2006 CISA 考试大纲(2)

3.12 质量保证方法

3.13 测试流程的管理，如，测试战略、测试计划、测试环境、启用和关闭(测试)的标准。

3.14 数据转换工具、技术和程序。

第三部分占考试卷面的16%

信审中文网 () 第 3 页

2006 CISA 考试大纲 -中文版

3.15 系统(和/或体系) (退役)的处置程序 3.16 软件、硬件的认证和鉴定实务。

3.17 (现场)实施后的检查的目标和方法。如：项目关闭、收益实现、绩效的测定。 3.18 系统移植和体系开发实务。

第四部分 IT服务的交付与支持

IT服务管理实务可确保提供所要求的等级、类别的服务，来满足组织的目标。

任务描述

4.1 评估服务管理实务，以确保由内部和外部服务提供商提供的服务等级是明确定义的、受管理的。 4.2 评估运营管理，以保证IT支持职能有效地满足了业务要求。 4.3 评估数据管理实务，以确保数据库的完整性和最优化。

4.4 评估(生产)能力的使用和性能监控工具和技术，以保证IT服务满足组织的目标。

4.5 评估变更、配置和(系统版本)发布管理实务，确保组织生产环境的变化得到了充分的控制，并被详细记录。 4.6 评估问题和事件管理实务，确保所有事件、问题和错误都被及时记录、分析和解决。 4.7 评估IT基础构架(如：网络设备、硬件、系统软件)的功能，确保其对组织目标的支持。 知识描述：

4.1 服务的等级(或水平)管理实务

4.2 运营管理最佳实务，例如：工作负荷调度、网络服务管理、预防性维护。

4.3 系统性能(或效能)监控程序、工具和技术。例如：网络分析器、系统利用率报告、负载均衡 4.4 硬件和网络设备的功能。如：路由器、交换机、防火墙和外围设备 4.5 数据库管理实务

4.6 操作系统、工具软件和数据库管理系统(例如，关系型数据库：Oracle、PostgreSQL)等系统软件的功能。 4.7 生产能力计划和监控技术

4.8 对生产系统(或体系)的应急变更和调度管理程序，包括变更、配置、(版本)发布和补丁管理实务。

4.9 (生产)事件/问题管理实务。如，帮助台(负责电话受询，提供一般性技术救援)、(逐级)上报程序和(技术)追踪。 4.10 软件许可证和(其总量)清单管理实务。

4.11 系统弹性之工具和技术，例如：容错硬件、单点失效的排除、(服务器)群集(或矩阵)。

第四部分占考试卷面的14%

信审中文网 () 第 4 页

2006 CISA 考试大纲 -中文版

第五部分 信息资产的保护

通过适当的安全体系(如，安全政策、标准和控制)，保证信息资产的机密性、完整性和有效性。

任务描述：

5.1 评估逻辑访问控制的设计、实施和监控，确保信息资产的机密性、完整性、有效性和经授权地使用。 5.2 评估网络框架的安全，保证网络和被传输信息的机密性、完整性、有效性和经授权地使用。 5.3 评估环境控制的设计、实施和监控，以避免和/或减少损失

5.4 评估物理访问控制的设计、实施和监控，确保信息资产充分地安全。

5.5 评估保密信息资产的采集、存储、使用、传输(或运输)和(退役)处置程序和流程。

知识描述：

5.1 (信息系统的)安全(措施的)设计、实施和监控技术。如：威胁和风险评估、敏感性分析、泄密评估 5.2 用户使用授权的功能和数据时，识别、签订和约束等逻辑访问控制。例如：动态密码、询问/应答、（配置）菜单、(用户)资料信息。 5.3 逻辑访问安全体系。如：单点登陆(SSO)、用户识别策略、标识(身份)管理。 5.4 攻击方法和技术。如：黑客、欺骗、特络伊木马、拒绝服务、垃圾电子邮件。 5.5 对安全事件的监测和响应程序。如：上报程序、突发事件响应团队 5.6 网络和Internet 安全设备、协议和技术。如：SSL、SET、VPN、NAT 5.7 入侵监测系统和防火墙的配置、实施、运行和维护。 5.8 加密算法/技术。如：AES、RSA

5.9公共密钥结构(PKI)组件(如：CA、RA)和数字签名技术 5.10 病毒监测工具和控制技术

5.11 安全(方案)的测试和评估技术。例如：渗透测试、漏洞扫描

5.12 (生产)环境保护实务和设备。如：火灾压制、冷却系统和水传感器 5.13物理安全系统和实务。例如：生物(特征)鉴定、门卡、密码锁。 5.14 数据分类方案。例如：公开的、保密的、私密的和敏感的数据。 5.15 语音通讯的安全。如：VoIP

5.16保密信息资产的采集、存储、使用、传输(或运输)和(退役)处置程序和流程。

第五部分占考试卷面的31%

5.17 与使用便携式和无线设备(例如：个人商务通PDA、USB设备和蓝牙设备)相关的控制和风险。

信审中文网 () 第 5 页

2006 CISA 考试大纲 -中文版

第六部分 灾难恢复和业务连续性计划

一旦连续的业务被(意外)中断(或破环)，灾难恢复计划确保(灾难)对业务影响最小化的同时，及时恢复(中断的)IT服务。

任务描述：

6.1评估备份和恢复准备的充分性，确保恢复运营所需信息的有效性(和可用性)。 6.2 评估组织的灾难恢复计划，确保一旦发生灾难，之后IT处理能力的恢复。

6.3 评估组织的业务连续性计划，确保IT(遭破环)服务中断期间，基本业务运营不间断的能力。

知识描述：

6.1 数据备份、存储、维护、保留和恢复流程，和实务。

6.2 业务连续性和灾难恢复有关的法律、规章、协议和保险问题。 6.3 业务影响分析(BIA)

6.4 开发和维护灾难恢复和业务连续性计划。 6.5 灾难恢复和业务连续性计划测试途径和方法

6.6 与灾难恢复和业务连续性计划有关的人力资源管理。例如：疏散计划、(紧急)响应团队。 6.7 启用灾难恢复和业务连续性计划的程序(或流程)。

6.8 备用业务处理站点(指场所和设施)的类型，和监督有关协议/合同的方法。

第六部分占考试卷面的14%

更多详情，请参考

ISACA 信审中文网

信审中文网 () 第 6 页

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说医药卫生2006 CISA 考试大纲(2)在线全文阅读。