01、什么是IT審計

IT審計就是信息系統審計，是獨立于信息系統本身、信息系統相關開發、使用人員的第三方——IT 審計師采用客觀的標準對信息系統的策劃、開發、使用維護等相關活動和產物進行完整地、有效地檢查和評估。

02、什么是CISA

注冊信息系統審計師資格認證

(英語：Certified Information Systems Auditor，簡稱CISA), 也稱IT審計師，是由信息系統審計與控制協會(ISACA)授予的關于信息系統審計、信息安全和信息系統控制相關的知識及技能的國際認證。要通過此項認證需通過ISACA組織的考試。

(證書樣本)

03、IT審計未來發展前景如何

市場需求

就大市場本身來說，越來越多的公司開始使用大型數據庫、互聯網、大數據、云計算、IT系統來支持他們的日常商業活動，例如：財會系統、公司各類報表、內部HR系統、軟件開發、源數據管理等。

如果要是銀行，那么用到IT的機會就太多了。例如：基金、股票交易、外匯交易-- 目前來看99%的transactions都已經是automation了，真正人手去操作的情況越來越少。

發展方向

計算機、數據庫的應用會大大的減少人所帶來的失誤(human error)，從而進一步降低成本、降低風險。這是大趨勢，也是大方向。IT審計人才緊缺，每個人都在討論IT審計的重要性，但懂得人少之又少。相比，我相信國內的情況也應該是一樣。

因為，歸根結底，所有的科技元素都需要人的管理。這就給IT審計這個專業提供了非常好的平臺。

IT開發人員并不具備很好的信息安全理念，由此導致不少違規操作，例如：上線的application依然存在后門，程序員可以隨意修改數據，會導致數據泄露風險，數據質量下降等問題。越來越多的公司意識到，他們需要一批懂得IT+審計+商業背景的人來管理IT系統，并提供獨立的審計意見(audit opinion)。

04、IT審計師的工作內容是什么

審計過程的兩個階段

●制度、流程、控制措施的設計有效性檢查階段

●制度、流程、控制措施的執行有效性檢查階段

ELC(entity level control)控制

就是看看客戶在IT治理方面的相關組織架構是否合理，書面的管理制度是不是健全，具體的審計程序就是獲取客戶的組織結構圖，及一些比較虛的總綱類的書面管理制度如《IT管理制度》等等。

系統開發和變更

關注系統開發和系統后續小變更中的一些控制，具體的審計程序就是獲取系統開發及變更相關的管理制度，典型的如《系統開發制度》《系統變管理制度》等來看一看。

操作系統及數據庫控制

這一部分具體就是看操作系統和數據庫登錄是不是要密碼，然后把登錄界面截個屏作為審計證據K進底稿里，蠻弱智的。然后呢就是調出操作系統及數據庫中的一些安全配置，如密碼是不是強制一個月改一次，再者就是看用戶權限管理是否按照基于角色來進行權限分配等等。

應用系統控制

關注點同操作系統及數據庫。不過應用系統千變萬化，比如銀行里面比較大的應用系統就有綜合業務系統(有的叫核心業務系統)、國際結算系統、大小額系統、信貸管理系統等。

但萬變不離其綜，這些系統做ITGC思路都是一樣的，就看安全配置和用戶權限。

接口控制與信息安全

各種系統之前會有接口，那么數據從一個系統傳輸到另一系統中數據的準確性完整性要得到保證。信息安全就是看看網絡管理相關的制度，看看防火墻的結構，內外網是不是分離啊等等。

05、云計算環境下，CISA為什么更火了

影響云計算的關鍵因素之一的網絡帶寬越來越快，應用程序也越來越Web化，移動終端更讓傳統的IT架構受到沖擊，IT網絡安全人員的未來職業發展方向何在?

相信不少IT人曾經想過：在十年前，網絡工程師、系統工程師、軟件工程師和數據庫工程師等等都是非常吃香的職業，特別是持有廠商類頂級認證的技術專家，為什么現今好像不是那么火了呢?

反而持有CISA等國際資質成了人才市場上的香餑餑。下面我們一起簡單分析一下：

系統生命周期

信息系統也有一個生命周期，電信網絡和信息系統的大規模建設階段早已完結，部分系統建設人員隨即轉為日常運營人員，再加上新進入行業的，運維階段的專業人員需求不會再那么猛烈，市場進入一種相對的飽和狀態。一部分技術專業人員已經占據著關鍵的位置，便開始享受生活和工作的平衡，然而向上攀爬的位置總是有限的，不甘平庸的一部分專業人員開始將眼光轉向更寬廣的領域并著手行動，這部分人創造了新的機會，也正是他們推動著組織機構乃至國家社會的進步。

IT外包興起

專業人員成本的壓力促使了IT服務外包的興起，呼叫中心、軟件開發、業務流程等等向人力成本更為低廉的國家和地區遷移，互聯網的便利性使智力資源很快就得到了重新的再分配，小部分IT工程師進入服務外包領域造成剩余的大部分IT工程師不得不轉型，項目管理、風險控制、網絡安全、服務管理等相關的新職能也相繼出現，正好能吸納一部分轉型人員。

科學技術迭代

科技的不斷改進和創新，使相關的工作變得更標準化、系統化和自動化，IT應用和操作變得更為簡單，甚至使維護相關工作不需要太多手工操作，自然不需過多人力，同時卻提高了業務人員熟練使用IT系統的要求，IT背景的人員在系統操作方面則更有優勢，所以一部分工程師轉向業務方向，敏捷方向，同時部分占據了IT與業務之間的溝通橋梁位置，幫助利用信息系統來促進商業創新。

計算機相關專業畢業生激增

高等教育擴招，比較容易上手且繁瑣的工作多數會交給職場新人，自然只需保留少量關鍵崗位的核心員工，同時，這些職場新人需要師傅，當然IT工程師有了走向管理之路的通道，開始攀爬主管、經理、總監直至C級別的高級總裁職位;

網絡黑客的增多

互聯網泡沫等造富神話破滅，成功者畢竟是少數，多數網絡公司無法支撐下去，大量倒閉的公司造成部分專業人員轉攻新興領域或利基領域，人們常說除了吃飽喝足，新的高層次需求都是人造出來的，向沒穿過鞋的原始部落賣鞋的故事在今天更有它積極的商業道理;問題是有部分專業人員不去創造社會價值，而轉向了偷竊他人的勞動成果，這就是廣義上人們所講的黑客，有了黑客，當然就有了防范黑客的群體——計算機網絡信息安全行業的專家團隊，為什么說群體或團隊?

因為人的精力是有限的，而行業涵蓋甚廣，總有一名黑客經過鉆研而非常熟知而一名安全專家卻不甚清楚的領域，這名黑客就需要另一名對這個領域也很精深的安全專家來對付，所以安全專家團隊至少要兩種人：一種向深度發展，某一細分領域的安全專家;另一種是全面發展，能力包括架構設計、溝通協調以及整合管理等方面的。

以上這些都可以在CISA培訓中得到很好的回答，取得CISA資格認證不被時代淘汰，加速職業發展。