1什麼是註冊信息系統審計師CISA認證
註冊信息系統審計師(Certified Information System auditor,簡稱CISA),也稱IT審計師,是指一批專家級的人士,既通曉信息系統的軟體、硬體、開發、運營、維護、管理和安全,又熟悉經濟管理的核心要義,能夠利用規範和先進的審計技術,對信息系統的安全性、穩定性和有效性進行審計、檢查、評價和改造。
註冊信息系統審計師CISA(Certified Information System Auditor)資格由ISACA授予,是信息系統審計領域的唯一的職業資格,受到全世界的廣泛認可。
信息系統審計與控制協會ISACA(Information System Audit and Control Association)就是從事計算機審計人員(IT審計師)組成的國際性專業組織,是唯一有權授予註冊信息系統審計師資格的跨國界、跨行業的專業機構。該協會成立於1969年,總部在美國的芝加哥。目前在世界上100多個國家設有160多個分會,現有會員兩萬多人。
凡通過CISA考試,在信息系統審計、控制或安全領域有5年的工作經驗(在校生考試後5年內完成以上領域相關工作經驗亦可申請:本科畢業折算為2年工作經驗,研究生畢業折算為6年工作經驗),遵守ISACA的職業道德,提出CISA資格申請、並得到批准,即可取得CISA資格。
2註冊信息系統審計師的作用
註冊信息系統審計師在信息化社會中,為各單位築起一道信息安全的壁壘。他們關注的問題主要有:
(1)信息安全。沒有安全就沒有一切,信息系統審計師會採用各種方法來測試系統的安全性,並對來自內部和外部的安全隱患提出相應對策;
(2)信息系統的穩定性。沒有長期穩定性,信息系統就無法承擔起激烈競爭的壓力,信息系統審計師會提出一系列對策保證客戶信息系統的萬無一失。
(3)鑑別信息系統的有效性。最安全和最穩定的系統不一定是最有效的系統,而效率不高的系統會消耗企業大量的資源,信息系統審計師的優勢就是對財經管理和信息技術融會貫通,為企業信息系統的改造提供建議。
3 CISA考核要點和涉及知識
CISA考試要求應試者具有紮實的審計理論和審計實踐經驗,具有較豐富的企業運營及管理知識和經驗,同時更要具有全面的、有一定深度的計算機信息系統方面的理論和實踐經驗。CISA考試分為信息系統審計和信息系統相關知識兩個方面七大內容:
3.1信息系統審計程式(10%)
(1)考核要點。實施信息系統審計要與一般公認的信息系統審計標準和準則相一致,以確保對組織採用的信息技術和業務系統進行充分的控制、監控和評價。主要包括:審計計畫和審計戰略及目標;一般公認的審計標準;信息的收集和分析;風險管理和控制等。
(2)涉及知識。這部分考試涉及的主要知識有:有關信息系統審計的標準和準則;審計實務和技術;風險分析方法、原則和標準;戰略和計畫過程;信息系統及技術發展趨勢;質量管理、財務管理和業務管理等。
考生必須具備現代審計理論和實務、企業管理、項目管理和信息系統及信息技術發展脈絡方面的知識。
3.2信息系統的管理計畫和組織(11%)
(1)考核要點。評價有關信息系統管理、計畫和組織的戰略、政策、標準、過程和有關實務。主要包括:評價信息系統戰略和過程;評價信息系統政策、標準和過程的開發、部署和維護;評價信息系統組織和結構等。
(2)涉及知識。這部分考試涉及的主要知識有:有關信息系統戰略、政策、標準和過程的主要實踐;信息系統戰略開發、部署和維護的方法和步驟;信息系統項目管理、風險管理、變動管理、質量管理、安全管理;信息系統組織結構和設計原則;軟體質量管理等。
考生必須具備信息系統開發與管理、項目管理及軟體工程方面的知識。
3.3技術基礎和操作實務(13%)
(1)考核要點。評價組織技術和操作基礎的實施及正在進行的管理的功效和效率,確保它們充分地支持組織的業務目標。主要包括:評價硬體的取得、安裝和維護;評價系統軟體和套用軟體的獲取、實施及維護;評價網路基礎設施的獲得、安裝和維護;評價信息系統操作實務;評價系統執行和監控過程、工具和技術等。
(2)涉及知識。這部分考試涉及的主要知識有:有關硬體平台、系統軟體和實用軟體以及網路基礎設施和信息系統操作實務的風險和控制;系統運行和監控過程、工具和技術;IT基礎設施的獲取、開發、實施和維護的過程;網路拓撲等知識。
考生必須具備一定的計算機硬體和軟體、計算機網路(尤其是網際網路等)基礎和運行管理等方面的知識。
3.4信息資產的保護(25%)
(1)考核要點。評價邏輯的、環境的和IT基礎設施的安全,確保系統滿足組織的業務需求,保護信息資產以防非授權使用、泄露、修改、破壞和損失。主要包括:評價邏輯訪問控制的設計、實施和監控;評價網路基礎設施的安全;評價環境控制的設計、實施和監控;評價物理訪問控制的設計、實施和監控等。
(2)涉及知識。這部分考試涉及的主要知識有:計算機訪問控制原理和技術;物理安全控制;密碼技術;網路安全概念;安全體系結構;安全評估工具;病毒及探測、預防和反應機制;黑客攻擊方法和技術等。
考生必須具備紮實的計算機網路理論知識和實踐經驗、計算機加密解密技術、計算機病毒及網路黑客技術、計算機及網路安全體系結構方面的知識等。
3.5災難恢復和業務持續計畫(10%)
(1)考核要點。評價在系統發生不測時,為使業務運轉和信息系統處理能正常進行,而採取的備份和恢復等措施。主要包括:檔案及數據的備份和恢復機制;不測發生後保證組織業務持續進行和繼續提供信息系統處理的能力等。
(2)涉及知識。這部分考試涉及的主要知識有:關於災難恢復和業務持續的概念和方法、災難恢復和業務持續技術等。
考生必須具備資料庫理論中關於數據恢復技術和災難應對措施方面的知識。
3.6業務套用系統的開發、取得、實施和維護(16%)
(1)考核要點。通過業務套用系統的開發、取得、實施和維護來評價採用的方法和過程,以確保與組織的業務目標一致。主要內容包括:對套用系統的開發、取得、實施和維護中採用技術和方法進行評價。
(2)涉及知識。這部分考試涉及的主要知識有:系統開發方法和工具;軟體質量保證方法;程式設計原理和技術;系統實施後的評價技術等。
考生必須具備軟體工程的理論及實務、各種程式設計技術、信息系統實施和評價等方面的知識。
3.7業務過程的評價和風險管理(15%)
(1)考核要點。評價業務系統和過程,確保風險被控制且與組織業務目標相一致。主要內容包括:通過諸如用基難測試程式測試、最優方法分析、業務流程重組(BPR),評價信息系統支持業務過程的效率和效力,確保業務結果最優;評價自動化和手工控制的設計和實施;評價組織的風險管理和控制的實施等。
(2)涉及知識。這部分考試涉及的主要知識有:最優方法業務過程;業務過程控制;業務設計機構、管理和控制實務;業務流程設計、重組和改進的方法等。
考生必須具備企業管理、企業生產經營和電子商務方面的理論及實務知識。
4 信息系統審計師(CISA)考試指南
考試內容信息系統審計過程(10%)
IT治理(15%)
系統及基礎設施的生命周期管理(16%)
IT服務和交付(14%)
信息資產的保護(31%)
業務持續計畫與災難恢復計畫(14%)
國內考試報名日期大約在每年的4月,考試日期大約在每年的6月 ,費用大約500-600美元
考試題型及語種選擇CISA 考題經過精心開發與維護,以便準確測試考生在信息系統審計、控制與安全實務方面的精通程度。考試題型為200道客觀選擇題,全部為筆答,換算後得分達到350分即可通過考試。由於 CISA證書為國際所認可,因此考試以如下幾種語言進行:簡體中文、繁體中文、英語、法語、德語、荷蘭語、希伯來語、義大利語、日語、韓語、和西班牙語 。
考試地點
我國目前共設5個考點,北京、上海、廣州、深圳及南京。
對於CISA考試的報考條件,ISACA未做嚴格的限制。但根據我們的經驗,考生具備以下條件能夠增加通過考試的機會:
1、大學專科以上,或在校本科生、研究生;
2、建議英語四級以上;
3、建議具備一定的審計知識和計算機知識(計算機基礎知識、作業系統、網路、資料庫、電子商務等)。
5 擴展閱讀
IT審計師資格,2005年前全世界通過這項資格認證的有2萬人,我國大陸地區不超過10個人,而且全部集中在國際著名會計師事務所。國內會計師所幾乎沒有具有該資格的人。
作為國內IT業的一員新貴,信息系統審計師(CISA)對於大多數人來講,還是一個陌生的名詞。但在國外,CISA證書早已同MCSE、CCEP等證書一樣,成為追求高薪的人們爭相追捧的對象了。
CISA是國際註冊信息系統審計師的簡稱,又稱IT審計師,是由信息系統審計與控制協會ISACA授予的一種職業資格。未來審計行業和審計技術的發展動力將主要來自於信息系統審計的發展,這一觀點已經逐漸成為國外會計、審計界的一個共識。會計公司以及整個社會對信息系統審計師需求量將成倍地增長,信息系統審計師的地位也在不斷提高。在國外一些大型會計公司中已經出現了沒有CPA資格的合伙人,他們持有的專業資格就是CISA。
CISA的考試包括信息系統的安全與控制實務、信息系統的完整、保密和有效及信息系統軟體的開發、取得與維護等五個方面,試卷的問答全部採用英文。目前參加一次CISA的考試,報名費與培訓費用在5000元左右。
目前通過CISA認證在全球有2萬人,中國內地不超過10人,而且全部都在國際五大會計公司、專業諮詢機構和著名跨國公司擔任要職,國內會計師事務所里還沒有CISA。據專家介紹,CISA目前已經成為全球範圍內最搶手的高級人才之一,在中國也正悄悄走熱。
國際審計師在中國一直處於嚴重缺乏的狀態。儘管國家目前還禁止國外會計師事務所進入國內企業的年度報表審計市場,但每年國際五大會計公司從中國的會計審計包括企業海外上市的承銷、推廣和ERP服務中獲取幾十億美元的收入,IT審計業務是其中極為重要的一部分,而且比重在不斷加大,而國內的會計審計行業在此項服務上的表現卻幾乎為零。可以預見,在未來的幾年,擁有CISA證書,將成為“魚躍龍門”的重要資格。
證書簡介:最搶手的高級IT人才
國際信息系統審計師,簡稱IT審計師,是目前全球範圍內最搶手的高級人才。此類人才一般都具備全面的計算機軟硬體知識,對網路和系統安全有獨特的敏感性,並且對財務會計和企業內部控制有深刻的理解。幾乎所有的大型跨國公司,都非常重視對信息系統安全和穩定性的控制,需要聘請IT審計師進行內部審計。國際信息系統審計師證書由“國際信息系統審計和控制協會(ISACA)”組織考試頒發。自1978年以來,由信息系統審計與控制協會(ISACA)發起的國際信息系統審計師(CISA)認證已經成為持證人在信息系統審計、控制與安全等專業領域中取得成績的象徵,並逐步發展成全球公認的標準。
考試信息:
國際信息系統審計師(CISA)考試內容包括五個方面:信息系統審計準則與安全、信息系統的安全與控制實務;信息系統的組織與管理;信息系統的處理過程;信息系統的完整、保密和有效;信息系統軟體的開發、取得與維護。該考試主要考察考生平時的知識積累和工作經驗。此外,由於該考試設計知識面較廣,信息技術的更新速度較快,因此,該考試不像其他專業資格考試那樣有全面系統的教材,只有考試指南。CISA考試每年6月組織一次,考試時間為4個小時。目前確定的國內考試地點為北京、上海、廣州。
記者評價:建議選擇英文考試
因目前尚無中文考試輔導資料,而且信息系統審計最新發展的有關資料也大多是英文的,因此建議學員選擇英文考試。但學員有選考中文的權利。
考試/證書本報評定
學歷程度★★★★★ 專業程度★★★★★
證書考核★★★★★ 社會吸引★★★★★
證書權威★★★★★
