我对CISA前景方向的看法和思考

moliere

CISA只是一个认证而已，就像注册会计师一样。
我不明白为什么有人混淆认证和职业范畴这两个不同的概念。

moliere

最初由 oneday 发布
[B]读了cliffman 和phrack 的帖子收益颇多，不过我有几个疑问：1，论坛里谈的大部分是IT安全方面的内容，IT审计肯定不止这一方面，那么，IT审计到底包含几个方面内容？2，要发现系统的漏洞（包括安全漏洞和其他漏洞），就要有较深入的IT知识（甚至要超过IT人员），这样才能有审计的权威性。可是，由于IT专业面很广，IT审计人员一般不可能具备那么精深的IT知识，如何解决这个矛盾呢？IT 审计人员应该具备的知识结构是什么？ 另外，很想知道IT 审计的定位，这关系到这个行业的前景和职业规划。 [/B]

IT Audit includes:

IT Security

ERP Audit

SAS 70

Due Dilligence

Support Financial Audit

IT Governance

IT Fonctionality
等等，欢迎补充。

moliere

最初由 cliffman 发布
[B]

如果只是一两个不知道还没什么，可惜的是大多数都不知道，包括一些审计行内的人士。

———个朋友说的，我听了可是不舒服。但毕竟是反映了一些情况。 [/B]

一叶蔗目。

y_haoxp

最初由 moliere 发布
[B]



IT Audit includes:

IT Security

ERP Audit

SAS 70

Due Dilligence

Support Financial Audit

IT Governance

IT Fonctionality
等等，欢迎补充。 [/B]

那需要多大的知识量啊! 搞清楚SAP一两个模块，都可以去做SAP顾问了。

moliere

最初由 y_haoxp 发布
[B]
那需要多大的知识量啊! 搞清楚SAP一两个模块，都可以去做SAP顾问了。 [/B]

干的时间长就好了，再说一般一个案子的时间也不长的。一个季度下来至少要做十个案子。类型也能经常换的。

johnzw

看了这么多同行的意见，不说就对不起自己了。
个人拙见：
我是做技术出身的，然后转向管理。MCSE,RHCE,CISSP,CISA
准备12月拿CISM，明年把CCNA拿下（不要笑CCNA，如果只拿证就太简单了，但是我要系统理一下自己的网络知识，虽然底层技术摸的很多。)

所有的证书都说明不了你的经验！记住，拿了任何的证书都不能证明你对该领域有了架构认识，仅仅是说你通过了考试，考试不是现实应用。我见过很多CCIE但是技术比不过一个做了n多项目的CCNP。

CISA，是基于审计技术的IT行为。什么是审计？为什么要做审计？做审计需要什么基础？我很同意以前某讨论会，某演讲人的一句话，当时在讲ITIL，他说如果一个企业连外人进出公司都没有相关的安全制度，这个公司做ITIL的意义何在？

也就是说基础底层的沉淀还没形成就想高层应用，结果不用说了。

审计是基于管理的，是高级管理水平的有效的补充。如果连管理基础都没有，做什么审计。

成思危副总理说的好，他为什么不学经济改学管理，中国太缺乏管理了。国人没有管理思维，我们受用的是2000年的君王统治社会。话离题了...

现在每年的审计风暴能给大家带来什么？除了爆炸性的腐败新闻，我们是否学到了如果加强管理，监督？

我认为国内的很多企业大多数的管理水平在20世纪初英美的水平，少数大企业能到欧美70年代的管理水平，所以审计的复兴在国内需要20年以后。

CISA 设计安全审计，但是偏重的是整个IT架构的安全性，合规性，完整性，降低信息系统风险。这和CISSP及CISM的安全管理是很好的结合，有了技术基础，有了管理思维，然后用审计的角度来check技术和管理。当然这是个理想的module.

moliere

所以准备再去读个MBA

ljc791129

通过些贴,让我体会很深.大家谈的都很有道理,根据现在社会发展的形势来看,不管是CISA还是CISSP以及注册会计师都相当重要.但是学习可以使自己的知识面充实.工作使自己的能力更时一步的提高.我觉得贴子里所谈的内容都很重要,但必须的深入学习,以至于更好的在现在中去利用

moliere

最初由 moliere 发布
[B]

中国有一家排名在全球前一百名。 [/B]

CEIBS 2007 Financial Times Rank 11 of 100.

seg83225

為什麼身為一個cisa, 或想成為一個cisa的人, 對is audit還有這麼多看法? 還去擔心它管不管用? 不是應該因為覺得is audit是有重要性的才去做那門學問的嗎?

如果你是一個cisa, 但是還有這麼多問題, 那你應該去再多看一下書. 如果你還未是cisa, 那你應該再花多一點時間去學. 去學的不是技術問題, 而是身為一個is auditor的個人價值的認知.

貼了點說得對, is audit 不是必要的, 又不是揾錢的, 為何還要去做? 就是因為如果搞不好, 不要說是揾錢, 連生意能不能做下去也成問題! 幻想一下如果你的erp system裡的data給delete了, 要restore時才發覺backup tape讀不了會是什麼一回事?

又或者說, 你公司打算做erp, 但是没有一個好的規劃, 連自己須要的是什麼也搞不清楚, 結果花了好幾百萬, 給consultant指來指去, 結果做出來的根本就不合用, 要麼把自己的咦魇址ńo完全改了配合系統, 要麼就不用那個erp, 老闆會什麼樣?

做is audit, 不單是要把it system 的一個security parameter改好, 不單是要把黑客拒之門外, 更重要的是要確保公司的重要資產及賴以為生的工具不會因為內部自己的疏忽而令到公司損失. 連自己內部都搞不好, 就不用談外部的問題. 事實上, 內容的問題往往比外部的問題更嚴重.

因此, 小弟認為, is audit 是一間依賴it system 咦鞯墓?镜谋匾?M成部分, 是確保公司不會因為對it system的疏忽, 或是認識不足而焦頭爛額的一個重要手段.

若果有某個老闆問你, 為何要做is audit, 你可以答他: "或許你的it 人員有很好的技術, 可以把系統調得很"安全", 黑客無從入手. 但是你可以保證他們有足夠的知識把公貴公司的內部風險降到合理水平嗎? 你可以保證頁每項it項目也符合公司的須要, 能帶給公司回報嗎? 你又可以保證你的it 人員不是內部"黑客"嗎? 如果你的it 人員為上述這麼問題都答"可以", 你會對他們的答案充滿信心嗎?"