CISA简介

CISA简介唐龙CISACISAoverviewCISAandISACACISA认证CISA考试CISA考试内容CISAvs.CISSP信息审计过程CISAandISACACISAandISACACISACertifiedInformationSystemAuditor注册信息系统审计师ISACAInformationSystemsAuditandControlAssociation信息系统审计与控制协会ISACA信息系统审计与控制协会（ISACA）创始于1967年，当时它是由从事同类职业的人所组成的小团体——计算机系统的审计和控制对他们各自机构的运作都变得愈发关键——因此他们聚集起来讨论制定信息集中化资源和本领域指导准则的必要性。在1969年，这个团体正式组建为EDP审计师协会。在1976年，这个协会成立一项教育基金来开展大规模的研究工作，以拓展信息产业管理与控制领域的知识与价值。ISACA今天，ISACA在全球有四万多名成员，他们的组成非常具有多元性。这些成员在100多个国家内生活和工作，并涵盖众多专业信息技术的相关职业，比如信息系统审计师、顾问、教导员、信息系统安全专家、管理者、首席信息官和内部审计师等。有些职业是本领域内新兴的，其他为中级管理人员，另外还有许多人担任最高级的职位。他们几乎遍及所有行业，包括财政金融、公共会计、政府与公共部门、公用事业和制造业。这种多元性使众多成员能够相互学习，并在许多专业问题上广泛交流彼此的观点。该特点一直被认为是ISACA的强势之一。ISACAISACA的另一个强势就是它的分会网络。ISACA的分会遍布世界60多个国家，可提供成员教育、资源共享、支持、专业网络，以及其他由当地分会提供的诸多利益。ISACA在ISACA创立的三十年来，它已成为一个为信息管理、控制、安全和审计专业设定规范的全球性组织。它的信息系统审计和信息系统控制标准为全球执业者所遵从。它的研究工作针对那些挑战其重要原则的疑难专业事项。它的国际信息系统审计师（CISA）认证得到全球的公认，并有三万多名专业人员得到认证。它最新推出的国际信息安全经理（CISM）认证特别针对信息安全管理的审计事务。它出版了领先于信息控制领域的技术性期刊，即《信息系统控制期刊》（InformationSystemsControlJournal）。它举办一系列国际性会议，并且把焦点集中于信息系统保障、控制、安全和信息技术管理专业的技术与管理主题上。ISACA唯一有权授予信息系统审计师资格的跨国界、跨行业专业机构ISACAWeb的工作熟悉信息系统软件、硬件、开发、运营、维护、管理以及安全熟悉业务运营管理利用规范和相关的审计技术，对信息系统的安全性、稳定性、有效性进行审计、检查、评价CISA证书的价值“全球化进展进一步提升了CISA资格证书的价值，显示了它是真正国际认可的资历证书。”---------美国摩根大通公司，埃内斯托·阿吉拉，CISACISA证书的价值专业认证计划杰出的标志在于持证人提高了自身的价值并受到了人们的尊重。自1978年以来，由信息系统审计与控制协会（ISACA）发起的国际信息系统审计师（CISA）认证已经成为持证人在信息系统审计、控制与安全等专业领域中取得成绩的象征，并逐步发展成全球公认的标准。最高专业程度的标志获得CISA资格证书有助于确立您作为一名合格的信息系统审计、控制和安全专业人才的声望。不论你是希望提高你的工作业绩还是得到职务升迁，拥有CISA资格证书都会使你拥有他人无法企及的竞争优势。雇主寻求的资历由于CISA所认证的个人能够熟练掌握当今需要的最先进的技能，雇主更愿意雇用和留住那些达到并能够维持资格证书所要求水平的人才。CISA资格证书向雇主保证其雇员已达到工作要求所必需的最新教育与实践经验。“CISA用它的四个字母向未来雇主表明：我具备扎实的信息系统审计知识与丰富的经验。CISA使持证人在市场中占据优势。”---------英国苏格兰皇家银行，罗勃特·科里斯，CISA全球的认可也许本认证对于你当前的工作并不是绝对必需的，然而越来越多的机构希望员工得到CISA认证。为了确保你在全球市场中的成功，选择一个建立在全球认可技术实务基础上的认证是至关重要的。CISA所提供的就是这种认证。CISA作为信息系统审计、控制与安全专业人员的资格证书，受到全世界所有行业的广泛认可。得到ISO/IEC17024:2003标准的公认美国国家标准协会（ANSI）已经按照ISO/IEC17024:2003标准对CISA认证计划进行了鉴证和认可该标准是对一个团体开展人员认证方面的总体要求成为CISA顺利通过CISA的考试；遵守国际信息系统审计与控制协会的『职业道德准则』提供从事信息系统审计、控制与安全工作5年以上经验的证明。具有下列同等经验，可申请免除该项经验，并应获得如下证明：1年以下的信息系统审计、控制与安全工作的经验可用如下资历相抵：满1年的非信息系统审计工作经验，或满1年的信息系统工作经验，和／或具有大专学历（大学60个学分或同等学历）。2年信息系统审计、控制与安全工作的经验可用学士学位（大学120个学分或同等学历）相抵。1年信息系统审计、控制与安全工作的经验可用2年相关领域（计算机科学、会计、信息系统审计等）内从事大学专职讲师的经验相抵。无最高年限（即6年大学讲师经验等同于3年信息系统审计、控制与安全工作的经验）。成为CISA专业经验必须在申请前的10年之内获得，或在第一次通过考试之日的前5年之内。认证申请必须在通过CISA考试的5年之内提出。所有专业经验都必须由原雇主独立地确认。CISA考试CISA考试CISA考试在每年6月份和12月份举行考题包含200道多项选择题考试时间为4个小时450分通过,总共800分考试报名填写并邮寄报名表线上报名报名费：$510每年8月16日之前：$460线上报名：可节省$35考分的邮寄自考试之日起约6个星期后，考生将接到邮寄的考试成绩通知。为了对考试分数保密，考试结果将不采用电话、传真或电子邮件的方式进行通知。然而，如果你在报名表的第27项上表明同意，我们可以通过电子邮件向你发送及格/不及格的考分。CISA资格证书的维持获得任何职业资格证书的持证人必须参与继续教育计划来维持其资格证书。为了维持CISA资格证书，持证人必须履行继续职业教育政策，并遵守ISACA协会的『职业道德准则』。这些计划有助于保证CISA持证人能够与业内先进技术的发展保持同步，并展示较高的职业原则。『继续职业教育政策』要求持证人获得并提供最低限度的继续职业教育（CPE）学时，并每年支付维持费。此外，最低学时的获得与提供必须在固定的3年认证期内完成。不能履行此政策的持证人拥有的认证资格将被撤消。CISA考试内容CISAContentAreasEffective20111信息系统审计程序14%2IT治理与管理14%3信息系统获取开发和实施19%4信息系统运行、维护和支持23%5信息资产保护30%第一部分信息系统审计程序1.1ISACA发布的信息系统审计标准、准则、程序和职业道德规范1.2IS审计实务和技术1.3收集信息和保存证据的技术（如观察、调查问卷、谈话、计算机辅助审计技术、电子介质）1.4证据的生命周期（如证据的收集、保护和证据之间的相关性）1.5与信息系统相关的控制目标和控制（如CobiT模型）1.6审计过程中的风险评估1.7审计计划和管理技术1.8报告和沟通技术（如推进、商谈、解决冲突）1.9控制自我评估（CSA）1.10不间断审计技术(即：连续审计技术)第二部分IT治理(信息技术治理)2.1IT战略、政策、标准和程序对于组织的意义，及其基本要素2.2IT治理框架(体系)2.3制定、实施和维护IT战略、政策、标准和程序的流程。如：信息资产的保护、业务持续和灾难恢复、系统和基础建设生命周期、IT服务交付与支持2.4质量管理战略和政策2.5与IT使用和管理相关的组织结构、角色和职责。2.6公认的国际IT标准和准则(指导)。2.7制订长期战略方向的企业所需的IT体系及其内容2.8风险管理方法和工具2.9控制框架(模型)的使用，如：CobiT、COSO、ISO17799等控制模型。2.10成熟度和流程改进模型(如：CMM、CobiT)的使用。第二部分IT治理与管理2.11签约战略、程序和合同管理实务。2.12IT绩效的监督和报告实务2.13有关的法律、规章等问题(如：保密法/隐私法、知识产权、公司治理的要求)2.14IT人力资源管理2.15IT资源投资和配置实务(如：投资的资产管理回报)第二部分IT治理与管理2.16数据备份、存储、维护、保留和恢复流程，和实务。2.17业务连续性和灾难恢复有关的法律、规章、协议和保险问题。2.18业务影响分析(BIA)2.20开发和维护灾难恢复和业务连续性计划。2.21灾难恢复和业务连续性计划测试途径和方法2.22与灾难恢复和业务连续性计划有关的人力资源管理。例如：疏散计划、(紧急)响应团队。2.23启用灾难恢复和业务连续性计划的程序(或流程)。2.24备用业务处理站点(指场所和设施)的类型，和监督有关协议/合同的方法。第三部分信息系统获取、开发与实施KS3.1收益管理实践（例如可行性研究，业务模式，总体拥有成本，投资回报率）。•KS3.2项目治理机制（例如项目操控委员会，项目指导委员会，项目管理办公室）•KS3.3项目管理控制框架，管理实务和工具•KS3.4与项目有关的风险管理实务•KS3.5与数据、应用及技术相关的IT架构模型（分布式应用、基于Web的应用、Web服务、N层应用）•KS3.6信息系统获取实务（例如供应商评估，供应商管理）•KS3.7需求分析和管理实务（需求验证，可跟踪性和差距分析，脆弱性管理，安全需求）第三部分信息系统获取、开发与实施KS3.8项目成功的标准与风险•KS3.9在信息系统中保证交易及数据的完整性、准确性、合法性及适当授权的控制目标和相关技术•KS3.10信息系统开发方法和工具，及对其优缺点的理解（例如：敏捷开发法、原型法、快速应用开发、面向对象的设计方法）•KS3.11与信息系统开发相关测试方法与实践•KS3.12与信息系统开发相关的配置管理与发布管理•KS3.13信息系统迁移和基础设施部署实务，以及数据转换工具，技术和程序•KS3.14信息系统实施后审核的目标与方法（例如项目收尾，控制实施，效益总结，绩效测量）第四部分信息系统运行、维护和支持KS4.1服务水平管理实务及服务水平的组成内容•KS4.2监控第三方与组织的内部控制指标符合性的技术•KS4.3操作与最终用户程序，用来管理计划与非计划的活动•KS4.4硬件、网络组建、系统软件与数据库管理系统相关的技术概念•KS4.5确保系统接口整合的控制技术•KS4.6软件许可及软件库存目录管理实务•KS4.7系统容错工具及技术（例如：容错硬件与软件、单点故障消除设备、集群）•KS4.8数据库管理实务；•KS4.9IT能力计划和对能力进行监督的工具与技术•KS4.10系统绩效监督的过程、工具和技术（例如：网络分析、系统利用率报告、负载平衡）第四部分信息系统运行、维护和支持KS4.11事件管理、问题管理实务（例如：帮助台、事件升级程序、服务追踪）•KS4.12管理计划变更及紧急变更的过程，包括对生产系统和基础设施的更改、配置、发布及修补等实务•KS4.13数据备份、存储、维护、保存和恢复实践的知识•KS4.14灾难恢复相关的法律、法规、合同和保险相关的知识•KS4.15与灾难恢复计划相关的业务影响分析（BIA）知识•KS4.14用于启动业务连续性计划的人力资源管理实践方面的知识•KS4.1