Download as PDF, PPTX
2012年cisa考试知识点变化总结
- 1. CISA考试2012年知识点变化总结 马 庆 汇哲科技 资深讲师 CISA/CIA/CCSA/CBCP/Security+/TCBC 汇哲原创盗版必究 © 2012 SPISEC Corporation
- 2. 关于我们 上海汇哲信息科技有限公司(简称“汇哲”或“SPISEC”),长年致 力于信息安全意识、管理、技术、审计、认证等方面的培训和实践研讨, 力于信息安全意识 管理 技术 审计 认证等方面的培训和实践研讨 始终以信息安全的共享交流、学习指导、职业规划。SPISEC为信息安全行 业内综合的培训服务模式,重于实践和服务质量的精细、实用,及永久。 其讲师均具备信息安全十年以上工作经验,五年以上培训经验,自身长年 致力于信息安全培训和服务行业,具备较强的专业培训水平和丰富的培训 经验。SPISEC专业、强大的后续服务团队专为学员解决考试、认证、工作 经验 专业 大的后续服务 专为学员解决考试 认 作 实践等问题。并结合多年培训经验,以培训为基础、服务为保障、实践为 目的,为业内企业和个人、业内第三方合作伙伴提供优质的培训服。 目的 为业内企业和个人、业内第三方合作伙伴提供优质的培训服。 SPISEC于2008年开始在业内陆续组织多场专业知识学习讲座和研讨,并 持续发布多期专业原创文档和学习形式期刊、书籍。SPISEC至今为20000多 名会员提供免费的学习指导服务,其中为1500多名会员直接提供考试辅助 、职业规划、学习计划梳理等服务,会员现分布央企、国企、金融、电、 移动、能源、制造、IT等多个行业。 移动 能源 制造 IT等多个行业 https://www.spisec.com/ Page 2 <Title> | <Date> © 2012 SPISEC Corporation
- 4. 6月CISA考试建议 •学习方法和技巧http://www.cncisa.com/read-htm- 学习方法和技巧http://www.cncisa.com/read htm tid-18383.html • 参考资料《2012版CISA学习讲义》《2012年CISA review manual 英语版》《2012年CISA review manual中文版》2012年CISA中英对照题目解析合 集(红宝书第3版) • 考前冲剌(北京/上海5月免费辅导会)免费发放近 年整理精华CISA资料(历年收集核心资料) • 认证强化北京 上海 认证强化北京/上海CISA培训班 培训班 • CISA最新资源与CPE维持( cncisa国际信息安全 学习联盟) Page 4 <Title> | <Date> © 2012 SPISEC Corporation
- 5. 第一章信息系统的审计流程 减少内容 1.8信息系统审计过程演进 1 8 1电子工作底稿(2012年减少内容) 1.8.1电子工作底稿(2012年减少内容) 汇哲科技——五年以上市场认可的教材与服务 汇哲科技 五年以上市场认可的教材与服务 Page 5 <Title> | <Date> © 2012 SPISEC Corporation
- 6. 第二章IT治理与管理 汇哲科技--国内最大最专业的CISA交流群体 减少内容: 2.4.4 信息安全治理 2.9.3 风险分析方法—定量分析方法 风险分析方法 定 分析方法 变化内容: 2.10.2 实施实务---外包和第三方审计报告 2 10 2 实施实务 外包和第三方审计报告 增加内容: 2.10.2 实施实务---云计算 2.10.2 实施实务---云治理 实 实 2.10.4 软件开发 2 13 2 流感大流行的应对规划 2.13.2 Page 6 <Title> | <Date> © 2012 SPISEC Corporation
- 7. 2.4.4信息安全治理 24 4信息安全治理 • 有效的信息安全治理的效果: • 战略一致 —使信息安全与业务战略保持一致以支持 组织目标。为达到战略 致应实现: 组织目标 为达到战略一致应实现: (2012年减少内容) • 风险管理 – 管理和实施适当的措施以降低 险并减 险管理 管理和实施适当的措施以降低风险并减 少对信息资源的潜在影响至可接受风险水平。 (2012年减少内容) • 价值交付 – 优化安全投资以支持业务目标。 (2012年减少内容) 汇哲科技—持久有效的CISA与IT审计项目后续服务 Page 7 <Title> | <Date> © 2012 SPISEC Corporation
- 8. 2.9.3风险分析方法 29 3风险分析方法 • 定量方法 • 定量分析方法使用数值描述风险发生的可能性及其 影响,分析中所用数据有多种不同的来源,如:历 影响 分析中所用数据有多种不同的来源 如:历 史记录、过去的经验值、行业数据、统计理论、测 试和实际值。 试和实际值 • 定量的计算部分。(2012年减少内容) 汇哲科技 汇哲科技——最专业信息安全培训与售后服务公司 最专业信息安全培训与售后服务公司 Page 8 <Title> | <Date> © 2012 SPISEC Corporation
- 9. 2.10.2采购实务 2 10 2采购实务 云计算 注:2012年增加内容 如何在云供应商的架构中保证企业自己的 应用和数据安全是个复杂的问题,因为缺 乏可视和丧失对第三方服务商网络中如何 操作的控制,如果企业自己操作,需要考 虑以下问题,例如架构、应用、数据的安 全,同样适用于要求云服务提供商。由于 出问题时企业不能拥有对事件与自己运维 Steve Whitlock 在Jericho Forum: 同样的控制,需要在评价云服务提供商的 价 “象很多人一样 我们已经看到转向云 象很多人 样,我们已经看到转向云 安全和隐私控制措施更加仔细。 计算的巨大潜力和收益,但是应关注风 险,安全,互操作性问题,需要做大量 工作使云计算成为协作的安全场所.” 作使云计算成为协作的安全场所. 汇哲科技——每月上海CISA/CISSP培训课程,全方位高质量体验! 汇哲科技 每月上海CISA/CISSP培训课程 全方位高质量体验! Page 9 <Title> | <Date> © 2012 SPISEC Corporation
- 10. 2 10 2采购实务 2.10.2采购实务 Google CEO Eric Schmidt (埃里克·施密特)2007年 在 Seoul Digital Forum(韩国汉城/首尔数码论坛)上, 回答观众提问时,定义了 b 回答观众提问时 定义了 Web 3.0 的概念 在嘲笑 的概念。在嘲笑 Web 2.0 概念是市场炒作之后,Schmidt 为Web 3.0 下 了定义:“ Web 3.0 是指集合众多应用在一起,并带 有以下特点:应用相对得小,数据成云状分布,应用 有以下特点 应用相对得小 数据成云状分布 应用 可以运行于任何设备上(电脑或者手机都可以),应 用速度很快且可以高度个性 化设置,呈病毒化几何 数量级地分发(通过社会网络、电子邮件等)。 数量级地分发(通过社会网络 电子邮件等) ” 注:2012年增加内容 汇哲—独立售后服务部支持您的学习 Page 10 <Title> | <Date> © 2012 SPISEC Corporation
- 11. 2.10.2采购实务 2 10 2采购实务 注:2012年增加内容 注 年增加内容 云计算服务交付模型(SPI) https://www.spisec.com/ htt // i / Page 11 <Title> | <Date> © 2012 SPISEC Corporation
- 12. 2.10.2采购实务 2 10 2采购实务 注:2012年增加内容 云计算部署模型 • 社区云 • 公有云 • 混合云是 公有云 社区云 混合云 (垂直云) 私有云 (外部云) • 私有云(内 服务的用 一种用户 指云计算 部云)指组 户是 个 户是一个 使用云计 私 的服务对 织机构建设 特定范围 算服务的 象没有特 的专供自己 的群体, 方式,指 定限制, 使用的云平 既不是一 用户使用 为外部客 为 客 台,所提供 台 所提供 个单位内 云计算服 户提供服 的服务不是 部的,也 务的时候, 务的云, 供他人使用, 不是一个 既使用公 其所有的 而是供自己 完全公开 有云服务, 有云服务 服务是供 的内部人员 的服务, 同时也使 别人使用。 或分支机构 而是介于 用私有云 使用。 两者之间 两者之间。 的服务。 Page 12 <Title> | <Date> © 2012 SPISEC Corporation
- 13. 2 10 2采购实务 2.10.2采购实务 注 2012年增加内容 注:2012年增加内容 云计算特点 汇哲原创盗版必究 汇哲随时更新最新的CISA资料 Page 13 <Title> | <Date> © 2012 SPISEC Corporation
- 14. 2.10.2采购实务 2 10 2采购实务 外包及第三方审计报告 • 可要求供应商定期提交第三方审计报告( SAS70/SSAE16报告),涵盖与数据机密性、完整 SAS70/SSAE16报告) 涵盖与数据机密性 完整 性、可用性相关的问题。或允许组织内部审计师 对供应商进行定期审计(对第三方外包商的审计 权)。 • AICPA审计准则提供3个服务组织控制框架(SOC ),SOC 1,2,3 。 注:2012年变化内容 业内最大的CISA考试和IT审计资料平台—国盟cncisa Page 14 <Title> | <Date> © 2012 SPISEC Corporation
- 15. 2.10.2采购实务 2 102采购实务 • 云治理 考虑使用云计算时主要考虑业务和IT的战略方向 。 IT服务传统上被内部管理,考虑IT治理,在第三 方提供时更复杂,更应考虑IT治理,关注云计算技术 , 考 , 算 和云计算服务提供商。 注:2012年增加内容 注 年增加内容 5月CISA免费辅导研讨会以实力助力会员顺利通过CISA(免费精华资料等你拿!) Page 15 <Title> | <Date> © 2012 SPISEC Corporation
- 16. 2.10.4财务管理实务 2 10 4财务管理实务 软件开发 • 公司对内部使用软件的成本资本化 AICPA SOP 公司对内部使用软件的成本资本化,AICPA 98-1。 注:2012年增加内容 5月北京上海CISA辅导会将正式发放2009-2011年12月 CISA考试重要知识点梳理集(免费) https://www.spisec.com/ Page 16 <Title> | <Date> © 2012 SPISEC Corporation
- 17. 2.13.3灾难和其他破坏性事件 2 133灾难和其他破坏性事件 流感大流行的应对规划 • 注:2012年增加内容 欧洲中世纪以来有过较为明确记录的流感大流行有30多次,更早时期虽然有过模糊的记载, 但更为详细的数据均不可考。无法否认,流感大流行是一直悬于人类社会之上的一柄杀伤力 极强的利剑。流感大流行每隔一段时间都会肆虐人类社会,据20世纪的记录估算,这样的间 隔平均约为30年。一般来说,更长时期的间隔可能意味着更为强力的流感威胁,这样的威胁 来源于病毒本身,也会因社会的观念与准备而改变。 来源于病毒本身 也会因社会的观念与准备而改变 • 流感大流行的到来具有很强的不确定性,主要是因为导致大流行的流感病毒亚型具有不确定 性。无论是由基因变异产生的新型流感病毒亚型还是旧亚型的回归,只要能够在人群中迅速 传播,同时 群普遍对其缺乏抵抗力,最终都有可能形成 次流感大流行。实际情况也恰恰 传播,同时人群普遍对其缺乏抵抗力,最终都有可能形成一次流感大流行。实际情况也恰恰 说明了这一点:21世纪初社会因SARS疫情的爆发认识到传染病防控的重要,随后就面临高致 病性禽流感病毒H5N1的威胁。这样的背景下,社会各界普遍认为高致病性人禽流感是未来 流感大流行最直接的威胁。因此,有关研究开始持续关注人感染高致病性禽流感突破人传人 屏障的可能性。事实上,人感染高致病性禽流感一直没有明确的人传人的证据。而在2009年 屏障的可能性 事实上 人感染高致病性禽流感 直没有明确的人传人的证据 而在2009年 3月,被称为“猪流感”的流感病毒突然从墨西哥出现,并在短时期内席卷了全球,成为21 世纪第1次流感大流行,即“甲型H1N1流感大流行”。到2010年8月1日,该病毒在全球范围 内造成的 内造成的死亡病例达到18449人。幸运的是该病毒的毒力有限,世界在惊醒流感大流行的威 病例 到 幸 的是该病毒的毒力有限, 界在惊醒 感 行的威 胁的同时,付出的代价与20世纪的几次流感大流行相比要小得多。然而,人类很难准确判断 下一次流感大流行将由何种病毒引起。人们一般在讨论流感大流行时,更多的是将其作为一 个概念性的问题加以论述。也正是因为其不确定性,尽管公认流感大流行可能造成的危害和 影响要超出2003年的SARS疫情,但我国卫生部门并没有将其列入到甲类或乙类法定传染病的 影响要超出2003年的SARS疫情 但我国卫生部门并没有将其列入到甲类或乙类法定传染病的 序列中进行管理。 Page 17 <Title> | <Date> © 2012 SPISEC Corporation
- 18. 2.13.3灾难和其他破坏性事件 2 133灾难和其他破坏性事件 流感大流行的应对规划 • 历史上已知的流感大流行使我们了解流感大流行必然是某一种确定的流感病毒亚型引起的, 无论是“西班牙流感”、“亚洲流感”、“香港流感”还是最近一次的“甲型H1N1流感” 都能寻找到确切的导致大流行的流感病毒亚型。所以最终在应对时,“对手”是明确的,目 标是清晰的。而流感大流行对社会和经济的影响与威胁也是确定的 ,即广泛的人类疾病造成对医疗服务的供不应求,甚至社会基本功能无法维持等。 • 社会功能的破坏。流感大流行对基本社会功能的破坏也将是显而易见的。与地震、水灾等自 然灾害,技术灾难,恶意行为或恐怖主义事件不同,流感大流行造成的是大范围内人群的健 康损害,因此在流行期间,将导致2 方面的问题。①由于健康状况的影响,很多由人完成的 康损害 因此在流行期间 将导致2 方面的问题 ①由于健康状况的影响 很多由人完成的 工作陷入停滞,导致社会功能的停滞。②由于大范围的影响,一个省、甚至是国家面临的情 况都相似,因此集中部分地区的力量对疫情灾区进行援助在流感大流行期间无法实现,各个 地区只能主要依靠自己的力量应对流感大流行对社会功能的影响。 区 能主要依靠自 的力量应对流感大流行对社会功能的影响 • 流感大流行的应对规划和传统的业务连续性规划不同,信息 系统审计师应评价组织对流感大流行的准备;流感大流行的 的影响由于范围和持续时间不同难以确定。 汇哲原创盗版必究 注 2012年增加内容 注:2012年增加内容 Page 18 <Title> | <Date> © 2012 SPISEC Corporation
- 19. 第三章信息系统的购置、开发与实施 第三章信息系统的购置 开发与实施 删除内容: 3.4.2 软件规模估计----源代码行数法 软件规模评估 • 确定需开发软件的相对大小,以指导资源分配、时间及 成本估算。 • 方法: –源代码行(SLOC)的单点估算方法(2012年删除内容) 简单易用,但不精确。 5月北京上海CISA辅导会将正式发放2009-2011 年12月CISA考试重要知识点梳理集(免费) Page 19 <Title> | <Date> © 2012 SPISEC Corporation
- 20. 第四章信息系统的操作、维护与支持 第四章信息系统的操作 维护与支持 汇哲科技部分内训案例: 无 上海宝信COBIT实践内部培训项目(非认证类) 中国移动福建省公司CISA认证强化内部培训 中国移动深圳省公司信息安全审计实践、信息安全加固与防御内训 中国航空结算有限责任公司COBIT实践内部培训项目 上海银监局CISA内部培训 上海某集团有限公司信息安全风险评估,IT审计实践定制化内部培训 某移动IT治理与信息安全治理COBIT5内部培训 某银行COBIT 5内部培训 某集团CISA与IT审计内部培训 ——2011年12月CISA考试70人通过67人 2011年12月CISA考试70人通过67人 Page 20 <Title> | <Date> © 2012 SPISEC Corporation
- 21. 第五章信息资产的保护 内容无变化,章节迁移 5.6.1( 2011年)计算机司法调查 迁移为 5.5.4( 2012年) 计算机司法调查: 计算机司法调查 • 以司法可接受的方式识别、保留、分析和提供数字证据,以支持必要 的法律活动。 • 信息系统审计师应参与司法取证调查与分析,提供专家意见或对收集 信息系统审计师应参与司法取证调查与分析 提供专家意见或对收集 的信息进行正确的解释。 ——5月北京上海CISA考前强化培训班!助力CISA考试! ——持久有效的后续服务助力你走入IT审计实践! 持久有效的后续服务助力你走入IT审计实践! Page 21 <Title> | <Date> © 2012 SPISEC Corporation
- 22. 我们长年为你或企业提供以下培训服务 Page 22 <Title> | <Date> © 2012 SPISEC Corporation
- 23. 联系我们 网址:www.spisec.com 赞助:www.cncisa.org www.cncisa.com 商城:http://spisec.taobao.com/ 商城 htt // i t b / 地址:上海黄浦区陆家浜路1332号南开大厦1508 邮编:200011 电话:021 33663299 电话:021-33663299 邮箱:huizhe@spisec.com 在线:Q 在线 Q 2443445995 Q 23866247 Q 1109871256 Q:23866247 Q:1109871256 学员质量与服务评价:http://www.cncisa.com/read- htm tid 18269.html htm-tid-18269 html Page 23 <Title> | <Date> © 2012 SPISEC Corporation
- 24. Page 24 <Title> | <Date> © 2012 SPISEC Corporation