آشنایی با مدرک CISA (حسابرس سیستم های اطلاعاتی) و سرفصل دامنه های آن
Certified Information Systems Auditor و یا به اختصار CISA یک مدرک مورد علاقه برای افرادی است که در حوزه امنیت فن آوری اطلاعات و حسابرسی امنیت فعالیت می کنند. این مدرک توسط (ISACA) پشتیبانی می شود. برای دریافت این مدرک باید آزمون CISA را با موفقیت پشت سر بگذارید.
آزمون CISA
آزمون CISA متشکل از یک آزمون ۴ ساعته است که ۲۰۰ سوال چند گزینه ای را در چهار زمینه عملی پوشش می دهد. برای قبولی در آزمون CISA فرد باید نمره ای بیش از ۴۵۰ یا بالاتر دریافت کند. برای پاسخ های اشتباه هیچ نمره منفی وجود ندارد.
فهرست محتوای آزمون CISA
اولین چیزی که باید در مورد آزمون CISA بدانید پنج حوزه است. این به نحوه سازماندهی یا تقسیم محتوای آزمون به پنج بخش مختلف اشاره دارد. درصد مطالب در امتحان تحت پوشش هر بخش اخیراً با به روزرسانی های ۲۰۱۹ تغییر کرده است. این دامنه ها با میزان پوشش مطالب در زیر لیست شده اند:
- فرآیند حسابرسی سیستم اطلاعات (۲۱ درصد)
- حاکمیت و مدیریت فناوری اطلاعات (۱۷ درصد)
- سیستم های اطلاعاتی، کسب، توسعه و پیاده سازی (۱۲ درصد)
- عملیات سیستم های اطلاعاتی و تاب آوری تجارت (۲۳ درصد)
- حفاظت از دارایی های اطلاعاتی (۲۷ درصد)
قبلاً شش دامنه وجود داشت اما این دامنه ها در بروز رسانی سال ۲۰۱۱ تغییر یافت و مطالبی که در آن دامنه ششم بود در دامنه های دیگر قرار گرفت (عمدتا ۴ و ۵). هر دامنه مملو از اطلاعات است (مخصوصاً دو مورد آخر). بنابراین، مهمتر است که آنها را بیشتر بشکنید تا درک درستی از آنچه در آن است انجام دهید.
بیشتر کتابها و راهنما های مطالعه عمیقاً شما را به زیر دامنه ها یا دسته های هر دامنه می برند. بیایید نگاهی عمیق تر به هرکدام از این دامنه ها بیندازیم تا بتوانید درک بیشتری از مواردی که در این آزمون شامل می شود را بدست بیاورید درک کنید.
دامنه های پوشش داده شده در مدرک CISA:
۱.فرآیند حسابرسی سیستم های اطلاعاتی
دامنه اول نحوه ارائه خدمات حسابرسان IT را مطابق با استانداردهای حسابرسی IT برای کمک به سازمان در محافظت و کنترل سیستم های اطلاعاتی در بر می گیرد. این بخش در مورد منشور حسابرسی و آنچه در آن است، و مراحل برنامه ریزی حسابرسی صحبت می کند.
پس از آن، وظایف شامل تدوین و اجرای استراتژی حسابرسی IT مبتنی بر ریسک، برنامه ریزی و انجام حسابرسی و گزارش یافته ها است. شما باید بیش از چگونگی پاسخ به سوالات اساسی بدانید. علاوه بر این، شما باید نشان دهید که می دانید چگونه از این مقررات و استانداردها در یک محیط کار واقعی استفاده کنید.
همچنین، از داوطلبان انتظار می رود که استانداردهای ممیزی و اطمینان IT ISACA، دستورالعمل ها و ابزارها و فنون، کد اخلاق حرفه ای و سایر استانداردهای قابل اجرا را بدانند. شما باید S1 ، S2 ، S4 ، S9 و S10 را به خاطر بسپارید. استانداردهای S12 از طریق S16 در سال ۲۰۱۱ به CISA اضافه شد و شما باید S12 ، S13 و S14 را بشناسید.
هفت حوزه وجود دارد که باید در مورد دامنه ۱ درک کنید:
- مدیریت عملکرد حسابرسی IS
- استانداردها و دستورالعمل های حسابرسی و اطمینان IT ISACA
- تحلیل ریسک
- کنترل های داخلی
- انجام ممیزی IS
- خودارزیابی را کنترل کنید
- فرآیند حسابرسی تحول یافته IS
۲. حاکمیت و مدیریت IT
دامنه دوم شامل چگونگی اطمینان حسابرسان فناوری اطلاعات از وجود ساختار سازمانی و فرایندهای لازم است. این بخش همچنین شامل بخشهایی از بخش Business Continuity است که قبلاً در دامنه ۶ قدیمی وجود داشت.
به عنوان مثال، ممیزان باید اثربخشی ساختار حاکم بر فناوری اطلاعات، ساختار سازمانی، مدیریت منابع انسانی و سیاست ها و استانداردها را ارزیابی کنند تا مشخص شود که آیا آنها از استراتژی ها و اهداف سازمان حمایت می کنند یا خیر.
شما باید تعریفی را برای حاکمیت شرکتی بدانید ، ISO 26000 چیست، اصول حاکمیت شرکتی OECD چیست و حاکمیت IT چیست. به طور خلاصه، ITG به دو موضوع توجه دارد: چه مواردی وجود دارند و چه عواملی باعث تحریک آنها می شوند؟
۳. اکتساب IS، توسعه و اجرای آن
دامنه سوم چگونگی اطمینان حسابرسان فناوری اطلاعات از اینکه حسابرسان فناوری اطلاعات برای دستیابی، توسعه، آزمایش و اجرای IS را با استراتژی ها و اهداف سازمان مطابقت دارند فراهم می کند. مباحث زیادی پیرامون مدیریت پروژه و مدیریت/تحقق تجارت در این بخش وجود خواهد داشت.
به عنوان مثال، شما باید تفاوت بین مدیریت نمونه کارها و مدیریت برنامه را بدانید. شما باید سه شکل عمده همسو سازی سازمانی را بدانید، و می خواهید نقش ها و مسئولیت های هدایت پروژه، از جمله موارد دیگر را بدانید. همانطور که در زیر بیان شده است، یک بخش کامل در مورد توسعه برنامه های تجاری وجود دارد و شما باید بدانید که به عنوان مثال خطرات عمده هر پروژه توسعه نرم افزار چیست و آزمایش فاز در آن آغاز می شود.
وظایف شامل ارزیابی سرمایه گذاری های پیشنهادی برای کسب IS، توسعه، نگهداری و بازنشستگی بعدی، ارزیابی شیوه ها و کنترل های مدیریت پروژه و انجام بررسی ها است. مهمتر از همه، شما می خواهید مناطق ذکر شده در زیر را مطالعه کنید تا زمانی که از توانایی خود در پاسخ دادن به سوالات عملی در مورد این موضوعات در یک محیط کار بالقوه اطمینان داشته باشید.پیدا کردید که یک دامنه را کاملاً می دانید، باید به دامنه بعدی بروید.
۴. عملیات، نگهداری و پشتیبانی IS
در دامنه ۴ شما باید اطمینان حاصل کنید که فرایندهای عملیات، نگهداری و پشتیبانی سیستم های اطلاعاتی با استراتژی ها و اهداف سازمان مطابقت دارند. بخشهایی در مورد بازیابی حادثه Disaster Recovery وجود دارد و مهم است که بدانید در صورت از دست دادن داده ها چه کاری باید انجام دهید، از دست دادن امکانپذیر است و نحوه مدیریت این مسئله باید وجود داشته باشد.
به طور خاص، شامل انجام بررسی های دوره ای IS و ارزیابی مانند روش های مدیریت سطح خدمات، عملیات و رویه های کاربر نهایی و روند نگهداری سیستم های اطلاعاتی است. در نتیجه، بسیاری موافقت خواهند کرد که دامنه ۴ (همراه با دامنه ۵) مهمترین دامنه ها در برنامه درسی CISA است.
در سال ۲۰۱۱، ISACA دامنه ها را از ۶ به ۵ کاهش داد. بنابراین، بخشی از مطالب در دامنه ۶ قدیمی اکنون در دامنه ۴ است. این همه بخش های مربوط به بازیابی فاجعه است.
۵. حفاظت از دارایی های اطلاعاتی
آخرین دامنه شامل چگونگی اطمینان حسابرسان فناوری اطلاعات است که سیاست های امنیتی سازمان، استانداردها، رویه ها و کنترل ها از محرمانه بودن ، صداقت و در دسترس بودن دارایی های اطلاعاتی اطمینان می دهند. این یک دامنه بسیار مهم در برنامه درسی CISA است.
علاوه بر این، این ارزیابی سیاست های امنیت اطلاعات، استانداردها و رویه ها است. طراحی، اجرا و نظارت بر کنترلهای مختلف، مانند سیستمهای امنیتی و کنترلهای منطقی، فرآیندهای طبقه بندی داده ها و دسترسیهای فیزیکی و کنترلهای محیطی.
مزایای صدور مدرک CISA
- درک بهتری از امنیت اطلاعات و روند ممیزی فناوری اطلاعات
- آگاهی بیشتر از نحوه محافظت از سیستم های اطلاعاتی
- تایید دانش حرفه ای فرد
پیش نیازهای مدرک CISA
برای دریافت مدرک CISA خود، باید ظرف پنج سال از تاریخ قبولی در آزمون CISA، یک برنامه کامل از تجربه کاری مرتبط را ارائه کنید. این تجربه کاری ذکر شده باید توسط کارفرمایان خود تأیید شود. این تجربه باید در طی ده سال قبل از تاریخ درخواست یا پنج سال پس از گذراندن آزمون CISA به دست آمده است.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.