漫漫的人生之路,会面临很多大大小小的考试。而学习计算机专业的人士来讲,备考CISA的道路上也很艰辛。从对专业知识上的学习来讲就不容易。上课的知识理解到消化需要一段时间然后再到课后整理笔记以及最后练习相应的习题这些都需要一定的过程。不同的人的水准不一样,对每个东西的把握程度需要花费的时间也就长短不一。
当成绩页面弹出希望“经过初步评估,考试通过 ”的字样出现,对我而言CISA的备考和试正式结束了。回忆备考阶段,中培伟业的老师和教辅团队为我提供了全方位的帮助,我也想把我对CISA的认识、备考的一些经验分享出来,希望能够给正大家一些参考。
选择CISA认证作为自身的学习方向,是因为我过去十多年的工作背景是在技术、管理、咨询和服务领域,涉猎很多,却学的很乱。特别是IT治理、IT价值评估方面有非常多的困惑 和瓶颈。因此,在2017年底,我站在时代洪流的悬崖边缘,重新思考自己的职业定位和规划,把信息安全、审计、IT治理、数据治理等中高级理论学习作为自己一个阶段的学习方向,目的是为了提升自己认知水平,至于认证的价值,至少在我所生活的城市,因为行业规模和 成熟度各方面的原因,还没有大面积的需求。因此这次备考,不是为了认证和价值变现,而是纯粹的为了寻道、解惑。
2018年因为工作的原因,全年没有时间复习备考。过完2019年3月底,决定开始抽时间复习备考。通过今天的考试我基本上确认我对CISA考试的理解应该是有合理的部分的,因此决定分享出来,供有兴趣的朋友参考。
本文适合对信息系统审计少经验的备考人士参考,属于个人经验分享范围,在完整性、一致性上因为个人知识经验的局限,难免有误,如果对本文观点有质疑,以培训老师的观点为准。
快速攻略
对于希望短时间内,用最少的投入通过考试的朋友。可以参加两次线下课程,第一次线下课程以个人时间安排选择,目的是为了对信息系统审计这个主题有一个全面宏观的了解;第二次线下课程建议在考试前1周完成,目的是为了加深印象,特别是对不理解的知识点进行现场咨询。留下一周时间把练习题做1-2遍,对错误部分对照理解,基本上就可以通过考试了。
考试知识域
CISA考试涉及的知识内容非常广泛,根据我个人的经验,没有2-3年专业审计机构的全职工作经验,或者是在一个成熟度非常高的大型企业有过良好的工作实践,要想在工作中涉及到如此宽泛的知识内容,多半都靠职业运气。好在作为一个入门级考试,CISA考试重视的是知识体系覆盖面以及对审计实务的理解,对技术的考量并不会很深入,对于从事咨询、管理方面的朋友完全不用担心自己的技术功底。而对于专业从事技术的朋友,从专家转向管理,很重要的一道门槛就是管理思维的转变,通过在中培的培训,能够很好的帮助这些朋友理解一些抽象的概念、流程和方法。至少能够应对CISA的考试中需要的思维转变。对于没有太多工作经验的朋友,或者本身不是专业做技术或管理的,通过培训也能够学习到相关的知识体系,提升自己的能力储备。
CISA考试当前阶段的知识划分为五个主题域
1)审计信息系统的流程
2)IT治理与管理
3)信息系统的购置、开发与实施
4)信息系统的操作、维护与支持
5)信息资产的保护
经验TIPS
对我个人来说,前两个领域是特别困难的,需要理解一个从未主持过的工作流程(审计)。并且要学习和理解的知识已经与企业架构和顶层设计有许多重叠。因此这两个领域现场培训起到了非常大的作用。
而后三个领域分别对应了IT生命周期、IS生命周期和信息(网络)安全的知识体系,每个领域都可以切割成多个主题域进行分割消化。
个人理解
CISA的整个体系通过审计标准、准则进行规范,辅以工具和技术;以审计工作流程串联展开。
IT治理和管理部分通过参考模型、工具和最佳实践提供了自顶向下的方法体系,不仅仅在考试中有用,在后续的工作中也非常有价值。
因此,CISA的备考就简单变成了,熟悉审计标准和准则,熟悉审计工作的整体流程。了解信息系统审计中知识领域分类方式,复习材料中每个领域都提供了分类工具、参考模型和参考实践,对着学就行了。简单不简单。
复习建议(时间充裕,经验不足的朋友)
对于时间相对充裕,经验不太丰富的备考朋友,建议备考周期跨越3个月,其中第一个月听一遍线下培训,回来每周投入3天,每次1-2个小时,用一个月的时间把考试涉及的5个领域都过一遍,这个阶段的主要目标是把各个领域的术语混个眼熟。
然后,接下来的一个月时间,也是每周投入3天,每次1-2个小时,结合练习题和复习材料进行对照学习,这个阶段的目标主要是了解自己的知识储备与CISA考试要求的映射一致性。
最后一个月,就是把五个领域的关键概念和流程串联起来,考试前安排听一次线下课,结合练习题和难点进行针对性的理解和突破。考试就妥妥的通过了。
经验TIPS
很多朋友都希望每天8小时甚至更多的时间用来学习,在CISA的备考阶段,其实并没有特别的必要。原因是:CISA是一门审计实务考试,覆盖的内容广泛,很多领域的描述类似但是实质不同,短时间的突击对于大脑是非常重的负担。另外,短时间的强化记忆过后,一旦遇到与记忆描述不一致的内容,信息干扰往往会产生误判和自我怀疑,在实际工作中很容易判断和决策的场景,在考试中总是会怀疑你的决策,因为考试是没有真实环境上下文的,并不是每个人都擅长在信息缺失的场景下做决策,这也就是真实世界往往成功都需要一些运气的原因。
复习建议(经验丰富的朋友)
对于经验丰富的朋友,CISA的复习可以帮助您梳理和回顾整个知识体系,CISA提供的很多模型、工具和参考实践非常的有学习价值和意义。如果您经验丰富,可以通过将CISA的知识主题域自己梳理一遍做成结构图和流程图。考前听一遍线下培训,了解一下考试的要求细节,针对性的做一些练习题,应该就没什么问题了。
复习建议(有一些经验但不多,懂一些理论很迷茫的朋友)
我相信,希望学习CISA的朋友中,这类朋友不少,因为我自己就是这类。学习和复习CISA我有明显的局限性,包括已有的知识经验与CISA的知识体系可能存在一定的差异;受限于差旅和住宿费用,也没办法多次现场听课;工作十几年,让我按部就班的看书学习,也办不到。平时琐事多,无法抽出完整的时间和精力来复习等等。如果您也有这方面类似的情况,可以参考我的复习方法。
线下课一定要听,先听线下课后看复习资料有点投机取巧,但是如果您对自己的听课能力有信心(我听了一遍,一年没碰,复习的时候还记得),可以选择这个方式,听一遍线下课对整个CISA考试的知识体系做一遍系统的梳理。然后通过对知识领域及核心流程的串联结合练习题定向理解,然后参加考试。
如果您无法做到过耳不忘,那先根据目录简单看一遍复习材料,做一些练习题,了解自己对CISA考试的困难点在哪,然后去听一遍线下课,有针对的解决难点是很好的选择。这种方式建议是在考试前3周就能完成线下课学习。线下课听完之后,通过知识领域的结构和流程梳理,把自己没有理解和掌握的重点,在汇哲教辅团队的帮助下结合练习题过一遍,然后去考试应该也就妥妥能过。这个过程不要隔太久,建议是培训完2-3周就考试,拖太久也没法专注了。
考试形式分析
作为一个国外的认证,如果对自己英语水平有信心,参加英语考试是最好的。当然大陆只有中文考试,考题的翻译上面还是有提升空间。因此,在参加考试的时候,除了考题和备选答案很多都有迷惑性之外,翻译导致上下文信息表述不到位的情况虽然比例很低,但在所难免。应对方式就是多用汇哲提供的练习题,熟悉出题的用词风格和思路,主要的目的是熟悉中文题干翻译过程可能带来的信息缺失。
另外,由于国内外政策法规、IT环境、发展阶段的不同,考题中的场景描述可能会与国内场景方面存在差异。对于经验丰富的朋友,切不可把自己工作中的场景主观应答,也许工作实务中正确的决策,在考试中并不正确。这点还请在复习中采取相应的重视。
考试提示
CISA采用计算机考试,考试时间4个小时,150道单选题。
考试时间充足,在没有看清考题之前不要急着做决定。
考试软件有很人性化的操作指引,完全不用担心没操作过。
考试前ISACA会多次邮件提醒,请认真阅读邮件内容,避免出现遗漏。
考试需要携带身份证、驾照、护照或信用卡等(2个有效证卡),建议国内朋友带身份证和驾照赴考。
我们不推销证书,我们只负责传递知识。目前,已经持续2907天。
通过对这几大方面的了解,你开始有了自己的flag了吗?找到适合自己的学习方法和制定属于自己的计划是有助于你成功的。想要了解更多CISA备考的信息,请继续关注中培伟业。