1、国际信息系统审计师(CISA)Certified Information Systems Auditor(简称 CISA,中文为国际信息系统审计师)认证是由信息系统审计与控制协会ISACA(Information Systems Audit and Control Association)发起的,是信息系统审计、控制与安全等专业领域中取得成绩的象征。CISA 认证适用于企业信息系统管理人员、IT 管理人员、IT 审计人员、或信息化咨询顾问、信息安全厂商或服务提供商、和其他对信息系统审计感兴趣的人员。一、ISACA信息系统审计与控制协会(ISACA)创始于 1967 年,当时它是由从事同类职业的
2、人所组成的小团体计算机系统的审计和控制对他们各自机构的运作都变得愈发关键因此他们聚集 起来讨论制定信息集中化资源和本领域指导准则的必要性。在 1969 年,这个团体正式组建为 EDP 审计师协会。在 1976 年,这个协会成立一项教育基金来开展大规模的研究工作,以拓展信息产业管理与控制领域的知识与价值。今天,ISACA 在全球有四万七千多名成员,他们的组成非常具有多元性。这些成员在 140 多个 国家内生活和工作,并涵盖众多专业信息技术的相关职业,比如信息系统审计师、顾问、教 导员、信息系统安全专家、管理者、首席信息官和内部审计师等。有些职业是本领域内新兴 的,其他为中级管理人员,另外还有许多
3、人担任最高级的职位。他们几乎遍及所有行业,包括财政金融、公共会计、政府与公共部门、公用事业和制造业。这种多元性使众多成员能够 相互学习,并在许多专业问题上广泛交流彼此的观点。该特点一直被认为是 ISACA 的强势之一 。ISACA 的另一个强势就是它的分会网络。ISACA 的分会遍布世界60 多个国家,可提供成员教育、资源共享、支持、专业网络,以及其他由当地分会提供的诸多 利益。在 ISACA 创立的三十年来,它已成为一个为信息管理、控制、安全和审计专业设定规范的全球 性组织。它的信息系统审计和信息系统控制标准为全球执业者所遵从。它的研究工作针对那 些挑战其重要原则的疑难专业事项。它的国际信息
4、系统审计师(CISA)认证得到全球的公认 ,并有三万多名专业人员得到认证。国际信息安全经理(CISM)认证特别针对信息安全管理 的审计事务。它出版了领先于信息控制领域的技术性期刊,即信息系统控制期刊 (Information Systems Control Journal)。它举办一系列国际性会议,并且把焦点集中于 信息系统保障、控制、安全和信息 技术管理专业的技术与管理主题上。ISACA 与其附属的信息技术管理机构领导着信息技术控制 界,并在不断变化的国际环境下为其执业者提供信息技术专业所需的要素,保证他们得到良好的服务。二、应试条件CISA 认证计划为信息系统审计、控制与安全职业领域中具有
5、卓越技能与判断力的个人提供评估与认证。若想获得 CISA 认证,申请人需要:顺利通过 CISA 的考试;遵守信息系统审计与控制协会的职业道德规范,此规范已列入Candidates Guide to the CISA Exam中,供考生参考(在官方网站上均有介绍);提供从事信息系统审计、控制与安全工作 5 年以上经验的证明。具有下列经验者,可申请替代部分年限,并出示适当的证明:具备如下资历者,可以申请替代(最长达)1 年的信息系统审计、控制与安全的工作经验要求: 满 1 年的非信息系统审计工作经验,或 满 1 年的信息系统工作经验,和/或 具有大专学历(大学 60 个学分或同等学历)。 拥有学士
6、学位(大学 120 个学分或同等学历)者,可以替代2 年信息系统审计、控制与安全工作经验。2 年相关领域(计算机科学、会计、审计、信息系统审计等)大学专职讲师经验可以替代 1 年信息系统审计、控制与安全工作经验。无最高可代替年限限制(6 年大学讲师经验可以代替 3 年信息系统审计、控制与安全工作的经验)。专业经验必须在申请前的 10 年之内获得,或在第一次通过考试之日的前 5 年之内。认证申请必须在通过 CISA 考试的 5 年之内提出。所有专业经验都必须由原雇主独立地签字确认。值得说明的是,很多人在具备所要求的经验之前就参加 CISA 考试。尽管在所有要求的资历未达到之前不会被授予 CISA
7、 证书,但这种作法是可以接受并值得鼓励的。(2008 年 6 月之前官方香港分会统计中国大陆通过人员达:666 人。)国际信息系统审计协会(ISACA)是一家领先的全球性协会,拥有 8.6 万名信息技术治理专业人士,其香港分会在 2009 年已吸收了 1700 名中国内地会员,使其会员总数达到了 3500 人。三、证书荣誉专业顶尖的标志获得 CISA 认证有助于确立你作为一名合格的信息系统审计、控制和安全专业人才的声誉。不 论你是希望提高你的工作表现还是得到职务升迁,拥有 CISA 资格证书都会使你拥有他人无法企及的竞争优势。雇主渴求的人才由于 CISA 持证人能够熟练掌握当今需要的最先进的技
8、能,雇主更愿意雇用和留住那些达到并能够维持 资格证书所要求水平的人才。对于雇主而言 CISA 认证确保其雇员拥有胜任当前工作所必需的最新教育与实践经验。全球的认可也许本认证对于你当前的工作并不是绝对必需的 ,然而越来越多的机构希望员工得到 CISA 认证。为了确保你在全球职业市场上的成功,选择一个建立在全球认可的技术实务基础上的 认证是至关重要的。CISA 就是这种认证。CISA 作为信息系统审计、控制与安全专业人员的资格证书,受到全世界信息系统审计、控制和安 全行业的广泛认可。四、考试1、考试日期、时间和地点CISA 考试每年 6 月和 12 月在中国分别组织一次,考试时间为 4个小时。目前
9、确定的国内考试地点为北京、上海、深圳、广州、南京。2013 年 ISACA 在全球增加一次 9 月 7 日的考试,但在中国区域的考试地点限定在北京 上海和深圳;至 2015 年基本形成每年6、9、12 月份 3 次考试。2、考试题型和语言CISA 考题经过精心开发与维护,以便准确测试考生在信息系统审计、控制与安全实务方面的精通程度。考试题型为 200 道客观选择题,全部为笔答,总分 800 分,450 分通过。由于 CISA 证书为国际所认可,因此考试以如下几种语言进行:荷兰语、英语、法语、德语、希伯来语、意大利语、日语、韩语、繁体中文、简体中文和西班牙语。(目前已调整题量)3、如何准备 CI
10、SA 考试完整的系统的学习计划可以帮助考生通过 CISA 考试。为帮助考生制定成功的学习计划,ISACA 为考试学员提供官方资料“官方 CISA Review Manual 2015”,及练习试题,辅助资料有谷安CISA 红宝书等。收到 CISA 考试报名表和报名费之后,CISA 考试中心将为考生提供CISA 考试考生指南。本 指南提供有关考试流程与内容方面的详细大纲,推荐的一些参考资料目录,考试中使用的词汇表,以及考试中使用的答卷的范例。4、CISA 资格证书的维持获得任何职业资格证书的持证人必须参 与继续教育计划来维持其资格证书。为了维持 CISA 资格证书,持证人必须履行继续教育政策 ,
11、并遵守 ISACA 协会的职业道德规范。这些计划有助于保证CISA 持证人能够与业内先进技 术的发展保持同步,并展示较高的职业原则。继续教育政策要求持证人累积足够的继续教育学分,并提供证明,以及支付年度维持费。此外,最低 学分的累积与证明提供必须在固定的 3 年认证期间完成。不能履行将会撤消持证人拥有的认证 资格。在过去 5 年中,93%以上的 CISA 持证人维持了资格证书。这项统计结果反映了 CISA 持证 人对维持资格证书的强烈愿望。5、报名参加 CISA 考试考试日期:CISA 考试每年举行三次,分别为每年的六月、九月和十二月的第二周星期六,六月、九月和十二月考试中国学员均可以选择中文
12、和英文考试,在中国考试从上午九点开始,共四个小时 13 点结束。在线报名表:从 ISACA 网站网页上获取报名表。应当用黑色墨水笔工整填写或打印。字迹要清楚。请确认考试中心代码正确,并根据需要选择考试中使用语言的版本。在填完报名表并付款后,ISACA 将寄给考生 CISA 考试报名的回执信与一份CISA 考试考生指南。投递时间为 6 个星期。退款与缓考费:退款:无法参加考试的申请人可以要求退款,退款中将扣除的手续费。退款请求必须在指定时间之前以书面方式寄到。缓考:无法参加考试的申请人还可以得到一次缓考机会,将考试日期延至下一年。缓考请求 必须在指定时间之前以书面方式寄到。缓考到下一年之后不得要
13、求退款,并且在报名参加下 一年考试时,考生还需要交纳 US 的再报名费。考试中心的指定:ISACA 将尽可能根据考生的选择安排考试中心。然而,如果某个考试中心被取消,则考生将被分配 到最近的考试中心。如果不愿在新分配的考试中心参加考试,那么考生可以得到考试费的全 额退款。申请增设考场:如果考试中心在考生所在地区的 100 英里(160 公里)之外,并且同时有 5 名以上(包括 5 名)的应试人想编入本地一组,则考生可以申请成立新的考试中心。成立新考试中心的申请 需要至少 5 份已付款的报名表,并于指定时间之前被送至 ISACA 国际总部。尽管不能保证新考 试中心一定成立,但 ISACA 将尽力
14、安排。特别安排:接到申请后,ISACA 协会将根据出具的残疾或宗教证明,在考试程序方面为应试者做出必要的合理安排。应试人 可以要求适当地改变考试格式、表述方式、考场内提供饮食或调整考试时间,以顾及应试人 由于残疾或宗教要求而影响到考试状态的因素,但是不会改变考试中技能与知识的难度。在 考场内的进食要求必须有医生的证明材料,否则不允许将食品和饮料带入考场。应试人必须 在发出报名表和报名费时一并提出书面要求和证明材料。6、考试的举办准考证:在 CISA 考试前 2 到 3 周,考生会收到考试机构寄来的准考证以及来自 ISACA 的电子准考证。准考证上标明了考试的日期、入场登记时间与考试地点,当天日
15、程安排以及 参加 CISA 考试必须携带的材料。考生必须注意准考证上规定的确切的登记入场时间与考试时 间。在考试开始前约 30 分钟主考人开始宣读说明时,任何考生均不得进入考试中心。准考证 只能在其被指定的考试中心使用。只有携带有效的准考证以及通用的身份证明才能进入考试中心。可以接受的身份证明包括带有相片(比如护照、有照片的驾驶执照等)或其它带有考生的签名和身高、体重、眼睛颜色 等描述资料的证明。安全:考场中发现考生有作弊行为(比如提供或接 受帮助、使用字条、答卷或其它工具)、试图替他人考试或撕下考试卷、答卷或附卷带出考 场时,考生将被取消考试资格。考试机构将向认证委员会报告违规行为。7、考试
16、成绩考分的邮寄:自考试之日起约 10 个星期后,考生将接到邮寄的考试成绩通知。为了对考试分数保密,考试结果将不采用电话、传真或电子邮件的方式进行通知。考试成绩通知:考生接到的成绩通知将显示全部试卷中答对的数目经换算后的相应得分。换算后的分数从 200 到 800,是通过一种算法(线性转换)得到的。它在设定及格线之后,把原分数转换为线性分 数。原分数通过累计正确答案而得到,如果某些试题经过统计后被判定为或委员会检查认定 为含义模糊或存在其它缺陷时,还应在原分数中计入该试题的相应得分。通过这种方式,考 生就不会由于某些不具备统计有效性的试题而被扣分。该程序的各个环节都不是人为或随意 的,而是由 I
17、SACA 雇用的独立考试机构根据换算程序而得到的。如果得分为 450 分,这个低于及格线的分数,它并不代表实际的分数或正确答案的平均分,而是原分数相对于其他所有考生的分数。得分达到或超过 450 分者将通过考试。再次参加 CISA 考试:分数为 449 及以下的考生可以报名参加以后的 CISA 考试。五、 CISA 考试大纲包括五部分内容,各自所占比例如下:1、信息系统审计过程(占 14%)2、IT 控制与治理(占 14%)3、信息系统获取、开发和实施(占 19%)4、信息系统操作、维护与支付(占 23%)5 、信息资产的保护(占 30%)信息系统的管理、规划和组织* 评估信息系统战略及其开发、布置、维护的过程,以确保符合机构的商业的目标* 评估信息系统政策、标准和过程* 评估信息系统管理实务* 评估信息系统组织和结构,确保恰当、充分地支持机构的商业要求* 评估第三方服务商的选择和管理,确保其支持信息系统战略技术构架和运营实务
