注冊信息系統(tǒng)審計師CISA簡介

2014-11-08 22:09:48 大云網(wǎng)　點擊量：評論 (0)

作為國際上信息行業(yè)最高級別的考試，注冊信息系統(tǒng)審計師CISA認證考試象征著令人羨慕的薪水和職位。CISA認證考試登陸中國并不太久，可以說，通過了注冊信息系統(tǒng)審計師CISA認證考試，就能達到會當凌絕頂，一覽眾山

作為國際上信息行業(yè)最高級別的考試，注冊信息系統(tǒng)審計師CISA認證考試象征著令人羨慕的薪水和職位。CISA認證考試登陸中國并不太久，可以說，通過了注冊信息系統(tǒng)審計師CISA認證考試，就能達到“會當凌絕頂，一覽眾山小”的境界。

　　1什么是注冊信息系統(tǒng)審計師CISA認證

　　注冊信息系統(tǒng)審計師(Certified Information System Auditor，簡稱CISA)，也稱IT審計師，是指一批專家級的人士，既通曉信息系統(tǒng)的軟件、硬件、開發(fā)、運營、維護、管理和安全，又熟悉經(jīng)濟管理的核心要義，能夠利用規(guī)范和先進的審計技術(shù)，對信息系統(tǒng)的安全性、穩(wěn)定性和有效性進行審計、檢查、評價和改造。

　　注冊信息系統(tǒng)審計師CISA(Certified Information System Auditor)資格由ISACA授予，是信息系統(tǒng)審計領域的唯一的職業(yè)資格，受到全世界的廣泛認可。

　　信息系統(tǒng)審計與控制協(xié)會ISACA(Information System Audit and Control Association)就是從事計算機審計人員(IT審計師)組成的國際性專業(yè)組織，是唯一有權(quán)授予注冊信息系統(tǒng)審計師資格的跨國界、跨行業(yè)的專業(yè)機構(gòu)。該協(xié)會成立于1969年，總部在美國的芝加哥。目前在世界上100多個國家設有160多個分會，現(xiàn)有會員兩萬多人。

　　凡通過CISA考試，在信息系統(tǒng)審計、控制或安全領域有5年的工作經(jīng)驗(在校生考試后5年內(nèi)完成以上領域相關(guān)工作經(jīng)驗亦可申請：本科畢業(yè)折算為2年工作經(jīng)驗，研究生畢業(yè)折算為6年工作經(jīng)驗)，遵守ISACA的職業(yè)道德，提出CISA資格申請、并得到批準，即可取得CISA資格。

　　2注冊信息系統(tǒng)審計師的作用

　　注冊信息系統(tǒng)審計師在信息化社會中，為各單位筑起一道信息安全的壁壘。他們關(guān)注的問題主要有：

　　(1)信息安全。沒有安全就沒有一切，信息系統(tǒng)審計師會采用各種方法來測試系統(tǒng)的安全性，并對來自內(nèi)部和外部的安全隱患提出相應對策;

　　(2)信息系統(tǒng)的穩(wěn)定性。沒有長期穩(wěn)定性，信息系統(tǒng)就無法承擔起激烈競爭的壓力，信息系統(tǒng)審計師會提出一系列對策保證客戶信息系統(tǒng)的萬無一失。

　　(3)鑒別信息系統(tǒng)的有效性。最安全和最穩(wěn)定的系統(tǒng)不一定是最有效的系統(tǒng)，而效率不高的系統(tǒng)會消耗企業(yè)大量的資源，信息系統(tǒng)審計師的優(yōu)勢就是對財經(jīng)管理和信息技術(shù)融會貫通，為企業(yè)信息系統(tǒng)的改造提供建議。

　　3 CISA考核要點和涉及知識

　　CISA考試要求應試者具有扎實的審計理論和審計實踐經(jīng)驗，具有較豐富的企業(yè)運營及管理知識和經(jīng)驗，同時更要具有全面的、有一定深度的計算機信息系統(tǒng)方面的理論和實踐經(jīng)驗。CISA考試分為信息系統(tǒng)審計和信息系統(tǒng)相關(guān)知識兩個方面七大內(nèi)容：

　　3.1信息系統(tǒng)審計程序(10%)

　　(1)考核要點。實施信息系統(tǒng)審計要與一般公認的信息系統(tǒng)審計標準和準則相一致，以確保對組織采用的信息技術(shù)和業(yè)務系統(tǒng)進行充分的控制、監(jiān)控和評價。主要包括：審計計劃和審計戰(zhàn)略及目標;一般公認的審計標準;信息的收集和分析;風險管理和控制等。

　　(2)涉及知識。這部分考試涉及的主要知識有：有關(guān)信息系統(tǒng)審計的標準和準則;審計實務和技術(shù);風險分析方法、原則和標準;戰(zhàn)略和計劃過程;信息系統(tǒng)及技術(shù)發(fā)展趨勢;質(zhì)量管理、財務管理和業(yè)務管理等。

　　考生必須具備現(xiàn)代審計理論和實務、企業(yè)管理、項目管理和信息系統(tǒng)及信息技術(shù)發(fā)展脈絡方面的知識。

　　3.2信息系統(tǒng)的管理計劃和組織(11%)

　　(1)考核要點。評價有關(guān)信息系統(tǒng)管理、計劃和組織的戰(zhàn)略、政策、標準、過程和有關(guān)實務。主要包括：評價信息系統(tǒng)戰(zhàn)略和過程;評價信息系統(tǒng)政策、標準和過程的開發(fā)、部署和維護;評價信息系統(tǒng)組織和結(jié)構(gòu)等。

　　(2)涉及知識。這部分考試涉及的主要知識有：有關(guān)信息系統(tǒng)戰(zhàn)略、政策、標準和過程的主要實踐;信息系統(tǒng)戰(zhàn)略開發(fā)、部署和維護的方法和步驟;信息系統(tǒng)項目管理、風險管理、變動管理、質(zhì)量管理、安全管理;信息系統(tǒng)組織結(jié)構(gòu)和設計原則;軟件質(zhì)量管理等。

　　考生必須具備信息系統(tǒng)開發(fā)與管理、項目管理及軟件工程方面的知識。

　　3.3技術(shù)基礎和操作實務(13%)

　　(1)考核要點。評價組織技術(shù)和操作基礎的實施及正在進行的管理的功效和效率，確保它們充分地支持組織的業(yè)務目標。主要包括：評價硬件的取得、安裝和維護;評價系統(tǒng)軟件和應用軟件的獲取、實施及維護;評價網(wǎng)絡基礎設施的獲得、安裝和維護;評價信息系統(tǒng)操作實務;評價系統(tǒng)執(zhí)行和監(jiān)控過程、工具和技術(shù)等。

　　(2)涉及知識。這部分考試涉及的主要知識有：有關(guān)硬件平臺、系統(tǒng)軟件和實用軟件以及網(wǎng)絡基礎設施和信息系統(tǒng)操作實務的風險和控制;系統(tǒng)運行和監(jiān)控過程、工具和技術(shù);IT基礎設施的獲取、開發(fā)、實施和維護的過程;網(wǎng)絡拓撲等知識。

　　考生必須具備一定的計算機硬件和軟件、計算機網(wǎng)絡(尤其是互聯(lián)網(wǎng)等)基礎和運行管理等方面的知識。

　　3.4信息資產(chǎn)的保護(25%)

　　(1)考核要點。評價邏輯的、環(huán)境的和IT基礎設施的安全，確保系統(tǒng)滿足組織的業(yè)務需求，保護信息資產(chǎn)以防非授權(quán)使用、泄露、修改、破壞和損失。主要包括：評價邏輯訪問控制的設計、實施和監(jiān)控;評價網(wǎng)絡基礎設施的安全;評價環(huán)境控制的設計、實施和監(jiān)控;評價物理訪問控制的設計、實施和監(jiān)控等。

　　(2)涉及知識。這部分考試涉及的主要知識有：計算機訪問控制原理和技術(shù);物理安全控制;密碼技術(shù);網(wǎng)絡安全概念;安全體系結(jié)構(gòu);安全評估工具;病毒及探測、預防和反應機制;黑客攻擊方法和技術(shù)等。

　　考生必須具備扎實的計算機網(wǎng)絡理論知識和實踐經(jīng)驗、計算機加密解密技術(shù)、計算機病毒及網(wǎng)絡黑客技術(shù)、計算機及網(wǎng)絡安全體系結(jié)構(gòu)方面的知識等。

　　3.5災難恢復和業(yè)務持續(xù)計劃(10%)

　　(1)考核要點。評價在系統(tǒng)發(fā)生不測時，為使業(yè)務運轉(zhuǎn)和信息系統(tǒng)處理能正常進行，而采取的備份和恢復等措施。主要包括：文件及數(shù)據(jù)的備份和恢復機制;不測發(fā)生后保證組織業(yè)務持續(xù)進行和繼續(xù)提供信息系統(tǒng)處理的能力等。

　　(2)涉及知識。這部分考試涉及的主要知識有：關(guān)于災難恢復和業(yè)務持續(xù)的概念和方法、災難恢復和業(yè)務持續(xù)技術(shù)等。

　　考生必須具備數(shù)據(jù)庫理論中關(guān)于數(shù)據(jù)恢復技術(shù)和災難應對措施方面的知識。

　　3.6業(yè)務應用系統(tǒng)的開發(fā)、取得、實施和維護(16%)

　　(1)考核要點。通過業(yè)務應用系統(tǒng)的開發(fā)、取得、實施和維護來評價采用的方法和過程，以確保與組織的業(yè)務目標一致。主要內(nèi)容包括：對應用系統(tǒng)的開發(fā)、取得、實施和維護中采用技術(shù)和方法進行評價。

　　(2)涉及知識。這部分考試涉及的主要知識有：系統(tǒng)開發(fā)方法和工具;軟件質(zhì)量保證方法;程序設計原理和技術(shù);系統(tǒng)實施后的評價技術(shù)等。

　　考生必須具備軟件工程的理論及實務、各種程序設計技術(shù)、信息系統(tǒng)實施和評價等方面的知識。

　　3.7業(yè)務過程的評價和風險管理(15%)

　　(1)考核要點。評價業(yè)務系統(tǒng)和過程，確保風險被控制且與組織業(yè)務目標相一致。主要內(nèi)容包括：通過諸如用基難測試程序測試、最優(yōu)方法分析、業(yè)務流程重組(BPR)，評價信息系統(tǒng)支持業(yè)務過程的效率和效力，確保業(yè)務結(jié)果最優(yōu);評價自動化和手工控制的設計和實施;評價組織的風險管理和控制的實施等。

　　(2)涉及知識。這部分考試涉及的主要知識有：最優(yōu)方法業(yè)務過程;業(yè)務過程控制;業(yè)務設計機構(gòu)、管理和控制實務;業(yè)務流程設計、重組和改進的方法等。

　　考生必須具備企業(yè)管理、企業(yè)生產(chǎn)經(jīng)營和電子商務方面的理論及實務知識。