如何能成为注册信息系统审计师(CISA)？

清图

于 2022-05-31 13:48:42 发布

阅读量1.7k

点赞数

分类专栏： CISA 信息系统审计师认证文章标签： CISA 信息系统审计师认证

本文链接：https://blog.csdn.net/qinghuawenkang/article/details/125063857

版权

CISA 同时被 2 个专栏收录

1 篇文章 0 订阅

订阅专栏

信息系统审计师认证

1 篇文章 0 订阅

订阅专栏

在分享“如何能成为注册信息系统审计师(CISA)？”之前，先和大家简单聊聊CISA。

信息系统(nformation Systerms, IS)的高速创新令人眼花缭乱。通常，设计缺陷(Flaw)和技术漏洞(Vulnerability,亦称脆弱性)将通过信息盗窃或泄露的各种形式带来各种意想不到的严重后果。组织需要根据各项法律、法规和标准,如Sarbanes-Oxley. GLBA、HIPAA、PCI-DSS NYDFS、PIPEDA、GDPR、CCPA 以及大量要求公开个人信息安全漏洞的美国州立法律开展整改行动。最新修订的法律法规和监管要求推动或鼓励组织开展内部审计活动，或通过外部审计评估合规性，以避免组织受到处罚、制裁或出现在令人尴尬的新闻头条上。
新出台的法律监管要求也加大了各组织对于IT安全专家和信息系统审计师的需求，这些备受关注的安全专家们在制定合规计划(Complance Program)和降低风险方面发挥着决定性的作用。
始于1978年的注册信息系统审计师(Certifed Information Systems Auditor, CISA)认证，无疑是信息系统审计行业的领先认证体系。如今，各行各业对CISA认证:专家的需求增长非常快，以至于ISACA在2005年将每年一次的认证考试增加为每年两次，然后是每年三次，现在则是全年循环考试。2005 年，CISA 认证被美国国家标准协会(ANSI)认定为国际标准ISO/IEC17024认证。CISA认证还是美国国防部正式批准的信息鉴证技术类别中的少数认证之一(DoD 8570.01-M)。2009年和2017年, SC Magazine将CISA评为最佳专业认证计划。2016年，持有CISA认证的专家数量超过129 000名。
信息系统审计并不是一时之“泡沫”或泛滥成灾。与之相反，信息系统审计师必须及时了解新技术、新系统、新威胁，了解新数据安全和隐私法律、法规标准监管合规要求。CISA认证是从事控制、鉴证和安全等工作领域专家的黄金标准认证。

《CISA信息系统审计师认证All-in-One（第4版·2019大纲）》是一本面向安全或IT审计专家的综合学习指南,考生需要认真参考个人或团体主导的CISA认证考试学习。本书的绝大部分内容包含CISA考生必须掌握的技术信息。
《CISA信息系统审计师认证All-in-One（第4版·2019大纲）》也是具有抱负和实务经验的信息系统审计师的参考用书。通过CISA认证考试所需的内容与执业审计师在日常工作中需要熟悉的内容相吻合。本书是理想的CISA考试学习指南，也是已获得CISA认证人员的日常参考书。
对于需要接受外部组织审计和监管机构检查的安全和业务专家而言，《CISA信息系统审计师认证All-in-One（第4版·2019大纲）》也具有不可估量的价值。行业专家需要对信息系统审计师所使用的审计实务和方法具有相当深入的了解。这不仅有助于内部审计体系的运转，也有助于理解外部审计师及其工作方式。《CISA信息系统审计师认证All-in-One（第4版·2019大纲）》的知识和见解将促进更好的审计产出。
对于那些试图了解信息系统审计行业的人士而言，本书是很好的指南。本书各章解释了所有相关的技术和审计程序，附录解释了流程框架和专业审计实务。这些内容对于可能想了解信息系统审计专业详情的人士非常有用。

ISACA历史上,每五年就会重新调整一次认证内容。2018年末，ISACA宣布将更新CISA工作实务(考试的基础和获得认证的要求)，自2019年6月的考试起生效。为了使本书保持最新状态，Peter H. Gregory联系了McGraw-Hill的Wendy Rinaldi,以便尽快制定本书第4版的出版方案。本书是大家共同努力的成果。
新的CISA工作实务信息已于2018年12月下旬发布。彼时，《CISA信息系统审计师认证All-in-One（第4版·2019大纲）》工作团队开始着手更新第3版手稿。结果是本书通过更新，反映了自第2版出版以来CISA工作实务的所有变化以及审计实务、信息安全和信息技术的变化。

ISACA更新了2019年CISA工作实务中实务领域的描述方式。以前，每个工作实务领域都有一组知识陈述(Knowledge Statement)和任务陈述(Task Staterment)。2019版的每个工作实务领域都包含两个主要类别，每个类别包含4~11个子主题域。接下来是39个CISA整体支持任务，这39个任务与5个知识域没有明确关联。
正如每项新工作实务和本CISA考试指南修订版的典型做法一-样, 本书也做了差距分析，以掌握2019年工作实务中增加和删除的主题。尽管结构上的变化让这种操作更加乏味，但总的来说，这些变化在内容上值得注意:

新增审计项目管理(Audit Project Management)主题。
新增审计数据分析(Audit Data Analytics)主题。
新增隐私原则主题。
业务持续规: 划和灾难恢复规划从知识域2(IT治理和管理)移入知识域4(信息系统运营和业务韧性)，但其他方面没有变化。
企业架构从知识域 3移至知识域2。
新增物联网(Internet of Things, loT)主题。除了CISA工作实务的变化，还有- -些主题是从第3版开始更新或新增的，变化包括:
分段和微分段技术。
虚拟化、容器化和虚拟键盘技术。
5G技术。
在系统研发生命周期中更注重系统的获取,反映了从定制软件研发向获取面向核心业务应用的可伸缩软件和SaaS的迁移。
数字化转型(DX)。
组织架构的零信任原则。
NIST网络安全框架(CSF)技术。
GDPR和CCPA等新法律法规和监管要求。
用于管理基础架构和业务流程变更的敏捷方法。
若干新研发方法论。
云责任模型。
口令(Password)管理以及是否设置口令定期失效。
勒索软件(Ransomware)和破坏性软件的威胁。
远程访问和 VPN的含义发生变化。
添加了若干新技术，如BLE和WPA3。.
删除了若干旧技术，如X.25。
词汇表添加了 64项新条目和交叉引用(并删除了一些过期条目)。

截至《CISA信息系统审计师认证All-in-One（第4版·2019大纲）》完成时，日新月异的新型研发、技术、技巧和安全漏洞提供了更多见闻，并有望进一步改进。就像土卫二表面一样，IT 审计行业也在不断变化。技术回收站充斥着过时的供应商、产品、协议、技术和方法论。各个组织曾经对这些产品和技术等抱有很大希望，但后来被更先进的解决方案取代。这突显了信息系统审计师(以及IT、安全和风险专家)需要通过学习新事件、新技术和新技巧来跟上最新潮流。

下面我们就来聊聊：如何能成为注册信息系统审计师(CISA)？