CISA - Certified Information Systems Auditor - Exam Preparation

• 5 lat doświadczenia zawodowego w audycie IT lub w obszarze bezpieczeństwa
• Podstawowa wiedza z zakresu funkcjonowania technologii informatycznych, wsparcia biznesu przez technologie informatyczne oraz kontroli wewnętrznej.

Możliwe jest skrócenie wymaganego doświadczenia zawodowego do 4 lat, jeśli kandydat posiada tytuł licencjata lub do 3 lat, jeśli posiada tytuł magistra.

Do egzaminu można przystąpić z niespełnionym wymogiem doświadczenia zawodowego. Jest to jednak warunek, który musi zostać spełniony w ciągu 5 lat od daty przystąpienia do egzaminu. Jeśli nie uda się tego zrobić w ciągu 5 lat, zdany wynik egzaminu zostanie uznany za nieważny.

Publiczność

• audytorzy
• Audytorzy systemów informatycznych
• Menedżerowie infrastruktury IT,
• menedżerowie ds. zarządzania ryzykiem lub ciągłością działania,
• osoby odpowiedzialne za wszystkie aspekty zarządzania IT

Szkolenie ma formę warsztatów uzupełnionych wiedzą merytoryczną. Zajęcia prowadzone są w oparciu o oficjalne ramy certyfikatu CISA. Podczas warsztatów omawiane będą studia przypadków przy omawianiu konkretnych zagadnień. Zajęcia będą prowadzone w języku angielskim (na życzenie w języku polskim) w oparciu o podręcznik ISACA w języku angielskim.

Zakres materiału egzaminacyjnego CISA:

• Proces audytu systemów informatycznych (21%)
• [Zarządzanie i Management IT (17%)
• Pozyskiwanie, rozwój i wdrażanie systemów informatycznych (12%)
• Eksploatacja i Business odporność systemów informatycznych (23%)
• Ochrona zasobów informacyjnych (27%)

Czas trwania egzaminu: 4 godziny
Typ: test wielokrotnego wyboru
Objętość: 200 pytań

Lista wymagań, które należy spełnić, aby móc ubiegać się o kwalifikację CISA:

1. Zdać egzamin CISA. Wynik pozytywny egzaminu CISA to ocena 450 lub wyższa.
2. Przestrzegać Kodeksu Etyki Zawodowej ISACA.
3. Zobowiązać się do przestrzegania zasad ustawicznego kształcenia zawodowego CISA.
4. Zdobyć co najmniej 5-letnie doświadczenie zawodowe w zakresie audytu, kontroli lub bezpieczeństwa systemów informatycznych.
5. Przestrzegać standardów audytu systemów informatycznych

Jeśli zdałeś egzamin i uważasz, że spełniasz te wymagania, możesz rozpocząć składanie wniosku o certyfikację: strona certyfikacji tutaj
Wniosek ten jest płatny w wysokości 50 USD.

Istnieje również roczna opłata, którą należy uiścić, aby utrzymać ten certyfikat po jego przyznaniu. Opłata wynosi 40 USD rocznie dla członków ISACA i 75 USD dla osób niebędących członkami.

Cel:

Ostatecznym celem jest zdanie egzaminu CISA za pierwszym razem.

Proces audytu systemu informatycznego (21%)

Świadczenie usług audytowych zgodnie ze standardami audytu IT w celu wsparcia organizacji w ochronie i kontroli systemów informatycznych.

• 1.1 Opracować i wdrożyć strategię audytu IT opartą na ryzyku zgodnie ze standardami audytu IT, aby zapewnić uwzględnienie kluczowych obszarów.
• 1.2 Planowanie określonych audytów w celu ustalenia, czy systemy informatyczne są chronione, kontrolowane i zapewniają wartość dla organizacji.
• 1.3 Przeprowadza audyty zgodnie ze standardami audytu IT, aby osiągnąć zaplanowane cele audytu.
• 1.4 Raportowanie wyników audytu i formułowanie zaleceń dla kluczowych interesariuszy w celu komunikowania wyników i wprowadzania zmian w razie potrzeby.
• 1.5 Prowadzenie działań następczych lub przygotowywanie raportów o statusie w celu zapewnienia, że odpowiednie działania zostały podjęte przez kierownictwo w odpowiednim czasie.

Zarządzanie i Management IT (17%) 

Zapewnij, że niezbędna struktura i procesy kierownicze, organizacyjne umożliwiają osiągnięcie celów i wspieranie strategii organizacji.

• 2.1 Oceń skuteczność struktury zarządzania IT, aby ustalić, czy decyzje, kierunki rozwoju i wydajność IT wspierają strategie i cele organizacji.
• 2.2 Oceń strukturę organizacyjną IT i zarządzanie zasobami ludzkimi (personelem), aby ustalić, czy wspierają one strategie i cele organizacji.
• 2.3 Ocena strategii informatycznej, w tym kierunku rozwoju IT oraz procesów opracowywania, zatwierdzania, wdrażania i utrzymywania strategii pod kątem zgodności ze strategiami i celami organizacji.
• 2.4 Ocenić zasady, standardy i procedury IT organizacji oraz procesy ich opracowywania, zatwierdzania, wdrażania, utrzymywania i monitorowania, aby ustalić, czy wspierają one strategię IT i są zgodne z wymogami regulacyjnymi i prawnymi.
• 2.5 Oceń adekwatność systemu zarządzania jakością, aby ustalić, czy wspiera on strategie i cele organizacji w sposób opłacalny.
• 2.6 Ocena zarządzania IT i monitorowania kontroli (np. ciągłego monitorowania, zapewnienia jakości) pod kątem zgodności z politykami, standardami i procedurami organizacji.
• 2.7 Oceniać inwestycje w zasoby informatyczne, ich wykorzystanie i alokację, łącznie z kryteriami ustalania priorytetów, pod kątem zgodności ze strategiami i celami organizacji.
• 2.8 Oceniaj strategie i zasady zawierania umów informatycznych oraz praktyki zarządzania umowami, aby ustalić, czy wspierają one strategie i cele organizacji.
• 2.9 Oceń praktyki zarządzania ryzykiem, aby ustalić, czy ryzyka w organizacji związane z IT są właściwie zarządzane.
• 2.10 Ocena praktyk w zakresie monitorowania i zapewniania wiarygodności w celu ustalenia, czy zarząd i kierownictwo wykonawcze otrzymują wystarczające i terminowe informacje na temat wydajności IT.
• 2.11 Oceń plan ciągłości działania organizacji, aby określić zdolność organizacji do kontynuowania podstawowych operacji biznesowych w okresie przerwy w działaniu systemów informatycznych.

Pozyskiwanie, rozwój i wdrażanie systemów informatycznych (12%)

Zapewnij, że praktyki dotyczące pozyskiwania, rozwoju, testowania i wdrażania systemów informatycznych są zgodne ze strategiami i celami organizacji.

• 3.1 Ocena uzasadnienia biznesowego dla proponowanych inwestycji w nabycie, rozwój, utrzymanie i późniejsze wycofanie systemów informatycznych w celu ustalenia, czy spełniają one cele biznesowe.
• 3.2 Ocena praktyk zarządzania projektami i kontroli w celu ustalenia, czy wymagania biznesowe są osiągane w sposób efektywny kosztowo, przy jednoczesnym zarządzaniu ryzykiem dla organizacji.
• 3.3 Przeprowadzanie przeglądów w celu ustalenia, czy projekt postępuje zgodnie z planami projektu, jest odpowiednio poparty dokumentacją, a raportowanie statusu jest dokładne.
• 3.4 Ocenianie kontroli systemów informatycznych na etapie określania wymagań, nabywania, rozwoju i testowania pod kątem zgodności z politykami, standardami, procedurami organizacji i stosownymi wymaganiami zewnętrznymi.
• 3.5 Ocena gotowości systemów informatycznych do wdrożenia i migracji do produkcji w celu ustalenia, czy spełnione są rezultaty projektu, kontrole i wymagania organizacji.
• 3.6 Przeprowadzanie przeglądów systemów po wdrożeniu w celu ustalenia, czy spełnione są produkty projektu, kontrole i wymagania organizacji.

Obsługa systemów informatycznych i Business odporność (23%)

Zapewnij, że procesy dotyczące eksploatacji, konserwacji i wsparcia systemów informatycznych są zgodne ze strategiami i celami organizacji.

• 4.1 Przeprowadzaj okresowe przeglądy systemów informatycznych, aby ustalić, czy nadal spełniają one cele organizacji.
• 4.2 Ocena praktyk zarządzania poziomem usług w celu ustalenia, czy poziom usług świadczonych przez wewnętrznych i zewnętrznych dostawców usług jest zdefiniowany i zarządzany.
• 4.3 Ocena praktyk zarządzania stronami trzecimi w celu ustalenia, czy poziomy kontroli oczekiwane przez organizację są przestrzegane przez dostawcę.
• 4.4 Ocena operacji i procedur użytkownika końcowego w celu ustalenia, czy zaplanowane i niezaplanowane procesy są zarządzane do końca.
• 4.5 Oceń proces konserwacji systemów informatycznych, aby ustalić, czy są one skutecznie kontrolowane i w dalszym ciągu wspierają cele organizacji.
• 4.6 Ocena praktyk administrowania danymi w celu określenia integralności i optymalizacji baz danych.
• 4.7 Oceń wykorzystanie narzędzi i technik monitorowania pojemności i wydajności, aby ustalić, czy usługi informatyczne spełniają cele organizacji.
• 4.8 Ocena praktyk zarządzania problemami i incydentami w celu określenia, czy incydenty, problemy lub błędy są rejestrowane, analizowane i rozwiązywane w odpowiednim czasie.
• 4.9 Oceń praktyki zarządzania zmianami, konfiguracją i wydaniami, aby ustalić, czy zaplanowane i niezaplanowane zmiany wprowadzane w środowisku produkcyjnym organizacji są odpowiednio kontrolowane i dokumentowane.
• 4.10 Ocena adekwatności przepisów dotyczących tworzenia kopii zapasowych i przywracania w celu określenia dostępności informacji wymaganych do wznowienia przetwarzania.
• 4.11 Oceń plan odzyskiwania po awarii w organizacji, aby ustalić, czy umożliwia on odzyskanie możliwości przetwarzania IT w razie awarii.

Ochrona zasobów informacyjnych (27%)

Zapewnij, że polityka bezpieczeństwa, standardy, procedury i kontrole organizacji zapewniają poufność, integralność i dostępność zasobów informacyjnych.

• 5.1 Ocena polityk, standardów i procedur bezpieczeństwa informacji pod kątem kompletności i zgodności z ogólnie przyjętymi praktykami.
• 5.2 Ocena projektu, wdrożenia i monitorowania systemowych i logicznych mechanizmów kontroli bezpieczeństwa w celu weryfikacji poufności, integralności i dostępności informacji.
• 5.3 Oceniać projekt, wdrożenie i monitorowanie procesów i procedur klasyfikacji danych pod kątem zgodności z politykami, standardami, procedurami i stosownymi wymaganiami zewnętrznymi organizacji.
• 5.4 Ocena projektu, wdrożenia i monitorowania kontroli dostępu fizycznego i kontroli środowiska w celu ustalenia, czy zasoby informacyjne są odpowiednio chronione.
• 5.5 Ocena procesów i procedur wykorzystywanych do przechowywania, odzyskiwania, transportu i utylizacji zasobów informacyjnych (np. nośników kopii zapasowych, przechowywania poza siedzibą firmy, danych w formie papierowej/drukowanej i nośników w formie elektronicznej) w celu ustalenia, czy zasoby informacyjne są odpowiednio chronione.