3.12 质量保证方法
3.13 测试流程的管理,如,测试战略、测试计划、测试环境、启用和关闭(测试)的标准。
3.14 数据转换工具、技术和程序。
第三部分占考试卷面的16%
信审中文网 () 第 3 页
2006 CISA 考试大纲 -中文版
3.15 系统(和/或体系) (退役)的处置程序 3.16 软件、硬件的认证和鉴定实务。
3.17 (现场)实施后的检查的目标和方法。如:项目关闭、收益实现、绩效的测定。 3.18 系统移植和体系开发实务。
第四部分 IT服务的交付与支持
IT服务管理实务可确保提供所要求的等级、类别的服务,来满足组织的目标。
任务描述
4.1 评估服务管理实务,以确保由内部和外部服务提供商提供的服务等级是明确定义的、受管理的。 4.2 评估运营管理,以保证IT支持职能有效地满足了业务要求。 4.3 评估数据管理实务,以确保数据库的完整性和最优化。
4.4 评估(生产)能力的使用和性能监控工具和技术,以保证IT服务满足组织的目标。
4.5 评估变更、配置和(系统版本)发布管理实务,确保组织生产环境的变化得到了充分的控制,并被详细记录。 4.6 评估问题和事件管理实务,确保所有事件、问题和错误都被及时记录、分析和解决。 4.7 评估IT基础构架(如:网络设备、硬件、系统软件)的功能,确保其对组织目标的支持。 知识描述:
4.1 服务的等级(或水平)管理实务
4.2 运营管理最佳实务,例如:工作负荷调度、网络服务管理、预防性维护。
4.3 系统性能(或效能)监控程序、工具和技术。例如:网络分析器、系统利用率报告、负载均衡 4.4 硬件和网络设备的功能。如:路由器、交换机、防火墙和外围设备 4.5 数据库管理实务
4.6 操作系统、工具软件和数据库管理系统(例如,关系型数据库:Oracle、PostgreSQL)等系统软件的功能。 4.7 生产能力计划和监控技术
4.8 对生产系统(或体系)的应急变更和调度管理程序,包括变更、配置、(版本)发布和补丁管理实务。
4.9 (生产)事件/问题管理实务。如,帮助台(负责电话受询,提供一般性技术救援)、(逐级)上报程序和(技术)追踪。 4.10 软件许可证和(其总量)清单管理实务。
4.11 系统弹性之工具和技术,例如:容错硬件、单点失效的排除、(服务器)群集(或矩阵)。
第四部分占考试卷面的14%
信审中文网 () 第 4 页
2006 CISA 考试大纲 -中文版
第五部分 信息资产的保护
通过适当的安全体系(如,安全政策、标准和控制),保证信息资产的机密性、完整性和有效性。
任务描述:
5.1 评估逻辑访问控制的设计、实施和监控,确保信息资产的机密性、完整性、有效性和经授权地使用。 5.2 评估网络框架的安全,保证网络和被传输信息的机密性、完整性、有效性和经授权地使用。 5.3 评估环境控制的设计、实施和监控,以避免和/或减少损失
5.4 评估物理访问控制的设计、实施和监控,确保信息资产充分地安全。
5.5 评估保密信息资产的采集、存储、使用、传输(或运输)和(退役)处置程序和流程。
知识描述:
5.1 (信息系统的)安全(措施的)设计、实施和监控技术。如:威胁和风险评估、敏感性分析、泄密评估 5.2 用户使用授权的功能和数据时,识别、签订和约束等逻辑访问控制。例如:动态密码、询问/应答、(配置)菜单、(用户)资料信息。 5.3 逻辑访问安全体系。如:单点登陆(SSO)、用户识别策略、标识(身份)管理。 5.4 攻击方法和技术。如:黑客、欺骗、特络伊木马、拒绝服务、垃圾电子邮件。 5.5 对安全事件的监测和响应程序。如:上报程序、突发事件响应团队 5.6 网络和Internet 安全设备、协议和技术。如:SSL、SET、VPN、NAT 5.7 入侵监测系统和防火墙的配置、实施、运行和维护。 5.8 加密算法/技术。如:AES、RSA
5.9公共密钥结构(PKI)组件(如:CA、RA)和数字签名技术 5.10 病毒监测工具和控制技术
5.11 安全(方案)的测试和评估技术。例如:渗透测试、漏洞扫描
5.12 (生产)环境保护实务和设备。如:火灾压制、冷却系统和水传感器 5.13物理安全系统和实务。例如:生物(特征)鉴定、门卡、密码锁。 5.14 数据分类方案。例如:公开的、保密的、私密的和敏感的数据。 5.15 语音通讯的安全。如:VoIP
5.16保密信息资产的采集、存储、使用、传输(或运输)和(退役)处置程序和流程。
第五部分占考试卷面的31%
5.17 与使用便携式和无线设备(例如:个人商务通PDA、USB设备和蓝牙设备)相关的控制和风险。
信审中文网 () 第 5 页
2006 CISA 考试大纲 -中文版
第六部分 灾难恢复和业务连续性计划
一旦连续的业务被(意外)中断(或破环),灾难恢复计划确保(灾难)对业务影响最小化的同时,及时恢复(中断的)IT服务。
任务描述:
6.1评估备份和恢复准备的充分性,确保恢复运营所需信息的有效性(和可用性)。 6.2 评估组织的灾难恢复计划,确保一旦发生灾难,之后IT处理能力的恢复。
6.3 评估组织的业务连续性计划,确保IT(遭破环)服务中断期间,基本业务运营不间断的能力。
知识描述:
6.1 数据备份、存储、维护、保留和恢复流程,和实务。
6.2 业务连续性和灾难恢复有关的法律、规章、协议和保险问题。 6.3 业务影响分析(BIA)
6.4 开发和维护灾难恢复和业务连续性计划。 6.5 灾难恢复和业务连续性计划测试途径和方法
6.6 与灾难恢复和业务连续性计划有关的人力资源管理。例如:疏散计划、(紧急)响应团队。 6.7 启用灾难恢复和业务连续性计划的程序(或流程)。
6.8 备用业务处理站点(指场所和设施)的类型,和监督有关协议/合同的方法。
第六部分占考试卷面的14%
更多详情,请参考
ISACA 信审中文网
信审中文网 () 第 6 页