CISA - Certified Information Systems Auditor ( cisa | 28 hours )

本课程没有设定先决条件。 ISACA 确实需要至少五年的专业资讯系统审计、控制或安全工作经验才有资格获得全面认证。您可以在满足 ISACA 的经验要求之前参加 CISA 考试，但 CISA 资格是在您满足经验要求后授予的。我们的培训师建议代表们在职业生涯中尽早通过 CISA，以便在日常职业中实践全球认可的 IT 审计实践。

描述：

CISA® 是世界知名且最受欢迎的认证，适用于在IS审计和IT风险谘询领域工作的专业人士。

我们的 CISA 课程是一门紧张、竞争激烈且注重考试的培训课程。凭借在欧洲和世界各地提供超过 150+ CISA 培训的经验，并培训了超过 1200+ CISA 代表的经验，网路安全 CISA 培训材料是在内部开发的，其首要任务是确保 CISA 代表通过 ISACA CISA® 考试。培训方法侧重于理解 CISA IS 审计概念，并练习过去三年中 ISACA 发布的大量题库。一段时间以来，知名会计师事务所、全球银行、谘询、鉴证和内部审计部门对 CISA 持有者的需求量很大。

代表们可能拥有多年的 IT 审计经验，但对解决 CISA 问卷的看法将完全取决于他们对全球公认的 IT 鉴证实践的理解。CISA 考试非常具有挑战性，因为两个可能的答案之间存在非常紧密冲突的可能性，这就是 ISACA 测试您对全球 IT 审计实践的理解的地方。为了应对这些考试挑战，我们始终提供最好的培训师，他们在世界各地提供 CISA 培训方面拥有丰富的经验。

Net Security CISA 手册涵盖了 CISA 五个领域的所有与考试相关的概念、案例研究、问答。此外，培训师在课程期间分享关键的 CISA 支援材料，如相关的 CISA 笔记、题库、CISA 词汇表、视频、复习档、考试技巧和 CISA 思维导图。

Goal：

最终目标是第一次通过 CISA 考试。

目标：

• 以对组织有益的实用方式使用所获得的知识
• 根据 IT 审计标准提供审计服务
• 为领导层和组织结构和流程提供保证
• 为IT资产的收购/开发、测试和实施提供鉴证
• 为 IT 运营提供鉴证，包括服务运营和第三方
• 为组织的安全策略、标准、程式和控制提供保证，以确保资讯资产的机密性、完整性和可用性。

目标受众：

Finance/注册会计师专业人士，IT专业人士，内部和外部审计师，资讯安全和风险谘询专业人士。

领域 1 — 审计资讯系统的过程 (14%)

按照IT审计标准提供审计服务，协助组织保护和控制信息系统。

• 1.1 制定和实施符合IT审计标准的基于风险的IT审计策略，以确保包括关键领域。
• 1.2 计划具体的审计，以确定资讯系统是否受到保护、控制并为组织提供价值。
• 1.3 按照IT审计标准进行审计，以达到计划的审计目标。
• 1.4 报告审计结果并向主要利益相关者提出建议，以在必要时传达结果并实施变革。
• 1.5 进行跟进或准备状态报告，以确保管理层及时采取适当行动。

领域 2 — IT 治理与管理 (14%)

确保必要的领导力、组织结构和流程到位，以实现目标并支持组织的策略。

• 2.1 评估IT治理结构的有效性，以确定IT决策、方向和绩效是否支持组织的策略和目标。
• 2.2 评估IT组织结构和人力资源（人事）管理，以确定它们是否支持组织的策略和目标。
• 2.3 评估 IT 策略，包括 IT 方向，以及策略的发展、批准、实施和维护流程，以与组织的策略和目标保持一致。
• 2.4 评估组织的 IT 政策、标准和程序及其开发、批准、实施、维护和监控流程，以确定它们是否支援 IT 策略并符合法规和法律要求。
• 2.5 评估品质管理系统的充分性，以确定是否以成本有效的方式支持组织的策略和目标。
• 2.6 评估 IT 管理和控制监控（例如，持续监控、QA）是否符合组织的政策、标准和程序。
• 2.7 评估 IT 资源投资、使用和分配实践，包括优先标准，以与组织的策略和目标保持一致。
• 2.8 评估 IT 承包策略和政策以及合约管理实践，以确定它们是否支援组织的策略和目标。
• 2.9 评估风险管理实践，以确定组织的 IT 相关风险是否适当管理。
• 2.10 评估监控和保证做法，以确定董事会和执行管理层是否收到有关IT绩效的充分和及时的资讯。
• 2.11 评估组织的业务连续性计划，以确定组织在 IT 中断期间继续基本业务运作的能力。

领域 3 — 资讯系统取得、开发与实施 (19%)

确保资讯系统的取得、开发、测试和实施的实践符合组织的策略和目标。

• 3.1 评估在资讯系统购置、开发、维护和随后的报废方面的拟议投资的商业案例，以确定其是否符合业务目标。
• 3.2 评估专案管理实践和控制措施，以确定在管理组织风险的同时是否以具有成本效益的方式实现业务需求。
• 3.3 进行审查，以确定专案是否按照专案计划进行，是否有充分的文件支援，以及状态报告是否准确。
• 3.4 在需求、取得、发展和测试阶段评估资讯系统的控制是否符合组织的政策、标准、程序和适用的外部要求。
• 3.5 评估资讯系统实施和迁移到生产的准备情况，以确定专案可交付成果、控制和组织的要求是否已满足。
• 3.6 对系统进行实施后审查，以确定是否符合专案可交付成果、控制和组织的要求。

领域 4 — 资讯系统运作、维护与支援 (23%)

确保资讯系统操作、维护和支援流程符合组织的策略和目标。

• 4.1 对资讯系统进行定期审查，以确定它们是否继续满足组织的目标。
• 4.2 评估服务级别管理实践，以确定是否定义和管理内部和外部服务提供者的服务级别。
• 4.3 评估第三方管理实践，以确定提供者是否遵守了组织预期的控制水准。
• 4.4 评估操作和最终使用者程式，以确定是否管理计划和非计划过程以完成。
• 4.5 评估资讯系统维护流程，以确定它们是否有效控制并持续支持组织的目标。
• 4.6 评估数据管理实践，以确定资料库的完整性和优化。
• 4.7 评估容量和效能监控工具和技术的使用情况，以确定 IT 服务是否符合组织的目标。
• 4.8 评估问题和事件管理实践，以确定事件、问题或错误是否得到及时记录、分析和解决。
• 4.9 评估变更、配置和发布管理实践，以确定对组织生产环境的计划和非计划变更是否得到充分控制和记录。
• 4.10 评估备份和恢复规定是否充分，以确定恢复处理所需资讯的可用性。
• 4.11 评估组织的灾难复原计划，以确定其是否能够在灾难发生时恢复 IT 处理能力。

领域 5 — 资讯资产保护 (30%)

确保组织的安全策略、标准、程序和控制确保资讯资产的机密性、完整性和可用性。

• 5.1 评估资讯安全政策、标准和程式的完整性，并与公认的做法保持一致。
• 5.2 评估系统和逻辑安全控制的设计、实施和监控，以验证资讯的机密性、完整性和可用性。
• 5.3 评估资料分类过程和程序的设计、实施和监控，以符合组织的政策、标准、程序和适用的外部要求。
• 5.4 评估物理访问和环境控制的设计、实施和监测，以确定资讯资产是否得到充分保护。
• 5.5 评估用于存储、检索、传输和处置资讯资产（例如，备份介质、异地存储、硬拷贝/列印数据和软拷贝介质）的过程和程式，以确定信息资产是否得到充分保护。