试题涉及 ISACA 公布考纲中的知识领域,但不会按范畴分类。
试题覆盖广泛不会特别关注某些系统或软件。考生需根据公认的信息系统审计原则给予正确答案。
自2024年8月1日起,CISA开始新版考试(新教材将于5月1日发布),详情请参照:《重要!CISA新版教材于2024年5月1日更新,到底发生了哪些变化?》
18%-领域 1:信息系统的审计流程
该领域提供行业标准的审计服务,以帮助组织保护和控制信息系统,从而证明您对组织的IS/IT安全、风险和控制解决方案的状态提供结论的可信度。
A-规划 1 审计标准、准则和道德规范 2 审计、评估和审查的类型 3 基于风险的审计规划 4 控制类型和注意事项 | B-执行 1 审计项目管理 2 审计测试和抽样方法 3 审计证据收集技术 4 审计数据分析 5 报告和沟通技巧 6 审计过程的质量_和改进 |
18%-领域 2:IT 治理与管理
该领域向利益相关者证实了您识别关键问题和推荐特定于企业的实践以支持和保护信息和相关技术的治理的能力。
A-IT治理 1 法律、法规和行业标准 2 组织结构、IT治理和IT战略 3 IT政策、标准、程序和实践 4 企业架构和考虑事项 5 企业风险管理 6 隐私计划和原则 7 数据治理和分类 | B-IT管理 1 IT资源管理 2 IT供应商管理 3 IT性能监控和报告 4 信息技术的质量_和质量管理 |
12%-领域 3:信息系统的购置、开发与实施
领域3和4不仅证明了您在IT控制方面的能力,还证明了您对IT与业务关系的理解。
A-信息系统的采购与开发 1 项目治理和管理 2 业务案例和可行性分析 3 系统开发方法 4 控制识别和设计 | B-信息系统实施 1 系统准备和实施测试 2 实施配置和发布管理 3 系统迁移、基础设施部署和数据转换 4 实施后审查 |
26%-领域 4:信息系统的运营和业务恢复能力
领域3和4不仅证明了您在IT控制方面的能力,还证明了您对IT与业务关系的理解。
A-信息系统运营 1 IT组件 2 IT资产管理 3 作业调度和生产过程自动化 4 系统界面 5 影子IT和终端用户计算 6 系统可用性和容量管理 7 问题和事件管理 8 IT变更、配置和补丁管理 9 操作日志管理 10 IT服务级别管理 11 数据库管理 | B-业务恢复能力 1 业务影响分析 2 系统恢复能力 3 数据备份、存储和恢复 4 业务连续性计划(BCP) 5 灾难恢复计划(DRP) |
26%-领域 5:信息资产保护
网络安全现在几乎触及信息系统的每一个角色,了解其原则、_佳实践和缺陷是领域5的一个主要焦点。
A-信息资产安全和控制 1 信息资产安全框架、标准和指导原则 2 物理和环境控制 3 身份和访问管理 4 网络和终端安全性 5 数据丢失预防 6 数据加密 7 公钥基础设施 8 云和虚拟化环境 9 移动、无线和物联网设备 | B-安全事件管理 1 安全意识培训和计划 2 信息系统攻击方法和技术 3 安全测试工具和技术 4 安全监控工具和技术 5 安全事件响应管理 6 证据收集和取证 |
任务
1 计划审核以确定信息系统是否受到保护和控制,并为组织提供价值。 2 根据信息系统审计标准和基于风险的信息系统审计策略进行审计。 3 将项目管理方法应用到审计过程中。 4 与利益相关方沟通并收集关于审核进度、发现、结果和建议的反馈。 5 进行审计后跟进,以评估已识别的风险是否已得到充分解决。 6 利用数据分析工具增强审计流程。 7 评估自动化和/或决策系统对组织的作用和/或影响。 8 评估审计流程,作为质量_和改进计划的一部分。 9 评估IT策略是否与组织的策略和目标一致。 10 评估IT治理结构和IT组织结构的有效性。 11 评估组织对IT策略和实践的管理,包括遵守法律和法规要求。 12 评估IT资源和项目管理是否符合组织的战略和目标。 13 评估组织的企业风险管理(ERM)计划。 14 确定组织是否定义了IT风险、控制和标准的所有权。 15 评估IT关键绩效指标(KPI)和IT关键风险指标(kri)的监控和报告。 16 评估组织继续业务运营的能力。 17 评估组织的存储、备份和恢复策略和流程。 18 评估与信息系统相关的业务案例是否符合业务目标。 19 评估IT供应商选择和合同管理流程是否符合业务、法律和法规要求。 20 评估供应链的IT风险因素和完整性问题。 21 评估信息系统开发生命周期所有阶段的控制措施。 22 评估信息系统实施和迁移到生产环境的准备情况。 | 23 对系统进行实施后审查,以确定是否满足项目可交付性、控制和要求。 24 评估是否有有效的流程来支持_终用户。 25 评估IT服务管理实践是否符合组织要求。 26 对信息系统和企业架构(EA)进行定期审查,以确定与组织目标的一致性。 27 评估IT运营和维护实践是否支持组织的目标。 28 评估组织的数据库管理实践。 29 评估组织的数据治理计划。 30 评估组织的隐私计划。 31 评估数据分类做法是否符合组织的数据治理计划、隐私计划和适用的外部要求。 32 评估组织的问题和事件管理计划。 33 评估组织的变更、配置、发布和补丁管理计划。 34 评估组织的日志管理计划。 35 评估组织与资产生命周期管理相关的政策和实践。 36 评估与影子IT和终端用户计算(EUC)相关的风险,以确定补偿控制的有效性。 37 评估组织的信息安全计划。 38 评估组织的威胁和漏洞管理计划。 39 利用技术安全测试来识别潜在的漏洞。 40 评估逻辑、物理和环境控制,以验证信息资产的机密性、完整性和可用性。 41 评估组织的安全意识培训计划。 42 为组织提供指导,以提高信息系统的质量和控制。 43 评估与新兴技术、法规和行业实践相关的潜在机会和风险。 |
* 以上内容参考ISACA官方的CISA考试内容说明,原文内容参见:https://www.isaca.org/credentialing/cisa/cisa-exam-content-outline
ISACA官方考试说明,在线预览↓↓↓
ISACA-Exam-Candidate-Guide点击获取《ISACA考试认证手册(含CISA考试说明)》[PDF]
1、ISACA是什么机构?
答:ISACA( www.isaca.org )在全球140 多个国家拥有超过100000 名成员,是获得公认的IT管理、控制、安全及_上的全球_者。该组织成立于1969 年,主要负责主办国际会议和出版《信息系统控制期刊》(Information Systems Control Journal),制定国际信息系统查核和控制标准,负责CISA、CISM 、COBIT、CGEIT 、CDPSE等认证。
2、CISA认证适合什么样的情况?
答:CISA认证适用于信息系统审计人员、信息化咨询顾问、信息系统管理人员。
一般工作在企业内审或信息中心、管理咨询公司、较大的事务所(大所才有IT审计的项目)、信息安全厂商或服务提供商。重点集中在那些对信息化程度依赖较高、风险较大的行业,如:金融证券行业。
3、CISA认证对计算机或审计方面的要求?
答:对审计人员来说,CISA考试仅仅是将审计环境替换为在信息系统环境下。审计的理念和方法是一致的,核心还是多了解信息技术方面的内容,信息技术方面对审计师并不要求精通,考的较基础。反过来说,如果计算机方面有基础,可以把重点放在审计部分,特别是内审理念和思维方式的培养上。
4、CISA会员与非会员区别?
答:成为会员没有限制,只需要_次缴费注册费、官方会费、香港分会会费,然后以后每年按年度交会费,即可保持ISACA会员资格。
会员与非会员的区别如下:
会员:
①考试费报名优惠:参加官方大陆
②1小时的讲座(CISA基本介绍);
③可在官方免费下载一些资料(注:考试用书、教材辅导资料和习题等需要购买);
④可参加官方的活动赚取CPE(活动、做题等);订购官方书籍有优惠。
非会员:以上均无。
5、CISA考试主要考哪些内容?
答:主要有五个部分,分别是:
1)信息系统审计流程 (21%)—遵照 IT 审计标准提供审计服务,以帮助组织保护和控制其信息系统。
2)IT治理和管理 (17%)—用以确保具备必要的领导层、组织结构及流程来实现相关目标和支持组织战略。
3)信息系统购置、开发与实施 (12%)—用以确保信息系统的购置、开发、测试和实施实务符合组织的战略与目标。
4)信息系统的运营和业务恢复能力(23%)—用以确保信息系统的操作、维护与支持流程符合组织的战略与目标。
5)信息资产的保护 (27%)—用以确保组织的安全政策、标准、规程和控制能够_信息资产的机密性、完整性和可用性。
6、CISA每年有几次考试?国内考点分别是什么地方?
答:CISA是机考,可随约随考(提前1-4周做报考即可,对报考没有次数和时间上的限制),可以在全球授权的PSI线下考试中心进行在线考试(远程监考)。考生可以在网上报名,报名方式:登陆ISACA网站[http://www.isaca.org/],网上填写英文报名表,缴纳美元完成报考手续。考试前2-3周, 考生收到CISA考试入场券,艾威学员尊享全程代报名服务,详询艾威课程顾问。
全国20多个城市有考点,目前中国有以下城市覆盖PSI机考考场: 北京,上海,广州,深圳,成都,重庆,大连,杭州,济南,南京,沈阳,天津,西安,郑州,福州,合肥,长沙,宁波,南宁,温州,贵阳,香港,台湾,澳门。
7、参加CISA考试认证有没有资格上的要求?
答:参加考试无要求,但通过考试后申请证书需要满足工作经验要求才能获得CISA证书。
若想成为注册信息系统审计师,申请人必须:
1)取得 CISA 考试的及格分数。仅通过 CISA 考试,但是未能取得以下所列工作经验时,考试成绩只能维持五年有效。如果申请人未能在五年内达到 CISA 的认证要求,则考试成绩将失效。
2)提供从事信息系统审计、控制、鉴证或安全工作 5 年工作经验的确认证明表。工作经验必须在认证申请日之前的十年内,或_初通过考试之日起的五年内获得。
具有下列同等经验者,可按规定申请抵减,抵减额度_高为三年:
■ _多可以用 1 年的信息系统经验或一年非信息系统审计经验抵减一年的工作经验。
■ 完成 60-120 大学学分(相当于两年或四年大学学历),不受 10 年先前经验的限制,可以相应抵减一年或两年的工作经验。
■ 在开设 ISACA 模型课程的大学中获得学士或硕士学位可抵 1 年的工作经验。如果已经使用三年经验抵减和教育豁免的规定,则不能使用本项规定。
■ 从鉴定认可的大学的信息安全或信息技术专业毕业的硕士学位可抵减 1 年的工作经验。
例外:两年相关领域(例如,计算机科学、会计、信息系统审计等)内大学全职讲师工作经验可抵减一年的工作经验。
例如,做为_低要求(假设以 120 个大学学分来抵减两年的工作经验),申请人必须有三年的实际工作经验。该经验可以由以下方式来获得:
■ 三年信息系统审计、控制、鉴证或安全领域工作经验
或
■ 两年信息系统审计、控制、鉴证或安全领域工作经验再加上一年非信息系统审计或信息系统工作经验或两年全职大学讲师的经验。
需要特别注意的是,许多人都选择在达到经验要求之前参加 CISA 考试。此种做法是可以接受的,也是值得鼓励的,但 CISA 认证资格只有在达到所有要求之后才会授予。
3)同意遵守 ISACA 的《职业道德规范》
4)同意遵守 ISACA 所采用的《信息系统审计标准》
5)同意遵守《注册信息系统审计师继续职业教育政策(CPE)》
8、CISA考试要考几科,每科多少题目?
答:CISA考试只有一科,考题为150道单选题,试题可能会有两个甚至多个正确的答案,在考试中考生只要选中其中一个(只能选一个)你认为_优的答案就可以了。
9、CISA考试总分多少,多少分通过?
答:共计800分,450分通过。450分是指比例分数。举例来说:比例分数为800的代表满分,所有问题全部回答正确;比例分数为200的是_低分数,表示只回答对了其中少数问题。考生的分数必须达到450或更高才可以通过考试。450分代表由ISACA的CISA认证委员会所制定的_低的统一知识标准。
10、CISA考试的语种选择?
答:自2007年12月开始,ISACA有中文简体试卷。2011年3月份开始,ISACA有中文简体考试资料。考生在报名时可以选择自己喜欢或熟悉的语种。包括简体中文、繁体中文、英语、法语、德语、西班牙语、荷兰语、意大利语、日语、韩语文和希伯来语等多种考试语言,2023年新增葡萄牙语。
11、CISA如何领取准考证?
答:在CISA考试前2到3周,考生会收到来自 ISACA 的书面准考证以及电子准考证或直接上官网打印准考证。
准考证上标明了考试的日期、入场登记时间与考试地点、当天日程安排以及参加 CISA 考试必须携带的材料。考生可以凭借打印的电子准考证或准考证原件进入考场。除非联系信息发生变更,否则考生不应在准考证上涂写。
12、CISA报名后如果时间来不及,是否可以退款或缓考?
答:可以退款或缓考。无法参加考试的申请人可以在指定日期前要求退还报名费,退款中将扣除手续费。
考试报名者也可以在指定日期前选择将考试日期延至以后考试日。缓考费用根据申请缓考时间不同而不同。学习资料以及相关税款、邮资、处理费或会员费不予退还或退换。考试报名费和会员费不可转让。
13、应该如何选择CISA学习资料?
答:在辅导书上建议选用ISACA官方出版的《CISA Review Manual》,中文名称是《CISA考试复习手册》。教材每年更新。目前_新版是第27版。
14、CISA考试是笔试还是机考?
答:目前没有采用计算机考试,仍然是笔试涂写答题卡的方式。
15、CISA考试成绩如何公布?
答:考试之日起约四到八周,考生将接到邮寄的正式考试成绩通知。此外,如果考生在报名过程中注明同意,则我们还可以为考生发送电子邮件,其中包含考生及格/不及格的情况以及考试得分。
16. CISA报名之后官方如何审核资格?
答:考试通过后ISACA会在全球抽调5-10%进行审核,方式为:发送邮件给考试通过后工作经验证明签字人的邮箱,确认相关资。
17. 是不是一定需要CISA(审计)方面的工作经验才能拿到证书 ?
答:ISACA要求需要具备IT审计、安全、鉴证相关工作经验,_高学历或专业、或大学讲师资历可以抵消至二年工作经验,范围很大;
18. CISA考试难度如何 ?
答:难度因人而异,但整体的反馈是不难的,官方的通过律为45%左右,只要自己肯学就没问题。CISA是一个国际性的考试,中文或英文或其他语言,对于CISA只是一个考试语言种类的增加,难度并没有降低。不能说只要国际认证有了中文考试含金量就低了,认证考试的目的,一个是学习、一个是拿证,不要想拿了哪个证就能马上有多么好的工作。
以我现在的基础,考CISA能考几分?
CISA考试难不难?通过率怎么样? 预约模拟自测