CISA考試內容大綱
18%-領域 1:信息系統(tǒng)的審計流程
該領域提供行業(yè)標準的審計服務��,以幫助組織保護和控制信息系統(tǒng)�,從而證明您對組織的IS/IT安全��、風險和控制解決方案的狀態(tài)提供結論的可信度����。
A-規(guī)劃
1 審計標準�、準則和道德規(guī)范
2 審計、評估和審查的類型
3 基于風險的審計規(guī)劃
4 控制類型和注意事項 | B-執(zhí)行
1 審計項目管理
2 審計測試和抽樣方法
3 審計證據收集技術
4 審計數據分析
5 報告和溝通技巧
6 審計過程的質量_和改進 |
18%-領域 2:IT 治理與管理
該領域向利益相關者證實了您識別關鍵問題和推薦特定于企業(yè)的實踐以支持和保護信息和相關技術的治理的能力�����。
A-IT治理
1 法律�����、法規(guī)和行業(yè)標準
2 組織結構����、IT治理和IT戰(zhàn)略
3 IT政策、標準�、程序和實踐
4 企業(yè)架構和考慮事項
5 企業(yè)風險管理
6 隱私計劃和原則
7 數據治理和分類 | B-IT管理
1 IT資源管理
2 IT供應商管理
3 IT性能監(jiān)控和報告
4 信息技術的質量_和質量管理 |
12%-領域 3:信息系統(tǒng)的購置、開發(fā)與實施
領域3和4不僅證明了您在IT控制方面的能力�����,還證明了您對IT與業(yè)務關系的理解�����。
A-信息系統(tǒng)的采購與開發(fā)
1 項目治理和管理
2 業(yè)務案例和可行性分析
3 系統(tǒng)開發(fā)方法
4 控制識別和設計 | B-信息系統(tǒng)實施
1 系統(tǒng)準備和實施測試
2 實施配置和發(fā)布管理
3 系統(tǒng)遷移����、基礎設施部署和數據轉換
4 實施后審查 |
26%-領域 4:信息系統(tǒng)的運營和業(yè)務恢復能力
領域3和4不僅證明了您在IT控制方面的能力�����,還證明了您對IT與業(yè)務關系的理解�����。
A-信息系統(tǒng)運營
1 IT組件
2 IT資產管理
3 作業(yè)調度和生產過程自動化
4 系統(tǒng)界面
5 影子IT和終端用戶計算
6 系統(tǒng)可用性和容量管理
7 問題和事件管理
8 IT變更、配置和補丁管理
9 操作日志管理
10 IT服務級別管理
11 數據庫管理 | B-業(yè)務恢復能力
1 業(yè)務影響分析
2 系統(tǒng)恢復能力
3 數據備份�、存儲和恢復
4 業(yè)務連續(xù)性計劃(BCP)
5 災難恢復計劃(DRP) |
26%-領域 5:信息資產保護
網絡安全現在幾乎觸及信息系統(tǒng)的每一個角色,了解其原則�����、_佳實踐和缺陷是領域5的一個主要焦點����。
A-信息資產安全和控制
1 信息資產安全框架、標準和指導原則
2 物理和環(huán)境控制
3 身份和訪問管理
4 網絡和終端安全性
5 數據丟失預防
6 數據加密
7 公鑰基礎設施
8 云和虛擬化環(huán)境
9 移動����、無線和物聯(lián)網設備 | B-安全事件管理
1 安全意識培訓和計劃
2 信息系統(tǒng)攻擊方法和技術
3 安全測試工具和技術
4 安全監(jiān)控工具和技術
5 安全事件響應管理
6 證據收集和取證 |
任務
1 計劃審核以確定信息系統(tǒng)是否受到保護和控制,并為組織提供價值�����。
2 根據信息系統(tǒng)審計標準和基于風險的信息系統(tǒng)審計策略進行審計��。
3 將項目管理方法應用到審計過程中����。
4 與利益相關方溝通并收集關于審核進度����、發(fā)現�����、結果和建議的反饋。
5 進行審計后跟進�����,以評估已識別的風險是否已得到充分解決�����。
6 利用數據分析工具增強審計流程�。
7 評估自動化和/或決策系統(tǒng)對組織的作用和/或影響�����。
8 評估審計流程�,作為質量_和改進計劃的一部分�����。
9 評估IT策略是否與組織的策略和目標一致。
10 評估IT治理結構和IT組織結構的有效性����。
11 評估組織對IT策略和實踐的管理,包括遵守法律和法規(guī)要求�����。
12 評估IT資源和項目管理是否符合組織的戰(zhàn)略和目標�。
13 評估組織的企業(yè)風險管理(ERM)計劃。
14 確定組織是否定義了IT風險����、控制和標準的所有權。
15 評估IT關鍵績效指標(KPI)和IT關鍵風險指標(kri)的監(jiān)控和報告�����。
16 評估組織繼續(xù)業(yè)務運營的能力����。
17 評估組織的存儲、備份和恢復策略和流程。
18 評估與信息系統(tǒng)相關的業(yè)務案例是否符合業(yè)務目標�。
19 評估IT供應商選擇和合同管理流程是否符合業(yè)務、法律和法規(guī)要求�����。
20 評估供應鏈的IT風險因素和完整性問題��。
21 評估信息系統(tǒng)開發(fā)生命周期所有階段的控制措施。
22 評估信息系統(tǒng)實施和遷移到生產環(huán)境的準備情況��。 | 23 對系統(tǒng)進行實施后審查��,以確定是否滿足項目可交付性�����、控制和要求����。
24 評估是否有有效的流程來支持_終用戶。
25 評估IT服務管理實踐是否符合組織要求��。
26 對信息系統(tǒng)和企業(yè)架構(EA)進行定期審查��,以確定與組織目標的一致性。
27 評估IT運營和維護實踐是否支持組織的目標����。
28 評估組織的數據庫管理實踐。
29 評估組織的數據治理計劃����。
30 評估組織的隱私計劃。
31 評估數據分類做法是否符合組織的數據治理計劃�����、隱私計劃和適用的外部要求�����。
32 評估組織的問題和事件管理計劃����。
33 評估組織的變更、配置�����、發(fā)布和補丁管理計劃�����。
34 評估組織的日志管理計劃。
35 評估組織與資產生命周期管理相關的政策和實踐��。
36 評估與影子IT和終端用戶計算(EUC)相關的風險�����,以確定補償控制的有效性��。
37 評估組織的信息安全計劃��。
38 評估組織的威脅和漏洞管理計劃�。
39 利用技術安全測試來識別潛在的漏洞����。
40 評估邏輯、物理和環(huán)境控制�,以驗證信息資產的機密性、完整性和可用性��。
41 評估組織的安全意識培訓計劃����。
42 為組織提供指導,以提高信息系統(tǒng)的質量和控制。
43 評估與新興技術�、法規(guī)和行業(yè)實踐相關的潛在機會和風險。 |
* 以上內容參考ISACA官方的CISA考試內容說明�,原文內容參見:https://www.isaca.org/credentialing/cisa/cisa-exam-content-outline
ISACA官方考試說明,在線預覽↓↓↓
ISACA-Exam-Candidate-Guide
點擊獲取《ISACA考試認證手冊(含CISA考試說明)》[PDF]
點擊進行CISA考試樣題測試[在線/英文]
CISA考試及認證申請常見問題
1����、ISACA是什么機構?
答:ISACA( www.isaca.org )在全球140 多個國家擁有超過100000 名成員�,是獲得公認的IT管理、控制�、安全及_上的全球_者。該組織成立于1969 年����,主要負責主辦國際會議和出版《信息系統(tǒng)控制期刊》(Information Systems Control Journal),制定國際信息系統(tǒng)查核和控制標準�,負責CISA、CISM �、COBIT、CGEIT �����、CDPSE等認證�����。
2、CISA認證適合什么樣的情況�?
答:CISA認證適用于信息系統(tǒng)審計人員、信息化咨詢顧問����、信息系統(tǒng)管理人員。
一般工作在企業(yè)內審或信息中心�、管理咨詢公司、較大的事務所(大所才有IT審計的項目)�、信息安全廠商或服務提供商����。重點集中在那些對信息化程度依賴較高、風險較大的行業(yè)�,如:金融證券行業(yè)。
3�����、CISA認證對計算機或審計方面的要求�?
答:對審計人員來說,CISA考試僅僅是將審計環(huán)境替換為在信息系統(tǒng)環(huán)境下��。審計的理念和方法是一致的,核心還是多了解信息技術方面的內容����,信息技術方面對審計師并不要求精通,考的較基礎�����。反過來說�,如果計算機方面有基礎,可以把重點放在審計部分����,特別是內審理念和思維方式的培養(yǎng)上。
4�����、CISA會員與非會員區(qū)別�?
答:成為會員沒有限制,只需要_次繳費注冊費�、官方會費、香港分會會費�����,然后以后每年按年度交會費,即可保持ISACA會員資格�����。
會員與非會員的區(qū)別如下:
會員:
①考試費報名優(yōu)惠:參加官方大陸
②1小時的講座(CISA基本介紹)��;
③可在官方免費下載一些資料(注:考試用書����、教材輔導資料和習題等需要購買);
④可參加官方的活動賺取CPE(活動�����、做題等)�;訂購官方書籍有優(yōu)惠�����。
非會員:以上均無�。
5、CISA考試主要考哪些內容�?
答:主要有五個部分,分別是:
1)信息系統(tǒng)審計流程 (21%)—遵照 IT 審計標準提供審計服務����,以幫助組織保護和控制其信息系統(tǒng)��。
2)IT治理和管理 (17%)—用以確保具備必要的領導層�、組織結構及流程來實現相關目標和支持組織戰(zhàn)略�����。
3)信息系統(tǒng)購置�����、開發(fā)與實施 (12%)—用以確保信息系統(tǒng)的購置�����、開發(fā)����、測試和實施實務符合組織的戰(zhàn)略與目標。
4)信息系統(tǒng)的運營和業(yè)務恢復能力(23%)—用以確保信息系統(tǒng)的操作����、維護與支持流程符合組織的戰(zhàn)略與目標。
5)信息資產的保護 (27%)—用以確保組織的安全政策����、標準��、規(guī)程和控制能夠_信息資產的機密性��、完整性和可用性�。
6�、CISA每年有幾次考試?國內考點分別是什么地方����?
答:CISA是機考,可隨約隨考(提前1-4周做報考即可�����,對報考沒有次數和時間上的限制)��,可以在全球授權的PSI線下考試中心進行在線考試(遠程監(jiān)考)�����?����?忌梢栽诰W上報名��,報名方式:登陸ISACA網站[http://www.isaca.org/]�����,網上填寫英文報名表����,繳納美元完成報考手續(xù)?���?荚嚽?-3周, 考生收到CISA考試入場券,艾威學員尊享全程代報名服務��,詳詢艾威課程顧問����。
全國20多個城市有考點,目前中國有以下城市覆蓋PSI機考考場: 北京�,上海,廣州����,深圳����,成都�����,重慶����,大連,杭州����,濟南,南京�����,沈陽��,天津����,西安����,鄭州�,福州�,合肥,長沙��,寧波����,南寧,溫州�,貴陽,香港�,臺灣,澳門�����。
7��、參加CISA考試認證有沒有資格上的要求�����?
答:參加考試無要求,但通過考試后申請證書需要滿足工作經驗要求才能獲得CISA證書�。
若想成為注冊信息系統(tǒng)審計師,申請人必須:
1)取得 CISA 考試的及格分數�。僅通過 CISA 考試,但是未能取得以下所列工作經驗時�,考試成績只能維持五年有效。如果申請人未能在五年內達到 CISA 的認證要求����,則考試成績將失效。
2)提供從事信息系統(tǒng)審計�、控制、鑒證或安全工作 5 年工作經驗的確認證明表��。工作經驗必須在認證申請日之前的十年內�,或_初通過考試之日起的五年內獲得。
具有下列同等經驗者����,可按規(guī)定申請抵減,抵減額度_高為三年:
■ _多可以用 1 年的信息系統(tǒng)經驗或一年非信息系統(tǒng)審計經驗抵減一年的工作經驗����。
■ 完成 60-120 大學學分(相當于兩年或四年大學學歷),不受 10 年先前經驗的限制�����,可以相應抵減一年或兩年的工作經驗。
■ 在開設 ISACA 模型課程的大學中獲得學士或碩士學位可抵 1 年的工作經驗�。如果已經使用三年經驗抵減和教育豁免的規(guī)定�,則不能使用本項規(guī)定。
■ 從鑒定認可的大學的信息安全或信息技術專業(yè)畢業(yè)的碩士學位可抵減 1 年的工作經驗�。
例外:兩年相關領域(例如,計算機科學�����、會計�����、信息系統(tǒng)審計等)內大學全職講師工作經驗可抵減一年的工作經驗��。
例如��,做為_低要求(假設以 120 個大學學分來抵減兩年的工作經驗)�,申請人必須有三年的實際工作經驗。該經驗可以由以下方式來獲得:
■ 三年信息系統(tǒng)審計�、控制、鑒證或安全領域工作經驗
或
■ 兩年信息系統(tǒng)審計�����、控制、鑒證或安全領域工作經驗再加上一年非信息系統(tǒng)審計或信息系統(tǒng)工作經驗或兩年全職大學講師的經驗��。
需要特別注意的是�����,許多人都選擇在達到經驗要求之前參加 CISA 考試�����。此種做法是可以接受的����,也是值得鼓勵的,但 CISA 認證資格只有在達到所有要求之后才會授予�����。
3)同意遵守 ISACA 的《職業(yè)道德規(guī)范》
4)同意遵守 ISACA 所采用的《信息系統(tǒng)審計標準》
5)同意遵守《注冊信息系統(tǒng)審計師繼續(xù)職業(yè)教育政策(CPE)》
8��、CISA考試要考幾科��,每科多少題目�����?
答:CISA考試只有一科,考題為150道單選題�����,試題可能會有兩個甚至多個正確的答案����,在考試中考生只要選中其中一個(只能選一個)你認為_優(yōu)的答案就可以了��。
9�����、CISA考試總分多少��,多少分通過�?
答:共計800分,450分通過�。450分是指比例分數。舉例來說:比例分數為800的代表滿分�����,所有問題全部回答正確;比例分數為200的是_低分數�����,表示只回答對了其中少數問題��?����?忌姆謹当仨氝_到450或更高才可以通過考試�。450分代表由ISACA的CISA認證委員會所制定的_低的統(tǒng)一知識標準。
10�、CISA考試的語種選擇?
答:自2007年12月開始��,ISACA有中文簡體試卷��。2011年3月份開始�����,ISACA有中文簡體考試資料��?���?忌趫竺麜r可以選擇自己喜歡或熟悉的語種����。包括簡體中文�����、繁體中文��、英語�����、法語�、德語�、西班牙語、荷蘭語����、意大利語、日語�、韓語文和希伯來語等多種考試語言,2023年新增葡萄牙語��。
11、CISA如何領取準考證�?
答:在CISA考試前2到3周,考生會收到來自 ISACA 的書面準考證以及電子準考證或直接上官網打印準考證�����。
準考證上標明了考試的日期�、入場登記時間與考試地點、當天日程安排以及參加 CISA 考試必須攜帶的材料�����??忌梢詰{借打印的電子準考證或準考證原件進入考場。除非聯(lián)系信息發(fā)生變更��,否則考生不應在準考證上涂寫����。
12、CISA報名后如果時間來不及����,是否可以退款或緩考?
答:可以退款或緩考。無法參加考試的申請人可以在指定日期前要求退還報名費�,退款中將扣除手續(xù)費。
考試報名者也可以在指定日期前選擇將考試日期延至以后考試日�����。緩考費用根據申請緩考時間不同而不同�。學習資料以及相關稅款、郵資����、處理費或會員費不予退還或退換?����?荚噲竺M和會員費不可轉讓����。
13�����、應該如何選擇CISA學習資料�?
答:在輔導書上建議選用ISACA官方出版的《CISA Review Manual》,中文名稱是《CISA考試復習手冊》。教材每年更新����。目前_新版是第27版。
14��、CISA考試是筆試還是機考����?
答:目前沒有采用計算機考試,仍然是筆試涂寫答題卡的方式�����。
15����、CISA考試成績如何公布?
答:考試之日起約四到八周�,考生將接到郵寄的正式考試成績通知。此外�����,如果考生在報名過程中注明同意����,則我們還可以為考生發(fā)送電子郵件�,其中包含考生及格/不及格的情況以及考試得分�。
16. CISA報名之后官方如何審核資格?
答:考試通過后ISACA會在全球抽調5-10%進行審核�����,方式為:發(fā)送郵件給考試通過后工作經驗證明簽字人的郵箱�,確認相關資。
17. 是不是一定需要CISA(審計)方面的工作經驗才能拿到證書 �����?
答:ISACA要求需要具備IT審計��、安全����、鑒證相關工作經驗,_高學歷或專業(yè)�、或大學講師資歷可以抵消至二年工作經驗,范圍很大����;
18. CISA考試難度如何 ?
答:難度因人而異�,但整體的反饋是不難的,官方的通過律為45%左右�����,只要自己肯學就沒問題��。CISA是一個國際性的考試����,中文或英文或其他語言,對于CISA只是一個考試語言種類的增加��,難度并沒有降低�。不能說只要國際認證有了中文考試含金量就低了,認證考試的目的����,一個是學習、一個是拿證����,不要想拿了哪個證就能馬上有多么好的工作。
