主要適合希望成為負(fù)責(zé)處理信息系統(tǒng)設(shè)計和運(yùn)營方面的控制、IT審計、 IT 管理的專業(yè)人員
報考無要求,但拿CISA認(rèn)證需要五年以上(含)信息系統(tǒng)審計、控制、鑒證或安全工作經(jīng)驗。最長可抵減三年。(詳見這里>>)
考試語言 | 中文考試/英文考試(考生任選其中一種) |
考試形式 | 在線機(jī)考 |
考試費(fèi)用 | 詳詢艾威課程顧問 |
考試時間 | 隨約隨考 |
考試時長 | 4 小時(國內(nèi)線下考場考試時間: 09:00-13:00/13:00-17:00) |
考試題型 | 150 道單選題。 |
通過條件 | 獲得標(biāo)準(zhǔn)分 450 分通過(滿分 800 分),即110 題及格。 |
試題涉及 ISACA 公布考綱中的知識領(lǐng)域,但不會按范疇分類。
試題覆蓋廣泛不會特別關(guān)注某些系統(tǒng)或軟件。考生需根據(jù)公認(rèn)的信息系統(tǒng)審計原則給予正確答案。
自2024年8月1日起,CISA開始新版考試(新教材將于5月1日發(fā)布),詳情請參照:《重要!CISA新版教材于2024年5月1日更新,到底發(fā)生了哪些變化?》
18%-領(lǐng)域 1:信息系統(tǒng)的審計流程
該領(lǐng)域提供行業(yè)標(biāo)準(zhǔn)的審計服務(wù),以幫助組織保護(hù)和控制信息系統(tǒng),從而證明您對組織的IS/IT安全、風(fēng)險和控制解決方案的狀態(tài)提供結(jié)論的可信度。
A-規(guī)劃 1 審計標(biāo)準(zhǔn)、準(zhǔn)則和道德規(guī)范 2 審計、評估和審查的類型 3 基于風(fēng)險的審計規(guī)劃 4 控制類型和注意事項 | B-執(zhí)行 1 審計項目管理 2 審計測試和抽樣方法 3 審計證據(jù)收集技術(shù) 4 審計數(shù)據(jù)分析 5 報告和溝通技巧 6 審計過程的質(zhì)量_和改進(jìn) |
18%-領(lǐng)域 2:IT 治理與管理
該領(lǐng)域向利益相關(guān)者證實了您識別關(guān)鍵問題和推薦特定于企業(yè)的實踐以支持和保護(hù)信息和相關(guān)技術(shù)的治理的能力。
A-IT治理 1 法律、法規(guī)和行業(yè)標(biāo)準(zhǔn) 2 組織結(jié)構(gòu)、IT治理和IT戰(zhàn)略 3 IT政策、標(biāo)準(zhǔn)、程序和實踐 4 企業(yè)架構(gòu)和考慮事項 5 企業(yè)風(fēng)險管理 6 隱私計劃和原則 7 數(shù)據(jù)治理和分類 | B-IT管理 1 IT資源管理 2 IT供應(yīng)商管理 3 IT性能監(jiān)控和報告 4 信息技術(shù)的質(zhì)量_和質(zhì)量管理 |
12%-領(lǐng)域 3:信息系統(tǒng)的購置、開發(fā)與實施
領(lǐng)域3和4不僅證明了您在IT控制方面的能力,還證明了您對IT與業(yè)務(wù)關(guān)系的理解。
A-信息系統(tǒng)的采購與開發(fā) 1 項目治理和管理 2 業(yè)務(wù)案例和可行性分析 3 系統(tǒng)開發(fā)方法 4 控制識別和設(shè)計 | B-信息系統(tǒng)實施 1 系統(tǒng)準(zhǔn)備和實施測試 2 實施配置和發(fā)布管理 3 系統(tǒng)遷移、基礎(chǔ)設(shè)施部署和數(shù)據(jù)轉(zhuǎn)換 4 實施后審查 |
26%-領(lǐng)域 4:信息系統(tǒng)的運(yùn)營和業(yè)務(wù)恢復(fù)能力
領(lǐng)域3和4不僅證明了您在IT控制方面的能力,還證明了您對IT與業(yè)務(wù)關(guān)系的理解。
A-信息系統(tǒng)運(yùn)營 1 IT組件 2 IT資產(chǎn)管理 3 作業(yè)調(diào)度和生產(chǎn)過程自動化 4 系統(tǒng)界面 5 影子IT和終端用戶計算 6 系統(tǒng)可用性和容量管理 7 問題和事件管理 8 IT變更、配置和補(bǔ)丁管理 9 操作日志管理 10 IT服務(wù)級別管理 11 數(shù)據(jù)庫管理 | B-業(yè)務(wù)恢復(fù)能力 1 業(yè)務(wù)影響分析 2 系統(tǒng)恢復(fù)能力 3 數(shù)據(jù)備份、存儲和恢復(fù) 4 業(yè)務(wù)連續(xù)性計劃(BCP) 5 災(zāi)難恢復(fù)計劃(DRP) |
26%-領(lǐng)域 5:信息資產(chǎn)保護(hù)
網(wǎng)絡(luò)安全現(xiàn)在幾乎觸及信息系統(tǒng)的每一個角色,了解其原則、_佳實踐和缺陷是領(lǐng)域5的一個主要焦點(diǎn)。
A-信息資產(chǎn)安全和控制 1 信息資產(chǎn)安全框架、標(biāo)準(zhǔn)和指導(dǎo)原則 2 物理和環(huán)境控制 3 身份和訪問管理 4 網(wǎng)絡(luò)和終端安全性 5 數(shù)據(jù)丟失預(yù)防 6 數(shù)據(jù)加密 7 公鑰基礎(chǔ)設(shè)施 8 云和虛擬化環(huán)境 9 移動、無線和物聯(lián)網(wǎng)設(shè)備 | B-安全事件管理 1 安全意識培訓(xùn)和計劃 2 信息系統(tǒng)攻擊方法和技術(shù) 3 安全測試工具和技術(shù) 4 安全監(jiān)控工具和技術(shù) 5 安全事件響應(yīng)管理 6 證據(jù)收集和取證 |
任務(wù)
1 計劃審核以確定信息系統(tǒng)是否受到保護(hù)和控制,并為組織提供價值。 2 根據(jù)信息系統(tǒng)審計標(biāo)準(zhǔn)和基于風(fēng)險的信息系統(tǒng)審計策略進(jìn)行審計。 3 將項目管理方法應(yīng)用到審計過程中。 4 與利益相關(guān)方溝通并收集關(guān)于審核進(jìn)度、發(fā)現(xiàn)、結(jié)果和建議的反饋。 5 進(jìn)行審計后跟進(jìn),以評估已識別的風(fēng)險是否已得到充分解決。 6 利用數(shù)據(jù)分析工具增強(qiáng)審計流程。 7 評估自動化和/或決策系統(tǒng)對組織的作用和/或影響。 8 評估審計流程,作為質(zhì)量_和改進(jìn)計劃的一部分。 9 評估IT策略是否與組織的策略和目標(biāo)一致。 10 評估IT治理結(jié)構(gòu)和IT組織結(jié)構(gòu)的有效性。 11 評估組織對IT策略和實踐的管理,包括遵守法律和法規(guī)要求。 12 評估IT資源和項目管理是否符合組織的戰(zhàn)略和目標(biāo)。 13 評估組織的企業(yè)風(fēng)險管理(ERM)計劃。 14 確定組織是否定義了IT風(fēng)險、控制和標(biāo)準(zhǔn)的所有權(quán)。 15 評估IT關(guān)鍵績效指標(biāo)(KPI)和IT關(guān)鍵風(fēng)險指標(biāo)(kri)的監(jiān)控和報告。 16 評估組織繼續(xù)業(yè)務(wù)運(yùn)營的能力。 17 評估組織的存儲、備份和恢復(fù)策略和流程。 18 評估與信息系統(tǒng)相關(guān)的業(yè)務(wù)案例是否符合業(yè)務(wù)目標(biāo)。 19 評估IT供應(yīng)商選擇和合同管理流程是否符合業(yè)務(wù)、法律和法規(guī)要求。 20 評估供應(yīng)鏈的IT風(fēng)險因素和完整性問題。 21 評估信息系統(tǒng)開發(fā)生命周期所有階段的控制措施。 22 評估信息系統(tǒng)實施和遷移到生產(chǎn)環(huán)境的準(zhǔn)備情況。 | 23 對系統(tǒng)進(jìn)行實施后審查,以確定是否滿足項目可交付性、控制和要求。 24 評估是否有有效的流程來支持_終用戶。 25 評估IT服務(wù)管理實踐是否符合組織要求。 26 對信息系統(tǒng)和企業(yè)架構(gòu)(EA)進(jìn)行定期審查,以確定與組織目標(biāo)的一致性。 27 評估IT運(yùn)營和維護(hù)實踐是否支持組織的目標(biāo)。 28 評估組織的數(shù)據(jù)庫管理實踐。 29 評估組織的數(shù)據(jù)治理計劃。 30 評估組織的隱私計劃。 31 評估數(shù)據(jù)分類做法是否符合組織的數(shù)據(jù)治理計劃、隱私計劃和適用的外部要求。 32 評估組織的問題和事件管理計劃。 33 評估組織的變更、配置、發(fā)布和補(bǔ)丁管理計劃。 34 評估組織的日志管理計劃。 35 評估組織與資產(chǎn)生命周期管理相關(guān)的政策和實踐。 36 評估與影子IT和終端用戶計算(EUC)相關(guān)的風(fēng)險,以確定補(bǔ)償控制的有效性。 37 評估組織的信息安全計劃。 38 評估組織的威脅和漏洞管理計劃。 39 利用技術(shù)安全測試來識別潛在的漏洞。 40 評估邏輯、物理和環(huán)境控制,以驗證信息資產(chǎn)的機(jī)密性、完整性和可用性。 41 評估組織的安全意識培訓(xùn)計劃。 42 為組織提供指導(dǎo),以提高信息系統(tǒng)的質(zhì)量和控制。 43 評估與新興技術(shù)、法規(guī)和行業(yè)實踐相關(guān)的潛在機(jī)會和風(fēng)險。 |
* 以上內(nèi)容參考ISACA官方的CISA考試內(nèi)容說明,原文內(nèi)容參見:https://www.isaca.org/credentialing/cisa/cisa-exam-content-outline
ISACA官方考試說明,在線預(yù)覽↓↓↓
ISACA-Exam-Candidate-Guide點(diǎn)擊獲取《ISACA考試認(rèn)證手冊(含CISA考試說明)》[PDF]
點(diǎn)擊進(jìn)行CISA考試樣題測試[在線/英文]
1、ISACA是什么機(jī)構(gòu)?
答:ISACA( www.isaca.org )在全球140 多個國家擁有超過100000 名成員,是獲得公認(rèn)的IT管理、控制、安全及_上的全球_者。該組織成立于1969 年,主要負(fù)責(zé)主辦國際會議和出版《信息系統(tǒng)控制期刊》(Information Systems Control Journal),制定國際信息系統(tǒng)查核和控制標(biāo)準(zhǔn),負(fù)責(zé)CISA、CISM 、COBIT、CGEIT 、CDPSE等認(rèn)證。
2、CISA認(rèn)證適合什么樣的情況?
答:CISA認(rèn)證適用于信息系統(tǒng)審計人員、信息化咨詢顧問、信息系統(tǒng)管理人員。
一般工作在企業(yè)內(nèi)審或信息中心、管理咨詢公司、較大的事務(wù)所(大所才有IT審計的項目)、信息安全廠商或服務(wù)提供商。重點(diǎn)集中在那些對信息化程度依賴較高、風(fēng)險較大的行業(yè),如:金融證券行業(yè)。
3、CISA認(rèn)證對計算機(jī)或?qū)徲嫹矫娴囊螅?/strong>
答:對審計人員來說,CISA考試僅僅是將審計環(huán)境替換為在信息系統(tǒng)環(huán)境下。審計的理念和方法是一致的,核心還是多了解信息技術(shù)方面的內(nèi)容,信息技術(shù)方面對審計師并不要求精通,考的較基礎(chǔ)。反過來說,如果計算機(jī)方面有基礎(chǔ),可以把重點(diǎn)放在審計部分,特別是內(nèi)審理念和思維方式的培養(yǎng)上。
4、CISA會員與非會員區(qū)別?
答:成為會員沒有限制,只需要_次繳費(fèi)注冊費(fèi)、官方會費(fèi)、香港分會會費(fèi),然后以后每年按年度交會費(fèi),即可保持ISACA會員資格。
會員與非會員的區(qū)別如下:
會員:
①考試費(fèi)報名優(yōu)惠:參加官方大陸
②1小時的講座(CISA基本介紹);
③可在官方免費(fèi)下載一些資料(注:考試用書、教材輔導(dǎo)資料和習(xí)題等需要購買);
④可參加官方的活動賺取CPE(活動、做題等);訂購官方書籍有優(yōu)惠。
非會員:以上均無。
5、CISA考試主要考哪些內(nèi)容?
答:主要有五個部分,分別是:
1)信息系統(tǒng)審計流程 (21%)—遵照 IT 審計標(biāo)準(zhǔn)提供審計服務(wù),以幫助組織保護(hù)和控制其信息系統(tǒng)。
2)IT治理和管理 (17%)—用以確保具備必要的領(lǐng)導(dǎo)層、組織結(jié)構(gòu)及流程來實現(xiàn)相關(guān)目標(biāo)和支持組織戰(zhàn)略。
3)信息系統(tǒng)購置、開發(fā)與實施 (12%)—用以確保信息系統(tǒng)的購置、開發(fā)、測試和實施實務(wù)符合組織的戰(zhàn)略與目標(biāo)。
4)信息系統(tǒng)的運(yùn)營和業(yè)務(wù)恢復(fù)能力(23%)—用以確保信息系統(tǒng)的操作、維護(hù)與支持流程符合組織的戰(zhàn)略與目標(biāo)。
5)信息資產(chǎn)的保護(hù) (27%)—用以確保組織的安全政策、標(biāo)準(zhǔn)、規(guī)程和控制能夠_信息資產(chǎn)的機(jī)密性、完整性和可用性。
6、CISA每年有幾次考試?國內(nèi)考點(diǎn)分別是什么地方?
答:CISA是機(jī)考,可隨約隨考(提前1-4周做報考即可,對報考沒有次數(shù)和時間上的限制),可以在全球授權(quán)的PSI線下考試中心進(jìn)行在線考試(遠(yuǎn)程監(jiān)考)??忌梢栽诰W(wǎng)上報名,報名方式:登陸ISACA網(wǎng)站[http://www.isaca.org/],網(wǎng)上填寫英文報名表,繳納美元完成報考手續(xù)??荚嚽?-3周, 考生收到CISA考試入場券,艾威學(xué)員尊享全程代報名服務(wù),詳詢艾威課程顧問。
全國20多個城市有考點(diǎn),目前中國有以下城市覆蓋PSI機(jī)考考場: 北京,上海,廣州,深圳,成都,重慶,大連,杭州,濟(jì)南,南京,沈陽,天津,西安,鄭州,福州,合肥,長沙,寧波,南寧,溫州,貴陽,香港,臺灣,澳門。
7、參加CISA考試認(rèn)證有沒有資格上的要求?
答:參加考試無要求,但通過考試后申請證書需要滿足工作經(jīng)驗要求才能獲得CISA證書。
若想成為注冊信息系統(tǒng)審計師,申請人必須:
1)取得 CISA 考試的及格分?jǐn)?shù)。僅通過 CISA 考試,但是未能取得以下所列工作經(jīng)驗時,考試成績只能維持五年有效。如果申請人未能在五年內(nèi)達(dá)到 CISA 的認(rèn)證要求,則考試成績將失效。
2)提供從事信息系統(tǒng)審計、控制、鑒證或安全工作 5 年工作經(jīng)驗的確認(rèn)證明表。工作經(jīng)驗必須在認(rèn)證申請日之前的十年內(nèi),或_初通過考試之日起的五年內(nèi)獲得。
具有下列同等經(jīng)驗者,可按規(guī)定申請抵減,抵減額度_高為三年:
■ _多可以用 1 年的信息系統(tǒng)經(jīng)驗或一年非信息系統(tǒng)審計經(jīng)驗抵減一年的工作經(jīng)驗。
■ 完成 60-120 大學(xué)學(xué)分(相當(dāng)于兩年或四年大學(xué)學(xué)歷),不受 10 年先前經(jīng)驗的限制,可以相應(yīng)抵減一年或兩年的工作經(jīng)驗。
■ 在開設(shè) ISACA 模型課程的大學(xué)中獲得學(xué)士或碩士學(xué)位可抵 1 年的工作經(jīng)驗。如果已經(jīng)使用三年經(jīng)驗抵減和教育豁免的規(guī)定,則不能使用本項規(guī)定。
■ 從鑒定認(rèn)可的大學(xué)的信息安全或信息技術(shù)專業(yè)畢業(yè)的碩士學(xué)位可抵減 1 年的工作經(jīng)驗。
例外:兩年相關(guān)領(lǐng)域(例如,計算機(jī)科學(xué)、會計、信息系統(tǒng)審計等)內(nèi)大學(xué)全職講師工作經(jīng)驗可抵減一年的工作經(jīng)驗。
例如,做為_低要求(假設(shè)以 120 個大學(xué)學(xué)分來抵減兩年的工作經(jīng)驗),申請人必須有三年的實際工作經(jīng)驗。該經(jīng)驗可以由以下方式來獲得:
■ 三年信息系統(tǒng)審計、控制、鑒證或安全領(lǐng)域工作經(jīng)驗
或
■ 兩年信息系統(tǒng)審計、控制、鑒證或安全領(lǐng)域工作經(jīng)驗再加上一年非信息系統(tǒng)審計或信息系統(tǒng)工作經(jīng)驗或兩年全職大學(xué)講師的經(jīng)驗。
需要特別注意的是,許多人都選擇在達(dá)到經(jīng)驗要求之前參加 CISA 考試。此種做法是可以接受的,也是值得鼓勵的,但 CISA 認(rèn)證資格只有在達(dá)到所有要求之后才會授予。
3)同意遵守 ISACA 的《職業(yè)道德規(guī)范》
4)同意遵守 ISACA 所采用的《信息系統(tǒng)審計標(biāo)準(zhǔn)》
5)同意遵守《注冊信息系統(tǒng)審計師繼續(xù)職業(yè)教育政策(CPE)》
8、CISA考試要考幾科,每科多少題目?
答:CISA考試只有一科,考題為150道單選題,試題可能會有兩個甚至多個正確的答案,在考試中考生只要選中其中一個(只能選一個)你認(rèn)為_優(yōu)的答案就可以了。
9、CISA考試總分多少,多少分通過?
答:共計800分,450分通過。450分是指比例分?jǐn)?shù)。舉例來說:比例分?jǐn)?shù)為800的代表滿分,所有問題全部回答正確;比例分?jǐn)?shù)為200的是_低分?jǐn)?shù),表示只回答對了其中少數(shù)問題??忌姆?jǐn)?shù)必須達(dá)到450或更高才可以通過考試。450分代表由ISACA的CISA認(rèn)證委員會所制定的_低的統(tǒng)一知識標(biāo)準(zhǔn)。
10、CISA考試的語種選擇?
答:自2007年12月開始,ISACA有中文簡體試卷。2011年3月份開始,ISACA有中文簡體考試資料。考生在報名時可以選擇自己喜歡或熟悉的語種。包括簡體中文、繁體中文、英語、法語、德語、西班牙語、荷蘭語、意大利語、日語、韓語文和希伯來語等多種考試語言,2023年新增葡萄牙語。
11、CISA如何領(lǐng)取準(zhǔn)考證?
答:在CISA考試前2到3周,考生會收到來自 ISACA 的書面準(zhǔn)考證以及電子準(zhǔn)考證或直接上官網(wǎng)打印準(zhǔn)考證。
準(zhǔn)考證上標(biāo)明了考試的日期、入場登記時間與考試地點(diǎn)、當(dāng)天日程安排以及參加 CISA 考試必須攜帶的材料。考生可以憑借打印的電子準(zhǔn)考證或準(zhǔn)考證原件進(jìn)入考場。除非聯(lián)系信息發(fā)生變更,否則考生不應(yīng)在準(zhǔn)考證上涂寫。
12、CISA報名后如果時間來不及,是否可以退款或緩考?
答:可以退款或緩考。無法參加考試的申請人可以在指定日期前要求退還報名費(fèi),退款中將扣除手續(xù)費(fèi)。
考試報名者也可以在指定日期前選擇將考試日期延至以后考試日。緩考費(fèi)用根據(jù)申請緩考時間不同而不同。學(xué)習(xí)資料以及相關(guān)稅款、郵資、處理費(fèi)或會員費(fèi)不予退還或退換??荚噲竺M(fèi)和會員費(fèi)不可轉(zhuǎn)讓。
13、應(yīng)該如何選擇CISA學(xué)習(xí)資料?
答:在輔導(dǎo)書上建議選用ISACA官方出版的《CISA Review Manual》,中文名稱是《CISA考試復(fù)習(xí)手冊》。教材每年更新。目前_新版是第27版。
14、CISA考試是筆試還是機(jī)考?
答:目前沒有采用計算機(jī)考試,仍然是筆試涂寫答題卡的方式。
15、CISA考試成績?nèi)绾喂迹?/strong>
答:考試之日起約四到八周,考生將接到郵寄的正式考試成績通知。此外,如果考生在報名過程中注明同意,則我們還可以為考生發(fā)送電子郵件,其中包含考生及格/不及格的情況以及考試得分。
16. CISA報名之后官方如何審核資格?
答:考試通過后ISACA會在全球抽調(diào)5-10%進(jìn)行審核,方式為:發(fā)送郵件給考試通過后工作經(jīng)驗證明簽字人的郵箱,確認(rèn)相關(guān)資。
17. 是不是一定需要CISA(審計)方面的工作經(jīng)驗才能拿到證書 ?
答:ISACA要求需要具備IT審計、安全、鑒證相關(guān)工作經(jīng)驗,_高學(xué)歷或?qū)I(yè)、或大學(xué)講師資歷可以抵消至二年工作經(jīng)驗,范圍很大;
18. CISA考試難度如何 ?
答:難度因人而異,但整體的反饋是不難的,官方的通過律為45%左右,只要自己肯學(xué)就沒問題。CISA是一個國際性的考試,中文或英文或其他語言,對于CISA只是一個考試語言種類的增加,難度并沒有降低。不能說只要國際認(rèn)證有了中文考試含金量就低了,認(rèn)證考試的目的,一個是學(xué)習(xí)、一個是拿證,不要想拿了哪個證就能馬上有多么好的工作。
以我現(xiàn)在的基礎(chǔ),考CISA能考幾分?
CISA考試難不難?通過率怎么樣? 預(yù)約模擬自測