1、第一項目流程第一項目流程第二安全治理成果與管理職責(zé)關(guān)系 信息系統(tǒng)職責(zé)分離 業(yè)務(wù)影響分析第三項目組織結(jié)構(gòu) 系統(tǒng)開發(fā)團隊 區(qū)別 SDLC各階 聯(lián)機事務(wù)處理數(shù)據(jù)完整性ACID原第四OSI七層結(jié)第五1相公共密鑰基礎(chǔ)結(jié)構(gòu)2角色職第一基本職責(zé)歸項目流AF：活動/C人3項目管理流程RACI 圖 A/ 定義IT投資的項目群/投資組合管理框架IT 項目管理框架 R 建立IT 項角色職第一基本職責(zé)歸項目流AF：活動/C人3項目管理流程RACI 圖 A/ 定義IT投資的項目群/投資組合管理框架IT 項目管理框架 R 建立IT 項I/I/ I/ARC/C/ /C/C/ / IS 的要求以及IS資源 IS IS 與IS

2、 審計審計目標(biāo)和范圍以及說明IS審計過IS 審計目標(biāo)和范圍以及說明 IS 審計過程IS 外IS 推 抽樣方法及作職業(yè)獨立性與組織獨立性區(qū)別對獨立性/客觀性是否造成危害的情況屬審 抽樣方法及作職業(yè)獨立性與組織獨立性區(qū)別對獨立性/客觀性是否造成危害的情況屬審計技術(shù)比4通 用 審 計計算機輔助審計技術(shù) CAAT 整 決概率比例規(guī)其他考點第二基本職責(zé)歸5指其他考點第二基本職責(zé)歸5指IT It 方面的建議代表董事會起草 并提交IT IT方向；IT與業(yè)務(wù)方針的一致性；符合 目標(biāo)的 IT資源、技ITIT資源的角色和價值交付；ITIT項目的進展；IT對業(yè)務(wù)的貢獻（如交付預(yù)期業(yè)務(wù)價值；IT風(fēng)險承受能力，包括合規(guī)

3、性風(fēng)險；ITITITIT ITIT項目的日常管理決定IT開銷的整體水平以及如何分配；調(diào)整和批準(zhǔn)企業(yè)IT架構(gòu)；批準(zhǔn)項目計劃和 、設(shè)定優(yōu)先級和里程碑；獲取并分配適當(dāng)?shù)馁Y源；確保項目滿足業(yè)務(wù)需求，包括對業(yè)務(wù)模式的再評估；監(jiān)督項目執(zhí)行，確保在 內(nèi)及時交付預(yù)期價值和既定產(chǎn)出；監(jiān)督 IT 職能與企業(yè)及各項目間的資源 和優(yōu)先級 ；對調(diào)整 計劃提出建議和要求（優(yōu)先級、 、技術(shù)方法及資源等；與項目管理團隊溝通 目標(biāo)；管理層企業(yè) IT 治理職責(zé)的主要承系統(tǒng)控制審計復(fù)核文件 SCARF決 策 支 持 系 統(tǒng)安全治理成果與管理職責(zé)關(guān)系 6需要顯著的一致確定風(fēng)險承受能力監(jiān)督風(fēng)險管理需要動需要安全效果報監(jiān)督知識管理和監(jiān)督

4、保證流程整制定安全與業(yè)務(wù)確保在所有活動中明確了風(fēng)險管理角色與職責(zé)監(jiān)督 符合性需需要監(jiān)督和衡量確保知識獲取流監(jiān)督所有保證職和合工作進行檢查識 別 新 出 現(xiàn) 風(fēng) 險，推行業(yè)務(wù)單元安全實務(wù)并識對服務(wù)與業(yè)務(wù)職能安全治理成果與管理職責(zé)關(guān)系 6需要顯著的一致確定風(fēng)險承受能力監(jiān)督風(fēng)險管理需要動需要安全效果報監(jiān)督知識管理和監(jiān)督保證流程整制定安全與業(yè)務(wù)確保在所有活動中明確了風(fēng)險管理角色與職責(zé)監(jiān)督 符合性需需要監(jiān)督和衡量確保知識獲取流監(jiān)督所有保證職和合工作進行檢查識 別 新 出 現(xiàn) 風(fēng) 險，推行業(yè)務(wù)單元安全實務(wù)并識對服務(wù)與業(yè)務(wù)職能充分性進行檢查對安全是否滿足業(yè)務(wù)目標(biāo)要求進行檢查并提出建對知識獲取與宣識別關(guān)鍵業(yè)務(wù)

5、流指導(dǎo)保證整合工CISO/ 信 息 安 全 管 理制監(jiān)督安全程序和確保已執(zhí)行風(fēng)險監(jiān)督安全資源的制定并實施監(jiān)督及衡量方法，指制定知識獲取與宣傳方法，并制與其他保證者治理；參與政策 、進行適當(dāng)?shù)?、設(shè)定指標(biāo)并進行 和趨勢CISOCIO、CTO、CFOCEO官 CCO責(zé)略管理層、IS督略IS 考慮 CIO 或高級 IT 管理參與整體業(yè)務(wù)策略制定過程的方式，缺少參與將導(dǎo)致IT策級管理層、用戶管理部門以及 IS 部門的代表，確保IS部門與企業(yè)使命和目標(biāo)協(xié)調(diào)一計劃BCP基于BIA參與BCP析 BIABIA信息系統(tǒng)職責(zé)分風(fēng)險應(yīng)對措施7層工作、確保與業(yè)務(wù)流程所有人持制定風(fēng)險減緩策略推行對 的導(dǎo)和監(jiān)督安全工定衡

6、量其效果和確保識別并個保證工作的重評估并 企業(yè)風(fēng)險管理實務(wù)及評估效評估并 衡量方式及所用指標(biāo)同領(lǐng)域管理所執(zhí)行的保證流信息系統(tǒng)職責(zé)分風(fēng)險應(yīng)對措施7層工作、確保與業(yè)務(wù)流程所有人持制定風(fēng)險減緩策略推行對 的導(dǎo)和監(jiān)督安全工定衡量其效果和確保識別并個保證工作的重評估并 企業(yè)風(fēng)險管理實務(wù)及評估效評估并 衡量方式及所用指標(biāo)同領(lǐng)域管理所執(zhí)行的保證流控制措施及作常用工具/分析方法的區(qū)其他考點業(yè)務(wù)影響分析 BIA第三基本職責(zé)歸8IS 控制措施及作常用工具/分析方法的區(qū)其他考點業(yè)務(wù)影響分析 BIA第三基本職責(zé)歸8IS 項目組織結(jié)構(gòu) 指導(dǎo)委員會系統(tǒng)開發(fā)團隊 9IS 中內(nèi)置了連續(xù) 審計功能（尤其是電子商務(wù)應(yīng)用和其他類型

7、的物質(zhì)環(huán)境計劃以及 基線時，以建立正式的 變更流程，從而在沒有正式 和批準(zhǔn)（QAT編救火 IS項目組織結(jié)構(gòu) 指導(dǎo)委員會系統(tǒng)開發(fā)團隊 9IS 中內(nèi)置了連續(xù) 審計功能（尤其是電子商務(wù)應(yīng)用和其他類型的物質(zhì)環(huán)境計劃以及 基線時，以建立正式的 變更流程，從而在沒有正式 和批準(zhǔn)（QAT編救火 IS 項目區(qū)別 6 18 各類項目管理工具、技術(shù)、測試的作用和目AlphaBeta 測試的前一個階段，通常由編程外部用戶開始Beta 測試前項目區(qū)別 6 18 各類項目管理工具、技術(shù)、測試的作用和目AlphaBeta 測試的前一個階段，通常由編程外部用戶開始Beta 測試前修復(fù)的缺陷或故障AS3-1 、 AS3-4

8、、 AS3-8 、 A3-2 A3-4 、 A3-20 、 Beta術(shù)，在 Alpha 之前，評估一個不能打開的黑盒子，在完全不考慮程序 結(jié)構(gòu)和 特性的情況下，在程序接口進 試，生正確的輸出信息。黑盒測試著眼于程序外部結(jié)構(gòu)，不考慮 邏輯結(jié)構(gòu)，主要針對 界面和軟件功能進 試。執(zhí)查技術(shù) PERT，了 12 個模塊，每個數(shù)據(jù)項可承載 10 個屬性字段，可以用 FPA 估算開發(fā)量SDLC各階估指方法及說 A5-28 、 A5-44 、 之 SDLC各階估指方法及說 A5-28 、 A5-44 、 之 段從某主機中取得的用戶 ID 和否定應(yīng)答 NAK 攻分布服交換機重復(fù)性故障首次的故障缺陷，幫助IS審計

9、師評估已開發(fā)并適時（UAT，接口集成測存、CPU 可用性、磁盤空間和網(wǎng)絡(luò)帶寬圖沒有 PERT 有效，可對項目進行最佳測量網(wǎng)絡(luò)組件及其作開發(fā)方法描述及優(yōu)缺點 V 彌補網(wǎng)絡(luò)組件及其作開發(fā)方法描述及優(yōu)缺點 V 彌補瀑布模型：制定計劃獲取用戶需求系統(tǒng)需求分析概要設(shè)計詳細設(shè)計提倡兩次開發(fā)：產(chǎn)控制MAC地一些交換機的功能，該功能使得交換機可以在不同端口間切換通信，如同這些端口在同一 來舉例系統(tǒng)和IT架構(gòu)一聯(lián)機事務(wù)處理數(shù)據(jù)完整ACID原其他考點第四基本職責(zé)歸IS IS 聯(lián)機事務(wù)處理數(shù)據(jù)完整ACID原其他考點第四基本職責(zé)歸IS IS 相似級別的信息和 IT 資源安全所需步驟，使其在意外發(fā)生之前于主要站點準(zhǔn)異并

10、將其傳輸給恢復(fù)設(shè)施，以及建立和監(jiān)督在恢復(fù)站點操作對用戶終端、打字機、影印機和其他必要設(shè)備的交付和安裝進行定位和協(xié)性恢復(fù)指標(biāo)及作不同計劃及作檢查校驗方式循環(huán)冗余校驗 CRCA3-36 、 A3-37 、 A4-42 、 驗證恢復(fù)指標(biāo)及作不同計劃及作檢查校驗方式循環(huán)冗余校驗 CRCA3-36 、 A3-37 、 A4-42 、 驗證事故應(yīng)對計劃 IRPIT 針對 業(yè)務(wù)連續(xù)性計劃BCP運營連續(xù)性計劃 COOP恢復(fù)時間目標(biāo) RTOAS4-3 、 AS4-9 、 恢復(fù)點目標(biāo)可 的最長斷電時間 在發(fā)服務(wù)交付目標(biāo) SDO恢復(fù)服務(wù)的恢復(fù)服務(wù)的廉價磁盤冗余陣列OSI七層結(jié)廉價磁盤冗余陣列OSI七層結(jié)，一個RAI

11、D-0 陣列，速度最快，如果一個磁盤物理損壞，所有數(shù)據(jù)將無法使用速度同RAID-0，和 RAID-3 相似，都是數(shù)據(jù)分條，奇偶校驗產(chǎn)生冗余，但它不采用一個固定的硬盤來 奇偶校驗值，數(shù)據(jù)和校驗值都分布在所有硬盤上，最大好處是在一塊盤掉線的情況下照常工作，相對于 RAID-0 容錯性能好很多，因此RAID-5 是 RAID 級別中最常見的一個類型容錯功能和RAID-1RAID-1I/ORAID-0的速度以及RAID-反饋錯誤控向前錯誤控備份方法優(yōu)缺其他考點容量/能力管 SA備份方法優(yōu)缺其他考點容量/能力管 SAN傳輸 SCSI 數(shù)據(jù)SCSI over IPSCSITCP/IPIP第五基本職責(zé)歸負組制定和執(zhí)行公司用來保護其信息資產(chǎn)的相關(guān)政策職責(zé)范圍比首席安全專員CSO更廣泛，CSO 只負責(zé)組織內(nèi)的物理安全，類似滲透測試方法比性控網(wǎng)控結(jié)構(gòu) PKI用于公鑰/私鑰加密，盡管PKI本身可控強控是一種根據(jù)主體和/所屬組限制對對象進的方法，具有一權(quán)限的主體滲透測試方法比性控網(wǎng)控結(jié)構(gòu) PKI用于公鑰/私鑰加密，盡管PKI本身可控強控是一種根據(jù)主體和/所屬組限制對對象進的方法，具有一權(quán)限的主體當(dāng)目標(biāo)的IT團隊和測員工級職位，負責(zé)充分確保 IS 程序、數(shù)據(jù)和設(shè)備的物