CISA全球统考一共只有一门考试,,为200道单项选择题,共100分,通过一种算法(线性转换)折算后75分以上通过。
CISA考试每年举行两次,分别为每年的六月和十二月的第二周星期六,六月中国学员可以选择中文或英文考试,十二月考试暂时只能选择英文,在中国考试从上午九点开始,共考四个小时,13点结束。
CISA考试大纲包括七部分内容,各自所占比例如下:
1、信息系统的管理、规划和组织(占11%)
2、技术构架和运营实务(占13%)
3、信息资产的保护(占25%)
4、灾难恢复和持续运营(占10%)
5、商业应用系统开发、获得、实施和维护(占16%)
6、商业运营评估和风险管理(占15%)
7、信息系统审计程序(占10%)
信息系统的管理、规划和组织
* 评估信息系统战略及其开发、布置、维护的过程,以确保符合机构的商业的目标
* 评估信息系统政策、标准和过程
* 评估信息系统管理实务
* 评估信息系统组织和结构,确保恰当、充分地支持机构的商业要求
* 评估第三方服务商的选择和管理,确保其支持信息系统战略
技术构架和运营实务
* 评估硬件的采购、安装和维护,确保有效地、有用地支持组织的信息系统处理和商业需求并符合组织战略
* 评估系统软件和工具的开发/采购、实施和维护,保证切实支持机构的信息系统处理和商业要求,符合组织的战略
* 评估网络框架的获取、安装和维护,确保充分有效地支持机构的信息系统处理和商业要求
* 评估信息系统运营实践,确保用来支持组织的信息系统处理和商业需求的技术资源的有效地、有用地利用
* 评估系统性能和监控过程、工具和技术的使用,确保计算机系统持续满足组织的商业目标
信息资产的保护
* 评估逻辑访问控制的设计、实施和监控,确保信息资产的完整、保密和可用
* 评估网络框架的安全,保证网络和被传输信息的保密、可用和经过授权使用
* 评估环境控制的设计、实施和监控,以避免和/或减少潜在的损失
* 评估物理访问控制的设计、实施和监控,确保资产和设备的保护程度满足组织的商业目标
灾难恢复和持续运营
* 评估备份和恢复规定的充分性,确保正常信息遇到短期中断和/或需要重运行或重处理时的再恢复
* 评估在主要信息处理设备部不能用时组织持续提供信息系统处理能力的能力
* 评估组织在商业中断时保证商业连续性的能力
商业应用系统开发、获得、实施和维护
* 评估应用系统被开发和实施的过程,确保其满足达到组织的商业目标
* 评估应用系统被采购和实施的过程,确保其满足达到组织的商业目标
* 评估应用系统被维护的过程,确保其满足达到组织的商业目标
商业运营评估和风险管理
* 评估信息系统通过基准、最好实务分析或商业过程再工程等支持商业过程的效率和效果,确保优化商业结果
* 评估程序化的和手工的控制的设计和实施,确保商业过程确定的风险在可接受的水平
* 评估商业过程改变计划,确保其被适当地组织、配备人员、管理和控制
* 评估组织风险管理和治理的实施
信息系统审计程序
* 依照公认的规范,制定和实施基于风险的审计战略和目标,以确保机构的信息技术和商业系统得到充分控制、监察和评估,并与机构的商业目标保持一致
* 仔细规划审计步骤,以保证达到既定的信息系统审计的战略和目标
* 为达到审计目标,获取充分、可靠、对应和有用的证据
* 检查已完成的工作,证实审计目的是否已达到
* 把审计结论传递给机构合伙人
* 推动机构内的风险管理和控制实践的工作
