描述
开 本: 16开纸 张: 胶版纸包 装: 平装-胶订是否套装: 否国际标准书号ISBN: 9787302478096丛书名: 安全技术经典译丛
能够获得CISA证书,就将成为安全领域收入*丰厚的专业人员。
《CISA认证学习指南(第4版) 注册信息系统审计师》依据新的ITAF(IT
审计框架)在上一版的基础上做了全面细致的更新,列出了术语的新定
义,新增了ISO标准方面的内容。《CISA认证学习指南(第4版) 注册信息系统审计师》是完整的学习指南,涵盖所有
CISA考试目标,每章都包含小结、考试要点、复习题和答案
100%涵盖所有考试目标:
◆ 理解策略、标准、指南和程序
◆ 规划战略以及完成业务流程再造
◆ 执行审计风险评估
◆ 使用OSI模型
◆ 管理系统开发生命周期
◆ 实施和运行系统
◆ 识别威胁类型
◆ 支持业务连续性和灾难恢复
目 录
第1章 审计师成功的秘诀 1
1.1 理解IS审计需求 2
1.1.1
高管渎职 2
1.1.2
更多法规 5
1.1.3
基本监管目标 6
1.1.4
治理就是领导 7
1.1.5
用途不同的三类数据 8
1.1.6
审计结果揭示真相 9
1.2 理解政策、标准、准则和
过程 10
1.3 理解职业道德 12
1.3.1
遵守ISACA的职业道德
规范 12
1.3.2
防止道德冲突 13
1.4 理解审计的目的 15
1.4.1
审计类型的一般分类 15
1.4.2
确定审计方法的区别 17
1.4.3
理解审计师的职责 18
1.4.4
审计与评估的对比 18
1.5 区分审计师和被审计者的
角色 19
1.6 实施审计标准 21
1.6.1
审计标准的来源 21
1.6.2
理解各种审计标准 23
1.6.3
定义实务的具体法规 28
1.6.4
进行审计以证明财务健全 29
1.7 审计师是执行职位 30
1.7.1
理解审计师保密的重要性 30
1.7.2
与律师合作 31
1.7.3
与高管合作 32
1.7.4
与IT专家合作 32
1.7.5
保留审计文档 33
1.7.6
提供良好的沟通和融合 33
1.7.7
理解领导责任 34
1.7.8
规划和设定优先次序 35
1.7.9
提供标准参考术语 36
1.7.10
处理冲突和失败 37
1.7.11
确定内部审计师和外部
审计师的价值 37
1.7.12
理解证据规则 37
1.7.13
利益相关者:确定要采访的
对象 38
1.8 理解公司的组织结构 39
1.8.1
确定公司组织结构中的
角色 39
1.8.2
确定咨询公司组织结构中的
角色 41
1.9 本章小结 42
1.10
考试要点 42
1.11
复习题 43
第2章 治理 49
2.1 组织控制的战略规划 53
2.1.1
IT指导委员会概述 55
2.1.2
使用平衡计分卡 59
2.1.3
BSC的IT子集 63
2.1.4
解码IT战略 63
2.1.5
指定政策 66
2.1.6
项目管理 67
2.1.7
IT战略的实施规划 76
2.1.8
使用COBIT 79
2.1.9
识别发包位置 80
2.1.10
进行高管绩效评审 84
2.1.11
理解审计师在战略中的
利益 84
2.2 战术管理概述 85
2.3 规划和绩效 85
2.3.1
管理控制方法 86
2.3.2
风险管理 89
2.3.3
实施标准 91
2.3.4
人力资源 92
2.3.5
系统生命周期管理 94
2.3.6
连续性计划 94
2.3.7
保险 95
2.4 业务流程重组概述 95
2.4.1
为什么进行业务流程重组 95
2.4.2
BPR方法学 96
2.4.3
天才还是疯子? 96
2.4.4
BPR的目标 97
2.4.5
BPR的指导原则 97
2.4.6
BPR的知识需求 98
2.4.7
BPR技术 98
2.4.8
BPR的应用步骤 99
2.4.9
IS在BPR中的角色 100
2.4.10
业务流程文档 101
2.4.11
BPR数据管理技术 101
2.4.12
将基准比较作为一个BPR
工具 102
2.4.13
使用业务影响分析 103
2.4.14
BPR项目的风险评估 104
2.4.15
BPR的实际应用 106
2.4.16
BPR的实用选择方法 108
2.4.17
BPR问题排除 109
2.4.18
理解审计师对战术管理的
兴趣 109
2.5 运营管理 110
2.5.1
维持运营 110
2.5.2
跟踪实际绩效 110
2.5.3
控制变更 111
2.5.4
理解审计师对运营交付的
兴趣 111
2.6 本章小结 112
2.7 考试要点 112
2.8 复习题 113
第3章 审计流程 117
3.1 了解审计程序 118
3.1.1
审计程序的目标和范围 119
3.1.2
审计项目范围 120
3.1.3
审计程序责任 121
3.1.4
审计程序资源 121
3.1.5
审计程序过程 122
3.1.6
审计程序实施 123
3.1.7
审计程序记录 123
3.1.8
审计程序监控与回顾 124
3.1.9
规划专项审计 125
3.2 建立和批准审计章程 127
3.3 预规划具体审计 129
3.3.1
了解审计的多样性 130
3.3.2
识别范围上的限制 133
3.3.3
收集详细的审计需求 134
3.3.4
用系统化方法制定计划 135
3.3.5
比较传统审计评估和
自评估 137
3.4 开展审计风险评估 138
3.5 确定是否具备可审计性
139
3.5.1
识别风险战略 140
3.5.2
确定审计的可行性 142
3.6 执行审计 143
3.6.1
选择审计团队 143
3.6.2
评估审计师并确定其胜任
能力 143
3.6.3
审计质量控制 145
3.6.4
建立与被审核方的联系 146
3.6.5
与被审核方的初步联系 147
3.6.6
利用数据收集技术 149
3.6.7
文档审核 150
3.6.8
理解内控的层次 151
3.6.9
审查现存控制 153
3.6.10
准备审计计划 156
3.6.11
给审计团队分配工作 157
3.6.12
准备工作文档 157
3.6.13
开展现场审计 158
3.7 收集审计证据 159
3.7.1
用证据证明观点 159
3.7.2
理解证据类型 159
3.7.3
抽选审计样本 160
3.7.4
认识典型的信息系统审计
证据 161
3.7.5
使用计算机辅助审计
工具 161
3.7.6
理解电子证物 164
3.7.7
证据的等级 165
3.7.8
证据的时间 166
3.7.9
证据的生命周期 167
3.8 开展审计证据测试 169
3.8.1
符合性测试 170
3.8.2
实质性测试 170
3.8.3
可容忍错误率 171
3.8.4
记录测试结果 171
3.9 生成审计发现结果 172
3.9.1
检测违规和违法行为 172
3.9.2
违法违规行为的迹象 173
3.9.3
对违规或违法行为的响应 173
3.9.4
审计范围之外发现的问题 174
3.10
报告审计发现 174
3.10.1
批准和分发审计报告 176
3.10.2
识别被忽略的过程 176
3.11
开展后续工作(关闭会议) 176
3.12
本章小结 177
3.13
考试要点 177
3.14
复习题 179
第4章 网络技术基础 185
4.1 了解计算机体系结构的区别
186
4.2 选择好的系统 190
4.2.1
识别各种操作系统 190
4.2.2
选择好的计算机类型 192
4.2.3
比较计算机能力 195
4.2.4
确保系统控制 196
4.2.5
处理数据存储 197
4.2.6
使用接口和端口 202
4.3 操作系统互连模型(OSI)
介绍 204
4.3.1
层:物理层 206
4.3.2
第二层:数据链路层 206
4.3.3
第三层:网络层 208
4.3.4
第四层:传输层 214
4.3.5
第五层:会话层 214
4.3.6
第六层:表示层 215
4.3.7
第七层:应用层 215
4.3.8
理解计算机如何通信 216
4.4 理解物理网络设计 217
4.5 理解网络电缆拓扑 218
4.5.1
总线拓扑 218
4.5.2
星形拓扑 219
4.5.3
环形拓扑 220
4.5.4
网状网络 220
4.6 区分网络电缆类型 221
4.6.1
同轴电缆 222
4.6.2
非屏蔽双绞线 222
4.6.3
光纤电缆 223
4.7 连接网络设备 224
4.8 使用网络服务 226
4.8.1
域名系统 227
4.8.2
动态主机配置协议 228
4.9 扩展网络 229
4.9.1
使用电话电路 230
4.9.2
网络防火墙 233
4.9.3
远程VPN访问 238
4.9.4
使用无线接入解决方案 242
4.9.5
防火墙保护无线网络 244
4.9.6
远程拨号访问 245
4.9.7
WLAN传输安全 246
4.9.8
实现802.11i RSN无线
安全 248
4.9.9
入侵检测系统 248
4.9.10
总结各种区域网 251
4.10
使用软件即服务 252
4.10.1
优点 252
4.10.2
缺点 253
4.10.3
云计算 254
4.11
网络管理基础 254
4.11.1
自动局域网电缆测
试仪 255
4.11.2
协议分析器 255
4.11.3
远程监控协议第2版 257
4.12
本章小结 257
4.13
考试要点 258
4.14
复习题 259
第5章 信息系统生命周期 265
5.1 软件开发中的治理 266
5.2 软件质量管理 267
5.2.1
能力成熟度模型 267
5.2.2
标准化国际组织 269
5.2.3
典型的商业记录分类方法 273
5.3 执行指导委员会概述 274
5.3.1
识别关键成功因素 274
5.3.2
使用场景分析法 274
5.3.3
整合软件与业务需求 275
5.4 变更管理 278
5.5 软件项目的管理 278
5.5.1
选择一种方法 278
5.5.2
采用传统的项目管理方法 279
5.6 系统开发生命周期概览
282
5.6.1
阶段1:可行性研究 285
5.6.2
阶段2:需求定义 288
5.6.3
阶段3:系统设计 291
5.6.4
阶段4:开发 295
5.6.5
阶段5:实施 305
5.6.6
阶段6:实施完成后的
工作 311
5.6.7
阶段7:处置 312
5.7 数据架构概览 313
5.7.1
数据库 313
5.7.2
数据库事务的完整性 317
5.8 决策支持系统 318
5.8.1
演示决策支持数据 319
5.8.2
使用人工智能 319
5.9 程序架构 320
5.10
集中式与分布式 320
5.11
电子商务 320
5.12
本章小结 322
5.13
考试要点 322
5.14
复习题 323
第6章 系统实施与运营 329
6.1
IT服务的性质 330
6.2
IT运营管理 332
6.2.1
满足IT职能目标 332
6.2.2
运用信息技术基础设施库 333
6.2.3
支持IT目标 335
6.2.4
理解人员的角色和职责 335
6.2.5
使用指标 340
6.2.6
评估帮助台 342
6.2.7
服务等级管理 342
6.2.8
IT职能外包 343
6.3 容量管理 345
6.4 行政保护 345
6.4.1
信息安全管理 346
6.4.2
IT安全治理 347
6.4.3
数据角色的权利 347
6.4.4
数据保留要求 348
6.4.5
记录物理访问路径 349
6.4.6
人员管理 349
6.4.7
物理资产管理 351
6.4.8
补偿控制 353
6.5 问题管理 353
6.5.1
突发事件处理 354
6.5.2
数字取证 356
6.6 监视控制状态 358
6.6.1
系统监控 359
6.6.2
记录逻辑访问路径 360
6.6.3
系统访问控制 361
6.6.4
数据文件控制 364
6.6.5
应用程序处理控制 365
6.6.6
日志管理 366
6.6.7
防病毒软件 367
6.6.8
活动内容和移动软件代码 367
6.6.9
维护控制 370
6.7 实施物理防护 372
6.7.1
数据处理的位置 374
6.7.2
环境控制 375
6.7.3
安全介质存放 381
6.8 本章小结 382
6.9 考试要点 383
6.10
复习题 384
第7章 保护信息资产 389
7.1 了解威胁 390
7.1.1
识别威胁和计算机犯罪的
类型 391
7.1.2
识别犯罪者 394
7.1.3
了解攻击方法 397
7.1.4
实施管理防护 406
7.2 使用技术保护 408
7.2.1
技术保护分类 408
7.2.2
应用软件控制 410
7.2.3
身份验证方法 411
7.2.4
网络访问保护 423
7.2.5
加密方法 425
7.2.6
公钥架构 430
7.2.7
网络安全协议 435
7.2.8
电话安全 439
7.2.9
技术安全测试 440
7.3 本章小结 440
7.4 考试要点 441
7.5 复习题 442
第8章 业务连续性与灾难恢复
447
8.1 戳穿神话 448
8.1.1
神话1:设备设施至关
重要 448
8.1.2
神话2:IT系统设备至关
重要 449
8.1.3
从神话到现实 449
8.2 了解业务连续性中的五个冲突
领域 449
8.3 定义灾难恢复 450
8.3.1
财务挑战 451
8.3.2
品牌价值 451
8.3.3
灾后重建 452
8.4 定义业务连续性的目的
453
8.5 业务连续性与其他计划联合
455
8.5.1
识别业务连续性实践 456
8.5.2
识别管理方法 457
8.5.3
遵循程序管理方法 459
8.6 理解业务连续性程序的5个
阶段 459
8.6.1
阶段1:建立BC程序 459
8.6.2
阶段2:发现过程 463
8.6.3
阶段3:计划开发 468
8.6.4
阶段4:计划实施 484
8.6.5
阶段5:维护与整合 486
8.7 理解审计师在业务连续性/
灾难恢复计划中的关注点 487
8.8 本章小结 487
8.9 考试要点 488
8.10
复习题 489
附录 复习题答案 493
前 言
本书旨在帮助任何对注册信息系统审计师(Certified Information Systems Auditor,CISA)感兴趣且想通过认证的人提供直接的、诚恳的指导。CISA认证是市场上热门的入门级审计师证书之一。
在全球范围内,各种组织升级安全级别并证明自己存在强有力的内部控制是一种大趋势。你可能听说过以下几种规定:
●
国际巴塞尔协议III银行业风险管理协议。
●
COSO,其中包括国家的几个变体。美国版本的萨班斯-奥克斯利法案(Sarbanes-Oxley Act,SOX)针对公共企业提供等同于全球其他证券交易的控制。
●
安全港国际信息隐私保护。
●
美国联邦信息安全管理法案(Federal Information Security Management Act,FISMA)。
●
用于信用卡处理的支付卡行业(Payment Card Industry,PCI)标准。
●
健康保险便携和责任法案(Health Insurance Portability and Accountability Act,HIPAA)。
这些只是30多个高级规定中的几个,这些规定都要求提供内部控制的审计证据。坦白而言,他们为CISA提供了很多机会。这可能是你一直在寻找的机会,特别是如果你拥有财务或技术背景。
监管合规报告面临的问题之一是个人运行测试应用程序,但不了解所有需要完成的其他目标。仅运行软件永远不会让一个人成为合格的审计师。在测试应用程序之外存在太多的依赖项。为了解决这个问题,在心态上,审计师需要保持怀疑态度并加上严格的书面程序、测试计划、失败的实际报告(即使它们是程序性的),并且要在范围和决策上保持客观独立性,这比只生成单独的测试结果要重要得多。
CISA认证概述
ISACA是世界上公认的信息系统审计资格认证机构之一,提供注册信息系统审计师(CISA)认证。由于优秀的营销推广,它在全球得到了认可。ISACA的成员遍布180多个国家,被公认为IT治理理论、控制理论和各种保证准则的提供者之一。ISACA于1969年开始成立电子数据处理审计师协会,目的是制定具体的国际信息系统审计和控制标准。大部分内容是由Treadway委员会(Committee of Sponsoring Organizations,COSO)赞助组织委员会发布的全球财务控制所得出的控制点。因此,ISACA优秀的营销机制建立了知名的信息系统审计师认证——
CISA。
ISACA控制全球的CISA考试。它是IT治理和IT咨询中常见的资格证书之一。与其他ISACA认证一样,CISA很容易获得,因为你不必执行单一审核程序??来获得认证。另外你可能遇到的公认的认证证书是由内部审计师协会
(Institute of Internal Auditors,IIA)颁发的注册内部审计师证书(Certified
Internal Auditor,CIA)。
CISA的市场前景
CISA仍在不断向全球推广,但技能差距正在迅速扩大。在2008年全球银行倒闭后,企业正在不断招聘和企图留住顾问,努力在因合规性受到处罚之前证明其合规性。咨询公司倾向于联系通过CISA认证的专业人士来为客户提供服务。如果大型和小型组织无法表现出更强的内部控制水平,那么会发现自己处于竞争劣势。一个组织可能因为“太大而不能失败”的神话已被证明是虚假捏造的。我将在第1章中向你举例说明这一点。
审计的基本规则之一是:参与审计中发现问题的修复(修正)会损害审计师的独立性和客观性。审计师必须保持独立性,或至少客观认证结果是有效的。另外,审计师应该协助进行整改工作。监管合规性的要求需要持续保持有效,这意味着在某种程度上的补救措施也将持续保持有效。换句话说,审计师的要求实际上增加了一倍。客户需求也在大幅增加。
100多年来,组织不断地开展财务审计。随着金融系统变得越来越复杂,计算机自动化引起了人们对电子财务记录完整性的担忧。过去,一个组织只会聘请一名注册会计师审查其财务记录,并证明其诚信。更大型的组织则聘请经过认证的内部审计师,协助审查业务的内部控制,帮助减少外部审计的持续成本。现在,内部控制的需求一直集中在信息系统上。计算机现在是财务记录的存储间。只有经过验证、测试,功能齐全的安全控制被证实确实存在,管理人员和员工才可能对电子记录中的篡改或虚假陈述负责。如果你无法证明计算机环境的完整性,也就不能相信电子记录的完整性。
成为一名CISA的理由
大多数未经认证的审计师不仅是善意人士,也是习惯性地违反官方审计标准的人员。下面简要列出了成为一名CISA可以获得的相关优势。
展示专业能力的证明
CISA证书足以证明,你已经掌握了基本的审计理论并且通过了书面认证考试。考试测试了你对与信息系统相关的审计概念和词汇的了解。你的CISA证书已经表明你了解将审计概念应用于信息系统这个抽象世界的基本原理。
可为你的雇主提供增值服务
今天的雇主对认证的价值是非常了解的。你对CISA的学习将提供新的方法来提高你的工作绩效。初,个人通过模仿资深人士来开展类似的审计工作是相当普遍的(俗话说,“猴子看,猴子做”)。目的是突出你应该遵循的做法,即使你以前从未听说过。在你已经奠定基础并更好地了解概念后,你的工作表现将会得到改善。通过CISA考试后,你可以进行额外的实践培训,这样才可以独立执行每个审计程序。
是审计团队成员能力的基本证明
CISA是审计团队中履行审计职能的成员的能力证明。审计客户的要求是非常苛刻的。客户组织的命运可能取决于审计师报告中的详细结果。几乎没有可以犯错的余地。CISA证书可以表明,你了解足够的理论,了解如何提供值得信赖的审计结果。一些被审计的企业会试图误导你对应该报告的内容不进行报告。阅读审计报告的人需要确定你的工作是准确无误的。客户将根据你提供的报告指导资金和资源的消耗。CISA认证有助于证明你不是偏爱技术的人员伪装成的审计师。
可增加你的市场价值
CISA证书被视为入门级专业技术审计师的起点。没有比这更好的办法吸引管理层的重视。你是否在组织内部或外部无关紧要。具有更多侵入性要求的政府法规正在成为高级管理人员日益关注的问题。客户可能不了解审计师工作的所有细节;但是,你的客户会认识到即使你可能不知道实际的审核程序,你可以聪慧地谈论目标。此外,审计公司可以为认证专业人员提供更多的资金。
提供更大的晋升机会
每个组织都为有自我激励的优秀人才提供机会。别人对缺乏认证的人怎么看?他们是没有动力?没有能力?还是只是害怕尝试?没有任何经理会在心中正确看待一个没有证书证明其价值的人。花时间去接受教育,向世界展示你有能力。获得证书证明你是有能力完成工作的人。你的CISA证书不需要你用语言来描述你的能力,而是直接表明你对自己的工作很认真,人们会相应地对待你。
建立学习审计程序的信心
今天的世界要求非常专业。想一想是不是今天世界上许多优质价值的产品都经过了认证。我们已经认证了二手车、认证了邮件、认证了会计师、认证了焊工、认证了导游、认证了律师,甚至认证了三明治艺术家。坦白而言,贸易行业比CISA在教学实践程序和技术方面的表现要好20多倍。要成为发型师或食品服务经理则要困难得多,因为这些需要数月的全面性的训练才能完成所有的学习任务,才能通过认证。幸运的是,CISA培训只回答了“为什么”这一理论性的问题;你去其他地方进行培训,是学习“如何”执行具体的审计。CISA是你渴望成为受人尊重的白领的步。
本书读者对象
如果你真想成为一名专业的信息技术审计师,那么本书正是你所需的。如果你对成为CISA审计师或降低合规成本感到好奇,那么在本书中你将学会如何操作才能成为一名优秀的审计师。
进入技术审计领域的人员通常有以下特征之一:
●
金融专业人士寻求更有趣的不断向上的挑战。
●
工业控制专业人士渴望提高他们的理解以获得认可和提高。
●
IT专业人士希望离职运维工作,拓展到有利可图的咨询或渗透性测试行业。
●
内部审计师试图揭开IT内部的控制问题(从新闻报道来看,我们都知道太多审计师没有正确地测试控制元素)。
本书在信息系统审计领域是独一无二的。你可以从中学习成为一名成功的审计师需要的所有工作流程和决策点。这些章节让你逐步实现你的目标。本书讲述如何完成工作、通过考试目标(每章开头列出)以及掌握所有重要的审计概念。
为什么本书是你的选择
本书旨在帮助你成为受人尊敬的CISA。在这里没有混乱的概念或填鸭式的练习。CertTest已经多次成功举办CISA研讨会,并拥有多年的杰出培训经验和优良的成绩。本书永远不会取代现在的“See-Do-Run”研讨会,教你了解如何执行程序,但这将有助于你通过CISA考试。考试只是你职业生涯中的一块垫脚石。通过考试并不能证明你就是一名出色审计师。它只是给你的客户一个再听15秒钟的理由。现在你有15秒钟来证明你知道自己在说什么。
想象一下,告诉某人你是一个经过认证的火焰剑的玩家。你可以打赌,他们的下一个评论肯定是,“真棒。点燃剑,开始玩吧。”当你通过执行任务向他们展示你的技能而不只是通过考试来证明,会给客户留下深刻的印象。本书的目标是通过向你展示信息系统审计工作中“如何做和为什么这样做”,让你比其他任何人更了解CISA的实质。
●
如果你熟悉技术,本书将帮助你了解审计师必须如何行事才能取得成功。IT专业人士常会成为糟糕的审计师,因为审计是首先了解业务细节。而技术是实现业务目标的次要工具。成功是指通过合法合规来实现企业财务的目标。你只需要关注审计师如何工作,而不必像技术支持人员那样思考。审计师不是技术人员。
●
如果你拥有财务背景,我将带你了解技术。CISA不是技术人员的考试。本书中的解释在技术上是正确的,目的是使其易于理解。
对于信息系统审计应如何执行有许多不同的观点。本书涵盖了COSO法规、ISO标准与ISACA标准的官方审计标准的集合。理解这些标准是你成功的必要条件。放心,它们通常不会相互冲突。如有疑问,应始终优先遵守法规和ISO标准。你会发现本书包含了内部审计或成功的咨询实践所需的宝贵信息。初的重点是帮助你通过考试。但如果你使用此信息,将发现这些信息可以帮助你获得更多纸质证书。
本书的每一章都按照实际应用的逻辑顺序排列。ISACA的内容材料由作者委员撰写,每个都有自己的页面。我们选择了不同的路线。本书中的材料是按照CertTest在审计之前用于教育自己员工和客户的顺序编写的。
你将首先了解基础知识,并建立你的学习方式,除非有新教材,否则是没有重复的。强烈建议你按顺序阅读章节,不要向前跳过任何章节,因为每章中的材料对于理解后续章节中的材料都很重要。因此,专注于具体章节可能导致顺序混乱,因为每个章节不是独立的知识单元。
如何成为一名CISA
根据ISO的认证标准,被证明有能力满足以下五项要求的个人可以通过CISA认证。
通过CISA考试
CISA每年提供三次考试机会,6月、9月、12月各一次。你必须提前三个月注册考试。可以在www.isaca.org在线注册或通过邮件注册。考试是在现场监视员面前利用铅笔和纸张完成。它包含200个选择题,有4小时的考试时间。在离考试结束“十分钟左右”时会提醒考试马上要结束,你只可以再做几道考试题。通过CISA考试需要450分以上的成绩,并且你必须位于ISACA评分曲线靠前的三分之一范围。
信息系统审计、控制或安全方面的专业经验
由于CISA不检查或测试任何人执行任务的能力,因此你必须拥有五年的信息系统审计经验,才能证明你拥有足够的入门级基本知识,才能成为审计团队的成员。ISACA可以接受长达两年的替代工作经验要求,具体如下。
●
可替代的相关经验
你的财务、运营审计或信息系统经验替代多一年的相关经验。
●
大学信用时间替代
你的副学士(大专)或学士学位,可分别替代一年、两年(60小时或120小时)的经验。
●
大学导师体验替代
全职大学教师可用两年的在职经验替代IS审计控制或信息安全一年的经验。
你的CISA考试成绩自考试日期起有效期为五年。即使没有任何相关的工作经验,也可以参加CISA考试,以证明你通过了基本理论的书面要求的考试以适应审计团队。在团队中,你可以获得宝贵的经验。只有在你提供所需工作经验(五年或相当于)后,才会颁发认证。ISACA将可接受的经验限制在申请日期之前10年内发生的经验。
持续遵守ISACA职业道德规范
信任和诚信是审计师专业至关重要的素质。你将被要求持续保证遵守IS审计师职业道德规范。
坚持符合完善的IS审计标准
审计标准的目的是确保审计质量和一致性。不符合这些标准的审计人员将客户、自己和整个行业置于危险之中。ISACA提供信息,指导审计师履行其专业职责。审计标准是基于全球应用的公认的专业实践。
参加继续教育,保持审计任务能力经过培训和更新
在你通过书面考试后可以立即开始。你需要通过更多的教育来学习如何执行单独的审核程序任务,学习运行不同的分析软件(如SCAP),并执行详细的测试过程和许多其他必需的任务,这些任务不在CISA考试的学习材料中。通过运行程序来学是比阅读和听课更容易。
审计师的工作是应用每个官方行业标准,同时提供优秀的记录,以便其他人可以独立重现相同的结果。当通过匹配其他审计师的结果来测试验证证据时,可以证明工作做得不错。面对十分详细的书面程序,简陋的记录和贫乏实践以及有限的工作效率表明审计师能力的欠缺。
如何使用本书和网站
本书分为8章。每个课程都始于与CISA考试直接相关的章节目标列表。
每个章节的末尾都会有一个“考试要点”部分,以突出你在考试中可能遇到的主题。必考内容旨在指导你的学习,而不是提供考试清单。当你进入下一章时,目标是帮助你关注于每一章的更高层次的目标。
每章结尾都有基本的问题回顾和解释。你可以借助它们来衡量自己的理解水平,并决定学习重点。当完成每一章时,应该查看问题并检查你的答案是否正确。如果不正确,请再次阅读相关章节。查找任何不正确的答案,并确定为什么答错了这个问题。可能是因为没有阅读这个问题的相关案例,并且考虑了每个可能的答案。也可能是你不理解该信息。无论是哪种可能,通过第二次阅读该章来改进是很有价值的。
我们已经在本书和相关的网站中包含了几项测试功能。“前言”的末尾处有一个评估测试,可以帮助确定你的学习要求。在开始阅读本书之前先进行这个测试。它将帮助你识别对你的成功来说至关重要的领域。评估测试的答案位于后一个问题之后。每个答案都包括一个简短说明,这个说明将引导你去查看相关章节以获得更多信息。
本书的在线学习环境网站为sybextestbanks.wiley.com,其中包含了两套有200道问题的练习题。另外还有300多张Flash Card。你应该将本学习指南与其他材料结合使用,以准备考试。
在练习这些考试题目时,应该假设你正在参加考试。只要坐下来,开始做每道练习题,就不要参考任何资料。建议你在本书中结合相关ISACA IS审计标准材料进行学习。由于时间限制,正式的CISA考试还是非常具有挑战性的。大多数人在时间用完之前可能没有完成考试题。幸运的是,CertTest的学生成功率很高。你有权成为下一个通过CISA认证的学员。
若在实践考试和章节审查问题中得分高于90%,则说明你已经达到CISA考试要求的水平了,可以参加考试了。
本书主要内容
本书包括许多有用的内容,旨在帮助你准备CISA考试。
评估测试
在本书前言末尾的评估测试可用于快速评估你对信息系统审计和审计基本概念的了解。在开始学习本书之前,应该先进行这个测试,这样有助于你确定自己的强弱领域。请注意,这些问题比你在考试中遇到的问题要简单。
目标地图和开放目标清单
本书开头给出了详细的考试目标图,显示了本书涵盖的每个考试目标。另外,每章都会以一个考试目标清单开篇。
考试要点
每章以简要概述该章所涵盖的概念为结尾。我建议仔细阅读这些部分,以检查你对每个主题的记忆,并回到该章重新查看你尚未掌握的部分。
每章的问题回顾
每章都包括问题回顾。这些问题的材料直接从该章所提供的信息中筛选而出。这些问题都是以考试为目标,难度与CISA的实际考试相当。
互动式在线学习环境与测试库
本书的互动式在线学习环境提供了测试库作为学习工具,帮助你准备认证考试,并提高你首次通过认证考试的概率!测试库包括以下内容。
考试样题
本书中所有的问题都在评估测试习题中提供,你将在本前言的后看到该评估测试习题,另外,在每章的后也包含一些问题回顾。此外,还有两套练习题。通过这些问题可以测试你对学习指南中知识的掌握程度。在线测试库可以在多个设备上运行。本版本中新增了一些功能,超过一半的扩展练习考试题来自本书的贡献者Allen Keele和他编写的AllenKeele’s 2016 CISA
SuperReview。
记忆卡
问题可以以数字记忆卡的格式提供(一个问题后面紧跟一个正确答案)。也可以使用记忆卡加强你的学习,并在考试前热身。
其他学习工具
书中的关键术语词汇表以可搜索的PDF格式提供。
评论
还没有评论。