原创2016-10-19小艾老师

CISA信息系统审计师认证知识体系考证须知证书含金量培训大纲 3分钟小视频我要提问

CISA认证是由信息系统审计与控制协会（ISACA）颁发的，针对信息系统审计、控制与安全领域的专业认证。它表明持证人在评估和审计信息系统的安全性、可靠性和有效性方面具备专业知识和技能。CISA 认证在信息技术和审计领域具有较高的认可度。

中文名CISA信息系统审计师认证
英文名Certified Information Systems Auditor
英文简称CISA
颁证机构ISACA（国际信息系统审计与控制协会）
证书类别IT审计，IT运维，信息安全
同类认证CISM、CRISC

学员分享国际信息系统审计CISA认证培训笔记

发布时间：2016.10.19

　　学员分享国际信息系统审计CISA认证培训笔记，CISA(Certified Information System Auditor),国际注册信息系统审计师,自1978年起,由国际信息系统审计和控制协会(ISACA)开始实施注册。CISA已经成为持证人在信息系统审计、控制与安全等专业领域中取得成就的象征，取得全球公认。

　　以美国萨班斯（SOX）法案为代表的诸多国际标准对组织的IT审计工作提出了更高要求，在信息系统基础设施运营、信息资产保护、信息系统运维、业务连续性等方面，都要求IT经理和信息系统审计师必须掌握信息系统审计、控制与安全技术。

　　CISA信息系统审计师培训课程旨在培养这样一批专家给人士，通过学习，熟悉信息系统管理核心要义，掌握信息系统的软件、硬件、开发、运营、维护、管理和安全相关知识，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。以下内容为CISA培训机构学员分享的内容，提供大家参考.

　　_章IS审计过程

　　1.2信息系统审计职能管理

　　1.2.1审计组织

　　内审：审计章程

　　_高管理层和审计委员会审批

　　责任、目标（范围）、权力（授权）

　　保持独立性，向审计委员会或_高管理层（董事会）报告

　　外审：正式合同/工作说明书

　　1.2.2审计资源管理

　　1、培训保持胜任能力

　　2、在制定审计计划和向员工指派审计任务时，加以考虑审计师的技能培训。

　　3、基于组织落实相关风险方面的组织方针，按年来制定培训计划。

　　4、定期检查，确保计划与审计部分采取的方针一致。

　　5、IS审计管理层提供必要的IT资源实施专业化审计工作（软件漏洞扫描、渗透测试）

　　1.2.3审计计划

　　1、包括：年度计划、单项审计任务

　　2、短期计划（年内处理的审计问题）、长期计划（风险相关问题的）与组织IT环境与战略的变化相关

　　3、每年至少一次分析短期与长期计划：关注新的控制问题、风险、环境、技术、业务流程方面的变化等任何风险环境的任何重要方面发生的变化（购置、新的法规、市场条件变化），分析结果交给审计委员会或_高管理层（董事会审查。

　　4、制定计划时，

　　注意：

　　（1）理解整体被审计环境（包括对象的业务流程、法规环境、支持业务流程的技术和信息类型等）

　　（2）要按审计准则来定计划，要获取一些信息：考虑审计对象在战略规划、财务、运营方面涉及的审计领域与组织的关系（包括获取战略规划、信息技术架构、技术方向的内容）

　　5、制定计划的步骤：

　　（1）了解业务使命、目标、目的、流程

　　（2）找出相关的规定：政策、法规、标准、指南、规程、组织结构

　　（3）进行风险分析

　　（4）确定审计目标与范围

　　（5）确定审计方法和策略

　　（6）分配审计人力资源

　　CISA在制定审计计划前先实施风险分析

　　6、如何了解业务流？

　　（1）收集组织关键设施的信息

　　（2）阅读背景资料

　　（3）检查业务、IT长期战略规划

　　（4）访谈关键管理人员

　　（5）审阅以往的审计报告或IT相关报告

　　（6）识别：IT具体规章制度、IT职能与相关活动7、单项审计任务也要作计划的

　　1.2.4法律法规对审计计划的影响

　　1、要了解组织内部、外部（行业、政府）的各种法规的要求

　　2、审计的法规要求，审计对象及其系统、数据管理、报告方面的法律要求3、如何确定一个组织遵守外部法规的程度？

　　（1）外部对哪些内容是有要求？

　　电子数据、电子商务、电子签名、版权计算机系统的控制、程序和数据的存储方式信息技术的服务的组织或活动信息审计

　　（2）评估组织管理层制定计划、政策、标准是否有遵守

　　（3）评估内部IS部门、职能、活动上是否落实？

　　（4）组织是否有建立程序来落实？（包括与一些外部签订协议与合同中有体现？）

　　1.3审计准则和指南

　　1.3.1职业道德规范

　　谨慎、客户公正保护隐私与机密信息，不牟利不泄漏按要求披露报告不歪曲事实1.3.5准则、指南、工具技术之间的关系

　　准则指导审计师实施相应的标准，并用工具和技术进行专业性的判断。

　　1.4风险分析

　　1.风险分析是审计计划的一部分。

　　2、风险评估步骤：

　　（1）识别业务、信息资产、支撑系统（组织_为敏感和关键的事物）

　　（2）风险减缓

　　（3）风险再评估

　　CISA是一个循环反复的周期

　　CISA应对风险的控制措施进行成本效益分析：

　　控制风险成本与降低风险所得的收益管理层的风险偏好

　　优先选用哪一种风险降低的方法

　　1.5内部控制

　　1、董事会和高级管理层要促进建立有效的内部控制体系，持续监督其有效性。2、内控要落实：达到什么要避免什么

　　3、内控的性质分为：预防、检测、纠正三类

　　4、控制的目标：有效性、效率、机密性、完整性、可用性、可靠性、合规性

【艾威（中国）】简介：

　　艾威（AVTECH）总部设在美国NEW JERSEY，是北美排行_的专业培训机构,设有4大分校，数十个培训点遍布北美、西欧和东亚;2000年进入中国，以培养国际化的中高端信息人才为己任,专注于国际前沿的新技术研发与信息科技新兴行业的开拓教育。

　　艾威培训（Avtech Institute of Technology)，源于美国，始于1998；是北美著名的培训机构，公司总部位于美国新泽西州，2000年进入中国，以培养国际化的中高端信息人才为己任,专注于国际前沿的新技术研发新兴行业的开拓教育,艾威主要的服务为培训与咨询两大类，目前培训的主要产品有：项目管理培训、IT管理培训、IT技术培训、云计算大数据培训、需求管理培训、产品管理培训，信息安全类，AI人工智能等....近十类上几百门的课程的培训与咨询服务。
　　艾威进入中国这十八年来已经服务了超过5000多家客户，获得了良好的口碑！也成为了众多500强企业指定的培训服务供应商.
　　● 艾威培训(Avtech Institute of Technology)，源于美国，始于1998.
　　● 艾威培训(Avtech Institute of Technology)是Prometric，VUE，PSI等众多国际认证中心授权的考点

　　● 2003年成为国际项目管理协会PMI授权的全球(PMP,PGMP,ACP,PBA)教育机构

　　● 2008年成为国际需求管理协会IIBA授权的全球(CCBA,CBAP)教育机构

　　● 2012年成为IT服务管理官方EXIN授权的ITIL，ITIL EXPERT,Prince2,EXIN Agile Scrum Master教育机构

　　● 2016年成为国际信息审计协会ISACA授权的CISA,CISM,CRISC,CGEIT,COBIT教育机构

　　● 2017年成为The Open Group授权的TOGAF企业架构的官方培训机构。
　　● 2017年成为EPI 授权的数据中心CDCP培训机构，华东地区_CDCP授权培训机构，同时也是CDCP认证考试考场。
　　● 2017年成为国际外包专业协会(IAOP)_授权外包治理国际认证SGF(Sourcing GovernanceFoundation)。

本文来自于艾威培训

转载请注明：https://www.avtechcn.com/news/1639.html

上一篇：艾威分享PMI-PBA道德与职业行为准则

下一篇：CISA认证培训的内容和对象有哪些