在維運IT服務時,常常會有一個通病,覺得網路能夠通,服務正常後就啥都不想管,知道要設定規則、密碼強度才能增加安全,但一直遲遲未完善。
因為做這些事情吃力不討好,花了一堆時間弄,結果其他沒做的人也沒出事,又或是做了一堆還是被打進來,就像是馬奇諾防線,被繞過去就做白工。
因此就想說參照國際稽核的方式去實作,一方面找出忽略的地方,一方面藉此完成認證或整理成稽核清單,證明IT真的有做事的價值。
圖片來源
https://www.military-history.org/articles/dunkirk-disaster-1940.htm
在完成基本的資安管控後,要證明自己的防護措施是否妥善,
一般業界不外乎會做弱點掃描、滲透測試、內外部稽核,
這次的目標應用CISA稽核的角度去審視安全是否有落實並符合規範
圖片來源
http://www.isaca.org/CERTIFICATION/CISA-CERTIFIED-INFORMATION-SYSTEMS-AUDITOR/Pages/default.aspx
Certified Information System Auditors
因應政府規定與監管措施也不斷出新,要求他們採取更嚴格的內部控管手段並揭露實施效果,國際電腦稽核協會(ISACA)的國際電腦稽核師TM (CISA®) 認證計劃對相關技術方面的技能、知識和規範進行推廣與評價,使持證人獲得根本的實力以迎接這些挑戰。
中華民國電腦稽核協會
https://www.caa.org.tw/cisa-license.php
這次文章希望能將CISSP內容 Mapping至CISA,並增加一些實務技術運用,因為本人剛接觸學習這個領域,也請前輩不吝嗇指教。
isaca.org/credentialing/code-of-professional-ethics
[Day 01] 資訊系統安全與 CISA 的簡單應用
[Day 02] 資訊系統稽核流程 (Introduction)
[Day 03] 資訊系統稽核流程 (Case)
[Day 04] 資訊系統稽核流程 (Risk-based Audit Planning)
[Day 05] 資訊系統稽核流程 (Audit Risk)
[Day 06] 資訊系統稽核流程 (Planning)
[Day 07] 資訊系統稽核流程 (IS Audit and Assurance Standard)
[Day 08] 業務流程應用與控制 (E-Commerce)
[Day 09] 業務流程應用與控制 (EDI)
[Day 10] 業務流程應用與控制 (POS)
[Day 11] 業務流程應用與控制 (EFT)
[Day 12] 業務流程應用與控制 (ATM)
[Day 13] 業務流程應用與控制 (IMS)
[Day 14] 業務流程應用與控制 (ICS)
[Day 15] 稽核技巧 (Audit sampling)
[Day 16] 稽核技巧 (Interviewing)
[Day 17]稽核技巧 (Evidence collection)
[Day 18] 稽核技巧 (Checklist)
[Day 19] 稽核技巧 (CAATs)
[Day 20] 稽核報告 (Report)
[Day 21] 企業IT治理與管理 (Governance and Management of Enterprise IT)
[Day 22] 從GEIT建立政策及組織結構
[Day 23] 從GEIT制定管理規範
[Day 24] IIOT資訊安全規劃
[Day 25] 專案執行(上)
[Day 26] 專案執行(下)
[Day 27] 系統開發導入(上)
[Day 28] 系統開發導入(下)
[Day 29] 資訊系統營運
[Day 30] 保護資訊資產
參考書籍
《CISA Review Manual, 27th Edition》