追蹤
lionab資管物語
關於部落格
這是一個資訊管理, ERP, 3C, 旅遊, 勸敗的分享園地
  • 152783

    累積人氣

  • 53

    今日人氣

    0

    追蹤人氣

CISA國際電腦稽核師認證考試心得

Certified Information Systems Auditor 「國際電腦稽核師(CISA)」認證是由國際電腦稽核協會(ISACA)所發起的,國際電腦稽核協會在台灣也有分會(ISACA台灣分會),其實也就是中華民國電腦稽核協會(CAA),大家可以參考CAA網站上關於CISA的完整介紹。除了CISA以外,CISM、CGEIT、COBIT也都ISACA所發起的認證,關於其它認證的訊息請自行參考ISACA官方網站。

另外順道一提,「ISACA」在美國官方網頁上的繁體中文翻譯是「國際資訊系統審計協會」,因此有網友對於CISA的中文翻譯有不同看法,有人認為依字面上的意思來說,CISA應該翻譯為"國際資訊系統稽核師"認證,不過我覺得翻譯這個問題見仁見智,ISACA台灣分會的官方網站上對於CISA的翻譯一直以來都是「國際電腦稽核師」認證,而且以台灣來說,"電腦稽核"是台灣習慣用語,所以我們不必太研究這個問題。

首先,先說一下什麼是"電腦稽核",以我的理解來說,電腦稽核主要是對資訊部門作稽核,包含資訊政策、資訊治理、資訊系統、資訊安全及資訊組織架構等,因為資訊系統被公司所有的部門使用,所以為了達到企業持續經營的目標,確保資訊系統內資訊的正確性及安全性,包含自動化資訊系統或非自動化流程以及他們之間介面的覆核與評估,以現代企業對電腦系統依賴的程度來說,整個企業都會在電腦稽核的範圍內。
另外值得一提的是,在104人力銀行裡有些公司的資訊安全經理職缺,普遍要求的證照除了 CISSP或 SSCP以外,CISA也是被認可的證照之一,這是因為資訊安全在電腦稽核裡是一項很重要的稽核重點,這也代表CISA在資訊安全領域也有不小的份量。

要獲得CISA認證資格的條件,主要有二個關卡,
1. 首先要通過CISA考試,CISA考試每年固定在6月及12月舉辦,考題為200題,在四小時內作答完畢,考試參考書目是ISACA每年所出版的CISA Review Manual。
2. 通過考試後才可以開始向ISACA提出CISA認證的申請,所謂的申請就是提出五年以上電腦稽核、控管、認證與安全實務方面工作經驗的證明文件,不過它另外有相關折抵工作經驗的規定,例如大學四年的學分可以折抵二年電腦稽核的工作經驗,資訊相關的工作經驗也能折抵一年電腦稽核的工作經驗,詳細說明請參考官方網站。
獲得CISA認證後,並不是一勞永逸,還有二項條件,才能維持CISA的資格,
1.每年按時繳交ISACA的會費
2.要持續進修,每三年要獲得120個持續職業進修(CPE)學時,也是因為這一點,在資訊科技不斷改變的環境中,才能確保每位CISA的專業能力

CISA考試報名
每年考試前ISACA都會公佈
考試簡章,先詳讀那年的考試簡章,因為裡面有報名費、優惠及報名截止日期及考試相關事項。ISACA建議大家直接到ISACA網站直接報名,這也是我認為比較方便的方式,報名時直接加入ISACA會員的話有優惠,在優惠日期前提早報名也有價格上的優惠,考試費用以2009年考試簡章來說,約美金 395元至575元,也就是說先加入ISACA會員並提早報名的話可以便宜近200美金的考試報名費用,所以...根本不用想,加入就對了。提醒一點,考試報名截止日期是以美國芝加哥市的時間為準,所以即使在台灣最後一天優惠報名日期截止後,還是有幾個小時的緩衝時間可以用優惠價格報名。
另外還有一點很重要的就是英文姓名,一定要跟護照上的一樣,因為考試當天需要攜帶有照片及英文姓名的身份證明文件,也就是護照,監考官會仔細查驗,所以千萬不要打錯英文姓名。
報名時,要選擇考試地點及考試的語言、有英文、簡体中文及繁體中文可選,我個人是選繁體中文,不過如果你的英文閱讀程度很好的話,我比較建議直接選擇英文題目,因為英文的考試資源在網路上比較多,在網路上我還沒有看過有繁體中文考古題,相對來說,簡体中文考古題還比較容易找到。

CISA考試準備
1. 我因為對電腦稽核領域並不熟悉,所以選擇到CAA開辦的"CISA認證研習班"上課,費用3萬元,教材是中文教材,講師也都是以中文上課,老實說,上課對於考試的幫助有限,以全班同學共有14人,有10人報考,但是考上的只有2位可見一般,不過對於電腦稽核觀念的養成,對我仍有一定的幫助。在這裡還是要提一下,可能碰到少數上課的講師對於教材裡的專業名詞不太會解說,大家只好自求多福。
聽協會秘書說,這次考試,有家公司有三人同時參加,結果沒上課也全考上了,所以考試這種事是沒個準的。

2. CISA考試範圍內,資訊專業的份量比稽核專業的比重高,所以資訊出身的考生比較佔優勢,但也只是好一點而已,因為另一方面,越懂技術的工程師越難接受稽核的觀念,腦子越不容易轉過來,所以我們上課時,同學都打趣說,讓大學剛畢業的學生來考是最容易的,因為他們還沒有實務上既定的觀念,可以很快接受ISACA的思維邏輯。

3. CISA考試難不難,真的很難,從ISACA鼓勵考生多作題目這件事上就可略知一二,因為每年CISA的考題幾乎都不會重複,但是即使如此,網路上找的題目仍然一定要看,因為在作題過程中可以慢慢修正我們的思考邏輯。

例題1:
高階主管要求資訊系統稽核部門查核系統軟體的存取控制,但目前該部門卻無任何一位稽核人員熟悉此領域之查核,請問資訊系統稽核部門該如何處理?。
A.還是派稽核人員進行查核
B.在系統軟體管理員協助下進行查核
C.先讓稽核人員接受該系統軟體之教育訓練,再進行查核
D.邊做邊學

各位覺得答案應該是什麼呢? 多數專業的工程師很容易答錯,在2009年時的正確答案是 C
每年ISACA都會發佈新版CISA Review Manual, 不斷修正新的稽核實務, 正確答案應以最新版CISA Review Manual為準

4. 考題類型大多是實務題,也就是情境題,在某種情況下問你怎麼作,這種題目麻煩的是,同樣的題目讓你再作一次,你也不一定會答對,考題裡需要背誦的題目相對來說比較少,既使有也大都是資訊相關專業名詞的解釋或應用,所以對於CISA Review Manual裡提到的專有名詞,一定要徹底瞭解其意義,因為這些是唯一我們能確切拿到分數的題目。

5. 報名CAA的CISA認證研習班時,CAA會贈送一本"2002年CISA600複習題庫",這本書真不是我要再次抱怨,翻譯得太差勁了,很多題目是有看沒有懂,而且錯誤一堆,我將有問題的題目寫Mail反應給CAA,也得不到協會方面的正面回應。如果時間不夠的話,這本書看一遍就夠了,不看也行。

6. CISA Review Manual裡分為六科(新版Review manual已改為五科),每科都有不同的出題比重,其中對IT本業的人來說,最容易拿到高分的就是Protection of Information Assets,我跟另一位通過考試的同學 ,都是這一科拿到高分,不過並不是說分數比重低的科目可以放棄,只是比重高的科目一定要花更多時間,儘可能地拿到最高分,不然其他科目要拿高分就難了。

我在考試報名時選擇了繁體中文題目,但是在網路上竟然找不到繁體中文考古題,因此我在上完課後到考試前的一個月內,大多看的是簡体的考古題,參考的資料如下:
a. 2002年CISA600複習題庫,這是由CAA贈送的繁體中文題庫,我有作過一遍並對過答案,對於自己作錯的題目,看詳解搞清楚,雖然這本書的詳解寫得很差,但好過沒有。看不懂的題目,如果看了詳解還是不懂,很正常,直接跳過,因為我也看不懂....呵呵,部份題目的翻譯及中文文法很差。

b. 2006年CISA Review Manual簡体版手冊及題庫,這是大陸以2006年版的CISA Review Manual為範本所翻譯的手冊及題庫,有大陸網友將整本書掃描成PDF檔放到網路上嘉惠考生,對於考繁體中文題目的我來說,真是CISA考海中的一盞明燈呀! 這裡我要稱許一下這本書,內容詳盡,題目翻譯雖有兩岸專業名詞上的差異,但仍不難看懂,雖然我沒有把手冊看過一遍,但我把題目作過一遍,作錯的題目一定會看詳解搞清楚,而遇到我認為比較重要的觀念,會再看手冊裡更詳細的內容。不過如果有時間的話,建議2006年簡体版手冊要看過一遍以上,而且是每天都要看,即使每天只看一點點,多少增加一點印象。

c. 2008年版題庫,這是在網路上下載的,它原來是英文的題目,不過有大陸善心人士翻譯了其中部份題目及詳解,雖然不完全,但我接著用翻譯軟體把其他題目也翻譯完了,雖然翻得不好,但也儘量整理成以看得懂為原則了。這個作了二遍,第一遍把不會作或沒把握的作上記號,作第二遍時就只作有作上記號的,這樣可以節省時間。

考試時間雖然有四個小時可以作答,但考題總數有200題,別以為時間很充足,因為題目大多數是情境題,對與錯常常是一念之間,要花不少時間思考,我則是把題目剛好作完而已,還來不及作檢查呢!所以大家劃答案卡時,一定要記得先劃好,免得最後沒時間劃答案卡。
以2008年12月的考題來說,我覺得翻譯得不錯,專業名詞也有附註原文,所以整體來說,中文題目並不會在翻譯上讓人覺得困惑。
考試範圍在CISA Review Manual裡分為六大(新版已併為五大)實務範圍,所佔題目數各有不同的比重,可以參考報名簡章裡的說明,考試通過分數為 450分,我考了468分,僥倖低飛通過,以下是我這次考試中各科的分數供大家參考:
SCALED SCORES OF YOUR PERFORMANCE BY AREA:
         618  IS Audit Process
         307  IT Governance
         306  Systems and Infrastructure Life Cycle Management
         329  IT Service Delivery and Support
         645  Protection of Information Assets
         458  Business Continuity and Disaster Recovery

考完試後大約七週左右(官方說法是八週),就會收到ISACA成績通知的Mail,收到Mail確認自己通過考試後,就可以到ISACA網站下載
CISA申請表,以提出電腦稽核相關的工作經驗證明,我是用二年的元智大學二技學分折抵一年的電腦稽核相關工作經驗,先到學校網站上申請"英文成績單",再請現在公司的執行長幫我在申請表上親筆簽名,證明我有四年以上電腦稽核控管相關的工作經驗,總共加起來要有五年以上的電腦稽核相關工作經驗,再將全部文件傳真到ISACA,另外也可以把文件掃描成圖檔,再用電子郵件寄給ISACA,這二種是比較快的方式,當然也可以直接用郵局寄的。ISACA收到文件後,會在隔天用e-Mail確認收到你的申請文件,大約在三週後,就會用Mail確認你是否通過CISA的申請,如果通過的話,在Mail裡會通知你的CISA資格生效日期,從生效日期開始你就可以開始進行三年120學時的"持續進修計劃"的進修作業,因為從生效日期起的進修時數才會被承認,而且明年一月一日起才是持續進修計劃的第一年起算日,今年進休的時數可以累計在明年,也就是第一年的進修時數裡。CISA的證書則是在Mail通知後的一個月左右就收到了。

得到CISA認證後,先暫時當作第二專長來看,雖然筆者也考慮過以後要不要轉換跑道走電腦稽核這一行,因為這一塊領域在將來絕對會越來越受到企業的重視,只是現在電腦稽核還在起步階段,在職場中還甚少見到專門尋找電腦稽核人才的公司,現在懂稽核的人大都不懂電腦技術,所以懂電腦稽核的人還是鳳毛麟角,隨著企業大量使用電腦,稽核作業和資訊科技脫不了關係,在可預見的將來,電腦稽核一定會成為一項熱門職業。

2009/6/19後記:
聽說這次 2009年6月的考試題目翻譯得很差,還有錯別字,所以打算要考試的同學,要自求多福了。
2012/1/21後記:
聽說ISACA對於台灣的繁體中文題目,已經找了台灣相關專業人士作繁體中文的校訂工作,也就是說,以後考試題目的中文翻譯不佳的問題應該已經得到解決了。

相簿設定
標籤設定
相簿狀態