1.CISA(Certified Information Systems Auditor簡稱,中文為國際信息系統審計師)認證是由信息系統審計與控制協會ISACA(Information Systems Audit and Control Association)發起的,是信息系統審計、控制與安全等專業領域中取得成績的象徵。CISA認證適用於企業信息系統管理人員、IT管理人員、IT審計人員、或信息化諮詢顧問、信息安全廠商或服務提供商、和其他對信息系統審計感興趣的人員。2.CISA——中國鋼鐵工業協會(China Iron & Steel Assn)的簡稱。
基本介紹
- 中文名:國際信息系統審計師
- 外文名:Certified Information Systems Auditor
- 簡稱:CISA
- 適用職業:IT管理人員、IT審計人員等
認證介紹,應試條件,ISACA,證書榮譽,
認證介紹
自1978年以來,由信息系統審計與控制協會發起的註冊信息系統審計師(CISA)認證計畫已經成為涵蓋信息系統審計、控制與安全等專業領域的全球公認的標準。
CISA 推廣與評價的專業技術和實務是在該領域中取得成功的基石。擁有CISA 資格證書說明持證人具備的實踐能力和專業程度。隨著對信息系統審計、控制與安全專業人士需求的增長,CISA 已成為全球範圍內個人與公司機構不可或缺的認證。CISA 資格證書代表持證人有卓越的能力服務於公司的信息系統審計、控制與安全領域。此外,它還為持證人帶來相當的職業成就和經濟利益。
應試條件
CISA 認證計畫為信息系統審計、控制與安全職業領域中具有卓越技能與判斷力的個人提供評估與認證。若想獲得CISA認證,申請人需要:
◎順利通過CISA 的考試;
◎遵守信息系統審計與控制協會的《職業道德規範》,此規範已列入《Candidate’s Guide to the CISA Exam》中,供考生參考(在官方網站上均有介紹);
◎提供從事信息系統審計、控制與安全工作5 年以上經驗的證明。具有下列經驗者,可申請替代部分年限,並出示適當的證明:
具備如下資歷者,可以申請替代(最長達)1 年的信息系統審計、控制與安全的工作經驗要求:
· 滿1 年的非信息系統審計工作經驗,或
· 滿1 年的信息系統工作經驗,和/或
· 具有大專學歷(大學60 個學分或同等學歷)。
· 擁有學士學位(大學120 個學分或同等學歷)者,可以替代2 年信息系統審計、控制與安全工作經驗。
·2 年相關領域(計算機科學、會計、審計、信息系統審計等)大學專職講師經驗可以替代1 年信息系統審計、控制與安全工作經驗。無最高可代替年限限制(6 年大學講師經驗可以代替3 年信息系統審計、控制與安全工作的經驗)。
專業經驗必須在申請前的10 年之內獲得,或在第一次通過考試之日的前5 年之內。認證申請必須在通過CISA 考試的5 年之內提出。所有專業經驗都必須由原僱主獨立地簽字確認。
值得說明的是,很多人在具備所要求的經驗之前就參加CISA 考試。儘管在所有要求的資歷未達到之前不會被授予CISA證書,但這種作法是可以接受並值得鼓勵的。(2008年6月之前官方香港分會統計中國大陸通過人員達:666人。)國際信息系統審計協會(ISACA)是一家領先的全球性協會,擁有8.6萬名信息技術治理專業人士,其香港分會在2009年已吸收了1700名中國內地會員,使其會員總數達到了3500人。
ISACA
信息系統審計與控制協會(ISACA)創始於1967年,當時它是由從事同類職業的人所組成的小 團體——計算機系統的審計和控制對他們各自機構的運作都變得愈發關鍵——因此他們聚集 起來討論制定信息集中化資源和本領域指導準則的必要性。在1969年,這個團體正式組建為 EDP 審計師協會。在1976年,這個協會成立一項教育基金來開展大規模的研究工作,以拓展信息 產業管理與控制領域的知識與價值。
今天,ISACA在全球有四萬七千多名成員,他們的組成非常具有多元性。這些成員在140多個 國家內生活和工作,並涵蓋眾多專業信息技術的相關職業,比如信息系統審計師、顧問、教 導員、信息系統安全專家、管理者、首席信息官和內部審計師等。有些職業是本領域內新興 的,其他為中級管理人員,另外還有許多人擔任最高級的職位。他們幾乎遍及所有行業,包 括財政金融、公共會計、政府與公共部門、公用事業和製造業。這種多元性使眾多成員能夠 相互學習,並在許多專業問題上廣泛交流彼此的觀點。該特點一直被認為是ISACA的強勢之一 。
ISACA的另一個強勢就是它的分會網路。ISACA 的分會遍布世界60 多個國家,可提供成員教育、資源共享、支持、專業網路,以及其他由當地分會提供的諸多 利益。
在ISACA創立的三十年來,它已成為一個為信息管理、控制、安全和審計專業設定規範的全球 性組織。它的信息系統審計和信息系統控制標準為全球執業者所遵從。它的研究工作針對那 些挑戰其重要原則的疑難專業事項。它的國際信息系統審計師(CISA)認證得到全球的公認 ,並有三萬多名專業人員得到認證。國際信息安全經理(CISM)認證特別針對信息安全管理 的審計事務。它出版了領先於信息控制領域的技術性期刊,即《信息系統控制期刊》 (Information Systems Control Journal)。它舉辦一系列國際性會議,並且把焦點集中於 信息系統保障、控制、安全和信息 技術管理專業的技術與管理主題上。ISACA與其附屬的信息技術管理機構領導著信息技術控制 界,並在不斷變化的國際環境下為其執業者提供信息技術專業所需的要素,保證他們得到良好的服務。
證書榮譽
◎專業頂尖的標誌
獲得CISA 認證有助於確立你作為一名合格的信息系統審計、控制和安全專業人才的聲譽。不 論你是希望提高你的工作表現還是得到職務升遷,擁有CISA 資格證書都會使你擁有他人無法企及的競爭優勢。
◎僱主渴求的人才
由於CISA 持證人能夠熟練掌握當今需要的最先進的技能,僱主更願意雇用和留住那些達到並能夠維持 資格證書所要求水平的人才。對於僱主而言CISA 認證確保其雇員擁有勝任當前工作所必需的最新教育與實踐經驗。
◎全球的認可
也許本認證對於你當前的工作並不是絕對必需的 ,然而越來越多的機構希望員工得到CISA 認證。為了確保你在全球職業市場上的成功,選擇一個建立在全球認可的技術實務基礎上的 認證是至關重要的。CISA 就是這種認證。CISA 作為信息系統審計、控制與安全專業人員的資格證書,受到全世界信息系統審計、控制和安 全行業的廣泛認可。
第二部分
1、考試日期、時間和地點
CISA考試每年6月和12月在中國分別組織一次,考試時間為4個小時。目前確定的國內考試地點為北京、上海、深圳、廣州、南京。
2013年ISACA在全球增加一次9月7日的考試,但在中國區域的考試地點限定在北京 上海和深圳;至2015年基本形成每年6、9、12月份3次考試。
2、考試題型和語言
CISA 考題經過精心開發與維護,以便準確測試考生在信息系統審計、控制與安全實務方面的精通程度。考試題型為200道客觀選擇題,全部為筆答,總分800分,450分通過。由於 CISA證書為國際所認可,因此考試以如下幾種語言進行:荷蘭語、英語、法語、德語、希伯來語、義大利語、日語、韓語、繁體中文、簡體中文和西班牙語。(目前已調整題量)
3、如何準備CISA 考試
完整的系統的學習計畫可以幫助考生通過CISA考試。為幫助考生制定成功的學習計畫,ISACA 為考試學員提供官方資料“《官方 CISA Review Manual 2015》”,及練習試題,輔助資料有《谷安CISA紅寶書》等。
收到CISA考試報名表和報名費之後,CISA考試中心將為考生提供《CISA考試考生指南》。本 指南提供有關考試流程與內容方面的詳細大綱,推薦的一些參考資料目錄,考試中使用的辭彙表,以及考試中使用的答卷的範例。
4、CISA資格證書的維持
獲得任何職業資格證書的持證人必須參 與繼續教育計畫來維持其資格證書。為了維持CISA資格證書,持證人必須履行繼續教育政策 ,並遵守ISACA協會的《職業道德規範》。這些計畫有助於保證CISA持證人能夠與業內先進技 術的發展保持同步,並展示較高的職業原則。
繼續教育政策要求持證人累積足夠的繼續教育學分,並提供證明,以及支付年度維持費。此外,最低 學分的累積與證明提供必須在固定的3年認證期間完成。不能履行將會撤消持證人擁有的認證 資格。在過去5年中,93%以上的CISA持證人維持了資格證書。這項統計結果反映了CISA持證 人對維持資格證書的強烈願望。
5、報名參加CISA考試
考試日期
CISA考試每年舉行三次,分別為每年的六月、九月和十二月的第二周星期六,六月、九月和十二月考試中國學員均可以選擇中文和英文考試,在中國考試從上午九點開始,共四個小時13點結束。
線上報名表
從ISACA網站網頁上獲取報名表。應當用黑色墨水筆工整填寫或列印。字跡要清楚。請確認考試中心代碼正確,並根據需要選擇考試中使用語言的版本。在填完報名表並付款後,ISACA將寄給考生 CISA考試報名的回執信與一份《CISA考試考生指南》。投遞時間為6個星期。
退款與緩考費
退款:無法參加考試的申請人可以要求退款,退款中將扣除的手續費。退款請求必須在指定時間之前以書面方式寄到。
緩考:無法參加考試的申請人還可以得到一次緩考機會,將考試日期延至下一年。緩考請求 必須在指定時間之前以書面方式寄到。緩考到下一年之後不得要求退款,並且在報名參加下 一年考試時,考生還需要交納US的再報名費。
考試中心的指定
ISACA 將儘可能根據考生的選擇安排考試中心。然而,如果某個考試中心被取消,則考生將被分配 到最近的考試中心。如果不願在新分配的考試中心參加考試,那么考生可以得到考試費的全 額退款。
申請增設考場
如果考試中心在考生所在地區的100英里(160公里)之外,並且同時有5名以上(包括5 名)的應試人想編入本地一組,則考生可以申請成立新的考試中心。成立新考試中心的申請 需要至少5份已付款的報名表,並於指定時間之前被送至ISACA國際總部。儘管不能保證新考 試中心一定成立,但ISACA將盡力安排。
特別安排
接到申請後,ISACA 協會將根據出具的殘疾或宗教證明,在考試程式方面為應試者做出必要的合理安排。應試人 可以要求適當地改變考試格式、表述方式、考場內提供飲食或調整考試時間,以顧及應試人 由於殘疾或宗教要求而影響到考試狀態的因素,但是不會改變考試中技能與知識的難度。在 考場內的進食要求必須有醫生的證明材料,否則不允許將食品和飲料帶入考場。應試人必須 在發出報名表和報名費時一併提出書面要求和證明材料。
6、考試的舉辦
准考證
在CISA考試前2 到3 周,考生會收到考試機構寄來的准考證以及來自ISACA 的電子准考證。准考證上標明了考試的日期、入場登記時間與考試地點,當天日程安排以及 參加CISA考試必須攜帶的材料。考生必須注意准考證上規定的確切的登記入場時間與考試時 間。在考試開始前約30分鐘主考人開始宣讀說明時,任何考生均不得進入考試中心。准考證 只能在其被指定的考試中心使用。
只有攜帶有效的准考證以及通用的身份證明才能進入考試中心。可以接受的身份證明包括帶有相片(比如護照、有照片的駕駛執照等)或其它帶有考生的簽名和身高、體重、眼睛顏色 等描述資料的證明。
安全
考場中發現考生有作弊行為(比如提供或接 受幫助、使用字條、答卷或其它工具)、試圖替他人考試或撕下考試卷、答卷或附卷帶出考 場時,考生將被取消考試資格。考試機構將向認證委員會報告違規行為。
7、考試成績
考分的郵寄
自考試之日起約10個星期後,考生將接到郵寄的考試成績通知。為了對考試分數保密,考試結果將不採用電話、傳真或電子郵件的方式進行通知。
考試成績通知
考生接到的成績通知將顯示全部試卷中答對的數目經換算後的相應得分。換算後的分數從200 到800,是通過一種算法(線性轉換)得到的。它在設定及格線之後,把原分數轉換為線性分 數。原分數通過累計正確答案而得到,如果某些試題經過統計後被判定為或委員會檢查認定 為含義模糊或存在其它缺陷時,還應在原分數中計入該試題的相應得分。通過這種方式,考 生就不會由於某些不具備統計有效性的試題而被扣分。該程式的各個環節都不是人為或隨意 的,而是由ISACA 雇用的獨立考試機構根據換算程式而得到的。如果得分為450分,這個低於及格線的分數,它並不代表實際的分數或正確答案的平均分,而是原分數相對於其他所有考生的分數。得分達到或超過450分者將通過考試。
再次參加CISA 考試
分數為449及以下的考生可以報名參加以後的 CISA考試。
8、2015年CISA考試信息
1、2015年6月份考試重要日期
考試日期:2015年6月13日。
早期報名截止日:2015年2月11日。
最終報名截止日:2015年4月10日。
考試報名變更:2015年4月11日至2015年4月24日之間,收取費用50美元,2015年4月24日之後恕不受理任何變更請求。
退款:2015年4月10日之前,收取手續費100美元,該日期之後恕不退還任何費用。
緩考:對於2015年4月24日之前收到緩考申請,收取手續費為50美金;2015年4月25日至2015年5月22日之間收到緩考申請,收取手續費100美金;2015年5月22日以後,不再受理緩考申請。
2、2015年9月份考試重要日期
考試日期:2015年9月12日。
早期報名截止日:2015年6月17日。
最終報名截止日:2015年7月24日。
考試報名變更:2015年7月25日至2015年8月3日之間,辦理費用50美金;2015年8月3日之後恕不受理任何變更請求。
退款:2015年7月24日之前,收取手續費100美元,該日期之後恕不退還任何費用。
緩考:對於2015年8月10日之前收到緩考申請,收取手續費為50美金;2015年8月11日至2015年8月28日之間收到緩考申請,收取手續費100美金;2015年8月28日以後,不再受理緩考申請。
3、2015年12月份考試重要日期
考試日期:2015年12月12日。
早期報名截止日:2015年8月19日。
最終報名截止日:2015年10月23日。
考試報名變更:2015年10月24日至2015年10月30日之間,辦理費用50美金;2015年10月30日之後恕不受理任何變更請求。
退款:2015年10月23日之前,收取手續費100美元,該日期之後恕不退還任何費用。
緩考:對於2015年10月23日之前收到緩考申請,收取手續費為50美金;2015年10月24日至2015年11月27日之間收到緩考申請,收取手續費100美金;2015年11月27日以後,不再受理緩考申請。
以上所有截止時間都以美國伊利諾斯州芝加哥市(中部標準時間)下午5時為準。(與台北時間時差14小時)
第三部分 CISA考試大綱
包括五部分內容,各自所占比例如下:
1、信息系統審計過程(占14%)
2、IT控制與治理(占14%)
3、信息系統獲取、開發和實施(占19%)
4、信息系統操作、維護與支付(占23%)
5 、信息資產的保護(占30%)
信息系統的管理、規劃和組織
* 評估信息系統戰略及其開發、布置、維護的過程,以確保符合機構的商業的目標
* 評估信息系統政策、標準和過程
* 評估信息系統管理實務
* 評估信息系統組織和結構,確保恰當、充分地支持機構的商業要求
* 評估第三方服務商的選擇和管理,確保其支持信息系統戰略
技術構架和運營實務
* 評估硬體的採購、安裝和維護,確保有效地、有用地支持組織的信息系統處理和商業需求並符合組織戰略
* 評估系統軟體和工具的開發/採購、實施和維護,保證切實支持機構的信息系統處理和商業要求,符合組織的戰略
* 評估網路框架的獲取、安裝和維護,確保充分有效地支持機構的信息系統處理和商業要求
* 評估信息系統運營實踐,確保用來支持組織的信息系統處理和商業需求的技術資源的有效地、有用地利用
* 評估系統性能和監控過程、工具和技術的使用,確保計算機系統持續滿足組織的商業目標
信息資產的保護
* 評估邏輯訪問控制的設計、實施和監控,確保信息資產的完整、保密和可用
* 評估網路框架的安全,保證網路和被傳輸信息的保密、可用和經過授權使用
* 評估環境控制的設計、實施和監控,以避免和/或減少潛在的損失
* 評估物理訪問控制的設計、實施和監控,確保資產和設備的保護程度滿足組織的商業目標
災難恢復和持續運營
* 評估備份和恢復規定的充分性,確保正常信息遇到短期中斷和/或需要重運行或重處理時的再恢復
* 評估在主要信息處理設備部不能用時組織持續提供信息系統處理能力的能力
* 評估組織在商業中斷時保證商業連續性的能力
商業套用系統開發、獲得、實施和維護
* 評估套用系統被開發和實施的過程,確保其滿足達到組織的商業目標
* 評估套用系統被採購和實施的過程,確保其滿足達到組織的商業目標
* 評估套用系統被維護的過程,確保其滿足達到組織的商業目標
商業運營評估和風險管理
* 評估信息系統通過基準、最好實務分析或商業過程再工程等支持商業過程的效率和效果,確保最佳化商業結果
* 評估程式化的和手工的控制的設計和實施,確保商業過程確定的風險在可接受的水平
* 評估商業過程改變計畫,確保其被適當地組織、配備人員、管理和控制
* 評估組織風險管理和治理的實施
信息系統審計程式
* 依照公認的規範,制定和實施基於風險的審計戰略和目標,以確保機構的信息技術和商業系統得到充分控制、監察和評估,並與機構的商業目標保持一致
* 仔細規劃審計步驟,以保證達到既定的信息系統審計的戰略和目標
* 為達到審計目標,獲取充分、可靠、對應和有用的證據
* 檢查已完成的工作,證實審計目的是否已達到
* 把審計結論傳遞給機構合伙人
* 推動機構內的風險管理和控制實踐的工作
