CISA - Certified Information Systems Auditor - Exam Preparation

• 5 年 IT 審計或安全領域的專業經驗
• 資訊技術運營、資訊技術業務支援和內部控制領域的基礎知識。

如果候選人擁有學士學位，則可以將所需的工作經驗縮短到 4 年，如果他擁有碩士學位，則可以縮短到 3 年。

您可以在未滿足工作經驗要求的情況下參加考試。但是，這是必須在參加考試之日起 5 年內滿足的條件。 如果您在 5 年內沒有完成此操作，您的考試及格分數將被視為無效。

觀眾

• 核 數 師
• IT 系統審計員
• IT 基礎架構經理，
• 風險管理或業務連續性經理，
• 負責IT 管理各個方面的人員

培訓採用研討會的形式，並輔以實質性知識。類基於官方 CISA 證書框架。在研討會期間，將在討論具體問題時討論案例研究。課程將根據 ISACA 英文手冊以英語進行（應要求提供波蘭語）。
 

CISA 考試材料範圍：

• 資訊系統審計流程 （21%）
• GoIT 部門和 Management 部門 （17%） 
• 資訊系統採購、開發和實施 （12%）
• 資訊系統操作和 Business 彈性 （23%）
• 資訊資產保護 （27%）

考試時間：4 小時
類型： 多項選擇題測試
容量： 200 個問題

您必須滿足的要求清單才能獲得 CISA 資格： 

1. 通過 CISA 考試。CISA 及格分數是考試的 450 分或更高。
2. 遵守 ISACA 職業道德 準則
3. 承諾遵守 CISA 繼續專業教育政策
4. 獲得至少 5 年的專業資訊系統審計、控制或安全工作經驗。
5. 遵守資訊系統審計標準

如果您已通過考試並認為自己滿足這些要求，則可以在此處開始申請認證： 頁面認證
此應用程式的費用為 50 美元。

獲得此認證后，您還必須支付年費才能保持此認證。ISACA 會員的費用為每年 40 美元，非會員每年 75 美元。

目標：

最終目標是第一次通過 CISA 考試。

資訊系統審計流程 （21%）

按照IT審計標準提供審計服務，協助組織保護和控制信息系統。

• 1.1 制定和實施符合IT審計標準的基於風險的IT審計策略，以確保包括關鍵領域。
• 1.2 計劃具體的審計，以確定資訊系統是否受到保護、控制併為組織提供價值。
• 1.3 按照IT審計標準進行審計，以達到計劃的審計目標。
• 1.4 報告審計結果並向主要利益相關者提出建議，以在必要時傳達結果並實施變革。
• 1.5 進行跟進或準備狀態報告，以確保管理層及時採取適當行動。

IT 的治理和 Management （17%） 

確保必要的領導力、組織結構和流程到位，以實現目標並支持組織的策略。

• 2.1 評估IT治理結構的有效性，以確定IT決策、方向和績效是否支持組織的策略和目標。
• 2.2 評估IT組織結構和人力資源（人事）管理，以確定它們是否支持組織的策略和目標。
• 2.3 評估 IT 策略，包括 IT 方向，以及策略制定、批准、實施和維護的流程，以與組織的策略和目標保持一致。
• 2.4 評估組織的 IT 政策、標準和程序及其開發、批准、實施、維護和監控流程，以確定它們是否支援 IT 策略並符合法規和法律要求。
• 2.5 評估品質管理系統的充分性，以確定是否以成本有效的方式支持組織的策略和目標。
• 2.6 評估 IT 管理和控制監控（例如，持續監控、QA）是否符合組織的政策、標準和程序。
• 2.7 評估 IT 資源投資、使用和分配實踐，包括優先標準，以與組織的策略和目標保持一致。
• 2.8 評估 IT 承包策略和政策以及合約管理實踐，以確定它們是否支援組織的策略和目標。
• 2.9 評估風險管理實踐，以確定組織的 IT 相關風險是否適當管理。
• 2.10 評估監控和保證做法，以確定董事會和執行管理層是否收到有關IT績效的充分和及時的資訊。
• 2.11 評估組織的業務連續性計劃，以確定組織在 IT 中斷期間繼續基本業務運作的能力。

資訊系統取得、開發和實施 （12%）

確保資訊系統的取得、開發、測試和實施的實踐符合組織的策略和目標。

• 3.1 評估在資訊系統購置、開發、維護和隨後的報廢方面的擬議投資的商業案例，以確定其是否符合業務目標。
• 3.2 評估專案管理實踐和控制措施，以確定在管理組織風險的同時是否以具有成本效益的方式實現業務需求。
• 3.3 進行審查，以確定專案是否按照專案計劃進行，是否有充分的文件支援，以及狀態報告是否準確。
• 3.4 在需求、取得、發展和測試階段評估資訊系統的控制是否符合組織的政策、標準、程序和適用的外部要求。
• 3.5 評估資訊系統實施和遷移到生產的準備情況，以確定專案可交付成果、控制和組織的要求是否已滿足。
• 3.6 對系統進行實施後審查，以確定是否符合專案可交付成果、控制和組織的要求。

資訊系統運營和 Business 彈性 （23%）

確保資訊系統操作、維護和支援流程符合組織的策略和目標。

• 4.1 對資訊系統進行定期審查，以確定它們是否繼續滿足組織的目標。
• 4.2 評估服務級別管理實踐，以確定是否定義和管理內部和外部服務提供者的服務級別。
• 4.3 評估第三方管理實踐，以確定提供者是否遵守了組織預期的控制水準。
• 4.4 評估操作和最終使用者程式，以確定是否管理計劃和非計劃過程以完成。
• 4.5 評估資訊系統維護流程，以確定它們是否有效控制並持續支持組織的目標。
• 4.6 評估數據管理實踐，以確定資料庫的完整性和優化。
• 4.7 評估容量和效能監控工具和技術的使用情況，以確定 IT 服務是否符合組織的目標。
• 4.8 評估問題和事件管理實踐，以確定事件、問題或錯誤是否得到及時記錄、分析和解決。
• 4.9 評估變更、配置和發布管理實踐，以確定對組織生產環境的計劃和非計劃變更是否得到充分控制和記錄。
• 4.10 評估備份和恢復規定是否充分，以確定恢復處理所需資訊的可用性。
• 4.11 評估組織的災難復原計劃，以確定其是否能夠在災難發生時恢復 IT 處理能力。

保護資訊資產 （27%）

確保組織的安全策略、標準、程序和控制確保資訊資產的機密性、完整性和可用性。

• 5.1 評估資訊安全政策、標準和程式的完整性，並與公認的做法保持一致。
• 5.2 評估系統和邏輯安全控制的設計、實施和監控，以驗證資訊的機密性、完整性和可用性。
• 5.3 評估資料分類過程和程序的設計、實施和監控，以符合組織的政策、標準、程序和適用的外部要求。
• 5.4 評估物理訪問和環境控制的設計、實施和監測，以確定資訊資產是否得到充分保護。
• 5.5 評估用於存儲、檢索、傳輸和處置資訊資產（例如，備份介質、異地存儲、硬拷貝/列印數據和軟拷貝介質）的過程和程式，以確定信息資產是否得到充分保護。