CISA 工作实务范围说明

CISA 任务和知识点说明

²  考试内容（领域）

领域 1：信息系统的审计流程——按照 IT 审计标准来提供审计服务，以帮助组织保护和控制其信息系统。

【领域 1：任务说明】

T1.1 按照 IT 审计标准制定并实施基于风险的 IT 审计战略，确保关键领域均包括在内。

T1.2 计划具体审计工作，以确定信息系统是否得到保护和控制并为组织提供价值。

T1.3 按照 IT 审计标准执行审计，以实现计划的审计目标。

T1.4 向重要的利益相关人员通报结果，报告审计发现的问题并提出建议，并在必要时实施变更。

T1.5 进行后续审计工作或准备状态报告，以确保管理部门及时采取相应措施。

【领域 1：知识点说明】

KS1.1 了解 ISACA 信息系统审计标准、准則、工具和技术；职业道德規范及其他适用标准

KS1.2 了解审计环境风险评估的概念、工具和技术

KS1.3 了解控制目标以及与信息系统相关的控制

KS1.4 了解审计计划和审计项目管理技巧（包括后续审计工作）

KS1.5 了解基本业务流程（如采购、薪资管理、应付账款、应收账款等）以及相关的 IT

KS1.6 了解会对审计范围、证据搜集与保管、以及审计频率等产生影响的相关法律法规

KS1.7 了解用于搜集、保护和保管审计证据的证据搜集技巧（例如观察、问询、检查、面谈、数据分析）

KS1.8 了解各种抽样方法

KS1.9 了解报告和交流技巧（例如协助、协商、冲突解决、审计报告结构）

KS1.10 了解审计的质量保障体系和框架

领域 2：IT 治理与管理—用以确保具备必要的领导人员、组织结构及流程来实现相关目标和支持组织战略。

【领域 2：任务说明】

T2.1 对 IT 治理结构的有效性进行评估，以确定 IT 决策、方向和执行是否支持组织的战略和目标。

T2.2 对 IT 组织结构和人力资源（人事）管理情况进行评估，以确定它们是否为组织的战略和目标提供支持。

T2.3 对 IT 战略（包括 IT 方向）及该战略的制定、审批、实施和维护过程进行评估，确定它是否符合组织的战略和目标。

T2.4 对组织的 IT 政策、标准、流程及其制定、审批、实施、维护和监控过程进行评估，以确定它们是否支持 IT 政策并符

合法律法规的要求。

T2.5 对质量管理系统的充分性进行评估，以确定它是否以具有成本效益的方式为组织的战略和目标提供支持。

T2.6 对 IT 管理和控制的监控（例如，持续监控、质量保证 [QA]）进行评估，以确保它们符合组织的政策、标准和流程。

T2.7 对 IT 资源的投资、使用和分配实务（包括优先化评审标准）进行评估，以确定它们是否符合组织的战略和目标。

T2.8 对 IT 外判战略、政策及合同管理实务进行评估，以确定它们是否支持组织的战略和目标。

T2.9 对风险管理实务进行评估，以确定组织内 IT 相关的风险是否已得到合理管理。

T2.10 对监控和鉴证实务进行评估，以确定董事会和管理高层能否及时充分地获取有关 IT 执行情况的信息。

T2.11 对组织的业务连续性计划进行评估，以确定组织能否在 IT 遭到中断期间能继续基本业务的操作。

【领域 2：知识点说明】

KS2.1 了解 IT 治理、管理、安全和控制框架以及相关标准、续和实务

KS2.2 了解组织的 IT 战略、政策、标准及流程的目的及其基本元素

KS2.3 了解 IT 的组织结构、角色和职责

KS2.4 了解 IT 战略、政策、标准及流程的制定、实施和维护过程

KS2.5 了解组织的技术方向和 IT 架构及其对于设定长期战略方向的意义

KS2.6 了解会对组织产生影响的相关法律、法规和行业标准

KS2.7 了解质量管理系统

KS2.8 了解成熟度模型的使用

KS2.9 了解流程优化技术

KS2.10 了解包括优先化评审标准在内的 IT 资源投资和分配实务（例如，资产组合管理、价值管理和项目管理）

KS2.11 了解包括第三方外包关系在内的 IT 供应商选择、合同管理、关系管理和性能监控过程

KS2.12 了解企业风险管理

KS2.13 了解监控和报告 IT 执行的实务（例如，平衡记分卡和关键性能指标 [KPI]）

KS2.14 了解用于调用业务连续性计划的 IT 人力资源（人事）管理实务

KS2.15 了解与业务连续性计划 (BCP) 相关的业务影响分析 (BIA)

KS2.16 了解与业务连续性计划 (BCP) 的开发和维护相关的标准和流程以及测试方法

领域 3：信息系统的购置、开发与实施—用以确保信息系统的购置、开发、测试和实施实务符合组织的战略与目标。

【领域 3：任务说明】

T3.1 评估在信息系统的购置、开发、维护及后期退役方面进行建议投资的业务案例，以确定它是否符合业务目标。

T3.2 对项目管理实务和控制进行评估，以确定在管理组织的风险时是否以具有成本效益的方式达到业务要求。

T3.3 进行审查，以确定进行中的项目是否与项目计划保持一致，具有充分的文档支持，并且状态报告正确无误。

T3.4 对在需求、购置、开发和测试阶段的信息系统控制进行评估，以确保符合组织的政策、标准、流程及相应外部要求。

T3.5 对信息系统的生产实施和迁移就绪情况进行评估，以确定其是否满足项目交付成果、控制及组织的要求。

T3.6 对信息系统执行后实施审查，以确定其是否满足项目交付成果、控制及组织的要求。

【领域 3：知识点说明】

KS3.1 了解收益实现实务（例如，可行性研究、业务案例、总体拥有成本 [TCO]、投资回报 [ROI]）

KS3.2 了解项目治理机制（例如，督导委员会、项目监管董事会、项目管理办公室）

KS3.3 了解项目管理控制框架、实务和工具

KS3.4 了解适用于项目的风险管理实务

KS3.5 了解与数据、应用程序和技术相关的 IT 架构（例如，分布式应用程序、基于 Web 的应用程序、Web 服务、n 层应

用）

KS3.6 了解购置实务（例如，供应商评估、供应商管理、托管）

KS3.7 了解需求的分析和管理实务（例如，需求验证、可跟踪性、差距分析、漏洞管理、安全要求）

KS3.8 了解有关项目成功的审核标准和风险

KS3.9 了解控制目标和技巧，以确保事务和数据的完整性、准确性、有效性及授权

KS3.10 了解系统开发方法和工具，包括它们的优点和缺点（例如，敏捷开发实务、原型设计、快速应用开发 [RAD]、面向对

象的设计技术）

KS3.11 了解与信息系统开发相关的测试方法和实务

KS3.12 了解与信息系统开发相关的配置和发布管理

KS3.13 了解系统迁移和基础架构部署实务，以及数据转换工具、技术和流程

KS3.14 了解后实施审查目标和实务（例如，项目收尾、控制的实施、收益实现、绩效衡量）

领域 4：信息系统的操作、维护与支持—用以确保信息系统的操作、维护和支持过程符合组织的战略与目标。

【领域 4：任务说明】

T4.1 定期审查信息系统，以确定其是否持续满足组织目标。

T4.2 对服务水平管理实务进行评估，以确定能否对组织内部和外部服务提供商的服务水平进行定义和管理。

T4.3 对第三方管理实务进行评估，以确定提供商是否达到组织所期望的控制水平。

T4.4 对有关信息系统操作和终端用户的流程进行评估，以确定既定和非既定的流程是否得到管理并完成。

T4.5 对信息系统的维护过程进行评估，以确定其是否达到有效控制并持续支持组织的目标。

T4.6 对数据管理实务进行评估，以确定数据库的完整性和最优化情况。

T4.7 对容量和性能监控工具及技术的使用情况进行评估，以确定信息技术服务能否满足组织的目标。

T4.8 对问题和事故管理实务进行评估，以确定事故、问题或错误能否及时得到记录、分析和解决。

T4.9 对变更、配置和发布管理实务进行评估，以确定能否充分控制在组织生产环境内的计划内和计划外变更、并将这些变更记录

在案。

T4.10 对备份和恢复准备的充分性进行评估，以确定恢复处理所需信息的可用性。

T4.11 对组织的灾难恢复计划进行评估，以确定此计划能否在灾难发生时恢复 IT 的处理功能。

【领域 4：知识点说明】

KS4.1 了解服务水平管理实务及服务级别协议中的组成部分

KS4.2 了解用于监控第三方对组织内部控制措施遵守情况的相关技术

KS4.3 了解用于管理既定和非既定流程的信息系统操作和终端用户流程

KS4.4 了解与硬件和网络组件、系统软件及数据库管理系统相关的技术概念

KS4.5 了解可确保系统接口完整性的控制技术

KS4.6 了解软件许可和资产清单实务

KS4.7 了解系统弹性工具和技术（例如，容错硬件、消除单一故障点、群集）

KS4.8 了解数据库管理实务

KS4.9 了解容量规划及相关的监控工具和技术

KS4.10 了解系统性能监控过程、工具和技术（例如，网络分析程序、系统使用情况报告、负载均衡）

KS4.11 了解问题和事故管理实务（例如，服务台、升级流程、跟踪）

KS4.12 了解管理生产系统和/或基础架构的计划内和突发变更的过程，包括变更、配置、发布和修补程序管理实务

KS4.13 了解数据备份、存储、维护、保留和恢复实务

KS4.14 了解与灾难恢复相关的法律、法规、合同及保险问题

KS4.15 了解与灾难恢复计划相关的业务影响分析 (BIA)

KS4.16 了解灾难恢复计划的开发和维护

KS4.17 了解备用处理场所的类型和监控合同协议的方法（例如，热备站点、温备站点、冷备站点）

KS4.18 了解用于调用灾难恢复计划的过程

KS4.19 了解灾难恢复测试方法

领域 5：信息资产的保护—用以确保组织的安全政策、标准、流程和控制能够保证信息资产的机密性、完整性和可用性。

【领域 5：任务说明】

T5.1 对信息安全政策、标准和流程进行评估，以确保其完整性并符合普遍认可的实务。

T5.2 对系统和逻辑访问控制的设计、实施和监控进行评估，以验证信息的机密性、完整性及可用性。

T5.3 对数据分类过程和流程的设计、实施和监控进行评估，以确保它们符合组织的政策、标准、流程及相应的外部要求。

T5.4 对物理访问和环境控制的设计、实施和监控进行评估，以确定信息资产是否得到充分保护。

T5.5 对用于存储、检索、传输和处理信息资产的过程和流程进行评估（例如，备份介质、外部存储、硬拷贝/打印数据和软

拷贝介质），以确定信息资产是否得到充分保护。

【领域 5：知识点说明】

KS5.1 了解安全控制的设计、实施和监控技术（包括安全意识计划）

KS5.2 了解与监控和响应安全事故相关的过程（例如，升级流程、突发事故响应团队）

KS5.3 了解用户标识、身份验证以及授权功能和数据限制的逻辑访问控制

KS5.4 了解与硬件、系统软件（例如，应用程序和操作系统）及数据库管理系统相关的安全控制

KS5.5 了解与系统虚拟化相关的风险和控制

KS5.6 了解网络安全控制的配置、实施、操作和维护

KS5.7 了解网络和互联网的安全设备、协议和技术

KS5.8 了解信息系统攻击方法和技术

KS5.9 了解检测工具和控制技术（例如，恶意软件、病毒检测、间谍软件）

KS5.10 了解安全测试技术（例如，入侵测试、漏洞扫描）

KS5.11 了解与数据泄漏相关的风险和控制

KS5.12 了解与数据加密相关的技术

KS5.13 了解公钥基础架构 (PKI) 组件和数字签名技术

KS5.14 了解与对等计算、即时消息及基于 Web 的技术（例如，社交网络、留言板、博客）相关的风险和控制

KS5.15 了解与移动设备和无线设备的使用相关的控制和风险

KS5.16 了解语音通信安全（例如，专用分组交换机、网络语音通讯）

KS5.17 了解在取证调查中采用的证据保管技术和过程（例如，IT、过程、保管链）

KS5.18 了解数据分类标准及支持流程

KS5.19 了解用户标识、身份验证以及授权功能限制的物理访问控制

KS5.20 了解环境保护设备及支持实务

KS5.21 了解用于存储、检索、传输和处理机密信息资产的过程和流程