CISA认证是什么，如何报考？

CISA备考感悟

原创2018-09-10艾威学员

CISA认证是什么，如何报考？

CISA认证是什么？
CISA(Certified Information Systems Auditor，中文为国际信息系统审计师)认证是由信息系统审计与控制协会ISACA(Information Systems Audit and Control Association)发起的，是信息系统审计、控制与安全等专业领域中取得成绩的象征。
CISA认证适用于企业信息系统管理人员、IT管理人员、IT审计人员或信息化咨询顾问、信息安全厂商、服务提供商，以及其他对信息系统审计感兴趣的人员。
随着商业社会对信息系统审计、控制与安全专业人才需求的增长，CISA已成为全球范围内个人与公司机构不可或缺的专业认证。
CISA 资格证书代表持证人有卓越的能力服务于公司的信息系统审计、控制与安全领域。此外，它还为持证人带来越来越可观的职业成就和经济利益。

为什么学习CISA？含金量如何？
截至2016年底，世界范围内有超过14万IT治理、信息安全的专业人士获得此证书。CISA被全球范围的企业和专业人士视为IT/IS认证的“黄金标准”。
中国获得CISA认证的审计师分布在银行、证券、政府、高端制造业、信息服务业等高端行业内，越来越受到国内各大企事业单位认可。
CISA的就业前景和市场非常可观。由于内外部监管的要求（如Sarbanes-Oxley），跨国企业、大型金融机构以及广大上市公司均设有一定量的信息系统审计、控制和安全岗位，例如IT Auditor, IS Auditor, IT Internal Control, Security Analyst, Compliance Officer 和Risk Manager。同时，大型会计师事务所，例如四大都有相当规模的专门从事信息系统审计、控制和安全服务的顾问队伍。

ISACA认证机构：
国际信息系统审计协会（ISACA）创始于 1967 年，是由从事电脑系统审计监控工作人士所组成的小团体。鉴于电脑信息审计监控工作对自己在职机构的运作愈益重要，他们开始讨论相关范畴需要集中的信息资源和指引。在 1969 年，这个团体正式组成 EDP 信息系统审计协会。在 1976 年，这个协会成立一项教育基金来开展大规模的研究工作，以拓展信息科技治理与监控领域的知识与价值。国际信息系统审计协会之前使用其全名称谓 (the Information Systems Audit and Control Association) ，但是现已简称为 ISACA，以反映它为从事于广泛的 IT 治理领域的专业人士提供服务。
今天，ISACA 在全球有超过 14万名成员，特点是成员的背景十分广泛。这些成员在 180 多个国家内生活和工作，并涵盖众多信息科技相关的专业，例如信息系统审计师、顾问、教导员、信息系统安全专家、监管机构人员、首席信息官和内部审计师等。有些是职业领域内的新进人员，其他为中级管理人员，另外还有许多人担任高级职位。ISACA 的成员几乎遍及所有行业，包括财政金融、公共会计、政府与公共部门、公用事业和制造业。成员多样的背景使他们能够互相学习，并在许多专业问题上广泛交流彼此独特的观点。此特点一直是 ISACA 的一项优势。国际信息系统审计协会现已简称为ISACA，以反映协会信息系统管理方面的广泛领域。

CISA考试涉及领域，具体如下：
信息系统审计流程(14%)—遵照IT审计标准提供审计服务，以帮助组织保护和控制其信息系统。
IT治理和管理(14%)—用以确保具备必要的领导层、组织结构及流程来实现相关目标和支持组织战略。
信息系统购置、开发与实施(19%)—用以确保信息系统的购置、开发、测试和实施实务符合组织的战略与目标。
信息系统的操作、维护与支持(23%)—用以确保信息系统的操作、维护与支持流程符合组织的战略与目标。
信息资产的保护(30%)—用以确保组织的安全政策、标准、规程和控制能够_信息资产的机密性、完整性和可用性。

CISA谁适合学习？
● IT经理、信息安全经理
● 信息系统审计专业人士、内部审计人员、外部审计人员、内控与合规人员
● 审计从业者和咨询顾问
● CEO,CFO,CIO/信息中心主任
● 负责信息系统安全管理和规划的经理，信息安全业内人士
● 把握信息时代趋势的中高级管理者,CPA财务专家等

CISA报名考试
报考条件不限，均可报名参加考试，但通过考试后需申请CISA资质！
若想成为注册信息系统审计师，申请人必须：
1．取得 CISA 考试的及格分数。仅通过 CISA 考试，但是未能取得以下所列工作经验时，考试成绩只能维持五年有效。如果申请人未能在五年内达到 CISA 的认证要求，则考试成绩将失效。
2．提供从事信息系统审计、控制、鉴证或安全工作 5 年工作经验的确认证明表。工作经验必须在认证申请日之前的十年内，或_初通过考试之日起的五年内获得。

CISA考试费用
CISA官网考试费用为760美金，参加ISACA授权培训机构的考试会有一定折扣优惠。具体优惠详情需咨询所报名的ISACA_培训机构。（艾威是ISASA授权培训机构）

CISA培训备考
本人为艾威CISA学员，90后，目前就职于通信行业内某国企单位，主要从事通信类业务营销以及项目支撑等工作。个人能力属项目管理稍倾向技术方面，未来发展趋势信息安全管理类。

学习CISA动机
1、去年开始施行的《网络安全法》，其中将等级保护备案制度提升至法律层面。目前无论从甲方角度还是从乙方角度，都希望了解自己的信息系统是否合法是否合规。学习CISA会有助于我对等保这类专项审计工作有个新认识。
2、今年6月Global Knowledge发布的15Top-PayingITCertificationsfor2018中，ISACA的认证均名列榜上，CISA居13位，相比往年有所下降但仍相当具有权威性。所以多考个证即使现在用不上也给以后晋升或者跳槽增加点筹码，目前对于信息安全岗位用人单位一般都会备注拥有CISA或者CISSP优先。
3、本人平时上班两点一线，与其下班后肥宅废掉，还不如多学点什么。至于为什么会选择艾威，一半原因他是ISACA指定培训机构，从心理上会感觉比别的培训机构靠谱一些（事实证明确实倍儿棒），还有一半原因去年12月参加过的PMI-PBA认证培训并且今年3月稳稳通过，无论从售前咨询到培训学习过程，无论平时的监督学习还是报考指导都感受颇好。

CISA学习过程
由于的排课是工作日加周末的方式，上班时间请假出来培训成本太高，所以在4月底报了网课，想好好看视频学习的，但事实证明那也确实只是想想，感觉没有强大的自控力实在坚持不了，到5月底的时候学习进度也只到了54%，《CISA复习考题及解答手册》不要说题目做没做了就连书都没翻过。这时，CISA课程顾问突然某天和我说6月份安排了5天的面授果断补差上面授班。结课是在7月1号，所以整个学习以及复习的Schedule都计划排在6月里即一整个月时间。
规定自己每天完成50题复习题并且看30分钟-40分钟网课，下班后，就会去星爸爸（星巴克）里做题看书，其实并非很安静，晚上来蹭空调的阿姨妈妈都叽叽喳喳的。我是拿纸片挡着题目做一题看一题分析这样来做的，完成50题大概要花3个小时时间。（因为很多知识点都是_次接触理解起来不容易）把做错的和难理解的题目标记出来。需劳逸结合，所以我周末两天共只做50题，这样既能休息休息也不至于忘掉做题的感觉，如果两天题都不碰周一再做可能很不适应，而且容易犯懒。
艾威老师讲课的顺序是按4-5-3-2-1章节的顺序来讲课，这样会更加贴近实际工作。外加上已经听过网课并且做过题，所以听课会轻松许多，而且老师授课会从实际工作的角度出发，一名审计师在实际工作中遇到了这种情况是会如何应对或采取措施的，以及会对课程中涉及的模型和案例做分析。还会对CISA考试中部分有针对性的题目进行重点讲解，让我印象深刻（事实证明确实考到了这样的题）。
CISA考试预约，我选在了结课后的_个周六，所以结课后还会有5个工作日的复习时间，这5天我是根据老师的讲课顺序以每天复习一个章节的进度，将_遍做后标记出来的题都再做一遍。这样不仅对重点考点的题目能做到心领神会，而且考前会对生僻冷门的题也会一个印象。

CISA考试及题型
报考过程完全不用担心，只要根据教务所发的步骤并填写信息表就可以完成，剩下的只要交给教务就可以了。
考试240分钟绰绰有余，基本用了2个小时不到的时间就能完成考题。做题时是能标注的，对于模棱两可的题我都标注出来，做完的时候发现有17道题是把握不准的。由于过了两遍习题书未免会产生好像见过这题却又不知道选哪个的情况，这时候回想下老师常提的知识点，重点讲解的自己再结合题意稍加分析基本能猜个八九不离十了。如果实在不知道选项的一般根据题意能判断出2个明显是错误的选项，然后再看剩下的选项中其中一个和明显错误的两个选项会比较相近或者有同类的地方，那大概率剩下的那个就是正确答案了的。
CISA考试的题目我遇到的考备份的不多或者我印象不深，印象比较深的还是业务目标的题目起码有5题左右，人员安全考疏散计划的有涉及到，其次是涉及业务案例的题有3-4题。印象_深的是考前吴老师分析外包时说不要只认得第三方托管协议，不认得软件Or代码可用性，结果考题我遇到的确实是代码可用性。防火墙网络拓扑中位置的题有涉及到2-3题。别的就记不太清了。
我觉得__重要的建议就是一旦你有点把握了就尽早约考，如果每次都想着拖啊拖的，时间越长知识点也就淡忘得越快，因为CISA考点范围还是挺广的，知识点也较为松散的。