CISA简介CISAoverviewCISAandISACACISAandISACAISACAISACAISACAISACAISACAISACAWebCISA认证CISA的工作CISA证书的价值CISA证书的价值最高专业程度的标志雇主寻求的资历全球的认可得到ISO/IEC17024:2003标准的公认成为CISA成为CISACISA考试CISA考试考试报名考分的邮寄CISA资格证书的维持CISA考试内容CISAContentAreasEffective2011第一部分信息系统审计程序第二部分IT治理(信息技术治理)第二部分IT治理与管理第二部分IT治理与管理第三部分信息系统获取、开发与实施第三部分信息系统获取、开发与实施第四部分信息系统运行、维护和支持第四部分信息系统运行、维护和支持第五部分信息资产保护第五部分信息资产的保护CISAvs.CISSP认证侧重点对应的职业不同考试难度比较信息系统审计过程提高信息系统审计质量、促进审计从业人员之间的经验交流，促进审计职业的良好发展IT审计职业道德规范 职业道德规范(CodeofProfessionalEthics) 职业审慎(DueProfessionalCare)信息系统审计准则 是整个审计准则体系的总纲，是信息系统审计师的资格条件、执业行为的基本规范，是制定审计指南和审计程序的基础依据。审计师执行审计业务，出具审计报告，都必须遵守执行，具有强制性 ISACA标准委员会制定了11大类信息系统审计准则。 审计指南 审计指南是依据审计准则制定的，是审计准则的具体化。指南详细规定了信息系统审计师执行各项审计业务、出具审计报告的具体指南，为审计师在执行审计业务中如何遵守审计准则提供指导。 审计师在运用这些指南时，离不开职业判断，对任何偏离指南的行为一定要有充分的理由。 ISACA标准委员会制定了35条信息系统审计指南。 审计程序 信息系统审计程序是依据审计准则和审计指南制定的； 它为审计师提供了一般审计业务的程序和步骤，是遵守审计准则和审计指南的一些通常审计程序； 审计程序为审计师提供了很好的工作范例，但审计师在执行具体的审计业务时，还要根据特定的信息系统和特定的技术环境做出自己的职业判断。 审计章程(AuditCharter) 组织通过审计章程来确定信息系统审计活动在组织中所扮演的角色。 审计章程既要强调管理层本身的对信息系统审计的责任与目标，以及对信息系统审计的授权，也要明确信息系统审计师可以行使的权力、所负责任及审计范围。审计计划(AuditPlan) 短期计划－本年度内需要实施的审计事项 中长期计划－2年以上的审计计划 制定审计计划的要点： 审计资源管理 审计师的信息系统相关知识与能力 审计项目管理的能力 审计人员的培训计划 审计工具的使用（例如：网络扫描工具、穿透测试工具、日志分析工具等）审计委托书 审计师的责任 审计师的权利 审计师的义务 与委托方的交流审计方案(AuditProgram) 信息系统审计师经常需要从不同的角度评价IT系统及其功能，此时建立审计工作方案(也就是具体的审计策略与计划)是一件十分重要的工作； 通过审计工作方案可以确定具体的审计范围、审计目标、审计程序，以获得充分的、合理的证据，以得出和支持审计结论与审计建议。 编制审计方案要考虑的问题 通用审计目标 为管理当局提供相关控制己有效实施的保证 发现控制弱点和由此而产生的风险 为管理当局提出纠正建议 －ISACACoBIT框架－审计指南 确定审计重点内容(重要性水平) 业务流程分析 建立信息系统的轮廓 现有控制的初步评估 己往审计报告的分析 审计师的职业经验 日程安排（示例） t-开始审计时间，n-周 签订审计委托书t-10 确定审计日期t-8 到达目的地时间 审计小组工作时间 开始调查时间 结果调查时间 确定访谈对象t-8 确定审计小组成员t-8 收集文档资料t-4 起草审计报告t+2 完成审计报告t+6 所需经验 小组组长＞5年 审计管理高 沟通能力高 信息系统安全非常高 掌握CSA方法较深 主机网络安全＞3年 物理环境安全＞3年 业务应用系统＞5年 业务连续性计划＞5年 *所有人员都应有类似的审计经验，否 则审计日期的安排至少应该增加50%信息收集（示例） IT系统信息COBIT推荐的审计过程审计的四个过程审计步骤一：确定与记录 目标： 为了使审计师能够熟悉审计目标所涉及的任务，并且了解信息系统管理层人员是如何确认他们己实施了有效的控制，包括识别出与实施的任务和规定的控制程序相关的人员、过程和地点。 流程：审计步骤二：评估 目标： 通过评估规定的控制程序，以决定此程序是否提供了有效的控制结构。评估时要利用己确定的准则、行业标准及必要的审计判断。 一个有效的控制结构应