学员分享国际信息系统审计CISA认证培训笔记

发布时间:2016.10.19

  学员分享国际信息系统审计CISA认证培训笔记,CISA(Certified Information System Auditor),国际注册信息系统审计师,自1978年起,由国际信息系统审计和控制协会(ISACA)开始实施注册。CISA已经成为持证人在信息系统审计、控制与安全等专业领域中取得成就的象征,取得全球公认。
 
  以美国萨班斯(SOX)法案为代表的诸多国际标准对组织的IT审计工作提出了更高要求,在信息系统基础设施运营、信息资产保护、信息系统运维、业务连续性等方面,都要求IT经理和信息系统审计师必须掌握信息系统审计、控制与安全技术。
 
  CISA信息系统审计师培训课程旨在培养这样一批专家给人士,通过学习,熟悉信息系统管理核心要义,掌握信息系统的软件、硬件、开发、运营、维护、管理和安全相关知识,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。以下内容为CISA培训机构学员分享的内容,提供大家参考.
 
  第一章IS审计过程
 
  1.2信息系统审计职能管理
 
  1.2.1审计组织
 
  内审:审计章程
 
  最高管理层和审计委员会审批
 
  责任、目标(范围)、权力(授权)
 
  保持独立性,向审计委员会或最高管理层(董事会)报告
 
  外审:正式合同/工作说明书
 
  1.2.2审计资源管理
 
  1、培训保持胜任能力
 
  2、在制定审计计划和向员工指派审计任务时,加以考虑审计师的技能培训。
 
  3、基于组织落实相关风险方面的组织方针,按年来制定培训计划。
 
  4、定期检查,确保计划与审计部分采取的方针一致。
 
  5、IS审计管理层提供必要的IT资源实施专业化审计工作(软件漏洞扫描、渗透测试)
 
  1.2.3审计计划
 
  1、包括:年度计划、单项审计任务
 
  2、短期计划(年内处理的审计问题)、长期计划(风险相关问题的)与组织IT环境与战略的变化相关
 
  3、每年至少一次分析短期与长期计划:关注新的控制问题、风险、环境、技术、业务流程方面的变化等任何风险环境的任何重要方面发生的变化(购置、新的法规、市场条件变化),分析结果交给审计委员会或最高管理层(董事会审查。
 
  4、制定计划时,
 
  注意:
 
  (1)理解整体被审计环境(包括对象的业务流程、法规环境、支持业务流程的技术和信息类型等)
 
  (2)要按审计准则来定计划,要获取一些信息:考虑审计对象在战略规划、财务、运营方面涉及的审计领域与组织的关系(包括获取战略规划、信息技术架构、技术方向的内容)
 
  5、制定计划的步骤:
 
  (1)了解业务使命、目标、目的、流程
 
  (2)找出相关的规定:政策、法规、标准、指南、规程、组织结构
 
  (3)进行风险分析
 
  (4)确定审计目标与范围
 
  (5)确定审计方法和策略
 
  (6)分配审计人力资源
 
  CISA在制定审计计划前先实施风险分析
 
  6、如何了解业务流?
 
  (1)收集组织关键设施的信息
 
  (2)阅读背景资料
 
  (3)检查业务、IT长期战略规划
 
  (4)访谈关键管理人员
 
  (5)审阅以往的审计报告或IT相关报告
 
  (6)识别:IT具体规章制度、IT职能与相关活动7、单项审计任务也要作计划的
 
  1.2.4法律法规对审计计划的影响
 
  1、要了解组织内部、外部(行业、政府)的各种法规的要求
 
  2、审计的法规要求,审计对象及其系统、数据管理、报告方面的法律要求3、如何确定一个组织遵守外部法规的程度?
 
  (1)外部对哪些内容是有要求?
 
  电子数据、电子商务、电子签名、版权计算机系统的控制、程序和数据的存储方式信息技术的服务的组织或活动信息审计
 
  (2)评估组织管理层制定计划、政策、标准是否有遵守
 
  (3)评估内部IS部门、职能、活动上是否落实?
 
  (4)组织是否有建立程序来落实?(包括与一些外部签订协议与合同中有体现?)
 
  1.3审计准则和指南
 
  1.3.1职业道德规范
 
  谨慎、客户公正保护隐私与机密信息,不牟利不泄漏按要求披露报告不歪曲事实1.3.5准则、指南、工具技术之间的关系
 
  准则指导审计师实施相应的标准,并用工具和技术进行专业性的判断。
 
  1.4风险分析
 
  1.风险分析是审计计划的一部分。
 
  2、风险评估步骤:
 
  (1)识别业务、信息资产、支撑系统(组织最为敏感和关键的事物)
 
  (2)风险减缓
 
  (3)风险再评估
 
  CISA是一个循环反复的周期
 
  CISA应对风险的控制措施进行成本效益分析:
 
  控制风险成本与降低风险所得的收益管理层的风险偏好
 
  优先选用哪一种风险降低的方法
 
  1.5内部控制
 
  1、董事会和高级管理层要促进建立有效的内部控制体系,持续监督其有效性。2、内控要落实:达到什么要避免什么
 
  3、内控的性质分为:预防、检测、纠正三类
 
  4、控制的目标:有效性、效率、机密性、完整性、可用性、可靠性、合规性

艾威(中国)】简介:

  艾威(AVTECH)总部 设在美国NEW JERSEY,是北美排行第一的专业培训机构,设有4大分校,数十个培训点遍布北美、西欧和东亚;2000年进入中国,以培养国际化的中高端信息人才为己任,专注于国际前沿的新技术研发与信息科技新兴行业的开拓教育。

  艾威培训(Avtech Institute of Technology),源于美国,始于1998;是北美著名的培训机构,公司总部位于美国新泽西州,2000年进入中国,以培养国际化的中高端信息人才为己任,专注于国际前沿的新技术研发新兴行业的开拓教育,艾威主要的服务为培训与咨询两大类,目前培训的主要产品有:项目管理培训、IT管理培训、IT技术培训、云计算大数据培训、需求管理培训、产品管理培训,信息安全类,AI人工智能等….近十类上几百门的课程的培训与咨询服务。
  艾威进入中国这十八年来已经服务了超过5000多家客户,获得了良好的口碑!也成为了众多500强企业指定的培训服务供应商.
  ● 艾威培训(Avtech Institute of Technology),源于美国,始于1998.
  ● 艾威培训(Avtech Institute of Technology)是Prometric,VUE,PSI等众多国际认证中心授权的考点

  ● 2003年成为国际项目管理协会PMI授权的全球(PMP,PGMP,ACP,PBA)教育机构
  ● 2008年成为国际需求管理协会IIBA授权的全球(CCBA,CBAP)教育机构
  ● 2012年成为IT服务管理官方EXIN授权的ITILITIL EXPERT,Prince2,EXIN Agile Scrum Master教育机构
  ● 2016年成为国际信息审计协会ISACA授权的CISA,CISM,CRISC,CGEIT,COBIT教育机构
  ● 2017年成为The Open Group授权的TOGAF企业架构的官方培训机构。
  ● 2017年成为EPI 授权的数据中心CDCP培训机构,华东地区唯一CDCP授权培训机构,同时也是CDCP认证考试考场。
  ● 2017年成为国际外包专业协会(IAOP)独家授权外包治理国际认证SGF(Sourcing GovernanceFoundation)。

本文来自于艾威培训

转载请注明:https://www.avtechcn.com/news/1639.html

上一篇:艾威分享PMI-PBA道德与职业行为准则
下一篇:CISA认证培训的内容和对象有哪些
 

发表评论

电子邮件地址不会被公开。 必填项已用*标注

5 × 2 =

服务专区
考试须知
CISA®考试方式
立即约考
*艾威提供免费代报名服务,可随约随考
CISA® 考试『快速报名』通道 CISA® 考试『热点问题』一览
考试题库

This site is protected by wp-copyrightpro.com