IT 治理和管理是企业治理不可或缺的一部分。

       有效的 IT 治理和管理由领导层、组织结构和流程组成，确保企业的 IT 职能能维持并拓展企业的战略和目标。

       IT 治理知识是信息系统审计师 该 内容 由中 审网 校所 属 w w w. auditcn.com工作的基本前提，也为制定健全的控制实务以及管理监督和审查机制奠定了基础。

       此领域在 CISA 考试中所占比重是 18%（约 27 道题）。

领域 2 考试内容大纲

A 部分：IT 治理

       1. 法律、法规和行业标准

       2. 组织结构、IT治理和IT战略

       3. IT政策、标准、程序和实务

       4. 企业架构（Enterprise Architecture, EA）和注意事项

       5. 企业风险管理（Enterprise Risk Management, ERM）

       6. 隐私方案和原则

       7. 数据治理和分类

B 部分：IT 管理层

       1. IT 资源管理

       2. IT 供应商管理

       3. IT 性能监控与报告

       4. IT 质量保证和质量管理

学习目标 / 任务说明

       在此领域中，信息系统审计师 该 内容 由中 审网 校所 属 w w w. auditcn.com应当能够：

       ● 按照信息系统审计标准和基于风险的信息系统审计战略执行审计。

       ●与利益相关方沟通并搜集有关审计进度、发现、结果和建议的反馈。

       ● 进行审计后跟进，以评估是否充分解决了已识别的风险。

       ● 评估自动化和/或决策系统对组织的作用和/或影响。

       ● 评估 IT 战略，以便与组织的战略和目标保持一致。

       ● 评估IT治理结构和 IT 组织结构的有效性。

       ● 评估组织的 IT 政策管理和实务，包括对法律和监管要求的遵守情况。

       ● 评估 IT 资源和项目管理，确保其与组织的战略和目标保持一致。

       ● 评估组织的企业风险管理方案。

       ● 确定组织是否已定义 IT 风险、控制和标准的所有者。

       ● 评估 IT 关键绩效指标（Key Performance Indicator, KPI）和 IT 关键风险指标（Key Risk Indicator, KRI）的监控和报告。

       ● 评估组织维持业务运营的能力。

       ● 评估组织的存储、备份和恢复政策和流程。

       ● 评估与信息系统相关的业务案例是否符合业务目标。

       ● 评估 IT 供应商选择和合同管理流程是否符合业务、法律和监管要求。

       ● 评估是否已制定有效的流程来支持最终用户。

       ● 评估 IT 服务管理实务是否符合组织要求。

       ● 定期审查信息系统和企业架构，以确定与组织目标的一致性。

       ● 评估 IT 运营和维护实务是否支持组织的目标。

       ● 评估组织的数据库管理实务。

       ● 评估组织的数据治理方案。

       ● 评估组织的隐私方案。

       ● 评估数据分类实务，以确保其符合组织的数据治理计划、隐私方案和适用的外部要求。

       ● 评估组织的问题和事故管理方案。

       ● 评估组织的变更、配置、发布和修补程序管理方案。

       ● 评估组织的日志管理方案。

       ● 评估与资产生命周期管理相关的组织政策和实务。

       ● 评估组织的信息安全方案。

       ● 评估组织的威胁和漏洞管理方案。

       ● 评估组织的安全意识培训方案。

       ● 评估与新兴技术、法规和行业惯例相关的潜在机会和风险。