CISA考试大纲的五个领域由国际信息系统审计协会(ISACA)制定,涵盖信息系统审计的核心知识体系。以下是五个领域的详细介绍:
1. 信息系统审计流程
考试权重:约18%(约21题)。
核心内容:审计生命周期(计划、执行、报告、跟进)及风险管理。
审计标准与框架(如ISACA准则、COBIT、COSO)。
控制测试方法、证据收集技术、审计报告与沟通技巧。
质量保证与改进机制。
关联意义:确保审计流程的规范性,提升对信息系统健康状态的评价可信度。
2. IT治理与管理
考试权重:约18%(约22题)。
核心内容:IT战略规划与业务目标的匹配,治理结构设计。
利益相关者管理、IT资源分配与供应商监管。
合规性管理(法律、行业标准)及数据治理。
风险管理框架与关键绩效指标(KPI/KRI)监控。
关联意义:确保IT资源有效利用,支持企业战略目标实现。
3. 信息系统的获取、开发与实施
考试权重:约12%(约15题)。
核心内容:系统开发生命周期(SDLC)管理,包括需求分析、测试与部署。
项目治理、变更管理、成本效益分析。
控制设计与实施后审查。
技术选型与供应商合同管理。
关联意义:验证IT项目与业务需求的一致性及风险控制能力。
4. 信息系统运营与业务连续性
考试权重:约26%(约31题)。
核心内容:日常运维管理(容量规划、变更管理、配置管理)。
业务连续性计划(BCP)、灾难恢复(DRP)的制定与测试。
事件响应、问题管理与终端用户计算(EUC)风险控制。
系统监控工具与日志分析技术。
关联意义:保障系统稳定运行及应对突发事件的能力。
5. 信息资产保护
考试权重:约26%(约31题)。
核心内容:网络安全原则与技术(加密、访问控制、威胁情报)。
信息安全管理体系(ISMS)及标准(ISO 27001、NIST)。
漏洞管理、数据隐私保护与安全事件响应。
物理与环境安全控制(如数据中心防护)。
关联意义:确保信息资产的机密性、完整性与可用性。
总的来说,以上五个领域覆盖了CISA认证的核心知识体系,考生需综合掌握各领域的理论与实际应用能力。