培训课程
CISA考试涉及的内容简介
发布时间:2012年01月13日|
作者:佚名|
来源:<a href='http://v.iaudit.cn/ShowCopyFrom.asp?ChannelID=1024&SourceName=网络整理'>网络整理</a>|
点击数:
|字体: 小 | 默认 | 大
- 根据信息系统审计标准、准则和最佳实务,为组织制定和实施基于风险的信息系统审计战略。
- 为确保信息技术和运营系统是受保护和受控的,规划详尽的审计。
- 遵照信息系统审计标准、准则和最佳实务,实施审计,以达到制定的审计目标(目的) 。
- 就新出现的问题、潜在的风险和审计结果(结论),与利益相关人沟通 。
- 在保持独立性的前提下,为组织内风险管理和控制实务的实施提供建议和意见 。
- 评估IT治理结构的效果,以确保董事会对IT决策、IT方向和IT性能的充分(且适当的)控制,从而支持组织的战略和目标。
- 评估IT组织结构和人力资源管理,确保对组织战略和目标的支持。
- 评估IT战略及其起草、批准、实施和维护的程序,以保证其对组织战略和目标的支持
- 评估组织的IT政策、标准和程序,及其制定、批准、实施和维护的流程,以确保其对IT战略的支持并符合法律、法规的要求。
- 评估管理实务,确保其符合组织的IT战略、政策、标准和程序的要求。
- 评估IT资源的投资、使用和配置实务,确保符合组织的战略和目标。
- 评估IT签约战略和政策、及合同管理实务,以保证其对组织战略和目标的支持。
- 评估风险管理实务,确保组织的、与IT相关的风险得到了适当的管理。
- 评估监督和保证实务,保证董事会和执行经理层能及时、充分地获得有关IT绩效的信息。
- 评估拟定的系统开发、采购等业务案例,以确保其符合组织的发展目标。
- 评估项目管理框架和项目治理实务,确保组织在风险管理上,以成本——效益的原则达成组织的业务目标。
- 实施检查以确保项目是依照项目计划推进的,并由相应的文档充分支持,项目状态报告也是准确的。
- 经过需求定义(规格说明)、开发/采购和测试的系统和/或体系,评估其(拟定的)控制机制,以确保其安全,并符合组织的政策和其他方面的要求。
- 评估系统和/或体系的开发/采购和测试流程,确保其交付符合组织的目标。
- 评估系统和/或体系为实施(指现场安装)、交付使用的准备情况。
- 实施系统(或体系)的(现场)实施后的检查,以确保其满足组织的目标,并受到有效的内部控制。
- 对系统(或体系)实施定期检查,以确保其持续地满足组织的目标,并受到有效的内部控制。
- 评估系统(或体系)的维护流程,以确保其持续地满足组织的目标,并受到有效的内部控制。
- 评估系统(或体系)的(报废、处理等)处置流程,以确保其符合组织的政策和程序。
- 评估服务管理实务,以确保由内部和外部服务提供商提供的服务等级是明确定义的、受管理的。
- 评估运营管理,以保证IT支持职能有效地满足了业务要求。
- 评估数据管理实务,以确保数据库的完整性和最优化。
- 评估(生产)能力的使用和性能监控工具和技术,以保证IT服务满足组织的目标。
- 评估变更、配置和(系统版本)发布管理实务,确保组织生产环境的变化得到了充分的控制,并被详细记录。
- 评估问题和事件管理实务,确保所有事件、问题和错误都被及时记录、分析和解决。
- 评估IT基础构架(如:网络设备、硬件、系统软件)的功能,确保其对组织目标的支持。
- 评估逻辑访问控制的设计、实施和监控,确保信息资产的机密性、完整性、有效性和经授权地使用。
- 评估网络框架的安全,保证网络和被传输信息的机密性、完整性、有效性和经授权地使用。
- 评估环境控制的设计、实施和监控,以避免和/或减少损失
- 评估物理访问控制的设计、实施和监控,确保信息资产充分地安全。
- 评估保密信息资产的采集、存储、使用、传输(或运输)和(退役)处置程序和流程。
- 评估备份和恢复准备的充分性,确保恢复运营所需信息的有效性(和可用性)。
- 评估组织的灾难恢复计划,确保一旦发生灾难,之后IT处理能力的恢复。
- 评估组织的业务连续性计划,确保IT(遭破环)服务中断期间,基本业务运营不间断的能力。
上一篇:信息系统审计与传统审计的关系
