cisa认证完全手册.doc

CISA认证完全手册第一部分1、认证介绍 自1978年以来，由信息系统审计与控制协会（ISACA）发起的注册信息系统审计师（CISA） 认证计划已经成为涵盖信息系统审计、控制与安全等专业领域的全球公认的标准。 CISA 推广与评价的专业技术和实务是在该领域中取得成功的基石。拥有CISA 资格证书说明持证人具备的实践能力和专业程度。随着对信息系统审计、控制与安全专业人 士需求的增长，CISA 已成为全球范围内个人与公司机构不可或缺的认证。CISA 资格证书代表持证人有卓越的能力服务于公司的信息系统审计、控制与安全领域。此外，它 还为持证人带来相当的职业成就和经济利益。2、适合对象 CISA认证适用于企业信息系统管理人员、IT管理人员、IT审计人员、或信息化咨询顾问、信 息安全厂商或服务提供商、和其他对信息系统审计感兴趣的人员。3、应试必备条件 CISA 认证计划为信息系统审计、控制与安全职业领域中具有卓越技能与判断力的个人提供评估与 认证。若想获得CISA认证，申请人需要： 顺利通过CISA 的考试； 遵守信息系统审计与控制协会的职业道德规范 ，此规范已列入Candidates Guide to the CISA Exam中，供考生参考； 提供从事信息系统审计、控制与安全 工作5 年以上经验的证明。具有下列经验者，可申请替代部分年限，并出示适当的证明： 具备如下资历者，可以申请替代(最 长达)1 年的信息系统审计、控制与安全的工作经验要求： 满1 年的非信息系统审计工作经验，或 满1 年的信息系统工作经验，和或 具有大专学历（大学60 个学分或同等学历）。 拥有学士学位（大学120 个学分或同等学历） 者，可以替代2 年信息系统审计、控制与安全工作经验。 2 年相关领域（计算机科学、会计、信息系统审 计等）大学专职讲师经验可以替代1 年信息系统审计、控制与安全工作经验。无最高可替代年限限制（即6 年大学讲师经验可以 替代3 年信息系统审计、控制与安全工作的经验）。 专业经验必须在申请前的10 年之内获得，或 在第一次通过考试之日的前5 年之内。认证申请必须在通过CISA 考试的5 年之内提出。所有专业经验都必须由原雇主独立 地签字确认。 值得说明的是，很多人在具备所要求的经验之前就参加CISA 考试。尽管在所有要求的资历未达到之前不会被授予CISA证书，但这种作法是可以接受并值 得鼓励的。4、ISACA介绍 信息系统审计与控制协会（ISACA）创始于1967年，当时它是由从事同类职业的人所组成的小 团体计算机系统的审计和控制对他们各自机构的运作都变得愈发关键因此他们聚集 起来讨论制定信息集中化资源和本领域指导准则的必要性。在1969年，这个团体正式组建为 EDP 审计师协会。在1976年，这个协会成立一项教育基金来开展大规模的研究工作，以拓展信息 产业管理与控制领域的知识与价值。 今天，ISACA在全球有四万七千多名成员，他们的组成非常具有多元性。这些成员在140多个 国家内生活和工作，并涵盖众多专业信息技术的相关职业，比如信息系统审计师、顾问、教 导员、信息系统安全专家、管理者、首席信息官和内部审计师等。有些职业是本领域内新兴 的，其他为中级管理人员，另外还有许多人担任最高级的职位。他们几乎遍及所有行业，包 括财政金融、公共会计、政府与公共部门、公用事业和制造业。这种多元性使众多成员能够 相互学习，并在许多专业问题上广泛交流彼此的观点。该特点一直被认为是ISACA的强势之一 。 ISACA的另一个强势就是它的分会网络。ISACA 的分会遍布世界60 多个国家，可提供成员教育、资源共享、支持、专业网络，以及其他由当地分会提供的诸多 利益。 在ISACA创立的三十年来，它已成为一个为信息管理、控制、安全和审计专业设定规范的全球 性组织。它的信息系统审计和信息系统控制标准为全球执业者所遵从。它的研究工作针对那 些挑战其重要原则的疑难专业事项。它的国际信息系统审计师（CISA）认证得到全球的公认 ，并有三万多名专业人员得到认证。国际信息安全经理（CISM）认证特别针对信息安全管理 的审计事务。它出版了领先于信息控制领域的技术性期刊，即信息系统控制期刊 （Information Systems Control Journal）。它举办一系列国际性会议，并且把焦点集中于 信息系统保障、控制、安全和信息 技术管理专业的技术与管理主题上。ISACA与其附属的信息技术管理机构领导着信息技术控制 界，并在不断变化的国际环境下为其执业者提供信息技术专业所需的要素，保证他们得到良 好的服务。5、证书荣誉 专业顶尖的标志 获得CISA 认证有助于确立你作为一名合格的信息系统审计、控制和安全专业人才的声誉。不 论你是希望提高你的工作表现还是得到职务升迁，拥有CISA 资格证书都会使你拥有他人无法企及的竞争优势。 雇主渴求的人才 由于CISA 持证人能够熟练掌握当今需要的最先进的技能，雇主更愿意雇用和留住那些达到并能够维持 资格证书所要求水平的人才。对于雇主而言，CISA 认证确保其雇员拥有胜任当前工作所必需的最新教育与实践经验。 全球的认可 也许本认证对于你当前的工作并不是绝对必需的 ，然而越来越多的机构希望员工得到CISA 认证。为了确保你在全球职业市场上的成功，选择一个建立在全球认可的技术实务基础上的 认证是至关重要的。CISA 就是这种认证。CISA 作为信息系统审计、控制与安全专业人员的资格证书，受到全世界信息系统审计、控制和安 全行业的广泛认可。第二部分1、考试日期、时间和地点 CISA考试每年6月组织一次，考试时间为4个小时。目前确定的国内考试地点为上海、广州、 北京、深圳。2、考试题型和语言 CISA 考题经过精心开发与维护，以便准确测试考生在信息系统审计、控制与安全实务方面的精通 程度。考试题型为200道客观选择题，全部为笔答，换算后得分达到75分即可通过考试。由于 CISA证书为国际所认可，因此考试以如下几种语言进行：荷兰语、英语、法语、德语、希伯 来语、意大利语、日语、韩语、繁体中文、简体中文和西班牙语。3、如何准备CISA 考试 完整的系统的学习计划可以帮助考生通过CISA考试。为帮助考生制定成功的学习计划，ISACA 为考生提供了一些学习辅导资料与复习课程。（另外可参考/bk_cisa.htm 网站以了解详情。）l 收到CISA考试报名表和报名费之后，CISA考试中心将为考生提供CISA考试考生指南。本 指南提供有关考试流程与内容方面的详细大纲，推荐的一些参考资料目录，考试中使用的词 汇表，以及考试中使用的答卷的范例。l 每年更新的CISA复习手册，以便反映最新的信息系统审计原则和实务。本手册提供了综合的 学习指南以帮助考生准备CISA考试。其中包含详尽的考题结构与内容说明，制定学习计划的 建议，考题范例，并根据流程与内容将考试涵盖的技术问题进行了概括。另外还包括其它的 学习参考资料与考试中常用的术语表。本手册可作为个人学习的独立文件，或作为学习团体 及分会机构在当地开办复习课程的指南或参考。l 历年的CISA复习题、解析手册，包含囊括了以往考试中出现的具有代表性的题型，并包含正 确与错误答案的解析。考题按照CISA流程与内容范围进行了分类，可作为考试样卷使用。 l CISA复习题、解析光盘，使用者可以在本光盘中随机抽取样卷，并按照领域范围进行结果分 析，帮助使用者认识自己的强项和弱项。4、CISA资格证书的维持 获得任何职业资格证书的持证人必须参 与继续教育计划来维持其资格证书。为了维持CISA资格证书，持证人必须履行继续教育政策 ，并遵守ISACA协会的职业道德规范。这些计划有助于保证CISA持证人能够与业内先进技 术的发展保持同步，并展示较高的职业原则。 继续教育政策要求持证人累积足够的继续教育学分，并提供证明，以及支付年度维持费。此外，最低 学分的累积与证明提供必须在固定的3年认证期间完成。不能履行将会撤消持证人拥有的认证 资格。在过去5年中，93%以上的CISA持证人维持了资格证书。这项统计结果反映了CISA持证 人对维持资格证书的强烈愿望。5、报名参加CISA考试 考试日期 CISA考试每年举行两次，分别为每年的六月和十二月的第二周星期六，六月中国学员可以选择中文或英文考试，十二月考试暂时只能选择英文，在中国考试从上午九点开始，共考四个小时，13点结束。 在线报名表 从ISACA网站：/cisaexam.htm 网页上获取报名表。应当用黑色墨水笔工整填写或打印。字迹要清楚。请确认考试中心代码 正确，并根据需要选择考试中使用语言的版本。在填完报名表并付款后，ISACA将寄给考生 CISA考试报名的回执信与一份CISA考试考生指南。投递时间为6个星期。 退款与缓考费 退款：无法参加考试的申请人可以要求退款，退款中将扣除的手续费。退款请求必须在指 定时间之前以书面方式寄到。 缓考：无法参加考试的申请人还可以得到一次缓考机会，将考试日期延至下一年。缓考请求 必须在指定时间之前以书面方式寄到。缓考到下一年之后不得要求退款，并且在报名参加下 一年考试时，考生还需要交纳US的再报名费。考试中心的指定 ISACA 将尽可能根据考生的选择安排考试中心。然而，如果某个考试中心被取消，则考生将被分配 到最近的考试中心。如果不愿在新分配的考试中心参加考试，那么考生可以得到考试费的全 额退款。申请增设考场 如果考试中心在考生所在地区的100英里（160公里）之外，并且同时有5名以上（包括5 名）的应试人想编入本地一组，则考生可以申请成立新的考试中心。成立新考试中心的申请 需要至少5份已付款的报名表，并于指定时间之前被送至ISACA国际总部。尽管不能保证新考 试中心一定成立，但ISACA将尽力安排。特别安排 接到申请后，ISACA 协会将根据出具的残疾或宗教证明，在考试程序方面为应试者做出必要的合理安排。应试人 可以要求适当地改变考试格式、表述方式、考场内提供饮食或调整考试时间，以顾及应试人 由于残疾或宗教要求而影响到考试状态的因素，但是不会改变考试中技能与知识的难度。在 考场内的进食要求必须有医生的证明材料，否则不允许将食品和饮料带入考场。应试人必须 在发出报名表和报名费时一并提出书面要求和证明材料。6、考试的举办 准考证 在CISA考试前2 到3 周，考生会收到考试机构寄来的准考证以及来自ISACA 的电子准考证。准考证上标明了考试的日期、入场登记时间与考试地点，当天日程安排以及 参加CISA考试必须携带的材料。考生必须注意准考证上规定的确切的登记入场时间与考试时 间。在考试开始前约30分钟主考人开始宣读说明时，任何考生均不得进入考试中心。准考证 只能在其被指定的考试中心使用。 只有携带有效的准考证以及通用的身份证明才能进入考试中心。可以接受的身份证明包括带有相片（比如护照、有照片的驾驶执照等）或其它带有考生的签名和身高、体重、眼睛颜色 等描述资料的证明。 安全 考场中发现考生有作弊行为（比如提供或接 受帮助、使用字条、答卷或其它工具）、试图替他人考试或撕下考试卷、答卷或附卷带出考 场时，考生将被取消考试资格。考试机构将向认证委员会报告此违规行为。 7、考试成绩 考分的邮寄 自考试之日起约10个星期后，考生将接到邮寄的考试成绩通知。为了对考试分数保密，考试 结果将不采用电话、传真或电子邮件的方式进行通知。 考试成绩通知 考生接到的成绩通知将显示全部试卷中答对的数目经换算后的相应得分。换算后的分数从1 到100，是通过一种算法（线性转换）得到的。它在设定及格线之后，把原分数转换为线性分 数。原分数通过累计正确答案而得到，如果某些试题经过统计后被判定为或委员会检查认定 为含义模糊或存在其它缺陷时，还应在原分数中计入该试题的相应得分。通过这种方式，考 生就不会由于某些不具备统计有效性的试题而被扣分。该程序的各个环节都不是人为或随意 的，而是由ISACA 雇用的独立考试机构根据换算程序而得到的。如果得分为74分，这个低于及格线的分数，它 并不代表实际的分数或正确答案的平均分，而是原分数相对于其他所有考生的分数。得分达 到或超过75分者将通过考试。 再次参加CISA 考试分数为74及以下的考生可以报名参加以后的 CISA考试。8、2008年CISA考试信息 1、统考时间：2008年6月14日上午9：00-下午1：00 2、考试题型：200道单选题 3、考试合格：考试满分100分，75分及以上为通过考试 4、在线考试报名： 首轮截止时间为：08年2月13日 会员价为$325，非会员价为$455 末轮截止时间为：08年4月09日 会员价为$375，非会员价为$505 5、报名方法：第三部分 CISA考试大纲 包括七部分内容，各自所占比例如下：1、信息系统的管理、规划和组织（占11%）2、技术构架和运营实务（占13%）3、信息资产的保护（占25%）4、灾难恢复和持续运营（占10%）5、商业应用系统开发、获得、实施和维护（占16%）6、商业运营评估和风险管理（占15%）7、信息系统审计程序（占10%）信息系统的管理、规划和组织* 评估信息系统战略及其开发、布置、维护的过程，以确保符合机构的商业的目标* 评估信息系统政策、标准和过程* 评估信息系统管理实务* 评估信息系统组织和结构，确保恰当、充分地支持机构的商业要求* 评估第三方服务商的选择和管理，确保其支持信息系统战略技术构架和运营实务* 评估硬件的采购、安装和维护，确保有效地、有用地支持组织的信息系统处理和商业需求并符合组织战略* 评估系统软件和工具的开发/采购、实施和维护，保证切实支持机构的信息系统处理和商业要求，符合组织的战略* 评估网络框架的获取、安装和维护，确保充分有效地支持机构的信息系统处理和商业要求* 评估信息系统运营实践，确保用来支持组织的信息系统处理和商业需求的技术资源的有效地、有用地利用* 评估系统性能和监控过程、工具和技术的使用，确保计算机系统持续满足组织的商业目标信息资产的保护* 评估逻辑访问控制的设计、实施和监控，确保信息资产的完整、保密和可用* 评估网络框架的安全，保证网络和被传输信息的保密、可用和经过授权使用* 评估环境控制的设计、实施和监控，以避免和/或减少潜在的损失* 评估物理访问控制的设计、实施和监控，确保资产和设备的保护程度满足组织的商业目标灾难恢复和持续运营* 评估备份和恢复规定的充分性，确保正常信息遇到短期中断和/或需要重运行或重处理时的再恢复* 评估在主要信息处理设备部不能用时组织持续提供信息系统处理能力的能力* 评估组织在商业中断时保证商业连续性的能力商业应用系统开发、获得、实施和维护* 评估应用系统被开发和实施的过程，确保其满足达到组织的商业目标* 评估应用系统被采购和实施的过程，确保其满足达到组织的商业目标* 评估应用系统被维护的过程，确保其满足达到组织的商业目标商业运营评估和风险管理* 评估信息系统通过基准、最好实务分析或商业过程再工程等支持商业过程的效率和效果，确保优化商业结果* 评估程序化的和手工的控制的设计和实施，确保商业过程确定的风险在可接受的水平* 评估商业过程改变计划，确保其被适当地组织、配备人员、管理和控制* 评估组织风险管理和治理的实施信息系统审计程序* 依照公认的规范，制定和实施基于风险的审计战略和目标，以确保机构的信息技术和商业系统得到充分控制、监察和评估，并与机构的商业目标保持一致* 仔细规划审计步骤，以保证达到既定的信息系统审计的战略和目标* 为达到审计目标，获取充分、可靠、对应和有用的证据* 检查已完成的工作，证实审计目的是否已达到* 把审计结论传递给机构合伙人* 推动机构内的风险管理和控制实践的工作 第四部分： 培训介绍 2008 CISA国际注册信息系统审计师培训介绍一、培训概览课程名称： CISA应用实践与认证强化举办单位： 谷安咨询 课程时间： 2008年3月17日 - 3月21日（北京）培训费用: 5500元/人（含课堂讲义及辅导教材各一册，陈伟自编CISA知识体系教材一本,外地学员可住宿，统一安排食宿，费用自理） 联系电话15810549910二、培训特色q 课程将现实案例与CISA知识框架的内容紧密结合，引导学员从业务与管理角度深入思考，以达到“学以致用”的效果。q 业内最资深的专家教授团队，丰富的教学方式组合q 通过“树状复习大纲”梳理及重点辅导，可以让学员在短时间内深入把握知识精髓，以“不变应万变”q 加入国内IT安全风险管理界精英的高端交流平台。q 优质全面、持续系统的后续服务。三、培训对象: q 信息系统审计咨询顾问q 传统的审计专业人员q 企业内部负责信息系统审计的从业人员q 企业内部负责信息系统安全管理和规划等工作的从业人员q IT经理，信息安全经理q CISA应试者四、培训内容及日程安排时间内容第一天0、前言q 从企业风险管理到IT风险管理q IT风险管理模型与信息系统审计q 信息系统审计师CISA认证简介1、第一章 信息系统审计过程q 内部审计的概念与理论q 信息系统审计准则、指南及程序q IT审计过程及方法q 习题讲解2、第二章 IT治理q IT治理框架q IT组织结构和人力资源管理q IT政策、标准和程序q 信息系统管理实务q 习题讲解第二天3、第三章 系统和基础设施的生命周期管理q 信息系统的业务效益管理实务q 信息系统的获取、开发及维护实务q 信息系统的应用控制q 应用系统的简介q 对IT系统和基础设施的审计q 习题讲解第三天4、第四章 IT服务提供与服务支持q 信息系统的硬件、软件组成q 网络基础设施简介q 信息系统的运行与服务管理q 对IT基础设施及IT服务管理的审计q 习题讲解第四天5、第五章 信息资产保护q 信息安全管理体系q 逻辑访问控制q 网络基础设施安全q 物理与环境安全q 对信息安全的审计q 习题讲解第五天6、第六章 业务连续性计划q 业务连续性计划的重要性q 业务连续性计划的制定过程q 对业务连续性计划的审计q 习题讲解五、培训方式q 资深专家授课为主：根据课堂讲解建立CISA知识体系的基本概念与框架，掌握信息系统审计的基本理论与方法。q 案例分析和软件演示：通过相关的通俗易懂的信息系统审计案例分析和IT审计软件（讲师自主开发）演示的方式讲解，并鼓励学员主动参与讨论。q 使学员能在较短时间内掌握CISA知识体系，并形成对信息系统审计的初步认识，对在在组织中如何实施信息系统审计建立较清楚的认识。q 此次培训既结合信息系统审计实务，又兼顾CISA认证考试。六、培训讲师陈伟，谷安咨询首席顾问，企业信息化与信息安全咨询顾问，国际注册信息系统审计师(CISA)，BS7799主任审核员，国际信息系统审计与控制协会会员，管理信息系统硕士。在IT行业系统集成、软件开发、信息安全与控制领域有十六年工作经验，精通网络技术、软件开发技术、信息安全技术，长期从事企业信息化建设，对国内大中型企业的计算机网络及应用系统的规划、设计、实施有较丰富的经验。目前的工作专业领域集中于IT风险管理与控制领域(ISO27001、COBIT、ITIL)理论与方法研究，并为中国证监会、国家财政部、国家税务总局、国家审计署、中国工商银行总行、中国海洋石油、中核集团、酒泉钢铁集团公司多个大型组织实施信息化风险管理与控制咨询项目。著有信息安全管理全球最佳实务与实施指南、经营分析与信息技术、国际认证信息系统审计师认证指南等，参与翻译索耶内部审计，中国计算机用户CSO专栏作家，发表多篇IT治理论文。培训经历：2003年至2007年，担任国家审计署培训中心和南京审计学院的信息系统审计师（CISA）首席培训讲师，推动了CISA认证在国内的普及。2004年至2006年，与中国内审协会合作，担任内部审计师（CIA）的高级培训讲师，几年来，为三千多人次进行了CIA认证培训。2003至2006年，与赛迪集团合作进行BS7799/ISO27001、IT规划、IT服务管理、IT风险管理、IT治理等培训，成为国内资深的IT培训讲师。2006年到2007年担任清华大学与北京大学兼职教授，为IT硕士班讲授IT治理、信息安全管理及IT风险管理课程。七、附加资料信息系统审计作为新兴的职业和学科体系，在国内大中型企业中新一轮的加强公司治理、完善组织内部控制体系、降低信息化风险的浪潮中，逐渐得到政府及企业的重视，社会上对信息系统审计的需求在快速增加。国内获得CISA认证的审计师在信息安全与控制领域内发挥着重要的作用，信息系统审计也越来越被国内企业认可，我们欣喜地看到许多大型国有企业及跨国公司在招聘信