cisa考试有自学考的吗？

johnzw

原帖由 bacchusluo 于 2008-4-29 09:54 发表
"网络层的基本安全架构，应用代码的基本安全逻辑。企业的身份认证的风险最大，员工的安全意识"这些业务在某些会计师事务所里面也有的，尤其是香港办公室，有些团队专门作纯IT技术的audit，也就是说跟财务基本没有关系的audit。甚至客户会要求他们扮演黑客的角色去hack系统。但是这样的业务非常少。

johnzw 所描述的是一个类似结合了RSA+audit firm+McAfee+CISCO等公司功能在一起的综合企业所能提供的IT审计服务，所以这个“综合”企业的团队提供的IT审计能够确保涵盖了IT的各个方面，初衷当然好，但我想现实和理想还是有很大的差距，我们应该先把现实的东西做好做完美，再考虑更进一步完善它。

举例不对，你使用了技术解决方案。防病毒和网络设备是任何企业IT的基础。rsa你指的是token吧，应用还是有局限的，毕竟SecurID 5500端口的协议很多设备，系统都不支持，如果做一个radius认证中心，那么这个SSO就要很强的技术，PKI是完美的解决方案，kerberos 5 还可以考虑，但是这些并不是我希望的，因为是纯技术的。

流程，流程管理真的很重要，这个概念是从企业流程管理中来的。项目流程，监控流程，事件流程，问题流程，变更流程，备份流程，操作流程等等。实际上现在很多公司的IT弱点都体现在流程的管控上。这些做好了以后，才可能去考虑治理的概念。

上面说的都需要一个很难但又最基本的前提，资产分类和风险分析。资产分类是第一位的，如何做好资产分类直接影响到后续的流程管理，授权，风险分析，审计。但是这一步我现在也没看到好的解决方案或成功案例。资产分类并不是一次性事件，需要连续的监控，变更的触发，长期的管理。很难，真的很难。也许cost/benefit 在这太高了（猜想）。

你上面所说的现实的东西指什么？“我们应该先把现实的东西做好做完美”，给我说说你的现实吧。如果说你的IT infrastructure 都不完善的话，你凭什么做安全？凭什么做风险分析？凭什么做审计呢？

bacchusluo

"项目流程，监控流程，事件流程，问题流程，变更流程，备份流程，操作流程"这些在目前的IT审计中都有涵盖呀。我开始不明白你要说的到底是IT审计还是IT审计+IT咨询.

"资产分类和风险分析。资产分类是第一位的，如何做好资产分类直接影响到后续的流程管理，授权，风险分析，审计。但是这一步我现在也没看到好的解决方案或成功案例" 这往深处说，是咨询的业务了吧。IT审计的话也会涵盖资产分类和风险分析，但不会像咨询那样全面，并且审计师出的是报告，不负责提供整套解决方案。

我的回复只是针对IT审计的现状而言，所以我说的“现实”指得是目前IT审计主要着重于跟财务风险有关，而不太全面，但即使如此，我们还有很多东西要做，比如如何做好ERP审计等等。

“如果说你的IT infrastructure 都不完善的话，你凭什么做安全？凭什么做风险分析？凭什么做审计呢？”看到这里，我又糊涂了，不明白到底你的整个意思是什么。不过从你之前的回复“几乎现在大家都关心应用，EPR。但是却忽略了网络层的基本安全架构，应用代码的基本安全逻辑。企业的身份认证的风险最大，员工的安全意识几乎没有，各种IT解决方案是否合理，引入新技术时的风险评估流程是否完善，甚至包括技术性采购流程的规范，防舞弊，等等。现在所有的IT审计就等于财务信息审计，然后呢？财务信息合规了，所有的IT就合规了？”，我大概可以猜出你想表明的观点：目前的IT审计只关注和财务信息有关的风险，这是不够全面的，应该还要关心诸如IT infrastructure等方面的风险。所以呢，我就回复了目前有些事务所也有关注IT infrastructure的风险的审计业务，但你后面的回复又说我的例子不对，所以我一下迷糊了，那你想要说的IT infrastructure是什么呢？

“引入新技术时的风险评估流程是否完善，甚至包括技术性采购流程的规范，防舞弊”这个在目前的IT审计中是有涵盖的。

“各种IT解决方案是否合理”是否合理的标准是什么？是不是看用户满意否？是不是看它为公司的运营带来价值？价值如何反映出来，难道不是在公司的财务报表中反映出来？那么为财务而服务的IT 审计不够吗？

“现在所有的IT审计就等于财务信息审计，然后呢？”然后的东西就应该是IT 咨询了，而不是IT审计了，我们讨论的重点应该在审计。

bacchusluo

“如果说你的IT infrastructure 都不完善的话”看起来你说的完善指得是要有整套解决方案（请纠正我如果我这的理解不对的话），那还是应该归类到咨询。如果你指的是“有完善的技术方案+有相关IT审计去确保这些方案的完善性”，那就是我所说的“理想”公司所提供的业务，目前市场现状还没有完全到这一步，并且在法规上是不通的，做审计的不能同时作咨询。

johnzw

算了，这个就到这了。你是很难理解我的话了，因为你没有实际的IT管理，运维经验。你是单从一审计者角度，而且偏财务。这个没办法，我们很难沟通了，如果你真了解IT的话，你会理解我的话的。

记住：审计是需要基础的，什么样的基础？这个需要你去思考了，不是说什么公司都可以做IT审计，也不是大的，有钱的公司就有很好的IT审计。

bacchusluo

别介，怎么就到这了呢？我说的哪里不合适了？你可以指出啊。大家讨论啊。好像你的话题有了开头，然后一般都是丢个类似“这个需要你去思考了”这样的回复就跑掉了，这哪行啊。我的回复就是我的思考了，你看看还需要什么思考还是这个思考哪里和你的不同。况且我也没有说任何公司都可以做IT审计这样的话，也没有说大的有钱的公司就有好IT审计的话呀，你是从哪里理解我这样的意思还是你这个话语已经独立于这个谈论范畴跳出来的？如果是和这里的讨论无关，那我就不回复。

“你是单从一审计者角度，而且偏财务”这个我也不知道你从我的哪句话理解出来的，我从来没说过这样的话，或者我说的话语里面也没有暗藏这样的意思。大家都是讨论，你作出这样的回复，这样的结论，请指明出处，如果我的回复的确引起歧义，我会改进，这样才是双方共同进步。如果你只是想单方面理解别人的意思而没有具体指出你的理解建立在对方什么地方的话语，那我无语了，那我们的确很难沟通。（请注意：为了防止你误解，我这里用了两个‘如果”，目前我没有说你单方面理解别人的意思）

zyboy1978

基本上都是自学的，考试就差一点，但是觉得cisa最好还是要有工作经验的说，这样来学习比较轻松，而且关联性很强。如果只是纯粹的纸上谈兵，摸有什么用的！

johnzw

原帖由 bacchusluo 于 2008-4-30 14:20 发表
别介，怎么就到这了呢？我说的哪里不合适了？你可以指出啊。大家讨论啊。好像你的话题有了开头，然后一般都是丢个类似“这个需要你去思考了”这样的回复就跑掉了，这哪行啊。我的回复就是我的思考了，你看看还需要什么思考还是这个思考哪里和你的不同。况且我也没有说任何公司都可以做IT审计这样的话，也没有说大的有钱的公司就有好IT审计的话呀，你是从哪里理解我这样的意思还是你这个话语已经独立于这个谈论范畴跳出来的？如果是和这里的讨论无关，那我就不回复。

“你是单从一审计者角度，而且偏财务”这个我也不知道你从我的哪句话理解出来的，我从来没说过这样的话，或者我说的话语里面也没有暗藏这样的意思。大家都是讨论，你作出这样的回复，这样的结论，请指明出处，如果我的回复的确引起歧义，我会改进，这样才是双方共同进步。如果你只是想单方面理解别人的意思而没有具体指出你的理解建立在对方什么地方的话语，那我无语了，那我们的确很难沟通。（请注意：为了防止你误解，我这里用了两个‘如果”，目前我没有说你单方面理解别人的意思）

这个，我要把我的思想跟你全说一遍，很累啊，打字很累啊。算了吧。
IT 有基础的，infrastructure，这个基础非常重要，这个基础一定要完善才能做其他的事。如何评价一个公司的infrastructure是否完善？可以参照ISMS或者成熟度模型。IT 基础完善之上再谈安全，有了安全就需要控制，审计这时引入，安全做好后，可以进一步完善ITIL，流程管控。在进一步做IT治理。这个是理想模型，现实是现实，所以很多公司在基础没有完善的情况下，做安全或审计，可能有外在的要求，压力，但是效果不好，而且内部IT很被动，当然理想毕竟是理想，但是给出一个best pratice。努力吧。

voca

呵呵

大家底子不一样， 角度不同

有的干审计出身， 这个讲究忽悠，讲得通就行
有人底层基础出身， 这个讲究实力，对错分明

还有像俺这样，要技术没技术要忽悠讲不通。
哈哈～～

CISA过不过都不是问题， 问题是在PASS的过程大家学到了什么娃～～
等拍砖。。。

leavehere7

我觉得上边那个争论吧，其实是从两个角度在看，所以没法走到一个共同点上。

zw说的思想不错，但我想有一点是，一切都不是绝对步骤化的，在企业IT成熟度的任何阶段，各种IT管理、治理或者审计的方法都可以作为工具来帮助其进入下一个阶段，不是绝对的需要前一步完全完善了，才能开始使用某种手段。

tdakk

有启发