新書推薦:
《
精致考古--山东大学实验室考古项目论文集(一)
》
售價:NT$
1112.0
《
从天下到世界——国际法与晚清中国的主权意识
》
售價:NT$
347.0
《
血色帝国:近代英国社会与美洲移民
》
售價:NT$
265.0
《
海外中国研究·王羲之:六朝贵族的世界(艺术系列)
》
售價:NT$
811.0
《
唐宋绘画史 全彩插图版
》
售價:NT$
449.0
《
被误会的孔子
》
售價:NT$
203.0
《
“御容”与真相:近代中国视觉文化转型(1840-1920)
》
售價:NT$
505.0
《
鸣沙丛书·大风起兮:地方视野和政治变迁中的“五四”(1911~1927)
》
售價:NT$
454.0
內容簡介:
随着计算机技术在管理中的广泛运用,传统的管理、控制、检查和审计技术都面临着巨大的挑战。在网络经济迅猛发展的今天,IT审计师已被公认为全世界范围内非常抢手的高级人才。享誉全球的ISACA(国际信息系统审计协会)为全球专业人员提供知识、职业认证并打造社群网络,其推出的CISA(注册信息系统审计师,Certified Information Systems Auditor)认证在全球受到广泛认可,并已进入中国。本书是ISACA官方出版的获得CISA认证的指定教材。
關於作者:
ISACA(国际信息系统审计协会,网址:isaca.org)为全球专业人士提供创新性、世界级的知识、标准、社群、认证和职业发展,协助其引领及适应不断向前发展的数字世界并树立信心。ISACA 成立于 1969 年,是一家非营利的全球性协会,成员遍布 180 个国家,总数达到 140 000 人。ISACA 还提供一套完整的网络安全资源 Cybersecurity NexusTM(CSX) 以及用于治理企业技术的业务框架 COBIT?。此外,ISACA 通过全球著名的注册信息系统审计师 (Certified Information Systems Auditor?, CISA?)、注册信息安全经理 (Certified Information Security Manager?, CISM?)、企业 IT 治理认证 (Certified in the Governance of Enterprise IT?,CGEIT?) 和风险及信息系统控制认证 (Certified in Risk and Information Systems ControlTM, CRISCTM) 来提升和验证关键业务技能及知识。
ISACA(国际信息系统审计协会,网址:isaca.org)为全球专业人士提供创新性、世界级的知识、标准、社群、认证和职业发展,协助其引领及适应不断向前发展的数字世界并树立信心。ISACA 成立于 1969 年,是一家非营利的全球性协会,成员遍布 180 个国家,总数达到 140 000 人。ISACA 还提供一套完整的网络安全资源 Cybersecurity NexusTM(CSX) 以及用于治理企业技术的业务框架 COBIT?。此外,ISACA 通过全球著名的注册信息系统审计师 (Certified Information Systems Auditor?, CISA?)、注册信息安全经理 (Certified Information Security Manager?, CISM?)、企业 IT 治理认证 (Certified in the Governance of Enterprise IT?,CGEIT?) 和风险及信息系统控制认证 (Certified in Risk and Information Systems ControlTM, CRISCTM) 来提升和验证关键业务技能及知识。
目錄 :
目录
第1章 信息系统的审计流程 1
概述 2
领域1考试内容大纲 2
学习目标/任务说明 2
深造学习参考资源 2
自我评估问题 2
自我评估问题参考答案 4
A部分:规划 6
1.1 信息系统审计标准、准则、职能和道德规范 6
1.1.1 ISACA信息系统审计和鉴证标准 6
1.1.2 ISACA信息系统审计和鉴证准则 7
1.1.3 ISACA 职业道德规范 7
1.1.4 ITAF TM 7
1.1.5 信息系统内部审计职能 7
1.2 审计类型、评估和审查 9
1.2.1 控制自我评估 10
1.2.2 整合审计 11
1.3 基于风险的审计规划 12
1.3.1 单项审计任务 12
1.3.2 法律法规对信息系统审计规划的影响 13
1.3.3 审计风险和重要性 15
1.3.4 风险评估 15
1.3.5 信息系统审计风险评估技术 15
1.3.6 风险分析 16
1.4 控制类型和考虑因素 16
1.4.1 内部控制 16
1.4.2 控制目标和控制措施 16
1.4.3 控制分类 19
1.4.4 控制与风险的关系 21
1.4.5 规定性控制和框架 21
1.4.6 控制环境评估 22
B部分:执行 23
1.5 审计项目管理 23
1.5.1 审计目标 23
1.5.2 审计阶段 23
1.5.3 审计方案 25
1.5.4 审计工作底稿 26
1.5.5 欺诈、违规和非法行为 26
1.5.6 敏捷审计 26
1.6 审计测试和抽样方法 28
1.6.1 符合性与实质性测试 28
1.6.2 抽样 29
1.7 审计证据搜集技巧 31
1.7.1 面谈和观察员工以了解其职责履行情况 33
1.8 审计数据分析 33
1.8.1 计算机辅助审计技术 34
1.8.2 持续审计和监控 35
1.8.3 持续审计技术 36
1.8.4 信息系统审计中的人工智能 37
1.9 报告和沟通技巧 39
1.9.1 沟通审计结果 39
1.9.2 审计报告目标 40
1.9.3 审计报告的结构与内容 40
1.9.4 审计记录 41
1.9.5 跟进活动 42
1.9.6 信息系统审计报告的类型 42
1.10 质量保证和审计流程改进 42
1.10.1 审计委员会监督 42
1.10.2 审计质量保证 42
1.10.3 审计团队培训与发展 42
1.10.4 监控 42
案例研究 44
案例研究相关问题参考答案 46
第2章 IT治理与管理 47
概述 48
领域2考试内容大纲 48
学习目标/任务说明 48
深造学习参考资源 49
自我评估问题 49
自我评估问题参考答案 51
A部分:IT治理 53
2.1 法律、法规和行业标准 53
2.1.1 法律、法规和行业标准对信息系统审计的影响 53
2.1.2 治理、风险与合规性 54
2.2 组织结构、IT治理和IT战略 54
2.2.1 企业信息和技术治理 55
2.2.2 EGIT的良好实践 56
2.2.3 EGIT中的审计角色 56
2.2.4 信息安全治理 57
2.2.5 信息系统策略 59
2.2.6 战略规划 59
2.2.7 商业智能 60
2.2.8 组织结构 62
2.2.9 审计IT治理结构与实施 72
2.3 IT政策、标准、程序和准则 72
2.3.1 政策 73
2.3.2 标准 74
2.3.3 程序 75
2.3.4 准则 75
2.4 企业架构和注意事项 75
2.5 企业风险管理 76
2.5.1 开发风险管理方案 77
2.5.2 风险管理生命周期 77
2.5.3 风险分析方法 80
2.6 数据隐私方案和原则 80
2.6.1 隐私记录 81
2.6.2 审计流程 84
2.7 数据治理和分类 84
2.7.1 数据清单和分类 85
2.7.2 法律目的、同意和合法权益 85
2.7.3 数据主体的权利 87
B部分:IT管理 88
2.8 IT资源管理 88
2.8.1 IT的价值 88
2.8.2 实施IT组合管理 88
2.8.3 IT管理实务 88
2.8.4 人力资源管理 88
2.8.5 企业变更管理 91
2.8.6 财务管理实务 91
2.8.7 信息安全管理 92
2.9 IT供应商管理 93
2.9.1 资源开发实务 93
2.9.2 外包实务与战略 94
2.9.3 云治理 97
2.9.4 外包中的治理 97
2.9.5 容量和发展规划 98
2.9.6 第三方服务交付管理 98
2.10 IT性能监控与报告 99
2.10.1 关键绩效指标 99
2.10.2 关键风险指标 99
2.10.3 关键控制指标 99
2.10.4 绩效优化 100
2.10.5 方法和技术 101
2.11 IT质量保证和质量管理 103
2.11.1 质量保证 103
2.11.2 质量管理 104
2.11.3 卓越运营 104
案例研究 105
案例研究相关问题参考答案 106
第3章 信息系统的购置、开发与实施 107
概述 108
领域 3 考试内容大纲 108
学习目标/任务说明 108
深造学习参考资源 108
自我评估问题 108
自我评估问题参考答案 110
A部分:信息系统的购置与开发 112
3.1 项目治理和管理 112
3.1.1 项目管理实务 112
3.1.2 项目管理结构 112
3.1.3 项目管理角色和职责 113
3.1.4 项目管理技术 113
3.1.5 项目组合/项目集管理 115
3.1.6 项目管理办公室 116
3.1.7 项目效益实现 117
3.1.8 项目开始 118
3.1.9 项目目标 118
3.1.10 项目规划 119
3.1.11 项目执行 123
3.1.12 项目控制和监控 123
3.1.13 项目收尾 123
3.1.14 信息系统审计师在项目管理中的角色 124
3.2 业务案例和可行性分析 124
3.2.1 信息系统审计师在业务案例开发中的角色 125
3.3 系统开发方法 126
3.3.1 业务应用程序开发 126
3.3.2 SDLC模型 126
3.3.3 SDLC 阶段 128
3.3.4 信息系统审计师在 SDLC 项目管理中的角色 136
3.3.5 软件开发方法 136
3.3.6 系统开发工具和生产力辅助设备 142
3.3.7 基础架构开发/购置实务 144
3.3.8 硬件/软件购置 147
3.3.9 系统软件购置 149
3.4 控制识别和设计 151
3.4.1 应用控制 151
3.4.2 输出控制 155
B部分:信息系统实施 158
3.5 系统准备和实施测试 158
3.5.1 测试分类 158
3.5.2 软件测试 160
3.5.3 数据完整性测试 160
3.5.4 应用程序系统测试 161
3.5.5 系统实施 163
3.6 实施配置和管理 164
3.6.1 配置管理系统 164
3.7 系统迁移、基础设施部署和数据转换 165
3.7.1 数据迁移 165
3.7.2 转换(上线或切换)技术 167
3.7.3 系统变更程序和程序迁移流程 168
3.7.4 系统软件实施 169
3.7.5 认证/认可 169
3.8 实施后分析 169
3.8.1 信息系统审计师在实施后审查中的角色 170
案例研究 172
案例研究相关问题参考答案 174
第4章 信息系统的运营和业务恢复能力 175
概述 176
领域4 考试内容大纲 176
学习目标/任务说明 176
深造学习参考资源 176
自我评估问题 177
自我评估问题参考答案 179
A部分:信息系统运营 181
4.1 IT组件 181
4.1.1 网络 182
4.1.2 计算机硬件组件和架构 192
4.1.3 常用的企业后端设备 193
4.1.4 USB大容量存储设备 194
4.1.5 无线通信技术 196
4.1.6 硬件维护程序 196
4.1.7 硬件审查 197
4.2 IT资产管理 198
4.3 作业调度和生产流程自动化 198
4.3.1 作业调度软件 198
4.3.2 日程审查 198
4.4 系统接口 199
4.4.1 与系统接口相关的风险 200
4.4.2 与系统接口相关的控制 200
4.5 最终用户计算和影子IT 201
4.5.1 最终用户计算 201
4.5.2 影子IT 202
4.6 系统可用性和容量管理 202
4.6.1 信息系统架构和软件 202
4.6.2 操作系统 203
4.6.3 访问控制软件 204
4.6.4 数据通信软件 204
4.6.5 实用程序 206
4.6.6 软件许可问题 206
4.6.7 源代码管理 207
4.6.8 容量管理 208
4.7 问题和事故管理 209
4.7.1 问题管理 209
4.7.2 事故处理过程 209
4.7.3 异常情况的检测、记录、控制、解决和报告 209
4.7.4 技术支持/客户服务部门 210
4.7.5 网络管理工具 210
4.7.6 问题管理报告审查 211
4.8 IT变更、配置和修补程序管理 212
4.8.1 修补程序管理 212
4.8.2 发行管理 212
4.8.3 信息系统运营 213
4.9 运营日志管理 215
4.9.1 日志类型 215
4.9.2 日志管理 216
4.10 IT服务水平管理 218
4.10.1 服务等级协议 219
4.10.2 服务水平监控 220
4.10.3 服务水平与企业架构 220
4.11 数据库管理 220
4.11.1 DBMS结构 220
4.11.2 数据库结构 221
4.11.3 数据库控制 224
4.11.4 数据库审查 224
B部分:业务恢复能力 226
4.12 业务影响分析 226
4.12.1 运营和关键性分析分类 227
4.13 系统和运营恢复能力 228
4.13.1 应用程序恢复能力和灾难恢复方法 228
4.13.2 电信网络恢复能力和灾难恢复方法 229
4.14 数据备份、存储和恢复 230
4.14.1 数据存储恢复能力和灾难恢复方法 230
4.14.2 备份与恢复 230
4.14.3 备份方案 233
4.15 业务持续计划 235
4.15.1 IT业务持续计划 236
4.15.2 灾难和其他破坏性事件 237
4.15.3 业务持续计划流程 238
4.15.4 业务连续性政策 238
4.15.5 业务持续计划事故管理 239
4.15.6 制订业务持续计划 240
4.15.7 计划制订过程中的其他问题 240
4.15.8 业务持续计划的构成要素 241
4.15.9 计划测试 243
4.15.10 业务连续性管理良好实践 245
4.15.11 审计业务连续性 245
4.16 灾难恢复计划 248
4.16.1 恢复点目标、恢复时间目标和平均修复时间 248
4.16.2 恢复策略 249
4.16.3 恢复备选方案 250
4.16.4 灾难恢复计划的制订 252
4.16.5 灾难恢复测试方法 254
4.16.6 调用灾难恢复计划 25