Schița de curs
Gol:
Scopul final este de a trece examenul CISA prima dată.
Procesul de audit al sistemului informațional (21%)
Furnizarea de servicii de audit în conformitate cu standardele de audit IT pentru a asista organizația în protejarea și controlul sistemelor informatice.
- 1.1 Elaborarea și punerea în aplicare a unei strategii de audit IT bazate pe riscuri, în conformitate cu standardele de audit IT, pentru a se asigura că sunt incluse domeniile-cheie.
- 1.2 Planifică audituri specifice pentru a determina dacă sistemele informatice sunt protejate, controlate și oferă valoare organizației.
- 1.3 Realizează audituri în conformitate cu standardele de audit IT pentru a atinge obiectivele de audit planificate.
- 1.4 Raportează constatările auditului și face recomandări părților interesate cheie pentru a comunica rezultatele și pentru a efectua schimbări atunci când este necesar.
- 1.5 Efectuează acțiuni de urmărire sau pregătește rapoarte de situație pentru a se asigura că acțiunile corespunzătoare au fost luate de către conducere în timp util.
Guvernanță și Management de IT (17%)
Asigurați-vă că conducerea și structura organizațională și procesele necesare sunt în vigoare pentru a atinge obiectivele și pentru a sprijini strategia organizației.
- 2.1 Evaluați eficacitatea structurii de guvernare IT pentru a determina dacă deciziile, direcțiile și performanța IT sprijină strategiile și obiectivele organizației.
- 2.2 Evaluați structura organizațională IT și managementul resurselor umane (personal) pentru a determina dacă acestea sprijină strategiile și obiectivele organizației.
- 2.3 Evaluați strategia IT, inclusiv direcția IT, și procesele pentru dezvoltarea, aprobarea, implementarea și întreținerea strategiei pentru a se alinia cu strategiile și obiectivele organizației.
- 2.4 Evaluează politicile, standardele și procedurile IT ale organizației, precum și procesele pentru dezvoltarea, aprobarea, implementarea, întreținerea și monitorizarea acestora, pentru a determina dacă susțin strategia IT și respectă cerințele legale și de reglementare.
- 2.5 Evaluați caracterul adecvat al sistemului de management al calității pentru a determina dacă acesta sprijină strategiile și obiectivele organizației într-o manieră rentabilă.
- 2.6 Evaluează managementul IT și monitorizarea controalelor (de exemplu, monitorizare continuă, QA) pentru conformitatea cu politicile, standardele și procedurile organizației.
- 2.7 Evaluați investițiile, utilizarea și practicile de alocare a resurselor IT, inclusiv criteriile de prioritizare, pentru alinierea la strategiile și obiectivele organizației.
- 2.8 Evaluați strategiile și politicile de contractare IT și practicile de management al contractelor pentru a determina dacă acestea sprijină strategiile și obiectivele organizației.
- 2.9 Evaluează practicile de management al riscurilor pentru a determina dacă riscurile organizației legate de IT sunt gestionate corespunzător.
- 2.10 Evaluați practicile de monitorizare și asigurare pentru a determina dacă consiliul de administrație și conducerea executivă primesc informații suficiente și în timp util cu privire la performanța IT.
- 2.11 Evaluați planul de continuitate a afacerii al organizației pentru a determina capacitatea organizației de a continua operațiunile esențiale de afaceri în perioada unei întreruperi IT.
Achiziționarea, dezvoltarea și implementarea sistemelor informatice (12%)
Asigurați-vă că practicile de achiziție, dezvoltare, testare și implementare a sistemelor informaționale îndeplinesc strategiile și obiectivele organizației.
- 3.1 Evaluează argumentele de afaceri pentru investițiile propuse în achiziționarea, dezvoltarea, întreținerea și retragerea ulterioară a sistemelor informatice pentru a determina dacă acestea îndeplinesc obiectivele de afaceri.
- 3.2 Evaluați practicile și controalele de gestionare a proiectului pentru a determina dacă cerințele de afaceri sunt îndeplinite într-un mod eficient din punct de vedere al costurilor, gestionând în același timp riscurile pentru organizație.
- 3.3 Efectuează analize pentru a determina dacă un proiect progresează în conformitate cu planurile de proiect, dacă este susținut în mod adecvat de documentație și dacă raportarea situației este exactă.
- 3.4 Evaluează controalele pentru sistemele informaționale în timpul fazelor de cerințe, achiziție, dezvoltare și testare pentru conformitatea cu politicile, standardele, procedurile și cerințele externe aplicabile ale organizației.
- 3.5 Evaluarea gradului de pregătire a sistemelor informaționale pentru implementare și migrare în producție pentru a determina dacă rezultatele proiectului, controalele și cerințele organizației sunt îndeplinite.
- 3.6 Efectuați evaluări post-implementare ale sistemelor pentru a determina dacă livrabilele proiectului, controalele și cerințele organizației sunt îndeplinite.
Exploatarea sistemelor informatice și Business reziliența (23%)
Asigurați-vă că procesele pentru operațiunile, întreținerea și suportul sistemelor informaționale îndeplinesc strategiile și obiectivele organizației.
- 4.1 Efectuați revizuiri periodice ale sistemelor de informații pentru a determina dacă acestea continuă să îndeplinească obiectivele organizației.
- 4.2 Evaluează practicile de gestionare a nivelului de servicii pentru a determina dacă nivelul de servicii din partea furnizorilor de servicii interni și externi este definit și gestionat.
- 4.3 Evaluați practicile de gestionare a terților pentru a determina dacă nivelurile de control așteptate de organizație sunt respectate de către furnizor.
- 4.4 Evaluați operațiunile și procedurile utilizatorilor finali pentru a determina dacă procesele programate și neprogramate sunt gestionate până la finalizare.
- 4.5 Evaluează procesul de întreținere a sistemelor informaționale pentru a determina dacă acestea sunt controlate eficient și continuă să susțină obiectivele organizației.
- 4.6 Evaluează practicile de administrare a datelor pentru a determina integritatea și optimizarea bazelor de date.
- 4.7 Evaluați utilizarea instrumentelor și tehnicilor de monitorizare a capacității și performanței pentru a determina dacă serviciile IT îndeplinesc obiectivele organizației.
- 4.8 Evaluați practicile de gestionare a problemelor și incidentelor pentru a determina dacă incidentele, problemele sau erorile sunt înregistrate, analizate și rezolvate în timp util.
- 4.9 Evaluează practicile de management al schimbărilor, configurării și lansării pentru a determina dacă modificările programate și neprogramate aduse mediului de producție al organizației sunt controlate și documentate în mod adecvat.
- 4.10 Evaluați caracterul adecvat al dispozițiilor de backup și de restaurare pentru a determina disponibilitatea informațiilor necesare pentru reluarea procesării.
- 4.11 Evaluați planul de recuperare în caz de dezastru al organizației pentru a determina dacă acesta permite recuperarea capabilităților de procesare IT în cazul unui dezastru.
Protecția activelor informaționale (27%)
Asigurați-vă că politicile, standardele, procedurile și controalele de securitate ale organizației asigură confidențialitatea, integritatea și disponibilitatea activelor informaționale.
- 5.1 Evaluează politicile, standardele și procedurile de securitate a informațiilor pentru a verifica dacă sunt complete și aliniate la practicile general acceptate.
- 5.2 Evaluați proiectarea, implementarea și monitorizarea controalelor de securitate logice și de sistem pentru a verifica confidențialitatea, integritatea și disponibilitatea informațiilor.
- 5.3 Evaluează proiectarea, implementarea și monitorizarea proceselor și procedurilor de clasificare a datelor pentru alinierea la politicile, standardele, procedurile și cerințele externe aplicabile ale organizației.
- 5.4 Evaluați proiectarea, implementarea și monitorizarea controalelor fizice de acces și de mediu pentru a determina dacă activele informaționale sunt protejate în mod adecvat.
- 5.5 Evaluați procesele și procedurile utilizate pentru a stoca, recupera, transporta și elimina activele informaționale (de exemplu, suporturi de backup, stocare în afara sediului, date pe suport de hârtie/imprimare și suporturi de tip softcopy) pentru a determina dacă activele informaționale sunt protejate în mod adecvat.
Cerințe
- 5 ani de experiență profesională în auditul IT sau în domeniul securității
- cunoștințe de bază în domeniul funcționării tehnologiei informației, al susținerii afacerilor prin tehnologia informației și al controlului intern.
Este posibilă scurtarea experienței profesionale necesare la 4 ani dacă candidatul are o diplomă de licență sau la 3 ani dacă are o diplomă de masterat.
Puteți susține examenul cu cerințe de experiență profesională neîndeplinite. Cu toate acestea, aceasta este o condiție care trebuie îndeplinită în termen de 5 ani de la data susținerii examenului. Dacă nu îndepliniți această condiție în termen de 5 ani, punctajul de trecere la examen va fi considerat nul și neavenit.
Audiență
- auditori
- Auditori de sisteme IT
- manageri de infrastructură IT,
- responsabili cu gestionarea riscurilor sau cu continuitatea activității,
- persoane responsabile pentru toate aspectele gestionării IT
Mărturii (3)
Questions, that helps me a lot to understand the characteristics of CRISC examination.
Masakazu Yoshijima - Bank of Yokohama, Ltd.
Curs - CRISC - Certified in Risk and Information Systems Control
The training was excellent, than you Ditmar.
Maria Gagliardi - EY Global Services (Poland) Sp. z o.o.
Curs - CISSP - Certified Information Systems Security Professional
I liked the in-depth knowledge about the subject of the trainer, good explanation, highlighting important things!.