原創(chuàng)2024-06-13小艾老師

CISA信息系統(tǒng)審計(jì)師認(rèn)證知識(shí)體系考證須知證書含金量培訓(xùn)大綱 3分鐘小視頻我要提問

CISA認(rèn)證是由信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）頒發(fā)的，針對(duì)信息系統(tǒng)審計(jì)、控制與安全領(lǐng)域的專業(yè)認(rèn)證。它表明持證人在評(píng)估和審計(jì)信息系統(tǒng)的安全性、可靠性和有效性方面具備專業(yè)知識(shí)和技能。CISA 認(rèn)證在信息技術(shù)和審計(jì)領(lǐng)域具有較高的認(rèn)可度。

中文名CISA信息系統(tǒng)審計(jì)師認(rèn)證
英文名Certified Information Systems Auditor
英文簡(jiǎn)稱CISA
頒證機(jī)構(gòu)ISACA（國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)）
證書類別IT審計(jì)，IT運(yùn)維，信息安全
同類認(rèn)證CISM、CRISC

01

做IT 審計(jì)，一開始就是通過和被審計(jì)公司具體系統(tǒng)或平臺(tái)的技術(shù)負(fù)責(zé)人、業(yè)務(wù)負(fù)責(zé)人調(diào)研訪談，去了解被審計(jì)公司（項(xiàng)目）的建設(shè)背景、需求、目的、實(shí)施運(yùn)行的情況和效果，還有技術(shù)實(shí)現(xiàn)辦法、功能架構(gòu)、技術(shù)架構(gòu)、業(yè)務(wù)架構(gòu)、安全架構(gòu)、部署架構(gòu)、容災(zāi)方案這些。

再去看看相關(guān)系統(tǒng)或平臺(tái)的設(shè)計(jì)文檔、運(yùn)行數(shù)據(jù)、日志記錄、功能實(shí)現(xiàn)、應(yīng)急預(yù)案等，來評(píng)估建設(shè)、運(yùn)行、維保階段費(fèi)用支出合不合理、有沒有效，還有項(xiàng)目運(yùn)行安不安全、可不可靠、穩(wěn)不穩(wěn)定、能不能擴(kuò)展等。

還有抽查一下公司業(yè)務(wù)（項(xiàng)目）的全生命周期里相關(guān)配套文檔全不全，建設(shè)過程有沒有完整的管理控制辦法，運(yùn)行期間數(shù)據(jù)完不完整、生產(chǎn)數(shù)據(jù)和消費(fèi)數(shù)據(jù)一不一樣這些。

通過對(duì)公司（項(xiàng)目）的調(diào)研數(shù)據(jù)的抽樣整理、問題分析歸納以及必要的穿行測(cè)試，總結(jié)出核心問題、差異問題和共性問題，_后提出能執(zhí)行的改進(jìn)建議。

IT審計(jì)要做的，大致就是這么些事情。

02

那么，審計(jì)的重點(diǎn)，應(yīng)該放在哪些地方呢？

1）評(píng)估業(yè)務(wù)流程的復(fù)雜程度

首先我們要把與財(cái)務(wù)相關(guān)的業(yè)務(wù)流程梳理出來，不同公司（項(xiàng)目）關(guān)注的重點(diǎn)不一樣。比如說電商行業(yè)或者零售行業(yè)可能更會(huì)關(guān)注它的銷售流程；而制造業(yè)的話，相對(duì)來說更會(huì)關(guān)注它的生產(chǎn)流程；在舞弊可能發(fā)生較大的行業(yè)，可能會(huì)更為關(guān)注采購(gòu)流程。

對(duì)于不同項(xiàng)目，我們先得做基礎(chǔ)的判斷，明確這家公司哪些流程應(yīng)重點(diǎn)關(guān)注，接著針對(duì)梳理出的流程清單進(jìn)一步拆解，評(píng)估流程處理過程中是否涉及復(fù)雜公式或大量數(shù)據(jù)錄入，哪些是手工處理，哪些是自動(dòng)化實(shí)現(xiàn)，還要和財(cái)務(wù)審計(jì)團(tuán)隊(duì)緊密溝通，了解生成報(bào)告過程中對(duì)系統(tǒng)的依賴程度，是否依賴自動(dòng)化控制等。

對(duì)于業(yè)務(wù)流程的檢查，主要是核查對(duì)業(yè)務(wù)流程以及費(fèi)用的控制。

業(yè)務(wù)審核清單：

業(yè)務(wù)流程在信息系統(tǒng)中的實(shí)現(xiàn)情況。
業(yè)務(wù)系統(tǒng)對(duì)業(yè)務(wù)邏輯的支持和遵循程度。
業(yè)務(wù)數(shù)據(jù)在系統(tǒng)中的流轉(zhuǎn)和準(zhǔn)確性。
業(yè)務(wù)系統(tǒng)中關(guān)鍵業(yè)務(wù)節(jié)點(diǎn)的控制措施。
業(yè)務(wù)系統(tǒng)與相關(guān)業(yè)務(wù)系統(tǒng)的集成和協(xié)同效果。
業(yè)務(wù)系統(tǒng)的用戶體驗(yàn)和對(duì)業(yè)務(wù)效率的影響。
業(yè)務(wù)系統(tǒng)中業(yè)務(wù)權(quán)限的分配合理性。
業(yè)務(wù)操作的痕跡和可追溯性。

費(fèi)用審核清單：

信息化項(xiàng)目費(fèi)用預(yù)算的合理性。
信息化項(xiàng)目費(fèi)用支出與預(yù)算的對(duì)比。
各項(xiàng)費(fèi)用明細(xì)的合規(guī)性。
硬件設(shè)備采購(gòu)價(jià)格的合理性。
軟件授權(quán)費(fèi)用的準(zhǔn)確性。
服務(wù)費(fèi)用的計(jì)費(fèi)依據(jù)和標(biāo)準(zhǔn)。
費(fèi)用分?jǐn)偟暮侠硇浴?/li>
項(xiàng)目成本控制措施的有效性。
對(duì)費(fèi)用超支或節(jié)約情況的分析。
費(fèi)用報(bào)銷流程的規(guī)范性。

2）評(píng)估IT系統(tǒng)的復(fù)雜程度

先要了解IT系統(tǒng)是自研還是外購(gòu)，功能的復(fù)雜程度、是否為標(biāo)準(zhǔn)商業(yè)軟件、系統(tǒng)實(shí)施和運(yùn)行的參數(shù)設(shè)置復(fù)雜與否、上次系統(tǒng)架構(gòu)或版本重大變更時(shí)間、對(duì)財(cái)務(wù)系統(tǒng)影響大小以及變更后運(yùn)行時(shí)長(zhǎng)等綜合因素。

對(duì)于IT系統(tǒng)的審計(jì)，主要是抽樣核查IT系統(tǒng)的完備性以及安全性。

完備性審查清單：

抽樣核查項(xiàng)目依賴的 IT 資產(chǎn)（如數(shù)據(jù)庫、操作系統(tǒng)）及硬件資源（如服務(wù)器、網(wǎng)絡(luò)/存儲(chǔ)設(shè)備等）是否完備且合理有效；
核查核心與用戶數(shù)據(jù)的備份、還原機(jī)制、業(yè)務(wù)負(fù)載、監(jiān)控、容錯(cuò)、冗余及業(yè)務(wù)持續(xù)服務(wù)能力支撐是否具備；
核查研發(fā)、測(cè)試、運(yùn)維、發(fā)布等環(huán)境在隔離、權(quán)責(zé)、安全、可靠性與穩(wěn)定性等方面的管理是否完整有效；
核查業(yè)務(wù)生產(chǎn)與監(jiān)控等數(shù)據(jù)在產(chǎn)生、傳輸、歸檔、銷毀全流程的管理和運(yùn)維是否可審計(jì)、可追溯；
核查項(xiàng)目建設(shè)與管理的規(guī)章制度及人員建設(shè)，以防因 IT 管理制度與人員管理問題影響業(yè)務(wù)發(fā)展或造成不必要損害。

安全性審查清單：

所依賴軟硬件的供應(yīng)鏈安全

檢查信息化項(xiàng)目依賴的系統(tǒng)、軟件、中間件、硬件、單片機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、傳感設(shè)備、核心部件等關(guān)鍵資源的供應(yīng)商、型號(hào)、版本信息。
檢查是否有產(chǎn)品授權(quán)、知識(shí)產(chǎn)權(quán)、開源協(xié)議、他國(guó)出口管制技術(shù)等限制。
確認(rèn)產(chǎn)品服務(wù)商的服務(wù)協(xié)議、內(nèi)容及管理辦法是否符合供應(yīng)鏈安全防護(hù)要求。

所依賴環(huán)境的信息安全

核查業(yè)務(wù)數(shù)據(jù)備份、恢復(fù)與可用性機(jī)制，敏感數(shù)據(jù)脫敏、加密情況，數(shù)據(jù)防篡改、越權(quán)訪問、泄露是否完備。
檢查密鑰生成、分發(fā)、銷毀，密碼算法模式選擇與強(qiáng)度，以及數(shù)據(jù)生產(chǎn)、傳輸、存儲(chǔ)等環(huán)節(jié)安全防護(hù)。
查看物理機(jī)房設(shè)備安全、供電安全、物理接口控制安全、設(shè)備訪問控制安全等防護(hù)措施。
核實(shí)是否有防 APT 攻擊、防釣魚、防入侵、防病毒等設(shè)備和能力。
確認(rèn)是否有信息安全應(yīng)急響應(yīng)機(jī)制和突發(fā)應(yīng)急事件處理預(yù)案。
審查是否有完善的信息安全管理制度、信息安全培訓(xùn)機(jī)制和相應(yīng)保密教育措施。

盡管 IT 審計(jì)的內(nèi)容有點(diǎn)多，看起來也比較復(fù)雜，但這恰恰體現(xiàn)了其嚴(yán)謹(jǐn)所在。好了，以上就是關(guān)于IT審計(jì)重點(diǎn)的一些基礎(chǔ)介紹。如果你想要進(jìn)一步學(xué)習(xí)具體的IT審計(jì)方面的知識(shí)和方法，建議參加CISA信息系統(tǒng)審計(jì)師認(rèn)證培訓(xùn)。

贊

時(shí)間費(fèi)用拎不清？一文帶你搞定CISA考試你是不是對(duì)CISA（Certified Information Systems Auditor，信息系統(tǒng)審計(jì)師認(rèn)證）很感興趣？你是不是想要成為一名專業(yè)的信息系統(tǒng)審計(jì)師，為企業(yè)提供高質(zhì)量的審計(jì)服務(wù)？你是不是對(duì)CISA考試的時(shí)間？獲取證書的 …...
IT審計(jì)師側(cè)記：我們是如何做到“人見人罵”的？研發(fā)部門：“本來項(xiàng)目就緊，還得整很多文件和數(shù)據(jù)，還得改流程，這不是添亂嘛！” 銷售部門：“哎呀，這 IT 審計(jì)要審核客戶系統(tǒng)，搞得我們都沒法及時(shí)跟客戶溝通了，訂單都要黃了！” 人力資源部門：“他們審他們 …...
看完這個(gè)，你就懂了！IT審計(jì)到底是干什么的？如何做好IT審計(jì)？ 01 大家應(yīng)該都知道財(cái)務(wù)審計(jì)，通俗講，就是查賬的。看一下公司賬上的數(shù)據(jù)是否準(zhǔn)確，每筆賬是否都能合理溯源。那IT審計(jì)到底是干什么的呢？它和財(cái)務(wù)審計(jì)有什么關(guān)系嗎？這么跟你說吧，現(xiàn)在很多公 …...
12月CISA正式開講！助您掌握IT審計(jì)技能，打造核心競(jìng)爭(zhēng)力！在數(shù)字化浪潮中，信息安全問題備受關(guān)注。23年12月期CISA信息系統(tǒng)審計(jì)師認(rèn)證教學(xué)正式開講！本次培訓(xùn)匯聚了來自紫金礦業(yè)、中國(guó)移動(dòng)、奇安信、工商銀行、平安財(cái)產(chǎn)、一汽大眾等多家知名企業(yè)的精英學(xué)員。本期培 …...
IT審計(jì)師：我們是如何做到“人見人罵”的？在企業(yè)中，IT審計(jì)工作常常面臨各種挑戰(zhàn)，有些部門呢，對(duì)IT審計(jì)的不理解和不配合，使得IT審計(jì)師的工作備受困擾。那么，IT審計(jì)師究竟是如何將一份普通的工作干得這么招人討厭的呢？...今天咱們就來聊一聊IT審 …...
速覽！CISA考試大綱將于2024年更新！揭秘2024版CISA考試大綱的變化與亮點(diǎn)！為推動(dòng)IT審計(jì)行業(yè)的發(fā)展，ISACA今年將對(duì)CISA備考材料進(jìn)行全面的更新。這次更新將融入人工智能和區(qū)塊鏈等新興技術(shù)的相關(guān)主題。與之前的版本相比，核心內(nèi)容的變動(dòng)高達(dá)30%，超過了工作實(shí)務(wù)更新的平均水平。這 …...