“IT审计师”的意思、由来-中文百科全书

1什么是注册信息系统审计师CISA认证

注册信息系统审计师(Certified Information System Auditor，简称CISA)，也称IT审计师，是指一批专家级的人士，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。

注册信息系统审计师CISA(Certified Information System Auditor)资格由ISACA授予，是信息系统审计领域的唯一的职业资格，受到全世界的广泛认可。

信息系统审计与控制协会ISACA(Information System Audit and Control Association)就是从事计算机审计人员(IT审计师)组成的国际性专业组织，是唯一有权授予注册信息系统审计师资格的跨国界、跨行业的专业机构。该协会成立于1969年，总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会，现有会员两万多人。

凡通过CISA考试，在信息系统审计、控制或安全领域有5年的工作经验(在校生考试后5年内完成以上领域相关工作经验亦可申请：本科毕业折算为2年工作经验，研究生毕业折算为6年工作经验)，遵守ISACA的职业道德，提出CISA资格申请、并得到批准，即可取得CISA资格。

2注册信息系统审计师的作用

注册信息系统审计师在信息化社会中，为各单位筑起一道信息安全的壁垒。他们关注的问题主要有：

(1)信息安全。没有安全就没有一切，信息系统审计师会采用各种方法来测试系统的安全性，并对来自内部和外部的安全隐患提出相应对策;

(2)信息系统的稳定性。没有长期稳定性，信息系统就无法承担起激烈竞争的压力，信息系统审计师会提出一系列对策保证客户信息系统的万无一失。

(3)鉴别信息系统的有效性。最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统会消耗企业大量的资源，信息系统审计师的优势就是对财经管理和信息技术融会贯通，为企业信息系统的改造提供建议。

3 CISA考核要点和涉及知识

CISA考试要求应试者具有扎实的审计理论和审计实践经验，具有较丰富的企业运营及管理知识和经验，同时更要具有全面的、有一定深度的计算机信息系统方面的理论和实践经验。CISA考试分为信息系统审计和信息系统相关知识两个方面七大内容：

3.1信息系统审计程序(10%)

(1)考核要点。实施信息系统审计要与一般公认的信息系统审计标准和准则相一致，以确保对组织采用的信息技术和业务系统进行充分的控制、监控和评价。主要包括：审计计划和审计战略及目标;一般公认的审计标准;信息的收集和分析;风险管理和控制等。

(2)涉及知识。这部分考试涉及的主要知识有：有关信息系统审计的标准和准则;审计实务和技术;风险分析方法、原则和标准;战略和计划过程;信息系统及技术发展趋势;质量管理、财务管理和业务管理等。

考生必须具备现代审计理论和实务、企业管理、项目管理和信息系统及信息技术发展脉络方面的知识。

3.2信息系统的管理计划和组织(11%)

(1)考核要点。评价有关信息系统管理、计划和组织的战略、政策、标准、过程和有关实务。主要包括：评价信息系统战略和过程;评价信息系统政策、标准和过程的开发、部署和维护;评价信息系统组织和结构等。

(2)涉及知识。这部分考试涉及的主要知识有：有关信息系统战略、政策、标准和过程的主要实践;信息系统战略开发、部署和维护的方法和步骤;信息系统项目管理、风险管理、变动管理、质量管理、安全管理;信息系统组织结构和设计原则;软件质量管理等。

考生必须具备信息系统开发与管理、项目管理及软件工程方面的知识。

3.3技术基础和操作实务(13%)

(1)考核要点。评价组织技术和操作基础的实施及正在进行的管理的功效和效率，确保它们充分地支持组织的业务目标。主要包括：评价硬件的取得、安装和维护;评价系统软件和应用软件的获取、实施及维护;评价网络基础设施的获得、安装和维护;评价信息系统操作实务;评价系统执行和监控过程、工具和技术等。

(2)涉及知识。这部分考试涉及的主要知识有：有关硬件平台、系统软件和实用软件以及网络基础设施和信息系统操作实务的风险和控制;系统运行和监控过程、工具和技术;IT基础设施的获取、开发、实施和维护的过程;网络拓扑等知识。

考生必须具备一定的计算机硬件和软件、计算机网络(尤其是互联网等)基础和运行管理等方面的知识。

3.4信息资产的保护(25%)

(1)考核要点。评价逻辑的、环境的和IT基础设施的安全，确保系统满足组织的业务需求，保护信息资产以防非授权使用、泄露、修改、破坏和损失。主要包括：评价逻辑访问控制的设计、实施和监控;评价网络基础设施的安全;评价环境控制的设计、实施和监控;评价物理访问控制的设计、实施和监控等。

(2)涉及知识。这部分考试涉及的主要知识有：计算机访问控制原理和技术;物理安全控制;密码技术;网络安全概念;安全体系结构;安全评估工具;病毒及探测、预防和反应机制;黑客攻击方法和技术等。

考生必须具备扎实的计算机网络理论知识和实践经验、计算机加密解密技术、计算机病毒及网络黑客技术、计算机及网络安全体系结构方面的知识等。

3.5灾难恢复和业务持续计划(10%)

(1)考核要点。评价在系统发生不测时，为使业务运转和信息系统处理能正常进行，而采取的备份和恢复等措施。主要包括：文件及数据的备份和恢复机制;不测发生后保证组织业务持续进行和继续提供信息系统处理的能力等。

(2)涉及知识。这部分考试涉及的主要知识有：关于灾难恢复和业务持续的概念和方法、灾难恢复和业务持续技术等。

考生必须具备数据库理论中关于数据恢复技术和灾难应对措施方面的知识。

3.6业务应用系统的开发、取得、实施和维护(16%)

(1)考核要点。通过业务应用系统的开发、取得、实施和维护来评价采用的方法和过程，以确保与组织的业务目标一致。主要内容包括：对应用系统的开发、取得、实施和维护中采用技术和方法进行评价。

(2)涉及知识。这部分考试涉及的主要知识有：系统开发方法和工具;软件质量保证方法;程序设计原理和技术;系统实施后的评价技术等。

考生必须具备软件工程的理论及实务、各种程序设计技术、信息系统实施和评价等方面的知识。

3.7业务过程的评价和风险管理(15%)

(1)考核要点。评价业务系统和过程，确保风险被控制且与组织业务目标相一致。主要内容包括：通过诸如用基难测试程序测试、最优方法分析、业务流程重组(BPR)，评价信息系统支持业务过程的效率和效力，确保业务结果最优;评价自动化和手工控制的设计和实施;评价组织的风险管理和控制的实施等。

(2)涉及知识。这部分考试涉及的主要知识有：最优方法业务过程;业务过程控制;业务设计机构、管理和控制实务;业务流程设计、重组和改进的方法等。

考生必须具备企业管理、企业生产经营和电子商务方面的理论及实务知识。

4 信息系统审计师（CISA）考试指南

考试内容

信息系统审计过程（10%）

IT治理（15%）

系统及基础设施的生命周期管理（16%）

IT服务和交付（14%）

信息资产的保护（31%）

业务持续计划与灾难恢复计划（14%）

报名及考试时间

国内考试报名日期大约在每年的4月，考试日期大约在每年的6月，费用大约500-600美元

考试题型及语种选择

CISA 考题经过精心开发与维护，以便准确测试考生在信息系统审计、控制与安全实务方面的精通程度。考试题型为200道客观选择题，全部为笔答，换算后得分达到350分即可通过考试。由于 CISA证书为国际所认可，因此考试以如下几种语言进行：简体中文、繁体中文、英语、法语、德语、荷兰语、希伯来语、意大利语、日语、韩语、和西班牙语。

考试地点

我国目前共设5个考点，北京、上海、广州、深圳及南京。

报名条件

对于CISA考试的报考条件，ISACA未做严格的限制。但根据我们的经验，考生具备以下条件能够增加通过考试的机会：

1、大学专科以上，或在校本科生、研究生；

2、建议英语四级以上；

3、建议具备一定的审计知识和计算机知识（计算机基础知识、操作系统、网络、数据库、电子商务等）。

5 扩展阅读

IT审计师资格，2005年前全世界通过这项资格认证的有2万人，我国大陆地区不超过10个人，而且全部集中在国际著名会计师事务所。国内会计师所几乎没有具有该资格的人。

作为国内IT业的一员新贵，信息系统审计师(CISA)对于大多数人来讲，还是一个陌生的名词。但在国外，CISA证书早已同MCSE、CCEP等证书一样，成为追求高薪的人们争相追捧的对象了。

CISA是国际注册信息系统审计师的简称，又称IT审计师，是由信息系统审计与控制协会ISACA授予的一种职业资格。未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展，这一观点已经逐渐成为国外会计、审计界的一个共识。会计公司以及整个社会对信息系统审计师需求量将成倍地增长，信息系统审计师的地位也在不断提高。在国外一些大型会计公司中已经出现了没有CPA资格的合伙人，他们持有的专业资格就是CISA。

CISA的考试包括信息系统的安全与控制实务、信息系统的完整、保密和有效及信息系统软件的开发、取得与维护等五个方面，试卷的问答全部采用英文。目前参加一次CISA的考试，报名费与培训费用在5000元左右。

目前通过CISA认证在全球有2万人，中国内地不超过10人，而且全部都在国际五大会计公司、专业咨询机构和著名跨国公司担任要职，国内会计师事务所里还没有CISA。据专家介绍，CISA目前已经成为全球范围内最抢手的高级人才之一，在中国也正悄悄走热。

国际审计师在中国一直处于严重缺乏的状态。尽管国家目前还禁止国外会计师事务所进入国内企业的年度报表审计市场，但每年国际五大会计公司从中国的会计审计包括企业海外上市的承销、推广和ERP服务中获取几十亿美元的收入，IT审计业务是其中极为重要的一部分，而且比重在不断加大，而国内的会计审计行业在此项服务上的表现却几乎为零。可以预见，在未来的几年，拥有CISA证书，将成为“鱼跃龙门”的重要资格。

证书简介：最抢手的高级IT人才

国际信息系统审计师，简称IT审计师，是目前全球范围内最抢手的高级人才。此类人才一般都具备全面的计算机软硬件知识，对网络和系统安全有独特的敏感性，并且对财务会计和企业内部控制有深刻的理解。几乎所有的大型跨国公司，都非常重视对信息系统安全和稳定性的控制，需要聘请IT审计师进行内部审计。国际信息系统审计师证书由“国际信息系统审计和控制协会（ISACA）”组织考试颁发。自1978年以来，由信息系统审计与控制协会（ISACA）发起的国际信息系统审计师（CISA）认证已经成为持证人在信息系统审计、控制与安全等专业领域中取得成绩的象征，并逐步发展成全球公认的标准。

考试信息：

国际信息系统审计师（CISA）考试内容包括五个方面：信息系统审计准则与安全、信息系统的安全与控制实务；信息系统的组织与管理；信息系统的处理过程；信息系统的完整、保密和有效；信息系统软件的开发、取得与维护。该考试主要考察考生平时的知识积累和工作经验。此外，由于该考试设计知识面较广，信息技术的更新速度较快，因此，该考试不像其他专业资格考试那样有全面系统的教材，只有考试指南。CISA考试每年6月组织一次，考试时间为4个小时。目前确定的国内考试地点为北京、上海、广州。

记者评价：建议选择英文考试

因目前尚无中文考试辅导资料，而且信息系统审计最新发展的有关资料也大多是英文的，因此建议学员选择英文考试。但学员有选考中文的权利。

考试/证书本报评定

学历程度★★★★★　专业程度★★★★★

证书考核★★★★★　社会吸引★★★★★

证书权威★★★★★

词条	IT审计师
释义	注册信息系统审计师(Certified Information System Auditor，简称CISA)，也称IT审计师，是指一批专家级的人士，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。 1什么是注册信息系统审计师CISA认证 2注册信息系统审计师的作用 3 CISA考核要点和涉及知识 4 信息系统审计师（CISA）考试指南(考试内容报名及考试时间考试题型及语种选择报名条件) 5 扩展阅读 1什么是注册信息系统审计师CISA认证注册信息系统审计师(Certified Information System Auditor，简称CISA)，也称IT审计师，是指一批专家级的人士，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。注册信息系统审计师CISA(Certified Information System Auditor)资格由ISACA授予，是信息系统审计领域的唯一的职业资格，受到全世界的广泛认可。信息系统审计与控制协会ISACA(Information System Audit and Control Association)就是从事计算机审计人员(IT审计师)组成的国际性专业组织，是唯一有权授予注册信息系统审计师资格的跨国界、跨行业的专业机构。该协会成立于1969年，总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会，现有会员两万多人。凡通过CISA考试，在信息系统审计、控制或安全领域有5年的工作经验(在校生考试后5年内完成以上领域相关工作经验亦可申请：本科毕业折算为2年工作经验，研究生毕业折算为6年工作经验)，遵守ISACA的职业道德，提出CISA资格申请、并得到批准，即可取得CISA资格。 2注册信息系统审计师的作用注册信息系统审计师在信息化社会中，为各单位筑起一道信息安全的壁垒。他们关注的问题主要有： (1)信息安全。没有安全就没有一切，信息系统审计师会采用各种方法来测试系统的安全性，并对来自内部和外部的安全隐患提出相应对策; (2)信息系统的稳定性。没有长期稳定性，信息系统就无法承担起激烈竞争的压力，信息系统审计师会提出一系列对策保证客户信息系统的万无一失。 (3)鉴别信息系统的有效性。最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统会消耗企业大量的资源，信息系统审计师的优势就是对财经管理和信息技术融会贯通，为企业信息系统的改造提供建议。 3 CISA考核要点和涉及知识 CISA考试要求应试者具有扎实的审计理论和审计实践经验，具有较丰富的企业运营及管理知识和经验，同时更要具有全面的、有一定深度的计算机信息系统方面的理论和实践经验。CISA考试分为信息系统审计和信息系统相关知识两个方面七大内容： 3.1信息系统审计程序(10%) (1)考核要点。实施信息系统审计要与一般公认的信息系统审计标准和准则相一致，以确保对组织采用的信息技术和业务系统进行充分的控制、监控和评价。主要包括：审计计划和审计战略及目标;一般公认的审计标准;信息的收集和分析;风险管理和控制等。 (2)涉及知识。这部分考试涉及的主要知识有：有关信息系统审计的标准和准则;审计实务和技术;风险分析方法、原则和标准;战略和计划过程;信息系统及技术发展趋势;质量管理、财务管理和业务管理等。考生必须具备现代审计理论和实务、企业管理、项目管理和信息系统及信息技术发展脉络方面的知识。 3.2信息系统的管理计划和组织(11%) (1)考核要点。评价有关信息系统管理、计划和组织的战略、政策、标准、过程和有关实务。主要包括：评价信息系统战略和过程;评价信息系统政策、标准和过程的开发、部署和维护;评价信息系统组织和结构等。 (2)涉及知识。这部分考试涉及的主要知识有：有关信息系统战略、政策、标准和过程的主要实践;信息系统战略开发、部署和维护的方法和步骤;信息系统项目管理、风险管理、变动管理、质量管理、安全管理;信息系统组织结构和设计原则;软件质量管理等。考生必须具备信息系统开发与管理、项目管理及软件工程方面的知识。 3.3技术基础和操作实务(13%) (1)考核要点。评价组织技术和操作基础的实施及正在进行的管理的功效和效率，确保它们充分地支持组织的业务目标。主要包括：评价硬件的取得、安装和维护;评价系统软件和应用软件的获取、实施及维护;评价网络基础设施的获得、安装和维护;评价信息系统操作实务;评价系统执行和监控过程、工具和技术等。 (2)涉及知识。这部分考试涉及的主要知识有：有关硬件平台、系统软件和实用软件以及网络基础设施和信息系统操作实务的风险和控制;系统运行和监控过程、工具和技术;IT基础设施的获取、开发、实施和维护的过程;网络拓扑等知识。考生必须具备一定的计算机硬件和软件、计算机网络(尤其是互联网等)基础和运行管理等方面的知识。 3.4信息资产的保护(25%) (1)考核要点。评价逻辑的、环境的和IT基础设施的安全，确保系统满足组织的业务需求，保护信息资产以防非授权使用、泄露、修改、破坏和损失。主要包括：评价逻辑访问控制的设计、实施和监控;评价网络基础设施的安全;评价环境控制的设计、实施和监控;评价物理访问控制的设计、实施和监控等。 (2)涉及知识。这部分考试涉及的主要知识有：计算机访问控制原理和技术;物理安全控制;密码技术;网络安全概念;安全体系结构;安全评估工具;病毒及探测、预防和反应机制;黑客攻击方法和技术等。考生必须具备扎实的计算机网络理论知识和实践经验、计算机加密解密技术、计算机病毒及网络黑客技术、计算机及网络安全体系结构方面的知识等。 3.5灾难恢复和业务持续计划(10%) (1)考核要点。评价在系统发生不测时，为使业务运转和信息系统处理能正常进行，而采取的备份和恢复等措施。主要包括：文件及数据的备份和恢复机制;不测发生后保证组织业务持续进行和继续提供信息系统处理的能力等。 (2)涉及知识。这部分考试涉及的主要知识有：关于灾难恢复和业务持续的概念和方法、灾难恢复和业务持续技术等。考生必须具备数据库理论中关于数据恢复技术和灾难应对措施方面的知识。 3.6业务应用系统的开发、取得、实施和维护(16%) (1)考核要点。通过业务应用系统的开发、取得、实施和维护来评价采用的方法和过程，以确保与组织的业务目标一致。主要内容包括：对应用系统的开发、取得、实施和维护中采用技术和方法进行评价。 (2)涉及知识。这部分考试涉及的主要知识有：系统开发方法和工具;软件质量保证方法;程序设计原理和技术;系统实施后的评价技术等。考生必须具备软件工程的理论及实务、各种程序设计技术、信息系统实施和评价等方面的知识。 3.7业务过程的评价和风险管理(15%) (1)考核要点。评价业务系统和过程，确保风险被控制且与组织业务目标相一致。主要内容包括：通过诸如用基难测试程序测试、最优方法分析、业务流程重组(BPR)，评价信息系统支持业务过程的效率和效力，确保业务结果最优;评价自动化和手工控制的设计和实施;评价组织的风险管理和控制的实施等。 (2)涉及知识。这部分考试涉及的主要知识有：最优方法业务过程;业务过程控制;业务设计机构、管理和控制实务;业务流程设计、重组和改进的方法等。考生必须具备企业管理、企业生产经营和电子商务方面的理论及实务知识。 4 信息系统审计师（CISA）考试指南考试内容信息系统审计过程（10%） IT治理（15%）系统及基础设施的生命周期管理（16%） IT服务和交付（14%）信息资产的保护（31%）业务持续计划与灾难恢复计划（14%）报名及考试时间国内考试报名日期大约在每年的4月，考试日期大约在每年的6月，费用大约500-600美元考试题型及语种选择 CISA 考题经过精心开发与维护，以便准确测试考生在信息系统审计、控制与安全实务方面的精通程度。考试题型为200道客观选择题，全部为笔答，换算后得分达到350分即可通过考试。由于 CISA证书为国际所认可，因此考试以如下几种语言进行：简体中文、繁体中文、英语、法语、德语、荷兰语、希伯来语、意大利语、日语、韩语、和西班牙语。考试地点我国目前共设5个考点，北京、上海、广州、深圳及南京。报名条件对于CISA考试的报考条件，ISACA未做严格的限制。但根据我们的经验，考生具备以下条件能够增加通过考试的机会： 1、大学专科以上，或在校本科生、研究生； 2、建议英语四级以上； 3、建议具备一定的审计知识和计算机知识（计算机基础知识、操作系统、网络、数据库、电子商务等）。 5 扩展阅读 IT审计师资格，2005年前全世界通过这项资格认证的有2万人，我国大陆地区不超过10个人，而且全部集中在国际著名会计师事务所。国内会计师所几乎没有具有该资格的人。作为国内IT业的一员新贵，信息系统审计师(CISA)对于大多数人来讲，还是一个陌生的名词。但在国外，CISA证书早已同MCSE、CCEP等证书一样，成为追求高薪的人们争相追捧的对象了。 CISA是国际注册信息系统审计师的简称，又称IT审计师，是由信息系统审计与控制协会ISACA授予的一种职业资格。未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展，这一观点已经逐渐成为国外会计、审计界的一个共识。会计公司以及整个社会对信息系统审计师需求量将成倍地增长，信息系统审计师的地位也在不断提高。在国外一些大型会计公司中已经出现了没有CPA资格的合伙人，他们持有的专业资格就是CISA。 CISA的考试包括信息系统的安全与控制实务、信息系统的完整、保密和有效及信息系统软件的开发、取得与维护等五个方面，试卷的问答全部采用英文。目前参加一次CISA的考试，报名费与培训费用在5000元左右。目前通过CISA认证在全球有2万人，中国内地不超过10人，而且全部都在国际五大会计公司、专业咨询机构和著名跨国公司担任要职，国内会计师事务所里还没有CISA。据专家介绍，CISA目前已经成为全球范围内最抢手的高级人才之一，在中国也正悄悄走热。国际审计师在中国一直处于严重缺乏的状态。尽管国家目前还禁止国外会计师事务所进入国内企业的年度报表审计市场，但每年国际五大会计公司从中国的会计审计包括企业海外上市的承销、推广和ERP服务中获取几十亿美元的收入，IT审计业务是其中极为重要的一部分，而且比重在不断加大，而国内的会计审计行业在此项服务上的表现却几乎为零。可以预见，在未来的几年，拥有CISA证书，将成为“鱼跃龙门”的重要资格。证书简介：最抢手的高级IT人才国际信息系统审计师，简称IT审计师，是目前全球范围内最抢手的高级人才。此类人才一般都具备全面的计算机软硬件知识，对网络和系统安全有独特的敏感性，并且对财务会计和企业内部控制有深刻的理解。几乎所有的大型跨国公司，都非常重视对信息系统安全和稳定性的控制，需要聘请IT审计师进行内部审计。国际信息系统审计师证书由“国际信息系统审计和控制协会（ISACA）”组织考试颁发。自1978年以来，由信息系统审计与控制协会（ISACA）发起的国际信息系统审计师（CISA）认证已经成为持证人在信息系统审计、控制与安全等专业领域中取得成绩的象征，并逐步发展成全球公认的标准。考试信息：国际信息系统审计师（CISA）考试内容包括五个方面：信息系统审计准则与安全、信息系统的安全与控制实务；信息系统的组织与管理；信息系统的处理过程；信息系统的完整、保密和有效；信息系统软件的开发、取得与维护。该考试主要考察考生平时的知识积累和工作经验。此外，由于该考试设计知识面较广，信息技术的更新速度较快，因此，该考试不像其他专业资格考试那样有全面系统的教材，只有考试指南。CISA考试每年6月组织一次，考试时间为4个小时。目前确定的国内考试地点为北京、上海、广州。记者评价：建议选择英文考试因目前尚无中文考试辅导资料，而且信息系统审计最新发展的有关资料也大多是英文的，因此建议学员选择英文考试。但学员有选考中文的权利。考试/证书本报评定学历程度★★★★★　专业程度★★★★★ 证书考核★★★★★　社会吸引★★★★★ 证书权威★★★★★
随便看	许昌宗诚商标事务所许昌宗诚知识产权代理有限公司许昌淦许昌漯河钱币发现与研究许昌飓风宾馆许昌祺许长安许长爸许长城许长存许长锋许长革许长华许长建许长进许长利许长青许长荣许长太许长文许长贤许长兴许长智许长自然村许倡翊