2014年CISA考试大纲知识点变化总结

qzyangyun

2014年CISA考试大纲知识点变化总结
第一章 信息系统审计过程 （6处变化）
第二章 IT治理与管理（6处变化）
第三章 信息系统获取、开发与实施（无变化）
第四章 信息系统运行、维护与支持（无变化）
第五章 信息资产保护（3处变化）
 
第一章变化内容如下：
1.3.2 ISACA IS审计和保障准则框架变化：
审计准则的重大变化：原有的16个审计准则（S1-S16）变更为3大类，共17个审计准则 ，如下：
第一类：通用准则
1001审计章程、1002组织独立性、1003职业独立性、1004合理预期、1005职业审慎、1006能力胜任、1007声明、1008标准
第二类：绩效准则
1201项目计划、1202计划中的风险评估、1203绩效与监控、1204重大性、1205证据、1206使用其他专家成果、1207违规和非法行为
第三类：报告准则
1401报告、1402追踪审计
1.3.3 ISACA IS审计和保障指南的变化：
G14、G16、G18、G21-G29、G31-G33、G36-41更新发布到了2013版
1.3.4 ISACA IS审计和保障工具和技术变化如下：
删除了工具和技术列表P1-P11，代之为工具和技术的归类。
工具和技术归类为参考资料、审计保障程序、白皮书、杂志期刊
1.3.5 IT技术保障框架（ITAF）的变化如下：
ITAF的变化：标号进行了更新
2200节 一般准则 —1000节 一般准则
2400节 执行准则 —1200节 执行准则
2600节 报告准则 — 1400节 报告准则
1.6 实施IS审计的变化如下：
文本的变化：项目管理技术的步骤
审计项目的项目管理技术，不管是自动化或手工，均包括以下基本步骤：
计划审计契约——考虑项目特定风险来制定审计契约
制定详细计划——应当在计划时间表上列出所需步骤，实际评价中应当在考虑审计对象可用性的前提下为每一项任务设定时间要求
执行计划活动——依据计划执行审计项目任务工作
监控项目活动——IS审计师依照计划的审计步骤报告他们实际的工作进程，来保证所有问题都被进行了有效的管理，并且按时、按照预计成本完成了工作。
1.6.5 基于风险的审计的变化如下：
段首新增：
有效的基于风险的审计包括两个阶段：
1、用来指定审计计划的风险评估工作（在1.6.7风险评估与处置中有详细描述）
2、在审计执行期间，用来最小化审计风险的风险评估工作（在1.6.6审计风险和重大性中有详细描述）
 
第二章变化内容如下：
2.8.2 风险管理流程的变化如下：
新增段落：
关键的管理实践包括：1、收集数据 2、分析风险 3、维护风险列表 4、明晰风险 5、定义风险管理措施组合6、响应风险
2.8.3 风险分析方法变化如下：
新增段落：
半定量的分析方法
半定量的风险分析方法采用文字分级与量化分级相结合的方式，常常用在不能使用定量分析方法或为了降低定性分析方法的主观因素时。
例如，定性方法中的“高”可以能给出的定量权重为5，“中”为3，“低”为1。多种变量进行加和即可得出要计算的变量的总体权重值。
2.9.7 绩效优化变化如下
章节内容调整：
关键成功因素：清晰的绩效目标定义、建立有效测量方法监控目标的实现
方法论和工具：1、PDCA循环；2、工具和技术；3、6 sigma；4、IT平衡记分卡 BSC；5、KPI指标；6、标杆管理；7、业务流程再造BPR
2.12.2 灾难和其他中断事件变化如下
非预期事件
管理层应当考虑不可预测事件（黑天鹅事件）对组织业务的可能影响性。黑天鹅事件是那些引起震惊的，有着重大影响的事件。
以福岛核电站事故进行了举例说明.
 
第三章、第四章无变化。
 
第五章变化内容如下：
5.2 信息安全管理的重要性变化如下：
新增内容：
Cobit5将信息目标分为三个品质维度
内在品质：数据与其实际价值的一致性，包括准确性、目标性、可信性、名誉
情境和代表品质：考虑到其运行的环境，动力及其结果与目的相适配，包括相关性、完整性、及时性等
访问与安全品质：考虑信息可用或可获取，包括可用性、时效性、严格访问控制
5.2.8 信息安全与外部团体变化如下：
新增内容：
在进行外包活动中，第三方符合并且获取相关安全标准认证（如ISO27001）的需求也应被考虑。
5.3.6 授权事项——使用移动设备进行远程访问变化如下
标题变化： “使用手持设备进行远程访问” — “使用移动设备进行远程访问”
新增内容：
移动设备包括： 智能手机、笔记本电脑、平板电脑、PDA、便携式USB存储设备、数码相机、RFID和移动RFID、红外设备等
 
更详尽的PPT版2014知识点全貌总结请点击下载