Schița de curs
Gol:
Scopul final este de a trece examenul CISA prima dată.
Procesul de audit al sistemului informațional (21%)
Furnizarea de servicii de audit în conformitate cu standardele de audit IT pentru a asista organizația în protejarea și controlul sistemelor informatice.
- 1.1 Elaborarea și punerea în aplicare a unei strategii de audit IT bazate pe riscuri, în conformitate cu standardele de audit IT, pentru a se asigura că sunt incluse domeniile-cheie.
- 1.2 Planifică audituri specifice pentru a determina dacă sistemele informatice sunt protejate, controlate și oferă valoare organizației.
- 1.3 Realizează audituri în conformitate cu standardele de audit IT pentru a atinge obiectivele de audit planificate.
- 1.4 Raportează constatările auditului și face recomandări părților interesate cheie pentru a comunica rezultatele și pentru a efectua schimbări atunci când este necesar.
- 1.5 Efectuează acțiuni de urmărire sau pregătește rapoarte de situație pentru a se asigura că acțiunile corespunzătoare au fost luate de către conducere în timp util.
Guvernanță și Management de IT (17%)
Asigurarea faptului că există structura de conducere, structura organizațională și procesele necesare pentru a atinge obiectivele și pentru a sprijini strategia organizației.
- 2.1 Evaluați eficacitatea structurii de guvernanță IT pentru a determina dacă deciziile, direcțiile și performanțele IT sprijină strategiile și obiectivele organizației.
- 2.2 Evaluați structura organizațională IT și gestionarea resurselor umane (personal) pentru a determina dacă acestea sprijină strategiile și obiectivele organizației’s.
- 2.3 Evaluează strategia IT, inclusiv direcția IT, și procesele de elaborare, aprobare, implementare și menținere a strategiei’strategiei, pentru a stabili dacă sunt aliniate cu strategiile și obiectivele organizației.
- 2.4 Evaluează politicile, standardele și procedurile IT ale organizației’s IT, precum și procesele de elaborare, aprobare, implementare, întreținere și monitorizare a acestora, pentru a determina dacă acestea sprijină strategia IT și respectă cerințele legale și de reglementare.
- 2.5 Evaluați caracterul adecvat al sistemului de management al calității pentru a determina dacă acesta sprijină strategiile și obiectivele organizației’s într-o manieră eficientă din punct de vedere al costurilor.
- 2.6 Evaluați managementul IT și monitorizarea controalelor (de exemplu, monitorizarea continuă, asigurarea calității) pentru conformitatea cu politicile, standardele și procedurile organizației’s.
- 2.7 Evaluați practicile de investiție, utilizare și alocare a resurselor IT, inclusiv criteriile de prioritizare, pentru alinierea cu strategiile și obiectivele organizației’s.
- 2.8 Evaluează strategiile și politicile de contractare IT și practicile de gestionare a contractelor pentru a determina dacă acestea sprijină strategiile și obiectivele organizației’s.
- 2.9 Evaluați practicile de gestionare a riscurilor pentru a determina dacă riscurile legate de IT ale organizației’sunt gestionate în mod corespunzător.
- 2.10 Evaluați practicile de monitorizare și asigurare pentru a determina dacă consiliul de administrație și conducerea executivă primesc informații suficiente și în timp util cu privire la performanța IT.
- 2.11 Evaluați planul de continuitate a activității organizației’pentru a determina capacitatea organizației’de a continua operațiunile comerciale esențiale în perioada unei întreruperi IT.
Achiziționarea, dezvoltarea și implementarea sistemelor informatice (12%)
Asigurarea faptului că practicile de achiziție, dezvoltare, testare și implementare a sistemelor informatice îndeplinesc strategiile și obiectivele organizației.
- 3.1 Evaluează argumentele de afaceri pentru investițiile propuse în achiziționarea, dezvoltarea, întreținerea și retragerea ulterioară a sistemelor informatice pentru a determina dacă acestea îndeplinesc obiectivele de afaceri.
- 3.2 Evaluați practicile și controalele de gestionare a proiectului pentru a determina dacă cerințele de afaceri sunt îndeplinite într-un mod eficient din punct de vedere al costurilor, gestionând în același timp riscurile pentru organizație.
- 3.3 Efectuează analize pentru a determina dacă un proiect progresează în conformitate cu planurile de proiect, dacă este susținut în mod adecvat de documentație și dacă raportarea situației este exactă.
- 3.4 Evaluează controalele pentru sistemele informatice în timpul fazelor de cerințe, de achiziție, de dezvoltare și de testare pentru a verifica conformitatea cu politicile, standardele, procedurile și cerințele externe aplicabile ale organizației.
- 3.5 Evaluează gradul de pregătire a sistemelor informatice pentru implementarea și migrarea în producție pentru a determina dacă sunt îndeplinite produsele livrabile ale proiectului, controalele și cerințele organizației.
- 3.6 Efectuează revizuiri ale sistemelor după implementare pentru a determina dacă sunt îndeplinite produsele livrabile ale proiectului, controalele și cerințele organizației.
Exploatarea sistemelor informatice și Business reziliența (23%)
Asigurarea faptului că procesele de operare, întreținere și suport al sistemelor informatice îndeplinesc strategiile și obiectivele organizației.
- 4.1 Efectuează revizuiri periodice ale sistemelor informatice pentru a determina dacă acestea continuă să îndeplinească obiectivele organizației’s.
- 4.2 Evaluează practicile de gestionare a nivelului de servicii pentru a determina dacă nivelul de servicii din partea furnizorilor de servicii interni și externi este definit și gestionat.
- 4.3 Evaluați practicile de gestionare a terților pentru a determina dacă nivelurile de control așteptate de organizație sunt respectate de către furnizor.
- 4.4 Evaluați operațiunile și procedurile utilizatorilor finali pentru a determina dacă procesele programate și neprogramate sunt gestionate până la finalizare.
- 4.5 Evaluați procesul de întreținere a sistemelor informatice pentru a determina dacă acestea sunt controlate în mod eficient și continuă să sprijine obiectivele organizației’s.
- 4.6 Evaluează practicile de administrare a datelor pentru a determina integritatea și optimizarea bazelor de date.
- 4.7 Evaluați utilizarea instrumentelor și tehnicilor de monitorizare a capacității și a performanței pentru a determina dacă serviciile IT îndeplinesc obiectivele organizației’s objectives.
- 4.8 Evaluați practicile de gestionare a problemelor și incidentelor pentru a determina dacă incidentele, problemele sau erorile sunt înregistrate, analizate și rezolvate în timp util.
- 4.9 Evaluați practicile de gestionare a modificărilor, a configurației și a versiunilor pentru a determina dacă modificările programate și neprogramate aduse mediului de producție al organizației’s sunt controlate și documentate în mod adecvat.
- 4.10 Evaluați caracterul adecvat al dispozițiilor de backup și de restaurare pentru a determina disponibilitatea informațiilor necesare pentru reluarea procesării.
- 4.11 Evaluați planul de recuperare în caz de dezastru al organizației’s pentru a determina dacă acesta permite recuperarea capacităților de procesare IT în cazul unui dezastru.
Protecția activelor informaționale (27%)
Asigurarea faptului că politicile, standardele, procedurile și controalele de securitate ale organizației asigură confidențialitatea, integritatea și disponibilitatea activelor informaționale.
- 5.1 Evaluează politicile, standardele și procedurile de securitate a informațiilor pentru a verifica dacă sunt complete și aliniate la practicile general acceptate.
- 5.2 Evaluați proiectarea, implementarea și monitorizarea controalelor de securitate logice și de sistem pentru a verifica confidențialitatea, integritatea și disponibilitatea informațiilor.
- 5.3 Evaluați proiectarea, implementarea și monitorizarea proceselor și procedurilor de clasificare a datelor pentru alinierea la politicile, standardele și procedurile organizației, precum și la cerințele externe aplicabile.
- 5.4 Evaluați proiectarea, implementarea și monitorizarea controalelor fizice de acces și de mediu pentru a determina dacă activele informaționale sunt protejate în mod adecvat.
- 5.5 Evaluați procesele și procedurile utilizate pentru a stoca, recupera, transporta și elimina activele informaționale (de exemplu, suporturi de backup, stocare în afara sediului, date pe suport de hârtie/imprimare și suporturi de tip softcopy) pentru a determina dacă activele informaționale sunt protejate în mod adecvat.
Cerințe
- 5 ani de experiență profesională în audit IT sau în domeniul securității .
- Cunoștințe de bază în domeniul operării tehnologiei informației, al suportului de afaceri prin tehnologia informației și al controlului intern. .
Este posibil să se reducă experiența de muncă necesară la 4 ani dacă candidatul are o diplomă de licență sau la 3 ani dacă are o diplomă de master.
Puteți susține examenul chiar dacă nu ați îndeplinit cerințele privind experiența profesională. Cu toate acestea, aceasta este o condiție care trebuie îndeplinită în termen de 5 ani de la data susținerii examenului. Dacă nu îndepliniți această condiție în termen de 5 ani, nota de trecere a examenului va fi considerată nulă și neavenită.
Audiență
- auditori
- auditori de sisteme IT
- manageri de infrastructură IT,
- manageri de management al riscurilor sau de continuitate a activității,
- persoane responsabile pentru toate aspectele legate de managementul IT i .
Mărturii (4)
Lap Qradar
Sutthikan Noisombat - NTT
Curs - IBM Qradar SIEM: Beginner to Advanced
Hazem are o experiență foarte recentă de trecere a examenului și știe cum se întâmplă și cum ISC își structurează întrebările.
Ivan - EY GLOBAL SERVICES (POLAND) SP Z O O
Curs - Certified Information System Security Professional (CISSP) CBK Review
Tradus de catre o masina
Să fie abordabil și să ne împingă la interacțiune
Daniel - EY GLOBAL SERVICES (POLAND) SP Z O O
Curs - CISSP - Certified Information Systems Security Professional
Tradus de catre o masina
Am învățat informații valoroase pe care le voi putea prezenta în compania mea ca o soluție pentru unul dintre procesele
Paweł - Santander
Curs - Public Key Infrastructure
Tradus de catre o masina