课程大纲

目标:

最终目标是第一次通过 CISA 考试。

 

信息系统审计流程 (21%)

按照IT审计标准提供审计服务,协助组织保护和控制信息系统。

  • 1.1 制定和实施符合IT审计标准的基于风险的IT审计策略,以确保包括关键领域。
  • 1.2 计划具体的审计,以确定信息系统是否受到保护、控制并为组织提供价值。
  • 1.3 按照IT审计标准进行审计,以达到计划的审计目标。
  • 1.4 报告审计结果并向主要利益相关者提出建议,以在必要时传达结果并实施变革。
  • 1.5 进行跟进或准备状态报告,以确保管理层及时采取适当行动。

IT 的治理和 Management (17%) 

确保必要的领导和组织结构和流程到位,以实现目标并支持组织的战略。

  • 2.1 评估 IT 治理结构的有效性,以确定 IT 决策、方向和绩效是否支持组织的战略和目标。
  • 2.2 评估IT组织结构和人力资源(人事)管理,以确定它们是否支持组织的战略和目标。
  • 2.3 评估 IT 战略,包括 IT 方向,以及战略制定、批准、实施和维护的流程,以与组织的战略和目标保持一致。
  • 2.4 评估组织的 IT 策略、标准和程序,以及其开发、批准、实施、维护和监控的流程,以确定它们是否支持 IT 战略并符合法规和法律要求。
  • 2.5 评估质量管理体系的充分性,以确定它是否以具有成本效益的方式支持组织的战略和目标。
  • 2.6 评估 IT 管理和控制监控(例如,持续监控、QA)是否符合组织的政策、标准和程序。
  • 2.7 评估信息技术资源投资、使用和分配做法,包括优先排序标准,以符合组织的战略和目标。
  • 2.8 评估 IT 承包战略和政策以及合同管理实践,以确定它们是否支持组织的战略和目标。
  • 2.9 评估风险管理实践,以确定组织的 IT 相关风险是否得到妥善管理。
  • 2.10 评估监控和保证做法,以确定董事会和执行管理层是否收到有关IT绩效的充分和及时的信息。
  • 2.11 评估组织的业务连续性计划,以确定组织在 IT 中断期间继续基本业务运营的能力。

信息系统获取、开发和实施 (12%)

确保信息系统的获取、开发、测试和实施实践符合组织的战略和目标。

  • 3.1 评估在信息系统购置、开发、维护和随后的报废方面的拟议投资的商业案例,以确定其是否符合业务目标。
  • 3.2 评估项目管理实践和控制措施,以确定在管理组织风险的同时是否以具有成本效益的方式实现业务需求。
  • 3.3 进行审查,以确定项目是否按照项目计划进行,是否有充分的文件支持,以及状态报告是否准确。
  • 3.4 在需求、采购、开发和测试阶段评估信息系统的控制措施,以符合组织的政策、标准、程序和适用的外部要求。
  • 3.5 评估信息系统的实施和迁移到生产的准备情况,以确定是否满足项目可交付成果、控制和组织要求。
  • 3.6 对系统进行实施后审查,以确定是否满足项目可交付成果、控制和组织要求。

信息系统运营和 Business 弹性 (23%)

确保信息系统操作、维护和支持流程符合组织的战略和目标。

  • 4.1 对信息系统进行定期审查,以确定它们是否继续满足组织的目标。
  • 4.2 评估服务级别管理实践,以确定是否定义和管理内部和外部服务提供商的服务级别。
  • 4.3 评估第三方管理实践,以确定提供者是否遵守了组织预期的控制水平。
  • 4.4 评估操作和最终用户程序,以确定是否管理计划和非计划过程以完成。
  • 4.5 评估信息系统维护过程,以确定它们是否得到有效控制并继续支持组织的目标。
  • 4.6 评估数据管理实践,以确定数据库的完整性和优化。
  • 4.7 评估容量和性能监控工具和技术的使用情况,以确定信息技术服务是否符合组织的目标。
  • 4.8 评估问题和事件管理实践,以确定事件、问题或错误是否得到及时记录、分析和解决。
  • 4.9 评估变更、配置和发布管理实践,以确定对组织生产环境所做的计划和非计划更改是否得到充分控制和记录。
  • 4.10 评估备份和恢复规定是否充分,以确定恢复处理所需信息的可用性。
  • 4.11 评估组织的灾难恢复计划,以确定它是否能够在发生灾难时恢复 IT 处理能力。

保护信息资产 (27%)

确保组织的安全策略、标准、程序和控制措施确保信息资产的机密性、完整性和可用性。

  • 5.1 评估信息安全政策、标准和程序的完整性,并与公认的做法保持一致。
  • 5.2 评估系统和逻辑安全控制的设计、实施和监控,以验证信息的机密性、完整性和可用性。
  • 5.3 评估数据分类流程和程序的设计、实施和监控,以符合组织的策略、标准、程序和适用的外部要求。
  • 5.4 评估物理访问和环境控制的设计、实施和监测,以确定信息资产是否得到充分保护。
  • 5.5 评估用于存储、检索、传输和处置信息资产(例如,备份介质、异地存储、硬拷贝/打印数据和软拷贝介质)的过程和程序,以确定信息资产是否得到充分保护。

要求

  • 5 年IT审计或安全领域的专业经验
  • 信息技术
  • 运营、信息技术业务支持和内部控制领域的基础知识。

如果候选人拥有学士学位,则可以将所需的工作经验缩短到 4 年,如果拥有硕士学位,则可以将所需的工作经验缩短到 3 年。

您可以参加未满足工作经验要求的考试。但是,这是自参加考试之日起 5 年内必须满足的条件。 如果您在 5 年内没有完成此操作,您的考试及格分数将被视为无效。 

观众

  • 核 数 师
  • IT系统审计员
  • IT 基础架构经理,
  • 风险管理或业务连续性经理,
  • 负责 IT 管理各个方面的人员
  28 小时
 

人数


开始

完结


Dates are subject to availability and take place between 09:30 and 16:30.
Open Training Courses require 5+ participants.

客户评论 (4)

相关课程

CISA - Certified Information Systems Auditor

  28 小时

注册信息安全专业人员CISP-CISE认证

  35 小时

课程分类