做题思路：【该类题型，我用这个思路验证了，基本上是99%的正确率
第①步 审查当前有无补偿控制
第②步评估当前剩余风险
第③步上报问题现状和风险现状
第④步给出审计建议
做题就根据这四步选项按顺序选。答案有审查补偿性控制，优先选；其次评估某个产品
的风险。这里注意 建议补偿性控制，带有建议2字是属于第四步骤，不用看到补偿性就
选，答案选项自行往四步套入。

我们需明白审计师的责任， 是不可能直接去给出具体的工作建议，违反职位的独立性。
题目举例：审计师检查后发现系统存在漏洞，审计师建议
a 检查系统日志
b 安装IDS
c 加固系统，安装防火墙。
d 要求进行shentou测试
说明：答案：A。很明显审计师是不可能给企业提出具体的建议安装防火墙、IDS；
这不是审计的活儿。审计师独立性、能力胜任。

属性抽样——一般是流程是否符合，是否存在，确认是否授权等。
停一走抽样——防止过度抽样
发现抽样——发现欺诈，非法行为
变量抽样——实质性测试，关乎数量、质量，一般是实质性测试。

评估生物识别系统，EER相等错误率越低，安全级别越高。如果题目强调高安全性，
就用FAR（错误接受率）最低。

这个考点重要，题目貌似比较简单。
概念先记住：RTO恢复时间目标,中间字母T，time，时间。业务中断，所能容忍停止
服务的最长时间。
RPO恢复点目标，中间字母P，point，点。业务中断，所能容忍的数据丢失量。

CAAT 审计技术，可以查重复性的东西，比如查重复的发票记录。
SDLC理解为一种开发方法,软件开发项目关键的目标是确保开发的软件符合业务目标并
且满足用户的要求。SDLC 控制措施设计应出现在设计阶段。

首先了解的：公钥是大家都知道的，私钥是自己拿着的。
用发送者的私钥对消息摘要加密表明不可否认性。（个人白话理解：私钥只有我自己知
道，用来加密，那我自然否认不了是我加密的，表明不可否认性）
用对称密钥加密信息，然后用接收者的公钥加密对称密钥，最有效表明信息的机密性和
接受者的不可否认性。（用接收者的公钥加密对称密钥，只有接
收者才能打开这个加密的密钥，然后接收者用解密的密钥去打开消息，至此，接收者就
获得了发送者发送的消息。）

外部审计机构/第三方审计>系统中直接生成的报告>审计师得出的数据报告>被审计方提供的

审计章程——主要考点概述职责；看到详述、细则等选项直接排除了；
指导委员会监督IT投资，确保根据业务需求进行IT投资。

规避——消除产生风险
缓解——减少风险的发生概率，互惠协议
转移——与合作伙伴共担风险，如买保险
接受——一般是高级管理层确认是否接受风险。
题目举例：
当组织的灾难恢复计划中包含互惠协议时，应采用以下哪项风险处置方法？
A 缓解
B 转移
C 接受
D 规避
答案：A。减少风险的发生概率。

资产识别——识别出高风险的资产
威胁评估——与资产相关的威胁和漏洞，软硬件故障、欺诈发生的概率
影响评估——确定影响的大小，比如运营效率较低，业务影响
风险计算——如风险模型计算出风险的等级，风险评估报告，对数法
风险应对——评估现有的控制并实行新的控制措施，使残余风险符合企业的风险偏好。

shentou测试
钓鱼——加强用户安全培训
零日漏洞—— 漏洞被公开当天，一般来讲都不会及时推出补丁，所以称为零日漏洞。N日漏洞，就说漏洞已经发布N天啦。
无盘工作站——可以防止访问控制软件被绕过。

数据分类分级的目的。选项迷惑性多，读者自行注意该知识点。

强制访问控制——标签，用户无法自行修改
自主访问控制——用户可修改，安全性级别没有强制高

Q: 我为什么考CISA？
A： 本人是做安全合规方面的工作，在网上看到很多任职要求，有CISP、CISSP、CISA等证书优先。本着技多不压身的单纯想法，考一个吧。

Q：备考了多久？
A：3~4个月。读者根据个人基础和时间情况，估算自己的备考时间。

Q： 如何备考的？
A： 本人主要是做题，通过题目的答案解答建立知识点。觉得重要的题目，做了4遍左右。当然还有些做了就忘了的，也懒得看了，
课本书也粗略的看了3遍吧。

我看了一些网上的帖子，描述起来CISA不难。但可能本人考的证也不多，见识太少，本人的感受是CISA还是有点难度的；但花时间努力也都是会
通过的。
备考需要花费不少功夫。如果想自己省事点，那就多花点钱报培训班，毕竟培训班会给你讲课，并整理出重点。
举个例子：自学游泳，可能要1个月。但是找教练教，1周就能游起来。
自己有基础底子；或者自己时间多，那就自己多做题看视频，自行学习考试吧。
自己想省事点，那就培训机构。当然两者都需要本人耗费时间，努力的做题和审计四维的建立。只是梳理知识重点，考点，老师的解答、同学的交流圈等工作
有人帮你建立了。

以上是本人浅浅的感受，仅供参考。可能优秀的你们觉得so easy，哈哈，大家加油。

预祝相同经历的朋友考试通过！