原創(chuàng)2024-05-08小艾老師

CISA信息系統(tǒng)審計師認(rèn)證知識體系考證須知證書含金量培訓(xùn)大綱 3分鐘小視頻我要提問

CISA認(rèn)證是由信息系統(tǒng)審計與控制協(xié)會（ISACA）頒發(fā)的，針對信息系統(tǒng)審計、控制與安全領(lǐng)域的專業(yè)認(rèn)證。它表明持證人在評估和審計信息系統(tǒng)的安全性、可靠性和有效性方面具備專業(yè)知識和技能。CISA 認(rèn)證在信息技術(shù)和審計領(lǐng)域具有較高的認(rèn)可度。

中文名CISA信息系統(tǒng)審計師認(rèn)證
英文名Certified Information Systems Auditor
英文簡稱CISA
頒證機(jī)構(gòu)ISACA（國際信息系統(tǒng)審計與控制協(xié)會）
證書類別IT審計，IT運維，信息安全
同類認(rèn)證CISM、CRISC

01

大家應(yīng)該都知道財務(wù)審計，

通俗講，就是查賬的。

看一下公司賬上的數(shù)據(jù)是否準(zhǔn)確，

每筆賬是否都能合理溯源。

那IT審計到底是干什么的呢？

它和財務(wù)審計有什么關(guān)系嗎？

這么跟你說吧，

現(xiàn)在很多公司都會用到財務(wù)系統(tǒng)（比如ICP、用友啥的），

系統(tǒng)呢，會存儲財務(wù)相關(guān)數(shù)據(jù)，

想要確保財務(wù)審計工作是有意義的，

那就要先確保這個系統(tǒng)是可靠的，對不對？

IT審計就是做這個的。

當(dāng)然也不是只審計與財務(wù)有關(guān)的系統(tǒng)。

你可以把IT審計當(dāng)作是對IT系統(tǒng)的一次全面的安全檢查，

看看實施的 IT 控制措施，

能不能有效保護(hù)公司的資產(chǎn)，

能不能_數(shù)據(jù)完整等等。

02

IT審計都做些什么呢？

大致可以分為三類：

ITEC（公司層面控制）、ITGC（一般層面控制）和ITAC（應(yīng)用層面控制)。

其中EC、GC和coding無關(guān)，

更多依賴對IT治理和管控方法的掌握和運用。

AC中的抽樣穿行測試，也跟技術(shù)沾不上邊，

只要會excel的常用函數(shù)，就可以了。

相對硬核的，比如AC中的CAATs，

這個需要一定的業(yè)務(wù)理解以及coding能力。

03

下面重點說一下GC，因為廣義上的信息安全審計就包含在GC中。

GC關(guān)注IT內(nèi)部控制的有效性，一般從三個方面去衡量：

MA權(quán)限管理、MC變更管理、MO一般控制管理

MA看系統(tǒng)的密碼策略、用戶權(quán)限、特權(quán)賬號等

是否采取了有效的控制和管理。

比如說系統(tǒng)的密碼，有沒有按規(guī)定設(shè)置復(fù)雜度。

還有小王有數(shù)據(jù)庫A的管理員權(quán)限，是不是合理？

小李離職了，他的賬號有沒有注銷等。

MC看系統(tǒng)功能或者版本變更

是不是有走了需求評審、開發(fā)、測試、上線審批之類的流程

并且能夠在系統(tǒng)中看到這些流程的記錄。

還需要看人員的職責(zé)分離情況，

比如，正常情況下，開發(fā)、測試和運維，

他不能是一撥人，不然可能會出問題。

MO是大家都喜歡做的部分，

因為簡單，容易上手。

MO看數(shù)據(jù)庫的備份情況，

比如說本地備份、異地備份，

有沒有定期做數(shù)據(jù)恢復(fù)性測試等

04

再來簡單說一下ITAC吧。

AC是IT應(yīng)用層面控制，

關(guān)注IT系統(tǒng)一些具體功能設(shè)置的有效性。

比如，某收銀系統(tǒng)的交易會經(jīng)過系統(tǒng)A和系統(tǒng)B，

_終在ICP系統(tǒng)生成某個憑證。

那我要驗證這件事的話，

就需要去收集某筆交易確實依次存在于系統(tǒng)A、系統(tǒng)B的截圖，

以及該筆交易_終在ICP生成的憑證截圖。

AC的審計工作會因行業(yè)的不同，

在測試內(nèi)容以及測試難度上，

呈現(xiàn)出比較明顯的差異性。

小艾老師打聽了一圈，

貌似制造業(yè)的ITAC普遍都比較難做。

好了，以上就是關(guān)于IT審計非?；A(chǔ)的介紹。

想要了解更多或者有意向往IT審計崗位發(fā)展的話，

可以去學(xué)習(xí)一些相關(guān)課程，比如CISA。

也就是國際信息系統(tǒng)審計師認(rèn)證。

CISA是控制與安全等專業(yè)領(lǐng)域中取得成績的象征，

也是金融/投資/證券行業(yè)內(nèi)審員以及“四大”的審計崗的不二之選。

_后給大家附上關(guān)于CISA考試的一些信息，大家可以截圖保存。

贊

審計的好就叫“老師”？審計的不好就說是“挑刺的”？看完這個，你就懂了！IT審計到底是干什么的？審計的好就叫“老師”？審計的不好就說是“挑刺的”？看完這個，你就懂了！IT審計到底是干什么的？ IT審計到底是干什么的呢？它和財務(wù)審計有什么關(guān)系嗎？IT審計適不適合我？IT審計需要coding方面的能力嗎？IT …...
時間費用拎不清？一文帶你搞定CISA考試你是不是對CISA（Certified Information Systems Auditor，信息系統(tǒng)審計師認(rèn)證）很感興趣？你是不是想要成為一名專業(yè)的信息系統(tǒng)審計師，為企業(yè)提供高質(zhì)量的審計服務(wù)？你是不是對CISA考試的時間？獲取證書的 …...
IT審計師側(cè)記：我們是如何做到“人見人罵”的？研發(fā)部門：“本來項目就緊，還得整很多文件和數(shù)據(jù)，還得改流程，這不是添亂嘛！” 銷售部門：“哎呀，這 IT 審計要審核客戶系統(tǒng)，搞得我們都沒法及時跟客戶溝通了，訂單都要黃了！” 人力資源部門：“他們審他們 …...
揭秘CISA：你不知道的信息安全認(rèn)證，輕松掌握職場先機(jī)！在當(dāng)今的信息化時代，信息系統(tǒng)的安全和穩(wěn)定是企業(yè)和組織的重要資產(chǎn)。信息系統(tǒng)審計是一項專業(yè)的工作，需要具備豐富的知識和經(jīng)驗，以及敏銳的洞察力和判斷力。信息系統(tǒng)審計師是信息系統(tǒng)審計領(lǐng)域的專業(yè)人士， …...
12月CISA正式開講！助您掌握IT審計技能，打造核心競爭力！在數(shù)字化浪潮中，信息安全問題備受關(guān)注。23年12月期CISA信息系統(tǒng)審計師認(rèn)證教學(xué)正式開講！本次培訓(xùn)匯聚了來自紫金礦業(yè)、中國移動、奇安信、工商銀行、平安財產(chǎn)、一汽大眾等多家知名企業(yè)的精英學(xué)員。本期培 …...
IT審計師：我們是如何做到“人見人罵”的？在企業(yè)中，IT審計工作常常面臨各種挑戰(zhàn)，有些部門呢，對IT審計的不理解和不配合，使得IT審計師的工作備受困擾。那么，IT審計師究竟是如何將一份普通的工作干得這么招人討厭的呢？...今天咱們就來聊一聊IT審 …...