CISA知识点

news2024/12/27 5:23:50

审计流程21%;运营和业务恢复23%;保护资产27%;IT治理17%;开发12%。

领域1-信息系统审计流程

规划-现场工作-报告

(1)审计规划

了解业务使命、目标、目的和流程

找到相关规定

实施风险分析(找到高风险领域)

确定审计目标和审计范围

制定审计方法

为审计工作分配人力资源(人员分配那块审计)

安排好业务的后勤工作

(2)内部控制分类

预防性控制(防止事件发生,降低不良事件的可能性,防火墙,IPS)

检测性控制(发现问题,IDS)

纠正性控制(意外发生后修补组件或系统)

其他的:补偿性(可以替代的方法)

(3)基于风险的审计方法

(收集信息和计划-固有风险;了解内部控制-控制风险/检测风险;执行符合性测试;执行实质性测试;总结审计)

符合性测试:属性抽样

实质性测试:变量抽样

符合性测试是指对被审计单位与生成会计信息有关的内部控制设计和执行的有效性进行了解,并对该内部控制是否得到一贯遵循加以审计的过程。实质性测试是指在符合性测试的基础上,为取得直接证据而运用检查、监盘、观察、查询及函证、计算、分析性复核等方法,对被审计单位会计报表的真实性和财务收支的合法性进行审查,以得出审计结论的过程。

(4)审计证据属性

相关性、客观性、时效性

证据可靠性:外部审计师测试结果>第三方确认函>审计师测试>被审人员提供

(5)控制自我评估和审计区别

控制自我评估由职责部门发起,多方参与。

(6)审计章程

规定信息系统内部审计职能的角色;明确说明管理层的责任、目标以及向信息系统审计职能部门授予的权力。

董事会(最高管理层)和审计委员会应对此章程进行审批。

(8)通用审计软件

数据分析工具,可用于过滤大量数据

(9)计算机辅助审计技术 计算机辅助软件工程工具

计算机辅助审计技术用于访问各种软件环境、记录格式等电子数据的工具。包括通用审计软件。

(10)审查方法

观察流程和员工表现:以不引人注意的方式观察。

面谈:本质是挖掘信息。

重新执行:所提供的证据通常优于其他技术提供的证据。

浏览审查:用于确认对控制的理解的审计技术。

(11)抽样方法

符合性测试:属性抽样(特定性质的发生率)、停走抽样(对控制信任,目的防止过度抽样,尽快停止审计)、发现抽样(目的发现问题)

实质性测试:变量抽样(较小样本推算大的)、分层单位均值(分组)、不分层均值(平均值)、差异估计(看差异)。

置信系数:如果信息系统审计师知道内部控制很强大,则可以降低置信系数。置信系数越高,样本量越大。置信系数越大,置信区间越宽,样本量越大。内控有效时,可以采用较低的置信系数,使用较小的采样规模。

精度(样本与总体的接近程度):精度制越小,样本量越大

(12)小风险聚合

单个风险可能很小,但合在一起可能会对整改系统产生重大影响,故小错误不可直接忽视。

(13)固有风险、控制风险、检测风险

固有风险:业务自身带有的风险

控制风险:实施风险控制后,仍存在的风险

检测风险:已经出现,但是审计师没有发现的风险

(14)持续审计技术

系统控制审计检查文件和内嵌审计模型(SCARF/EAM):非常复杂,适用于正常处理不能被中断;通过在组织的主机应用系统中内嵌经特别编写的审计软件,使审计师以可以选择的方式来监控应用系统的使用;

 快照(Snapshots):复杂性中等,需要审计踪迹时;记录一个事务从输入到输出各阶段的处理轨迹。通过对输入数据使用标识符来对事务作标签,并跟踪该记录的处理轨迹,供信息系统审计师后续检查。

 审计钩(Hooks):复杂性低,只有所选择的事务或过程需要检查;在应用系统中内嵌程序“钩”,像标识符那样

起作用,在错误或不规范事务失去控制前,提醒信息系统审计师采取行动

 集成测试设施(ITF):复杂性高,采用测试数据没有益处时;在审计对象应用系统的生产文件中设置虚构的事务,通过与真实事务一起进入应用系统中运行,然后信息系统审计师经独立计算的数据来比较虚构事务的处理输出,确认计算机处理数据的正确性(一定要隔离测试数据和生产数据)

 持续和间歇性模拟(CIS):复杂性中等,符合某些标准的事务需要被检查时;在一个事务的处理运行期间,计算机系统模拟应用程序指令的执行。在每一个事务输入时,模拟器就确定该事务是否符合预定义的标准,符合就审计;不符合,模拟器就等待直到下一个符合标准的事务出现。

(15)审计的独立性

审计师不能撤销或修改审计结果。

审计发现无论微小或者已经修正,要记录到最终审计报告

潜在利益冲突影响独立性,应开始执行前提醒管理部门注意。

审计师独立性受损,(直接参与了系统开发、设计等),必须向管理层说明并在报告中披露

领域2-IT治理与管理

(1)IT治理三大目标

保持IT与业务目标一致;有效利用IT资源;有效控制IT 风险。

IT治理关注领域战略一致、绩效考核(战略和实际的)、风险管理、资源管理(优化资源)、价值交付(如何保证IT能够按照战略要求,实现企业预期价值)

(2)平衡记分卡

管理人员通过使用IT BSC帮助IT战略委员及管理层确保IT和业务正确保持一致。目标是建立管理层向董事会的报告途径,就 IT 战略目标在关键利益相关方之间达成一致,证实 IT 的效果与价值,沟通 IT 绩效,风险和能力

(3)IT资源投资与分配实务

◇  价值治理(VG,Value Government)

◇ 投资组合管理(PM,)

◇ 投资管理(IM,InvestmentManagement)

(4)公司治理

利益相关者之间职权利的分配。

(5)IT战略委员会 IT指导委员会

IT战略委员会:确保IT目标与业务战略一致

IT指导委员会:(1)设定项目优先级;(2)确定IT风险偏好

IT战略/治理委员会(战略层面):由董事会成员和专家组成。把握宏观方向,投资回报问题。

IT指导/督导委员会(技术层面):由高级管理层、各个业务部门和IT部门的代表组成。关注具体工作,不具体干活,对内的。

IT战略委员会职责:对董事会负责。

IT指导委员会职责:对重要的IT项目进行审查,而不应当涉及日常运营。审查IT部门的短期计划(几个月)和长期计划(1-2年),而战略计划(3-5年)则由IT战略委员会起草,董事会审批。

企业的风险偏好最好由督导委员会决定。

(6)IT外包管理

外包合同:明确规定知识产权、数据和系统的所有权

包含SLA:定期审查合同(是否遵循)和服务级别(是否符合SLA.)

供应商需具有突发情况继续提高服务支持的能力

核心业务不能外包:例如企业安全的问责制对外包必须进行独立全面的审核,审计师最关心独立审计报告或者安全审计调查。

外包供应商接受外部安全审查。独立全面审核。

所有外包必须建立业务案例。离岸外包开发必须制定详细的正确应用规范。

外包业务风险:缺乏对IS的控制、供应商违约或出现业务故障,供应商员工不遵守安全政策(应在合同中规定赔偿条款)、系信息丢失。

降低风险的措施:(1)为降低成本、提高服务水平,建立伙伴式利益共享目标和奖励机制

(7)职责分离

职责分离的目标是通过识别补偿性控制来降低或消除业务风险。

审计轨迹(AuditTrail):可追踪交易流,能确定谁发起交易、发起时间、数据类型、字段、更新了哪些文件等。

核对(Reconciliation):增加了系统处理正确性及数据平衡的可信度水平。

例外报告(Exception Reporting):需要确保例外情况能及时得到解决。

交易日志(TransactionLog):可以手动或自动生成,为所有已处理的交易保留一份记录。

监督性审核(SupervisoryReview):可通过现场观察、访谈或远程执行。

独立性审核(IndependentReview):是对错误或故意违反既定流程的补偿控制,可帮助检测错误或违规情况。

系统管理员应与数据库、系统开发人员、应用程序编程人员职责分离。

安全管理员应与系统开发人员职责分离。

应用程序开发人员应与其他人员职责分离。

(8)可接受使用策略

说明了允许用户使用IT系统做什么,不能做什么,违反规则时应受到何种处罚。

(9)风险管理方式

接受风险:有意什么也不做,正式接收风险并监控或记录在册。

规避风险:禁止可能导致风险的行为规避风险。

缓解风险:利用适当措施降低风险。

转移风险:将风险转移给其他方。例如保险。

(10)信息安全策略

安全策略提供由高级管理层或董事会批准的。

领域3-信息系统生命周期

(1)项目管理

时间盒管理:规定时间

业务案例(BC):应充分描述项目的业务理由或效益。也就是立项报告

项目组合管理的目标:优化项目组合的结果;排定项目的优先级和时间表;

(2)测试分类

单元测试:对单个程序或模块的测试。

接口或集成测试:采用经过单元测试的模块并构建满足设计要求的集成结构。

系统测试:确保新系统或改良系统中经过修改的程序、对象、数据库模式等运行正常。包括恢复测试、安全测试、负载测试、压力测试、容量测试、性能测试(压力测试:通过递增并发用户/服务数测试应用程序所受的影响,从而确定应用处理的最大并发用户/服务数;负载测试:通过大量数据来测试应用程序,评估其在高峰期的性能)

验收测试:包括质量保证测试和用户验收测试,两者不合并。

其他测试:α测试是由一个用户在开发环境下进行的测试,是在受控环境下的测试,开发和业务分析人员执行,属于系统测试。β测试是由多个用户在一个或多个用户的实际环境下进行的测试,非受控环境下的测试,开发工作以外的用户,UAT测试(User Acceptance Test)。社交性测试:确认新系统或改良系统可以在目标环境中运行,不会对现有系统产生不利影响的测试。回归测试:确保变更或更正未引入新的错误。

(3)自下而上测试

提早发现关键模块中的错误

(4)自上而下测试

及早发现接口错误

(5)ACID

原子性是指事务是一个不可再分割的工作单位,事务中的操作要么都发生,要么都不发生.

一致性是指在事务开始之前和事务结束以后,数据库的完整性约束没有被破坏。这是说数据库事务不能破坏关系数据的完整性以及业务逻辑上的一致性。

多个事务并发访问时,事务之间是隔离的,一个事务不应该影响其它事务运行效果。隔离性这指的是在并发环境中,当不同的事务同时操纵相同的数据时,每个事务都有各自的完整数据空间。由并发事务所做的修改必须与任何其他并发事务所做的修改隔离。事务查看数据更新时,数据所处的状态要么是另一事务修改它之前的状态,要么是另一事务修改它之后 的状态,事务不会查看到中间状态的数据。

持久性,意味着在事务完成以后,该事务所对数据库所作的更改便持久的保存在数据库之中,并不会被回滚。

(6)业务流程再造最需要关注的问题

一些关键控制可能会在业务重组过程中没有被纳入到新流程中去。

(7)SDL

传统瀑布模型

V型模型:用户需求-验收测试;功能需求-系统测试;架构设计-集成测试;单元测试-详细设计

(8)软件基线

软件版本1.0和软件版本2.0

(9)实施后审查和项目后审查

实施后审查-后评估:项目完成后的几周或几个月内执行,此时可了解实施解决方案的主要优缺点,还用于确认是否存在系统重内置了适当的控制措施。例如评估预计的成本效益或投资回报衡量结果; 

项目后审查:确定项目目标是否达成或得到免除,总结可应用到未来项目中的经验教训避免错误再次发生。

(10)输入、输出、处理控制

数据验证-校验数字位:经过数学计算得到的数值添加到相应数据,以确保原始数据未被篡改或被不正确但有效的值替换。完整性检查:字段应始终包含数据。

(11)应用程序测试

嵌入式审计数据收集(包括SCARF和SARF):该软件将作为系统开发的一部分来进行开发,超阈值告警,优点:提供生产统计数据;缺点开发和维护成本高,审计师独立性问题。

整体测试设施(ITF:数据库中创立虚拟文件,同时处理测试数据和实时数据,优点:定期测试不需要但单独的测试流程,缺点:需要隔离测试数据和生产数据。

快照:记录通过程序内各逻辑路径的指定交易。验证程序逻辑。

(12)数据完整性测试

关系完整性测试:例如,主键不能空值,不能重复,唯一;用户定义的完整性规则。

参照完整性检查:包括确保所有外键都存在于原始表中。

(13)甘特图和PERT

甘特图:沿时间轴显示活动应该开始的时间及结束时间,还显示那些活动可以同时进行及那些必须按顺序完成。

计划评审技术:用网络图来表达项目中各项活动的进度和它们之间的相互关系,在此基础上,进行网络分析和时间估计。

(14)数据验证编辑

范围检查:数据保持在预定的值范围以内。

校验数字位:一个经过算术计算的数值,可将其附加到数据中以确保原数据未经修改。

有效性检查:根据预定标准检查数据有效性的程序校验。

重复检查:将新交易与先前输入的交易进行匹配,以确保系统中没有包含这些新交易。

(15)挣值分析

EVA:挣值分析,及早发现延期或者超支,判断项目进度。

(16)触发器和视图

触发器经常用于加强数据的完整性约束和业务规则等。

触发器的作用:在写入数据表前强制检验或转换数据。

视图并不在数据库中以存储的数据值集形式存在。行和列数据来自由定义视图的查询所引用的表,并且在引用视图时动态生成

领域4-信息系统运营和恢复能力

(1)热备、温备、冷备

热备缺数据

温备缺程序、数据

冷备缺程序、数据、电脑,陪有电线、空调和地板

(2)业务影响分析

业务影响分析的一个关键结果是恢复时间目标和恢复点目标,可承受的最大停机时间和数据丢失,进一步确定恢复策略。BIA主要目标,识别影响组织运行持续性时间,从而定义恢复策略。

(3)灾备恢复测试方法

核对清单审查:恢复检查清单分发给恢复团队的所有成员进行审查。

结构化浏览审查:在纸上实际实施这些计划并审查每个步骤。

模拟测试:角色扮演一次准备好的灾难场景。

平行测试:主站点操作正常持续。将恢复站点调整到操作状态。

完全中断测试:关闭主站点并按照恢复计划转移到恢复站点,这是最严格的测试形式。

(4)业务连续性计划测试方法

纸面测试:浏览审查计划的纸面材料

准备情况测试:测试中会模拟系统崩溃并耗用实际资源

全面运营测试:灾难测试,与实际的服务中断仅一步之遥。

(5)RTO、RPO、MTO、SDO

RPO:最后一次做备份到发生灾难时间点的数据丢失(用时间衡量)。

RTO:灾难发生的时间点到系统恢复的时间点,不是业务恢复的时间点;

MTO:RTO+(备业务恢复时间点-系统恢复时间点)=业务中断开始到业务恢复时间=灾备业务恢复时间点-灾难发生的时间点;

服务交付目标SDO=主站点完全恢复的时间点-系统恢复时间点。

(6)容量管理

能力管理(容量管理)是对计算机资源的计划和监控,其目标是根据总体业务的增长或减少动态的增减资源,确保能够以最有效和高效的方式实现业务目标。

(7)事故管理和问题管理

事故管理:划分事件的优先级,侧正于解决当前问题,目标是尽快使受影响的有流程恢复正常的服务。问题管理:对异常报告和错误活动日志进行分析,找出问题的根本原因。目标:主动预防相同的错误再发生

为解决事件管理:首要风险是可能导致业务处理重点,管理层应当制定未解决事件的升级标准,并确保问升级流程得到贯彻执行。

(8)恢复点目标

恢复点目标很低就是时间短,停机容灾能力低也是时间短,首先热备。

RTO:系统恢复时间点-灾难发生的时间点;

MTO:灾备业务恢复时间点-灾难发生的时间点;

服务交付目标SDO=主站点业务完全恢复的时间点-系统恢复时间点。

领域5-保护信息资产

(1)火灾相关

七氟丙烷(FM-200)以及Argonite为无污染灭火器。

(2)审计网络

审计网络系统,首先应查阅拓扑图。

(3)主动攻击和被动攻击

收集网络信息的被动攻击示例包括网络分析、窃听和流量分析;主动攻击包括消息修改、穷举攻击、网络钓鱼等。

  1. 循环冗余检测

数据传输的有效性由循环冗余检测验证。循环冗余检测可以检测传输数据块。

  1. 电力相关

电涌保护设备用于防御高压脉冲。

  1. CA和RA

数字证书是一段包含用户身份信息、用户公钥信息以及验证机构数字签名的数据。

CA有助于通信伙伴之间身份的认证,但CA本身不参与通信活动。CA的主要作用是检查拥有证书的实体身份和确认所颁发证书的完整性。

  1.  VoIP最关注服务的连续性

最大风险是:分布式拒绝服务攻击(DDOS)。

最大的问题是:数字和语音传输的单一故障点。

为保护VoIP免受DOS攻击,最重要的是保护会话边界控制器。可能导致VoIP遭到窃听:以太网交换器中的地址解析协议(ARP)缓存损坏。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1449680.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

权限提升:利用Linux错配提权

目录 Linux权限基础 Linux用户权限 Linux文件权限 特殊的Linux文件权限 Linux本机信息收集 Linux错配提权 crontab计划任务提权 SUID提权 Linux权限基础 Linux用户权限 在Linux中,根据权限的不同,大致可以分为三种:超级用户&#x…

linux内核原理--用户态线性地址空间,mmap,malloc,缺页异常

1.概述 前面我们介绍了内核态线性地址空间划分,及在内核态运行时,如何利用伙伴系统完成连续可用物理页框申请和释放。如何利用小块内存分配器实现高效的动态内存分配和释放。如何利用vmalloc,vfree完成线性地址连续但物理地址不连续的多个页框…

山西电力市场日前价格预测【2024-02-14】

日前价格预测 预测说明: 如上图所示,预测明日(2024-02-14)山西电力市场全天平均日前电价为203.58元/MWh。其中,最高日前电价为348.00元/MWh,预计出现在19:00。最低日前电价为0.00元/MWh,预计出…

DarkSide针对VMware EXSI系统进行加密

前言 最近黑客组织利用DarkSide勒索病毒对Colonial Pipeline 发起勒索攻击,国内外各大安全厂商和安全媒体也都有相关报道,DarkSide勒索软件是从2020年8月出现,并以(RAAS)勒索即服务的商业模式进行运作,此勒索病毒不仅可以部署基于…

片上网络NoC(6)——路由算法

目录 一、概述 二、路由算法的类型 三、避免死锁 四、实现 4.1 源路由实现 4.2 基于节点查找表的路由实现 4.3 组合电路实现 五、总结 一、概述 路由算法(routing algorithm),即决定数据包在网络拓扑中从起点到终点路径的算法。路由算…

作为国产大模型之光的智谱AI,究竟推出了多少模型?一篇文章带你详细了解!

虽然OpenAI发布了一系列基于GPT模型的产品,在不同领域取得了很高的成就。但是作为LLM领域绝对的领头羊,OpenAI没有按照其最初的Open初衷行事。无论是ChatGPT早期采用的GPT3,还是后来推出的GPT3.5和GPT4模型,OpenAI都因为担心被滥用…

人工智能时代

一、人工智能发展历史:从概念到现实 人工智能(Artificial Intelligence,简称AI)是计算机科学领域中一门旨在构建能够执行人类智能任务的系统的分支。其发展历程充满曲折,从概念的提出到如今的广泛应用,是技术、理论和实践相互交织的产物。 1. 起源(20世纪中期) 人工智…

OWASP TOP10

OWASP TOP10 OWASP网址:http://ww.owasp.org.cn A01:失效的访问控制 例如:越权漏洞 案例1: 正常:每个人登录教务系统,只能查询自己的成绩信息 漏洞:张三登录后可以查看自己的成绩 例如&…

WebSocket 通信流程,注解和Spring实现WebSocket ,实战多人聊天室系统

一、前言 实现即时通信常见的有四种方式-分别是:轮询、长轮询(comet)、长连接(SSE)、WebSocket。 ①短轮询 很多网站为了实现推送技术,所用的技术都是轮询。轮询是在特定的的时间间隔(如每1秒),由客户端浏览器对服务…

JavaScript中的querySelector()方法是什么,它是如何工作的?

在JavaScript中,有时您需要访问HTML元素。querySelector方法是一个Web API,它选择与传入的指定CSS选择器匹配的第一个元素。 但是,更详细地说,这是如何工作的呢?在本文中,我们将看一些如何使用querySelect…

2022年12月电子学会青少年软件编程 中小学生Python编程等级考试二级真题解析(判断题)

2022年12月Python编程等级考试二级真题解析 判断题(共10题,每题2分,共20分) 26、字典的元素可以通过键来访问,也可以通过索引(下标)来访问 答案:错 考点分析:考查字典相关知识,字…

Java与JavaScript的区别与联系

Java是目前编程领域使用非常广泛的编程语言,相较于JavaScript,Java更被人们熟知。很多Java程序员想学门脚本语言,一看JavaScript和Java这么像,很有亲切感,那干脆就学它了,这也间接的帮助了JavaScript的发展…

vivado Shift Registers、Dynamic Shift Registers

移位寄存器是一个触发器链,允许数据在固定(静态)数字上传播延迟阶段。相反,在动态移位寄存器中,传播链的长度在电路操作期间动态变化。从“coding”下载编码示例文件示例。 静态移位寄存器元件 静态移位寄存器通常包…

收藏:不错的讲座《拆解成功领导者的三重底层思维逻辑》

在B 站看到个不错的讲座《拆解成功领导者的三重底层思维逻辑》,地址:第145期-拆解成功领导者的三重底层思维逻辑_哔哩哔哩_bilibili 演讲内容文章摘要在这里:《直播精华 | 拆解成功领导者的思维逻辑》(直播精华 | 拆解成功领导者的…

揭秘 2024 春晚刘谦魔术——代码还原

其他系列文章导航 Java基础合集数据结构与算法合集 设计模式合集 多线程合集 分布式合集 ES合集 文章目录 其他系列文章导航 文章目录 前言 一、魔术大概流程 二、代码实现各个步骤 2.1 partition(对半撕牌) 2.2 bottom(将 n 张牌置底…

力扣1732. 找到最高海拔(前缀和)

Problem: 1732. 找到最高海拔 文章目录 题目描述思路及解法复杂度Code 题目描述 思路及解法 1.求取数组gain的大小 n n n; 2.定义一个大小为 n 1 n 1 n1的数组preSum; 3.先求取前 n n n个元素的前缀和,再最后单独处理preSum[n];其中preSum[n] preSum[n - 1] gai…

使用playwright进行自动化端到端测试

项目希望能接入自动化端到端测试提高可靠性,发现微软的 playwright 还挺好用的,推荐一下,顺便说下遇到的一些难点以及最佳实践。 难点 登录 项目不能帐号密码登录,只能扫二维码 临时方案是先自己扫码保存 cookie 用于测试&#…

寒假思维训练day22 D. Divisible Pairs

更新一道赛时想了很久才想通的题。 链接:Problem - 1931D - Codeforces Part1 题意: 给定一个长度为n的数组a, 再给定两个整数x, y, 其中, 定义取两个不同索引i, j, 满足, 的为美丽对,问数组中有几个这样的美丽对。 Part2 题解: …

高中信息技术—数据采集与编码(一)

计算机技术的应用,使得数据的处理方式发生了巨大的转变,要用计算机处理这些数据,需要对采集到的数据进行一定的转换。 采集方式 1.人工采集—观察、实验 2.机器采集 互联网—网络爬虫 传感器—自然信源 数字化 信息可用模拟信号或数字信号表…

2.11:递归操作

1.递归实现n! 程序代码&#xff1a; 1 #include<stdio.h>2 #include<string.h>3 #include<stdlib.h>4 int fun(int n);5 int main(int argc, const char *argv[])6 {7 int n;8 printf("please enter n:");9 scanf("%d",&am…