我对CISA前景方向的看法和思考

supers888 · 发表于 2003-3-15 20:33

其实CISA是一个新兴的行业，很多人还不了解

Richard_Chen · 发表于 2003-3-16 19:23

　　对于IT审计究竟要做些什么，他的定位是什么？这个问题是我们大家都感到困惑的。以下是一点拙见：
　　传统的审计和IT安全都有一个区域没有涉及到，那就是企业的管理信息系统是否确实为企业的经营管理提供很好的服务。传统的审计，说得简单点，就是企业日常会计工作的逆转，是从报表入手去检查报告的真实性，他关心的是财务信息的真实性；而IT安全人员所关心的是只是计算机系统的安全性，而对于在管理信息系统里的业务本身并不关心。
　　在企业中，信息系统是为企业经营管理服务的，IT技术在这里只是一种工具，工具本身质量问题是IT安全人员关心的，而这工具是否应用得当，是否正确体现了企业的管理思想，是否达到了正确的控制，是否提供了真实的信息，在信息系统里体现的业务流程是否得当，这方面就应该是IT审计的工作内容。一个企业花费巨资去建立信息系统，原指望是加对业务的管理，提高管理效率，可是如果这个系统建得不好，那么可能就会适得其反，反而破坏了原本合理的控制关系，降低效率。审计信息系统的合理性就应该是IT审计所要做事情一。

小龙 · 发表于 2003-3-17 00:37

cissp - IT Security
cisa - IT
cia - Enterprise

supers888 · 发表于 2003-3-27 14:26

先考好再说

zw98 · 发表于 2003-3-27 22:51

所以考之前仔细考虑
光看广告没用的

wangderek · 发表于 2003-3-31 10:01

大家大可不必对CISA失去信心，也不用对它期望太深，即使你考过了CISA，也只意味着你搭起了一个知识的框架，还需要你不断地学习为你的知识结构增加血肉。信息系统审计师是非常重要的，因为它为管理层，还是审计师（内部的和外部的）提供凭借他们的知识结构所无法提供的信息，我无数次见到内部审计师或是外部审计师，面对大型的信息系统，手足无措，也许正如广告上说的那样，如果不搞信息系统审计，有一天也许我们会失去审计资格，对于管理层，他们面对系统同样手足无措，他们发现在没有他们经手的情况下，所有的信息就摆面前，他们信还是不信呢？他们迫切希望这个过程能在他们的控制之下。还有安全的问题，企业能有一个真正的安全解决方案吗？也许他们有最好的防火墙，但是一个开放的RAS可能就使安全级别降到最低，可能一个放空的数据库管理员密码就可以使任何人可以修改任何数据。
我们所面临的挑战，不是不重视，而是知识的缺乏，你们知道怎样提高Unix系统的安全性吗？你知道怎样在SAP里，拿到资产负债表的设置吗？你知道如果系统里开发票和做发运的是同一个人有什么影响吗？你知道如果在有Oracle的企业里，人们还在手填入库单，你该做什么反应吗？你知道怎样才能在系统没有相应报告的情况下，框算出库存的帐龄吗？
如果这些问题都回答不出来，那就不要管他CISA有没有前途，因为你还称不上是CISA.如果你能回答出这些，如果不是CISA,又如何呢？

speed8163 · 发表于 2003-3-31 10:41

请教考出CISA的各位，你们真的能帮助企业提高安全之门吗？
很多人学位很高，理论丰富，但是构建的平台一攻就破！

jinzhi · 发表于 2003-3-31 14:40

我发觉说着说着就回到了安全问题，实际上我认为，现在的大部分人对安全还有些了解，比如什么黑客，病毒等，因此现在cisa可能通过安全方面比较容易与其他人形成共识，容易让人接受信息系统审计，但实际上这应该是cissp关注的重点，cisa关注的应该在企业的信息系统的开发、设计、实施、应用等方面能否真正为企业实施其战略服务，安全应该关注，但不是全部，现在你跟企业说cisa能做到什么，大多数人可能还无法理解。这好比是内行和外行说，外行肯定是无法完全理解行话，否则他本身就是一个行内人士了。这让大家接受信息系统审计这个概念就是需要现在或者将来的中国cisa们需要去做的事情。

speed8163 · 发表于 2003-3-31 18:21

因为没有发挥作用，所以觉得可有可无，各位不妨仔细想想，很多事情。不是CISA照样可以实施的很好...

晴朗天 · 发表于 2003-4-1 21:32

cliffman，能告诉我你工作的哪种公司和部门吗？你认为CISA目前在中国算是一份职业吗？