发生比率( ARO) =年度损失期望( ALE) 人力资源管理 交叉培训、强制 休假 、 员工离职 职责分离控制 :预防和阻止欺诈机恶意行为的重要方式 ,目标是通过识别补偿性控制来降低或消除业务风险 外包的目的是通过企业重组来实现业务流程和服务有意义的持续改善,从而利用供应商的核心竞争力 绩效是用户和利益相关者所感知的
12、服务,绩效优化是在指不对 IT 基础设施进行不必要的 额外投资的情况下将信息系统的生产力尽可能提高到最高水平 六西格玛是一种适用于 IT 的流程改进方法。目标是实施以测评为导向的策略,着重于4 / 8 2015-11 改进流程和减少缺陷 KPI 是一种测评标准,用于在实现预期目标的过程中判断流程的执行情况,它是确定目标是否能够 实现的重要指标 访问控制决策的主要依据是公司政策和连个普遍认可的实践标准职责分离和最小特权 审计轨迹:可追踪交易流,确定谁能发起交易、发起时间、数据类型、字段、更新了那些文件 对账:最终用户的职责 异常报告:管理层处理,需要证据来证明例外情况已得到合理解决 组织 /职能
13、图: 说明组织内部的责任分工和职责分离的程度 工作说明:定义了组织中所有职位的职能和责任。可以看出组织内部职责分离的程度 实现业务连续性 /灾难恢复的目的是确保企业能够在中断期间继续提供关键服务,并能使企业从灾难性的中断事件中恢复活动 , BCP 主要是高级管理层的责任,因为他们负责保护资产和维持组织的生存能力 恢复 时间目标:在系统的不可用性严重影响到机构之前所允许消耗的最长时间 恢复点目标:数据必须被恢复以便继续进行处理的点,也就是所允许的最大数据损失量 IS 业务连续性计划应该和组织的策略一致,在组织中部署的各种应用程 序系统的重要性取决于业务性质以及每个应用对于该业务的价值 BIA 可
14、以帮助组织确定特定应用的最大允许停机时间记忆可能损失的数据量 不是所有的系统都需要恢复策略 BCP 是最重要的改正性控制 发生任何触发事件后,应立即将所有相关事件告知安全专员或其他指定人员,此人应随即遵循事先确定升级协议,随后可能启动恢复计划,如信息技术 DRP BIA 用来评估关键流程以及确定时间范围、优先级、资源和相关性。即使在执行 BIA 之前已完成风险评估 忠诚保险:涵盖由于员工不诚实或欺诈行为造成的损失 业务 连续性测试的目的就是明确计划的开展 情况记忆计划中需要改善的部分 BCP 计划的测试: 纸上演练:所有相关者参与,讨论服务中断后的后果及应对策略,在预备性演练之前 预备性演练:
15、模拟灾难发生,在局部范围演练所涉及的 BCP 演练 全面演练:完全关闭业务运行,实施全面演练 维护 BCP 的责任通常在 BCP 协调人员身上 第三章 信息系统的购置开发和实施 业务案例通常从可行性分析中得到,其中包含确定是采用此业务案例的决策过程信息,如果采用,将成为项目的基础 项目具有时限性,具有特定的开始日期和完成日期,特定的目标以及一系列交付内容 项目后审查:评估从项目管理过 程中总结的经验教训 ,对项目的全面成功和对业务部门的影响进行度量 业务风险包括新系统不满足 项目群:共同的目标、同一预算以及交错安排的时间表和战略紧紧联系在一起 项目组合是企业在规定的时间点所实施的所有项目,管理
16、项目组合必须建立项目组合数据库 决策点(阶段关卡、终结点)业务案例将在 这些决策点进行正式审查,以确保其仍适用 项目的时间背景应包括项目启动前的阶段和项目关闭后的阶段 项目需要清晰明确的结果,既具有明确性、可衡量性、可实现性和时限性,用于定义项目目标的方法:目标细分结构 5 / 8 2015-11 任务列表由要执 行的与工作包相关的一系列活动组成 高级管理层: 展现对项目的承诺并审批完成项目所需的资金 用户管理人员 :审查和批准系统交付成果的定义和执行 项目督导委员会对所有交付成果、项目成本、和日程安排承担最终责任 质量保证人员:在各阶段 期间和结束时审查结果和交付成果的人员,还负责确认操作是
17、否符合要求 软件规模度量使用单点估算(基于单个参数)完成 FPA 是根据输入、输出、文件、界面和查询的数量和复杂度对信息系统规模的度量 时间段管理是一种项目管理技术,用于在在相对短且固定的时间段内,使用预定的特点资源定义和配置软件交付成 果 瀑布模型及其变体通常会涉及生命周期验证方法,该防范可确保能够及早纠正潜在的错误而不是在最终验收测试阶段才发现错误 最小的测试(单元测试)在编写程序后立即执行 系统测试检测系统结构规范,而最终用户验收测试则用于核对要求 应该 在项目规划阶段的早起确定阶段和交付成果 可行性分析: 明确 定义需求并确定可以满足需求的备选方案 形成总体设计的重要工具是使用实体关系
18、图 设计冻结:对用户需求逐项进行审查,并从时间和成本方面对其加以考虑 程序编码标准 最大程度降低了因人员变动而导致的系统开发受挫、提供了有效使用系统所需的材料 ,并且是高效进行程序维护和修改的必要条件 在线系统可以提高编程人员解决问题的能力,但在线系统也会因未经授权的访问而存在漏洞 逻辑路径监控器:可用来报告程序执行事件的顺序 内存转储:可用来提供某一时间点上内存内容的图片 自下而上:可以再完成所有程序之前开始,尽早发现关键模块中的错误 自上而下:今早看到实际运行中的系统,对系统的信心大幅度提升 通常大多数大型系统的用用程序测试遵循自下而上的测试方法(单元或者程序、子系统 /集成、系统) 接口
19、或集成测试:评估将信息从区域传递到另一区域的两个或多个组件之间的连接情况 系统测试:确保共同构成的新系统或者改良系统各类修改程序、对象、数据库模式等正常运行的一系列测试 负载测试:通过大量的数据来测试应用程序。以评估其在高峰期的性能 容量测试:确定应用程序可以处理的最大记录(数据)量 压力测试:确定应用程序可以处理的最大并发用户 /服务数 性能测试:使用明确定义的基准比较系统与其他同等系统的性能 最终验收测试:在实施阶段进行 针对应用程序各方面技术执行的质量保证测试 针对应用程各方面功能执行的用户验收测试 Beta 测试是测试的最后阶段,常常需要与外界接触 试点测试:针对系统的某些特 点和预定
20、方面执行的初步测试,不是要替代其他测试方法,用于提供有限的系统评估。概念验证既属于早起试点测试 回归测试:重新执行部分测试方案或测试计划,确保相关改进或纠正措施未引入新的错误,使用的数据应当与原来在测试中使用的数据相同 社交性测试:确认新系统或改良系统能否在目标环境中运行,并且不会对现有系统产生不利影响 接力棒法是最适合用于转移知识的方案 培训计划必须在开发过程早期便开始 贮存库:可在项目开展过程中模拟迁移方案,还能够保证可追踪性 6 / 8 2015-11 认证:评估机构根据信息系统中的管理标准以及操作和技术控制标准执行全面 评估的流程 认可:官方管理决定,用以批准信息系统的运行 实施后审查
21、的目标是评估和衡量项目对已业务有何价值 , IT 审计师执行的实施后审查关注系统开发和实施过程的控制方面 可扩展样式表语言:定义 XML 文档如何呈现 XML 查询:针对 XML 格式数据的查询 XML 加密:针对 XML 文档的加密、解密记忆数字签名 CA:作为公 /私秘钥对的受信任提供方,证明真实性 认证实施细则 : 一套详细的规则 , 用于管理认证办法机构的运营 网络钓鱼和鱼叉式网络钓鱼属于电子方式的社会工程攻击,只有通过安全意识培训才能解决 对于 IS 审计师来说,最重 要的是确认任何信用卡持有者信息是否存储在本地 POS 系统中,任何存储在 POS 系统中的此类信息均应使用强加密方法
22、进行加密 在图像系统中,扫描设备是图像文档的输入点,而是最重要的风险领域 专家系统:获取知识和个人经验、分享知识和经验、提高员工的工作效率和洗脚。高度重复的任务实现自动化 BI 手机并分析信息来协助决策以及评估企业绩效 商业智能治理:确定为哪项 BI 活动提供资金,分配给活动什么优先级以及怎样衡量其投资回报率 决策支持系统:支持通常用于业务目的的半结构化决策任务,审计原则是较少关注效率,更注重效能 原型设 计师设计和开发 dss 最流行的方法 原型设计可以为企业节省大量的时间和成本 快速应用开发可以使企业在减少开发成本和保障质量的同时更快的开发具有战略重要性的系统 根据调用对象的超类的不同,两
23、个或多个对象在执行时对消息有不同解释的能力成为多态性 基于组件开发的最大好处可以从商业开发人员那里购买到经过验证和测试的软件 基于 web 的应用程序开发:旨在在企业内部和企业间实现更容易、更有效的代码模块集成 SOAP 适合于能够理解 XML 的任何操作系统和编程语言 软件再工程师一个通过抽取并重复使用设计和程序组件来更新现有系统的 过程 对于生产数据,编程人员不应具有写入、修改、或删除访问权限 编辑控制是一种预防性控制,在处理数据前在程序中使用 第四章 信息系统的操作维护与支持 服务水平管理的目的是保持和提高客户的满意度及提升交付给客户的服务质量 问题管理的目标是减少事故的数量和 /或降低
24、事故的严重程度,事故管理的目标是使受影响的业务流程尽快恢复到正常状态 借助源代码管理员软件,工作人员还可以监控程序版本以及对象完整性的源代码是否得到妥善保护 容量管理是对计算和网络资源的计划和监控,其目的是确保有效且高效地使用可利用的资源 参数对已确定系统的运 行方式非常重要,因为参数允许根据不同的环境来自定义标准的软件,确定控制在操作系统内如何发挥作用最有效的的方式是查看软件控制功能和参数 对于安全日志,存储在随后置于物理安全区域的可移动媒介,这点很重要 DBMS 能够提供用来创建和维护组织良好的数据库设置,主要功能功能包括减少了的数据冗余、减低的访问时间和敏感数据的基本安全 层次数据库很容
25、易进行执行、修改和搜索 关联数据库允许数据结构的定义、存储 /检索操作和完整性限制 ,关系数据库 的一个重要特点就是使用了正规化规则,从而最大限度减低了各表中所需信息的总量 7 / 8 2015-11 在 OSI 模型中,每层不仅与本地堆栈中的上下各层进行通讯,还与远程系统中的相同层进行通信 表示层将传出数据转换为网络标准可接收的格式 令牌的用途是将消息 /数据传给目标接受者时将自身附加于用户或设备 同步传输可以获得最大效率 异步传输发送开始和停止位来标记字节的开始和结束,效率较低,适合于字符和块模式传输 Ipsec 通道模式将对整个数据包进行加密, ipsec 传输模式进对包的数据部分进行加
26、密 合法性和法律保护问题,以及数据的安全性和完整性是跨境传输主要关注的问题 DRP 的最终目标是对可能对人员以及将产品和服务交付到市场的 运营能力产生影响的事故给予回应以及符合法规要求 捕获数据:恢复之后需要输入在 RPO 中断期间发生的事务 鼓励数据:即使在输入增量数据以后,一些数据也仍然无法恢复 RTO 越小,容灾能力就越小,容灾是是指一段时间间隔,在此时间间隔范围内业务可承受 IT关键服务的不可用性 中断窗口:组织可从故障发生的时间点一直等到关键服务 /应用程序恢复的这一时间段 最后一英里电路保护:很多恢复设施均提供本地运营商 T1 或 E1、微波对本地通讯环路的同轴电缆访问的冗余组合
27、应急管理团队:负责协调所有其他恢复 /连续性 /响应团队的活动,并制定 关键决策,负责决定是否激活 BCP DRP 的关键因素在于能否获得足够的数据 第五章 信息资产的保护 信息安全管理系统是建立实施操作监控审查维护和改善各类组织信息安全政策流程准则和相关资源的框架 计算机安全事故是指对计算机的应用处理造成不利影响的事件 信息资产所有者和数据所有 者对所拥有的资产承担相应的所有权责任,其中包含执行风险评估、 选择 可将风险降至可接受水平的适当控制以及承担剩余风险 要实现有效控制,需要获得信息资产的详细清单,有了这样的清单之后,才能对资产进行分类,并确定要为各项资产实行的保护等级 中断攻击 当通
28、过 请求操作系统执行特定系统条用来进行恶意操作时,即发生中断攻击 对等计算的主要风险:当进行对等连接的计算机没有充分保护机制时,对等网络用户可以访问未保护文件夹中的敏感数据 在执行具体的网络评估和访问控制审查工作时,应确定是否已掌握了所有接口点的相关信息 访问控制软件的用途在于防止未经授权的情况系下访问和修改组织敏感数据和使用系统关键功能 误拒绝率:有权使用系统的个人被系统错误拒绝 误接受率:无权使用系统的个人被系统错误接受 通常回应事件最佳且 eer 最低的生物特征依次为手掌、手、虹膜、视网膜、指纹和声音 面部被 认为是最自然、最友好的生物识别方法之一,速度快 易于使用,主要缺点是缺乏唯一性
29、 确保实现审计轨迹数据的完整性,使其不受到修改,使用数字签名或者使用仅可写一次的设备 审计精选工具:用于减少审计记录量以方便手动审查的预处理程序 趋势 /差异检测工具查找用户或系统行为中的异常情况 攻击特征检测工具 查找攻击特征 如果违规的行为带有严重的企图,则应通知执行管理部门 8 / 8 2015-11 访问控制命名约定是用来管理用户对系统的访问以及用户对计算机资源的访问 /使用权限的结构,可减少充分保护资源所需的规则数 可说明性:实体的操作必须能够唯一追踪 到该实体 网络可用性:必须能够及时提供 IT 资源以满足任务要求或避免重大损失 隔离区或屏蔽子网防火墙 创建最安全的防火墙系统 神经
30、网络 IDS 与统计模型类似,但增加了自学功能 数字签名可以确保:数据完整性、身份认证、不可否认性 通过加密技术无法保证重放保护,时间戳和文档哈希可以提供重放保护 数字签名和公钥加密极易受到中间人攻击,公钥基础架构对发送者数字签名和公钥的有效性执行独立的验证 数字信封用于发送通过对称密钥加密的信息以及相关的密钥会话 数字认证的作用就是将密钥与个人身份相关联 CA 是网络上负责发行和管理 用于对消息签名进行验证或加密的安全认证及公钥的机构, CA证明公钥所有者的真实性 CA 负责在认证的整个生命周期对其进行管理 加密方法的安全性主要依靠密钥的保密性 防恶意软件 既是预防性控制又是检测行控制 控制恶意软件传播的一个重要手段是在进入点检测恶意软件 为加强对电话系统和数据通信的保护,应使用 vlan 对 VOIP 的基础设施进行划分 使用边界会话控制器为 VOIP 通信提供安全功能 提高安全意识是一种预防性控制,也可以将其作为检测性措施,要确定计划是否有效, IS审计师应予部分员工进行面谈,以判断他们的总体意识 在最终确认测试 /约定范围之前必须获得管理人员的书面同意 烟雾检测器应位于整个设置中天花板的上方和下方,以及机房活动地板下方
