本章节旨在讨论保护信息资产所涉及的技术、挑战和最佳实践。信息应在其生命周期的各个阶段受到保护；尤其是在处理、传输过程中和静止状态下。应采取措施降低未经授权访问、使用、披露、修改和销毁信息的风险。有效的信息保护需要采用多学科方法，涉及人员、流程和信息技术，并且通常围绕机密性、完整性和可用性的目标。

       此领域在 CISA 考试中所占比重为 26%（约 39 个问题）。

领域 5 考试内容大纲

A部分：信息资产安全和控制

       1. 信息资产安全政策、框架、标准和准则

       2. 物理与环境控制

       3. 身份和访问管理

       4. 网络和终端安全

       5. 数据丢失防护

       6. 数据加密

       7. 公钥基础设施

       8. 云和虚拟化环境

       9. 移动、无线和物联网设备

B部分：安全事件管理

       1. 安全意识培训和方案

       2. 信息系统攻击方法和技术

       3. 安全测试工具和技术

       4. 安全监控日志、工具和技术

       5. 安全事故响应管理

       6. 证据搜集和取证

学习目标 / 任务说明

       在此领域中，信息系统审计师 该内容 由中审网校 所属w w w. a u d i tc n.com应当能够：

       ● 按照信息系统审计标准和基于风险的信息系统审计战略执行审计。

       ● 进行审计后跟进，以评估是否充分解决了已识别的风险。

       ● 使用数据分析工具来增强审计流程。

       ● 评估自动化和/或决策系统对组织的作用和 / 或影响。

       ● 将审计流程作为质量保证和改进方案的一部分进行评估。

       ● 确定组织是否已定义 IT 风险、控制和标准的所有者。

       ● 评估组织的存储、备份和恢复政策和流程。

       ● 评估 IT 供应商选择和合同管理流程是否符合业务、法律和监管要求。

       ● 评估供应链的 IT 风险因素和完整性问题。

       ● 对在信息系统开发生命周期各个阶段执行的控制进行评估。

       ● 评估是否已制定有效的流程来支持最终用户。

       ● 评估组织的数据治理方案。

       ● 评估组织的隐私方案。

       ● 评估数据分类实务，以确保其符合组织的数据治理计划、隐私方案和适用的外部要求。

       ● 评估组织的问题和事故管理方案。

       ● 评估组织的日志管理方案。

       ● 评估与资产生命周期管理相关的组织政策和实务。

       ● 评估与影子 IT 和最终用户计算相关的风险，以确定补偿性控制的有效性。

       ● 评估组织的信息安全方案。

       ● 评估组织的威胁和漏洞管理方案。

       ● 使用技术安全测试以识别潜在漏洞。

       ● 评估逻辑、物理和环境控制，以验证信息资产的机密性、完整性和可用性。

       ● 评估组织的安全意识培训方案。

       ● 评估与新兴技术、法规和行业惯例相关的潜在机会和风险。