信息系统运营和业务恢复能力很重要，它可以为用户和管理层提供按预期水平交付服务的保证。服务水平的预期来源于组织的业务目标。IT 服务交付包括信息系统的运营、信息系统的 IT 服务和管理以及负责支持工作的小组。中断通常也是不可避免的业务因素之一。

       做好准备是在保护人员、资产和声誉的同时维持业务运营的关键。采用业务恢复能力策略可帮助组织解决这些问题并减小其影响。

       此领域在 CISA 考试中所占比重为 26%（约 39 个问题）。

领域 4 考试内容大纲

A部分：信息系统运营

       1. IT 组件

       2. IT 资产管理

       3. 作业调度和生产流程自动化

       4. 系统接口

       5. 最终用户计算和影子 IT

       6. 系统可用性和容量管理

       7. 问题和事故管理

       8. IT 变更、配置和修补程序管理

       9. 运营日志管理

       10. IT 服务水平管理

       11. 数据库管理

B部分：业务恢复能力

       1. 业务影响分析

       2. 系统和运营恢复能力

       3. 数据备份、存储和恢复

       4. 业务持续计划

       5. 灾难恢复计划

学习目标 / 任务说明

       在此领域中，信息系统审计师 该内 容 由中 审网 校所属 w ww . a udit c n.com应当能够：

       ● 按照信息系统审计标准和基于风险的信息系统审计战略执行审计。

       ● 评估自动化和 / 或决策系统对组织的作用和 / 或影响。

       ● 评估 IT 战略，以便与组织的战略和目标保持一致。

       ● 评估组织的 IT 政策管理和实务，包括对法律和监管要求的遵守情况。

       ● 确定组织是否已定义 IT 风险、控制和标准的所有者。

       ● 评估组织维持业务运营的能力。

       ● 评估组织的存储、备份和恢复政策和流程。

       ● 评估 IT 供应商选择和合同管理流程是否符合业务、法律和监管要求。

       ● 评估供应链的 IT 风险因素和完整性问题。

       ● 评估是否已制定有效的流程来支持最终用户。

       ●评估 IT 服务管理实务是否符合组织要求。

       ● 评估 IT 运营和维护实务是否支持组织的目标。

       ● 评估组织的数据库管理实务。

       ● 评估组织的数据治理方案。

       ● 评估组织的问题和事故管理方案。

       ● 评估组织的变更、配置、发布和修补程序管理方案。

       ● 评估组织的日志管理方案。

       ● 评估与资产生命周期管理相关的组织政策和实务。

       ● 评估与影子 IT 和最终用户计算相关的风险，以确定补偿性控制的有效性。

       ● 评估组织的威胁和漏洞管理方案。

       ● 评估逻辑、物理和环境控制，以验证信息资产的机密性、完整性和可用性。