CISA考試內(nèi)容大綱
18%-領(lǐng)域 1:信息系統(tǒng)的審計流程
該領(lǐng)域提供行業(yè)標準的審計服務(wù)��,以幫助組織保護和控制信息系統(tǒng),從而證明您對組織的IS/IT安全�、風(fēng)險和控制解決方案的狀態(tài)提供結(jié)論的可信度。
A-規(guī)劃
1 審計標準�、準則和道德規(guī)范
2 審計、評估和審查的類型
3 基于風(fēng)險的審計規(guī)劃
4 控制類型和注意事項 | B-執(zhí)行
1 審計項目管理
2 審計測試和抽樣方法
3 審計證據(jù)收集技術(shù)
4 審計數(shù)據(jù)分析
5 報告和溝通技巧
6 審計過程的質(zhì)量_和改進 |
18%-領(lǐng)域 2:IT 治理與管理
該領(lǐng)域向利益相關(guān)者證實了您識別關(guān)鍵問題和推薦特定于企業(yè)的實踐以支持和保護信息和相關(guān)技術(shù)的治理的能力���。
A-IT治理
1 法律�、法規(guī)和行業(yè)標準
2 組織結(jié)構(gòu)����、IT治理和IT戰(zhàn)略
3 IT政策、標準��、程序和實踐
4 企業(yè)架構(gòu)和考慮事項
5 企業(yè)風(fēng)險管理
6 隱私計劃和原則
7 數(shù)據(jù)治理和分類 | B-IT管理
1 IT資源管理
2 IT供應(yīng)商管理
3 IT性能監(jiān)控和報告
4 信息技術(shù)的質(zhì)量_和質(zhì)量管理 |
12%-領(lǐng)域 3:信息系統(tǒng)的購置�、開發(fā)與實施
領(lǐng)域3和4不僅證明了您在IT控制方面的能力,還證明了您對IT與業(yè)務(wù)關(guān)系的理解��。
A-信息系統(tǒng)的采購與開發(fā)
1 項目治理和管理
2 業(yè)務(wù)案例和可行性分析
3 系統(tǒng)開發(fā)方法
4 控制識別和設(shè)計 | B-信息系統(tǒng)實施
1 系統(tǒng)準備和實施測試
2 實施配置和發(fā)布管理
3 系統(tǒng)遷移�、基礎(chǔ)設(shè)施部署和數(shù)據(jù)轉(zhuǎn)換
4 實施后審查 |
26%-領(lǐng)域 4:信息系統(tǒng)的運營和業(yè)務(wù)恢復(fù)能力
領(lǐng)域3和4不僅證明了您在IT控制方面的能力,還證明了您對IT與業(yè)務(wù)關(guān)系的理解����。
A-信息系統(tǒng)運營
1 IT組件
2 IT資產(chǎn)管理
3 作業(yè)調(diào)度和生產(chǎn)過程自動化
4 系統(tǒng)界面
5 影子IT和終端用戶計算
6 系統(tǒng)可用性和容量管理
7 問題和事件管理
8 IT變更、配置和補丁管理
9 操作日志管理
10 IT服務(wù)級別管理
11 數(shù)據(jù)庫管理 | B-業(yè)務(wù)恢復(fù)能力
1 業(yè)務(wù)影響分析
2 系統(tǒng)恢復(fù)能力
3 數(shù)據(jù)備份��、存儲和恢復(fù)
4 業(yè)務(wù)連續(xù)性計劃(BCP)
5 災(zāi)難恢復(fù)計劃(DRP) |
26%-領(lǐng)域 5:信息資產(chǎn)保護
網(wǎng)絡(luò)安全現(xiàn)在幾乎觸及信息系統(tǒng)的每一個角色,了解其原則��、_佳實踐和缺陷是領(lǐng)域5的一個主要焦點���。
A-信息資產(chǎn)安全和控制
1 信息資產(chǎn)安全框架��、標準和指導(dǎo)原則
2 物理和環(huán)境控制
3 身份和訪問管理
4 網(wǎng)絡(luò)和終端安全性
5 數(shù)據(jù)丟失預(yù)防
6 數(shù)據(jù)加密
7 公鑰基礎(chǔ)設(shè)施
8 云和虛擬化環(huán)境
9 移動��、無線和物聯(lián)網(wǎng)設(shè)備 | B-安全事件管理
1 安全意識培訓(xùn)和計劃
2 信息系統(tǒng)攻擊方法和技術(shù)
3 安全測試工具和技術(shù)
4 安全監(jiān)控工具和技術(shù)
5 安全事件響應(yīng)管理
6 證據(jù)收集和取證 |
任務(wù)
1 計劃審核以確定信息系統(tǒng)是否受到保護和控制���,并為組織提供價值。
2 根據(jù)信息系統(tǒng)審計標準和基于風(fēng)險的信息系統(tǒng)審計策略進行審計��。
3 將項目管理方法應(yīng)用到審計過程中�。
4 與利益相關(guān)方溝通并收集關(guān)于審核進度、發(fā)現(xiàn)���、結(jié)果和建議的反饋���。
5 進行審計后跟進,以評估已識別的風(fēng)險是否已得到充分解決���。
6 利用數(shù)據(jù)分析工具增強審計流程�����。
7 評估自動化和/或決策系統(tǒng)對組織的作用和/或影響�。
8 評估審計流程��,作為質(zhì)量_和改進計劃的一部分�����。
9 評估IT策略是否與組織的策略和目標一致�����。
10 評估IT治理結(jié)構(gòu)和IT組織結(jié)構(gòu)的有效性�。
11 評估組織對IT策略和實踐的管理,包括遵守法律和法規(guī)要求�。
12 評估IT資源和項目管理是否符合組織的戰(zhàn)略和目標。
13 評估組織的企業(yè)風(fēng)險管理(ERM)計劃��。
14 確定組織是否定義了IT風(fēng)險����、控制和標準的所有權(quán)。
15 評估IT關(guān)鍵績效指標(KPI)和IT關(guān)鍵風(fēng)險指標(kri)的監(jiān)控和報告。
16 評估組織繼續(xù)業(yè)務(wù)運營的能力�。
17 評估組織的存儲、備份和恢復(fù)策略和流程�。
18 評估與信息系統(tǒng)相關(guān)的業(yè)務(wù)案例是否符合業(yè)務(wù)目標。
19 評估IT供應(yīng)商選擇和合同管理流程是否符合業(yè)務(wù)����、法律和法規(guī)要求。
20 評估供應(yīng)鏈的IT風(fēng)險因素和完整性問題��。
21 評估信息系統(tǒng)開發(fā)生命周期所有階段的控制措施���。
22 評估信息系統(tǒng)實施和遷移到生產(chǎn)環(huán)境的準備情況���。 | 23 對系統(tǒng)進行實施后審查,以確定是否滿足項目可交付性�、控制和要求。
24 評估是否有有效的流程來支持_終用戶����。
25 評估IT服務(wù)管理實踐是否符合組織要求。
26 對信息系統(tǒng)和企業(yè)架構(gòu)(EA)進行定期審查���,以確定與組織目標的一致性�����。
27 評估IT運營和維護實踐是否支持組織的目標�。
28 評估組織的數(shù)據(jù)庫管理實踐。
29 評估組織的數(shù)據(jù)治理計劃���。
30 評估組織的隱私計劃。
31 評估數(shù)據(jù)分類做法是否符合組織的數(shù)據(jù)治理計劃����、隱私計劃和適用的外部要求。
32 評估組織的問題和事件管理計劃���。
33 評估組織的變更����、配置��、發(fā)布和補丁管理計劃���。
34 評估組織的日志管理計劃�����。
35 評估組織與資產(chǎn)生命周期管理相關(guān)的政策和實踐�����。
36 評估與影子IT和終端用戶計算(EUC)相關(guān)的風(fēng)險���,以確定補償控制的有效性����。
37 評估組織的信息安全計劃���。
38 評估組織的威脅和漏洞管理計劃����。
39 利用技術(shù)安全測試來識別潛在的漏洞��。
40 評估邏輯�����、物理和環(huán)境控制�,以驗證信息資產(chǎn)的機密性、完整性和可用性��。
41 評估組織的安全意識培訓(xùn)計劃。
42 為組織提供指導(dǎo)����,以提高信息系統(tǒng)的質(zhì)量和控制。
43 評估與新興技術(shù)��、法規(guī)和行業(yè)實踐相關(guān)的潛在機會和風(fēng)險��。 |
* 以上內(nèi)容參考ISACA官方的CISA考試內(nèi)容說明�,原文內(nèi)容參見:https://www.isaca.org/credentialing/cisa/cisa-exam-content-outline
ISACA官方考試說明��,在線預(yù)覽↓↓↓
ISACA-Exam-Candidate-Guide
點擊獲取《ISACA考試認證手冊(含CISA考試說明)》[PDF]
點擊進行CISA考試樣題測試[在線/英文]
CISA考試及認證申請常見問題
1����、ISACA是什么機構(gòu)?
答:ISACA( www.isaca.org )在全球140 多個國家擁有超過100000 名成員�����,是獲得公認的IT管理����、控制、安全及_上的全球_者����。該組織成立于1969 年���,主要負責主辦國際會議和出版《信息系統(tǒng)控制期刊》(Information Systems Control Journal),制定國際信息系統(tǒng)查核和控制標準�����,負責CISA����、CISM 、COBIT��、CGEIT ��、CDPSE等認證����。
2、CISA認證適合什么樣的情況�?
答:CISA認證適用于信息系統(tǒng)審計人員、信息化咨詢顧問����、信息系統(tǒng)管理人員����。
一般工作在企業(yè)內(nèi)審或信息中心���、管理咨詢公司��、較大的事務(wù)所(大所才有IT審計的項目)��、信息安全廠商或服務(wù)提供商�����。重點集中在那些對信息化程度依賴較高���、風(fēng)險較大的行業(yè)��,如:金融證券行業(yè)�����。
3����、CISA認證對計算機或?qū)徲嫹矫娴囊螅?/strong>
答:對審計人員來說�����,CISA考試僅僅是將審計環(huán)境替換為在信息系統(tǒng)環(huán)境下�。審計的理念和方法是一致的��,核心還是多了解信息技術(shù)方面的內(nèi)容���,信息技術(shù)方面對審計師并不要求精通�����,考的較基礎(chǔ)�。反過來說�����,如果計算機方面有基礎(chǔ)�,可以把重點放在審計部分,特別是內(nèi)審理念和思維方式的培養(yǎng)上�。
4、CISA會員與非會員區(qū)別��?
答:成為會員沒有限制,只需要_次繳費注冊費�、官方會費、香港分會會費���,然后以后每年按年度交會費���,即可保持ISACA會員資格。
會員與非會員的區(qū)別如下:
會員:
①考試費報名優(yōu)惠:參加官方大陸
②1小時的講座(CISA基本介紹)����;
③可在官方免費下載一些資料(注:考試用書、教材輔導(dǎo)資料和習(xí)題等需要購買)����;
④可參加官方的活動賺取CPE(活動、做題等)�;訂購官方書籍有優(yōu)惠。
非會員:以上均無����。
5��、CISA考試主要考哪些內(nèi)容�?
答:主要有五個部分,分別是:
1)信息系統(tǒng)審計流程 (21%)—遵照 IT 審計標準提供審計服務(wù)�,以幫助組織保護和控制其信息系統(tǒng)�����。
2)IT治理和管理 (17%)—用以確保具備必要的領(lǐng)導(dǎo)層����、組織結(jié)構(gòu)及流程來實現(xiàn)相關(guān)目標和支持組織戰(zhàn)略�。
3)信息系統(tǒng)購置、開發(fā)與實施 (12%)—用以確保信息系統(tǒng)的購置�、開發(fā)、測試和實施實務(wù)符合組織的戰(zhàn)略與目標����。
4)信息系統(tǒng)的運營和業(yè)務(wù)恢復(fù)能力(23%)—用以確保信息系統(tǒng)的操作、維護與支持流程符合組織的戰(zhàn)略與目標����。
5)信息資產(chǎn)的保護 (27%)—用以確保組織的安全政策、標準���、規(guī)程和控制能夠_信息資產(chǎn)的機密性�、完整性和可用性�。
6、CISA每年有幾次考試?國內(nèi)考點分別是什么地方����?
答:CISA是機考,可隨約隨考(提前1-4周做報考即可���,對報考沒有次數(shù)和時間上的限制)����,可以在全球授權(quán)的PSI線下考試中心進行在線考試(遠程監(jiān)考)�����?��?忌梢栽诰W(wǎng)上報名����,報名方式:登陸ISACA網(wǎng)站[http://www.isaca.org/]�����,網(wǎng)上填寫英文報名表���,繳納美元完成報考手續(xù)����?�?荚嚽?-3周, 考生收到CISA考試入場券��,艾威學(xué)員尊享全程代報名服務(wù)�,詳詢艾威課程顧問。
全國20多個城市有考點�,目前中國有以下城市覆蓋PSI機考考場: 北京,上海���,廣州�����,深圳��,成都����,重慶��,大連,杭州�,濟南,南京��,沈陽�����,天津��,西安�����,鄭州�����,福州���,合肥���,長沙,寧波��,南寧,溫州����,貴陽��,香港��,臺灣�����,澳門����。
7、參加CISA考試認證有沒有資格上的要求��?
答:參加考試無要求�����,但通過考試后申請證書需要滿足工作經(jīng)驗要求才能獲得CISA證書���。
若想成為注冊信息系統(tǒng)審計師�,申請人必須:
1)取得 CISA 考試的及格分數(shù)。僅通過 CISA 考試�����,但是未能取得以下所列工作經(jīng)驗時��,考試成績只能維持五年有效��。如果申請人未能在五年內(nèi)達到 CISA 的認證要求�,則考試成績將失效。
2)提供從事信息系統(tǒng)審計�����、控制��、鑒證或安全工作 5 年工作經(jīng)驗的確認證明表����。工作經(jīng)驗必須在認證申請日之前的十年內(nèi),或_初通過考試之日起的五年內(nèi)獲得�����。
具有下列同等經(jīng)驗者�����,可按規(guī)定申請抵減,抵減額度_高為三年:
■ _多可以用 1 年的信息系統(tǒng)經(jīng)驗或一年非信息系統(tǒng)審計經(jīng)驗抵減一年的工作經(jīng)驗����。
■ 完成 60-120 大學(xué)學(xué)分(相當于兩年或四年大學(xué)學(xué)歷)����,不受 10 年先前經(jīng)驗的限制,可以相應(yīng)抵減一年或兩年的工作經(jīng)驗���。
■ 在開設(shè) ISACA 模型課程的大學(xué)中獲得學(xué)士或碩士學(xué)位可抵 1 年的工作經(jīng)驗����。如果已經(jīng)使用三年經(jīng)驗抵減和教育豁免的規(guī)定��,則不能使用本項規(guī)定����。
■ 從鑒定認可的大學(xué)的信息安全或信息技術(shù)專業(yè)畢業(yè)的碩士學(xué)位可抵減 1 年的工作經(jīng)驗。
例外:兩年相關(guān)領(lǐng)域(例如�����,計算機科學(xué)、會計���、信息系統(tǒng)審計等)內(nèi)大學(xué)全職講師工作經(jīng)驗可抵減一年的工作經(jīng)驗���。
例如,做為_低要求(假設(shè)以 120 個大學(xué)學(xué)分來抵減兩年的工作經(jīng)驗)����,申請人必須有三年的實際工作經(jīng)驗。該經(jīng)驗可以由以下方式來獲得:
■ 三年信息系統(tǒng)審計�、控制、鑒證或安全領(lǐng)域工作經(jīng)驗
或
■ 兩年信息系統(tǒng)審計�����、控制�����、鑒證或安全領(lǐng)域工作經(jīng)驗再加上一年非信息系統(tǒng)審計或信息系統(tǒng)工作經(jīng)驗或兩年全職大學(xué)講師的經(jīng)驗����。
需要特別注意的是,許多人都選擇在達到經(jīng)驗要求之前參加 CISA 考試。此種做法是可以接受的��,也是值得鼓勵的��,但 CISA 認證資格只有在達到所有要求之后才會授予�。
3)同意遵守 ISACA 的《職業(yè)道德規(guī)范》
4)同意遵守 ISACA 所采用的《信息系統(tǒng)審計標準》
5)同意遵守《注冊信息系統(tǒng)審計師繼續(xù)職業(yè)教育政策(CPE)》
8、CISA考試要考幾科����,每科多少題目?
答:CISA考試只有一科����,考題為150道單選題�,試題可能會有兩個甚至多個正確的答案,在考試中考生只要選中其中一個(只能選一個)你認為_優(yōu)的答案就可以了����。
9、CISA考試總分多少�����,多少分通過���?
答:共計800分�,450分通過。450分是指比例分數(shù)�。舉例來說:比例分數(shù)為800的代表滿分,所有問題全部回答正確���;比例分數(shù)為200的是_低分數(shù)��,表示只回答對了其中少數(shù)問題����??忌姆謹?shù)必須達到450或更高才可以通過考試。450分代表由ISACA的CISA認證委員會所制定的_低的統(tǒng)一知識標準�。
10、CISA考試的語種選擇��?
答:自2007年12月開始����,ISACA有中文簡體試卷。2011年3月份開始�����,ISACA有中文簡體考試資料?����?忌趫竺麜r可以選擇自己喜歡或熟悉的語種�����。包括簡體中文�、繁體中文、英語��、法語���、德語�����、西班牙語、荷蘭語����、意大利語、日語�����、韓語文和希伯來語等多種考試語言,2023年新增葡萄牙語�����。
11�����、CISA如何領(lǐng)取準考證�����?
答:在CISA考試前2到3周�,考生會收到來自 ISACA 的書面準考證以及電子準考證或直接上官網(wǎng)打印準考證。
準考證上標明了考試的日期�����、入場登記時間與考試地點����、當天日程安排以及參加 CISA 考試必須攜帶的材料?��?忌梢詰{借打印的電子準考證或準考證原件進入考場��。除非聯(lián)系信息發(fā)生變更����,否則考生不應(yīng)在準考證上涂寫。
12�、CISA報名后如果時間來不及,是否可以退款或緩考����?
答:可以退款或緩考。無法參加考試的申請人可以在指定日期前要求退還報名費�����,退款中將扣除手續(xù)費�����。
考試報名者也可以在指定日期前選擇將考試日期延至以后考試日��。緩考費用根據(jù)申請緩考時間不同而不同���。學(xué)習(xí)資料以及相關(guān)稅款��、郵資����、處理費或會員費不予退還或退換�����?�?荚噲竺M和會員費不可轉(zhuǎn)讓��。
13�、應(yīng)該如何選擇CISA學(xué)習(xí)資料?
答:在輔導(dǎo)書上建議選用ISACA官方出版的《CISA Review Manual》����,中文名稱是《CISA考試復(fù)習(xí)手冊》。教材每年更新���。目前_新版是第27版����。
14��、CISA考試是筆試還是機考?
答:目前沒有采用計算機考試����,仍然是筆試涂寫答題卡的方式。
15���、CISA考試成績?nèi)绾喂迹?/strong>
答:考試之日起約四到八周��,考生將接到郵寄的正式考試成績通知���。此外,如果考生在報名過程中注明同意����,則我們還可以為考生發(fā)送電子郵件,其中包含考生及格/不及格的情況以及考試得分����。
16. CISA報名之后官方如何審核資格?
答:考試通過后ISACA會在全球抽調(diào)5-10%進行審核���,方式為:發(fā)送郵件給考試通過后工作經(jīng)驗證明簽字人的郵箱�,確認相關(guān)資�。
17. 是不是一定需要CISA(審計)方面的工作經(jīng)驗才能拿到證書 ?
答:ISACA要求需要具備IT審計��、安全��、鑒證相關(guān)工作經(jīng)驗���,_高學(xué)歷或?qū)I(yè)�����、或大學(xué)講師資歷可以抵消至二年工作經(jīng)驗�,范圍很大�;
18. CISA考試難度如何 ?
答:難度因人而異�,但整體的反饋是不難的,官方的通過律為45%左右��,只要自己肯學(xué)就沒問題��。CISA是一個國際性的考試�,中文或英文或其他語言,對于CISA只是一個考試語言種類的增加��,難度并沒有降低�。不能說只要國際認證有了中文考試含金量就低了�,認證考試的目的��,一個是學(xué)習(xí)����、一個是拿證,不要想拿了哪個證就能馬上有多么好的工作�。
