注册信息系统审计师考试介绍及应试对策,本文主要内容关键词为:信息系统论文,对策论文,审计师论文,考试论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、注册信息系统审计师(CISA)背影资料
1、什么是信息系统审计师
注册信息系统审计师(CertifiedInformationSystemAuditor,简称CISA)是指既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉经济管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。
2、信息系统审计师关注的问题
(1)信息安全。信息系统审计师会采用各种方法来测试系统的安全性,并对来自内部和外部的安全隐患提出相应对策:
(2)信息系统的稳定性。信息系统审计师会提出一系列对策保证客户信息系统的万无一失。
(3)鉴别信息系统的有效性。信息系统审计师的优势就是对财经管理和信息技术融会贯通,为企业信息系统的改造提供建议。
3、哪些行业最需要信息系统审计师
软件供应商;管理咨询机构;会计师事务所;跨国公司;大型国有企业和上市公司。
4、谁有资格授予信息系统审计师资格
目前国际上,信息系统审计与控制协会ISACA(InformationSystemAuditandControlAssociation)是唯一有权授予国际信息系统审计师资格的跨国界、跨行业专业机构,该协会成立于1969年,最初称为EDP审计师联合会,总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会,现有会员两万多人。注册信息系统审计师资格由ISACA授予,是信息系统审计领域的唯一职业资格,得到全世界的广泛认可。
5、取得CISA资格的条件
通过CISA考试;在信息系统审计、控制、或安全领域5年的工作经验;遵守ISACA的职业道德;提出CISA资格申请并得到批准。
6、考试日期、时间、地点和国内组织单位
国际上CISA考试每年6月组织一次,考试时间为4个小时。目前国内从事CISA考试组织培训工作的单位是国家审计署干部培训心,该中心确定的国内考试地点为上海、武汉、北京、深圳、成都等地。CISA考试题型为200道客观选择题,全部为笔答,满分100分,75分及格。考试语言主要是英文,目前还没有中文考试。
二、CISA考试内容及应试对策
CISA考试分为信息系统审计和信息系统相关知识两个方面七大内容:
1、信息系统审计程序(10%)(1)考核要点主要包括:审计计划和审计战略及目标;一般公认的审计标准;信息的收集和分析;风险管理和控制等。(2)应试对策:有关信息系统审计的标准和准则;审计实务和技术;风险分析方法、原则和标准;战略和计划过程;信息系统及技术发展趋势;质量管理、财务管理和业务管理等。
2、信息系统的管理计划和组织(11%)
(1)考核要点主要包括:评价信息系统战略和过程;评价信息系统政策、标准和过程的开发、部署和维护;评价信息系统组织和结构等。
(2)应试对策:有关信息系统战略、政策、标准和过程的主要实践;信息系统战略开发、部署和维护的方法和步骤;信息系统项目管理、风险管理、变动管理、质量管理、安全管理;信息系统组织结构和设计原则;软件质量管理等。
3、技术基础和操作实务(13%)
(1)考核要点主要包括:评价硬件的取得、安装和维护;评价系统软件和应用软件的获取、实施及维护;评价网络基础设施的获得、安装和维护;评价信息系统操作实务;评价系统执行和监控过程、工具和技术等。
(2)应试对策:有关硬件平台、系统软件和实用软件以及网络基础设施和信息系统操作实务的风险和控制;系统运行和监控过程、工具和技术;IT基础设施的获取、开发、实施和维护的过程;网络拓扑等知识。
4、信息资产的保护(25%)
(1)考核要点主要包括:评价逻辑访问控制的设计、实施和监控;评价网络基础设施的安全;评价环境控制的设计、实施和监控;评价物理访问控制的设计、实施和监控等。
(2)应试对策:计算机访问控制原理和技术;物理安全控制;密码技术;网络安全概念;安全体系结构;安全评估工具;病毒及探测、预防和反应机制;黑客攻击方法和技术等。
5、灾难恢复和业务持续计划(10%)
(1)考核要点主要包括:文件及数据的备份和恢复机制;不测发生后保证组织业务持续进行和继续提供信息系统处理的能力等。
(2)应试对策:关于灾难恢复和业务持续的概念和方法、灾难恢复和业务持续技术等。
6、业务应用系统的开发、取得、实施和维护(16%)
(1)考核要点主要内容包括:对应用系统的开发、取得、实施和维护中采用技术和方法进行评价。
(2)应试对策:系统开发方法和工具;软件质量保证方法;程序设计原理和技术;系统实施后的评价技术等。
7、业务过程的评价和风险管理(15%)
(1)考核要点主要内容包括:通过诸如用基准测试程序测试、最优方法分析、业务流程重组(BPR),评价信息系统支持业务过程的效率和效力,确保业务结果最优;评价自动化和手工控制的设计和实施;评价组织的风险管理和控制的实施等。
(2)应试对策:最优方法业务过程;业务过程控制;业务设计机构、管理和控制实务;业务流程设计、重组和改进的方法等。