注冊信息系統(tǒng)審計師CISA簡介

2014-11-08 22:09:48 大云網　點擊量：評論 (0)

作為國際上信息行業(yè)最高級別的考試，注冊信息系統(tǒng)審計師CISA認證考試象征著令人羨慕的薪水和職位。CISA認證考試登陸中國并不太久，可以說，通過了注冊信息系統(tǒng)審計師CISA認證考試，就能達到會當凌絕頂，一覽眾山

作為國際上信息行業(yè)最高級別的考試，注冊信息系統(tǒng)審計師CISA認證考試象征著令人羨慕的薪水和職位。CISA認證考試登陸中國并不太久，可以說，通過了注冊信息系統(tǒng)審計師CISA認證考試，就能達到“會當凌絕頂，一覽眾山小”的境界。

　　1什么是注冊信息系統(tǒng)審計師CISA認證

　　注冊信息系統(tǒng)審計師(Certified Information System Auditor，簡稱CISA)，也稱IT審計師，是指一批專家級的人士，既通曉信息系統(tǒng)的軟件、硬件、開發(fā)、運營、維護、管理和安全，又熟悉經濟管理的核心要義，能夠利用規(guī)范和先進的審計技術，對信息系統(tǒng)的安全性、穩(wěn)定性和有效性進行審計、檢查、評價和改造。

　　注冊信息系統(tǒng)審計師CISA(Certified Information System Auditor)資格由ISACA授予，是信息系統(tǒng)審計領域的唯一的職業(yè)資格，受到全世界的廣泛認可。

　　信息系統(tǒng)審計與控制協(xié)會ISACA(Information System Audit and Control Association)就是從事計算機審計人員(IT審計師)組成的國際性專業(yè)組織，是唯一有權授予注冊信息系統(tǒng)審計師資格的跨國界、跨行業(yè)的專業(yè)機構。該協(xié)會成立于1969年，總部在美國的芝加哥。目前在世界上100多個國家設有160多個分會，現有會員兩萬多人。

　　凡通過CISA考試，在信息系統(tǒng)審計、控制或安全領域有5年的工作經驗(在校生考試后5年內完成以上領域相關工作經驗亦可申請：本科畢業(yè)折算為2年工作經驗，研究生畢業(yè)折算為6年工作經驗)，遵守ISACA的職業(yè)道德，提出CISA資格申請、并得到批準，即可取得CISA資格。

　　2注冊信息系統(tǒng)審計師的作用

　　注冊信息系統(tǒng)審計師在信息化社會中，為各單位筑起一道信息安全的壁壘。他們關注的問題主要有：

　　(1)信息安全。沒有安全就沒有一切，信息系統(tǒng)審計師會采用各種方法來測試系統(tǒng)的安全性，并對來自內部和外部的安全隱患提出相應對策;

　　(2)信息系統(tǒng)的穩(wěn)定性。沒有長期穩(wěn)定性，信息系統(tǒng)就無法承擔起激烈競爭的壓力，信息系統(tǒng)審計師會提出一系列對策保證客戶信息系統(tǒng)的萬無一失。

　　(3)鑒別信息系統(tǒng)的有效性。最安全和最穩(wěn)定的系統(tǒng)不一定是最有效的系統(tǒng)，而效率不高的系統(tǒng)會消耗企業(yè)大量的資源，信息系統(tǒng)審計師的優(yōu)勢就是對財經管理和信息技術融會貫通，為企業(yè)信息系統(tǒng)的改造提供建議。

　　3 CISA考核要點和涉及知識

　　CISA考試要求應試者具有扎實的審計理論和審計實踐經驗，具有較豐富的企業(yè)運營及管理知識和經驗，同時更要具有全面的、有一定深度的計算機信息系統(tǒng)方面的理論和實踐經驗。CISA考試分為信息系統(tǒng)審計和信息系統(tǒng)相關知識兩個方面七大內容：

　　3.1信息系統(tǒng)審計程序(10%)

　　(1)考核要點。實施信息系統(tǒng)審計要與一般公認的信息系統(tǒng)審計標準和準則相一致，以確保對組織采用的信息技術和業(yè)務系統(tǒng)進行充分的控制、監(jiān)控和評價。主要包括：審計計劃和審計戰(zhàn)略及目標;一般公認的審計標準;信息的收集和分析;風險管理和控制等。

　　(2)涉及知識。這部分考試涉及的主要知識有：有關信息系統(tǒng)審計的標準和準則;審計實務和技術;風險分析方法、原則和標準;戰(zhàn)略和計劃過程;信息系統(tǒng)及技術發(fā)展趨勢;質量管理、財務管理和業(yè)務管理等。

　　考生必須具備現代審計理論和實務、企業(yè)管理、項目管理和信息系統(tǒng)及信息技術發(fā)展脈絡方面的知識。

　　3.2信息系統(tǒng)的管理計劃和組織(11%)

　　(1)考核要點。評價有關信息系統(tǒng)管理、計劃和組織的戰(zhàn)略、政策、標準、過程和有關實務。主要包括：評價信息系統(tǒng)戰(zhàn)略和過程;評價信息系統(tǒng)政策、標準和過程的開發(fā)、部署和維護;評價信息系統(tǒng)組織和結構等。

　　(2)涉及知識。這部分考試涉及的主要知識有：有關信息系統(tǒng)戰(zhàn)略、政策、標準和過程的主要實踐;信息系統(tǒng)戰(zhàn)略開發(fā)、部署和維護的方法和步驟;信息系統(tǒng)項目管理、風險管理、變動管理、質量管理、安全管理;信息系統(tǒng)組織結構和設計原則;軟件質量管理等。

　　考生必須具備信息系統(tǒng)開發(fā)與管理、項目管理及軟件工程方面的知識。

　　3.3技術基礎和操作實務(13%)

　　(1)考核要點。評價組織技術和操作基礎的實施及正在進行的管理的功效和效率，確保它們充分地支持組織的業(yè)務目標。主要包括：評價硬件的取得、安裝和維護;評價系統(tǒng)軟件和應用軟件的獲取、實施及維護;評價網絡基礎設施的獲得、安裝和維護;評價信息系統(tǒng)操作實務;評價系統(tǒng)執(zhí)行和監(jiān)控過程、工具和技術等。

　　(2)涉及知識。這部分考試涉及的主要知識有：有關硬件平臺、系統(tǒng)軟件和實用軟件以及網絡基礎設施和信息系統(tǒng)操作實務的風險和控制;系統(tǒng)運行和監(jiān)控過程、工具和技術;IT基礎設施的獲取、開發(fā)、實施和維護的過程;網絡拓撲等知識。

　　考生必須具備一定的計算機硬件和軟件、計算機網絡(尤其是互聯(lián)網等)基礎和運行管理等方面的知識。

　　3.4信息資產的保護(25%)

　　(1)考核要點。評價邏輯的、環(huán)境的和IT基礎設施的安全，確保系統(tǒng)滿足組織的業(yè)務需求，保護信息資產以防非授權使用、泄露、修改、破壞和損失。主要包括：評價邏輯訪問控制的設計、實施和監(jiān)控;評價網絡基礎設施的安全;評價環(huán)境控制的設計、實施和監(jiān)控;評價物理訪問控制的設計、實施和監(jiān)控等。

　　(2)涉及知識。這部分考試涉及的主要知識有：計算機訪問控制原理和技術;物理安全控制;密碼技術;網絡安全概念;安全體系結構;安全評估工具;病毒及探測、預防和反應機制;黑客攻擊方法和技術等。

　　考生必須具備扎實的計算機網絡理論知識和實踐經驗、計算機加密解密技術、計算機病毒及網絡黑客技術、計算機及網絡安全體系結構方面的知識等。

　　3.5災難恢復和業(yè)務持續(xù)計劃(10%)

　　(1)考核要點。評價在系統(tǒng)發(fā)生不測時，為使業(yè)務運轉和信息系統(tǒng)處理能正常進行，而采取的備份和恢復等措施。主要包括：文件及數據的備份和恢復機制;不測發(fā)生后保證組織業(yè)務持續(xù)進行和繼續(xù)提供信息系統(tǒng)處理的能力等。

　　(2)涉及知識。這部分考試涉及的主要知識有：關于災難恢復和業(yè)務持續(xù)的概念和方法、災難恢復和業(yè)務持續(xù)技術等。

　　考生必須具備數據庫理論中關于數據恢復技術和災難應對措施方面的知識。

　　3.6業(yè)務應用系統(tǒng)的開發(fā)、取得、實施和維護(16%)

　　(1)考核要點。通過業(yè)務應用系統(tǒng)的開發(fā)、取得、實施和維護來評價采用的方法和過程，以確保與組織的業(yè)務目標一致。主要內容包括：對應用系統(tǒng)的開發(fā)、取得、實施和維護中采用技術和方法進行評價。

　　(2)涉及知識。這部分考試涉及的主要知識有：系統(tǒng)開發(fā)方法和工具;軟件質量保證方法;程序設計原理和技術;系統(tǒng)實施后的評價技術等。

　　考生必須具備軟件工程的理論及實務、各種程序設計技術、信息系統(tǒng)實施和評價等方面的知識。

　　3.7業(yè)務過程的評價和風險管理(15%)

　　(1)考核要點。評價業(yè)務系統(tǒng)和過程，確保風險被控制且與組織業(yè)務目標相一致。主要內容包括：通過諸如用基難測試程序測試、最優(yōu)方法分析、業(yè)務流程重組(BPR)，評價信息系統(tǒng)支持業(yè)務過程的效率和效力，確保業(yè)務結果最優(yōu);評價自動化和手工控制的設計和實施;評價組織的風險管理和控制的實施等。

　　(2)涉及知識。這部分考試涉及的主要知識有：最優(yōu)方法業(yè)務過程;業(yè)務過程控制;業(yè)務設計機構、管理和控制實務;業(yè)務流程設計、重組和改進的方法等。

　　考生必須具備企業(yè)管理、企業(yè)生產經營和電子商務方面的理論及實務知識。