400-888-5228

CISA認(rèn)證是由信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)頒發(fā)的,針對(duì)信息系統(tǒng)審計(jì)、控制與安全領(lǐng)域的專業(yè)認(rèn)證。它表明持證人在評(píng)估和審計(jì)信息系統(tǒng)的安全性、可靠性和有效性方面具備專業(yè)知識(shí)和技能。CISA 認(rèn)證在信息技術(shù)和審計(jì)領(lǐng)域具有較高的認(rèn)可度。

  • 中文名CISA信息系統(tǒng)審計(jì)師認(rèn)證
  • 英文名Certified Information Systems Auditor
  • 英文簡(jiǎn)稱CISA
  • 頒證機(jī)構(gòu)ISACA(國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì))
  • 證書類別IT審計(jì),IT運(yùn)維,信息安全
  • 同類認(rèn)證CISMCRISC

01

做IT 審計(jì),一開始就是通過和被審計(jì)公司具體系統(tǒng)或平臺(tái)的技術(shù)負(fù)責(zé)人、業(yè)務(wù)負(fù)責(zé)人調(diào)研訪談,去了解被審計(jì)公司(項(xiàng)目)的建設(shè)背景、需求、目的、實(shí)施運(yùn)行的情況和效果,還有技術(shù)實(shí)現(xiàn)辦法、功能架構(gòu)、技術(shù)架構(gòu)、業(yè)務(wù)架構(gòu)、安全架構(gòu)、部署架構(gòu)、容災(zāi)方案這些。

 

再去看看相關(guān)系統(tǒng)或平臺(tái)的設(shè)計(jì)文檔、運(yùn)行數(shù)據(jù)、日志記錄、功能實(shí)現(xiàn)、應(yīng)急預(yù)案等,來評(píng)估建設(shè)、運(yùn)行、維保階段費(fèi)用支出合不合理、有沒有效,還有項(xiàng)目運(yùn)行安不安全、可不可靠、穩(wěn)不穩(wěn)定、能不能擴(kuò)展等。

 

還有抽查一下公司業(yè)務(wù)(項(xiàng)目)的全生命周期里相關(guān)配套文檔全不全,建設(shè)過程有沒有完整的管理控制辦法,運(yùn)行期間數(shù)據(jù)完不完整、生產(chǎn)數(shù)據(jù)和消費(fèi)數(shù)據(jù)一不一樣這些。

 

通過對(duì)公司(項(xiàng)目)的調(diào)研數(shù)據(jù)的抽樣整理、問題分析歸納以及必要的穿行測(cè)試,總結(jié)出核心問題、差異問題和共性問題,_后提出能執(zhí)行的改進(jìn)建議。

 

IT審計(jì)要做的,大致就是這么些事情。

IT審計(jì)應(yīng)該怎么做?審計(jì)哪些東西?哪些是需要特別關(guān)注的? -- 第1張

02

那么,審計(jì)的重點(diǎn),應(yīng)該放在哪些地方呢?

 

1)評(píng)估業(yè)務(wù)流程的復(fù)雜程度

 

首先我們要把與財(cái)務(wù)相關(guān)的業(yè)務(wù)流程梳理出來,不同公司(項(xiàng)目)關(guān)注的重點(diǎn)不一樣。比如說電商行業(yè)或者零售行業(yè)可能更會(huì)關(guān)注它的銷售流程;而制造業(yè)的話,相對(duì)來說更會(huì)關(guān)注它的生產(chǎn)流程;在舞弊可能發(fā)生較大的行業(yè),可能會(huì)更為關(guān)注采購(gòu)流程。

 

對(duì)于不同項(xiàng)目,我們先得做基礎(chǔ)的判斷,明確這家公司哪些流程應(yīng)重點(diǎn)關(guān)注,接著針對(duì)梳理出的流程清單進(jìn)一步拆解,評(píng)估流程處理過程中是否涉及復(fù)雜公式或大量數(shù)據(jù)錄入,哪些是手工處理,哪些是自動(dòng)化實(shí)現(xiàn),還要和財(cái)務(wù)審計(jì)團(tuán)隊(duì)緊密溝通,了解生成報(bào)告過程中對(duì)系統(tǒng)的依賴程度,是否依賴自動(dòng)化控制等。

 

對(duì)于業(yè)務(wù)流程的檢查,主要是核查對(duì)業(yè)務(wù)流程以及費(fèi)用的控制。

 

業(yè)務(wù)審核清單:

  • 業(yè)務(wù)流程在信息系統(tǒng)中的實(shí)現(xiàn)情況。
  • 業(yè)務(wù)系統(tǒng)對(duì)業(yè)務(wù)邏輯的支持和遵循程度。
  • 業(yè)務(wù)數(shù)據(jù)在系統(tǒng)中的流轉(zhuǎn)和準(zhǔn)確性。
  • 業(yè)務(wù)系統(tǒng)中關(guān)鍵業(yè)務(wù)節(jié)點(diǎn)的控制措施。
  • 業(yè)務(wù)系統(tǒng)與相關(guān)業(yè)務(wù)系統(tǒng)的集成和協(xié)同效果。
  • 業(yè)務(wù)系統(tǒng)的用戶體驗(yàn)和對(duì)業(yè)務(wù)效率的影響。
  • 業(yè)務(wù)系統(tǒng)中業(yè)務(wù)權(quán)限的分配合理性。
  • 業(yè)務(wù)操作的痕跡和可追溯性。

 

費(fèi)用審核清單:

  • 信息化項(xiàng)目費(fèi)用預(yù)算的合理性。
  • 信息化項(xiàng)目費(fèi)用支出與預(yù)算的對(duì)比。
  • 各項(xiàng)費(fèi)用明細(xì)的合規(guī)性。
  • 硬件設(shè)備采購(gòu)價(jià)格的合理性。
  • 軟件授權(quán)費(fèi)用的準(zhǔn)確性。
  • 服務(wù)費(fèi)用的計(jì)費(fèi)依據(jù)和標(biāo)準(zhǔn)。
  • 費(fèi)用分?jǐn)偟暮侠硇浴?/li>
  • 項(xiàng)目成本控制措施的有效性。
  • 對(duì)費(fèi)用超支或節(jié)約情況的分析。
  • 費(fèi)用報(bào)銷流程的規(guī)范性。

 

2)評(píng)估IT系統(tǒng)的復(fù)雜程度

 

先要了解IT系統(tǒng)是自研還是外購(gòu),功能的復(fù)雜程度、是否為標(biāo)準(zhǔn)商業(yè)軟件、系統(tǒng)實(shí)施和運(yùn)行的參數(shù)設(shè)置復(fù)雜與否、上次系統(tǒng)架構(gòu)或版本重大變更時(shí)間、對(duì)財(cái)務(wù)系統(tǒng)影響大小以及變更后運(yùn)行時(shí)長(zhǎng)等綜合因素。

 

對(duì)于IT系統(tǒng)的審計(jì),主要是抽樣核查IT系統(tǒng)的完備性以及安全性。

 

完備性審查清單:

  • 抽樣核查項(xiàng)目依賴的 IT 資產(chǎn)(如數(shù)據(jù)庫、操作系統(tǒng))及硬件資源(如服務(wù)器、網(wǎng)絡(luò)/存儲(chǔ)設(shè)備等)是否完備且合理有效;
  • 核查核心與用戶數(shù)據(jù)的備份、還原機(jī)制、業(yè)務(wù)負(fù)載、監(jiān)控、容錯(cuò)、冗余及業(yè)務(wù)持續(xù)服務(wù)能力支撐是否具備;
  • 核查研發(fā)、測(cè)試、運(yùn)維、發(fā)布等環(huán)境在隔離、權(quán)責(zé)、安全、可靠性與穩(wěn)定性等方面的管理是否完整有效;
  • 核查業(yè)務(wù)生產(chǎn)與監(jiān)控等數(shù)據(jù)在產(chǎn)生、傳輸、歸檔、銷毀全流程的管理和運(yùn)維是否可審計(jì)、可追溯;
  • 核查項(xiàng)目建設(shè)與管理的規(guī)章制度及人員建設(shè),以防因 IT 管理制度與人員管理問題影響業(yè)務(wù)發(fā)展或造成不必要損害。

 

安全性審查清單:

所依賴軟硬件的供應(yīng)鏈安全

  • 檢查信息化項(xiàng)目依賴的系統(tǒng)、軟件、中間件、硬件、單片機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、傳感設(shè)備、核心部件等關(guān)鍵資源的供應(yīng)商、型號(hào)、版本信息。
  • 檢查是否有產(chǎn)品授權(quán)、知識(shí)產(chǎn)權(quán)、開源協(xié)議、他國(guó)出口管制技術(shù)等限制。
  • 確認(rèn)產(chǎn)品服務(wù)商的服務(wù)協(xié)議、內(nèi)容及管理辦法是否符合供應(yīng)鏈安全防護(hù)要求。

 

所依賴環(huán)境的信息安全

  • 核查業(yè)務(wù)數(shù)據(jù)備份、恢復(fù)與可用性機(jī)制,敏感數(shù)據(jù)脫敏、加密情況,數(shù)據(jù)防篡改、越權(quán)訪問、泄露是否完備。
  • 檢查密鑰生成、分發(fā)、銷毀,密碼算法模式選擇與強(qiáng)度,以及數(shù)據(jù)生產(chǎn)、傳輸、存儲(chǔ)等環(huán)節(jié)安全防護(hù)。
  • 查看物理機(jī)房設(shè)備安全、供電安全、物理接口控制安全、設(shè)備訪問控制安全等防護(hù)措施。
  • 核實(shí)是否有防 APT 攻擊、防釣魚、防入侵、防病毒等設(shè)備和能力。
  • 確認(rèn)是否有信息安全應(yīng)急響應(yīng)機(jī)制和突發(fā)應(yīng)急事件處理預(yù)案。
  • 審查是否有完善的信息安全管理制度、信息安全培訓(xùn)機(jī)制和相應(yīng)保密教育措施。

 

盡管 IT 審計(jì)的內(nèi)容有點(diǎn)多,看起來也比較復(fù)雜,但這恰恰體現(xiàn)了其嚴(yán)謹(jǐn)所在。好了,以上就是關(guān)于IT審計(jì)重點(diǎn)的一些基礎(chǔ)介紹。如果你想要進(jìn)一步學(xué)習(xí)具體的IT審計(jì)方面的知識(shí)和方法,建議參加CISA信息系統(tǒng)審計(jì)師認(rèn)證培訓(xùn)。

發(fā)表回復(fù)

您的電子郵箱地址不會(huì)被公開。 必填項(xiàng)已用*標(biāo)注

  • 2024-09-26 20:00
    職場(chǎng)故事:從戰(zhàn)略規(guī)劃到項(xiàng)目管理交付
  • 2024-10-10 20:00
    解決方案評(píng)價(jià):評(píng)估解決方案的高效績(jī)效工具
  • 2024-10-15 20:00
    研發(fā)績(jī)效管理:組織戰(zhàn)略如何解碼到績(jī)效指標(biāo)?組織績(jī)效與個(gè)人績(jī)效管理
  • 2024-10-17 20:00
    科學(xué)的降本增效
  • 2024-10-22 20:00
    職場(chǎng)故事:“煉金術(shù)”與數(shù)字的交響曲:一位化學(xué)研發(fā)工程師的職業(yè)升級(jí)之旅
  • 2024-10-24 20:00
    助力財(cái)務(wù)運(yùn)營(yíng)自動(dòng)化:機(jī)器人流程自動(dòng)化(RPA)技術(shù)的實(shí)際應(yīng)用
  • 2024-10-29 20:00
    職場(chǎng)故事:從在日工作的經(jīng)驗(yàn)教訓(xùn)談職場(chǎng)需要的技能
  • 2024-10-30 20:00
    嚴(yán)謹(jǐn)求實(shí):安全評(píng)估和測(cè)試
  • 2024-10-31 20:00
    什么是數(shù)據(jù)標(biāo)準(zhǔn)?如何制定數(shù)據(jù)標(biāo)準(zhǔn)?這份指南送上
  • 更多直播講座
    小艾老師還在安排中…
查看全部 >

掃碼一鍵預(yù)約全部

查看更多 > 查看更多 >

數(shù)字化轉(zhuǎn)型8大核心認(rèn)證

  1. PMP項(xiàng)目管理認(rèn)證

    艾威最近一期班: 針對(duì)2025年03月考試
  2. CBAP業(yè)務(wù)分析認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-11-23
  3. CBPP流程管理認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-12-07
  4. ITIL4 IT管理認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-10-26
  5. TOGAF企業(yè)架構(gòu)認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-11-02
  6. CDMP數(shù)據(jù)管理認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-11-23
  7. CISA信息安全審計(jì)師認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-12-01
  8. CISSP信息安全專家認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-11-16
近期課程安排