【正文】 重要的一個(gè)方面是受程序控制的人員熟悉規(guī)程內(nèi)容，如果使用程序人員不了解其內(nèi)容，該程序是無效* 風(fēng)險(xiǎn)：外在威脅利用資產(chǎn)本身（保護(hù)對象）的脆弱性（對象本身特點(diǎn)）造成損害的可能。從集中到分散。* IT投資財(cái)務(wù)指標(biāo)關(guān)注：投資回報(bào)率（ROI）* 關(guān)注風(fēng)險(xiǎn)的同時(shí)也要關(guān)注投資回報(bào)；* 平衡記分卡決定項(xiàng)目投資與否，強(qiáng)調(diào)愿景；IT投資組合，具體項(xiàng)目投資量，關(guān)注投資回報(bào)最大化。一個(gè)人注冊一個(gè)基于網(wǎng)絡(luò)的服務(wù)或工作在一個(gè)社團(tuán)內(nèi)部網(wǎng)時(shí)經(jīng)常會(huì)遇到一個(gè)AUP。許多公共網(wǎng)絡(luò)服務(wù)有一個(gè)AUP。* IT治理目標(biāo)要求IT戰(zhàn)略應(yīng)當(dāng)與整體業(yè)務(wù)保持一致* AUP:可接受使用策略（Acceptable Use Policy）是指這些網(wǎng)絡(luò)能夠被誰使用的約束策略（最終用戶如何使用信息資產(chǎn)的準(zhǔn)則以及期望）。* 信息安全治理 價(jià)值交付：優(yōu)化安全投資以支持業(yè)務(wù)目標(biāo)； 績效評測：衡量、監(jiān)督和報(bào)告信息安全流程，以確保實(shí)現(xiàn)SMART目標(biāo)（確定的、可度量的、可實(shí)現(xiàn)的、相關(guān)的和符合時(shí)間要求的） 資源管理：有效利用信息安全知識(shí)與基礎(chǔ)設(shè)施 流程整合：關(guān)注組織安全管理保證流程的整合，目標(biāo)在改善整體安全及運(yùn)營效率。* IT治理是董事會(huì)和執(zhí)行管理層的職責(zé)，是企業(yè)治理的重要組成部分；* IT管理是公司的信息及信息系統(tǒng)的運(yùn)營，確定IT目標(biāo)以及實(shí)現(xiàn)此目標(biāo)所采取的行動(dòng)；* IT治理是最高管理層（董事會(huì)）通過IT治理監(jiān)督執(zhí)行管理層在IT戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián)系，以確保這種運(yùn)營處于正確的軌道上* IT治理是董事會(huì)和高級管理層的責(zé)任* IT治理框架主要流程： IT資源管理，關(guān)注現(xiàn)有的全部IT資源的維護(hù)并落實(shí)風(fēng)險(xiǎn)管理程序； 績效衡量，關(guān)注確保所有IT資源向業(yè)務(wù)交付既定價(jià)值，也在早期識(shí)別風(fēng)險(xiǎn)； 合規(guī)管理，關(guān)注滿足法律、法規(guī)要求的流程的落實(shí)* 關(guān)鍵IT治理實(shí)務(wù)：IT戰(zhàn)略委員會(huì)（隸屬董事會(huì)，由董事會(huì)成員+專家組成），風(fēng)險(xiǎn)管理和標(biāo)準(zhǔn)IT平衡記分卡* COBIT五個(gè)IT治理域都受利益相關(guān)者價(jià)值驅(qū)動(dòng)，其中價(jià)值交付、風(fēng)險(xiǎn)管理是結(jié)果，戰(zhàn)略一致、績效考評是驅(qū)動(dòng)力，IT資源管理為治理提供支持。該程序的目標(biāo)是建立一系列的活動(dòng)以保證信息資產(chǎn)受到與其價(jià)值或給組織帶來的潛在風(fēng)險(xiǎn)相稱的保護(hù)。* 信息：具有特定意義和目標(biāo)的數(shù)據(jù)* 信息安全的復(fù)雜性、相關(guān)性、危險(xiǎn)性及其治理都要在組織的董事會(huì)層面予以考慮并提供支持* 信息安全的憂慮：對信息及其處理系統(tǒng)的持續(xù)依賴和眾多威脅所導(dǎo)致的復(fù)雜風(fēng)險(xiǎn)。* IT治理有助于確保IT和企業(yè)目標(biāo)保持一致，IT治理的關(guān)鍵因素是IT與業(yè)務(wù)保持一致，以實(shí)現(xiàn)業(yè)務(wù)價(jià)值* IT治理采用最佳實(shí)踐來確保組織信息及相關(guān)技術(shù)支持其業(yè)務(wù)目標(biāo)（如戰(zhàn)略一致）和價(jià)值交付，確保資源得到合理使用、風(fēng)險(xiǎn)得到適當(dāng)管理、績效得到測評* 信息技術(shù)對企業(yè)非常重要，不能把職責(zé)放給IT管理人員或IT專家，而必須得到整個(gè)高級管理層的關(guān)注* IT治理在根本上關(guān)注以下兩方面的問題： IT如何向業(yè)務(wù)交付價(jià)值——由IT與業(yè)務(wù)的戰(zhàn)略一致推動(dòng) IT風(fēng)險(xiǎn)得到管理——向企業(yè)分配責(zé)任來推動(dòng)* IT如何有效率有效果的使用IT資源；* IT治理的關(guān)鍵因素是保持與業(yè)務(wù)戰(zhàn)略的一致，引導(dǎo)業(yè)務(wù)價(jià)值的實(shí)現(xiàn)；* IT治理是董事會(huì)和最高管理層的責(zé)任，是企業(yè)整體治理的一部分，它由領(lǐng)導(dǎo)關(guān)系、組織結(jié)構(gòu)以及能確保IT支撐和擴(kuò)展組織戰(zhàn)略及目標(biāo)的流程組成* 關(guān)鍵的IT治理實(shí)務(wù)有：IT戰(zhàn)略委員會(huì)、風(fēng)險(xiǎn)管理和標(biāo)準(zhǔn)IT平衡記分卡* IT治理的關(guān)注領(lǐng)域：戰(zhàn)略一致、價(jià)值支付、資源管理、風(fēng)險(xiǎn)管理、績效測評* IT治理實(shí)各種關(guān)系與流程結(jié)構(gòu)，用于指導(dǎo)和控制組織達(dá)成增值目標(biāo)，同時(shí)還要保證IT及其流程的風(fēng)險(xiǎn)與收益的平衡。目的是為了提高IT績效，降低IT風(fēng)險(xiǎn)，有效利用資源。* 審計(jì)證據(jù)可靠性的決定因素： 提供審計(jì)證據(jù)的人員的獨(dú)立性 提供信息或證據(jù)的人員的資格 證據(jù)的客觀性 證據(jù)的時(shí)效性* 應(yīng)當(dāng)由信息系統(tǒng)審計(jì)師來最終決定審計(jì)報(bào)告中包括或不包括哪些內(nèi)容* 綜合審計(jì)的一個(gè)關(guān)鍵步驟就是審計(jì)組集體討論風(fēng)險(xiǎn)及其影響和發(fā)生的可能性* 詳細(xì)審計(jì)工作關(guān)注已存在的管理這些風(fēng)險(xiǎn)的相關(guān)控制。* 在控制自我評估（CSA）中，信息系統(tǒng)審計(jì)師作為控制專家和評估引導(dǎo)人，只是CSA的推動(dòng)者；* CSA把部門經(jīng)理的監(jiān)督職責(zé)分散到員工中* 審計(jì)師在CSA中的目標(biāo)： 增強(qiáng)審計(jì)職責(zé) 在控制責(zé)任和監(jiān)控當(dāng)中教育各級管理者 通過對在CSA中注意到的高風(fēng)險(xiǎn)和非正常項(xiàng)目進(jìn)行復(fù)核來確定審計(jì)工作目標(biāo) 通過把糾錯(cuò)心動(dòng)從所有者方面向雇員方面轉(zhuǎn)移的辦法來提高糾錯(cuò)行動(dòng)的有效性* 一些組織在做CSA評估時(shí)，可能還會(huì)包括客戶、貿(mào)易伙伴等外部人員* CSA主要目標(biāo)是通過把一些控制監(jiān)督職責(zé)分散到職能部門來充分發(fā)揮內(nèi)部審計(jì)職能的左右，這并不是要替代審計(jì)的職責(zé)，而是一種加強(qiáng)* 審計(jì)師應(yīng)該牢記他們只是CSA的推動(dòng)者，只有管理人員才是CSA程序的具體實(shí)施者* 連續(xù)監(jiān)控與連續(xù)審計(jì)區(qū)別：監(jiān)控僅僅記錄所有滿足設(shè)定條件的事件；審計(jì)則一旦控制失效，自動(dòng)觸發(fā)報(bào)警。* 需要進(jìn)行實(shí)質(zhì)性測試的數(shù)量與內(nèi)部控制的水平直接相關(guān)* 符合性測試（控制測試）——簡單、快速、資源消耗少* 實(shí)質(zhì)性（重要性）：可容忍錯(cuò)報(bào)或漏報(bào)的最好界限，其運(yùn)用的情形：在編制審計(jì)計(jì)劃的時(shí)候，進(jìn)行初步估計(jì)；在做出審計(jì)結(jié)果時(shí)候，進(jìn)行判斷。* 審計(jì)目標(biāo)是指審計(jì)工作必須實(shí)現(xiàn)的特定目的；* 控制目標(biāo)是指內(nèi)部控制應(yīng)當(dāng)如何發(fā)揮作用* 信息系統(tǒng)審計(jì)人員從以下方面評估信息系統(tǒng)職能： 安全 質(zhì)量 受托責(zé)任 服務(wù)和能力* 信息安全控制應(yīng)當(dāng)在系統(tǒng)和項(xiàng)目的需求說明及設(shè)計(jì)階段予以考慮* 信息系統(tǒng)審計(jì)師應(yīng)當(dāng)對各類風(fēng)險(xiǎn)進(jìn)行評價(jià)并選擇高風(fēng)險(xiǎn)領(lǐng)域?qū)嵤徲?jì)* 符合性測試（控制測試）——實(shí)質(zhì)性測試：是否有控制—控制是否落實(shí)—控制是否有效—控制是否持續(xù)* 舞弊檢查：檢查確認(rèn)；與適當(dāng)管理層溝通；與審計(jì)委員會(huì)溝通——向董事會(huì)溝通；* 審計(jì)師在接受客戶審計(jì)時(shí)就應(yīng)對審計(jì)風(fēng)險(xiǎn)進(jìn)行評估，將評估風(fēng)險(xiǎn)與預(yù)計(jì)可接受的總審計(jì)風(fēng)險(xiǎn)水平比較后，決定是否接受客戶；* 審計(jì)風(fēng)險(xiǎn)分類：固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)、檢查風(fēng)險(xiǎn)（審計(jì)風(fēng)險(xiǎn)）；總體審計(jì)風(fēng)險(xiǎn)。* 位流映像——鏡像 之后再做哈?！乐勾鄹? 審計(jì)的實(shí)質(zhì)：審計(jì)信息是否滿足7要素；* 制定信息系統(tǒng)審計(jì)計(jì)劃的關(guān)鍵內(nèi)容就是把寬泛的基本審計(jì)目標(biāo)轉(zhuǎn)化成具體的信息系統(tǒng)審計(jì)目標(biāo)；信息系統(tǒng)審計(jì)師必須明白如何把一般審計(jì)目標(biāo)轉(zhuǎn)換成特定的信息系統(tǒng)控制目標(biāo)。提高經(jīng)營效率* 風(fēng)險(xiǎn)控制另外分類方法：技術(shù)類控制、物理類控制以及管理類控制；* COSO內(nèi)部控制框架：控制環(huán)境——風(fēng)險(xiǎn)分析——控制活動(dòng)——內(nèi)部溝通機(jī)制——監(jiān)督和持續(xù)改進(jìn)* COBIT通過域和流程框架來提供最佳實(shí)務(wù)，把34個(gè)IT流程組合到四個(gè)域中： 計(jì)劃和組織（PO）； 獲取與實(shí)施（AI）； 交付與支持（DS）； 監(jiān)督與評價(jià)（ME）.* COBIT框架定義：IT資源需要由自然歸組的流程管理，為組織提供實(shí)現(xiàn)其目標(biāo)所需要各種類型的、符合質(zhì)量、可用性以及安全要求的信息。 對特定經(jīng)濟(jì)實(shí)體的可計(jì)量的信息證據(jù)進(jìn)行客觀的收集和評價(jià)，向利益相關(guān)者報(bào)告。（識(shí)別檢測風(fēng)險(xiǎn)能更好的評價(jià)審計(jì)師的能力）* 整體審計(jì)風(fēng)險(xiǎn)：對每一個(gè)具體控制目標(biāo)所評估出的各類審計(jì)風(fēng)險(xiǎn)的綜合。并找出關(guān)鍵控制點(diǎn)。* 業(yè)務(wù)風(fēng)險(xiǎn)是指那些可能對資產(chǎn)、流程、具體業(yè)務(wù)或組織目標(biāo)造成負(fù)面影響的威脅。A(Audit amp。* 實(shí)施有效的 IS審計(jì)的第一步是審計(jì)計(jì)劃；* 長期審計(jì)計(jì)劃與企業(yè)的業(yè)務(wù)與發(fā)展有關(guān)，一般為3到5年的期間；* 每年都需要對長、短期審計(jì)計(jì)劃進(jìn)行分析；* 無論長期短期規(guī)劃每年都必須分析、調(diào)整；在環(huán)境有重大變化時(shí)也必須分析調(diào)整* 證據(jù)的優(yōu)先級：審計(jì)師自己收集第三方提供被審計(jì)方提供（銀行函證例外）* 制定審計(jì)計(jì)劃的步驟： 了解組織業(yè)務(wù)使命、目標(biāo)、目的和流程的了解，包括信息和處理要求：對組織關(guān)鍵設(shè)施現(xiàn)場巡視；收集閱讀組織背景資料；檢查長期戰(zhàn)略計(jì)劃；與管理人員會(huì)談；審閱以前的餓審計(jì)報(bào)告； 找出規(guī)定內(nèi)容，如：政策、標(biāo)準(zhǔn)和作業(yè)指導(dǎo)書、程序和組織結(jié)構(gòu)； 評價(jià)管理層實(shí)施的風(fēng)險(xiǎn)評估和隱私保護(hù)影響分析； 實(shí)施風(fēng)險(xiǎn)分析，找出高風(fēng)險(xiǎn)區(qū)域—重點(diǎn)檢查對象； 執(zhí)行內(nèi)部控制檢查（針對風(fēng)險(xiǎn)檢查）； 確定審計(jì)范圍和審計(jì)目標(biāo)； 確定審計(jì)方法或?qū)徲?jì)戰(zhàn)略； 為審計(jì)任務(wù)和其后勤支援分配人力資源* 需要遵守相關(guān)的法律法規(guī)：被審計(jì)方、審計(jì)師；* 法律法規(guī)的合規(guī)性：識(shí)別政府或相關(guān)外部要求的法律法規(guī)——記錄相關(guān)法律法規(guī)——評估被審計(jì)方在制定計(jì)劃或設(shè)定策略時(shí)是否考慮相關(guān)的法律法規(guī)——制度的執(zhí)行流程以及保障（文檔及程序）——執(zhí)行結(jié)果* 信息系統(tǒng)審計(jì)是指審計(jì)內(nèi)容中包含了對自動(dòng)化信息處理系統(tǒng)、相關(guān)手工流程及兩者間接口進(jìn)行全部或部分檢查及評價(jià)的任何審計(jì)* 審計(jì)程序包括確定審計(jì)范圍、說明審計(jì)目標(biāo)、找出審計(jì)標(biāo)準(zhǔn)、執(zhí)行審計(jì)步驟、檢查和評估證據(jù)、形成審計(jì)結(jié)論和意見、與關(guān)鍵流程所有人討論后報(bào)告管理層* 審計(jì)方法是指：為實(shí)現(xiàn)預(yù)定的審計(jì)目標(biāo)而設(shè)計(jì)的一系列書面審計(jì)程序，其內(nèi)容包括審計(jì)范圍、審計(jì)目標(biāo)和審計(jì)步驟；* 審計(jì)方法應(yīng)當(dāng)由審計(jì)管理層制定和批準(zhǔn)并保持一致性。* 風(fēng)險(xiǎn)管理首要任務(wù)是識(shí)別出敏感或關(guān)鍵的信息資產(chǎn)；然后實(shí)施風(fēng)險(xiǎn)評估來識(shí)別威脅并確定其發(fā)生頻率、所導(dǎo)致的影響以及將風(fēng)險(xiǎn)降低至管理層可接受水平的相應(yīng)安全措施；* 為保持其有效性，風(fēng)險(xiǎn)評估過程應(yīng)當(dāng)在組織中持續(xù)進(jìn)行，以致力于及時(shí)發(fā)現(xiàn)和評估新出現(xiàn)的風(fēng)險(xiǎn)。說明：黃色背景需要特別關(guān)注，紅色字體非常重要，紅黃在一起的話，呵呵，大家就自己考慮吧，呵呵 這個(gè)筆記是我在得知考試分?jǐn)?shù)后進(jìn)行整理的，應(yīng)該還是具有點(diǎn)參考價(jià)值的，整理時(shí)間2013年2月6日個(gè)人考試心得（10月1號開始學(xué)習(xí)，12月8號參加考試，2013年2月1號成績出來，得分582分）： 有可能的話最好參加相關(guān)的培訓(xùn)，5天的培訓(xùn)不會(huì)給你多少實(shí)質(zhì)的提高，但最關(guān)鍵的是能給你一個(gè)學(xué)習(xí)的思路；而且在培訓(xùn)的時(shí)候，有不懂的問題可以問老師； 如果你不是做IT出身的，最好惡補(bǔ)一下IT知識(shí)，CISA對IT方面的知識(shí)還是有些要求的； 對于IT出身的人，學(xué)CISA特別要注意：要以審計(jì)師的視角來學(xué)習(xí)以及看待題目，組織內(nèi)部的項(xiàng)目審計(jì)師的角色 審計(jì)師是不具體解決問題的，但是要發(fā)現(xiàn)問題； 最好能聽兩次培訓(xùn)，現(xiàn)在的培訓(xùn)只要繳費(fèi)后，可以不限次數(shù)重聽； 培訓(xùn)前先把書看一遍，要每個(gè)字都要看，不論能不能看懂，至少能有個(gè)映像； 不要急于做題目，我的做法是：先把書看一遍（我花了3周左右的時(shí)間）——參加培訓(xùn)（做好筆記）——再把書看一遍（我花了將近2周左右的時(shí)間）——開始做題目——參加培訓(xùn)（補(bǔ)充上次培訓(xùn)的筆記）——把書再看一遍（最好在一周左右的時(shí)間，這個(gè)我沒做到）——開始做題目，大量的做(我大概做了4000道左右)——參加考試（我拿到582分，自己覺得比較滿意） 基本上每天花3到4個(gè)小時(shí)的時(shí)間就可以了，考試前兩天，有條件的話最好在家里整理和復(fù)習(xí)一下自己所學(xué)的； 重視的動(dòng)態(tài)，群里面很多朋友和前輩，可以學(xué)到很多的； 最關(guān)鍵的是，一定要參加考前輔導(dǎo)，這個(gè)是免費(fèi)的，但是內(nèi)容卻是非常關(guān)鍵的?。。〉谝徽滦畔⑾到y(tǒng)審計(jì)過程* IS審計(jì)是基于風(fēng)險(xiǎn)的審計(jì)；* 保持審計(jì)獨(dú)立性和勝任能力,確保審計(jì)小組所實(shí)施完成的審計(jì)任務(wù)能滿足審計(jì)職能的目標(biāo)要求* 風(fēng)險(xiǎn)分析是審計(jì)計(jì)劃的一部分，幫助IS審計(jì)師識(shí)別風(fēng)險(xiǎn)和脆弱性并確定降低風(fēng)險(xiǎn)所需的控制* 要以審計(jì)師的視角來學(xué)習(xí)以及看待題目，組織內(nèi)部的項(xiàng)目審計(jì)師的角色；* 第一方審計(jì)：自查——報(bào)告給自己高層* 第二方審計(jì)：甲方審乙方* 第三方審計(jì)：外審——報(bào)告給公眾或相關(guān)機(jī)構(gòu)* 按照IT審計(jì)標(biāo)準(zhǔn)制定并實(shí)施基于風(fēng)險(xiǎn)的IT審計(jì)戰(zhàn)略* 內(nèi)審首先需要建立審計(jì)章程；外審首先需要合同以及委托書；* 審計(jì)章程或委托書應(yīng)在組織內(nèi)部適當(dāng)?shù)膶哟蔚玫酵夂屯ㄟ^，一旦創(chuàng)立，就只有在非常必要、并經(jīng)過充分的論證后才允許變更審計(jì)章程；* 審計(jì)章程涵蓋整個(gè)范圍的審計(jì)活動(dòng)；合同側(cè)重于特定的審計(jì)任務(wù)；* 信息系統(tǒng)審計(jì)的最重要的資源是：審計(jì)師* IS審計(jì)師應(yīng)有合格的職業(yè)能力，具備進(jìn)行審計(jì)工作的相應(yīng)知識(shí)；IS審計(jì)師應(yīng)持續(xù)保持職業(yè)教育和培訓(xùn)，保持良好的職業(yè)能力；* 在制定審計(jì)計(jì)劃時(shí)，要通過風(fēng)險(xiǎn)評估，確認(rèn)高風(fēng)險(xiǎn)區(qū)域，找到審計(jì)的重點(diǎn)范圍，合理分配審計(jì)資源；* 信息系統(tǒng)審計(jì)師常常關(guān)注高風(fēng)險(xiǎn)的問題，如敏感和重要信息的機(jī)密性、可用性、完整性以及生成、存儲(chǔ)和處理這些信息的系統(tǒng)及流程等。在檢查這類風(fēng)險(xiǎn)時(shí)，信息系統(tǒng)審計(jì)師常常對組織所使用的風(fēng)險(xiǎn)管理過程的有效性進(jìn)行評估。* 內(nèi)部控制通常由能夠降低組織風(fēng)險(xiǎn)的政策、規(guī)程、實(shí)務(wù)和組織結(jié)構(gòu)組成；* 內(nèi)部控制的設(shè)計(jì)是為管理層提供風(fēng)險(xiǎn)事件能夠被預(yù)防、檢測和糾正，業(yè)務(wù)目標(biāo)能夠達(dá)成的合理保證。* ISACA信息系統(tǒng)審計(jì)準(zhǔn)則： 職業(yè)道德規(guī)范：必須遵守 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)：強(qiáng)制必須遵守，不可偏離 信息系統(tǒng)審計(jì)指南：在有合理解釋的前提下可以調(diào)整和偏離 信息系統(tǒng)審計(jì)工具和技術(shù)：根據(jù)實(shí)際情況作出自己的職業(yè)判斷* 審計(jì)計(jì)劃步驟： 計(jì)劃審計(jì)綱要； 以書面形式記錄一份基于風(fēng)險(xiǎn)評估的審計(jì)方法； 以書面形式記錄一份審計(jì)計(jì)劃書，詳述審計(jì)目標(biāo)、性質(zhì)、時(shí)間、范圍以及所需相關(guān)資源； 以書面形式起草審計(jì)計(jì)劃和審計(jì)程序* 信息系統(tǒng)審計(jì)人員應(yīng)該得到監(jiān)督，合理保證其審計(jì)目標(biāo)的完成，并且符合審計(jì)職業(yè)標(biāo)準(zhǔn)；* 審計(jì)工作中收集證據(jù)的工作量最大；通過證據(jù)評估結(jié)論最困難；* 信息系統(tǒng)審計(jì)師必須擁有足夠的、恰當(dāng)?shù)膶徲?jì)證據(jù)來解釋報(bào)告中的審計(jì)結(jié)果；* 在報(bào)告審計(jì)發(fā)現(xiàn)和建議后，審計(jì)師必須持續(xù)跟進(jìn)后續(xù)審計(jì)結(jié)果；* 審計(jì)最終目的：Aamp。 Assurance)審計(jì)及保證* 審計(jì)實(shí)質(zhì)性（重要性）==閥值* 審計(jì)實(shí)質(zhì)性（重要性）越低，需要投入的資源越大；審計(jì)實(shí)質(zhì)性（重要性）越高，需要投入的資