登入帳戶  | 訂單查詢  | 購物車/收銀台( 0 ) | 在線留言板  | 付款方式  | 運費計算  | 聯絡我們  | 幫助中心 |  加入書簽
會員登入 新用戶登記
HOME新書上架暢銷書架好書推介特價區會員書架精選月讀2023年度TOP分類瀏覽雜誌 臺灣用戶
品種:超過100萬種各類書籍/音像和精品,正品正價,放心網購,悭钱省心 服務:香港台灣澳門海外 送貨:速遞郵局服務站

新書上架簡體書 繁體書
暢銷書架簡體書 繁體書
好書推介簡體書 繁體書

十月出版:大陸書 台灣書
九月出版:大陸書 台灣書
八月出版:大陸書 台灣書
七月出版:大陸書 台灣書
六月出版:大陸書 台灣書
五月出版:大陸書 台灣書
四月出版:大陸書 台灣書
三月出版:大陸書 台灣書
二月出版:大陸書 台灣書
一月出版:大陸書 台灣書
12月出版:大陸書 台灣書
11月出版:大陸書 台灣書
十月出版:大陸書 台灣書
九月出版:大陸書 台灣書
八月出版:大陸書 台灣書

『簡體書』CISA信息系统审计师认证All-in-One(第4版·2019大纲)

書城自編碼: 3749652
分類:簡體書→大陸圖書→考試财税外贸保险类考试
作者: [美]彼得·H.格雷戈里[Peter H. Gregory]
國際書號(ISBN): 9787302597292
出版社: 清华大学出版社
出版日期: 2022-05-01

頁數/字數: /
書度/開本: 16开 釘裝: 平装

售價:HK$ 160.0

我要買

 

** 我創建的書架 **
未登入.


新書推薦:
泉舆日志 幻想世界宝石生物图鉴
《 泉舆日志 幻想世界宝石生物图鉴 》

售價:HK$ 134.2
养育女孩 : 官方升级版
《 养育女孩 : 官方升级版 》

售價:HK$ 50.4
跨界:蒂利希思想研究
《 跨界:蒂利希思想研究 》

售價:HK$ 109.8
千万别喝南瓜汤(遵守规则绘本)
《 千万别喝南瓜汤(遵守规则绘本) 》

售價:HK$ 44.7
大模型启示录
《 大模型启示录 》

售價:HK$ 112.0
东法西渐:19世纪前西方对中国法的记述与评价
《 东法西渐:19世纪前西方对中国法的记述与评价 》

售價:HK$ 201.6
养育男孩:官方升级版
《 养育男孩:官方升级版 》

售價:HK$ 50.4
小原流花道技法教程
《 小原流花道技法教程 》

售價:HK$ 109.8

 

編輯推薦:
《CISA信息系统审计师认证All-in-One(第4版 ? 2019大纲)》由审计专家撰写,对上一版做了全面更新,内容权威,涵盖2019年ISACA 开发的所有五个CISA考试领域。每章开头列出学习目标,文中穿插考试提示,章末包含小结、本章要点、习题和答案。本书旨在帮助考生更轻松地通过CISA考试,也可供IS审计新人和资深人士在工作期间参考。
內容簡介:
涵盖所有考点:
? IT治理和管理
? 审计流程
? IT生命周期管理
? IT服务管理和业务持续
? 信息资产保护
配书网站包含:
??300道模拟试题
??一个测试引擎
??既有标准长度的模拟考卷,也允许按主题定制题目
關於作者:
Peter H. Gregory持有CISM、CISA、CRISC、CISSP、CIPM、CCISO、CCSK和PCI-QSA等认证证书,是一位拥有近30年从业经验的安全技术专家,担任Optiv Security(美国的安全系统集成商)的执行董事。2002年至今,Peter致力于制订和管理组织的信息安全管理计划。从1990年以来,Peter一直领导安全IT环境的研发和测试工作。此外,Peter曾担任软件工程师、架构师、系统工程师、网络工程师和安全工程师等职务。Peter在职业生涯中撰写了大量文章、白皮书、用户手册、流程和程序,并多次组织讲座、培训、研讨会和编撰大学课程。
Peter撰写了40多本信息安全与信息技术的专业书籍,包括Solaris Security、CISSP Guide to Security Essentials、CISM Certified Information Security Manager All-In-One Exam Guide和CISA Certified Information Systems Auditor All-In-One Exam Guide等。Peter曾在许多行业会议上发表演讲,包括RSA、Interop、ISACA CACS、(ISC)2大会、SecureWorld博览会、西海岸安全论坛、OptivCon、维多利亚(BC)隐私和安全会议、IP3、信息管理协会、Interface、Tech Junction、SOURCE、华盛顿技术行业协会和InfraGard等。Peter担任华盛顿大学信息安全和风险管理认证计划顾问委员会成员、华盛顿大学网络安全认证计划的首席讲师和顾问委员会成员、南佛罗里达大学网络安全认证顾问委员会成员和讲师、InfraGard华盛顿州分会前理事会成员,以及太平洋CISO论坛的创始成员。Peter是FBI公民学院2008年毕业生、FBI公民学院校友会成员。
目錄
第1章 成为注册信息系统审计师(CISA) 1
1.1 CISA认证的收益 2
1.2 CISA认证流程 3
1.3 ISACA职业道德准则 7
1.4 ISACA 信息系统(IS)标准 7
1.5 CISA认证考试 9
1.5.1 考试准备 10
1.5.2 考试之前 10
1.5.3 考试当天 11
1.5.4 考试之后 11
1.6 申请CISA认证 12
1.7 维持CISA认证 12
1.7.1 继续教育 12
1.7.2 CPE维持费用 14
1.8 吊销证书 14
1.9 CISA考试准备指导 15
1.10 小结 15
第2章 IT治理和管理 17
2.1 高管和董事会的IT治理实务 18
2.1.1 IT治理 18
2.1.2 IT治理框架 18
2.1.3 IT战略委员会 19
2.1.4 平衡计分卡 19
2.1.5 信息安全治理 20
2.2 IT战略规划 23
2.3 策略、流程、程序和标准 24
2.3.1 信息安全策略 25
2.3.2 隐私策略 26
2.3.3 数据分类策略 26
2.3.4 系统分类策略 27
2.3.5 场所分类策略 27
2.3.6 访问控制策略 27
2.3.7 移动设备策略 27
2.3.8 社交媒体策略 28
2.3.9 其他策略 28
2.3.10 流程和程序 28
2.3.11 标准 29
2.3.12 企业架构 30
2.3.13 法律、法规和标准的适用性 32
2.4 风险管理 33
2.4.1 风险管理计划 33
2.4.2 风险管理流程 34
2.4.3 风险处理 43
2.5 IT管理实务 45
2.5.1 人员管理 45
2.5.2 寻源或寻找供应商 50
2.5.3 变更管理 56
2.5.4 财务管理 57
2.5.5 质量管理 57
2.5.6 组合管理 59
2.5.7 控制措施管理 59
2.5.8 安全管理 60
2.5.9 性能和容量管理 61
2.6 组织结构与职责 62
2.6.1 角色与职责 63
2.6.2 职责分离 68
2.7 IT治理审计 69
2.7.1 文档和记录审计 70
2.7.2 合同审计 71
2.7.3 外包审计 72
2.8 小结 73
2.9 本章要点 74
2.10 习题 74
2.11 答案 76
第3章 审计流程 79
3.1 审计管理 79
3.1.1 审计章程 80
3.1.2 审计计划 80
3.1.3 战略性审计规划 80
3.1.4 审计和技术 82
3.1.5 审计相关的法律法规和监管合规要求 83
3.2 ISACA审计标准 88
3.2.1 ISACA职业道德规范 88
3.2.2 ISACA审计和鉴证标准 88
3.2.3 ISACA审计和鉴证准则 91
3.3 风险分析 95
3.3.1 审计师风险分析和企业风险管理计划的侧重点 96
3.3.2 评价业务流程 97
3.3.3 识别业务风险 98
3.3.4 风险缓解 99
3.3.5 安全对策评估 100
3.3.6 持续监测 100
3.4 控制措施 100
3.4.1 控制措施分类 100
3.4.2 内部控制目标 103
3.4.3 信息系统控制目标 104
3.4.4 通用计算控制措施 104
3.4.5 信息系统控制措施 105
3.5 开展审计实务 105
3.5.1 审计目标 106
3.5.2 审计类型 107
3.5.3 合规性测试和实质性测试 108
3.5.4 审计方法论和项目管理 109
3.5.5 审计证据 111
3.5.6 依赖其他审计师的工作成果 116
3.5.7 审计数据分析 117
3.5.8 报告审计结果 120
3.5.9 其他审计主题 122
3.6 CSA 124
3.6.1 CSA的优缺点 125
3.6.2 CSA生命周期 125
3.6.3 CSA目标 126
3.6.4 审计师和CSA 126
3.7 实施审计建议 127
3.8 小结 127
3.9 本章要点 128
3.10 习题 129
3.11 答案 131
第4章 IT生命周期管理 133
4.1 收益实现 134
4.1.1 项目组合和项目集管理 134
4.1.2 制定业务案例 136
4.1.3 衡量业务收益 137
4.2 项目管理 138
4.2.1 项目组织 138
4.2.2 制定项目目标 139
4.2.3 管理项目 141
4.2.4 项目角色和责任 142
4.2.5 项目规划 143
4.2.6 项目管理方法论 154
4.3 系统研发生命周期(SDLC) 159
4.3.1 SDLC阶段 160
4.3.2 软件研发风险 180
4.3.3 其他软件研发方法和技术 181
4.3.4 系统研发工具 185
4.3.5 采购基于云计算的基础架构和应用程序 186
4.4 研发和实施基础架构 188
4.4.1 审查现有基础架构 189
4.4.2 需求 189
4.4.3 设计 190
4.4.4 采购 190
4.4.5 测试 191
4.4.6 实施 191
4.4.7 维护 191
4.5 信息系统维护 192
4.5.1 变更管理 192
4.5.2 配置管理 193
4.6 业务流程 194
4.6.1 业务流程生命周期与业务流程再造 194
4.6.2 能力成熟度模型 197
4.7 第三方管理 199
4.7.1 风险因素 199
4.7.2 入围和尽职调查 199
4.7.3 分类 200
4.7.4 评估 200
4.7.5 补救 200
4.7.6 风险报告 201
4.8 应用程序控制措施 201
4.8.1 输入控制措施 201
4.8.2 处理控制措施 203
4.8.3 输出控制措施 205
4.9 系统研发生命周期审计 206
4.9.1 项目集与项目管理审计 206
4.9.2 可行性研究审计 207
4.9.3 项目需求审计 207
4.9.4 项目设计审计 207
4.9.5 软件购置审计 207
4.9.6 项目研发审计 208
4.9.7 项目测试审计 208
4.9.8 项目实施审计 208
4.9.9 项目实施后审计 209
4.9.10 变更管理审计 209
4.9.11 配置管理审计 209
4.10 业务控制措施审计 209
4.11 应用程序控制措施审计 210
4.11.1 交易流向 210
4.11.2 观察 210
4.11.3 数据完整性测试 211
4.11.4 在线处理系统测试 211
4.11.5 应用程序审计 211
4.11.6 持续审计 212
4.12 第三方风险管理审计 213
4.13 小结 213
4.14 本章要点 215
4.15 习题 216
4.16 答案 218
第5章 IT服务管理和业务持续 221
5.1 信息系统运营 221
5.1.1 运营的管理与控制 222
5.1.2 IT服务管理 222
5.1.3 IT运营和异常处置 230
5.1.4 终用户计算 231
5.1.5 软件程序代码库管理 232
5.1.6 质量保证 233
5.1.7 安全管理 233
5.1.8 介质控制措施 234
5.1.9 数据管理 234
5.2 信息系统硬件 235
5.2.1 计算机使用 235
5.2.2 计算机硬件架构 238
5.2.3 硬件维护 246
5.2.4 硬件持续监测 246
5.3 信息系统架构与软件 247
5.3.1 计算机操作系统 247
5.3.2 数据通信软件 248
5.3.3 文件系统 248
5.3.4 数据库管理系统 249
5.3.5 介质管理系统 252
5.3.6 实用软件 253
5.3.7 软件许可证 254
5.3.8 数字版权管理 255
5.4 网络基础架构 255
5.4.1 企业架构 256
5.4.2 网络架构 256
5.4.3 基于网络的服务 258
5.4.4 网络模型 260
5.4.5 网络技术 269
5.5 业务韧性 299
5.5.1 业务持续规划 299
5.5.2 灾难恢复规划 329
5.6 审计IT基础架构和运营 346
5.6.1 审计信息系统硬件 346
5.6.2 审计操作系统 346
5.6.3 审计文件系统 347
5.6.4 审计数据库管理系统 347
5.6.5 审计网络基础架构 347
5.6.6 审计网络运行控制措施 348
5.6.7 审计IT运营 349
5.6.8 审计无人值守运营 350
5.6.9 审计问题管理操作 350
5.6.10 审计持续监测运营 350
5.6.11 审计采购 351
5.6.12 审计业务持续规划 351
5.6.13 审计灾难恢复规划 354
5.7 小结 358
5.8 本章要点 359
5.9 习题 360
5.10 答案 363
第6章 信息资产保护 365
6.1 信息安全管理 365
6.1.1 信息安全管理的主要方面 365
6.1.2 角色和职责 369
6.1.3 业务一致性 370
6.1.4 资产清单和分类 371
6.1.5 访问控制 373
6.1.6 隐私 374
6.1.7 第三方管理 375
6.1.8 人力资源安全 379
6.1.9 计算机犯罪 382
6.1.10 安全事故管理 386
6.1.11 法证调查 390
6.2 逻辑访问控制措施 391
6.2.1 访问控制概念 391
6.2.2 访问控制模型 392
6.2.3 访问控制的威胁 392
6.2.4 访问控制漏洞 393
6.2.5 接入点和进入方式 394
6.2.6 身份识别、身份验证和授权 397
6.2.7 保护存储的信息 404
6.2.8 管理用户访问 410
6.2.9 保护移动设备 414
6.3 网络安全控制措施 416
6.3.1 网络安全 416
6.3.2 物联网安全 419
6.3.3 保护客户端/服务器应用程序 420
6.3.4 保护无线网络 421
6.3.5 保护互联网通信 424
6.3.6 加密 429
6.3.7 IP语音 439
6.3.8 专用分组交换机 440
6.3.9 恶意软件 441
6.3.10 信息泄露 446
6.4 环境控制措施 448
6.4.1 环境威胁和脆弱性 448
6.4.2 环境控制措施与对策 449
6.5 物理安全控制措施 453
6.5.1 物理访问威胁和脆弱性 454
6.5.2 物理访问控制措施和对策 455
6.6 审计资产保护 456
6.6.1 审计安全管理 456
6.6.2 审计逻辑访问控制措施 457
6.6.3 审计网络安全控制措施 462
6.6.4 审计环境控制措施 465
6.6.5 审计物理安全控制措施 466
6.7 小结 467
6.8 本章要点 468
6.9 习题 469
6.10 答案 471
附录A 开展专业化审计(可从网站下载)
附录B 主流方法论、框架和准则(可从网站下载)
附录C 关于在线学习资源(可从网站下载)
內容試閱
译 者 序


近年来,随着云计算、物联网、大数据、移动互联网、5G等技术的蓬勃发展,基于数字化经济新范式的信息系统建设和运营体系也发生了翻天覆地的变化。信息系统的基础性、全局性和全员性作用日益增强;企业内外网络的边界日益模糊,研发环境和生产环境的联系日趋紧密,信息内容即时交互和分享,这些趋势带来的风险都不可避免地从各个方面影响企业的正常经营,乃至影响国家安全。
目前国内外信息安全形势日趋严峻,在经济利益、同业竞争等因素的驱动下,各类组织和人员时刻都在通过线上线下的各种途径获取所需的信息。在此场景下,如何识别脚本小子的练手、如何阻止有组织犯罪集团获取经济信息、如何防范间谍渗透获取情报,是每个企业都需要关注的重中之重。信息安全领域是一个无法预判对手、难以预测发生时间、看不见枪林弹雨的战场。欧盟的《通用数据保护条例》,以及我国的《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》等法律法规都对关键基础设施运营者或组织信息安全保护提出了明确要求,指导各级政府机关和企事业单位在复杂环境中应对风险。
信息安全作为信息化深入推进的重要保障,已成为国家安全战略的重要组成部分。信息安全工作也呈现出长期性、艰巨性、复杂性的特点。因此,作为信息安全重要防线之一的“审计(Audit)”职能扮演着重要角色。信息系统审计工作采用系统化方法评估和提高风险管理、控制、治理流程的有效性,以实现相应目标。信息系统审计通过独立、专业和客观的判断,充分发挥对业务系统安全合规保驾护航的作用。
有鉴于此,清华大学出版社引进出版了《CISA信息系统审计师认证All-in-One(第4版·2019大纲)》一书,希望通过本书,让广大信息系统审计从业人员对信息技术风险治理、信息系统和信息安全生命周期管理,以及信息系统审计的标准、流程和实务有全面和深入的认识,提升审计能力。本书作者Peter H. Gregory是一位在信息安全和风险管理方面拥有30年经验的技术专家,一直深度参与IT控制和内部审计。本书重点讲述IT治理和管理、审计流程、IT生命周期管理、IT服务管理和业务持续、信息资产保护等主题,将CISA考试所需的知识及其实际应用结合在一起,形成一本易于阅读、学习和参考的指南。本书每一章中的注释和技巧都提供了在现实环境中“如何开展审计实务”的真实案例,也包括不在考试范围,却对信息系统审计师很重要的概念(如IT风险框架和系统研发生命周期)。本书还非常重视IS审计师在IT控制之外的作用。总之,本书是一本不可多得的信息系统审计类参考资料,既可帮助对CISA认证有兴趣的考生复习备考,也可作为从事信息系统审计和信息安全咨询工作的人员的案头参考书。
本书的翻译历时一年之久。翻译中译者力求忠于原著,尽可能传达作者的原意。有近十名译者参与本书的翻译和校对工作。在此感谢他们的辛勤付出。同时,感谢参与本书校对的信息系统审计和网络安全专家,他们保证了本书稿件内容表达的一致性和文字的流畅。同时要感谢栾浩、姚凯和齐力群先生对组稿、校对和统稿等工作所投入的大量时间和精力,保证了全书在技术上还原信息系统审计工作实务,以及内容表达的准确、一致和连贯。
同时,还要感谢本书的审校单位“永拓华安网络空间技术服务(北京)有限公司”(简称“永拓华安”)。永拓华安作为北京永拓工程咨询股份有限公司(股票代码:832207)的全资子公司,以成就更高社会价值为目标,坚持党的领导,坚持“客观、公正、独立、保密”的执业原则,发扬“永远开拓”的企业精神,依靠严谨的专业团队、完整有效的执业规程、全方位的网络安全保障体系、良好的沟通能力,为国家机关、大型国企、银行保险企业、上市企业、大型民营企业等客户提供信息系统审计、信息安全咨询等以实现管理目标和信息资产价值交付为核心的全方位、定制化专业服务。2018年,永拓华安成为中国信息安全测评中心批授予《信息安全服务(信息系统审计类)资质证书》的机构。在本书的译校过程中,永拓华安的信息系统审计专家结合CISA认证考试特点,投入了大量技术人员和时间支撑译校工作,保证了本书的质量。
后,再次感谢清华大学出版社和王军等编辑的严格把关,悉心指导,正是有了他们的辛勤努力和付出,才有了本书中文译稿的出版发行。
信息系统审计类书籍涉及多个纵向专业领域,内容涉猎广泛,术语体系复杂。译者能力有限,在翻译中难免有不妥之处,恳请广大读者朋友不吝指正。

译 者 介 绍


栾浩,获得美国天普大学IT审计与网络安全专业理学硕士学位,持有CISSP、CISA、CISP-A、TOGAF9、ISO27001LA和BS25999LA等认证。负责金融科技研发、数据安全、云计算安全和信息科技审计和风控等工作。担任(ISC)2上海分会理事。栾浩先生担任本书翻译工作的总技术负责人,并承担第3章的翻译工作,以及全书的校对和定稿工作。
姚凯,获得中欧国际工商学院工商管理硕士学位,持有CISA、CISSP、CCSP和CEH等认证。负责IT战略规划、政策程序制定、IT架构设计及应用部署、系统取证和应急响应、数据安全、灾难恢复演练及复盘等工作。姚凯先生承担本书前言和第1~2章的翻译、5~6章的技术修订工作以及全书的校对、定稿工作。
齐力群,获得北京联合大学机械工程学院机械设计与制造专业工学学士学位,持有CISA、CIA和CISP-A等认证。现任永拓华安网络空间技术服务(北京)有限公司总经理,负责信息系统审计、信息安全咨询服务等业务的推广、实施等工作。齐力群先生承担第4章和附录A的翻译工作以及全书校对、统稿工作。
王向宇,获得安徽科技学院网络工程专业工学学士学位,持有CISP、CISP-A等认证。负责数据安全运营、安全工具研发、信息系统审计和软件开发安全等工作。王向宇先生承担本书第1~2章的技术修订、全书校对和统稿工作。
吕丽,获得吉林大学文秘专业文学学士学位,持有CISSP、CISA、CISM和CISP-PTE等认证。现任中银金融商务有限公司信息安全经理,负责信息科技风险管理、网络安全技术评估、信息安全体系制度管理、业务持续及灾难恢复体系管理、安全合规与审计等工作。吕丽女士承担本书第3~4章的技术修订、全书术语定稿和全书校对工作,并担任本书项目经理,统筹全书各项事务。
汤国洪,获得电子科技大学电子材料与元器件专业工学学士学位,持有CISSP、CISA等认证。负责基础架构安全和网络安全等工作。汤国洪先生承担第5章的翻译工作,并为本书撰写了译者序。
王铭,获得北京航空航天大学软件工程硕士学位,持有CISP-A、中级审计师等认证。现任陕西省审计计算机信息中心副主任,负责本省金审工程项目相关私有云平台和信息安全系统的规划和组织建设等工作。王铭先生担任本书信息系统审计工作实务专家,并承担部分章节的校对工作。
朱良,获得华北电力大学计算机技术工学硕士学位。现任职于中国人民银行长春中心支行科技处,负责指导辖内金融机构信息化和安全建设等相关工作。朱良先生担任本书信息系统建设工作实务专家,承担本书部分章节的校对工作。
马春燕,挪威商学院工商管理硕士,持有CISSP和CCSP等认证。负责网络安全管理战略、安全架构、云安全、业务安全和应急响应等工作。马春燕女士担任本书第6章和附录B的翻译工作。
张李安,获得北京信息工程学院信息管理与信息系统专业管理学学士学位,持有CISSP等认证。现任某国有商业银行高级信息安全管理岗职务,负责信息安全管理、数据安全、运营安全、安全检查等工作。张李安女士承担本书部分章节的校对工作。
徐坦,获得河北科技大学理工学院网络工程专业工学学士学位,持有CISP等认证。现任安全渗透测试工程师职务,负责数据安全渗透测试、安全工具研发和企业安全攻防等工作。徐坦先生承担本书部分章节的校对工作。
李浩轩,获得河北科技大学理工学院网络工程专业工学学士学位,持有CISP等认证。现任安全渗透测试工程师职务,负责安全工具研发、应用安全检测、异常流量分析、攻击事件研判和网络攻击溯源等工作。李浩轩先生承担本书部分章节的校对工作。
赵一龙,获得北京科技大学计算机科学与技术专业工学学士学位,持有CISSP、CISP和PMP等认证。负责安全咨询、解决方案和安全建设等工作。赵一龙先生承担本书部分章节的校对工作。
周可政,获得上海交通大学电子与通信工程专业工学硕士学位,持有CISSP和CISA等认证。现任银联数据服务有限公司资深安全工程师职务,负责公司互联网应用安全、SIEM平台、主机安全和企业安全建设等工作。周可政先生承担本书部分章节的校对工作。
牛承伟,获得中南大学工商管理硕士学位,持有CISP等认证。现任广州越秀集团有限公司高级主管,负责基础设施安全、数据安全和资产安全等工作。牛承伟先生承担本书部分章节的校对工作。
朱思奇,获得上海交通大学通信与信息系统专业工学硕士学位,持有CISSP和CISA等认证。现任中国银行股份有限公司江苏省分行信息科技部门的科技经理职务,负责公司信息科技风险管理、信息科技审计等工作。朱思奇先生承担本书部分章节的校对工作。
刘北水,获得西安电子科技大学通信与信息系统专业工学硕士学位,持有CISSP、CISP和PMP等认证。现任工业和信息化部电子第五研究所项目主管,负责电子政务领域信息安全体系规划、商用密码应用安全性评估等工作。刘北水先生承担本书部分章节的校对工作。
赵晨明,获得西安交通大学工商管理硕士学位,持有CISA和CISSP等认证。负责数据安全和隐私保护等工作。赵晨明先生承担本书部分章节的校对工作。
曾大宁,获得南京航空航天大学飞行器环境控制与安全救生专业工学学士学位。持有PMP和RHCE等认证。曾大宁先生承担本书部分章节的校对工作。
朱建滨,获得香港大学工商管理硕士学位,持有CISSP等认证。负责信息安全治理、风险和合规、数据安全和隐私保护等工作。朱建滨先生承担本书部分章节的校对工作。
许琛超,获得上海交通大学计算机科学与技术工学学士学位。持有CISSP、CISP和CISA等认证。许琛超先生承担本书部分章节的校对工作。
邢海韬,获得北京工业大学软件工程硕士学位。持有CDPSE等认证。邢海韬先生承担本书部分章节的校对工作。
邓诗智,获得解放军信息工程大学应用数学专业理学硕士学位。邓诗智先生承担本书部分章节的校对工作。
贺凯,获得浙江大学宁波理工学院通信工程专业工学学士学位。持有CISSP和CISA等认证。贺凯先生承担本书部分章节的校对工作。
张锋,获得郑州大学计算机科学与技术专业工学硕士学位,持有CISA等认证。张锋先生承担本书部分章节的校对工作。
本书涉猎广泛,内容涉及IT审计、IT治理、IT生命周期管理、IT服务管理、信息资产保护等方面的认证考试相关难点,特别是细分领域的安全术语和概念,中文译本极易混淆,往往令应试者考场失利。在本次翻译工作中,针对此类情况,举行了专项学术讨论,(ISC)2上海分会的诸位安全专家给予了高效专业的解答,这里衷心感谢(ISC)2上海分会理事会和(ISC)2上海分会会员的参与、支持和帮助。

作 者 简 介


Peter H. Gregory持有CISM、CISA、CRISC、CISSP、CIPM、CCISO、CCSK和PCI-QSA等认证证书,是一位拥有近30年从业经验的安全技术专家,担任Optiv Security(美国的安全系统集成商)的执行董事。2002年至今,Peter致力于制订和管理组织的信息安全管理计划。从1990年以来,Peter一直领导安全IT环境的研发和测试工作。此外,Peter曾担任软件工程师、架构师、系统工程师、网络工程师和安全工程师等职务。Peter在职业生涯中撰写了大量文章、白皮书、用户手册、流程和程序,并多次组织讲座、培训、研讨会和编撰大学课程。
Peter撰写了40多本信息安全与信息技术的专业书籍,包括Solaris Security、CISSP Guide to Security Essentials、CISM Certified Information Security Manager All-In-One Exam Guide和CISA Certified Information Systems Auditor All-In-One Exam Guide等。Peter曾在许多行业会议上发表演讲,包括RSA、Interop、ISACA CACS、(ISC)2大会、SecureWorld博览会、西海岸安全论坛、OptivCon、维多利亚(BC)隐私和安全会议、IP3、信息管理协会、Interface、Tech Junction、SOURCE、华盛顿技术行业协会和InfraGard等。Peter担任华盛顿大学信息安全和风险管理认证计划顾问委员会成员、华盛顿大学网络安全认证计划的首席讲师和顾问委员会成员、南佛罗里达大学网络安全认证顾问委员会成员和讲师、InfraGard华盛顿州分会前理事会成员,以及太平洋CISO论坛的创始成员。Peter是FBI公民学院2008年毕业生、FBI公民学院校友会成员。


技术编辑简介


Bobby E. Rogers是一名担任美国国防部承包商的信息安全工程师,帮助相关机构保护、认证和认可信息系统。Bobby负责信息系统安全工程、风险管理以及认证和认可等工作。Bobby在美国空军服役21年后,以网络安全工程师和讲师的身份退休,拥有全球范围的网络安全人脉圈。Bobby获得了信息鉴证(Information Assurance,IA)专业硕士学位和马里兰州Capitol Technology University的网络安全专业博士学位。Bobby持有CISSP-ISSEP、CRISC、CEH、MCSE(Security)、CompTIA A 、CompTIA Network 及CompTIA Security 等认证证书。Bobby是CRISC Certified in Risk and Information Systems Control All-In-One Exam Guide和CompTIA Mobility All-In-One Exam Guide的作者。Bobby还是许多网络安全书籍的技术编辑,包括经典著作CISSP All-in-One Exam Guide;该书由清华大学出版社引进并出版,中文书名为《CISSP权威指南(第8版)》。

致 谢


特别感谢Wendy Rinaldi负责管理本书修订流程并帮助团队在极短时间内出版了本书。
衷心感谢Amy Stonebraker Gray女士对本项目的监督,Claire Yee(以及后加入的Emily Walters)娴熟地推进本书的交付阶段工作,保证项目交付件的快速中转,并提供撰写稿件所需的信息。
感谢负责技术审阅的Bobby Rogers。Bobby认真且细致地阅读了全部稿件,提出了许多中肯的建议,这些建议大幅提升了本书质量。
非常感谢撰稿人Tanya Scott。Tanya撰写了本书第1版的第1章和附录B,并修订了本书的第2版。Chris Tarnstrom 撰写了初版的附录A。在西雅图执业的CISA和咨询顾问Justin Hendrickson为第3版更新了附录A和附录B。此外,还要感谢安全和隐私专家John Clark(持有CISA、CISSP、Security 、CIPP/E、CIPT、CIPM、FIP及PMP等认证证书)对附录B的修订。这些章节有助于考生更好地理解CISA认证过程并帮助信息系统审计师提高工作效率。此外,Tanya、Chris、Justin和John的专业审计经验和洞察力也极大地提升了本书价值,即便考生获得CISA认证证书后,本书依然存在价值。本书的愿景是向从事审计实务的信息系统审计师传递价值,上述所有专家的贡献使本书的这一愿景得以实现。
非常感谢Lisa Theobald出色的编辑工作,她的工作进一步提高了本书的可读性。Lisa发现了若干错误,并为本书提出了宝贵建议。非常感谢Cenveo Publisher Services设计的页面及布局。就像奥林匹克运动员一样,他们使困难的工作变得容易。
特别感谢 Radhika Jolly和Janet Walden 监督本书的撰写和出版流程并纠正了诸多错误。
非常感谢我的经纪人Carole Jelen在此项目以及其他许多项目中所给予的巨大帮助。衷心感谢我的业务经理、公关人员和研究助理Rebecca Steele的长远眼光,使我能够始终保持专注,并感谢她提供的图片。
我已经撰写了40多本图书,非常感谢妻子Rebekah的付出。在我撰写本书第4版期间,无法常态化地顾及家庭;如果没有她坚定不移的大力支持,本书是不可能完成的。她应得到这份赞誉。

前 言

信息系统(Information Systems,IS)的高速创新令人眼花缭乱。通常,设计缺陷(Flaw)和技术漏洞(Vulnerability,亦称脆弱性)将通过信息盗窃或泄露的各种形式带来各种意想不到的严重后果。组织需要根据各项法律、法规和标准,如Sarbanes-Oxley、GLBA、HIPAA、PCI-DSS、NYDFS、PIPEDA、GDPR、CCPA以及大量要求公开个人信息安全漏洞的美国州立法律开展整改行动。修订的法律法规和监管要求推动或鼓励组织开展内部审计活动,或通过外部审计评估合规性,以避免组织受到处罚、制裁或出现在令人尴尬的新闻头条上。
新出台的法律监管要求也加大了各组织对于IT安全专家和信息系统审计师的需求,这些备受关注的安全专家们在制定合规计划(Compliance Program)和降低风险方面发挥着决定性的作用。
始于1978年的注册信息系统审计师(Certified Information Systems Auditor,CISA)认证,无疑是信息系统审计行业的领先认证体系。如今,各行各业对CISA认证专家的需求增长非常快,以至于ISACA在2005年将每年一次的认证考试增加为每年两次,然后是每年三次,现在则是全年循环考试。2005年,CISA认证被美国国家标准协会(ANSI)认定为国际标准ISO/IEC 17024认证。CISA认证还是美国国防部正式批准的信息鉴证技术类别中的少数认证之一(DoD 8570.01-M)。2009年和2017年,SC Magazine将CISA评为专业认证计划。2016年,持有CISA认证的专家数量超过129 000名。
信息系统审计并不是一时之“泡沫”或泛滥成灾。与之相反,信息系统审计师必须及时了解新技术、新系统、新威胁,了解新数据安全和隐私法律、法规标准监管合规要求。CISA认证是从事控制、鉴证和安全等工作领域专家的黄金标准认证。
本书目的
本书是一本面向安全或IT审计专家的综合学习指南,考生需要认真参考个人或团体主导的CISA认证考试学习。本书的绝大部分内容包含CISA考生必须掌握的技术信息。
本书也是具有抱负和实务经验的信息系统审计师的参考用书。通过CISA认证考试所需的内容与执业审计师在日常工作中需要熟悉的内容相吻合。本书是理想的CISA考试学习指南,也是已获得CISA认证人员的日常参考书。

对于需要接受外部组织审计和监管机构检查的安全和业务专家而言,本书也具有不可估量的价值。行业专家需要对信息系统审计师所使用的审计实务和方法具有相当深入的了解。这不仅有助于内部审计体系的运转,也有助于理解外部审计师及其工作方式。本书的知识和见解将促进更好的审计产出。
对于那些试图了解信息系统审计行业的人士而言,本书是很好的指南。本书各章解释了所有相关的技术和审计程序,附录解释了流程框架和专业审计实务。这些内容对于可能想了解信息系统审计专业详情的人士非常有用。
本书结构
本书在逻辑上分为以下四个主要部分:
● 简介 本书的前言和第1章概述了CISA认证和信息系统审计行业特点。
● CISA学习资料 第2~6章包含积极备考CISA认证的考生必须掌握的CISA考试内容,也是有抱负的信息系统审计师的快速查询手册。
● 信息系统审计师参考信息 附录A引导CISA考生完成从审计规划到终报告交付的专业化信息系统审计全流程。附录B讨论了控制措施框架,这将帮助信息系统审计师开展审计工作,帮助他们了解控制措施框架功能,并为需要实施控制措施框架的组织提供指导。注意,附录A~C都放在本书配套网站中。

 

 

書城介紹  | 合作申請 | 索要書目  | 新手入門 | 聯絡方式  | 幫助中心 | 找書說明  | 送貨方式 | 付款方式 香港用户  | 台灣用户 | 大陸用户 | 海外用户
megBook.com.hk
Copyright © 2013 - 2024 (香港)大書城有限公司  All Rights Reserved.