原創(chuàng)2024-05-08小艾老師

CISA信息系統(tǒng)審計(jì)師認(rèn)證知識(shí)體系考證須知證書(shū)含金量培訓(xùn)大綱 3分鐘小視頻我要提問(wèn)

CISA認(rèn)證是由信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）頒發(fā)的，針對(duì)信息系統(tǒng)審計(jì)、控制與安全領(lǐng)域的專(zhuān)業(yè)認(rèn)證。它表明持證人在評(píng)估和審計(jì)信息系統(tǒng)的安全性、可靠性和有效性方面具備專(zhuān)業(yè)知識(shí)和技能。CISA 認(rèn)證在信息技術(shù)和審計(jì)領(lǐng)域具有較高的認(rèn)可度。

中文名CISA信息系統(tǒng)審計(jì)師認(rèn)證
英文名Certified Information Systems Auditor
英文簡(jiǎn)稱(chēng)CISA
頒證機(jī)構(gòu)ISACA（國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)）
證書(shū)類(lèi)別IT審計(jì)，IT運(yùn)維，信息安全
同類(lèi)認(rèn)證CISM、CRISC

01

大家應(yīng)該都知道財(cái)務(wù)審計(jì)，

通俗講，就是查賬的。

看一下公司賬上的數(shù)據(jù)是否準(zhǔn)確，

每筆賬是否都能合理溯源。

那IT審計(jì)到底是干什么的呢？

它和財(cái)務(wù)審計(jì)有什么關(guān)系嗎？

這么跟你說(shuō)吧，

現(xiàn)在很多公司都會(huì)用到財(cái)務(wù)系統(tǒng)（比如ICP、用友啥的），

系統(tǒng)呢，會(huì)存儲(chǔ)財(cái)務(wù)相關(guān)數(shù)據(jù)，

想要確保財(cái)務(wù)審計(jì)工作是有意義的，

那就要先確保這個(gè)系統(tǒng)是可靠的，對(duì)不對(duì)？

IT審計(jì)就是做這個(gè)的。

當(dāng)然也不是只審計(jì)與財(cái)務(wù)有關(guān)的系統(tǒng)。

你可以把IT審計(jì)當(dāng)作是對(duì)IT系統(tǒng)的一次全面的安全檢查，

看看實(shí)施的 IT 控制措施，

能不能有效保護(hù)公司的資產(chǎn)，

能不能_數(shù)據(jù)完整等等。

02

IT審計(jì)都做些什么呢？

大致可以分為三類(lèi)：

ITEC（公司層面控制）、ITGC（一般層面控制）和ITAC（應(yīng)用層面控制)。

其中EC、GC和coding無(wú)關(guān)，

更多依賴(lài)對(duì)IT治理和管控方法的掌握和運(yùn)用。

AC中的抽樣穿行測(cè)試，也跟技術(shù)沾不上邊，

只要會(huì)excel的常用函數(shù)，就可以了。

相對(duì)硬核的，比如AC中的CAATs，

這個(gè)需要一定的業(yè)務(wù)理解以及coding能力。

03

下面重點(diǎn)說(shuō)一下GC，因?yàn)閺V義上的信息安全審計(jì)就包含在GC中。

GC關(guān)注IT內(nèi)部控制的有效性，一般從三個(gè)方面去衡量：

MA權(quán)限管理、MC變更管理、MO一般控制管理

MA看系統(tǒng)的密碼策略、用戶(hù)權(quán)限、特權(quán)賬號(hào)等

是否采取了有效的控制和管理。

比如說(shuō)系統(tǒng)的密碼，有沒(méi)有按規(guī)定設(shè)置復(fù)雜度。

還有小王有數(shù)據(jù)庫(kù)A的管理員權(quán)限，是不是合理？

小李離職了，他的賬號(hào)有沒(méi)有注銷(xiāo)等。

MC看系統(tǒng)功能或者版本變更

是不是有走了需求評(píng)審、開(kāi)發(fā)、測(cè)試、上線審批之類(lèi)的流程

并且能夠在系統(tǒng)中看到這些流程的記錄。

還需要看人員的職責(zé)分離情況，

比如，正常情況下，開(kāi)發(fā)、測(cè)試和運(yùn)維，

他不能是一撥人，不然可能會(huì)出問(wèn)題。

MO是大家都喜歡做的部分，

因?yàn)楹?jiǎn)單，容易上手。

MO看數(shù)據(jù)庫(kù)的備份情況，

比如說(shuō)本地備份、異地備份，

有沒(méi)有定期做數(shù)據(jù)恢復(fù)性測(cè)試等

04

再來(lái)簡(jiǎn)單說(shuō)一下ITAC吧。

AC是IT應(yīng)用層面控制，

關(guān)注IT系統(tǒng)一些具體功能設(shè)置的有效性。

比如，某收銀系統(tǒng)的交易會(huì)經(jīng)過(guò)系統(tǒng)A和系統(tǒng)B，

_終在ICP系統(tǒng)生成某個(gè)憑證。

那我要驗(yàn)證這件事的話，

就需要去收集某筆交易確實(shí)依次存在于系統(tǒng)A、系統(tǒng)B的截圖，

以及該筆交易_終在ICP生成的憑證截圖。

AC的審計(jì)工作會(huì)因行業(yè)的不同，

在測(cè)試內(nèi)容以及測(cè)試難度上，

呈現(xiàn)出比較明顯的差異性。

小艾老師打聽(tīng)了一圈，

貌似制造業(yè)的ITAC普遍都比較難做。

好了，以上就是關(guān)于IT審計(jì)非常基礎(chǔ)的介紹。

想要了解更多或者有意向往IT審計(jì)崗位發(fā)展的話，

可以去學(xué)習(xí)一些相關(guān)課程，比如CISA。

也就是國(guó)際信息系統(tǒng)審計(jì)師認(rèn)證。

CISA是控制與安全等專(zhuān)業(yè)領(lǐng)域中取得成績(jī)的象征，

也是金融/投資/證券行業(yè)內(nèi)審員以及“四大”的審計(jì)崗的不二之選。

_后給大家附上關(guān)于CISA考試的一些信息，大家可以截圖保存。

贊(1)

審計(jì)的好就叫“老師”？審計(jì)的不好就說(shuō)是“挑刺的”？看完這個(gè)，你就懂了！IT審計(jì)到底是干什么的？審計(jì)的好就叫“老師”？審計(jì)的不好就說(shuō)是“挑刺的”？看完這個(gè)，你就懂了！IT審計(jì)到底是干什么的？ IT審計(jì)到底是干什么的呢？它和財(cái)務(wù)審計(jì)有什么關(guān)系嗎？IT審計(jì)適不適合我？IT審計(jì)需要coding方面的能力嗎？IT …...
時(shí)間費(fèi)用拎不清？一文帶你搞定CISA考試你是不是對(duì)CISA（Certified Information Systems Auditor，信息系統(tǒng)審計(jì)師認(rèn)證）很感興趣？你是不是想要成為一名專(zhuān)業(yè)的信息系統(tǒng)審計(jì)師，為企業(yè)提供高質(zhì)量的審計(jì)服務(wù)？你是不是對(duì)CISA考試的時(shí)間？獲取證書(shū)的 …...
IT審計(jì)師側(cè)記：我們是如何做到“人見(jiàn)人罵”的？研發(fā)部門(mén)：“本來(lái)項(xiàng)目就緊，還得整很多文件和數(shù)據(jù)，還得改流程，這不是添亂嘛！” 銷(xiāo)售部門(mén)：“哎呀，這 IT 審計(jì)要審核客戶(hù)系統(tǒng)，搞得我們都沒(méi)法及時(shí)跟客戶(hù)溝通了，訂單都要黃了！” 人力資源部門(mén)：“他們審他們 …...
揭秘CISA：你不知道的信息安全認(rèn)證，輕松掌握職場(chǎng)先機(jī)！在當(dāng)今的信息化時(shí)代，信息系統(tǒng)的安全和穩(wěn)定是企業(yè)和組織的重要資產(chǎn)。信息系統(tǒng)審計(jì)是一項(xiàng)專(zhuān)業(yè)的工作，需要具備豐富的知識(shí)和經(jīng)驗(yàn)，以及敏銳的洞察力和判斷力。信息系統(tǒng)審計(jì)師是信息系統(tǒng)審計(jì)領(lǐng)域的專(zhuān)業(yè)人士， …...
12月CISA正式開(kāi)講！助您掌握IT審計(jì)技能，打造核心競(jìng)爭(zhēng)力！在數(shù)字化浪潮中，信息安全問(wèn)題備受關(guān)注。23年12月期CISA信息系統(tǒng)審計(jì)師認(rèn)證教學(xué)正式開(kāi)講！本次培訓(xùn)匯聚了來(lái)自紫金礦業(yè)、中國(guó)移動(dòng)、奇安信、工商銀行、平安財(cái)產(chǎn)、一汽大眾等多家知名企業(yè)的精英學(xué)員。本期培 …...
IT審計(jì)師：我們是如何做到“人見(jiàn)人罵”的？在企業(yè)中，IT審計(jì)工作常常面臨各種挑戰(zhàn)，有些部門(mén)呢，對(duì)IT審計(jì)的不理解和不配合，使得IT審計(jì)師的工作備受困擾。那么，IT審計(jì)師究竟是如何將一份普通的工作干得這么招人討厭的呢？...今天咱們就來(lái)聊一聊IT審 …...