CISA認證是什么，如何報考？

CISA備考感悟

原創(chuàng)2018-09-10艾威學員

CISA認證是什么，如何報考？

CISA認證是什么？
CISA(Certified Information Systems Auditor，中文為國際信息系統(tǒng)審計師)認證是由信息系統(tǒng)審計與控制協(xié)會ISACA(Information Systems Audit and Control Association)發(fā)起的，是信息系統(tǒng)審計、控制與安全等專業(yè)領域中取得成績的象征。
CISA認證適用于企業(yè)信息系統(tǒng)管理人員、IT管理人員、IT審計人員或信息化咨詢顧問、信息安全廠商、服務提供商，以及其他對信息系統(tǒng)審計感興趣的人員。
隨著商業(yè)社會對信息系統(tǒng)審計、控制與安全專業(yè)人才需求的增長，CISA已成為全球范圍內個人與公司機構不可或缺的專業(yè)認證。
CISA 資格證書代表持證人有卓越的能力服務于公司的信息系統(tǒng)審計、控制與安全領域。此外，它還為持證人帶來越來越可觀的職業(yè)成就和經濟利益。

為什么學習CISA？含金量如何？
截至2016年底，世界范圍內有超過14萬IT治理、信息安全的專業(yè)人士獲得此證書。CISA被全球范圍的企業(yè)和專業(yè)人士視為IT/IS認證的“黃金標準”。
中國獲得CISA認證的審計師分布在銀行、證券、政府、高端制造業(yè)、信息服務業(yè)等高端行業(yè)內，越來越受到國內各大企事業(yè)單位認可。
CISA的就業(yè)前景和市場非常可觀。由于內外部監(jiān)管的要求（如Sarbanes-Oxley），跨國企業(yè)、大型金融機構以及廣大上市公司均設有一定量的信息系統(tǒng)審計、控制和安全崗位，例如IT Auditor, IS Auditor, IT Internal Control, Security Analyst, Compliance Officer 和Risk Manager。同時，大型會計師事務所，例如四大都有相當規(guī)模的專門從事信息系統(tǒng)審計、控制和安全服務的顧問隊伍。

ISACA認證機構：
國際信息系統(tǒng)審計協(xié)會（ISACA）創(chuàng)始于 1967 年，是由從事電腦系統(tǒng)審計監(jiān)控工作人士所組成的小團體。鑒于電腦信息審計監(jiān)控工作對自己在職機構的運作愈益重要，他們開始討論相關范疇需要集中的信息資源和指引。在 1969 年，這個團體正式組成 EDP 信息系統(tǒng)審計協(xié)會。在 1976 年，這個協(xié)會成立一項教育基金來開展大規(guī)模的研究工作，以拓展信息科技治理與監(jiān)控領域的知識與價值。國際信息系統(tǒng)審計協(xié)會之前使用其全名稱謂 (the Information Systems Audit and Control Association) ，但是現(xiàn)已簡稱為 ISACA，以反映它為從事于廣泛的 IT 治理領域的專業(yè)人士提供服務。
今天，ISACA 在全球有超過 14萬名成員，特點是成員的背景十分廣泛。這些成員在 180 多個國家內生活和工作，并涵蓋眾多信息科技相關的專業(yè)，例如信息系統(tǒng)審計師、顧問、教導員、信息系統(tǒng)安全專家、監(jiān)管機構人員、首席信息官和內部審計師等。有些是職業(yè)領域內的新進人員，其他為中級管理人員，另外還有許多人擔任高級職位。ISACA 的成員幾乎遍及所有行業(yè)，包括財政金融、公共會計、政府與公共部門、公用事業(yè)和制造業(yè)。成員多樣的背景使他們能夠互相學習，并在許多專業(yè)問題上廣泛交流彼此獨特的觀點。此特點一直是 ISACA 的一項優(yōu)勢。國際信息系統(tǒng)審計協(xié)會現(xiàn)已簡稱為ISACA，以反映協(xié)會信息系統(tǒng)管理方面的廣泛領域。

CISA考試涉及領域，具體如下：
信息系統(tǒng)審計流程(14%)—遵照IT審計標準提供審計服務，以幫助組織保護和控制其信息系統(tǒng)。
IT治理和管理(14%)—用以確保具備必要的領導層、組織結構及流程來實現(xiàn)相關目標和支持組織戰(zhàn)略。
信息系統(tǒng)購置、開發(fā)與實施(19%)—用以確保信息系統(tǒng)的購置、開發(fā)、測試和實施實務符合組織的戰(zhàn)略與目標。
信息系統(tǒng)的操作、維護與支持(23%)—用以確保信息系統(tǒng)的操作、維護與支持流程符合組織的戰(zhàn)略與目標。
信息資產的保護(30%)—用以確保組織的安全政策、標準、規(guī)程和控制能夠_信息資產的機密性、完整性和可用性。

CISA誰適合學習？
● IT經理、信息安全經理
● 信息系統(tǒng)審計專業(yè)人士、內部審計人員、外部審計人員、內控與合規(guī)人員
● 審計從業(yè)者和咨詢顧問
● CEO,CFO,CIO/信息中心主任
● 負責信息系統(tǒng)安全管理和規(guī)劃的經理，信息安全業(yè)內人士
● 把握信息時代趨勢的中高級管理者,CPA財務專家等

CISA報名考試
報考條件不限，均可報名參加考試，但通過考試后需申請CISA資質！
若想成為注冊信息系統(tǒng)審計師，申請人必須：
1．取得 CISA 考試的及格分數(shù)。僅通過 CISA 考試，但是未能取得以下所列工作經驗時，考試成績只能維持五年有效。如果申請人未能在五年內達到 CISA 的認證要求，則考試成績將失效。
2．提供從事信息系統(tǒng)審計、控制、鑒證或安全工作 5 年工作經驗的確認證明表。工作經驗必須在認證申請日之前的十年內，或_初通過考試之日起的五年內獲得。

CISA考試費用
CISA官網考試費用為760美金，參加ISACA授權培訓機構的考試會有一定折扣優(yōu)惠。具體優(yōu)惠詳情需咨詢所報名的ISACA_培訓機構。（艾威是ISASA授權培訓機構）

CISA培訓備考
本人為艾威CISA學員，90后，目前就職于通信行業(yè)內某國企單位，主要從事通信類業(yè)務營銷以及項目支撐等工作。個人能力屬項目管理稍傾向技術方面，未來發(fā)展趨勢信息安全管理類。

學習CISA動機
1、去年開始施行的《網絡安全法》，其中將等級保護備案制度提升至法律層面。目前無論從甲方角度還是從乙方角度，都希望了解自己的信息系統(tǒng)是否合法是否合規(guī)。學習CISA會有助于我對等保這類專項審計工作有個新認識。
2、今年6月Global Knowledge發(fā)布的15Top-PayingITCertificationsfor2018中，ISACA的認證均名列榜上，CISA居13位，相比往年有所下降但仍相當具有權威性。所以多考個證即使現(xiàn)在用不上也給以后晉升或者跳槽增加點籌碼，目前對于信息安全崗位用人單位一般都會備注擁有CISA或者CISSP優(yōu)先。
3、本人平時上班兩點一線，與其下班后肥宅廢掉，還不如多學點什么。至于為什么會選擇艾威，一半原因他是ISACA指定培訓機構，從心理上會感覺比別的培訓機構靠譜一些（事實證明確實倍兒棒），還有一半原因去年12月參加過的PMI-PBA認證培訓并且今年3月穩(wěn)穩(wěn)通過，無論從售前咨詢到培訓學習過程，無論平時的監(jiān)督學習還是報考指導都感受頗好。

CISA學習過程
由于的排課是工作日加周末的方式，上班時間請假出來培訓成本太高，所以在4月底報了網課，想好好看視頻學習的，但事實證明那也確實只是想想，感覺沒有強大的自控力實在堅持不了，到5月底的時候學習進度也只到了54%，《CISA復習考題及解答手冊》不要說題目做沒做了就連書都沒翻過。這時，CISA課程顧問突然某天和我說6月份安排了5天的面授果斷補差上面授班。結課是在7月1號，所以整個學習以及復習的Schedule都計劃排在6月里即一整個月時間。
規(guī)定自己每天完成50題復習題并且看30分鐘-40分鐘網課，下班后，就會去星爸爸（星巴克）里做題看書，其實并非很安靜，晚上來蹭空調的阿姨媽媽都嘰嘰喳喳的。我是拿紙片擋著題目做一題看一題分析這樣來做的，完成50題大概要花3個小時時間。（因為很多知識點都是_次接觸理解起來不容易）把做錯的和難理解的題目標記出來。需勞逸結合，所以我周末兩天共只做50題，這樣既能休息休息也不至于忘掉做題的感覺，如果兩天題都不碰周一再做可能很不適應，而且容易犯懶。
艾威老師講課的順序是按4-5-3-2-1章節(jié)的順序來講課，這樣會更加貼近實際工作。外加上已經聽過網課并且做過題，所以聽課會輕松許多，而且老師授課會從實際工作的角度出發(fā)，一名審計師在實際工作中遇到了這種情況是會如何應對或采取措施的，以及會對課程中涉及的模型和案例做分析。還會對CISA考試中部分有針對性的題目進行重點講解，讓我印象深刻（事實證明確實考到了這樣的題）。
CISA考試預約，我選在了結課后的_個周六，所以結課后還會有5個工作日的復習時間，這5天我是根據(jù)老師的講課順序以每天復習一個章節(jié)的進度，將_遍做后標記出來的題都再做一遍。這樣不僅對重點考點的題目能做到心領神會，而且考前會對生僻冷門的題也會一個印象。

CISA考試及題型
報考過程完全不用擔心，只要根據(jù)教務所發(fā)的步驟并填寫信息表就可以完成，剩下的只要交給教務就可以了。
考試240分鐘綽綽有余，基本用了2個小時不到的時間就能完成考題。做題時是能標注的，對于模棱兩可的題我都標注出來，做完的時候發(fā)現(xiàn)有17道題是把握不準的。由于過了兩遍習題書未免會產生好像見過這題卻又不知道選哪個的情況，這時候回想下老師常提的知識點，重點講解的自己再結合題意稍加分析基本能猜個八九不離十了。如果實在不知道選項的一般根據(jù)題意能判斷出2個明顯是錯誤的選項，然后再看剩下的選項中其中一個和明顯錯誤的兩個選項會比較相近或者有同類的地方，那大概率剩下的那個就是正確答案了的。
CISA考試的題目我遇到的考備份的不多或者我印象不深，印象比較深的還是業(yè)務目標的題目起碼有5題左右，人員安全考疏散計劃的有涉及到，其次是涉及業(yè)務案例的題有3-4題。印象_深的是考前吳老師分析外包時說不要只認得第三方托管協(xié)議，不認得軟件Or代碼可用性，結果考題我遇到的確實是代碼可用性。防火墻網絡拓撲中位置的題有涉及到2-3題。別的就記不太清了。
我覺得__重要的建議就是一旦你有點把握了就盡早約考，如果每次都想著拖啊拖的，時間越長知識點也就淡忘得越快，因為CISA考點范圍還是挺廣的，知識點也較為松散的。