馬 匯哲科技資深講

?2013SPISEC技 PSC）致于 管、審、證方的訓實研，以 流學指業SPSC為 ，于踐服質的實，永。備 驗五以培經身年于 業具較的業訓平豐的訓強的續務隊為員決試認作多培經，培為服為實為個、內第合伙提優的訓。SPISEC于2008年開始在業內陸續組織多場專業知識 座和研討，持續發布多期專 文檔和學習形式 、書籍。SPISEC至今為27000名會員提供免費的學習指導服務，其中為3000多名移動、能源、制造、IT等多個行業 Page <Title>| ?2013SPISEC2013年CISA考試第二章IT治理與管理第四章信息系統的操作、 第五章信息資產的保護Page <Title>| ?2013SPISEC第一章信息系統的審 Page <Title>| ?2013SPISEC第二章IT治理 2.9.2外包實務— 2.12.10Page <Title>| ?2013SPISEC第二章IT治理 治2.10.3職責分離 數據 外包實務—目前外包治理方法 刪除標題 ）Page <Title>| ?2013SPISECIT平衡記為了把平衡記分卡應用于IT使成為首選的信息系統經濟、有效地交付ITIT投資能獲得一個合理的抓住機遇應對未開發良好的應用系統建立用戶伙伴關系和良好的客戶服提高服務水平控制IT為IT項目賦于業務提供新的業務培訓和教育IT職員，追求卓為研究和開發提供

Page <Title>| ?2013SPISEC2.5過程改進模型和成熟 Page <Title>| ?2013SPISEC2.9.2采購實 方向在總體是技術供應和業 ，系統是安全的和風險是可管理的，在任何環境都是，在第管理中更加復雜。典型的治理活動例如目標設定，政策 Page <Title>| ?2013SPISEC2.9.2采購實）Page <Title>| ?2013SPISEC是信息系統基于部門的流程得到有效控制、評價和改善。流程是由一系列任預期的結果信息系統審計師應當ISO9001 ，取代早 的ISO標準（2013年變化知識點）；ISO20000ISO27001、ISO9126、CMM等正式成文并，是否能產生預期的信息系統審計應 織是否 制定職能與流程并遵照執行，如已制定，是否能產生信息系統審計師重點關注為關鍵業務職能制定的IT相 流程。為，審計師建議實施一個流程改善程序，排定所需活動的次序，制定所的活動計劃，為執行Page <Title>| ?2013SPISEC （BritishStandardsInstitution,簡稱BSI）制定的 管理實踐規范》(CodeofPracticeforInformationSecurity)，9月在英國發布。 。1998年2月為了適應第認證的需求,英國又制定世界上 估的基礎。（2013年新增知識點）Page <Title>| ?2013SPISEC ，:2布成為正標，:2002大 ，引入國際上通行的管理模式過程方法和PDA持續改進式。2005年6月，ISO/IEC17799:2000經 ，同時，BS7799-2:2002ISO10 ISO/IEC17799:2005CodeofpracticeforInformationISO/IEC27001:2005InformationSecurity.SecurityInformationsecuritymanagementsystems.Page <Title>| ?2013SPISEC以ISO/IEC27001 管理標準逐漸發展成為一套完整的準族，具體包ISO/IEC27000，基礎和術語ISO/IEC 管理體系要求，20051015發布（ISO/IEC27001:2005）ISO/IEC27002， 管理體系最佳實踐，20074直接由ISO/IEC17799:2005（2005年6月15日正式發布）轉換而來。（ISO/IEC27003，ISMS實施指ISO/IEC 管理度量和改進ISO/IEC 風險管理指南，以2005BS7799-3（基于ISO/IEC13335-2）為藍Page <Title>| ?2013SPISEC 理人員作為參考文檔使用，從而在他們的機構內部實施和信息安 管理系統的要求，實施組織需要通過風險評估來鑒定安全策略（Security的組織（安全策略（Security的組織（Organizinginformationsecurity）資產管理（Asset人力資源安全（Human物理和環境安全（Physical通信和操作安全（Communicationsand信息系統開發和（Informationsystemacquisition,developmentandmaintenance）訪問控制（Access事故管理（Informationsecurityincidentmanagement）業務連續性管理（Businesscontinuitymanagement）符合性（Page <Title>| ?2013SPISECPDCA（Plan、Do、CheckAct）是管理學慣用的一個過程模型，最早是由休哈特（WalterShewhart）于19世紀30年代構想的，后來被戴明（EdwardsDeming）采納、宣傳并運用于持續改善產品質量的過程當中。Page <Title>| ?2013SPISEC（2013年新增知識點 Page <Title>| ?2013SPISEC不斷前進、不斷提高（2013年新增知識點PDCA循環就像爬樓梯一樣，一個循環運轉結束，生產的質量就會高一步，然后再制定下一個循環，再運轉、再提高，不斷前進，不提高，是一個螺旋式上升的過程質量

C螺旋上升的Page <Title>| ?2013SPISECPDCA和ISMS的結Page <Title>| ?2013SPISECIT治理最佳實IT治理和管理IT與各項業務保持一致，IT能夠促進業務開展并使效益最大化，IT資源ISO/IEC27001(ISO27001)系列標準：屬于一組最佳做法，可向各組 程序方面的指導。ISO27001最初作為英國標準7799(BS7799)在英國(UK)公布，現已成為該行業的公認標準。（注：第五章 管理體系（ISMS)”知識點，2013年新增知識點。 了關于如何實現成功的IT運營服務菅理的實用信息。2008年發布3.0版。Page <Title>| ?2013SPISEC （ITPage <Title>| ?2013SPISEC（2013年(CSF(KGI(KPIPage <Title>| ?2013SPISEC2.12.102013年變化知識點USNationalInstituteofStandardsandTechnology（ USFederalFinancialInstitutionsExaminationCouncil USFederalReserve USHealthandHumanServicesHHS 人員服務署制定的 USFederalEnergyRegulatoryCommission(FERC 能Page <Title>| ?2013SPISEC2.2公司必須通過公司治理實踐促進組織內部問題的處理、決策的制定以及總體實踐。公司治理已被定義為制商業公司的系統”。具體來說，職責和采取的做法，用以指明方向，從而確保實現目標、恰當解決風險并合理利用世界經濟合作與發展組織（OECD）：“公司治理包括組織中管理層 權、促進經濟繁榮和社會凝聚力、減少貧困、加強環境保護和自然資源 Page <Title>| ?2013SPISEC2.2公司作為本框架的一部分，還應建立管理與報告業務風險的機制。要求組織應具備一個內部控制系統，以便在探索用于改善業務的富有創新意義的 風險。同時，此框架也是保護利益相關者的平臺，因作出他們的投資決定。這樣，一方面需要利用各種可能的機會為利益相 社會責任的約束，因此公司治理便會試圖在這兩個互相 找到平衡點。考慮到社會責任在公司治理中的重要性，國際標準化組織（ISO)已開始制定國際標準（ISO26000),從而為社會責任(SR)提供強制性的準則。（2013年刪除內容Page <Title>| ?2013SPISEC有效 治企業治理是董事會和高級管理層為提供方針所實行的合理使用企業資源。（2013年刪除內容）業務方針通過是通過業務目的和目標來明確，信息安全必須支持業務活企業交付的價值。 Page <Title>| ?2013SPISEC第三章信息系統的購 3.5.2SDLCPhase4B—配置 3.12.4Page <Title>| ?2013SPISEC第三章信息系統的購 3.6.20 Page <Title>| ?2013SPISEC第三章信息系統的購20123.4.3項目管理的一般事務（2013年刪除20123.6.13綜合客戶文件（2013年刪除20123.6.14辦公自動化（2013年刪除20123.7（2013年刪除20123.8.1面向數據的系統開發（2013年刪除20123.9.7系統軟件變更控制流程（2013年刪除2012-3.13.1輸入控制 聯機系統或數據庫系統中的批輸入完整性（2013年刪除Page <Title>| ?2013SPISEC3.2務實信性等主要因素的折衷結果。制定者需進行全面的研究素同可用于完成和系統的服務的優勢、劣勢、競爭力進Page <Title>| ?2013SPISEC3.5.2傳統的SDLC各階段Phase4B—配置（Configuration）（注：2013年新增知系統配置，與SDLC關聯，包括：定義，和控制的 和批準所有變用控制而不是由直接用戶干預Page <Title>| ?2013SPISEC電子 有網絡。電子郵件由二進制數據組成，通常采用ASCII文本 Page <Title>| ?2013SPISECPOS 嵌入式微處理智能卡定義標準。（2013年新增知識點）Page <Title>| ?2013SPISEC電子銀確保重要銀行信息 規定（例如巴賽爾BaselAccordsIII）Page <Title>| ?2013SPISEC3.3.6項目中的團隊及個人角色和 提出建議。點位置的設定取決于使用的SDLC方法、系統的結構和大小以及潛在偏差的影響。此外，還應重視基于流程的相應活動，請參閱本章3.11.4，ISO/IEC15504，2013年更新知識點）。QA功能的具體目標包–確保在修訂、評估和，應用標準、管理準則和流程過程中所相關方積極配合Page <Title>| ?2013SPISECISO/IEC15504是標準族（一系列文檔）為流程改善，基準能力維度提供對流程的度量以織目前或計劃的流程的業務目標。流程能力以流程屬性表達，如exhibit3.28顯示 Page <Title>| ?2013SPISEC3.12.4ISO15504（2013年變化內容方式（計劃，和調整）并且其產出產品被恰當地建立，控制和。Page <Title>| ?2013SPISEC付成果的質量。交付成果質量的參數可由項目督導或Page <Title>| ?2013SPISEC電子商消費者 和自報稅申報等領域。（2013年刪除內容）多個B-to-B關系/市場間的連接。X-to-X是B-to-B或B-到用品/產品。（2013年刪除內容Page <Title>| ?2013SPISEC轉移 ）Page <Title>| ?2013SPISEC特別是從IS審計師的角度來講時，主要問題就是策略、運營和信譽風 銀行應具有風險管理程序，以便能夠識別、衡量 的技術險。新技術的風險管及如何提供該類服務，董事會應做出明確、精明且記錄在案的性決關的具體問責性、政策和控制。董事會應、批準和對銀行的風施適當的控制。（2013年刪除內容）Page <Title>| ?2013SPISEC衡量和風險是運營管理人員的職責）電子銀行 的風險管電子銀 著眾多的風險管 。Page <Title>| ?2013SPISEC3.6.20供應鏈流動。同時也避免了人工操作（訂單確）所帶來的固有成本和誤差。 供應鏈，水災影響全球硬盤價格，歐洲冰島火山爆發影 。（Page <Title>| ?2013SPISEC3.8.5系統軟件的或中斷。軟件供應商通常會將 序（旨在減少與安全相關的 公司（如SANS SEI)的CERT或McAfee 要求不兼容。（2013年刪除內容Page <Title>| ?2013SPISEC業務流程很有效。構成業務的所有其他內容都在喪失其唯一性，而變成了一種商品。 程正在演變成一項世界性的董事會議程?！保∟agaraj,N.S.;BusinessProcessManagement——AnEmergingTrend,Infosys/SETLabs, ,2001)（組以生成客戶導向型輸出的特定輸入和增值任務為特征的相互關聯的工作活動。業務流程由 能的橫向工作流程組成。”（Seth,Vikram;WilliamKing;OrganizationalTransformationthroughBusinessProcessReengineering,PrenticeHall,USA,1998)（2013年刪除內容）Page <Title>| ?2013SPISEC應用控制是對輸入功應用控制包括用于確僅在計算機系統中輸處理操作完成正確處理結果滿足預期數。Page <Title>| ?2013SPISEC3.4.3項目管理的一般事務（2013年刪除項目管理軟件的 文–自動化文檔工具可處理系統和程序文檔的制作、驗證和。這些工具辦公自–可減少員工參與為滿足政策要求和在員工會議上執行通信和記錄功能所Page <Title>| ?2013SPISEC3.6.13綜合客戶文件（2013年刪除。有助于組織進行客戶分析和市 Page <Title>| ?2013SPISEC3.6.14辦公自動化（2013年刪除很多組織的都使用了大量的電子設備和技術和電子郵件每天都在很多里使用，局域網將本地的計算機連接在一起，以便于這些技術，但是常常缺乏必要的控制和安全措施。Page <Title>| ?2013SPISEC3.6.16協同處理系統（2013年刪除Page <Title>| ?2013SPISEC3.7其他的軟件項目組織形式（2013年刪除）。鑒于這些因素，IS遞增式或漸進式開發(Incrementalorprogressivedevelopment)： Page <Title>| ?2013SPISEC3.7其他的軟件項目組織形式（2013年刪除 發(Iterativedevelopment)：這種方法涉及到通過迭代的方 復雜性的來源包現在所開發系統的深度和廣度。例如電子商務、客戶關系管理)、供應鏈集成 交易處理 分析處業務變更率需要作出各種各樣架構方面的決策。例如，系統應具有圖形用戶面（GUI)還是瀏覽器界面；使用哪 ；使用哪個Web服務常常需要將新系統與舊版系統進行整Page <Title>| ?2013SPISEC3.7其他的軟件項目組織形式（2013年刪除–進化式開發(Evolutionarydevelopment)：通過原型螺旋式開發（Spiraldevelopment）：開發解決方案時需求的詳細說明、系統設計和測試計劃)。Page <Title>| ?2013SPISEC3.7其他的軟件項目組織形式（2013年刪除–敏捷開發(Agiledevelopment)：項目被劃分為持續時 功能以與預定的開發方法和架構保持一致的方式開發。 Page <Title>| ?2013SPISEC面向數據的系統開發（2013年刪除DOSD（DATA-ORIENTEDSYSTEMDEVELOPMENT）是一過關注數據及其結構來表示軟件需求的方法。交易所以及一些服務提供商（如航空公司、公司等）生成的是與時間相關的數據。這些數據將離線提供給一些服務訂購者。例如，交易所到經紀人再到次級經紀人；航空公司到各自的旅行社等ASCII或其他規定的格式提供 的應用程序（平臺變體和開發工具變體），并可以直接將這些數據用于自己的應用程序中，以便 Page <Title>| ?2013SPISEC面向數據的系統開發（2013年刪除Page <Title>| ?2013SPISEC3.9.7系統軟件變更控制流程（2013年刪除所 均應在用于生產前由具有技術方面資質 存檔記錄和批 求IS管理人員和工作人員了解并參與到系統軟件變更流程中。變更控制流程應確保影響生產系統的變更進行過合理評估（尤其是安裝時所產生。許多情況下，IS管Page <Title>| ?2013SPISEC3.11.3軟件能力成熟度模型（2013年刪除什么是1990年由卡耐基-梅隆大學軟件工程師和行業的資助下軟件能力成熟度模型（CMM）Page <Title>| ?2013SPISEC3.11.3軟件能力成熟度模型（2013年刪除軟件開發 進行過 目的：評估軟件供應商的能力→幫助軟件企業管理和改Page <Title>| ?2013SPISEC3.11.3軟件能力成熟度模型（2013年刪除等特級級級Page <Title>| ?2013SPISEC3.11.3軟件能力成熟度模型（2013年刪除CMM的5個級別初始級、可重復各級別要強調定量的過程管理和軟 改進，包括缺陷預Page <Title>| ?2013SPISEC輸入控制 控Page <Title>| ?2013SPISEC第四章信息系統的操作 與支4.2.2IT4.2.54.4.84.5.6OSI模型在網絡體系結構中的應用Page <Title>| ?2013SPISEC第四章信息系統的操作 與支4.2.3架構運行 4.3.1計算機硬件組成和架構—內存卡閃存盤，RFID（4.5.6OSI在網絡架構的應用—局域網，廣域網，無線網，公 4.7.6備份和恢復—備份安排 Page <Title>| ?2013SPISEC4.2.2IT服務 管理層使用多種技術，包括問卷（questionnaires），現場檢查（onsitevisits），獨立第 independentthird-partyassurancereport），例如：SSAE16SOC1report，AT-101SOC2andSOC3reportsformerlySAS70)審計（2013年新增知識點）。Page <Title>| ?2013SPISEC4.2.5支持與服當啟動服務臺工單/呼叫（ticket/call）時觸發支持，基于 且可根據需要將其上報到IT管理人員。 Page <Title>| ?2013SPISEC4.4.8 Page <Title>| ?2013SPISEC4.5.6OSI模型在網絡體系結構中的應（2013年刪除內容客戶機-服務器技要有效管理和支持這些環境，IT人員需要解決發展和復雜性帶來 關鍵任務應用程序的日益復雜使越來越多的公司開始嘗試客戶端/服器平臺公司正在經 將應用程序的更改整合到現有網絡系統中的問題對客戶端/服務器技術人員的需求導致頻繁的人員流動，增加了雇傭培訓的成本，對公司Page <Title>| ?2013SPISEC4.5.6