学员分享国际信息系统审计CISA认证培训笔记
学员分享国际信息系统审计CISA认证培训笔记,CISA(Certified Information System Auditor),国际注册信息系统审计师,自1978年起,由国际信息系统审计和控制协会(ISACA)开始实施注册。CISA已经成为持证人在信息系统审计、控制与安全等专业领域中取得成就的象征,取得全球公认。
以美国萨班斯(SOX)法案为代表的诸多国际标准对组织的IT审计工作提出了更高要求,在信息系统基础设施运营、信息资产保护、信息系统运维、业务连续性等方面,都要求IT经理和信息系统审计师必须掌握信息系统审计、控制与安全技术。
CISA信息系统审计师培训课程旨在培养这样一批专家给人士,通过学习,熟悉信息系统管理核心要义,掌握信息系统的软件、硬件、开发、运营、维护、管理和安全相关知识,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。以下内容为CISA培训机构学员分享的内容,提供大家参考.
第一章IS审计过程
1.2信息系统审计职能管理
1.2.1审计组织
内审:审计章程
最高管理层和审计委员会审批
责任、目标(范围)、权力(授权)
保持独立性,向审计委员会或最高管理层(董事会)报告
外审:正式合同/工作说明书
1.2.2审计资源管理
1、培训保持胜任能力
2、在制定审计计划和向员工指派审计任务时,加以考虑审计师的技能培训。
3、基于组织落实相关风险方面的组织方针,按年来制定培训计划。
4、定期检查,确保计划与审计部分采取的方针一致。
5、IS审计管理层提供必要的IT资源实施专业化审计工作(软件漏洞扫描、渗透测试)
1.2.3审计计划
1、包括:年度计划、单项审计任务
2、短期计划(年内处理的审计问题)、长期计划(风险相关问题的)与组织IT环境与战略的变化相关
3、每年至少一次分析短期与长期计划:关注新的控制问题、风险、环境、技术、业务流程方面的变化等任何风险环境的任何重要方面发生的变化(购置、新的法规、市场条件变化),分析结果交给审计委员会或最高管理层(董事会审查。
4、制定计划时,
注意:
(1)理解整体被审计环境(包括对象的业务流程、法规环境、支持业务流程的技术和信息类型等)
(2)要按审计准则来定计划,要获取一些信息:考虑审计对象在战略规划、财务、运营方面涉及的审计领域与组织的关系(包括获取战略规划、信息技术架构、技术方向的内容)
5、制定计划的步骤:
(1)了解业务使命、目标、目的、流程
(2)找出相关的规定:政策、法规、标准、指南、规程、组织结构
(3)进行风险分析
(4)确定审计目标与范围
(5)确定审计方法和策略
(6)分配审计人力资源
CISA在制定审计计划前先实施风险分析
6、如何了解业务流?
(1)收集组织关键设施的信息
(2)阅读背景资料
(3)检查业务、IT长期战略规划
(4)访谈关键管理人员
(5)审阅以往的审计报告或IT相关报告
(6)识别:IT具体规章制度、IT职能与相关活动7、单项审计任务也要作计划的
1.2.4法律法规对审计计划的影响
1、要了解组织内部、外部(行业、政府)的各种法规的要求
2、审计的法规要求,审计对象及其系统、数据管理、报告方面的法律要求3、如何确定一个组织遵守外部法规的程度?
(1)外部对哪些内容是有要求?
电子数据、电子商务、电子签名、版权计算机系统的控制、程序和数据的存储方式信息技术的服务的组织或活动信息审计
(2)评估组织管理层制定计划、政策、标准是否有遵守
(3)评估内部IS部门、职能、活动上是否落实?
(4)组织是否有建立程序来落实?(包括与一些外部签订协议与合同中有体现?)
1.3审计准则和指南
1.3.1职业道德规范
谨慎、客户公正保护隐私与机密信息,不牟利不泄漏按要求披露报告不歪曲事实1.3.5准则、指南、工具技术之间的关系
准则指导审计师实施相应的标准,并用工具和技术进行专业性的判断。
1.4风险分析
1.风险分析是审计计划的一部分。
2、风险评估步骤:
(1)识别业务、信息资产、支撑系统(组织最为敏感和关键的事物)
(2)风险减缓
(3)风险再评估
CISA是一个循环反复的周期
CISA应对风险的控制措施进行成本效益分析:
控制风险成本与降低风险所得的收益管理层的风险偏好
优先选用哪一种风险降低的方法
1.5内部控制
1、董事会和高级管理层要促进建立有效的内部控制体系,持续监督其有效性。2、内控要落实:达到什么要避免什么
3、内控的性质分为:预防、检测、纠正三类
4、控制的目标:有效性、效率、机密性、完整性、可用性、可靠性、合规性
本文来自于艾威培训,转载请注明:https://www.avtechcn.cn/news/hyzx/1639.html
【艾威(中国)】简介:
艾威培训隶属于上海艾威信息科技有限公司,于2002年在上海建立办事处,2003年正式注册成立上海艾威信息科技有限公司并全面开展国内的培训业务,主要专注于职业认证培训与IT技术培训,致力于中国数字化管理人才与技术人才的培养。
艾威主要业务为培训业务与咨询业务两大类,目前培训的主要产品有:项目管理培训、IT管理培训、敏捷培训、业务分析与需求管理培训、企业架构培训、业务流程管理培训、数据管理与治理培训、信息安全培训、办公软件与多媒体培训、大数据与人工智能培训、虚拟化与云计算培训、数据库培训、软件开发培训等....近30给分类上百门的课程的培训与咨询服务。
艾威凭借引进国际领先的课程知识体系和多年积累的丰富教学经验,结合中国本土企业文化、实际需求,为企业、个人提供定制化的培训解决方案。艾威已服务了超过 10000 多家客户,获得了良好的口碑!已被众多 500强企业纳入培训供应商,如 HP,NOKIA,CISCO,INTEL,GE,华为,宝马,德电,通用,大陆汽车,中国银行,交行,工行,罗氏,赛诺菲,埃森哲……等。
- 2002年艾威成立上海办事处,并于2003年正式成立公司,开启全面培训业务
- 2002年成为思科Cisco授权培训中心
- 2003年成为Oracle授权培训中心
- 2003年成为国际项目管理协会PMI授权的全球(PMP,PGMP,ACP,PBA)教育机构
- 2005年成为国际需求管理协会IIBA授权的全球(ECBA,CCBA,CBAP)教育机构
- 2008-2015年成为100+家央企、国企、外企指定培训供应商(惠普、诺基亚、德电、罗氏、中国银行、交通银行、中国海关等)。
- 2015年艾威国际网校(edu.avtechcn.com)成立,引进数百门在线课程。
- 2016年成为国际信息审计协会ISACA授权的CISA,CISM,CRISC,CGEIT,COBIT教育机构。
- 2017年成为The Open Group授权的TOGAF企业架构的官方培训机构。
- 2017年成为APMG与国际外包专业协会(IAOP)授权的外包治理国际认证SGF(Sourcing Governance Foundation)教育机构。
- 2017年成为APMG与业务关系管理协会(BRMI)授权的BRMP、CBRM教育机构。
- 2018年成为PeopleCert授权ITIL、Prince2、MSP培训及考试机构。
- 2018年成为DRI授权CBCP培训及考试机构。
- 2019年成为亚马逊培训合作伙伴。
- 2019年成为国际云安全联盟CCSK授权培训合作伙伴。
- 2020年艾威数字化人才培训中心成立,并首创发布了艾威MDD数字化人才三角模型及8大能力培训体系。
- 2021年成为SAFe大规模敏捷认证官方培训机构。
- 2021年成为DAMA国际数据管理协会CDGA/CGDP/CDMP数据管理认证官方培训机构。
- 2022年艾威数字化人才培训中心成立一周年,进一步完善并升级“艾威MDD数字化人才三角模型及8大能力体系”为“艾威数字化人才18大能力罗盘”。
