認證介紹

自1978年以來(lái)，由信息系統審計與控制協(xié)會(huì )發(fā)起的注冊信息系統審計師（CISA）認證計劃已經(jīng)成為涵蓋信息系統審計、控制與安全等專(zhuān)業(yè)領(lǐng)域的全球公認的標準。

CISA 推廣與評價(jià)的專(zhuān)業(yè)技術(shù)和實(shí)務(wù)是在該領(lǐng)域中取得成功的基石。擁有CISA 資格證書(shū)說(shuō)明持證人具備的實(shí)踐能力和專(zhuān)業(yè)程度。隨著(zhù)對信息系統審計、控制與安全專(zhuān)業(yè)人士需求的增長(cháng)，CISA 已成為全球范圍內個(gè)人與公司機構不可或缺的認證。CISA 資格證書(shū)代表持證人有卓越的能力服務(wù)于公司的信息系統審計、控制與安全領(lǐng)域。此外，它還為持證人帶來(lái)相當的職業(yè)成就和經(jīng)濟利益。

應試條件

CISA 認證計劃為信息系統審計、控制與安全職業(yè)領(lǐng)域中具有卓越技能與判斷力的個(gè)人提供評估與認證。若想獲得CISA認證，申請人需要：

◎順利通過(guò)CISA 的考試；

◎遵守信息系統審計與控制協(xié)會(huì )的《職業(yè)道德規范》，此規范已列入《Candidate’s Guide to the CISA Exam》中，供考生參考（在官方網(wǎng)站上均有介紹）；

◎提供從事信息系統審計、控制與安全工作5 年以上經(jīng)驗的證明。具有下列經(jīng)驗者，可申請替代部分年限，并出示適當的證明：

具備如下資歷者，可以申請替代(最長(cháng)達)1 年的信息系統審計、控制與安全的工作經(jīng)驗要求：

· 滿(mǎn)1 年的非信息系統審計工作經(jīng)驗，或

· 滿(mǎn)1 年的信息系統工作經(jīng)驗，和/或

· 具有大專(zhuān)學(xué)歷（大學(xué)60 個(gè)學(xué)分或同等學(xué)歷）。

· 擁有學(xué)士學(xué)位（大學(xué)120 個(gè)學(xué)分或同等學(xué)歷）者，可以替代2 年信息系統審計、控制與安全工作經(jīng)驗。

·2 年相關(guān)領(lǐng)域（計算機科學(xué)、會(huì )計、審計、信息系統審計等）大學(xué)專(zhuān)職講師經(jīng)驗可以替代1 年信息系統審計、控制與安全工作經(jīng)驗。無(wú)最高可代替年限限制（6 年大學(xué)講師經(jīng)驗可以代替3 年信息系統審計、控制與安全工作的經(jīng)驗）。

專(zhuān)業(yè)經(jīng)驗必須在申請前的10 年之內獲得，或在第一次通過(guò)考試之日的前5 年之內。認證申請必須在通過(guò)CISA 考試的5 年之內提出。所有專(zhuān)業(yè)經(jīng)驗都必須由原雇主獨立地簽字確認。

值得說(shuō)明的是，很多人在具備所要求的經(jīng)驗之前就參加CISA 考試。盡管在所有要求的資歷未達到之前不會(huì )被授予CISA證書(shū)，但這種作法是可以接受并值得鼓勵的。（2008年6月之前官方香港分會(huì )統計中國大陸通過(guò)人員達：666人。）國際信息系統審計協(xié)會(huì )（ISACA）是一家領(lǐng)先的全球性協(xié)會(huì )，擁有8.6萬(wàn)名信息技術(shù)治理專(zhuān)業(yè)人士，其香港分會(huì )在2009年已吸收了1700名中國內地會(huì )員，使其會(huì )員總數達到了3500人。

ISACA

信息系統審計與控制協(xié)會(huì )（ISACA）創(chuàng )始于1967年，當時(shí)它是由從事同類(lèi)職業(yè)的人所組成的小 團體——計算機系統的審計和控制對他們各自機構的運作都變得愈發(fā)關(guān)鍵——因此他們聚集 起來(lái)討論制定信息集中化資源和本領(lǐng)域指導準則的必要性。在1969年，這個(gè)團體正式組建為 EDP 審計師協(xié)會(huì )。在1976年，這個(gè)協(xié)會(huì )成立一項教育基金來(lái)開(kāi)展大規模的研究工作，以拓展信息 產(chǎn)業(yè)管理與控制領(lǐng)域的知識與價(jià)值。

今天，ISACA在全球有四萬(wàn)七千多名成員，他們的組成非常具有多元性。這些成員在140多個(gè) 國家內生活和工作，并涵蓋眾多專(zhuān)業(yè)信息技術(shù)的相關(guān)職業(yè)，比如信息系統審計師、顧問(wèn)、教 導員、信息系統安全專(zhuān)家、管理者、首席信息官和內部審計師等。有些職業(yè)是本領(lǐng)域內新興 的，其他為中級管理人員，另外還有許多人擔任最高級的職位。他們幾乎遍及所有行業(yè)，包 括財政金融、公共會(huì )計、政府與公共部門(mén)、公用事業(yè)和制造業(yè)。這種多元性使眾多成員能夠 相互學(xué)習，并在許多專(zhuān)業(yè)問(wèn)題上廣泛交流彼此的觀(guān)點(diǎn)。該特點(diǎn)一直被認為是ISACA的強勢之一。

ISACA的另一個(gè)強勢就是它的分會(huì )網(wǎng)絡(luò )。ISACA 的分會(huì )遍布世界60 多個(gè)國家，可提供成員教育、資源共享、支持、專(zhuān)業(yè)網(wǎng)絡(luò )，以及其他由當地分會(huì )提供的諸多 利益。

在ISACA創(chuàng )立的三十年來(lái)，它已成為一個(gè)為信息管理、控制、安全和審計專(zhuān)業(yè)設定規范的全球 性組織。它的信息系統審計和信息系統控制標準為全球執業(yè)者所遵從。它的研究工作針對那 些挑戰其重要原則的疑難專(zhuān)業(yè)事項。它的國際信息系統審計師（CISA）認證得到全球的公認，并有三萬(wàn)多名專(zhuān)業(yè)人員得到認證。國際信息安全經(jīng)理（CISM）認證特別針對信息安全管理 的審計事務(wù)。它出版了領(lǐng)先于信息控制領(lǐng)域的技術(shù)性期刊，即《信息系統控制期刊》 （Information Systems Control Journal）。它舉辦一系列國際性會(huì )議，并且把焦點(diǎn)集中于 信息系統保障、控制、安全和信息 技術(shù)管理專(zhuān)業(yè)的技術(shù)與管理主題上。ISACA與其附屬的信息技術(shù)管理機構領(lǐng)導著(zhù)信息技術(shù)控制 界，并在不斷變化的國際環(huán)境下為其執業(yè)者提供信息技術(shù)專(zhuān)業(yè)所需的要素，保證他們得到良好的服務(wù)。

證書(shū)榮譽(yù)

◎專(zhuān)業(yè)頂尖的標志

獲得CISA 認證有助于確立你作為一名合格的信息系統審計、控制和安全專(zhuān)業(yè)人才的聲譽(yù)。不 論你是希望提高你的工作表現還是得到職務(wù)升遷，擁有CISA 資格證書(shū)都會(huì )使你擁有他人無(wú)法企及的競爭優(yōu)勢。

◎雇主渴求的人才

由于CISA 持證人能夠熟練掌握當今需要的最先進(jìn)的技能，雇主更愿意雇用和留住那些達到并能夠維持 資格證書(shū)所要求水平的人才。對于雇主而言CISA 認證確保其雇員擁有勝任當前工作所必需的最新教育與實(shí)踐經(jīng)驗。

◎全球的認可

也許本認證對于你當前的工作并不是絕對必需的，然而越來(lái)越多的機構希望員工得到CISA 認證。為了確保你在全球職業(yè)市場(chǎng)上的成功，選擇一個(gè)建立在全球認可的技術(shù)實(shí)務(wù)基礎上的 認證是至關(guān)重要的。CISA 就是這種認證。CISA 作為信息系統審計、控制與安全專(zhuān)業(yè)人員的資格證書(shū)，受到全世界信息系統審計、控制和安 全行業(yè)的廣泛認可。

第二部分

1、考試日期、時(shí)間和地點(diǎn)

CISA考試每年6月和12月在中國分別組織一次，考試時(shí)間為4個(gè)小時(shí)。目前確定的國內考試地點(diǎn)為北京、上海、深圳、廣州、南京。

2013年ISACA在全球增加一次9月7日的考試，但在中國區域的考試地點(diǎn)限定在北京 上海和深圳；至2015年基本形成每年6、9、12月份3次考試。

2、考試題型和語(yǔ)言

CISA 考題經(jīng)過(guò)精心開(kāi)發(fā)與維護，以便準確測試考生在信息系統審計、控制與安全實(shí)務(wù)方面的精通程度?？荚囶}型為200道客觀(guān)選擇題，全部為筆答，總分800分，450分通過(guò)。由于 CISA證書(shū)為國際所認可，因此考試以如下幾種語(yǔ)言進(jìn)行：荷蘭語(yǔ)、英語(yǔ)、法語(yǔ)、德語(yǔ)、希伯來(lái)語(yǔ)、意大利語(yǔ)、日語(yǔ)、韓語(yǔ)、繁體中文、簡(jiǎn)體中文和西班牙語(yǔ)。（目前已調整題量）

3、如何準備CISA 考試

完整的系統的學(xué)習計劃可以幫助考生通過(guò)CISA考試。為幫助考生制定成功的學(xué)習計劃，ISACA 為考試學(xué)員提供官方資料“《官方 CISA Review Manual 2015》”，及練習試題，輔助資料有《谷安CISA紅寶書(shū)》等。

? 收到CISA考試報名表和報名費之后，CISA考試中心將為考生提供《CISA考試考生指南》。本 指南提供有關(guān)考試流程與內容方面的詳細大綱，推薦的一些參考資料目錄，考試中使用的詞匯表，以及考試中使用的答卷的范例。

4、CISA資格證書(shū)的維持

獲得任何職業(yè)資格證書(shū)的持證人必須參 與繼續教育計劃來(lái)維持其資格證書(shū)。為了維持CISA資格證書(shū)，持證人必須履行繼續教育政策，并遵守ISACA協(xié)會(huì )的《職業(yè)道德規范》。這些計劃有助于保證CISA持證人能夠與業(yè)內先進(jìn)技 術(shù)的發(fā)展保持同步，并展示較高的職業(yè)原則。

繼續教育政策要求持證人累積足夠的繼續教育學(xué)分，并提供證明，以及支付年度維持費。此外，最低 學(xué)分的累積與證明提供必須在固定的3年認證期間完成。不能履行將會(huì )撤消持證人擁有的認證 資格。在過(guò)去5年中，93%以上的CISA持證人維持了資格證書(shū)。這項統計結果反映了CISA持證 人對維持資格證書(shū)的強烈愿望。

5、報名參加CISA考試

考試日期

CISA考試每年舉行三次，分別為每年的六月、九月和十二月的第二周星期六，六月、九月和十二月考試中國學(xué)員均可以選擇中文和英文考試，在中國考試從上午九點(diǎn)開(kāi)始，共四個(gè)小時(shí)13點(diǎn)結束。

在線(xiàn)報名表

從ISACA網(wǎng)站網(wǎng)頁(yè)上獲取報名表。應當用黑色墨水筆工整填寫(xiě)或打印。字跡要清楚。請確認考試中心代碼正確，并根據需要選擇考試中使用語(yǔ)言的版本。在填完報名表并付款后，ISACA將寄給考生 CISA考試報名的回執信與一份《CISA考試考生指南》。投遞時(shí)間為6個(gè)星期。

退款與緩考費

退款：無(wú)法參加考試的申請人可以要求退款，退款中將扣除的手續費。退款請求必須在指定時(shí)間之前以書(shū)面方式寄到。

緩考：無(wú)法參加考試的申請人還可以得到一次緩考機會(huì )，將考試日期延至下一年。緩考請求 必須在指定時(shí)間之前以書(shū)面方式寄到。緩考到下一年之后不得要求退款，并且在報名參加下 一年考試時(shí)，考生還需要交納US的再報名費。

考試中心的指定

ISACA 將盡可能根據考生的選擇安排考試中心。然而，如果某個(gè)考試中心被取消，則考生將被分配 到最近的考試中心。如果不愿在新分配的考試中心參加考試，那么考生可以得到考試費的全 額退款。

申請增設考場(chǎng)

如果考試中心在考生所在地區的100英里（160公里）之外，并且同時(shí)有5名以上（包括5 名）的應試人想編入本地一組，則考生可以申請成立新的考試中心。成立新考試中心的申請 需要至少5份已付款的報名表，并于指定時(shí)間之前被送至ISACA國際總部。盡管不能保證新考 試中心一定成立，但ISACA將盡力安排。

特別安排

接到申請后，ISACA 協(xié)會(huì )將根據出具的殘疾或宗教證明，在考試程序方面為應試者做出必要的合理安排。應試人 可以要求適當地改變考試格式、表述方式、考場(chǎng)內提供飲食或調整考試時(shí)間，以顧及應試人 由于殘疾或宗教要求而影響到考試狀態(tài)的因素，但是不會(huì )改變考試中技能與知識的難度。在 考場(chǎng)內的進(jìn)食要求必須有醫生的證明材料，否則不允許將食品和飲料帶入考場(chǎng)。應試人必須 在發(fā)出報名表和報名費時(shí)一并提出書(shū)面要求和證明材料。

6、考試的舉辦

準考證

在CISA考試前2 到3 周，考生會(huì )收到考試機構寄來(lái)的準考證以及來(lái)自ISACA 的電子準考證。準考證上標明了考試的日期、入場(chǎng)登記時(shí)間與考試地點(diǎn)，當天日程安排以及 參加CISA考試必須攜帶的材料?？忌仨氉⒁鉁士甲C上規定的確切的登記入場(chǎng)時(shí)間與考試時(shí) 間。在考試開(kāi)始前約30分鐘主考人開(kāi)始宣讀說(shuō)明時(shí)，任何考生均不得進(jìn)入考試中心。準考證 只能在其被指定的考試中心使用。

只有攜帶有效的準考證以及通用的身份證明才能進(jìn)入考試中心?？梢越邮艿纳矸葑C明包括帶有相片（比如護照、有照片的駕駛執照等）或其它帶有考生的簽名和身高、體重、眼睛顏色 等描述資料的證明。

安全

考場(chǎng)中發(fā)現考生有作弊行為（比如提供或接 受幫助、使用字條、答卷或其它工具）、試圖替他人考試或撕下考試卷、答卷或附卷帶出考 場(chǎng)時(shí)，考生將被取消考試資格?？荚嚈C構將向認證委員會(huì )報告違規行為。

7、考試成績(jì)

考分的郵寄

自考試之日起約10個(gè)星期后，考生將接到郵寄的考試成績(jì)通知。為了對考試分數保密，考試結果將不采用電話(huà)、傳真或電子郵件的方式進(jìn)行通知。

考試成績(jì)通知

考生接到的成績(jì)通知將顯示全部試卷中答對的數目經(jīng)換算后的相應得分。換算后的分數從200 到800，是通過(guò)一種算法（線(xiàn)性轉換）得到的。它在設定及格線(xiàn)之后，把原分數轉換為線(xiàn)性分 數。原分數通過(guò)累計正確答案而得到，如果某些試題經(jīng)過(guò)統計后被判定為或委員會(huì )檢查認定 為含義模糊或存在其它缺陷時(shí)，還應在原分數中計入該試題的相應得分。通過(guò)這種方式，考 生就不會(huì )由于某些不具備統計有效性的試題而被扣分。該程序的各個(gè)環(huán)節都不是人為或隨意 的，而是由ISACA 雇用的獨立考試機構根據換算程序而得到的。如果得分為450分，這個(gè)低于及格線(xiàn)的分數，它并不代表實(shí)際的分數或正確答案的平均分，而是原分數相對于其他所有考生的分數。得分達到或超過(guò)450分者將通過(guò)考試。

再次參加CISA 考試

分數為449及以下的考生可以報名參加以后的 CISA考試。

8、2015年CISA考試信息

1、2015年6月份考試重要日期

考試日期：2015年6月13日。

早期報名截止日：2015年2月11日。

最終報名截止日：2015年4月10日。

考試報名變更：2015年4月11日至2015年4月24日之間，收取費用50美元，2015年4月24日之后恕不受理任何變更請求。

退款：2015年4月10日之前，收取手續費100美元，該日期之后恕不退還任何費用。

緩考：對于2015年4月24日之前收到緩考申請，收取手續費為50美金；2015年4月25日至2015年5月22日之間收到緩考申請，收取手續費100美金；2015年5月22日以后，不再受理緩考申請。

2、2015年9月份考試重要日期

考試日期：2015年9月12日。

早期報名截止日：2015年6月17日。

最終報名截止日：2015年7月24日。

考試報名變更：2015年7月25日至2015年8月3日之間，辦理費用50美金；2015年8月3日之后恕不受理任何變更請求。

退款：2015年7月24日之前，收取手續費100美元，該日期之后恕不退還任何費用。

緩考：對于2015年8月10日之前收到緩考申請，收取手續費為50美金；2015年8月11日至2015年8月28日之間收到緩考申請，收取手續費100美金；2015年8月28日以后，不再受理緩考申請。

3、2015年12月份考試重要日期

考試日期：2015年12月12日。

早期報名截止日：2015年8月19日。

最終報名截止日：2015年10月23日。

考試報名變更：2015年10月24日至2015年10月30日之間，辦理費用50美金；2015年10月30日之后恕不受理任何變更請求。

退款：2015年10月23日之前，收取手續費100美元，該日期之后恕不退還任何費用。

緩考：對于2015年10月23日之前收到緩考申請，收取手續費為50美金；2015年10月24日至2015年11月27日之間收到緩考申請，收取手續費100美金；2015年11月27日以后，不再受理緩考申請。

以上所有截止時(shí)間都以美國伊利諾斯州芝加哥市（中部標準時(shí)間）下午5時(shí)為準。（與北京時(shí)間時(shí)差14小時(shí)）

第三部分 CISA考試大綱

包括五部分內容，各自所占比例如下：

1、信息系統審計過(guò)程（占14%）

2、IT控制與治理（占14%）

3、信息系統獲取、開(kāi)發(fā)和實(shí)施（占19%）

4、信息系統操作、維護與支付（占23%）

5 、信息資產(chǎn)的保護（占30%）

信息系統的管理、規劃和組織

* 評估信息系統戰略及其開(kāi)發(fā)、布置、維護的過(guò)程，以確保符合機構的商業(yè)的目標

* 評估信息系統政策、標準和過(guò)程

* 評估信息系統管理實(shí)務(wù)

* 評估信息系統組織和結構，確保恰當、充分地支持機構的商業(yè)要求

* 評估第三方服務(wù)商的選擇和管理，確保其支持信息系統戰略

技術(shù)構架和運營(yíng)實(shí)務(wù)

* 評估硬件的采購、安裝和維護，確保有效地、有用地支持組織的信息系統處理和商業(yè)需求并符合組織戰略

* 評估系統軟件和工具的開(kāi)發(fā)/采購、實(shí)施和維護，保證切實(shí)支持機構的信息系統處理和商業(yè)要求，符合組織的戰略

* 評估網(wǎng)絡(luò )框架的獲取、安裝和維護，確保充分有效地支持機構的信息系統處理和商業(yè)要求

* 評估信息系統運營(yíng)實(shí)踐，確保用來(lái)支持組織的信息系統處理和商業(yè)需求的技術(shù)資源的有效地、有用地利用

* 評估系統性能和監控過(guò)程、工具和技術(shù)的使用，確保計算機系統持續滿(mǎn)足組織的商業(yè)目標

信息資產(chǎn)的保護

* 評估邏輯訪(fǎng)問(wèn)控制的設計、實(shí)施和監控，確保信息資產(chǎn)的完整、保密和可用

* 評估網(wǎng)絡(luò )框架的安全，保證網(wǎng)絡(luò )和被傳輸信息的保密、可用和經(jīng)過(guò)授權使用

* 評估環(huán)境控制的設計、實(shí)施和監控，以避免和/或減少潛在的損失

* 評估物理訪(fǎng)問(wèn)控制的設計、實(shí)施和監控，確保資產(chǎn)和設備的保護程度滿(mǎn)足組織的商業(yè)目標

災難恢復和持續運營(yíng)

* 評估備份和恢復規定的充分性，確保正常信息遇到短期中斷和/或需要重運行或重處理時(shí)的再恢復

* 評估在主要信息處理設備部不能用時(shí)組織持續提供信息系統處理能力的能力

* 評估組織在商業(yè)中斷時(shí)保證商業(yè)連續性的能力

商業(yè)應用系統開(kāi)發(fā)、獲得、實(shí)施和維護

* 評估應用系統被開(kāi)發(fā)和實(shí)施的過(guò)程，確保其滿(mǎn)足達到組織的商業(yè)目標

* 評估應用系統被采購和實(shí)施的過(guò)程，確保其滿(mǎn)足達到組織的商業(yè)目標

* 評估應用系統被維護的過(guò)程，確保其滿(mǎn)足達到組織的商業(yè)目標

商業(yè)運營(yíng)評估和風(fēng)險管理

* 評估信息系統通過(guò)基準、最好實(shí)務(wù)分析或商業(yè)過(guò)程再工程等支持商業(yè)過(guò)程的效率和效果，確保優(yōu)化商業(yè)結果

* 評估程序化的和手工的控制的設計和實(shí)施，確保商業(yè)過(guò)程確定的風(fēng)險在可接受的水平

* 評估商業(yè)過(guò)程改變計劃，確保其被適當地組織、配備人員、管理和控制

* 評估組織風(fēng)險管理和治理的實(shí)施

信息系統審計程序

* 依照公認的規范，制定和實(shí)施基于風(fēng)險的審計戰略和目標，以確保機構的信息技術(shù)和商業(yè)系統得到充分控制、監察和評估，并與機構的商業(yè)目標保持一致

* 仔細規劃審計步驟，以保證達到既定的信息系統審計的戰略和目標

* 為達到審計目標，獲取充分、可靠、對應和有用的證據

* 檢查已完成的工作，證實(shí)審計目的是否已達到

* 把審計結論傳遞給機構合伙人

* 推動(dòng)機構內的風(fēng)險管理和控制實(shí)踐的工作