iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 1
2
Security

資訊系統安全稽核與 CISA 的簡單應用系列 第 1

[Day 01] 資訊系統安全稽核與 CISA 的簡單應用

  • 分享至 

  • xImage
  •  

前言:

在維運IT服務時,常常會有一個通病,覺得網路能夠通,服務正常後就啥都不想管,知道要設定規則、密碼強度才能增加安全,但一直遲遲未完善。

因為做這些事情吃力不討好,花了一堆時間弄,結果其他沒做的人也沒出事,又或是做了一堆還是被打進來,就像是馬奇諾防線,被繞過去就做白工。

因此就想說參照國際稽核的方式去實作,一方面找出忽略的地方,一方面藉此完成認證或整理成稽核清單,證明IT真的有做事的價值。
https://ithelp.ithome.com.tw/upload/images/20190916/20077752dR0TdLxj0b.jpg
圖片來源
https://www.military-history.org/articles/dunkirk-disaster-1940.htm


在完成基本的資安管控後,要證明自己的防護措施是否妥善,
一般業界不外乎會做弱點掃描、滲透測試、內外部稽核,
這次的目標應用CISA稽核的角度去審視安全是否有落實並符合規範

https://ithelp.ithome.com.tw/upload/images/20190910/20077752G3aDzRCLgh.png

圖片來源
http://www.isaca.org/CERTIFICATION/CISA-CERTIFIED-INFORMATION-SYSTEMS-AUDITOR/Pages/default.aspx

CISA 五大領域


Certified Information System Auditors
因應政府規定與監管措施也不斷出新,要求他們採取更嚴格的內部控管手段並揭露實施效果,國際電腦稽核協會(ISACA)的國際電腦稽核師TM (CISA®) 認證計劃對相關技術方面的技能、知識和規範進行推廣與評價,使持證人獲得根本的實力以迎接這些挑戰。

中華民國電腦稽核協會
https://www.caa.org.tw/cisa-license.php

  • 資訊系統稽核流程
    Information Systems Auditing Process
  • 資訊科技治理與管理
    Governance and Management of IT
  • 資訊系統的取得、發展與建置
    Information Systems Acquisition, Development, and Implementation
  • 資訊系統的營運及企業靈活性
    Information Systems Operations and Business Resilience
  • 資訊資產的保護
    Protection of Information Assets

這次文章希望能將CISSP內容 Mapping至CISA,並增加一些實務技術運用,因為本人剛接觸學習這個領域,也請前輩不吝嗇指教。

職業道德守則

isaca.org/credentialing/code-of-professional-ethics

  • 支持實施和鼓勵遵守適當的標準和程序,以有效地治理和管理企業信息系統和技術,包括:審計,控制,安全和風險管理。
  • 按照專業標準,客觀,盡職和專業地履行職責。
  • 以合法的方式為利益相關者服務,同時保持高標準的行為舉止和性格,並且不損害其職業或協會信譽。
  • 除非法律授權要求披露,否則在其活動過程中獲得的信息應保持隱私和機密性。此類信息不得用於個人利益或發布給不當方。
  • 保持各自領域的能力,並同意僅進行他們合理預期可以完成的,具有必要技能,知識和能力的活動。
  • 告知有關方面所進行的工作的結果,包括披露他們所知道的所有重要事實,如果不披露,可能會扭曲結果的報告。
  • 支持利益相關者的專業教育,以增強他們對企業信息系統和技術的治理和管理的理解,包括:審計,控制,安全性和風險管理。

30 天的主題


[Day 01] 資訊系統安全與 CISA 的簡單應用
[Day 02] 資訊系統稽核流程 (Introduction)
[Day 03] 資訊系統稽核流程 (Case)
[Day 04] 資訊系統稽核流程 (Risk-based Audit Planning)
[Day 05] 資訊系統稽核流程 (Audit Risk)
[Day 06] 資訊系統稽核流程 (Planning)
[Day 07] 資訊系統稽核流程 (IS Audit and Assurance Standard)
[Day 08] 業務流程應用與控制 (E-Commerce)
[Day 09] 業務流程應用與控制 (EDI)
[Day 10] 業務流程應用與控制 (POS)
[Day 11] 業務流程應用與控制 (EFT)
[Day 12] 業務流程應用與控制 (ATM)
[Day 13] 業務流程應用與控制 (IMS)
[Day 14] 業務流程應用與控制 (ICS)
[Day 15] 稽核技巧 (Audit sampling)
[Day 16] 稽核技巧 (Interviewing)
[Day 17]稽核技巧 (Evidence collection)
[Day 18] 稽核技巧 (Checklist)
[Day 19] 稽核技巧 (CAATs)
[Day 20] 稽核報告 (Report)
[Day 21] 企業IT治理與管理 (Governance and Management of Enterprise IT)
[Day 22] 從GEIT建立政策及組織結構
[Day 23] 從GEIT制定管理規範
[Day 24] IIOT資訊安全規劃
[Day 25] 專案執行(上)
[Day 26] 專案執行(下)
[Day 27] 系統開發導入(上)
[Day 28] 系統開發導入(下)
[Day 29] 資訊系統營運
[Day 30] 保護資訊資產


參考書籍
https://ithelp.ithome.com.tw/upload/images/20190910/20077752jeYGx02mrl.jpg
《CISA Review Manual, 27th Edition》


下一篇
[Day 02] 資訊系統稽核流程 (Introduction)
系列文
資訊系統安全稽核與 CISA 的簡單應用30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言