01、什么是IT审计
IT审计就是信息系统审计,是独立于信息系统本身、信息系统相关开发、使用人员的第三方——IT 审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。
02、什么是CISA
注册信息系统审计师资格认证
(英语:Certified Information Systems Auditor,简称CISA), 也称IT审计师,是由信息系统审计与控制协会(ISACA)授予的关于信息系统审计、信息安全和信息系统控制相关的知识及技能的国际认证。要通过此项认证需通过ISACA组织的考试。
(证书样本)
03、IT审计未来发展前景如何
市场需求
就大市场本身来说,越来越多的公司开始使用大型数据库、互联网、大数据、云计算、IT系统来支持他们的日常商业活动,例如:财会系统、公司各类报表、内部HR系统、软件开发、源数据管理等。
如果要是银行,那么用到IT的机会就太多了。例如:基金、股票交易、外汇交易-- 目前来看99%的transactions都已经是automation了,真正人手去操作的情况越来越少。
发展方向
计算机、数据库的应用会大大的减少人所带来的失误(human error),从而进一步降低成本、降低风险。这是大趋势,也是大方向。IT审计人才紧缺,每个人都在讨论IT审计的重要性,但懂得人少之又少。相比,我相信国内的情况也应该是一样。
因为,归根结底,所有的科技元素都需要人的管理。这就给IT审计这个专业提供了非常好的平台。
IT开发人员并不具备很好的信息安全理念,由此导致不少违规操作,例如:上线的application依然存在后门,程序员可以随意修改数据,会导致数据泄露风险,数据质量下降等问题。越来越多的公司意识到,他们需要一批懂得IT+审计+商业背景的人来管理IT系统,并提供独立的审计意见(audit opinion)。
04、IT审计师的工作内容是什么
审计过程的两个阶段
●制度、流程、控制措施的设计有效性检查阶段
●制度、流程、控制措施的执行有效性检查阶段
ELC(entity level control)控制
就是看看客户在IT治理方面的相关组织架构是否合理,书面的管理制度是不是健全,具体的审计程序就是获取客户的组织结构图,及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。
系统开发和变更
关注系统开发和系统后续小变更中的一些控制,具体的审计程序就是获取系统开发及变更相关的管理制度,典型的如《系统开发制度》《系统变管理制度》等来看一看。
操作系统及数据库控制
这一部分具体就是看操作系统和数据库登录是不是要密码,然后把登录界面截个屏作为审计证据K进底稿里,蛮弱智的。然后呢就是调出操作系统及数据库中的一些安全配置,如密码是不是强制一个月改一次,再者就是看用户权限管理是否按照基于角色来进行权限分配等等。
应用系统控制
关注点同操作系统及数据库。不过应用系统千变万化,比如银行里面比较大的应用系统就有综合业务系统(有的叫核心业务系统)、国际结算系统、大小额系统、信贷管理系统等。
但万变不离其综,这些系统做ITGC思路都是一样的,就看安全配置和用户权限。
接口控制与信息安全
各种系统之前会有接口,那么数据从一个系统传输到另一系统中数据的准确性完整性要得到保证。信息安全就是看看网络管理相关的制度,看看防火墙的结构,内外网是不是分离啊等等。
05、云计算环境下,CISA为什么更火了
影响云计算的关键因素之一的网络带宽越来越快,应用程序也越来越Web化,移动终端更让传统的IT架构受到冲击,IT网络安全人员的未来职业发展方向何在?
相信不少IT人曾经想过:在十年前,网络工程师、系统工程师、软件工程师和数据库工程师等等都是非常吃香的职业,特别是持有厂商类顶级认证的技术专家,为什么现今好像不是那么火了呢?
反而持有CISA等国际资质成了人才市场上的香饽饽。下面我们一起简单分析一下:
系统生命周期
信息系统也有一个生命周期,电信网络和信息系统的大规模建设阶段早已完结,部分系统建设人员随即转为日常运营人员,再加上新进入行业的,运维阶段的专业人员需求不会再那么猛烈,市场进入一种相对的饱和状态。一部分技术专业人员已经占据着关键的位置,便开始享受生活和工作的平衡,然而向上攀爬的位置总是有限的,不甘平庸的一部分专业人员开始将眼光转向更宽广的领域并着手行动,这部分人创造了新的机会,也正是他们推动着组织机构乃至国家社会的进步。
IT外包兴起
专业人员成本的压力促使了IT服务外包的兴起,呼叫中心、软件开发、业务流程等等向人力成本更为低廉的国家和地区迁移,互联网的便利性使智力资源很快就得到了重新的再分配,小部分IT工程师进入服务外包领域造成剩余的大部分IT工程师不得不转型,项目管理、风险控制、网络安全、服务管理等相关的新职能也相继出现,正好能吸纳一部分转型人员。
科学技术迭代
科技的不断改进和创新,使相关的工作变得更标准化、系统化和自动化,IT应用和操作变得更为简单,甚至使维护相关工作不需要太多手工操作,自然不需过多人力,同时却提高了业务人员熟练使用IT系统的要求,IT背景的人员在系统操作方面则更有优势,所以一部分工程师转向业务方向,敏捷方向,同时部分占据了IT与业务之间的沟通桥梁位置,帮助利用信息系统来促进商业创新。
计算机相关专业毕业生激增
高等教育扩招,比较容易上手且繁琐的工作多数会交给职场新人,自然只需保留少量关键岗位的核心员工,同时,这些职场新人需要师傅,当然IT工程师有了走向管理之路的通道,开始攀爬主管、经理、总监直至C级别的高级总裁职位;
网络黑客的增多
互联网泡沫等造富神话破灭,成功者毕竟是少数,多数网络公司无法支撑下去,大量倒闭的公司造成部分专业人员转攻新兴领域或利基领域,人们常说除了吃饱喝足,新的高层次需求都是人造出来的,向没穿过鞋的原始部落卖鞋的故事在今天更有它积极的商业道理;问题是有部分专业人员不去创造社会价值,而转向了偷窃他人的劳动成果,这就是广义上人们所讲的黑客,有了黑客,当然就有了防范黑客的群体——计算机网络信息安全行业的专家团队,为什么说群体或团队?
因为人的精力是有限的,而行业涵盖甚广,总有一名黑客经过钻研而非常熟知而一名安全专家却不甚清楚的领域,这名黑客就需要另一名对这个领域也很精深的安全专家来对付,所以安全专家团队至少要两种人:一种向深度发展,某一细分领域的安全专家;另一种是全面发展,能力包括架构设计、沟通协调以及整合管理等方面的。
以上这些都可以在CISA培训中得到很好的回答,取得CISA资格认证不被时代淘汰,加速职业发展。