原創(chuàng)2016-10-19小艾老師

CISA信息系統(tǒng)審計師認(rèn)證知識體系考證須知證書含金量培訓(xùn)大綱 3分鐘小視頻我要提問

CISA認(rèn)證是由信息系統(tǒng)審計與控制協(xié)會（ISACA）頒發(fā)的，針對信息系統(tǒng)審計、控制與安全領(lǐng)域的專業(yè)認(rèn)證。它表明持證人在評估和審計信息系統(tǒng)的安全性、可靠性和有效性方面具備專業(yè)知識和技能。CISA 認(rèn)證在信息技術(shù)和審計領(lǐng)域具有較高的認(rèn)可度。

中文名CISA信息系統(tǒng)審計師認(rèn)證
英文名Certified Information Systems Auditor
英文簡稱CISA
頒證機(jī)構(gòu)ISACA（國際信息系統(tǒng)審計與控制協(xié)會）
證書類別IT審計，IT運(yùn)維，信息安全
同類認(rèn)證CISM、CRISC

學(xué)員分享國際信息系統(tǒng)審計CISA認(rèn)證培訓(xùn)筆記

發(fā)布時間：2016.10.19

　　學(xué)員分享國際信息系統(tǒng)審計CISA認(rèn)證培訓(xùn)筆記，CISA(Certified Information System Auditor),國際注冊信息系統(tǒng)審計師,自1978年起,由國際信息系統(tǒng)審計和控制協(xié)會(ISACA)開始實(shí)施注冊。CISA已經(jīng)成為持證人在信息系統(tǒng)審計、控制與安全等專業(yè)領(lǐng)域中取得成就的象征，取得全球公認(rèn)。

　　以美國薩班斯（SOX）法案為代表的諸多國際標(biāo)準(zhǔn)對組織的IT審計工作提出了更高要求，在信息系統(tǒng)基礎(chǔ)設(shè)施運(yùn)營、信息資產(chǎn)保護(hù)、信息系統(tǒng)運(yùn)維、業(yè)務(wù)連續(xù)性等方面，都要求IT經(jīng)理和信息系統(tǒng)審計師必須掌握信息系統(tǒng)審計、控制與安全技術(shù)。

　　CISA信息系統(tǒng)審計師培訓(xùn)課程旨在培養(yǎng)這樣一批專家給人士，通過學(xué)習(xí)，熟悉信息系統(tǒng)管理核心要義，掌握信息系統(tǒng)的軟件、硬件、開發(fā)、運(yùn)營、維護(hù)、管理和安全相關(guān)知識，能夠利用規(guī)范和先進(jìn)的審計技術(shù)，對信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計、檢查、評價和改造。以下內(nèi)容為CISA培訓(xùn)機(jī)構(gòu)學(xué)員分享的內(nèi)容，提供大家參考.

　　_章IS審計過程

　　1.2信息系統(tǒng)審計職能管理

　　1.2.1審計組織

　　內(nèi)審：審計章程

　　_高管理層和審計委員會審批

　　責(zé)任、目標(biāo)（范圍）、權(quán)力（授權(quán)）

　　保持獨(dú)立性，向?qū)徲嬑瘑T會或_高管理層（董事會）報告

　　外審：正式合同/工作說明書

　　1.2.2審計資源管理

　　1、培訓(xùn)保持勝任能力

　　2、在制定審計計劃和向員工指派審計任務(wù)時，加以考慮審計師的技能培訓(xùn)。

　　3、基于組織落實(shí)相關(guān)風(fēng)險方面的組織方針，按年來制定培訓(xùn)計劃。

　　4、定期檢查，確保計劃與審計部分采取的方針一致。

　　5、IS審計管理層提供必要的IT資源實(shí)施專業(yè)化審計工作（軟件漏洞掃描、滲透測試）

　　1.2.3審計計劃

　　1、包括：年度計劃、單項(xiàng)審計任務(wù)

　　2、短期計劃（年內(nèi)處理的審計問題）、長期計劃（風(fēng)險相關(guān)問題的）與組織IT環(huán)境與戰(zhàn)略的變化相關(guān)

　　3、每年至少一次分析短期與長期計劃：關(guān)注新的控制問題、風(fēng)險、環(huán)境、技術(shù)、業(yè)務(wù)流程方面的變化等任何風(fēng)險環(huán)境的任何重要方面發(fā)生的變化（購置、新的法規(guī)、市場條件變化），分析結(jié)果交給審計委員會或_高管理層（董事會審查。

　　4、制定計劃時，

　　注意：

　　（1）理解整體被審計環(huán)境（包括對象的業(yè)務(wù)流程、法規(guī)環(huán)境、支持業(yè)務(wù)流程的技術(shù)和信息類型等）

　?。?）要按審計準(zhǔn)則來定計劃，要獲取一些信息：考慮審計對象在戰(zhàn)略規(guī)劃、財務(wù)、運(yùn)營方面涉及的審計領(lǐng)域與組織的關(guān)系（包括獲取戰(zhàn)略規(guī)劃、信息技術(shù)架構(gòu)、技術(shù)方向的內(nèi)容）

　　5、制定計劃的步驟：

　?。?）了解業(yè)務(wù)使命、目標(biāo)、目的、流程

　?。?）找出相關(guān)的規(guī)定：政策、法規(guī)、標(biāo)準(zhǔn)、指南、規(guī)程、組織結(jié)構(gòu)

　?。?）進(jìn)行風(fēng)險分析

　?。?）確定審計目標(biāo)與范圍

　　（5）確定審計方法和策略

　?。?）分配審計人力資源

　　CISA在制定審計計劃前先實(shí)施風(fēng)險分析

　　6、如何了解業(yè)務(wù)流？

　　（1）收集組織關(guān)鍵設(shè)施的信息

　?。?）閱讀背景資料

　　（3）檢查業(yè)務(wù)、IT長期戰(zhàn)略規(guī)劃

　　（4）訪談關(guān)鍵管理人員

　?。?）審閱以往的審計報告或IT相關(guān)報告

　?。?）識別：IT具體規(guī)章制度、IT職能與相關(guān)活動7、單項(xiàng)審計任務(wù)也要作計劃的

　　1.2.4法律法規(guī)對審計計劃的影響

　　1、要了解組織內(nèi)部、外部（行業(yè)、政府）的各種法規(guī)的要求

　　2、審計的法規(guī)要求，審計對象及其系統(tǒng)、數(shù)據(jù)管理、報告方面的法律要求3、如何確定一個組織遵守外部法規(guī)的程度？

　?。?）外部對哪些內(nèi)容是有要求？

　　電子數(shù)據(jù)、電子商務(wù)、電子簽名、版權(quán)計算機(jī)系統(tǒng)的控制、程序和數(shù)據(jù)的存儲方式信息技術(shù)的服務(wù)的組織或活動信息審計

　?。?）評估組織管理層制定計劃、政策、標(biāo)準(zhǔn)是否有遵守

　　（3）評估內(nèi)部IS部門、職能、活動上是否落實(shí)？

　?。?）組織是否有建立程序來落實(shí)？（包括與一些外部簽訂協(xié)議與合同中有體現(xiàn)？）

　　1.3審計準(zhǔn)則和指南

　　1.3.1職業(yè)道德規(guī)范

　　謹(jǐn)慎、客戶公正保護(hù)隱私與機(jī)密信息，不牟利不泄漏按要求披露報告不歪曲事實(shí)1.3.5準(zhǔn)則、指南、工具技術(shù)之間的關(guān)系

　　準(zhǔn)則指導(dǎo)審計師實(shí)施相應(yīng)的標(biāo)準(zhǔn)，并用工具和技術(shù)進(jìn)行專業(yè)性的判斷。

　　1.4風(fēng)險分析

　　1.風(fēng)險分析是審計計劃的一部分。

　　2、風(fēng)險評估步驟：

　　（1）識別業(yè)務(wù)、信息資產(chǎn)、支撐系統(tǒng)（組織_為敏感和關(guān)鍵的事物）

　?。?）風(fēng)險減緩

　　（3）風(fēng)險再評估

　　CISA是一個循環(huán)反復(fù)的周期

　　CISA應(yīng)對風(fēng)險的控制措施進(jìn)行成本效益分析：

　　控制風(fēng)險成本與降低風(fēng)險所得的收益管理層的風(fēng)險偏好

　　優(yōu)先選用哪一種風(fēng)險降低的方法

　　1.5內(nèi)部控制

　　1、董事會和高級管理層要促進(jìn)建立有效的內(nèi)部控制體系，持續(xù)監(jiān)督其有效性。2、內(nèi)控要落實(shí)：達(dá)到什么要避免什么

　　3、內(nèi)控的性質(zhì)分為：預(yù)防、檢測、糾正三類

　　4、控制的目標(biāo)：有效性、效率、機(jī)密性、完整性、可用性、可靠性、合規(guī)性

【艾威（中國）】簡介：

　　艾威（AVTECH）總部設(shè)在美國NEW JERSEY，是北美排行_的專業(yè)培訓(xùn)機(jī)構(gòu),設(shè)有4大分校，數(shù)十個培訓(xùn)點(diǎn)遍布北美、西歐和東亞;2000年進(jìn)入中國，以培養(yǎng)國際化的中高端信息人才為己任,專注于國際前沿的新技術(shù)研發(fā)與信息科技新興行業(yè)的開拓教育。

　　艾威培訓(xùn)（Avtech Institute of Technology)，源于美國，始于1998；是北美著名的培訓(xùn)機(jī)構(gòu)，公司總部位于美國新澤西州，2000年進(jìn)入中國，以培養(yǎng)國際化的中高端信息人才為己任,專注于國際前沿的新技術(shù)研發(fā)新興行業(yè)的開拓教育,艾威主要的服務(wù)為培訓(xùn)與咨詢兩大類，目前培訓(xùn)的主要產(chǎn)品有：項(xiàng)目管理培訓(xùn)、IT管理培訓(xùn)、IT技術(shù)培訓(xùn)、云計算大數(shù)據(jù)培訓(xùn)、需求管理培訓(xùn)、產(chǎn)品管理培訓(xùn)，信息安全類，AI人工智能等....近十類上幾百門的課程的培訓(xùn)與咨詢服務(wù)。
　　艾威進(jìn)入中國這十八年來已經(jīng)服務(wù)了超過5000多家客戶，獲得了良好的口碑！也成為了眾多500強(qiáng)企業(yè)指定的培訓(xùn)服務(wù)供應(yīng)商.
　　● 艾威培訓(xùn)(Avtech Institute of Technology)，源于美國，始于1998.
　　● 艾威培訓(xùn)(Avtech Institute of Technology)是Prometric，VUE，PSI等眾多國際認(rèn)證中心授權(quán)的考點(diǎn)

　　● 2003年成為國際項(xiàng)目管理協(xié)會PMI授權(quán)的全球(PMP,PGMP,ACP,PBA)教育機(jī)構(gòu)

　　● 2008年成為國際需求管理協(xié)會IIBA授權(quán)的全球(CCBA,CBAP)教育機(jī)構(gòu)

　　● 2012年成為IT服務(wù)管理官方EXIN授權(quán)的ITIL，ITIL EXPERT,Prince2,EXIN Agile Scrum Master教育機(jī)構(gòu)

　　● 2016年成為國際信息審計協(xié)會ISACA授權(quán)的CISA,CISM,CRISC,CGEIT,COBIT教育機(jī)構(gòu)

　　● 2017年成為The Open Group授權(quán)的TOGAF企業(yè)架構(gòu)的官方培訓(xùn)機(jī)構(gòu)。
　　● 2017年成為EPI 授權(quán)的數(shù)據(jù)中心CDCP培訓(xùn)機(jī)構(gòu)，華東地區(qū)_CDCP授權(quán)培訓(xùn)機(jī)構(gòu)，同時也是CDCP認(rèn)證考試考場。
　　● 2017年成為國際外包專業(yè)協(xié)會(IAOP)_授權(quán)外包治理國際認(rèn)證SGF(Sourcing GovernanceFoundation)。

本文來自于艾威培訓(xùn)

轉(zhuǎn)載請注明：http://m.noiremagazine.com/news/1639.html

上一篇：艾威分享PMI-PBA道德與職業(yè)行為準(zhǔn)則

下一篇：CISA認(rèn)證培訓(xùn)的內(nèi)容和對象有哪些

贊