CISA: Certified Information Systems Auditor
Цена в группе | 160000р. |
Индивидуальная | 250000р. |
Часы CPE | 40 ч. |
Ближайшая дата | - |
Список курсов
Московское отделение ISACA предлагает 5-дневный подготовительный курс к сертификационному экзамену CISA: Certified Information Systems Auditor, что в переводе означает Сертифицированный аудитор информационных систем.
Это независимая и самая престижная сертификация ИТ-аудиторов. Программа курса CISA аккредитована ANSI и признана на государственном уровне во многих странах.
Тренинг CISA разработан и утвержден глобальной ISACA и является официальной программой сертификации.
Обучение проводится аккредитованными ISACA/APMG тренерами.
В последний день обучения будет проведен пробный экзамен CISA и выдан сертификат Московского отделения ISACA о прохождении тренинга с зачислением 40 CPE.
В стоимость курса входит обучение, официальное учебное пособие ( CISA Review Manual), пробный экзамен.
Описание тренинга
Курс CISA: Certified Information Systems Auditor представляет теоретические знания и практические навыки в области ИТ-аудита, демонстрирует его местонахождение в системе внутреннего контроля организации, а также связь с процессами информационной безопасности; содержит практические рекомендации по успешной реализации ИТ-аудита; практические навыки по реализации ИТ-контролей и мер реагирования на риски, связанные с информационными активами организации.
Цели курса – подготовка к сдаче сертификационного экзамена CISA.
- Понять цели и задачи ИТ-аудита, его место в системе внутреннего контроля;
- Изучить техники планирования и проведения аудита, сбора информации и аудиторских доказательств;
- Научиться управлять информационными рисками и проводить аудит информационной безопасности.
- Выработать подход по оценке результативности и эффективности контрольной среды в операционной деятельности ИТ/ИБ;
На кого рассчитан тренинг?
Руководители и специалисты в области ИТ, специалисты в области информационных и операционных рисков, безопасности информационных систем, специалисты в области внутреннего контроля и ИТ-аудита.
Продолжительность курса – 5 дней
Программа курса
День 1
Время | Тема |
10:00 | Приветствие. |
Структура и цели курса. | |
Стандарты и методологии в ИТ. Роль ИТ аудита в организации. | |
Домен 1 — Процесс аудита информационных систем. | |
Планирование процесса ИТ аудита. Обеспечение ценности ИТ аудита, через повышение контроля и степени защищенности информационных систем. | |
Проведение ИТ аудита на основе риск-ориентированного подхода, в соответствии со стандартами ISACA. | |
Использование утилит в процессе ИТ аудита. | |
Оценка текущего состояния. Доведение до заинтересованных сторон выявленных несоответствий в ходе аудита. | |
17:00 | Составление плана корректирующих действий, с целью обработки выявленных на аудите рисков и несоответствий. |
День 2
Время | Тема |
10:00 | Оценка контрольной среды. Процесс непрерывного мониторинга. |
Определение областей для улучшения качества и контроля информационных систем. | |
Построение процесса непрерывного совершенствования. Закрепление руководящих принципов в политиках и процедурах организации. | |
Домен 2 – Руководство и управление ИТ. | |
Приведение в соответствие стратегии ИТ и бизнес стратегии организации. | |
Оценка результативности организационной структуры ИТ и штатного расписания. | |
Оценка политик и практик по управлению ИТ. | |
Оценка политик и практик на соответствие законодательным и регуляторным требованиям. | |
Оценка текущих ИТ ресурсов. Формирование портфеля трансформационных проектов для достижения целей и задач организации. | |
Политики и практики по управлению ИТ рисками. | |
Мониторинг контрольной среды. | |
Оценка KPIs и формирование отчетности. | |
17:00 | Процесс управления ИТ поставщиками. Выбор ИТ решений, в соответствии с текущими бизнес требованиями. |
День 3
Время | Тема |
10:00 | Оценка ИТ сервисов на основе бизнес требований. |
Периодический анализ информационных систем и архитектуры предприятия. | |
Управление данными. Оценка политик и процедур. | |
Анализ рисков и возможностей при изменении контекста организации. | |
Домен 3 – Закупка, разработка и внедрение информационных систем. | |
Оценка техникоэкономического обоснования, при внедрении новых информационных систем, на соответствие бизнес требованиям. | |
Оценка проектной деятельности в ИТ. | |
Оценка контролей на всех стадиях жизненного цикла разработки информационных систем. | |
Оценка готовности ИС к внедрению и миграции в производственную среду. | |
Анализ ИС после внедрения. Оценка результатов проектов, контролей и выполнения требований бизнеса. | |
17:00 | Оценка процессов управления изменениями, конфигурациями, релизами и патчами. |
День 4
Время | Тема |
10:00 | Домен 4 – Операционная деятельность ИТ и устойчивость бизнеса. |
Оценка способности организации продолжать бизнес деятельность в случае сбоев. | |
Оценка практик по управлению ИТ сервисами на основе бизнес требований. | |
Оценка результативности контрольной среды в операционной деятельности ИТ. | |
Регулярное техническое обслуживание ИТ активов. Предотвращение сбоев в работе ИТ. | |
Оценка работы систем управления базами данных. | |
Оценка политик и практик по управлению данными. | |
Оценка политик и практик по управлению инцидентами и проблемами. | |
Оценка политик и практик по управлению изменениями, конфигурациями, релизами и патчами. | |
17:00 | Оценка контролей на рабочих станциях пользователей. |
День 5
Время | Тема |
10:00 | Домен 5 – Защита информационных активов. |
Проведение аудита, в соответствии со стандартами ИБ, на основе риск-ориентированного подхода. | |
Оценка политик и практик по управлению персональными данными. | |
Оценка результативности контролей окружающей среды и физической защиты. | |
Политики и практики классификации информационных активов. | |
Политики и практики по управлению жизненным циклом информационных активов. | |
Оценка результативности логических контролей для верификации конфиденциальности, целостности и доступности информационных активов. | |
Оценка программы ИБ на соответствие целям и задачам организации. | |
Проведение технического тестирования для идентификации потенциальных уязвимостей в информационных системах. | |
17:00 | Пробный экзамен CISA (75 вопросов на 2 часа). |
Возможна адаптация содержания и продолжительности курса, в соответствии с приоритетами и потребностями заказчика
Сертификат Аудитора Информационных Систем является основной сертификацией Международной Ассоциации Аудиторов Информационных Систем (ISACA). С 1978 года эта сертификация является мерилом передового опыта в области аудита ИТ и информационной безопасности. С момента ее создания более 60 тысяч специалистов во всем мире прошли эту сертификацию и она стала всемирно признанной и принятой "де-факто", как символ достижения высокого профессионального уровня в этой области.
Соискателю квалификации CISA необходимо пройти следующие этапы:
- Успешно сдать квалификационный экзамен.
- Заполнить и выслать форму о присвоении квалификации (Application for CISA Certification)
- Подписать Кодекс Профессиональной Этики
- Принять обязательство о непрерывном совершенствовании компетенций (Continuing Professional Education Program)
- Принять обязательство следовать стандартам аудита
Успешно сдать квалификационный экзамен.
Экзамен может сдать любой желающий, если проявит должное усердие при подготовке. В случае успешной сдачи, кандидат получит на электронную почту всю необходимую информацию о процедуре присвоения квалификации, включая результаты экзамена с разбивкой по доменам. Более подробная информация о доменах находится тут: CISA Certification Job Practice. Также, на основном сайте, есть возможность заказать материалы для подготовки или можно связаться с нами, через форму обратной связи.
Заполнить и выслать форму о присвоении квалификации.
После успешной сдачи экзамена, для присвоения квалификации, необходимо предоставить подтверждение релевантного опыта. Для этого следует предоставить форму о присвоении квалификации (Application for CISA Certification), в которую входит описание, как минимум, 5-летнего опыта работы в подразделениях ИТ/ИБ аудита с описанием выполняемых функций (по данному примеру job practice). Если у кандидата нет такого опыта, то, максимум 3-летний опыт, можно подтвердить следующим образом:
- Максимум 1 год опыта в Информационных Технологиях или 1 год опыта аудита не в ИТ области может быть приравнен к году опыта в ИТ аудите.
- от 60 до 120 университетских часов (что является эквивалентом 2-годового или 4-годового образования) могут быть засчитаны за 1 или 2 года соответственно.
- Степень бакалавра или магистра университета, являющегося партнером ISACA, может быть засчитан за 1 год опыта. Список таких ВУЗов находится тут www.isaca.org/modeluniversities. Эта опция не может быть использована, в случае, если Вы уже указали 3 года опыта плюс образование.
- Магистратура по специальностям Информационные Технологии или Информационная Безопасность в аккредитованных университетах, дает 1 год дополнительно.
Исключение: 2 года на полной занятости в качестве университетского инструктора в соответствующих областях, такие как ИТ, Финансы, ИТ аудит могут быть засчитаны за 1 год опыта.
Пример минимальных требований: 2 года за счет 120 часов образования требуют 3 года реального опыта работы.
Опыт засчитывается за:
- 3 года ИТ аудита, внутреннего контроля или работы в подразделении Информационной Безопасности
ИЛИ
- 2 года ИТ аудита, внутреннего контроля или работы в подразделении Информационной Безопасности и 1 год аудита в не ИТ аудите или 2 года инструктором в университете с полной занятостью.
Важным является то, что кандидат, при успешной сдаче экзамена, может не иметь необходимого опыта.
В данном случае, квалификация не присваивается до тех пор, пока необходимый опыт не будет получен.
Опыт работы засчитывается за 10 лет, предшествующих дате заявления или в течение 5 лет с момента успешной сдачи экзамена. Форма о присвоении квалификации доступна по адресу www.isaca.org/cisaapp
Подписать Кодекс Профессиональной Этики
Члены ISACA и/или обладатели сертификатов CISA принимают обязательство о соблюдении Кодекса Профессиональной Этики Code of Professional Ethics.
Принять обязательство о непрерывном совершенствовании компетенций (Continuing Professional Education Program)
Цели непрерывного совершенствования компетенций:
- Поддержка компетенций на должном уровне, обновление/актуализация навыков и знаний в областях ИТ аудита, контролей, информационной безопасности.
- Показать разницу между обладателем квалификации CISA и теми, кто не удовлетворяет требованиям по поддержке квалификации.
- Предоставить механизмы для аудита и мониторинга информационных систем, контрольной среды и компетенций ИТ/ИБ профессионалов.
- Демонстрация высшему руководству необходимость формального подхода к ИТ аудиту, контрольной среде и ИБ функционалу, а также, формирование критериев по выбору и развитию персонала.
Минимальные требования по поддержанию квалификации 20 часов (CPE) в год, при этом, необходимо набирать 120 часов за фиксированный 3 летний цикл.
Смотрите подробнее Continuing Professional Education Policy.
Принять обязательство следовать стандартам аудита
Специалист, получивший квалификацию CISA, обязуется следовать профессиональным стандартам, разработанных и адаптированных ISACA.
ISACA просит заметить, что на заявление о присвоении квалификации может ответить отказом. Все вопросы, связанные с отказами просит присылать в органы по сертификации.