數(shù)字化人才18大能力 > IT GRC能力 > CISA

CISA?
400-888-5228

CISA報考指南及考試大綱 點擊獲取考試大綱

CISA適合哪些人?你的條件適合報考嗎?

主要適合希望成為負責處理信息系統(tǒng)設(shè)計和運營方面的控制、IT審計、 IT 管理的專業(yè)人員

  • IT經(jīng)理、信息安全經(jīng)理
  • 信息系統(tǒng)審計專業(yè)人士、內(nèi)部審計人員、外部審計人員、內(nèi)控與合規(guī)人員
  • 審計從業(yè)者和咨詢顧問、IT審計人員
  • CEO, CFO, CIO /信息中心主任
  • 負責信息系統(tǒng)安全管理和規(guī)劃的經(jīng)理,信息安全業(yè)內(nèi)人士
  • 把握信息時代趨勢的中高級管理者,CPA財務(wù)專家等

報考無要求,但拿CISA認證需要五年以上(含)信息系統(tǒng)審計、控制、鑒證或安全工作經(jīng)驗。最長可抵減三年。(詳見這里>>)

CISA考試基本信息
考試語言中文考試/英文考試(考生任選其中一種)
考試形式在線機考
考試費用詳詢艾威課程顧問
考試時間隨約隨考
考試時長

4 小時(國內(nèi)線下考場考試時間: 09:00-13:00/13:00-17:00)

考試題型

150 道單選題。

通過條件

獲得標準分 450 分通過(滿分 800 分),即110 題及格。

CISA考試大綱/考試內(nèi)容
  • 領(lǐng)域 1:信息系統(tǒng)審計流程(18%)
  • 領(lǐng)域 2:IT 的治理和管理(18%)
  • 領(lǐng)域 3:信息系統(tǒng),采購,開發(fā)和實施(12%)
  • 領(lǐng)域 4:信息系統(tǒng)運營和業(yè)務(wù)彈性(26%)
  • 領(lǐng)域 5:信息資產(chǎn)保護(26%)

試題涉及 ISACA 公布考綱中的知識領(lǐng)域,但不會按范疇分類。
試題覆蓋廣泛不會特別關(guān)注某些系統(tǒng)或軟件??忌韪鶕?jù)公認的信息系統(tǒng)審計原則給予正確答案。

自2024年8月1日起,CISA開始新版考試(新教材將于5月1日發(fā)布),詳情請參照:《重要!CISA新版教材于2024年5月1日更新,到底發(fā)生了哪些變化?》

CISA考試內(nèi)容大綱

18%-領(lǐng)域 1:信息系統(tǒng)的審計流程
該領(lǐng)域提供行業(yè)標準的審計服務(wù),以幫助組織保護和控制信息系統(tǒng),從而證明您對組織的IS/IT安全、風(fēng)險和控制解決方案的狀態(tài)提供結(jié)論的可信度。

A-規(guī)劃
1 審計標準、準則和道德規(guī)范
2 審計、評估和審查的類型
3 基于風(fēng)險的審計規(guī)劃
4 控制類型和注意事項
B-執(zhí)行
1 審計項目管理
2 審計測試和抽樣方法
3 審計證據(jù)收集技術(shù)
4 審計數(shù)據(jù)分析
5 報告和溝通技巧
6 審計過程的質(zhì)量_和改進

18%-領(lǐng)域 2:IT 治理與管理
該領(lǐng)域向利益相關(guān)者證實了您識別關(guān)鍵問題和推薦特定于企業(yè)的實踐以支持和保護信息和相關(guān)技術(shù)的治理的能力。

A-IT治理
1 法律、法規(guī)和行業(yè)標準
2 組織結(jié)構(gòu)、IT治理和IT戰(zhàn)略
3 IT政策、標準、程序和實踐
4 企業(yè)架構(gòu)和考慮事項
5 企業(yè)風(fēng)險管理
6 隱私計劃和原則
7 數(shù)據(jù)治理和分類
B-IT管理
1 IT資源管理
2 IT供應(yīng)商管理
3 IT性能監(jiān)控和報告
4 信息技術(shù)的質(zhì)量_和質(zhì)量管理

12%-領(lǐng)域 3:信息系統(tǒng)的購置、開發(fā)與實施
領(lǐng)域3和4不僅證明了您在IT控制方面的能力,還證明了您對IT與業(yè)務(wù)關(guān)系的理解。

A-信息系統(tǒng)的采購與開發(fā)
1 項目治理和管理
2 業(yè)務(wù)案例和可行性分析
3 系統(tǒng)開發(fā)方法
4 控制識別和設(shè)計
B-信息系統(tǒng)實施
1 系統(tǒng)準備和實施測試
2 實施配置和發(fā)布管理
3 系統(tǒng)遷移、基礎(chǔ)設(shè)施部署和數(shù)據(jù)轉(zhuǎn)換
4 實施后審查

26%-領(lǐng)域 4:信息系統(tǒng)的運營和業(yè)務(wù)恢復(fù)能力
領(lǐng)域3和4不僅證明了您在IT控制方面的能力,還證明了您對IT與業(yè)務(wù)關(guān)系的理解。

A-信息系統(tǒng)運營
1 IT組件
2 IT資產(chǎn)管理
3 作業(yè)調(diào)度和生產(chǎn)過程自動化
4 系統(tǒng)界面
5 影子IT和終端用戶計算
6 系統(tǒng)可用性和容量管理
7 問題和事件管理
8 IT變更、配置和補丁管理
9 操作日志管理
10 IT服務(wù)級別管理
11 數(shù)據(jù)庫管理
B-業(yè)務(wù)恢復(fù)能力
1 業(yè)務(wù)影響分析
2 系統(tǒng)恢復(fù)能力
3 數(shù)據(jù)備份、存儲和恢復(fù)
4 業(yè)務(wù)連續(xù)性計劃(BCP)
5 災(zāi)難恢復(fù)計劃(DRP)

26%-領(lǐng)域 5:信息資產(chǎn)保護
網(wǎng)絡(luò)安全現(xiàn)在幾乎觸及信息系統(tǒng)的每一個角色,了解其原則、_佳實踐和缺陷是領(lǐng)域5的一個主要焦點。

A-信息資產(chǎn)安全和控制
1 信息資產(chǎn)安全框架、標準和指導(dǎo)原則
2 物理和環(huán)境控制
3 身份和訪問管理
4 網(wǎng)絡(luò)和終端安全性
5 數(shù)據(jù)丟失預(yù)防
6 數(shù)據(jù)加密
7 公鑰基礎(chǔ)設(shè)施
8 云和虛擬化環(huán)境
9 移動、無線和物聯(lián)網(wǎng)設(shè)備
B-安全事件管理
1 安全意識培訓(xùn)和計劃
2 信息系統(tǒng)攻擊方法和技術(shù)
3 安全測試工具和技術(shù)
4 安全監(jiān)控工具和技術(shù)
5 安全事件響應(yīng)管理
6 證據(jù)收集和取證

任務(wù)

1 計劃審核以確定信息系統(tǒng)是否受到保護和控制,并為組織提供價值。
2 根據(jù)信息系統(tǒng)審計標準和基于風(fēng)險的信息系統(tǒng)審計策略進行審計。
3 將項目管理方法應(yīng)用到審計過程中。
4 與利益相關(guān)方溝通并收集關(guān)于審核進度、發(fā)現(xiàn)、結(jié)果和建議的反饋。
5 進行審計后跟進,以評估已識別的風(fēng)險是否已得到充分解決。
6 利用數(shù)據(jù)分析工具增強審計流程。
7 評估自動化和/或決策系統(tǒng)對組織的作用和/或影響。
8 評估審計流程,作為質(zhì)量_和改進計劃的一部分。
9 評估IT策略是否與組織的策略和目標一致。
10 評估IT治理結(jié)構(gòu)和IT組織結(jié)構(gòu)的有效性。
11 評估組織對IT策略和實踐的管理,包括遵守法律和法規(guī)要求。
12 評估IT資源和項目管理是否符合組織的戰(zhàn)略和目標。
13 評估組織的企業(yè)風(fēng)險管理(ERM)計劃。
14 確定組織是否定義了IT風(fēng)險、控制和標準的所有權(quán)。
15 評估IT關(guān)鍵績效指標(KPI)和IT關(guān)鍵風(fēng)險指標(kri)的監(jiān)控和報告。
16 評估組織繼續(xù)業(yè)務(wù)運營的能力。
17 評估組織的存儲、備份和恢復(fù)策略和流程。
18 評估與信息系統(tǒng)相關(guān)的業(yè)務(wù)案例是否符合業(yè)務(wù)目標。
19 評估IT供應(yīng)商選擇和合同管理流程是否符合業(yè)務(wù)、法律和法規(guī)要求。
20 評估供應(yīng)鏈的IT風(fēng)險因素和完整性問題。
21 評估信息系統(tǒng)開發(fā)生命周期所有階段的控制措施。
22 評估信息系統(tǒng)實施和遷移到生產(chǎn)環(huán)境的準備情況。
23 對系統(tǒng)進行實施后審查,以確定是否滿足項目可交付性、控制和要求。
24 評估是否有有效的流程來支持_終用戶。
25 評估IT服務(wù)管理實踐是否符合組織要求。
26 對信息系統(tǒng)和企業(yè)架構(gòu)(EA)進行定期審查,以確定與組織目標的一致性。
27 評估IT運營和維護實踐是否支持組織的目標。
28 評估組織的數(shù)據(jù)庫管理實踐。
29 評估組織的數(shù)據(jù)治理計劃。
30 評估組織的隱私計劃。
31 評估數(shù)據(jù)分類做法是否符合組織的數(shù)據(jù)治理計劃、隱私計劃和適用的外部要求。
32 評估組織的問題和事件管理計劃。
33 評估組織的變更、配置、發(fā)布和補丁管理計劃。
34 評估組織的日志管理計劃。
35 評估組織與資產(chǎn)生命周期管理相關(guān)的政策和實踐。
36 評估與影子IT和終端用戶計算(EUC)相關(guān)的風(fēng)險,以確定補償控制的有效性。
37 評估組織的信息安全計劃。
38 評估組織的威脅和漏洞管理計劃。
39 利用技術(shù)安全測試來識別潛在的漏洞。
40 評估邏輯、物理和環(huán)境控制,以驗證信息資產(chǎn)的機密性、完整性和可用性。
41 評估組織的安全意識培訓(xùn)計劃。
42 為組織提供指導(dǎo),以提高信息系統(tǒng)的質(zhì)量和控制。
43 評估與新興技術(shù)、法規(guī)和行業(yè)實踐相關(guān)的潛在機會和風(fēng)險。

* 以上內(nèi)容參考ISACA官方的CISA考試內(nèi)容說明,原文內(nèi)容參見:https://www.isaca.org/credentialing/cisa/cisa-exam-content-outline

ISACA官方考試說明,在線預(yù)覽↓↓↓

ISACA-Exam-Candidate-Guide

點擊獲取《ISACA考試認證手冊(含CISA考試說明)》[PDF]

點擊進行CISA考試樣題測試[在線/英文]

CISA考試及認證申請常見問題

1、ISACA是什么機構(gòu)?
答:ISACA( www.isaca.org )在全球140 多個國家擁有超過100000 名成員,是獲得公認的IT管理、控制、安全及_上的全球_者。該組織成立于1969 年,主要負責主辦國際會議和出版《信息系統(tǒng)控制期刊》(Information Systems Control Journal),制定國際信息系統(tǒng)查核和控制標準,負責CISA、CISM 、COBIT、CGEIT 、CDPSE等認證。

2、CISA認證適合什么樣的情況?
答:CISA認證適用于信息系統(tǒng)審計人員、信息化咨詢顧問、信息系統(tǒng)管理人員。
一般工作在企業(yè)內(nèi)審或信息中心、管理咨詢公司、較大的事務(wù)所(大所才有IT審計的項目)、信息安全廠商或服務(wù)提供商。重點集中在那些對信息化程度依賴較高、風(fēng)險較大的行業(yè),如:金融證券行業(yè)。

3、CISA認證對計算機或?qū)徲嫹矫娴囊螅?/strong>
答:對審計人員來說,CISA考試僅僅是將審計環(huán)境替換為在信息系統(tǒng)環(huán)境下。審計的理念和方法是一致的,核心還是多了解信息技術(shù)方面的內(nèi)容,信息技術(shù)方面對審計師并不要求精通,考的較基礎(chǔ)。反過來說,如果計算機方面有基礎(chǔ),可以把重點放在審計部分,特別是內(nèi)審理念和思維方式的培養(yǎng)上。

4、CISA會員與非會員區(qū)別?
答:成為會員沒有限制,只需要_次繳費注冊費、官方會費、香港分會會費,然后以后每年按年度交會費,即可保持ISACA會員資格。

會員與非會員的區(qū)別如下:

會員:
①考試費報名優(yōu)惠:參加官方大陸
②1小時的講座(CISA基本介紹);
③可在官方免費下載一些資料(注:考試用書、教材輔導(dǎo)資料和習(xí)題等需要購買);
④可參加官方的活動賺取CPE(活動、做題等);訂購官方書籍有優(yōu)惠。

非會員:以上均無。

5、CISA考試主要考哪些內(nèi)容?
答:主要有五個部分,分別是:
1)信息系統(tǒng)審計流程 (21%)—遵照 IT 審計標準提供審計服務(wù),以幫助組織保護和控制其信息系統(tǒng)。
2)IT治理和管理 (17%)—用以確保具備必要的領(lǐng)導(dǎo)層、組織結(jié)構(gòu)及流程來實現(xiàn)相關(guān)目標和支持組織戰(zhàn)略。
3)信息系統(tǒng)購置、開發(fā)與實施 (12%)—用以確保信息系統(tǒng)的購置、開發(fā)、測試和實施實務(wù)符合組織的戰(zhàn)略與目標。
4)信息系統(tǒng)的運營和業(yè)務(wù)恢復(fù)能力(23%)—用以確保信息系統(tǒng)的操作、維護與支持流程符合組織的戰(zhàn)略與目標。
5)信息資產(chǎn)的保護 (27%)—用以確保組織的安全政策、標準、規(guī)程和控制能夠_信息資產(chǎn)的機密性、完整性和可用性。

6、CISA每年有幾次考試?國內(nèi)考點分別是什么地方?
答:CISA是機考,可隨約隨考(提前1-4周做報考即可,對報考沒有次數(shù)和時間上的限制),可以在全球授權(quán)的PSI線下考試中心進行在線考試(遠程監(jiān)考)??忌梢栽诰W(wǎng)上報名,報名方式:登陸ISACA網(wǎng)站[http://www.isaca.org/],網(wǎng)上填寫英文報名表,繳納美元完成報考手續(xù)??荚嚽?-3周, 考生收到CISA考試入場券,艾威學(xué)員尊享全程代報名服務(wù),詳詢艾威課程顧問。

全國20多個城市有考點,目前中國有以下城市覆蓋PSI機考考場: 北京,上海,廣州,深圳,成都,重慶,大連,杭州,濟南,南京,沈陽,天津,西安,鄭州,福州,合肥,長沙,寧波,南寧,溫州,貴陽,香港,臺灣,澳門。

7、參加CISA考試認證有沒有資格上的要求?
答:參加考試無要求,但通過考試后申請證書需要滿足工作經(jīng)驗要求才能獲得CISA證書。
若想成為注冊信息系統(tǒng)審計師,申請人必須:

1)取得 CISA 考試的及格分數(shù)。僅通過 CISA 考試,但是未能取得以下所列工作經(jīng)驗時,考試成績只能維持五年有效。如果申請人未能在五年內(nèi)達到 CISA 的認證要求,則考試成績將失效。

2)提供從事信息系統(tǒng)審計、控制、鑒證或安全工作 5 年工作經(jīng)驗的確認證明表。工作經(jīng)驗必須在認證申請日之前的十年內(nèi),或_初通過考試之日起的五年內(nèi)獲得。

具有下列同等經(jīng)驗者,可按規(guī)定申請抵減,抵減額度_高為三年:

■ _多可以用 1 年的信息系統(tǒng)經(jīng)驗或一年非信息系統(tǒng)審計經(jīng)驗抵減一年的工作經(jīng)驗。

■ 完成 60-120 大學(xué)學(xué)分(相當于兩年或四年大學(xué)學(xué)歷),不受 10 年先前經(jīng)驗的限制,可以相應(yīng)抵減一年或兩年的工作經(jīng)驗。

■ 在開設(shè) ISACA 模型課程的大學(xué)中獲得學(xué)士或碩士學(xué)位可抵 1 年的工作經(jīng)驗。如果已經(jīng)使用三年經(jīng)驗抵減和教育豁免的規(guī)定,則不能使用本項規(guī)定。

■ 從鑒定認可的大學(xué)的信息安全或信息技術(shù)專業(yè)畢業(yè)的碩士學(xué)位可抵減 1 年的工作經(jīng)驗。

例外:兩年相關(guān)領(lǐng)域(例如,計算機科學(xué)、會計、信息系統(tǒng)審計等)內(nèi)大學(xué)全職講師工作經(jīng)驗可抵減一年的工作經(jīng)驗。

例如,做為_低要求(假設(shè)以 120 個大學(xué)學(xué)分來抵減兩年的工作經(jīng)驗),申請人必須有三年的實際工作經(jīng)驗。該經(jīng)驗可以由以下方式來獲得:

■ 三年信息系統(tǒng)審計、控制、鑒證或安全領(lǐng)域工作經(jīng)驗

■ 兩年信息系統(tǒng)審計、控制、鑒證或安全領(lǐng)域工作經(jīng)驗再加上一年非信息系統(tǒng)審計或信息系統(tǒng)工作經(jīng)驗或兩年全職大學(xué)講師的經(jīng)驗。

需要特別注意的是,許多人都選擇在達到經(jīng)驗要求之前參加 CISA 考試。此種做法是可以接受的,也是值得鼓勵的,但 CISA 認證資格只有在達到所有要求之后才會授予。

3)同意遵守 ISACA 的《職業(yè)道德規(guī)范》

4)同意遵守 ISACA 所采用的《信息系統(tǒng)審計標準》

5)同意遵守《注冊信息系統(tǒng)審計師繼續(xù)職業(yè)教育政策(CPE)》

8、CISA考試要考幾科,每科多少題目?
答:CISA考試只有一科,考題為150道單選題,試題可能會有兩個甚至多個正確的答案,在考試中考生只要選中其中一個(只能選一個)你認為_優(yōu)的答案就可以了。

9、CISA考試總分多少,多少分通過?
答:共計800分,450分通過。450分是指比例分數(shù)。舉例來說:比例分數(shù)為800的代表滿分,所有問題全部回答正確;比例分數(shù)為200的是_低分數(shù),表示只回答對了其中少數(shù)問題??忌姆謹?shù)必須達到450或更高才可以通過考試。450分代表由ISACA的CISA認證委員會所制定的_低的統(tǒng)一知識標準。

10、CISA考試的語種選擇?
答:自2007年12月開始,ISACA有中文簡體試卷。2011年3月份開始,ISACA有中文簡體考試資料??忌趫竺麜r可以選擇自己喜歡或熟悉的語種。包括簡體中文、繁體中文、英語、法語、德語、西班牙語、荷蘭語、意大利語、日語、韓語文和希伯來語等多種考試語言,2023年新增葡萄牙語。

11、CISA如何領(lǐng)取準考證?
答:在CISA考試前2到3周,考生會收到來自 ISACA 的書面準考證以及電子準考證或直接上官網(wǎng)打印準考證。
準考證上標明了考試的日期、入場登記時間與考試地點、當天日程安排以及參加 CISA 考試必須攜帶的材料??忌梢詰{借打印的電子準考證或準考證原件進入考場。除非聯(lián)系信息發(fā)生變更,否則考生不應(yīng)在準考證上涂寫。

12、CISA報名后如果時間來不及,是否可以退款或緩考?
答:可以退款或緩考。無法參加考試的申請人可以在指定日期前要求退還報名費,退款中將扣除手續(xù)費。
考試報名者也可以在指定日期前選擇將考試日期延至以后考試日。緩考費用根據(jù)申請緩考時間不同而不同。學(xué)習(xí)資料以及相關(guān)稅款、郵資、處理費或會員費不予退還或退換??荚噲竺M和會員費不可轉(zhuǎn)讓。

13、應(yīng)該如何選擇CISA學(xué)習(xí)資料?
答:在輔導(dǎo)書上建議選用ISACA官方出版的《CISA Review Manual》,中文名稱是《CISA考試復(fù)習(xí)手冊》。教材每年更新。目前_新版是第27版。

14、CISA考試是筆試還是機考?
答:目前沒有采用計算機考試,仍然是筆試涂寫答題卡的方式。

15、CISA考試成績?nèi)绾喂迹?/strong>
答:考試之日起約四到八周,考生將接到郵寄的正式考試成績通知。此外,如果考生在報名過程中注明同意,則我們還可以為考生發(fā)送電子郵件,其中包含考生及格/不及格的情況以及考試得分。

16. CISA報名之后官方如何審核資格?
答:考試通過后ISACA會在全球抽調(diào)5-10%進行審核,方式為:發(fā)送郵件給考試通過后工作經(jīng)驗證明簽字人的郵箱,確認相關(guān)資。

17. 是不是一定需要CISA(審計)方面的工作經(jīng)驗才能拿到證書 ?
答:ISACA要求需要具備IT審計、安全、鑒證相關(guān)工作經(jīng)驗,_高學(xué)歷或?qū)I(yè)、或大學(xué)講師資歷可以抵消至二年工作經(jīng)驗,范圍很大;

18. CISA考試難度如何 ?
答:難度因人而異,但整體的反饋是不難的,官方的通過律為45%左右,只要自己肯學(xué)就沒問題。CISA是一個國際性的考試,中文或英文或其他語言,對于CISA只是一個考試語言種類的增加,難度并沒有降低。不能說只要國際認證有了中文考試含金量就低了,認證考試的目的,一個是學(xué)習(xí)、一個是拿證,不要想拿了哪個證就能馬上有多么好的工作。

CISA報考流程

審核報考資格去審核

參加培訓(xùn)課程填寫報名表→開始學(xué)習(xí)→獲得報考資質(zhì)
*艾威(授權(quán)機構(gòu))出具培訓(xùn)證明

參加考試約考→考試→申請證書(申領(lǐng)/續(xù)證)
*艾威提供全程服務(wù),歡迎咨詢

以我現(xiàn)在的基礎(chǔ),考CISA能考幾分?

CISA考試難不難?通過率怎么樣? 預(yù)約模擬自測
艾威數(shù)字化人才培訓(xùn)中心
培養(yǎng)新時代“數(shù)字化”關(guān)鍵人才,定制綜合培訓(xùn)方案
  • 艾威擁有20年職業(yè)認證培訓(xùn)經(jīng)驗,考證書、評職稱、職業(yè)規(guī)劃、能力提升,我們以培養(yǎng)數(shù)字化頂尖人才為己任
  • 艾威擁有30多家國際權(quán)威廠商授權(quán)資質(zhì),引入國際前沿數(shù)字化技術(shù)與知識體系,為學(xué)員提供正規(guī)課程培訓(xùn)
  • 艾威的課程覆蓋“管理與商業(yè)”、“IT管理與運營”、“數(shù)字化技術(shù)”三大領(lǐng)域的18大能力,幫助學(xué)員成為高級職業(yè)經(jīng)理人、成為數(shù)字化管理與技術(shù)方面的專業(yè)人才
  • 艾威數(shù)字化人才培訓(xùn)中心,針對數(shù)字化人才的18大能力提供完整的培訓(xùn)方案,從思維養(yǎng)成、實踐與工具以及認證備考3大模塊出發(fā),全面提升職場競爭力。