CISA(Certified Information System Auditor),国际注册信息系统审计师,自1978年起,由国际信息系统审计和控制协会(ISACA)开始实施注册。CISA已经成为持证人在信息系统审计、控制与安全等专业领域中取得成就的象征，取得全球公认。 

以美国萨班斯（SOX）法案为代表的诸多国际标准对组织的IT审计工作提出了更高要求，在信息系统基础设施运营、信息资产保护、信息系统运维、业务连续性等方面，都要求IT经理和信息系统审计师必须掌握信息系统审计、控制与安全技术。

美国独立IT人力资源咨询公司调查中发现：在著名的39种技术注册中，CISA持有人获得的加薪幅度最高，平均为10%；而同期，所有注册的总平均值为6.8%。在亚洲，信息技术发展迅速，尤其中国经济的崛起，为CISA注册带来新的活力。

CISA信息系统审计师培训课程旨在培养这样一批专家给人士，通过学习，熟悉信息系统管理核心要义，掌握信息系统的软件、硬件、开发、运营、维护、管理和安全相关知识，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。CISA是专业管理咨询顾问真正的从业资质，表明其在IT审计、控制和安全方面取得了国际认可的专业身份，而组织拥有CISA专业人士表明其在职业发展中赢得竞争优势。目前通过CISA认证的全球超过12.9万人，中国大约有3000多人，大多在国际四大会计事务所、管理咨询机构和跨国公司担任要职。此外，CISA常见于软件供应商、大型国有企业和上市公司，银行、证券公司等大中型机构。

CISA注册所推广的技术及实务是在该领域中取得成功的奠基石。拥有CISA资格证书是持证人专业能力的展示，并成为专业程度的衡量基础。随着对信息系统审计、控制与安全专业人士需求量的增长，CISA已成为全球范围内个人与公司机构不可或缺的注册。CISA资格证书代表持证人以卓越的能力服务于公司并致力于信息系统审计、控制与安全领域。此外，它还会带来相当的职业与个人利益。

获得CISA资格证书有助于确立您作为一名合格的信息系统审计、控制和安全专业人才的声望。不论你是希望提高你的工作业绩还是得到职务升迁，拥有CISA资格证书都会使你拥有他人无法企及的竞争优势。

培训对象 

该课程的主要对象是希望成为真正的管理顾问式的专业人士，负责处理信息系统设计和运营方面的控制问题，特别是准备参加CISA注册考试的IT管理专业人员，包括但不限于： 

·CIO/高级IT经理/企业信息安全主管CSO/信息中心主任 

·信息系统审计专业人士、IT审计人员

·责信息系统安全管理和规划的经理及技术人员

·信息安全业内人士, IT或安全顾问人员

入学要求：

1、具备2年或者2年以上相关工作经验，便于更好的理解所学内容

2、遵守信息安全从业人士执业道德守则

课程大纲

Model    1The Process of Auditing Information Systems

IT Audit and Assurance Standards, Guidelines and Tools and Techniques

Risk assessment in an audit context

Control Objectives related to informationsystems

Audit planning and management techniques

Gathering information and preserving evidence

Reporting and communication techniques

Control Objectives and IS-Related Controls

Risk Assessment in an Audit Context

Audit Planning and Management Techniques

Reporting and Communication Techniques

Control Self-Assessment

Model    2:Governance and Management of IT

IT Governance Frameworks

IT strategy, policies, standards and procedures

Organizational structure roles and responsibilities related to IT

Quality Management systems

Maturity and business process re-engineering models

IT contracting strategies

Enterprise risk management

Process Improvement Models

IT Contracting Strategies

Monitoring and Reporting IT Performance

IT Human Resource Management

Business impact analysis

Business continuity planning

Model    3: Information Systems Acquisition, Development, and Implementation

Benefits realization practices

Project governance mechanisms

Project management control frameworks, practices and tools

Risk management practices

Requirements analysis and management practices

System development methodologies and tools

Configuration and release management

System migration and infrastructure deployment practices

Post-implementation review objectives and practices

Model    4 Information Systems Operations, Maintenance and Support

Service level management practices

Operations management

Technology concepts related to networks, system software and database management systems

System resiliency tools and techniques

Database administration practices

Capacity planning and monitoring techniques

Problem and incident management practices

Disaster recovery plans and testing methods

Model    5— Protection of Information Assets

Security controls

Security incidents

Logical access controls

Network security controls

Network and Internet security

Attack methods and techniques

Security testing techniques

Encryption related technologies

PKI components and digital signature techniques

Security of mobile and wireless devices

Voice communications security

Data classification schemes

Physical access controls

Environmental protection devices

Process and procedures for information assets

CISA考试日期：

为了带来更加便利的考试体验，自2017年开始ISACA将考试改为机考形式（CBT），全国20多个城市有考点。

全年安排多个考试时间窗口。

2018年CISA/ CISM/ CGEIT / CRISC 考试全年有三个考试时间窗口，具体时间节点如下：

CISA考试形式：纸质闭卷

2017年起CISA考试为在线机考，4个小时内完成150道单选题。

获得标准分450分通过（原始分换算成标准分范围200分到800分）。少数题目作为实验题目，不计分。

试题涉及ISACA公布考纲中的知识领域，但不会按范畴分类。试题覆盖广泛不会特别关注某些系统或软件。考生需根据公认的信息系统审计原则给予正确答案。

CISA考纲

CISA认证介绍：

CISA(Certified Information System Auditor),国际注册信息系统审计师,自1978年起,由国际信息系统审计和控制协会(ISACA)开始实施注册。迄今为止，全球已有超过50000人获得CISA资质。CISA注册已经得到了全球信息系统审计、控制和安全领域的广泛认可。

获得CISA认证资格的要求：

若想获得CISA认证，申请人需要：

顺利通过CISA的考试

遵守国际信息系统审计与控制协会的《职业道德准则》

提出申请并提供从事信息系统审计、控制与安全工作5年以上同等工作经验的证明。

CISA资质维护要求：
获得CISA证书后，为了维持CISA资格证书，持证人必须履行继续职业教育政策，并遵守ISACA协会的《职业道德准则》。这些计划有助于保证CISA持证人能够与业内先进技术的发展保持同步，并展示较高的职业原则。

要求CISA持证人获得并提供最低限度的继续教育（CPE）学时，并每年支付维持费。
每年最低应达到并报告20个CPE学分
每三年为一个报告期内，在一个报告期内最低应达到并报告120个CPE学分
被选中参加年度审查时，必须响应并提交参加继续职业教育活动的所需文件记录

问:CISA的考试日期与考场？

答：为了带来更加便利的考试体验，自2017年开始ISACA将考试改为机考形式（CBT），全国20多个城市有考点，全年安排3个考试时间窗口（5月1-6月30日，8月1日-9月30日，11月1日-12月31日），在三个时间窗口中每周安排6个考试日。考生提前预约考试。

问:参加CISA考试必须具备哪些要求？

答：参加CISA考试前需要提供从事信息系统审计、控制与安全工作5年以上经验的证明。具有下列同等经验，可申请免除该项经验，并应获得如下证明：

1年以下的信息系统审计、控制与安全工作的经验可用如下资历相抵：

·满1年的审计工作经验，或

·满1年的信息系统工作经验，和/或

·具有大专学历（大学60个学分或同等学历）

2年的信息系统审计、控制与安全工作的经验可用学士学位（大学120个学分或同等学历相抵）。

2年的信息系统审计、控制与安全工作的经验可用1年相关领域（计算机科学、会计、信息系统审计等）内从事大学专职讲师的经验相抵。无最高年限（即6年大学讲师经验等同于3年信息系统审计、控制与安全工作的经验）

专业经验必须在申请前的10年之内获得，或在第一次通过考试之日的前5年之内。注册申请必须在通过CISA考试的5年之内提出。所有专业经验都必须由原雇主独立地确认。

问：CISA考试采取何种形式？

答：CISA考试自2016年6月考试开始从200道题目变为150道题目，要求考生在4小时内完成150道单选题。考试满分为800分，450分通过。ISACA会根据考试情况控制每题的加权分来调整通过的人数。

问：CISA考试采用何种语言？

答：CISA考试提供简体中文、英文等考试语言，考生可以任选其中一种。一般我们建议考生选择简体中文考试。据2006年6月CISA考试的数据显示，在参加大陆地区考试的519名考生中，选择中文试卷的考试通过率为42%，英文的通过率为16%。

问：CISA的报名方式是如何的？

答：网上报名方式：登陆ISACA网站[http://www.isaca.org/cisaexam]，网上填写英文报名表，缴纳美元完成报考手续。考试前2-3周,考生收到CISA考试入场券

问：新申请ISACA会员所需费用？

答：为如下三部分之和

(1)ISACA会员年费。

(2)本地分会年费，每年一缴。因申请人所处地理位置不同而异。目前中国大陆无ISACA分会，可选择香港分会年费。

(3)一次性收取新入会手续费。

问：何时知道CISA考试的成绩？

答：一般是考试日8周后，ISACA会E-Mail通知考生，请注意查收。

问：我报名参加了CISA考试，何时能拿到准考证？在哪里拿？是否CISA会直接寄到我通讯地址？

答：考试之前两周，ISACA通过电子邮件，将准考证(CISAExamAdmissionTicket)发往考生在考试报名表上登记的首选联系地址和电子邮箱。该准考证载明考生的姓名、考生编号和考场地点等信息。经email发来的准考证，打印出来。如果考前一周还没收到，请速与ISACA联系。

问：CISA教材每年都有变化吗？

答：CISA考试教材：CISAREVIEWMANUAL，每年会有更新，书名以年份为版本。CISA考试参考资料:CISAQuestions,Answers&Explanations，每年增加100道题，或以Supplement单行本的形式发行，或集成到上年的题集(CISAQuestions,Answers&Explanations)中，以CD光盘形式发行。

问：CISA职业道德规范是什么？

答：信息系统审计与控制协会（ISACA）制定了职业道德规范，以指导ISACA会员和注册信审师（CISA）的执业行为与个人行为。

信审师应当：

支持与信息系统相关的标准、流程和控制措施的实行，并鼓励遵守相应规范。

以勤勉、忠诚和诚实的态度为有关团体的利益服务，不应有意参与任何违法或不当的活动。

保守在工作过程中所获信息的隐私性和机密性，除非法律部门要求披露该信息。此类信息不应为个人利益而使用，也不应向不适当的团体透露。

执业过程中应保持独立和客观的态度，并且应当避免任何有损独立性和客观性的活动，或有可能使其独立性和客观性受损的活动。

在审计与信息系统控制等相关领域中保持胜任能力。

允诺只从事那些专业能力所及的活动。

以严谨的执业态度执行工作任务。

向相关团体告知执行信息系统审计和/或控制工作的结果，并向他们告知所有重大事实，即那些如果不透露就会导致曲解业务报告或隐藏不法行径的材料。

支持客户、同事、公众、管理层和董事会的职业教育，增进他们对信息系统审计与控制专业的了解。维持高水平的行事风范和品性，不做有损职业声誉的行为。