18% 领域1 - 信息系统审计的流程
领域1通过提供行业标准的审计服务,帮助组织保护和控制信息系统,确认了您在组织的信息系统/信息技术安全、风险和控制解决方案状态方面提供结论的可信度。
A-规划
- 信息系统审计标准、准则、职能和道德规范
- 审计类型、评估和审查
- 基于风险的审计计划
- 控制类型和考虑因素
B-执行
- 审计项目管理
- 审计测试和抽样方法
- 审计证据收集技巧
- 审计数据分析
- 报告和沟通技巧
- 质量保证和审计流程改进
18% 领域2 - IT治理与管理
这一领域向利益相关者证实了您识别关键问题以及推荐适用于企业的特定实践的能力,以支持和保障信息及其相关技术的治理。
A-IT治理
- 法律、法规和行业标准
- 组织结构、IT治理和IT战略
- IT政策、标准、程序和准则
- 企业架构和注意事项
- 企业风险管理
- 数据隐私方案和原则
- 数据治理和分类
B-IT管理
- IT资源管理
- IT供应商管理
- IT性能监控与报告
- IT质量保证和质量管理
12% 领域3 - 信息系统的购置、开发与实施
领域3和4不仅证明了您在IT控制方面的专业能力,还体现了您对IT如何与业务相关联的理解。
A-信息系统购置与开发
- 项目治理和管理
- 业务案例和可行性分析
- 系统开发方法
- 控制识别和设计
B-信息系统的实施
- 系统准备和实施测试
- 实施配置和发行管理
- 系统迁移、基础设施部署和数据转换
- 实施后审查
26% 领域4 - 信息系统的运营和业务恢复能力
领域3和4不仅证明了您在IT控制方面的专业能力,还体现了您对IT如何与业务相关联的理解。
A-信息系统运营
- IT组件
- IT资产管理
- 作业调度和生产流程自动化
- 系统接口
- 最终用户计算和影子IT
- 系统可用性和容量管理
- 问题和事故管理
- IT变更、配置和修补程序管理
- 运营日志管理
- IT服务水平管理
- 数据库管理
B-业务恢复能力
- 业务影响分析
- 系统和运营恢复能力
- 数据备份、存储和恢复
- 业务持续计划
- 灾难恢复计划
26% 领域5 - 信息资产保护
网络安全如今几乎涉及所有信息系统角色,对该领域的原理、最佳实践及潜在风险有深入理解,已成为领域5关注的重点。
A-信息资产安全和控制
- 信息资产安全政策、框架、标准和准则
- 物理与环境控制
- 身份和访问控制
- 网络和终端安全
- 数据丢失防护
- 数据加密
- 公钥基础设施
- 云和虚拟化环境
- 移动、无线和物联网设备
B-安全事件管理
- 安全意识培训和方案
- 信息系统攻击方法和技术
- 安全测试工具和技术
- 安全监控日志、工具和技术
- 安全事故响应管理
- 证据搜集和取证
二级分类-任务
支持下列任务:
- 计划审计以确定信息系统是否受到保护、控制,并为组织提供价值。
- 按照信息系统审计标准和基于风险的信息系统审计策略进行审计。
- 将项目管理方法应用于审计过程。
- 与利益相关者沟通并收集关于审计进度、发现、结果和建议的反馈。
- 进行审计后的跟进,评估已识别的风险是否得到了充分解决。
- 利用数据分析工具来增强审计过程。
- 评估自动化和/或决策系统在组织中的作用和/或影响。
- 作为质量保证和改进计划的一部分,评估审计过程。
- 评估IT战略是否与组织的战略和目标保持一致。
- 评估IT治理结构和IT组织结构的有效性。
- 评估组织对IT政策和实践的管理,包括遵守法律和监管要求的情况。
- 评估IT资源和项目管理是否与组织的战略和目标保持一致。
- 评估组织的企业风险管理(ERM)计划。
- 确定组织是否已经定义了IT风险、控制措施和标准的所有权。
- 评估IT关键绩效指标(KPIs)和IT关键风险指标(KRIs)的监控和报告。
- 评估组织持续业务运营的能力。
- 评估组织的数据存储、备份和恢复政策及流程。
- 评估与信息系统相关的商业案例是否符合业务目标。
- 评估IT供应商选择和合同管理流程是否满足业务、法律和监管要求。
- 评估供应链中的IT风险因素和完整性问题。
- 评估信息系统开发生命周期各个阶段的控制措施。
- 评估信息系统的实施和迁移到生产环境的准备情况。
- 进行系统实施后的审查,以确定项目交付物、控制措施和要求是否得到满足。
- 评估是否有有效的流程来支持终端用户。
- 评估IT服务管理实践是否符合组织的要求。
- 定期审查信息系统和企业架构(EA),以确定其是否与组织目标保持一致。
- 评估IT运维和维护实践是否支持组织的目标。
- 评估组织的数据库管理实践。
- 评估组织的数据治理计划。
- 评估组织的隐私计划。
- 评估数据分类实践是否与组织的数据治理计划、隐私计划以及适用的外部要求保持一致。
- 评估组织的问题和事件管理计划。
- 评估组织的变更、配置、发布和补丁管理计划。
- 评估组织的日志管理计划。
- 评估组织有关资产生命周期管理的政策和实践。
- 评估与阴影IT和终端用户计算(EUC)相关的风险,以确定补偿控制的有效性。
- 评估组织的信息安全计划。
- 评估组织的威胁和漏洞管理计划。
- 利用技术安全测试来识别潜在的漏洞。
- 评估逻辑、物理和环境控制,以验证信息资产的机密性、完整性和可用性。
- 评估组织的安全意识培训计划。
- 向组织提供指导,以提高信息系统的质量和控制。
- 评估与新兴技术、法规和行业实践相关的潜在机会和风险。