400-888-5228

CISA認(rèn)證是由信息系統(tǒng)審計與控制協(xié)會(ISACA)頒發(fā)的,針對信息系統(tǒng)審計、控制與安全領(lǐng)域的專業(yè)認(rèn)證。它表明持證人在評估和審計信息系統(tǒng)的安全性、可靠性和有效性方面具備專業(yè)知識和技能。CISA 認(rèn)證在信息技術(shù)和審計領(lǐng)域具有較高的認(rèn)可度。

  • 中文名CISA信息系統(tǒng)審計師認(rèn)證
  • 英文名Certified Information Systems Auditor
  • 英文簡稱CISA
  • 頒證機(jī)構(gòu)ISACA(國際信息系統(tǒng)審計與控制協(xié)會)
  • 證書類別IT審計,IT運(yùn)維,信息安全
  • 同類認(rèn)證CISMCRISC

01

做IT 審計,一開始就是通過和被審計公司具體系統(tǒng)或平臺的技術(shù)負(fù)責(zé)人、業(yè)務(wù)負(fù)責(zé)人調(diào)研訪談,去了解被審計公司(項目)的建設(shè)背景、需求、目的、實施運(yùn)行的情況和效果,還有技術(shù)實現(xiàn)辦法、功能架構(gòu)、技術(shù)架構(gòu)、業(yè)務(wù)架構(gòu)、安全架構(gòu)、部署架構(gòu)、容災(zāi)方案這些。

 

再去看看相關(guān)系統(tǒng)或平臺的設(shè)計文檔、運(yùn)行數(shù)據(jù)、日志記錄、功能實現(xiàn)、應(yīng)急預(yù)案等,來評估建設(shè)、運(yùn)行、維保階段費(fèi)用支出合不合理、有沒有效,還有項目運(yùn)行安不安全、可不可靠、穩(wěn)不穩(wěn)定、能不能擴(kuò)展等。

 

還有抽查一下公司業(yè)務(wù)(項目)的全生命周期里相關(guān)配套文檔全不全,建設(shè)過程有沒有完整的管理控制辦法,運(yùn)行期間數(shù)據(jù)完不完整、生產(chǎn)數(shù)據(jù)和消費(fèi)數(shù)據(jù)一不一樣這些。

 

通過對公司(項目)的調(diào)研數(shù)據(jù)的抽樣整理、問題分析歸納以及必要的穿行測試,總結(jié)出核心問題、差異問題和共性問題,_后提出能執(zhí)行的改進(jìn)建議。

 

IT審計要做的,大致就是這么些事情。

IT審計應(yīng)該怎么做?審計哪些東西?哪些是需要特別關(guān)注的? -- 第1張

02

那么,審計的重點,應(yīng)該放在哪些地方呢?

 

1)評估業(yè)務(wù)流程的復(fù)雜程度

 

首先我們要把與財務(wù)相關(guān)的業(yè)務(wù)流程梳理出來,不同公司(項目)關(guān)注的重點不一樣。比如說電商行業(yè)或者零售行業(yè)可能更會關(guān)注它的銷售流程;而制造業(yè)的話,相對來說更會關(guān)注它的生產(chǎn)流程;在舞弊可能發(fā)生較大的行業(yè),可能會更為關(guān)注采購流程。

 

對于不同項目,我們先得做基礎(chǔ)的判斷,明確這家公司哪些流程應(yīng)重點關(guān)注,接著針對梳理出的流程清單進(jìn)一步拆解,評估流程處理過程中是否涉及復(fù)雜公式或大量數(shù)據(jù)錄入,哪些是手工處理,哪些是自動化實現(xiàn),還要和財務(wù)審計團(tuán)隊緊密溝通,了解生成報告過程中對系統(tǒng)的依賴程度,是否依賴自動化控制等。

 

對于業(yè)務(wù)流程的檢查,主要是核查對業(yè)務(wù)流程以及費(fèi)用的控制。

 

業(yè)務(wù)審核清單:

  • 業(yè)務(wù)流程在信息系統(tǒng)中的實現(xiàn)情況。
  • 業(yè)務(wù)系統(tǒng)對業(yè)務(wù)邏輯的支持和遵循程度。
  • 業(yè)務(wù)數(shù)據(jù)在系統(tǒng)中的流轉(zhuǎn)和準(zhǔn)確性。
  • 業(yè)務(wù)系統(tǒng)中關(guān)鍵業(yè)務(wù)節(jié)點的控制措施。
  • 業(yè)務(wù)系統(tǒng)與相關(guān)業(yè)務(wù)系統(tǒng)的集成和協(xié)同效果。
  • 業(yè)務(wù)系統(tǒng)的用戶體驗和對業(yè)務(wù)效率的影響。
  • 業(yè)務(wù)系統(tǒng)中業(yè)務(wù)權(quán)限的分配合理性。
  • 業(yè)務(wù)操作的痕跡和可追溯性。

 

費(fèi)用審核清單:

  • 信息化項目費(fèi)用預(yù)算的合理性。
  • 信息化項目費(fèi)用支出與預(yù)算的對比。
  • 各項費(fèi)用明細(xì)的合規(guī)性。
  • 硬件設(shè)備采購價格的合理性。
  • 軟件授權(quán)費(fèi)用的準(zhǔn)確性。
  • 服務(wù)費(fèi)用的計費(fèi)依據(jù)和標(biāo)準(zhǔn)。
  • 費(fèi)用分?jǐn)偟暮侠硇浴?/li>
  • 項目成本控制措施的有效性。
  • 對費(fèi)用超支或節(jié)約情況的分析。
  • 費(fèi)用報銷流程的規(guī)范性。

 

2)評估IT系統(tǒng)的復(fù)雜程度

 

先要了解IT系統(tǒng)是自研還是外購,功能的復(fù)雜程度、是否為標(biāo)準(zhǔn)商業(yè)軟件、系統(tǒng)實施和運(yùn)行的參數(shù)設(shè)置復(fù)雜與否、上次系統(tǒng)架構(gòu)或版本重大變更時間、對財務(wù)系統(tǒng)影響大小以及變更后運(yùn)行時長等綜合因素。

 

對于IT系統(tǒng)的審計,主要是抽樣核查IT系統(tǒng)的完備性以及安全性。

 

完備性審查清單:

  • 抽樣核查項目依賴的 IT 資產(chǎn)(如數(shù)據(jù)庫、操作系統(tǒng))及硬件資源(如服務(wù)器、網(wǎng)絡(luò)/存儲設(shè)備等)是否完備且合理有效;
  • 核查核心與用戶數(shù)據(jù)的備份、還原機(jī)制、業(yè)務(wù)負(fù)載、監(jiān)控、容錯、冗余及業(yè)務(wù)持續(xù)服務(wù)能力支撐是否具備;
  • 核查研發(fā)、測試、運(yùn)維、發(fā)布等環(huán)境在隔離、權(quán)責(zé)、安全、可靠性與穩(wěn)定性等方面的管理是否完整有效;
  • 核查業(yè)務(wù)生產(chǎn)與監(jiān)控等數(shù)據(jù)在產(chǎn)生、傳輸、歸檔、銷毀全流程的管理和運(yùn)維是否可審計、可追溯;
  • 核查項目建設(shè)與管理的規(guī)章制度及人員建設(shè),以防因 IT 管理制度與人員管理問題影響業(yè)務(wù)發(fā)展或造成不必要損害。

 

安全性審查清單:

所依賴軟硬件的供應(yīng)鏈安全

  • 檢查信息化項目依賴的系統(tǒng)、軟件、中間件、硬件、單片機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、傳感設(shè)備、核心部件等關(guān)鍵資源的供應(yīng)商、型號、版本信息。
  • 檢查是否有產(chǎn)品授權(quán)、知識產(chǎn)權(quán)、開源協(xié)議、他國出口管制技術(shù)等限制。
  • 確認(rèn)產(chǎn)品服務(wù)商的服務(wù)協(xié)議、內(nèi)容及管理辦法是否符合供應(yīng)鏈安全防護(hù)要求。

 

所依賴環(huán)境的信息安全

  • 核查業(yè)務(wù)數(shù)據(jù)備份、恢復(fù)與可用性機(jī)制,敏感數(shù)據(jù)脫敏、加密情況,數(shù)據(jù)防篡改、越權(quán)訪問、泄露是否完備。
  • 檢查密鑰生成、分發(fā)、銷毀,密碼算法模式選擇與強(qiáng)度,以及數(shù)據(jù)生產(chǎn)、傳輸、存儲等環(huán)節(jié)安全防護(hù)。
  • 查看物理機(jī)房設(shè)備安全、供電安全、物理接口控制安全、設(shè)備訪問控制安全等防護(hù)措施。
  • 核實是否有防 APT 攻擊、防釣魚、防入侵、防病毒等設(shè)備和能力。
  • 確認(rèn)是否有信息安全應(yīng)急響應(yīng)機(jī)制和突發(fā)應(yīng)急事件處理預(yù)案。
  • 審查是否有完善的信息安全管理制度、信息安全培訓(xùn)機(jī)制和相應(yīng)保密教育措施。

 

盡管 IT 審計的內(nèi)容有點多,看起來也比較復(fù)雜,但這恰恰體現(xiàn)了其嚴(yán)謹(jǐn)所在。好了,以上就是關(guān)于IT審計重點的一些基礎(chǔ)介紹。如果你想要進(jìn)一步學(xué)習(xí)具體的IT審計方面的知識和方法,建議參加CISA信息系統(tǒng)審計師認(rèn)證培訓(xùn)

發(fā)表回復(fù)

您的電子郵箱地址不會被公開。 必填項已用*標(biāo)注

  • 2024-10-30 20:00
    嚴(yán)謹(jǐn)求實:安全評估和測試
  • 2024-10-31 20:00
    【延期到11/5】什么是數(shù)據(jù)標(biāo)準(zhǔn)?如何制定數(shù)據(jù)標(biāo)準(zhǔn)?這份指南送上
  • 2024-11-05 20:00
    什么是數(shù)據(jù)標(biāo)準(zhǔn)?如何制定數(shù)據(jù)標(biāo)準(zhǔn)?這份指南送上
  • 2024-11-07 20:00
    職場故事:從文科生到IT領(lǐng)域的轉(zhuǎn)型之路
  • 2024-11-08 14:00
    數(shù)字化人才的“1+X”證書策略!這樣安排,回報率最高
  • 2024-11-12 20:00
    流程框架與績效管理
  • 2024-11-14 20:00
    “一切皆項目”!IT經(jīng)理的項目管理之道
  • 2024-11-19 20:00
    流程體系建設(shè):組織之間的高效協(xié)同,流程管理體系構(gòu)建與落地
  • 2024-11-21 20:00
    神秘莫測:密碼學(xué)和加密解密
  • 2024-11-26 20:00
    職場故事:從在日工作的經(jīng)驗教訓(xùn)談職場需要的技能
  • 2024-11-28 20:00
    智能財務(wù)運(yùn)營的未來視角:RPA與AI技術(shù)的融合應(yīng)用
  • 2024-11-29 14:00
    周五課堂:如何帶團(tuán)隊?靠什么服眾?那些無處不在的“軟技能”
  • 更多直播講座
    小艾老師還在安排中…
查看全部 >

掃碼一鍵預(yù)約全部

查看更多 > 查看更多 >

數(shù)字化轉(zhuǎn)型8大核心認(rèn)證

  1. PMP項目管理認(rèn)證

    艾威最近一期班: 針對2025年03月考試
  2. CBAP業(yè)務(wù)分析認(rèn)證

    艾威最近一期班·開課時間: 2024-11-23
  3. CBPP流程管理認(rèn)證

    艾威最近一期班·開課時間: 2024-12-07
  4. ITIL4 IT管理認(rèn)證

    艾威最近一期班·開課時間: 2024-11-23
  5. TOGAF企業(yè)架構(gòu)認(rèn)證

    艾威最近一期班·開課時間: 2024-11-02
  6. CDMP數(shù)據(jù)管理認(rèn)證

    艾威最近一期班·開課時間: 2024-11-23
  7. CISA信息安全審計師認(rèn)證

    艾威最近一期班·開課時間: 2024-12-01
  8. CISSP信息安全專家認(rèn)證

    艾威最近一期班·開課時間: 2024-11-16
近期課程安排