会当凌绝顶--注册信息系统审计师CISA认证

 

会当凌绝顶--注册信息系统审计师CISA认证

0引言

作为国际上信息行业最高级别的考试，注册信息系统审计师CISA认证考试象征着令人羡慕的薪水和职位。CISA认证考试登陆中国并不太久，可以说，通过了注册信息系统审计师CISA认证考试，就能达到“会当凌绝顶，一览众山小”的境界。

1什么是注册信息系统审计师CISA认证

　　注册信息系统审计师（Certified Information System Auditor，简称CISA），也称IT审计师，是指一批专家级的人士，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。

注册信息系统审计师CISA（Certified Information System Auditor）资格由ISACA授予，是信息系统审计领域的唯一的职业资格，受到全世界的广泛认可。

信息系统审计与控制协会ISACA（Information System Audit and Control Association）就是从事计算机审计人员（IT审计师）组成的国际性专业组织，是唯一有权授予注册信息系统审计师资格的跨国界、跨行业的专业机构。该协会成立于1969年，总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会，现有会员两万多人。

凡通过CISA考试，在信息系统审计、控制或安全领域有5年的工作经验（在校生考试后5年内完成以上领域相关工作经验亦可申请：本科毕业折算为2年工作经验，研究生毕业折算为6年工作经验），遵守ISACA的职业道德，提出CISA资格申请、并得到批准，即可取得CISA资格。

2注册信息系统审计师的作用

注册信息系统审计师在信息化社会中，为各单位筑起一道信息安全的壁垒。他们关注的问题主要有：
　　（1）信息安全。没有安全就没有一切，信息系统审计师会采用各种方法来测试系统的安全性，并对来自内部和外部的安全隐患提出相应对策；
　　（2）信息系统的稳定性。没有长期稳定性，信息系统就无法承担起激烈竞争的压力，信息系统审计师会提出一系列对策保证客户信息系统的万无一失。
　　（3）鉴别信息系统的有效性。最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统会消耗企业大量的资源，信息系统审计师的优势就是对财经管理和信息技术融会贯通，为企业信息系统的改造提供建议。

3 CISA考核要点和涉及知识

CISA考试要求应试者具有扎实的审计理论和审计实践经验，具有较丰富的企业运营及管理知识和经验，同时更要具有全面的、有一定深度的计算机信息系统方面的理论和实践经验。CISA考试分为信息系统审计和信息系统相关知识两个方面七大内容：

3.1信息系统审计程序（10％）

　　（1）考核要点。实施信息系统审计要与一般公认的信息系统审计标准和准则相一致，以确保对组织采用的信息技术和业务系统进行充分的控制、监控和评价。主要包括：审计计划和审计战略及目标；一般公认的审计标准；信息的收集和分析；风险管理和控制等。

　　（2）涉及知识。这部分考试涉及的主要知识有：有关信息系统审计的标准和准则；审计实务和技术；风险分析方法、原则和标准；战略和计划过程；信息系统及技术发展趋势；质量管理、财务管理和业务管理等。

　　考生必须具备现代审计理论和实务、企业管理、项目管理和信息系统及信息技术发展脉络方面的知识。

3.2信息系统的管理计划和组织（11％）

　　（1）考核要点。评价有关信息系统管理、计划和组织的战略、政策、标准、过程和有关实务。主要包括：评价信息系统战略和过程；评价信息系统政策、标准和过程的开发、部署和维护；评价信息系统组织和结构等。
　　（2）涉及知识。这部分考试涉及的主要知识有：有关信息系统战略、政策、标准和过程的主要实践；信息系统战略开发、部署和维护的方法和步骤；信息系统项目管理、风险管理、变动管理、质量管理、安全管理；信息系统组织结构和设计原则；软件质量管理等。
　　考生必须具备信息系统开发与管理、项目管理及软件工程方面的知识。

3.3技术基础和操作实务（13％）

　　（1）考核要点。评价组织技术和操作基础的实施及正在进行的管理的功效和效率，确保它们充分地支持组织的业务目标。主要包括：评价硬件的取得、安装和维护；评价系统软件和应用软件的获取、实施及维护；评价网络基础设施的获得、安装和维护；评价信息系统操作实务；评价系统执行和监控过程、工具和技术等。
　　（2）涉及知识。这部分考试涉及的主要知识有：有关硬件平台、系统软件和实用软件以及网络基础设施和信息系统操作实务的风险和控制；系统运行和监控过程、工具和技术；IT基础设施的获取、开发、实施和维护的过程；网络拓扑等知识。
　　考生必须具备一定的计算机硬件和软件、计算机网络（尤其是互联网等）基础和运行管理等方面的知识。
3.4信息资产的保护（25％）

　　（1）考核要点。评价逻辑的、环境的和IT基础设施的安全，确保系统满足组织的业务需求，保护信息资产以防非授权使用、泄露、修改、破坏和损失。主要包括：评价逻辑访问控制的设计、实施和监控；评价网络基础设施的安全；评价环境控制的设计、实施和监控；评价物理访问控制的设计、实施和监控等。
　　（2）涉及知识。这部分考试涉及的主要知识有：计算机访问控制原理和技术；物理安全控制；密码技术；网络安全概念；安全体系结构；安全评估工具；病毒及探测、预防和反应机制；黑客攻击方法和技术等。
　　考生必须具备扎实的计算机网络理论知识和实践经验、计算机加密解密技术、计算机病毒及网络黑客技术、计算机及网络安全体系结构方面的知识等。

3.5灾难恢复和业务持续计划（10％）

　　（1）考核要点。评价在系统发生不测时，为使业务运转和信息系统处理能正常进行，而采取的备份和恢复等措施。主要包括：文件及数据的备份和恢复机制；不测发生后保证组织业务持续进行和继续提供信息系统处理的能力等。
　　（2）涉及知识。这部分考试涉及的主要知识有：关于灾难恢复和业务持续的概念和方法、灾难恢复和业务持续技术等。
　　考生必须具备数据库理论中关于数据恢复技术和灾难应对措施方面的知识。

3.6业务应用系统的开发、取得、实施和维护（16％）

　　（1）考核要点。通过业务应用系统的开发、取得、实施和维护来评价采用的方法和过程，以确保与组织的业务目标一致。主要内容包括：对应用系统的开发、取得、实施和维护中采用技术和方法进行评价。
　　（2）涉及知识。这部分考试涉及的主要知识有：系统开发方法和工具；软件质量保证方法；程序设计原理和技术；系统实施后的评价技术等。
　　考生必须具备软件工程的理论及实务、各种程序设计技术、信息系统实施和评价等方面的知识。

3.7业务过程的评价和风险管理（15％）

　　（1）考核要点。评价业务系统和过程，确保风险被控制且与组织业务目标相一致。主要内容包括：通过诸如用基难测试程序测试、最优方法分析、业务流程重组（BPR），评价信息系统支持业务过程的效率和效力，确保业务结果最优；评价自动化和手工控制的设计和实施；评价组织的风险管理和控制的实施等。
　　（2）涉及知识。这部分考试涉及的主要知识有：最优方法业务过程；业务过程控制；业务设计机构、管理和控制实务；业务流程设计、重组和改进的方法等。
　　考生必须具备企业管理、企业生产经营和电子商务方面的理论及实务知识。

4报名注意事项

（1）考试题型及语种选择

考试的题型为单项选择题，共200道，考试时间为4个小时，可任选英文或中文作为考试语种。由于考试时间为４小时，即平均每道题只有１分钟的答题时间，因此，考试时掌握答题速度非常重要。

（2）考试时间

2003年的考试时间是：2003年6月14日

（3）考试地点 

全国目前共设4个考点，北京、上海、广州、深圳。

（4）报名条件

对于CISA考试的报考条件，ISACA未做严格的限制。但考生具备以下条件能够增加通过考试的机会：

ü         大学专科以上，或在校本科生、研究生；　　

ü         建议英语四级以上；

ü         建议具备一定的审计知识和计算机知识（计算机基础知识、操作系统、网络、数据库、电子商务等）。

（5）考试报名时间

报名考试共分两个轮次进行，如果在第一轮截止日期前未能报名考试，还可以在第二轮报名期间进行补报，但报名费用要相应增加：

第一轮报名：2002年9月1日——2003年1月20日

第二轮报名：2002年2月10日——2003年3月25日

（6）考试报名费

第一轮报名：357.50美元

第二轮报名：405.00美元

 

　　有关CISA认证考试的详细情况，大家可查询以下网址：http://www.isaca.org/

更多信息见中国软考联盟：www.cnitunion.com  中国软考联盟