CISA認(rèn)證是由信息系統(tǒng)審計與控制協(xié)會(ISACA)頒發(fā)的,針對信息系統(tǒng)審計、控制與安全領(lǐng)域的專業(yè)認(rèn)證。它表明持證人在評估和審計信息系統(tǒng)的安全性、可靠性和有效性方面具備專業(yè)知識和技能。CISA 認(rèn)證在信息技術(shù)和審計領(lǐng)域具有較高的認(rèn)可度。
- 中文名CISA信息系統(tǒng)審計師認(rèn)證
- 英文名Certified Information Systems Auditor
- 英文簡稱CISA
- 頒證機構(gòu)ISACA(國際信息系統(tǒng)審計與控制協(xié)會)
- 證書類別IT審計,IT運維,信息安全
- 同類認(rèn)證CISM、CRISC
學(xué)員分享國際信息系統(tǒng)審計CISA認(rèn)證培訓(xùn)筆記
發(fā)布時間:2016.10.19
學(xué)員分享國際信息系統(tǒng)審計CISA認(rèn)證培訓(xùn)筆記,CISA(Certified Information System Auditor),國際注冊信息系統(tǒng)審計師,自1978年起,由國際信息系統(tǒng)審計和控制協(xié)會(ISACA)開始實施注冊。CISA已經(jīng)成為持證人在信息系統(tǒng)審計、控制與安全等專業(yè)領(lǐng)域中取得成就的象征,取得全球公認(rèn)。
以美國薩班斯(SOX)法案為代表的諸多國際標(biāo)準(zhǔn)對組織的IT審計工作提出了更高要求,在信息系統(tǒng)基礎(chǔ)設(shè)施運營、信息資產(chǎn)保護、信息系統(tǒng)運維、業(yè)務(wù)連續(xù)性等方面,都要求IT經(jīng)理和信息系統(tǒng)審計師必須掌握信息系統(tǒng)審計、控制與安全技術(shù)。
CISA信息系統(tǒng)審計師培訓(xùn)課程旨在培養(yǎng)這樣一批專家給人士,通過學(xué)習(xí),熟悉信息系統(tǒng)管理核心要義,掌握信息系統(tǒng)的軟件、硬件、開發(fā)、運營、維護、管理和安全相關(guān)知識,能夠利用規(guī)范和先進的審計技術(shù),對信息系統(tǒng)的安全性、穩(wěn)定性和有效性進行審計、檢查、評價和改造。以下內(nèi)容為
CISA培訓(xùn)機構(gòu)學(xué)員分享的內(nèi)容,提供大家參考.
_章IS審計過程
1.2信息系統(tǒng)審計職能管理
1.2.1審計組織
內(nèi)審:審計章程
_高管理層和審計委員會審批
責(zé)任、目標(biāo)(范圍)、權(quán)力(授權(quán))
保持獨立性,向?qū)徲嬑瘑T會或_高管理層(董事會)報告
外審:正式合同/工作說明書
1.2.2審計資源管理
1、培訓(xùn)保持勝任能力
2、在制定審計計劃和向員工指派審計任務(wù)時,加以考慮審計師的技能培訓(xùn)。
3、基于組織落實相關(guān)風(fēng)險方面的組織方針,按年來制定培訓(xùn)計劃。
4、定期檢查,確保計劃與審計部分采取的方針一致。
5、IS審計管理層提供必要的IT資源實施專業(yè)化審計工作(軟件漏洞掃描、滲透測試)
1.2.3審計計劃
1、包括:年度計劃、單項審計任務(wù)
2、短期計劃(年內(nèi)處理的審計問題)、長期計劃(風(fēng)險相關(guān)問題的)與組織IT環(huán)境與戰(zhàn)略的變化相關(guān)
3、每年至少一次分析短期與長期計劃:關(guān)注新的控制問題、風(fēng)險、環(huán)境、技術(shù)、業(yè)務(wù)流程方面的變化等任何風(fēng)險環(huán)境的任何重要方面發(fā)生的變化(購置、新的法規(guī)、市場條件變化),分析結(jié)果交給審計委員會或_高管理層(董事會審查。
4、制定計劃時,
注意:
?。?)理解整體被審計環(huán)境(包括對象的業(yè)務(wù)流程、法規(guī)環(huán)境、支持業(yè)務(wù)流程的技術(shù)和信息類型等)
(2)要按審計準(zhǔn)則來定計劃,要獲取一些信息:考慮審計對象在戰(zhàn)略規(guī)劃、財務(wù)、運營方面涉及的審計領(lǐng)域與組織的關(guān)系(包括獲取戰(zhàn)略規(guī)劃、信息技術(shù)架構(gòu)、技術(shù)方向的內(nèi)容)
5、制定計劃的步驟:
?。?)了解業(yè)務(wù)使命、目標(biāo)、目的、流程
?。?)找出相關(guān)的規(guī)定:政策、法規(guī)、標(biāo)準(zhǔn)、指南、規(guī)程、組織結(jié)構(gòu)
?。?)進行風(fēng)險分析
?。?)確定審計目標(biāo)與范圍
?。?)確定審計方法和策略
?。?)分配審計人力資源
CISA在制定審計計劃前先實施風(fēng)險分析
6、如何了解業(yè)務(wù)流?
(1)收集組織關(guān)鍵設(shè)施的信息
?。?)閱讀背景資料
?。?)檢查業(yè)務(wù)、IT長期戰(zhàn)略規(guī)劃
?。?)訪談關(guān)鍵管理人員
?。?)審閱以往的審計報告或IT相關(guān)報告
(6)識別:IT具體規(guī)章制度、IT職能與相關(guān)活動7、單項審計任務(wù)也要作計劃的
1.2.4法律法規(guī)對審計計劃的影響
1、要了解組織內(nèi)部、外部(行業(yè)、政府)的各種法規(guī)的要求
2、審計的法規(guī)要求,審計對象及其系統(tǒng)、數(shù)據(jù)管理、報告方面的法律要求3、如何確定一個組織遵守外部法規(guī)的程度?
(1)外部對哪些內(nèi)容是有要求?
電子數(shù)據(jù)、電子商務(wù)、電子簽名、版權(quán)計算機系統(tǒng)的控制、程序和數(shù)據(jù)的存儲方式信息技術(shù)的服務(wù)的組織或活動信息審計
?。?)評估組織管理層制定計劃、政策、標(biāo)準(zhǔn)是否有遵守
?。?)評估內(nèi)部IS部門、職能、活動上是否落實?
?。?)組織是否有建立程序來落實?(包括與一些外部簽訂協(xié)議與合同中有體現(xiàn)?)
1.3審計準(zhǔn)則和指南
1.3.1職業(yè)道德規(guī)范
謹(jǐn)慎、客戶公正保護隱私與機密信息,不牟利不泄漏按要求披露報告不歪曲事實1.3.5準(zhǔn)則、指南、工具技術(shù)之間的關(guān)系
準(zhǔn)則指導(dǎo)審計師實施相應(yīng)的標(biāo)準(zhǔn),并用工具和技術(shù)進行專業(yè)性的判斷。
1.4風(fēng)險分析
1.風(fēng)險分析是審計計劃的一部分。
2、風(fēng)險評估步驟:
(1)識別業(yè)務(wù)、信息資產(chǎn)、支撐系統(tǒng)(組織_為敏感和關(guān)鍵的事物)
?。?)風(fēng)險減緩
(3)風(fēng)險再評估
CISA是一個循環(huán)反復(fù)的周期
CISA應(yīng)對風(fēng)險的控制措施進行成本效益分析:
控制風(fēng)險成本與降低風(fēng)險所得的收益管理層的風(fēng)險偏好
優(yōu)先選用哪一種風(fēng)險降低的方法
1.5內(nèi)部控制
1、董事會和高級管理層要促進建立有效的內(nèi)部控制體系,持續(xù)監(jiān)督其有效性。2、內(nèi)控要落實:達到什么要避免什么
3、內(nèi)控的性質(zhì)分為:預(yù)防、檢測、糾正三類
4、控制的目標(biāo):有效性、效率、機密性、完整性、可用性、可靠性、合規(guī)性
【艾威(中國)】簡介:
艾威(AVTECH)總部 設(shè)在美國NEW JERSEY,是北美排行_的專業(yè)培訓(xùn)機構(gòu),設(shè)有4大分校,數(shù)十個培訓(xùn)點遍布北美、西歐和東亞;2000年進入中國,以培養(yǎng)國際化的中高端信息人才為己任,專注于國際前沿的新技術(shù)研發(fā)與信息科技新興行業(yè)的開拓教育。
艾威培訓(xùn)(Avtech Institute of Technology),源于美國,始于1998;是北美著名的培訓(xùn)機構(gòu),公司總部位于美國新澤西州,2000年進入中國,以培養(yǎng)國際化的中高端信息人才為己任,專注于國際前沿的新技術(shù)研發(fā)新興行業(yè)的開拓教育,艾威主要的服務(wù)為培訓(xùn)與咨詢兩大類,目前培訓(xùn)的主要產(chǎn)品有:項目管理培訓(xùn)、IT管理培訓(xùn)、IT技術(shù)培訓(xùn)、云計算大數(shù)據(jù)培訓(xùn)、需求管理培訓(xùn)、產(chǎn)品管理培訓(xùn),信息安全類,AI人工智能等....近十類上幾百門的課程的培訓(xùn)與咨詢服務(wù)。
艾威進入中國這十八年來已經(jīng)服務(wù)了超過5000多家客戶,獲得了良好的口碑!也成為了眾多500強企業(yè)指定的培訓(xùn)服務(wù)供應(yīng)商.
● 艾威培訓(xùn)(Avtech Institute of Technology),源于美國,始于1998.
● 艾威培訓(xùn)(Avtech Institute of Technology)是Prometric,VUE,PSI等眾多國際認(rèn)證中心授權(quán)的考點
● 2003年成為國際項目管理協(xié)會PMI授權(quán)的全球(PMP,
PGMP,
ACP,
PBA)教育機構(gòu)
● 2008年成為國際需求管理協(xié)會IIBA授權(quán)的全球(
CCBA,
CBAP)教育機構(gòu)
● 2017年成為The Open Group授權(quán)的
TOGAF企業(yè)架構(gòu)的官方培訓(xùn)機構(gòu)。
● 2017年成為EPI 授權(quán)的數(shù)據(jù)中心
CDCP培訓(xùn)機構(gòu),華東地區(qū)_CDCP授權(quán)培訓(xùn)機構(gòu),同時也是
CDCP認(rèn)證考試考場。
● 2017年成為國際外包專業(yè)協(xié)會(IAOP)_授權(quán)外包治理國際認(rèn)證
SGF(Sourcing GovernanceFoundation)。
本文來自于艾威培訓(xùn)
轉(zhuǎn)載請注明:http://m.c-d21.com/news/1639.html
上一篇:艾威分享PMI-PBA道德與職業(yè)行為準(zhǔn)則
下一篇:CISA認(rèn)證培訓(xùn)的內(nèi)容和對象有哪些