感谢您发送咨询!我们的团队成员将很快与您联系。
感谢您发送预订!我们的团队成员将很快与您联系。
课程大纲
目标:
最终目标是第一次通过 CISA 考试。
资讯系统审计流程 (21%)
按照IT审计标准提供审计服务,协助组织保护和控制信息系统。
- 1.1 制定和实施符合IT审计标准的基于风险的IT审计策略,以确保包括关键领域。
- 1.2 计划具体的审计,以确定资讯系统是否受到保护、控制并为组织提供价值。
- 1.3 按照IT审计标准进行审计,以达到计划的审计目标。
- 1.4 报告审计结果并向主要利益相关者提出建议,以在必要时传达结果并实施变革。
- 1.5 进行跟进或准备状态报告,以确保管理层及时采取适当行动。
IT 的治理和 Management (17%)
确保必要的领导力、组织结构和流程到位,以实现目标并支持组织的策略。
- 2.1 评估IT治理结构的有效性,以确定IT决策、方向和绩效是否支持组织的策略和目标。
- 2.2 评估IT组织结构和人力资源(人事)管理,以确定它们是否支持组织的策略和目标。
- 2.3 评估 IT 策略,包括 IT 方向,以及策略制定、批准、实施和维护的流程,以与组织的策略和目标保持一致。
- 2.4 评估组织的 IT 政策、标准和程序及其开发、批准、实施、维护和监控流程,以确定它们是否支援 IT 策略并符合法规和法律要求。
- 2.5 评估品质管理系统的充分性,以确定是否以成本有效的方式支持组织的策略和目标。
- 2.6 评估 IT 管理和控制监控(例如,持续监控、QA)是否符合组织的政策、标准和程序。
- 2.7 评估 IT 资源投资、使用和分配实践,包括优先标准,以与组织的策略和目标保持一致。
- 2.8 评估 IT 承包策略和政策以及合约管理实践,以确定它们是否支援组织的策略和目标。
- 2.9 评估风险管理实践,以确定组织的 IT 相关风险是否适当管理。
- 2.10 评估监控和保证做法,以确定董事会和执行管理层是否收到有关IT绩效的充分和及时的资讯。
- 2.11 评估组织的业务连续性计划,以确定组织在 IT 中断期间继续基本业务运作的能力。
资讯系统取得、开发和实施 (12%)
确保资讯系统的取得、开发、测试和实施的实践符合组织的策略和目标。
- 3.1 评估在资讯系统购置、开发、维护和随后的报废方面的拟议投资的商业案例,以确定其是否符合业务目标。
- 3.2 评估专案管理实践和控制措施,以确定在管理组织风险的同时是否以具有成本效益的方式实现业务需求。
- 3.3 进行审查,以确定专案是否按照专案计划进行,是否有充分的文件支援,以及状态报告是否准确。
- 3.4 在需求、取得、发展和测试阶段评估资讯系统的控制是否符合组织的政策、标准、程序和适用的外部要求。
- 3.5 评估资讯系统实施和迁移到生产的准备情况,以确定专案可交付成果、控制和组织的要求是否已满足。
- 3.6 对系统进行实施后审查,以确定是否符合专案可交付成果、控制和组织的要求。
资讯系统运营和 Business 弹性 (23%)
确保资讯系统操作、维护和支援流程符合组织的策略和目标。
- 4.1 对资讯系统进行定期审查,以确定它们是否继续满足组织的目标。
- 4.2 评估服务级别管理实践,以确定是否定义和管理内部和外部服务提供者的服务级别。
- 4.3 评估第三方管理实践,以确定提供者是否遵守了组织预期的控制水准。
- 4.4 评估操作和最终使用者程式,以确定是否管理计划和非计划过程以完成。
- 4.5 评估资讯系统维护流程,以确定它们是否有效控制并持续支持组织的目标。
- 4.6 评估数据管理实践,以确定资料库的完整性和优化。
- 4.7 评估容量和效能监控工具和技术的使用情况,以确定 IT 服务是否符合组织的目标。
- 4.8 评估问题和事件管理实践,以确定事件、问题或错误是否得到及时记录、分析和解决。
- 4.9 评估变更、配置和发布管理实践,以确定对组织生产环境的计划和非计划变更是否得到充分控制和记录。
- 4.10 评估备份和恢复规定是否充分,以确定恢复处理所需资讯的可用性。
- 4.11 评估组织的灾难复原计划,以确定其是否能够在灾难发生时恢复 IT 处理能力。
保护资讯资产 (27%)
确保组织的安全策略、标准、程序和控制确保资讯资产的机密性、完整性和可用性。
- 5.1 评估资讯安全政策、标准和程式的完整性,并与公认的做法保持一致。
- 5.2 评估系统和逻辑安全控制的设计、实施和监控,以验证资讯的机密性、完整性和可用性。
- 5.3 评估资料分类过程和程序的设计、实施和监控,以符合组织的政策、标准、程序和适用的外部要求。
- 5.4 评估物理访问和环境控制的设计、实施和监测,以确定资讯资产是否得到充分保护。
- 5.5 评估用于存储、检索、传输和处置资讯资产(例如,备份介质、异地存储、硬拷贝/列印数据和软拷贝介质)的过程和程式,以确定信息资产是否得到充分保护。
要求
- 5 年 IT 审计或安全领域的专业经验
- 资讯技术运营、资讯技术业务支援和内部控制领域的基础知识。
如果候选人拥有学士学位,则可以将所需的工作经验缩短到 4 年,如果他拥有硕士学位,则可以缩短到 3 年。
您可以在未满足工作经验要求的情况下参加考试。但是,这是必须在参加考试之日起 5 年内满足的条件。 如果您在 5 年内没有完成此操作,您的考试及格分数将被视为无效。
观众
- 核 数 师
- IT 系统审计员
- IT 基础架构经理,
- 风险管理或业务连续性经理,
- 负责IT 管理各个方面的人员
28 小时
客户评论 (3)
Questions, that helps me a lot to understand the characteristics of CRISC examination.
Masakazu Yoshijima - Bank of Yokohama, Ltd.
课程 - CRISC - Certified in Risk and Information Systems Control
The training was excellent, than you Ditmar.
Maria Gagliardi - EY Global Services (Poland) Sp. z o.o.
课程 - CISSP - Certified Information Systems Security Professional
I liked the in-depth knowledge about the subject of the trainer, good explanation, highlighting important things!.