关于如何通过CISA考试,之前有部分考友分享了各自的方法。现在回头看了一下这些方法,大多的基本的原则就是学霸型的学习方法,简单来说就是每天学习N个小时,碰到不懂的就用各种方法拼命搞懂,把题目前后做个N遍,参加培训,参加QQ群各种讨论等等。这种方法费时费力,对大部分同学来说不现实也没必要。接下来我会慢慢讨论我的一些个人体会,给大家一些参考。
先贴一下我的成绩,我参加了2016年12月份的CISA考试,成绩587分。
在我备考过程中,因为工作比较空闲,时间比较多,我基本采用的也是学霸型的学习方法。连续几个月内几乎每天都在上面花了N个小时。
不过对于大部分没那么多时间,或者不想花那么多时间的同学来说,学霸型学习方法是不适用的。那么该如何相对轻松的准备考试呢?我接下来讲一讲。
注意:我说的是相对轻松,有部分牛人说自己随便看了两下也通过了考试,我想大部分普通人做不到,也没必要去赌这个运气。
首先大家先考虑一下大家为什么目的考试?原因我想大致有下面几种:
- 交了几千块大洋,通过金钱给自己压力来学习知识
- 拿个证书,找工作/升职/换岗位的时候更有优势
- 证书偏执狂,不管有没有用,反正能拿多少证书拿多少
不管什么原因,我想部分人追求的目标只是大于等于最低通过线450分即可,即没有必要追求高分。
如果你想说考高分能代表掌握了较深的IT知识或审计知识,我只能哈哈一笑。参加过培训和考试,并结合我个人工作体会,我得出一个结论,ISACA的CISA内容有不少是扯淡的,过时的,标准答案式的内容。和实际环境,尤其是和国内实际IT审计环境有很大区别。不是说CISA的内容完全没用,而是说为了准备考试而花掉的大量时间所学习的东西在实际工作中大部分是用不到的。
那么接下来的重点是:如何用相对轻松的方式通过CISA考试。
关于官方教材:
目前是按5个章节来讲述信息系统审计。内容上有部分混乱,重叠。
并且考试中的不少知识点是官方教材没有提及的,或仅仅是一笔带过的。这些部分的内容看了和没看一样,对于考试没有太多帮助;例如关于机房物理防火系统等,即使让你带着书去考试,你也找不到答案是什么。
又有另外一些内容,洋洋洒洒一大堆步骤和注意事项,让你看10遍你也记不住,并且里面大部分内容考试也不考。例如系统开发方法部分。
所以,对于有人说什么要把这枯燥无味的官方教材精读,略读反复N遍的说法,我持保留态度。我觉得仅为通过CISA考试的前提下,根据个人情况略读/半精读/选择性部分精度1-2遍即可。
然后重点接着说蓝皮书,也叫红宝书,就是官方提供的1150题的模拟题。这是重点的习题材料。
经常有人找寻或者收集其他各类模拟题来做,其实没有必要,要通过CISA考试,只需要看蓝皮书1150模拟题和原题集即可。其他各类来源的题可以无视,这也是培训老师反复强调的,我自己也看过一些其他来源的题目,感觉确实没必要,而且有些题目出得很偏,基本不可能考到。
说回这1150题的问题也不少,如下:
- 有少部分题目重复出现,如 问为什么要员工强制休假等; 或者有些题目非常相似,几乎是一样的;这类题目印象中比列不算多,有个10-20题左右
- 有些技术术语在不同的题目中的叫法不一样,其实是同一个意思,会出现混淆;即术语用法不统一,不过还好这种情况也不太多;
- 虽然每一题后面都有对正确和错误答案的解释,但感觉有50%以上的解释和废话一样,要么就是看不懂,不知所云;这是让你骂娘的地方,也是学习时的难点所在,因为做完题目后还是不知道为什么要选择某个答案;例如,答案的解释经常看到是这么说的:在XXX情况下,最重要的步骤的正确答案是A,因为A比B,C,D都重要;看到这种解释我真想给出书的人来上一脚;
- 这1150题只是按大的章节分类,但是每章里面题目的考点是随机打乱的,并且有些题目连章节分类都感觉不对;这极大的增加了学习的难度,因为不能就某一知识点所围绕的题目进行统一复习,常常是看了后面,又忘记了前面,但是想找前面的题目对比又很难找到,都打乱了.
题目和答案要理解还是要记忆的问题:记忆占大多数,理解占少数。
最重要的理解就是:用审计的思维去解题,而不要用IT技术角度的思维去解题。也就是要做到“政治正确”,实际中可不可行,能不能实现不重要,因为在CISA考试中这就是标准答案,CISA是不管现实情况的,尤其不理会中国现实情况。
另外CISA的众多题目涉及到IT技术的方方面面,(本人早年考过CCNA,MCSA,工作中一直从事IT支持类工作,也接触过一些系统开发皮毛,审计皮毛,依然觉得里面的IT技术的各类术语在工作中不怎么接触得到),一般的IT技术人员在工作中也就只是熟悉一部分IT技术而已,即大部分人做不到对所有的CISA提到的技术都熟悉,这就不得不导致-对于那些你不熟悉的技术问题,你得考虑去死记硬背。
不少学霸,培训老师的建议是这样的:碰到不懂的知识,花时间看书,百度等把它搞懂。我对这个建议说“呵呵。。。”
我哪来这么多时间去搞懂这些复杂的东西,况且没有实际的相关工作经验有些东西也很难搞懂的,再说我工作中也用不到这些IT知识。所以对于哪些IT知识需要你花时间和精力去搞懂,你需要根据个人情况决定,我个人建议没必要搞懂,或搞得特别懂的话就死记。我大概有一半的IT知识是死记的。
再回到蓝皮书的问题:面对1150道乱七八糟的题目,该怎么学习?答案:把1150题按类型分类,再按类别一部分一部分学习掌握记忆。
那么如何分类呢,按官方教材的五个章节分成五类没有意义,我们得分成更好复习的类别。我是把题目按下面这些类分类的,这种分类不一定很完美很科学,只是在我看完1150题后我自己的分类。(另外有不少题目是跨类别的,通常跨2个到3个类别,这种题大概有200题,其他题只涉及到单一类别)另外大类里面还需要要分为小类:
分类我用英文:
第一类:Encryption: 包括digital signature,
public/private key, message digest, nonrepudiation, decryption, data integrity,
hash, symmetric/asymmetric key, prehash code, digital certificate, PKI, RA, CA,
CPS, session key, CRL, cryptographic hash, SSL, RSA, AES, ECC, dynamic key,
PSK, IPSec, ESP, AH
第二类:Attack:包括insider attack, DoS, DDoS,pharming, logic bomb,phishing,man-in-the-middle,hijacking,syn flood,SQL injection,social engineering, buffer overflow,brute force, war dialing, trojan horse, malicious code,viruses, worms, sypyware,malware,spoofing,port scanner, back doors, shoulder surfing, piggybacking,dumpster diving, impersonation, trapdoor, honeypot,traffic analysis, network analysis, leapfrog, NAK,masquerading,password sniffing,hacking, war driving, spam, replay, parameter ta/mpering, passive/active attack, cyber attack, penetration test/external test/internal test/blind or double blind test
第三类:IDS/IPS
第四类:Infrastructure:包括server, network/LAN/WLAN/WAN, VoIP,QoS, mobile devices, ARP, Ethernet,
switch, router, server or network configuration, protocol analyzer, firewall,
DHCP, NDMP, UDP, TCP, DNS, SNMP,Telnet, Paas, SaaS, HTTP, HTTPS, telecom, VPN,
DSL, RFID, cable, software, OS,java, applet,patching,hardware,power lead,UPS。 即网络,服务器,通信,协议,软硬件,物理安全和防火,电力相关
这里大部分都是考IT知识,大部分我是靠死记的,虽然以前考过CCNA和MCSE,但基本都忘记了。
第五类:Access Control:包括MAC,DAC,Least Privilege Access, Role-based access, two-factor authentication, user account/accountability,password,PIN,admin login,ID, ACL, biometrics, FRR/CER/FAR/EER, authorization, guest ID, WPA2,SSID,VLAN, data owner,SSO, deadman door.
第六类:Auditing,包括:compliance testing/substantive testing, discovery, stop-or-go, mapping,
CAAT, statistical/judgment sampling, audit charter, organizational chart, audit
committee, audit manager, walk-through, continuous auditing, trend/variance
detection tool, SCARF, GAS, CSA, audit trail, log management tool, audit
independence, audit planning, risk assessment,risk analysis, threat,
vulnerability, impact, BIA, risk mitigation/acceptance/transfer, inherent risk,
legal and regulatory requirement, fraudulent, audit logs, evidence, exception
report, forensic, exit interview, preventive/detective/corrective control 等等
这一分类下的内容是CISA考试和学习的最精华的地方,即考点是在审计方面,而非IT技术方面的题目都可以放到这一分类下。CISA考试的重点之一就是考察各种情况的是否能根据审计思维选择正确的做法/方法/工具。
我建议如果这一分类下的知识点尽量去理解,而不是死记。尤其是某个知识点出现两次及两次以上更要重点去掌握,这一分类下的题目最好能理解到70%以上,死记的占少部分。
常见的这一分类的问题举例如下:
- 在风险分析阶段/在审计计划阶段/在审计退出会议上 碰到XXX情况下(或影响了审计独立性,发现违规违法情况下),审计师应该怎么做?/审计师第一步应该做什么?/审计师看什么地方最重要/等等
- 在XX情况下,应该用什么测试,如符合性测试还是实质性测试
- 审计章程的目标/内容包括
在这里顺便提一句,培训老师也强调过:在做题时要仔细审题,细读题干给出的背景,根据题干给出的背景选正确答案。(当然同时不要过度解读题干)
这么说有点抽象,我一开始看题的时候也是不注意题干的意思,就发觉很多题完发现做错的,在仔细比较题干以后,就会发现有不同。有时间我会举出一些例子来,给大家理解题干看起来都一样,而选项却不一样的例子,好让大家理解什么是仔细审题。
第七类:Data/Database/Data Warehouse/Data Center: data loss, data stolen or leakage, data backup, check digit, validity
check, hash total, sample testing, automated system balancing, CRC, forward
error control, shadow file processing, RAID, media reliability, data storage,
data restoration, referential integrity,foreign key, data integrity, atomicity,
consistency, accuracy, confidentiality, classification, data mapping, data
disposal
这类下面是各种和数据有关的题目,涉及到不少IT知识,我的建议是对于比较基础的容易理解的就理解,比较难的不想花时间理解的就死记
第八类,Security:涉及安全方面的题目,主要是information
security policy, security awareness,
这一部分主要是理解信息安全的一些基本要求,大部分以理解为主,不要死记
第九类:BCP/DRP:BCP和DRP是不可分割的,官方教材把它俩好基友没天理的分开了,大家复习的时候把它们放一起复习,包括BIA,paper test, preparedness test, full operation test, RTO,RPO, functional
test, tabletop exercise, hot/warm/cold/mobile/redundancy site, reciprocal
agreement
这部分也是CISA考试的一大重点类,大部分80%以上以理解为主而不是死记。
第10类,Segregation of duties:各类职责分离的题目,就是考在某一情况下,两个角色能否由同一个人来做的问题。
关于这一类题目,如果没有相关工作经验,有不少即不好理解也不容易记忆。有些角色的职责分离连培训老师也说不清楚。背官方教材那个职责分离的表估计我花一年时间也记不住。只能从现有的相关题目中找规律去记,只需要记忆蓝皮书和原题集中出现过的职责分离的题即可,不需要把官方教材的每种职责都记了。职责分离的题目在上次考试中出现有三题左右。
比如我发现一个规律,基本上开发人员(developer/programmer)或开放工作(programming)出现在职责分离题的备选答案中,这个一定是正确选项,大家可以自己验证一下。
第11类:Project:这里主要涵盖IT项目阶段尤其是软件开放项目期间的各类考点,包括:各类项目阶段说做的testing类型,black/whitebox testing, regression testing, alpha/beta testing, UAT, QA
testing,stress testing, parallel testing, sociability testing, integration
testing, system testing, top-down/buttom-up testing,ITF, 还包括项目相关角色的职责以及项目的阶段流程工具方法论等,end users, system owner, user management/business unit management,
project steering committee, project sponsor, project manager, project security
officer, QA, project performance criteria, project portfolio management,
project scope management, project management approach, project resource plan,
project initiation, project planning, design phase, feasibility study,
requirement definition, post project review, post implementation review,
software escrow, Gantt Chart, EVA, PERT, FPA, prototyping, SDLC, RAD,
object-oriented, component-based development, waterfall life cycle, agile
development, parallel/phased/abrupt changeover, timebox management, CMM,
certification and accreditation, code signing,等等
这一类题目对于没有软件系统开放经验的同学有一定难度,因为知识点众多,而又没有一个完整的overview的话,容易在多个概念知识点混淆。需要记忆和理解相结合。
第12类,业务系统business applications:software
baselining, ERP, CRM,expert system, EFT, EDI, banking app, payment system, DSS, POS等
这一部分我大部分都是死记,因为工作中几乎没接触过,比较难于理解。
第13类:SLA/Outsource/Vendor:关于SLA,外包类的问题,这一部分理论上应该是以理解为主,不过有部分题目存在所谓的ISACA标准答案,面对不能理解的,只能死记。
第14类:IT Governance/IT BSC/Strategy/KPI:这一类也不包含IT技术知识,是一些战略方面的理解,基本原则就是IT的治理与战略要向企业总体战略对齐。
这部分重点放在理解上。
第15类:Incident/Change/Problem类别,主要是在变更管理,事件管理处理和问题管理方面的一些处理方法方式。
对这部分不是很有相关经验的同学可以在理解的基础上加上部分记忆。
第16类:其他。。。把不好归类的都归到这吧,其中包括和员工相关的一些题型。
分类完毕,共16类,可以看到我的这种分类不见得很完美或者有逻辑性,给大家一个参考,主要目的是按同类别进行复习,比较同类型的题目和答案,复习起来能提高效果。另外分类的一个难点我之前说过,大概有200道左右题目的考点是跨类别的,这个就增加了一定的难度。
16类题目分别在蓝皮书中1150题大约占比如下:
6% 第一类:Encryption
5% 第二类:Attack
0.5% 第三类:IDS/IPS
9% 第四类:Infrastructure
8% 第五类:Access Control
15% 第六类:Auditing
12% 第七类:Data/Database/Data
Warehouse/Data Center
2% 第八类,Security
12% 第九类:BCP/DRP
2.5% 第10类,Segregation of
duties
15% 第11类:Project
2.5% 第12类,业务系统business
applications
2.5% 第13类:SLA/Outsource/Vendor
3.5% 第14类:IT Governance/IT
BSC/Strategy/KPI
2% 第15类:Incident/Change/Problem
2.5% 第16类:其他。。。
好,基于以上的总结,我再对2016年12月考试的考题回忆如下:
本人在2016年12月考的。
本人考英文版,发现考英文版的一个缺点:因为原题集大部分内容都是中文的,所以都是被中文的答案,但是考英文的时候有些答案的英文表述不容易对应过去,就傻掉了。
声明:以下内容仅基于本人和其他考生的回忆,有差错概不负责。
第一部分:原题重现
这里列出的是之前原题集中已经出现过,在2016年12月又重复出现过的题目。
*私钥加密比公钥加密方法的优势/对称加密比非对称加密的优势:效率
*安全管理员发现网络被非法攻击,首先应该:隔离受影响的网络部分
发现入侵,应:保护入侵系统数据
*用数字和字母组合作为密码是为了防止哪个攻击:字典
*基于网络的IDS有哪些缺点:无法检测基于主机的攻击
*如果发生火警,必须和切换开关结合才能自动切断电源,选择哪种消防器材:干管
*哪些最能保证应用程序的最新:版本管理
*一个防火的介质保存容器应注意/fireproof box:容器内的温度湿度
*防火墙是否符合组织安全政策的依据/证据:检测防火墙规则/检查访问控制策略/审查参数设置
*VoIP最关心:连续性
*防止8小时以上的电力中断,应选择:alternative power supply
*低湿度的影响:静电
*没有双重门的情况下,那种方式能防止跟随的风险:培训
*宿主机(Host)最应: 隔离客户机数据
*开发人员在测试环境有遗留的程序更新权限,如何保证程序更新权限不被移植:在SDLC中增加一个步骤,确保在上线前清楚多余权限
*哪个影响审计独立性:审计师在该系统有交易。
*要求审计时, 审计部有经验的审计员不足:使用外部服务
*审计师发现Fraud,但是被审计管理部门忽略。应该:经过审计管理部门同意
*在审计退出会议上,最重要的是:确保报告中的情况是真实的
*组织管理层跟审计师反映说企业为IT控制付出的成本不见成效,没必要进行IT控制。审计师应回应:IT控制成本一般小于因没有控制而造成的损失
*追踪审计的主要目的:确认改进建议已经落实
*审计师正在进行抽样,当发现有一个错误时,即进行深入分析,该抽样方法是:discovery sampling
*审计师在CSA中的角色:协助者,推动者,(不直接评估风险 )
*面临诉讼/法律问题时,组织应:保护证据
*审计师面对被审计单位的异议,如何处理:审计师拿出审计证据的副本
*最终召开会议前,审计报告应先交给:审计经理/IS auditor manager
*开发团队想用一份业务高峰时期生产的交易数据的副本进行测试,以下哪个最关注:1)用户可能不同意用生产数据进行测试,2)非授权人员可能接触敏感数据。。。我选2
*以下哪项应作为数据完整性测试(data integrity testing)的一部分:完整性(completeness)
*前端销售人员把收入21.01美元输错成2101.00美元,组织没有实施批平衡控制,并且所有的交易明细都回统一传到财务部,为避免错误录入,应:自动核对收入和交易的总和
*以下哪项属于检测控制:Hash total
*对于需要重复利用的智能手机回收,应如何处理:确保安全的清除智能手机里的敏感数据
*用户信息安全管理的实施怎么样才更有效:用户意识培训
*哪项可以用实体关系图表示(Entity Relationship Diagrams):数据对象的连接
*Biometric的最大风险或保证:首次正确的登记
*为确保供应商的RFP反馈结果的准确性,应: 要求在反馈结果包含在最终合同中
*报警器还是报警控制放哪里:连接保安处
*组织进行业务流程重BPR后,最可能带来的风险:1)职责冲突
*机房的空调等设备要和什么连接:不间断电源什么的
*一个业务不确定业务量是多少,在选择设备时,应考虑:扩展性
第二部分:新考题回忆
* Electrical surge protector的作用,防止什么:选项1)power outage 2)voltage reduction
3)sags and spikes...我选3
*审计师发现CEO对公司ERP系统有Full Access的权限,审计师应该怎么做:1)报告为finding,2)不管, 3)建议取消CEO的ERP权限...我应该选的是1(理由,CEO对ERP系统有完全的权限会造成CEO私自更改里面的财务信息等,容易对公司财务报表造成重大的舞弊事件,CEO的ERP权限应该遵守Role-based原则来分配相应的权限)
*员工使用即时消息(Instant message)软件与客户沟通,怎么确保对方是其本人(如何防止被他人impersonate):选项:1)在通信前验证对方身份(authenticate);2)call monitoring。。。我选1.
*防火墙对下面哪些有防护作用:我选了 network sniffing,其他选项忘了
*计算机的数据如何确保访问控制(好像是这么问的),我选了用Biometric access control
*公司政策规定不能共享ID,审计师发现有一些Generic ID在使用,审计师应该:我选的大概意思是继续审查使用generic ID的原因
*Primary Basis of audit什么的,我选:consideration of
risks (就说是在审计前要考虑风险,即基于风险的审计)
* 有一题关于审计之前workpaper的
*因为被审计单位把问题改正了,年轻的审计师就把这项问题从审计报告中删除了,老审计师发现后如何处理?我选 - 把该问题重新录入审计报告
*审计师在审计一个系统的过程期间,被提拔为本单位的一名经理,那么面对该还没结束的审计,审计师应该怎么做。选项1)disclose/披露这个信息 2)不告知他人继续审计直到结束 3)不审计了,直接去新部门就职。。。我选1),原因,因为有可能影响了审计独立性,所以需要披露
*重要数据需要转运到offsite storage facility,下面哪项提供最佳保证。选项1)有资质的快递公司 2)acknowledged/signed by offsite storage manager....我选2),因为只有收货人最终确认了收到货了才是最佳保证,快递公司再有资质包裹还是会有丢的可能。
*公司发生了几起含有重要信息的USB丢失的事件,如何控制这个问题:选项1)在使用USB时有check-in/Check-out的动作 2)使用时要登记什么的 3)好像有USB加密。。。选什么我忘了
*数据库里数据的关联什么的减少了,如何确保数据的完整性?(不太记得清楚),我选了一个 periodically review table link
*考了关于QA的职责方面的问题
*网络管理员不能承担以下哪个职能:我选 不能更改Log文件,其他选项都是和网络管理的操作相关
*一个财务部门对ERP系统有一个新的需求(new requirement),如果要加新功能,以下选项哪个确保风险被考虑,选项1)updated business requirement 2)time and cost analysis 3)财务部门批准变更。。。我选1。(我在1和2间纠结,英文选项只是说time and cost analysis,但是time and cost不是风险的全部,不过1也貌似不太对)
*下面哪个说明项目目标达成,选项1)EVA ,2)business benefit document。。。我选1。
*下面什么情况需要Source Code Escrow源代码托管,我选:Vendor’s service delivery does not include source code.
*object-oriented开发的优势?复用效率
*实施单点登录SSO后,下面哪一项可以不需要了。我选 系统登录流程Procedures
*有一题好像是问如何最有效的评估vendor的安全政策还是什么的执行情况,选项有1)突击评估unannounced assessment of vendor。。。2)vendor提供的报告。。。3)announced assessment of vendor我选1
*审计师使用Port scanner是为了。。。选项忘了
*一个新的系统完成了,如何查找里面有没有逻辑炸弹?我选: independent programme xxx tool
*Phishing怎么防范:意识培训
*关于middleware考了一题:好像是数据在两个系统中传输,因为不同步,需要使用middleware,问需要注意什么。。。我选了个和authenticate有关的
*objective of vulnerability identification step,选项1)likelihood of
threats 2)impact of the vulnerability...我在1和2间纠结,我最后选1.
*下面哪种属于被动攻击:Traffic analysis
*在选择存储设备时,根据什么来选择?我选RTO。
*当审计一个alternative processing facility时,重点关注:1)physical and environmental controls,2)数据备份什么的。。。我选1.
*RFID的问题:privacy
*公司A使用公司B的SaaS
*下面选项哪个是reciprocal agreement的强项
*检查职责分离有没有冲突,用什么方法:我选查看access list table什么的,记不清楚了
*Data Classification什么的首要步骤:我选 categorized
information by owners
*实施单点登录SSO后,如何做补偿控制,我选:将密码延长的10个字符。其他选择好像感觉更不靠谱
*下面哪种属于Substantive test,选项给了4个场景(例子),比较难区分,有些选项很难读懂我选了A-A的选项我没看懂,但是感觉是实质性测试,其中关键词有billings aged on accounts...
*有效的CSA应该是:
*IT strategy committee代表Board of directors
执行什么?
*一个道关于Transfer risk转移风险,选项应该是:保险insurance
*有一道好像是数据安全审计,最关注什么,我选:regulatory requirements
*做incident和problem analysis的目的:我选:root cause analysis
*这道题我完全看不懂题干和选项的意思:是说审计师被要求review the development of an online application, the systems have more
than 100 terminals, auditor is asked about services options analysis...问审计师应该怎么做。选项:1)report this as a
finding 2) give criteria of alternative options 3)recommend an alternative
option什么的。
*审计师在Feasibility study后下面重要的一步是什么(不太清楚题干中这个项目是在做的过程中还是已经做完了)选项1)参加项目进展会议 2)UAT review 3)问项目负责人关于cost和budget的比较。。。
*紧急变更后要做什么?
*公司要把defective的硬盘还给vendor前要怎么做:我选 用专门的软件做数据清除。(选项中无deguassing。物理破坏也不合适,毕竟要还回去)
*数据库质量的保证:我选 metadata的质量
*如何确保项目不会发生scope creep 选项1)Problem Management 2)quality management 3)change management, 4个选项中没有baselining。我选2。
*有一题貌似是如何确保IT Strategy的执行:我选 clear, concise, enforced IS policies.
*不同部门有不同的BCP,如何解决:确保各个BCP要consistent
*如何确保网络打印机打印的内容保密的方案。我选:设置在打印机前输入密码后才能打印纸张出来
*下面哪个用于查看项目进度:甘特图
*Code signing有吗?忘了
*平衡计分表有一题
*企业实行job rotation轮岗制度后,如何做补偿控制:我选role-based access control
*公司需要查看本公司在外包公司的数据信息,外包公司说为了其他公司数据信息的保密性,不给该公司数据,此时怎么办? 选项忘了
*SLA外包-downtime?
*数据分类,审计师最关注1)经理批准2)数据分类是否符合政策3)数据是否有所有者,4)数据分类是否使用自动化。我选2.
*外包服务的好处是可以使公司免除哪项责任?我选- 人员personnel (我理解外包后,外包部分员工的人事管理就给外包方自己管理了)
*如何确保备份介质有效性:1)用备份在介质在测试环境中恢复生产系统 2)备份介质的读写测试。 好像是原题集里的,我选1.
第三部门:未考内容
*PKICA,RA,digital signature,digital
certificate,message digest印象中完全没考
*AES,ECC,,PSK,IPSec,ESP,AH,WPA,SSID没考
*RSA好像没考
*Penetration test,internal test,double blind test没考
*没有根据网络结构图的分析来出题,都是文字题
*VLAN,SAN,NAS,TCP,OSI没考
*Protocol analyzer没考
*神经网络没考
*DMZ,FTP没考
*交换机,路由器,NDMP,SNMP,ARP,DNS,Telnet没考
*VPN好像没考
*网线没考
*open source software没考
*双因素认证好像没考
*FAR,FRR,EER没考
*mapping, snapshot,tracing and tagging 没考
*CAAT, continuous audit,audit trail, statistical sampling,judgmental sampling没考
*walk-though test,GAS,SCARF没考
*confidence coefficient没考
*大部分关于数据验证技术的没考,比如CRC,immunizer,size check, check digit, automated system balancing,
feeback/foward error control, block sum check etc
*disk-to-disk backup, shadow file processing,
RAID, 等没考
*database 外键什么的没考
*SQL没考
*cold,warm,hot,redundant site没考
*EFT,EDI,信用卡没考
*黑盒,白盒,BETA测试,压力测试,社会性测试,系统测试,完整性测试什么的没考
*ITF没考
*Project portfolio management没考
*DSS没考
*员工离职,休假没考
*数据Critical, vital, sensitive分类没考
然后对于没有时间的同学,你可以考虑放弃学习蓝皮书中的下面几部分内容:
注意:凡事都不绝对,放弃不代表CISA绝对不会考到,请自行斟酌。
1. 整个 “第一类:Encryption” 都不要看了。原因:这部分的概念有点搞脑袋,很多题目就是在几个概念之间你来我去的玩弄考生,理解上稍有难度;虽然1150题中占了6%,但是回顾往年真实考试中出现概率较低;可以死记原题集相关几道题目即可。这样可以节省出挺大一部分时间专注其他部分;
2. 凡是在1150题中的知识点出现过在备选答案中,但从未成为过正确答案的,可以不要看,考试中考到的概率极低。例如, 各类攻击中的 Leapfrog, NAK等,从未作为正确答案过,不是学霸就不要死磕了,直接无视
3. 凡事在1150题中的知识点/知识组只出现过一次的,可以考虑忽略不看,这些题在真实考试中出现概率也相对较低。例如Port Scanning, password sniffing, DHCP, NDMP, UDP, java applet,MAC/DAC, CGI
script. 很多这些考点都是一些IT技术知识点,没相关基础的一般来说都不是很容易理解。
去掉上面这三类题能少看约100题-200题。别小看这100多道题,这些题大多有难度,都要搞懂是挺花时间的。
剩下那些要看的题虽然也有1000道题,数量看着也没少多少,但是实际花的时间能有实质性的减少。因为这1000题里有很多是基础的理解,花的精力相对少;还有很多是同一知识点重复出现,只是稍微变一下形式出题,所以1000题里面的实际知识点可能只有500个。
再说QQ备考群:
我建议时间不充裕的同学少上QQ群讨论题目,性价比实在不高。
首先,群内群友良莠不齐,关键也不容易分不出谁是牛人谁是小白,因此也很难把握谁说的比较靠谱;
另外,群内经常讨论一下不知道哪来的非蓝皮书的题目,好些题目非常偏门,基本不太可能考到,不过部分群友还讨论非常热烈,实在没必要;
再说,有时候还会对某一题目的正确答案讨论半天,每个人都说的有道理,但是对考试不见得有用。因为你不知道CISA的标准答案你再有道理,在考试中只要不符合标准答案,白讨论。