|
|
原帖由 ddolphi 于 2008-9-5 23:24 发表 ![]()
个人浅见如下:
1. 总的来看,这是个行业的前瞻问题。 (下面细谈)
2. 如已在 IT Auditing 职位上了,不妨把它拿到手。有多大价值,谁也说不清楚。 但有没有价值?肯定有。
3. 如能让单位报销,别犹豫,先拿下再说。 就像当年的CISA,CISM一样,CISM 当时有Grandfather Provision, 看都没看,后来还不是去考。
Background: (欢迎交流,again,个人的见解,肯定有主观的成分)
IT Audit , Information Security, Information Risk Control, 这些tangle在一起的concept,早晚会被一些Framework统一。 干了几十年CPA的人,看口闭口COSO,以为COSO就能对付所有IT的Risk, 当然不能。作Control的人, 如ISACA, 又大力推行CoBit;IT Service的行业, ITIL是法宝; ISO 也不甘寂寞,把英国人的标准7799搞成ISO2700x; 外部的regulations, NIST, FFIEC (FDIC,OCC,etc), DoD, SOX (404, 302), 这不是千条万缕吗? 这是从1990 年到现在不到20年的时间, IT 的发展给整个社会带来的Impact。 证据之一:90年以前,美国法律中有关Privacy的内容主要只有一部:GLBA。 现在有多少?Patriot, SOX (accountability), PCI,。。。
讲到底, 一个字:怕!(Fear)
怕什么?怕损失,损失金钱,名誉,有形的,无形的,等等等等。 所以有了什么Risk,Control,Vulnerability,Threat,“IT Governance” 等概念。
CISA,CGEIT,CISSP,CISM,CIA,CCSP,MCSE/Security, 都是从不同的角度来 address 这些问题,就看你在什么行业,位置。
CEO/CFO/CTO/CXO: CGEIT
Audit Manager/InfoSec/IT: CISA, CIA,CISSP, CISM, etc...
Information system 的Governance(这词不好翻,找不到恰当的中文词,欢迎指教。)将来会成为新的统合的感念。 所以,大家都这么积极行动。
Again, 分享感受,欢迎交流。
- Ddolphi
看来ddolphi英语学多了。Governance很好翻译,治理。information system governance 信息系统治理,主要是如何平衡组织建的部门利益(尤其是在IT方面),如何把高层的策略转化成具体的IT策略并贯彻实施下去。其大的domain和CISM一样,也是走的Cobit模式。我没申请,写好了没发出去,还是感觉资历太浅了。这个最好是你做CIO5,6年后去考这么个东西用CGEIT的知识体系来思考你的工作。现在申请grandfater的按理说应该为CGEIT的知识库恭喜力量,但是我们这有几个能了解CGEIT的内涵呢?
ddolphi 我说的有些白了,但不是针对单人的。我们现在国内就这样。 |
|
楼主: cisamaqing
IP卡
狗仔卡
发表于 2008-12-4 11:07
显身卡
