01、什么是IT審計(jì)

IT審計(jì)就是信息系統(tǒng)審計(jì)，是獨(dú)立于信息系統(tǒng)本身、信息系統(tǒng)相關(guān)開發(fā)、使用人員的第三方——IT 審計(jì)師采用客觀的標(biāo)準(zhǔn)對信息系統(tǒng)的策劃、開發(fā)、使用維護(hù)等相關(guān)活動和產(chǎn)物進(jìn)行完整地、有效地檢查和評估。

02、什么是CISA

注冊信息系統(tǒng)審計(jì)師資格認(rèn)證

(英語：Certified Information Systems Auditor，簡稱CISA), 也稱IT審計(jì)師，是由信息系統(tǒng)審計(jì)與控制協(xié)會(ISACA)授予的關(guān)于信息系統(tǒng)審計(jì)、信息安全和信息系統(tǒng)控制相關(guān)的知識及技能的國際認(rèn)證。要通過此項(xiàng)認(rèn)證需通過ISACA組織的考試。

(證書樣本)

03、IT審計(jì)未來發(fā)展前景如何

市場需求

就大市場本身來說，越來越多的公司開始使用大型數(shù)據(jù)庫、互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算、IT系統(tǒng)來支持他們的日常商業(yè)活動，例如：財(cái)會系統(tǒng)、公司各類報(bào)表、內(nèi)部HR系統(tǒng)、軟件開發(fā)、源數(shù)據(jù)管理等。

如果要是銀行，那么用到IT的機(jī)會就太多了。例如：基金、股票交易、外匯交易-- 目前來看99%的transactions都已經(jīng)是automation了，真正人手去操作的情況越來越少。

發(fā)展方向

計(jì)算機(jī)、數(shù)據(jù)庫的應(yīng)用會大大的減少人所帶來的失誤(human error)，從而進(jìn)一步降低成本、降低風(fēng)險(xiǎn)。這是大趨勢，也是大方向。IT審計(jì)人才緊缺，每個(gè)人都在討論IT審計(jì)的重要性，但懂得人少之又少。相比，我相信國內(nèi)的情況也應(yīng)該是一樣。

因?yàn)椋瑲w根結(jié)底，所有的科技元素都需要人的管理。這就給IT審計(jì)這個(gè)專業(yè)提供了非常好的平臺。

IT開發(fā)人員并不具備很好的信息安全理念，由此導(dǎo)致不少違規(guī)操作，例如：上線的application依然存在后門，程序員可以隨意修改數(shù)據(jù)，會導(dǎo)致數(shù)據(jù)泄露風(fēng)險(xiǎn)，數(shù)據(jù)質(zhì)量下降等問題。越來越多的公司意識到，他們需要一批懂得IT+審計(jì)+商業(yè)背景的人來管理IT系統(tǒng)，并提供獨(dú)立的審計(jì)意見(audit opinion)。

04、IT審計(jì)師的工作內(nèi)容是什么

審計(jì)過程的兩個(gè)階段

●制度、流程、控制措施的設(shè)計(jì)有效性檢查階段

●制度、流程、控制措施的執(zhí)行有效性檢查階段

ELC(entity level control)控制

就是看看客戶在IT治理方面的相關(guān)組織架構(gòu)是否合理，書面的管理制度是不是健全，具體的審計(jì)程序就是獲取客戶的組織結(jié)構(gòu)圖，及一些比較虛的總綱類的書面管理制度如《IT管理制度》等等。

系統(tǒng)開發(fā)和變更

關(guān)注系統(tǒng)開發(fā)和系統(tǒng)后續(xù)小變更中的一些控制，具體的審計(jì)程序就是獲取系統(tǒng)開發(fā)及變更相關(guān)的管理制度，典型的如《系統(tǒng)開發(fā)制度》《系統(tǒng)變管理制度》等來看一看。

操作系統(tǒng)及數(shù)據(jù)庫控制

這一部分具體就是看操作系統(tǒng)和數(shù)據(jù)庫登錄是不是要密碼，然后把登錄界面截個(gè)屏作為審計(jì)證據(jù)K進(jìn)底稿里，蠻弱智的。然后呢就是調(diào)出操作系統(tǒng)及數(shù)據(jù)庫中的一些安全配置，如密碼是不是強(qiáng)制一個(gè)月改一次，再者就是看用戶權(quán)限管理是否按照基于角色來進(jìn)行權(quán)限分配等等。

應(yīng)用系統(tǒng)控制

關(guān)注點(diǎn)同操作系統(tǒng)及數(shù)據(jù)庫。不過應(yīng)用系統(tǒng)千變?nèi)f化，比如銀行里面比較大的應(yīng)用系統(tǒng)就有綜合業(yè)務(wù)系統(tǒng)(有的叫核心業(yè)務(wù)系統(tǒng))、國際結(jié)算系統(tǒng)、大小額系統(tǒng)、信貸管理系統(tǒng)等。

但萬變不離其綜，這些系統(tǒng)做ITGC思路都是一樣的，就看安全配置和用戶權(quán)限。

接口控制與信息安全

各種系統(tǒng)之前會有接口，那么數(shù)據(jù)從一個(gè)系統(tǒng)傳輸?shù)搅硪幌到y(tǒng)中數(shù)據(jù)的準(zhǔn)確性完整性要得到保證。信息安全就是看看網(wǎng)絡(luò)管理相關(guān)的制度，看看防火墻的結(jié)構(gòu)，內(nèi)外網(wǎng)是不是分離啊等等。

05、云計(jì)算環(huán)境下，CISA為什么更火了

影響云計(jì)算的關(guān)鍵因素之一的網(wǎng)絡(luò)帶寬越來越快，應(yīng)用程序也越來越Web化，移動終端更讓傳統(tǒng)的IT架構(gòu)受到?jīng)_擊，IT網(wǎng)絡(luò)安全人員的未來職業(yè)發(fā)展方向何在?

相信不少IT人曾經(jīng)想過：在十年前，網(wǎng)絡(luò)工程師、系統(tǒng)工程師、軟件工程師和數(shù)據(jù)庫工程師等等都是非常吃香的職業(yè)，特別是持有廠商類頂級認(rèn)證的技術(shù)專家，為什么現(xiàn)今好像不是那么火了呢?

反而持有CISA等國際資質(zhì)成了人才市場上的香餑餑。下面我們一起簡單分析一下：

系統(tǒng)生命周期

信息系統(tǒng)也有一個(gè)生命周期，電信網(wǎng)絡(luò)和信息系統(tǒng)的大規(guī)模建設(shè)階段早已完結(jié)，部分系統(tǒng)建設(shè)人員隨即轉(zhuǎn)為日常運(yùn)營人員，再加上新進(jìn)入行業(yè)的，運(yùn)維階段的專業(yè)人員需求不會再那么猛烈，市場進(jìn)入一種相對的飽和狀態(tài)。一部分技術(shù)專業(yè)人員已經(jīng)占據(jù)著關(guān)鍵的位置，便開始享受生活和工作的平衡，然而向上攀爬的位置總是有限的，不甘平庸的一部分專業(yè)人員開始將眼光轉(zhuǎn)向更寬廣的領(lǐng)域并著手行動，這部分人創(chuàng)造了新的機(jī)會，也正是他們推動著組織機(jī)構(gòu)乃至國家社會的進(jìn)步。

IT外包興起

專業(yè)人員成本的壓力促使了IT服務(wù)外包的興起，呼叫中心、軟件開發(fā)、業(yè)務(wù)流程等等向人力成本更為低廉的國家和地區(qū)遷移，互聯(lián)網(wǎng)的便利性使智力資源很快就得到了重新的再分配，小部分IT工程師進(jìn)入服務(wù)外包領(lǐng)域造成剩余的大部分IT工程師不得不轉(zhuǎn)型，項(xiàng)目管理、風(fēng)險(xiǎn)控制、網(wǎng)絡(luò)安全、服務(wù)管理等相關(guān)的新職能也相繼出現(xiàn)，正好能吸納一部分轉(zhuǎn)型人員。

科學(xué)技術(shù)迭代

科技的不斷改進(jìn)和創(chuàng)新，使相關(guān)的工作變得更標(biāo)準(zhǔn)化、系統(tǒng)化和自動化，IT應(yīng)用和操作變得更為簡單，甚至使維護(hù)相關(guān)工作不需要太多手工操作，自然不需過多人力，同時(shí)卻提高了業(yè)務(wù)人員熟練使用IT系統(tǒng)的要求，IT背景的人員在系統(tǒng)操作方面則更有優(yōu)勢，所以一部分工程師轉(zhuǎn)向業(yè)務(wù)方向，敏捷方向，同時(shí)部分占據(jù)了IT與業(yè)務(wù)之間的溝通橋梁位置，幫助利用信息系統(tǒng)來促進(jìn)商業(yè)創(chuàng)新。

計(jì)算機(jī)相關(guān)專業(yè)畢業(yè)生激增

高等教育擴(kuò)招，比較容易上手且繁瑣的工作多數(shù)會交給職場新人，自然只需保留少量關(guān)鍵崗位的核心員工，同時(shí)，這些職場新人需要師傅，當(dāng)然IT工程師有了走向管理之路的通道，開始攀爬主管、經(jīng)理、總監(jiān)直至C級別的高級總裁職位;

網(wǎng)絡(luò)黑客的增多

互聯(lián)網(wǎng)泡沫等造富神話破滅，成功者畢竟是少數(shù)，多數(shù)網(wǎng)絡(luò)公司無法支撐下去，大量倒閉的公司造成部分專業(yè)人員轉(zhuǎn)攻新興領(lǐng)域或利基領(lǐng)域，人們常說除了吃飽喝足，新的高層次需求都是人造出來的，向沒穿過鞋的原始部落賣鞋的故事在今天更有它積極的商業(yè)道理;問題是有部分專業(yè)人員不去創(chuàng)造社會價(jià)值，而轉(zhuǎn)向了偷竊他人的勞動成果，這就是廣義上人們所講的黑客，有了黑客，當(dāng)然就有了防范黑客的群體——計(jì)算機(jī)網(wǎng)絡(luò)信息安全行業(yè)的專家團(tuán)隊(duì)，為什么說群體或團(tuán)隊(duì)?

因?yàn)槿说木κ怯邢薜模袠I(yè)涵蓋甚廣，總有一名黑客經(jīng)過鉆研而非常熟知而一名安全專家卻不甚清楚的領(lǐng)域，這名黑客就需要另一名對這個(gè)領(lǐng)域也很精深的安全專家來對付，所以安全專家團(tuán)隊(duì)至少要兩種人：一種向深度發(fā)展，某一細(xì)分領(lǐng)域的安全專家;另一種是全面發(fā)展，能力包括架構(gòu)設(shè)計(jì)、溝通協(xié)調(diào)以及整合管理等方面的。

以上這些都可以在CISA培訓(xùn)中得到很好的回答，取得CISA資格認(rèn)證不被時(shí)代淘汰，加速職業(yè)發(fā)展。