400-888-5228

CISA認證是由信息系統(tǒng)審計與控制協(xié)會(ISACA)頒發(fā)的,針對信息系統(tǒng)審計、控制與安全領(lǐng)域的專業(yè)認證。它表明持證人在評估和審計信息系統(tǒng)的安全性、可靠性和有效性方面具備專業(yè)知識和技能。CISA 認證在信息技術(shù)和審計領(lǐng)域具有較高的認可度。

  • 中文名CISA信息系統(tǒng)審計師認證
  • 英文名Certified Information Systems Auditor
  • 英文簡稱CISA
  • 頒證機構(gòu)ISACA(國際信息系統(tǒng)審計與控制協(xié)會)
  • 證書類別IT審計,IT運維,信息安全
  • 同類認證CISM、CRISC

01

大家應該都知道財務(wù)審計,

通俗講,就是查賬的。

看一下公司賬上的數(shù)據(jù)是否準確,

每筆賬是否都能合理溯源。

 

那IT審計到底是干什么的呢?

它和財務(wù)審計有什么關(guān)系嗎?

這么跟你說吧,

現(xiàn)在很多公司都會用到財務(wù)系統(tǒng)(比如ICP、用友啥的),

系統(tǒng)呢,會存儲財務(wù)相關(guān)數(shù)據(jù),

想要確保財務(wù)審計工作是有意義的,

那就要先確保這個系統(tǒng)是可靠的,對不對?

IT審計就是做這個的。


當然也不是只審計與財務(wù)有關(guān)的系統(tǒng)。

你可以把IT審計當作是對IT系統(tǒng)的一次全面的安全檢查,

看看實施的 IT 控制措施,

能不能有效保護公司的資產(chǎn),

能不能_數(shù)據(jù)完整等等。


02

IT審計都做些什么呢?

大致可以分為三類:

ITEC(公司層面控制)、ITGC(一般層面控制)和ITAC(應用層面控制)。

看完這個,你就懂了!IT審計到底是干什么的?如何做好IT審計? -- 第1張

其中EC、GC和coding無關(guān),

更多依賴對IT治理和管控方法的掌握和運用。

AC中的抽樣穿行測試,也跟技術(shù)沾不上邊,

只要會excel的常用函數(shù),就可以了。

相對硬核的,比如AC中的CAATs,

這個需要一定的業(yè)務(wù)理解以及coding能力。


03

下面重點說一下GC,因為廣義上的信息安全審計就包含在GC中。

GC關(guān)注IT內(nèi)部控制的有效性,一般從三個方面去衡量:

MA權(quán)限管理、MC變更管理、MO一般控制管理

 

MA看系統(tǒng)的密碼策略、用戶權(quán)限、特權(quán)賬號等

是否采取了有效的控制和管理。

比如說系統(tǒng)的密碼,有沒有按規(guī)定設(shè)置復雜度。

還有小王有數(shù)據(jù)庫A的管理員權(quán)限,是不是合理?

小李離職了,他的賬號有沒有注銷等。

 

MC看系統(tǒng)功能或者版本變更

是不是有走了需求評審、開發(fā)、測試、上線審批之類的流程

并且能夠在系統(tǒng)中看到這些流程的記錄。

還需要看人員的職責分離情況,

比如,正常情況下,開發(fā)、測試和運維,

他不能是一撥人,不然可能會出問題。

 

MO是大家都喜歡做的部分,

因為簡單,容易上手。

MO看數(shù)據(jù)庫的備份情況,

比如說本地備份、異地備份,

有沒有定期做數(shù)據(jù)恢復性測試等


04

再來簡單說一下ITAC吧。

AC是IT應用層面控制,

關(guān)注IT系統(tǒng)一些具體功能設(shè)置的有效性。

比如,某收銀系統(tǒng)的交易會經(jīng)過系統(tǒng)A和系統(tǒng)B,

_終在ICP系統(tǒng)生成某個憑證。

 

那我要驗證這件事的話,

就需要去收集某筆交易確實依次存在于系統(tǒng)A、系統(tǒng)B的截圖,

以及該筆交易_終在ICP生成的憑證截圖。

 

AC的審計工作會因行業(yè)的不同,

在測試內(nèi)容以及測試難度上,

呈現(xiàn)出比較明顯的差異性。

小艾老師打聽了一圈,

貌似制造業(yè)的ITAC普遍都比較難做。

 

好了,以上就是關(guān)于IT審計非常基礎(chǔ)的介紹。

想要了解更多或者有意向往IT審計崗位發(fā)展的話,

可以去學習一些相關(guān)課程,比如CISA。

也就是國際信息系統(tǒng)審計師認證。

CISA是控制與安全等專業(yè)領(lǐng)域中取得成績的象征,

也是金融/投資/證券行業(yè)內(nèi)審員以及“四大”的審計崗的不二之選。

_后給大家附上關(guān)于CISA考試的一些信息,大家可以截圖保存。

看完這個,你就懂了!IT審計到底是干什么的?如何做好IT審計? -- 第3張 看完這個,你就懂了!IT審計到底是干什么的?如何做好IT審計? -- 第5張 看完這個,你就懂了!IT審計到底是干什么的?如何做好IT審計? -- 第7張 看完這個,你就懂了!IT審計到底是干什么的?如何做好IT審計? -- 第9張 看完這個,你就懂了!IT審計到底是干什么的?如何做好IT審計? -- 第11張 看完這個,你就懂了!IT審計到底是干什么的?如何做好IT審計? -- 第13張

看完這個,你就懂了!IT審計到底是干什么的?如何做好IT審計? -- 第15張

發(fā)表回復

您的電子郵箱地址不會被公開。 必填項已用*標注

  • 2024-11-28 20:00
    智能財務(wù)運營的未來視角:RPA與AI技術(shù)的融合應用
  • 2024-11-29 14:00
    周五課堂:如何帶團隊?靠什么服眾?那些無處不在的“軟技能”
  • 2024-12-04 20:00
    職場故事:PMP與BA的協(xié)同與本地化策略
  • 2024-12-05 20:00
    職場故事:策劃崗如何快速學習新領(lǐng)域新知識?Get新技能√
  • 2024-12-10 20:00
    數(shù)字化轉(zhuǎn)型與TOGAF:不謀全局者,不足謀一隅,數(shù)字化轉(zhuǎn)型的“頂層設(shè)計”
  • 2024-12-12 20:00
    神秘莫測:密碼學和加密解密
  • 2024-12-17 20:00
    財務(wù)運營智能化與數(shù)據(jù)驅(qū)動:商業(yè)智能(BI)系統(tǒng)的實施與運用
  • 2024-12-19 20:00
    職場故事:項目管理的藝術(shù)與日常
  • 2024-12-25 20:00
    案例分析:深入探討商業(yè)分析工具的實際應用
  • 2024-12-26 20:00
    存量數(shù)據(jù)“由亂到治”:如何解決已有數(shù)據(jù)的數(shù)據(jù)質(zhì)量問題?
  • 更多直播講座
    小艾老師還在安排中…
查看全部 >

掃碼一鍵預約全部

查看更多 > 查看更多 >

數(shù)字化轉(zhuǎn)型8大核心認證

  1. PMP項目管理認證

    艾威最近一期班: 針對2025年03月考試
  2. CBAP業(yè)務(wù)分析認證

    艾威最近一期班·開課時間: 2025-01-18
  3. CBPP流程管理認證

    艾威最近一期班·開課時間: 2025-03-15
  4. ITIL4 IT管理認證

    艾威最近一期班·開課時間: 2025-01-18
  5. TOGAF企業(yè)架構(gòu)認證

    艾威最近一期班·開課時間: 2025-01-18
  6. CDMP數(shù)據(jù)管理認證

    艾威最近一期班·開課時間: 2025-02-22
  7. CISA信息安全審計師認證

    艾威最近一期班·開課時間: 2025-03-02
  8. CISSP信息安全專家認證

    艾威最近一期班·開課時間: 2025-02-15
近期課程安排