2006 CISA 考试大纲

2006 CISA 考试大纲 -中文版

Certificated Information System Auditor

2006 CISA考试大纲

(简体中文版)

信审中文网，2005年12月

2006 CISA 考试大纲 -中文版

第一部分 信息系统审计程序

依据信息系统审计标准、准则和最佳实务等提供信息系统审计服务以帮助组织确保其信息技术和运营系统得到保护并受控。

任务描述：

1.1 根据信息系统审计标准、准则和最佳实务，为组织制定和实施基于风险的信息系统审计战略。 1.2 为确保信息技术和运营系统是受保护和受控的，规划详尽的审计

1.3 遵照信息系统审计标准、准则和最佳实务，实施审计，以达到制定的审计目标(目的)。 1.4 就新出现的问题、潜在的风险和审计结果(结论)，与利益相关人沟通。

1.5 在保持独立性的前提下，为组织内风险管理和控制实务的实施提供建议和意见。

知识描述：

1.1 ISACA发布的信息系统审计标准、准则、程序和职业道德规范 1.2 IS审计实务和技术

1.3 收集信息和保存证据的技术（如观察、调查问卷、谈话、计算机辅助审计技术、电子介质） 1.4 证据的生命周期（如证据的收集、保护和证据之间的相关性） 1.5 与信息系统相关的控制目标和控制（如CobiT模型） 1.6 审计过程中的风险评估 1.7 审计计划和管理技术

1.8 报告和沟通技术（如推进、商谈、解决冲突） 1.9 控制自我评估（CSA）

1.10 不间断审计技术(即：连续审计技术)

第一部分占考试卷面的10%

信审中文网 () 第 1 页

2006 CISA 考试大纲 -中文版

第二部分 IT治理(信息技术治理)

确保组织拥有适当的结构、政策、工作职责、运营/管理机制和监督实务，以达到公司治理中对IT方面的要求。 任务描述：

2.1 评估IT治理结构的效果，以确保董事会对IT决策、IT方向和IT性能的充分(且适当的)控制，从而支持组织的战略和目标。 2.2 评估IT组织结构和人力资源管理，确保对组织战略和目标的支持。

2.3 评估IT战略及其起草、批准、实施和维护的程序，以保证其对组织战略和目标的支持

2.4 评估组织的IT政策、标准和程序，及其制定、批准、实施和维护的流程，以确保其对IT战略的支持并符合法律、法规的要求。 2.5 评估管理实务，确保其符合组织的IT战略、政策、标准和程序的要求。 2.6 评估IT资源的投资、使用和配置实务，确保符合组织的战略和目标。

2.7 评估IT签约战略和政策、及合同管理实务，以保证其对组织战略和目标的支持。 2.8 评估风险管理实务，确保组织的、与IT相关的风险得到了适当的管理。

2.9 评估监督和保证实务，保证董事会和执行经理层能及时、充分地获得有关IT绩效的信息。 知识描述：

2.1 IT战略、政策、标准和程序对于组织的意义，及其基本要素 2.2 IT治理框架(体系)

2.3 制定、实施和维护IT战略、政策、标准和程序的流程。如：信息资产的保护、业务持续和灾难恢复、系统和基础建设生命周期、IT服务交付与支持 2.4 质量管理战略和政策

2.5 与IT使用和管理相关的组织结构、角色和职责。 2.6 公认的国际IT标准和准则(指导)。

2.7 制订长期战略方向的企业所需的IT体系及其内容 2.8 风险管理方法和工具

2.9 控制框架(模型)的使用，如：CobiT、COSO、ISO 17799等控制模型。 2.10 成熟度和流程改进模型(如：CMM、CobiT)的使用。 2.11 签约战略、程序和合同管理实务。 2.12 IT绩效的监督和报告实务

2.13 有关的法律、规章等问题(如：保密法/隐私法、知识产权、公司治理的要求) 2.14 IT人力资源管理 2.15 IT资源投资和配置实务(如：投资的资产管理回报

) 第二部分占考试卷面的15%

信审中文网 () 第 2 页

2006 CISA 考试大纲 -中文版

第三部分 系统和基础建设生命周期管理

系统的开发/采购、测试、实施(交付)、维护和(配置)使用，与基础框架，确保实现组织的目标。 任务描述：

3.1 评估拟定的系统开发、采购等业务案例，以确保其符合组织的发展目标。

3.2 评估项目管理框架和项目治理实务，确保组织在风险管理上，以成本——效益的原则达成组织的业务目标。 3.3 实施检查以确保项目是依照项目计划推进的，并由相应的文档充分支持，项目状态报告也是准确的。

3.4 经过需求定义(规格说明)、开发/采购和测试的系统(和/或体系)，评估其（拟定的）控制机制，以确保其安全，并符合组织的政策和其他方面的要求。 3.5 评估系统(和/或体系)的开发/采购和测试流程，确保其交付符合组织的目标。 3.6 评估系统(和/或体系)为实施(指现场安装)、交付使用的准备情况。

3.7 实施系统(和/或体系)的(现场)实施后的检查，以确保其满足组织的目标，并受到有效的内部控制。 3.8 对系统(和/或体系)实施定期检查，以确保其持续地满足组织的目标，并受到有效的内部控制。 3.9 评估系统(和/或体系)的维护流程，以确保其持续地满足组织的目标，并受到有效的内部控制。 3.10 评估系统(和/或体系)的(退役)处置流程，以确保其符合组织的政策和程序。 知识描述：

3.1 收益管理实务(例如：可行性研究、业务案例)

3.2 项目治理机制，如：项目指导委员会、项目监督委员会 3.3 项目管理实务、工具和控制框架 3.4 用于项目管理上的风险管理实务 3.5 项目成功的原则和风险

3.6 涉及开发、维护系统(和/或体系)的配置、变更和(发布的)版本管理

3.7 确保IT系统应用的交易和数据的完整性、准确性、有效性和授权的控制目标和技术 3.8 关于数据、应用和技术的企业框架

3.9 需求分析和管理实务，如：需求验证、跟踪(可追溯)、差距分析

3.10 采购和合同管理程序，如：评估供应商、签合同准备、供应商管理、由第三方保存附带条件委付的契约(escrow)。

3.11 系统开发方法和工具，以及它们的优缺点。例如，敏捷开发实务，原型、快速应用开发(RAD)，面向对象的设计技术。