Schulungsübersicht
Goal:
Das ultimative Ziel ist es, das CISA-Examen auf Anhieb zu bestehen.
Prüfungsverfahren für Informationssysteme (21%)
Erbringung von Audit-Dienstleistungen in Übereinstimmung mit IT-Audit-Standards, um die Organisation beim Schutz und der Kontrolle von Informationssystemen zu unterstützen.
- 1.1 Entwicklung und Umsetzung einer risikobasierten IT-Prüfungsstrategie in Übereinstimmung mit den IT-Prüfungsstandards, um sicherzustellen, dass die wichtigsten Bereiche berücksichtigt werden.
- 1.2 Planung spezifischer Prüfungen, um festzustellen, ob die Informationssysteme geschützt und kontrolliert sind und einen Mehrwert für die Organisation bieten.
- 1.3 Durchführung von Prüfungen in Übereinstimmung mit den IT-Prüfungsstandards, um die geplanten Prüfungsziele zu erreichen.
- 1.4 Berichterstattung über die Prüfungsergebnisse und Abgabe von Empfehlungen an die wichtigsten Interessengruppen, um die Ergebnisse zu kommunizieren und bei Bedarf Änderungen zu bewirken.
- 1.5 Durchführung von Folgemaßnahmen oder Erstellung von Statusberichten, um sicherzustellen, dass das Management rechtzeitig geeignete Maßnahmen ergriffen hat.
Governance und Management IT (17 %)
Sicherstellen, dass die notwendigen Führungs- und Organisationsstrukturen und -prozesse vorhanden sind, um die Ziele zu erreichen und die Strategie der Organisation zu unterstützen.
- 2.1 Bewertung der Wirksamkeit der IT-Governance-Struktur, um festzustellen, ob IT-Entscheidungen, -Anweisungen und -Leistungen die Strategien und Ziele der Organisation unterstützen.
- 2.2 Bewertung der IT-Organisationsstruktur und des Personalmanagements, um festzustellen, ob sie die Strategien und Ziele der Organisation unterstützen.
- 2.3 Bewertung der IT-Strategie, einschließlich der IT-Ausrichtung, und der Prozesse für die Entwicklung, Genehmigung, Umsetzung und Pflege der Strategie im Hinblick auf ihre Übereinstimmung mit den Strategien und Zielen der Organisation.
- 2.4 Bewertung der IT-Richtlinien, -Standards und -Verfahren der Organisation sowie der Prozesse für deren Entwicklung, Genehmigung, Umsetzung, Pflege und Überwachung, um festzustellen, ob sie die IT-Strategie unterstützen und den rechtlichen und regulatorischen Anforderungen entsprechen.
- 2.5 Bewertung der Angemessenheit des Qualitätsmanagementsystems, um festzustellen, ob es die Strategien und Ziele der Organisation auf kostengünstige Weise unterstützt.
- 2.6 Bewertung des IT-Managements und der Überwachung der Kontrollen (z.B. kontinuierliche Überwachung, QS) im Hinblick auf die Einhaltung der Richtlinien, Standards und Verfahren der Organisation.
- 2.7 Bewertung der Praktiken zur Investition, Nutzung und Zuweisung von IT-Ressourcen, einschließlich der Kriterien für die Prioritätensetzung, im Hinblick auf die Ausrichtung an den Strategien und Zielen der Organisation.
- 2.8 Bewertung der IT-Vertragsstrategien und -richtlinien sowie der Vertragsmanagementpraktiken, um festzustellen, ob sie die Strategien und Ziele der Organisation unterstützen.
- 2.9 Bewertung der Risikomanagementpraktiken, um festzustellen, ob die IT-bezogenen Risiken der Organisation angemessen gemanagt werden.
- 2.10 Bewertung der Überwachungs- und Sicherstellungspraktiken, um festzustellen, ob der Vorstand und die Geschäftsleitung ausreichend und rechtzeitig Informationen über die IT-Leistung erhalten.
- 2.11 Bewertung des Business-Continuity-Plans der Organisation, um festzustellen, ob die Organisation in der Lage ist, wesentliche Geschäftsabläufe während einer IT-Störung fortzuführen.
Beschaffung, Entwicklung und Implementierung von Informationssystemen (12%)
Sicherstellen, dass die Verfahren für die Beschaffung, Entwicklung, Prüfung und Implementierung von Informationssystemen den Strategien und Zielen der Organisation entsprechen.
- 3.1 Bewertung des Business Case für die vorgeschlagenen Investitionen in den Erwerb, die Entwicklung, die Wartung und die spätere Stilllegung von Informationssystemen, um festzustellen, ob sie den Geschäftszielen entsprechen.
- 3.2 Bewertung der Projektmanagementpraktiken und -kontrollen, um festzustellen, ob die Geschäftsanforderungen auf kosteneffiziente Weise erfüllt werden und gleichzeitig die Risiken für die Organisation beherrscht werden.
- 3.3 Durchführung von Überprüfungen, um festzustellen, ob ein Projekt in Übereinstimmung mit den Projektplänen voranschreitet, angemessen durch Dokumentation unterstützt wird und die Statusberichterstattung korrekt ist.
- 3.4 Bewertung der Kontrollen für Informationssysteme während der Anforderungs-, Beschaffungs-, Entwicklungs- und Testphasen im Hinblick auf die Einhaltung der Richtlinien, Standards, Verfahren und geltenden externen Anforderungen der Organisation.
- 3.5 Bewertung der Bereitschaft von Informationssystemen für die Implementierung und Migration in die Produktion, um festzustellen, ob die Projektergebnisse, Kontrollen und Anforderungen der Organisation erfüllt werden.
- 3.6 Durchführung von Überprüfungen der Systeme nach der Implementierung, um festzustellen, ob die Projektleistungen, die Kontrollen und die Anforderungen der Organisation erfüllt sind.
Betrieb von Informationssystemen und Business Ausfallsicherheit (23%)
Gewährleistung, dass die Prozesse für den Betrieb, die Wartung und die Unterstützung von Informationssystemen den Strategien und Zielen der Organisation entsprechen.
- 4.1 Durchführung regelmäßiger Überprüfungen der Informationssysteme, um festzustellen, ob sie weiterhin den Zielen der Organisation entsprechen.
- 4.2 Bewertung der Praktiken des Service Level Managements, um festzustellen, ob das Niveau der Dienstleistungen von internen und externen Dienstleistern definiert und verwaltet wird.
- 4.3 Bewertung der Managementpraktiken von Drittanbietern, um festzustellen, ob die von der Organisation erwarteten Kontrollniveaus von den Anbietern eingehalten werden.
- 4.4 Bewertung der Betriebs- und Endbenutzerverfahren, um festzustellen, ob geplante und nicht geplante Prozesse bis zum Abschluss verwaltet werden.
- 4.5 Bewertung der Prozesse zur Wartung von Informationssystemen, um festzustellen, ob sie wirksam kontrolliert werden und die Ziele der Organisation weiterhin unterstützen.
- 4.6 Bewertung der Datenverwaltungspraktiken, um die Integrität und Optimierung von Datenbanken festzustellen.
- 4.7 Bewertung des Einsatzes von Tools und Techniken zur Kapazitäts- und Leistungsüberwachung, um festzustellen, ob die IT-Dienste den Zielen der Organisation entsprechen.
- 4.8 Bewertung der Praktiken des Problem- und Incident-Managements, um festzustellen, ob Incidents, Probleme oder Fehler zeitnah erfasst, analysiert und behoben werden.
- 4.9 Bewertung der Praktiken des Änderungs-, Konfigurations- und Freigabemanagements, um festzustellen, ob geplante und nicht geplante Änderungen an der Produktionsumgebung der Organisation angemessen kontrolliert und dokumentiert werden.
- 4.10 Bewertung der Angemessenheit der Sicherungs- und Wiederherstellungsvorkehrungen, um festzustellen, ob die für die Wiederaufnahme der Verarbeitung erforderlichen Informationen verfügbar sind.
- 4.11 Bewertung des Disaster-Recovery-Plans der Organisation, um festzustellen, ob er die Wiederherstellung der IT-Verarbeitungskapazitäten im Falle einer Katastrophe ermöglicht.
Schutz von Informationswerten (27%)
Gewährleistung, dass die Sicherheitsrichtlinien, -standards, -verfahren und -kontrollen der Organisation die Vertraulichkeit, Integrität und Verfügbarkeit von Informationsbeständen sicherstellen.
- 5.1 Bewertung der Informationssicherheitspolitik, -standards und -verfahren auf Vollständigkeit und Übereinstimmung mit allgemein anerkannten Praktiken.
- 5.2 Bewertung des Entwurfs, der Implementierung und der Überwachung von System- und logischen Sicherheitskontrollen zur Überprüfung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
- 5.3 Bewertung des Entwurfs, der Implementierung und der Überwachung der Datenklassifizierungsprozesse und -verfahren im Hinblick auf ihre Übereinstimmung mit den Richtlinien, Standards und Verfahren der Organisation sowie den geltenden externen Anforderungen.
- 5.4 Bewertung der Konzeption, Umsetzung und Überwachung der physischen Zugangs- und Umgebungskontrollen, um festzustellen, ob die Informationswerte angemessen geschützt sind.
- 5.5 Bewertung der Prozesse und Verfahren zur Speicherung, zum Abruf, zum Transport und zur Entsorgung von Informationsbeständen (z.B. Backup-Medien, externe Speicherung, Hardcopy-/Druckdaten und Softcopy-Medien), um festzustellen, ob die Informationsbestände angemessen geschützt sind.
Voraussetzungen
- 5 Jahre Berufserfahrung in der IT-Prüfung oder im Bereich der Sicherheit
- Grundkenntnisse im Bereich des Betriebs der Informationstechnologie, der Geschäftsunterstützung durch Informationstechnologie und der internen Kontrolle
Es ist möglich, die erforderliche Berufserfahrung auf 4 Jahre zu verkürzen, wenn der Kandidat einen Bachelor-Abschluss hat, oder auf 3 Jahre, wenn er einen Master-Abschluss hat.
Sie können die Prüfung auch mit unerfüllten Anforderungen an die Berufserfahrung ablegen. Dies ist jedoch eine Bedingung, die innerhalb von 5 Jahren nach Ablegen der Prüfung erfüllt werden muss. Wenn Sie dies nicht innerhalb von 5 Jahren tun, wird Ihr Prüfungsergebnis als ungültig betrachtet.
Publikum
- Prüfer
- IT-System-Auditoren
- IT-Infrastrukturmanager,
- Risikomanagement- oder Business-Continuity-Manager,
- Personen, die für alle Aspekte des IT Managements verantwortlich sind