1、第一項目流程第一項目流程第二安全治理成果與管理職責關系 信息系統職責分離 業務影響分析第三項目組織結構 系統開發團隊 區別 SDLC各階 聯機事務處理數據完整性ACID原第四OSI七層結第五1相公共密鑰基礎結構2角色職第一基本職責歸項目流AF：活動/C人3項目管理流程RACI 圖 A/ 定義IT投資的項目群/投資組合管理框架IT 項目管理框架 R 建立IT 項角色職第一基本職責歸項目流AF：活動/C人3項目管理流程RACI 圖 A/ 定義IT投資的項目群/投資組合管理框架IT 項目管理框架 R 建立IT 項I/I/ I/ARC/C/ /C/C/ / IS 的要求以及IS資源 IS IS 與IS

2、 審計審計目標和范圍以及說明IS審計過IS 審計目標和范圍以及說明 IS 審計過程IS 外IS 推 抽樣方法及作職業獨立性與組織獨立性區別對獨立性/客觀性是否造成危害的情況屬審 抽樣方法及作職業獨立性與組織獨立性區別對獨立性/客觀性是否造成危害的情況屬審計技術比4通 用 審 計計算機輔助審計技術 CAAT 整 決概率比例規其他考點第二基本職責歸5指其他考點第二基本職責歸5指IT It 方面的建議代表董事會起草 并提交IT IT方向；IT與業務方針的一致性；符合 目標的 IT資源、技ITIT資源的角色和價值交付；ITIT項目的進展；IT對業務的貢獻（如交付預期業務價值；IT風險承受能力，包括合規

3、性風險；ITITITIT ITIT項目的日常管理決定IT開銷的整體水平以及如何分配；調整和批準企業IT架構；批準項目計劃和 、設定優先級和里程碑；獲取并分配適當的資源；確保項目滿足業務需求，包括對業務模式的再評估；監督項目執行，確保在 內及時交付預期價值和既定產出；監督 IT 職能與企業及各項目間的資源 和優先級 ；對調整 計劃提出建議和要求（優先級、 、技術方法及資源等；與項目管理團隊溝通 目標；管理層企業 IT 治理職責的主要承系統控制審計復核文件 SCARF決 策 支 持 系 統安全治理成果與管理職責關系 6需要顯著的一致確定風險承受能力監督風險管理需要動需要安全效果報監督知識管理和監督

4、保證流程整制定安全與業務確保在所有活動中明確了風險管理角色與職責監督 符合性需需要監督和衡量確保知識獲取流監督所有保證職和合工作進行檢查識 別 新 出 現 風 險，推行業務單元安全實務并識對服務與業務職能安全治理成果與管理職責關系 6需要顯著的一致確定風險承受能力監督風險管理需要動需要安全效果報監督知識管理和監督保證流程整制定安全與業務確保在所有活動中明確了風險管理角色與職責監督 符合性需需要監督和衡量確保知識獲取流監督所有保證職和合工作進行檢查識 別 新 出 現 風 險，推行業務單元安全實務并識對服務與業務職能充分性進行檢查對安全是否滿足業務目標要求進行檢查并提出建對知識獲取與宣識別關鍵業務

5、流指導保證整合工CISO/ 信 息 安 全 管 理制監督安全程序和確保已執行風險監督安全資源的制定并實施監督及衡量方法，指制定知識獲取與宣傳方法，并制與其他保證者治理；參與政策 、進行適當的 、設定指標并進行 和趨勢CISOCIO、CTO、CFOCEO官 CCO責略管理層、IS督略IS 考慮 CIO 或高級 IT 管理參與整體業務策略制定過程的方式，缺少參與將導致IT策級管理層、用戶管理部門以及 IS 部門的代表，確保IS部門與企業使命和目標協調一計劃BCP基于BIA參與BCP析 BIABIA信息系統職責分風險應對措施7層工作、確保與業務流程所有人持制定風險減緩策略推行對 的導和監督安全工定衡

6、量其效果和確保識別并個保證工作的重評估并 企業風險管理實務及評估效評估并 衡量方式及所用指標同領域管理所執行的保證流信息系統職責分風險應對措施7層工作、確保與業務流程所有人持制定風險減緩策略推行對 的導和監督安全工定衡量其效果和確保識別并個保證工作的重評估并 企業風險管理實務及評估效評估并 衡量方式及所用指標同領域管理所執行的保證流控制措施及作常用工具/分析方法的區其他考點業務影響分析 BIA第三基本職責歸8IS 控制措施及作常用工具/分析方法的區其他考點業務影響分析 BIA第三基本職責歸8IS 項目組織結構 指導委員會系統開發團隊 9IS 中內置了連續 審計功能（尤其是電子商務應用和其他類型

7、的物質環境計劃以及 基線時，以建立正式的 變更流程，從而在沒有正式 和批準（QAT編救火 IS項目組織結構 指導委員會系統開發團隊 9IS 中內置了連續 審計功能（尤其是電子商務應用和其他類型的物質環境計劃以及 基線時，以建立正式的 變更流程，從而在沒有正式 和批準（QAT編救火 IS 項目區別 6 18 各類項目管理工具、技術、測試的作用和目AlphaBeta 測試的前一個階段，通常由編程外部用戶開始Beta 測試前項目區別 6 18 各類項目管理工具、技術、測試的作用和目AlphaBeta 測試的前一個階段，通常由編程外部用戶開始Beta 測試前修復的缺陷或故障AS3-1 、 AS3-4

8、、 AS3-8 、 A3-2 A3-4 、 A3-20 、 Beta術，在 Alpha 之前，評估一個不能打開的黑盒子，在完全不考慮程序 結構和 特性的情況下，在程序接口進 試，生正確的輸出信息。黑盒測試著眼于程序外部結構，不考慮 邏輯結構，主要針對 界面和軟件功能進 試。執查技術 PERT，了 12 個模塊，每個數據項可承載 10 個屬性字段，可以用 FPA 估算開發量SDLC各階估指方法及說 A5-28 、 A5-44 、 之 SDLC各階估指方法及說 A5-28 、 A5-44 、 之 段從某主機中取得的用戶 ID 和否定應答 NAK 攻分布服交換機重復性故障首次的故障缺陷，幫助IS審計

9、師評估已開發并適時（UAT，接口集成測存、CPU 可用性、磁盤空間和網絡帶寬圖沒有 PERT 有效，可對項目進行最佳測量網絡組件及其作開發方法描述及優缺點 V 彌補網絡組件及其作開發方法描述及優缺點 V 彌補瀑布模型：制定計劃獲取用戶需求系統需求分析概要設計詳細設計提倡兩次開發：產控制MAC地一些交換機的功能，該功能使得交換機可以在不同端口間切換通信，如同這些端口在同一 來舉例系統和IT架構一聯機事務處理數據完整ACID原其他考點第四基本職責歸IS IS 聯機事務處理數據完整ACID原其他考點第四基本職責歸IS IS 相似級別的信息和 IT 資源安全所需步驟，使其在意外發生之前于主要站點準異并

10、將其傳輸給恢復設施，以及建立和監督在恢復站點操作對用戶終端、打字機、影印機和其他必要設備的交付和安裝進行定位和協性恢復指標及作不同計劃及作檢查校驗方式循環冗余校驗 CRCA3-36 、 A3-37 、 A4-42 、 驗證恢復指標及作不同計劃及作檢查校驗方式循環冗余校驗 CRCA3-36 、 A3-37 、 A4-42 、 驗證事故應對計劃 IRPIT 針對 業務連續性計劃BCP運營連續性計劃 COOP恢復時間目標 RTOAS4-3 、 AS4-9 、 恢復點目標可 的最長斷電時間 在發服務交付目標 SDO恢復服務的恢復服務的廉價磁盤冗余陣列OSI七層結廉價磁盤冗余陣列OSI七層結，一個RAI

11、D-0 陣列，速度最快，如果一個磁盤物理損壞，所有數據將無法使用速度同RAID-0，和 RAID-3 相似，都是數據分條，奇偶校驗產生冗余，但它不采用一個固定的硬盤來 奇偶校驗值，數據和校驗值都分布在所有硬盤上，最大好處是在一塊盤掉線的情況下照常工作，相對于 RAID-0 容錯性能好很多，因此RAID-5 是 RAID 級別中最常見的一個類型容錯功能和RAID-1RAID-1I/ORAID-0的速度以及RAID-反饋錯誤控向前錯誤控備份方法優缺其他考點容量/能力管 SA備份方法優缺其他考點容量/能力管 SAN傳輸 SCSI 數據SCSI over IPSCSITCP/IPIP第五基本職責歸負組制定和執行公司用來保護其信息資產的相關政策職責范圍比首席安全專員CSO更廣泛，CSO 只負責組織內的物理安全，類似滲透測試方法比性控網控結構 PKI用于公鑰/私鑰加密，盡管PKI本身可控強控是一種根據主體和/所屬組限制對對象進的方法，具有一權限的主體滲透測試方法比性控網控結構 PKI用于公鑰/私鑰加密，盡管PKI本身可控強控是一種根據主體和/所屬組限制對對象進的方法，具有一權限的主體當目標的IT團隊和測員工級職位，負責充分確保 IS 程序、數據和設備的物