信息安全审计CISA国际信息系统审计师。我大学本科学的信息安全，目前工作了2年做软件开发，请问我考CISA有用吗

信息系统审计的内容简介

《信息系统审计》系统地介绍了信息系统审计的产生与发展、特点、准则、IT治理、一般控制及审计、应用控制及审计、系统开发与获取审计、系统运营与维护审计、应用程序审计、数据文件审计等内容；覆盖了信息系统审计课程教学的基本内容，同时结合了当前信息系统审计新方法、新技术的发展，具有很强的实用性与可操作性；编排由浅入深，条理清晰，通俗易懂。

《信息系统审计》是江苏省高等学校精品立项教材，可作为高等学校信息管理与信息系统专业、审计学专业等专业“信息系统审计”课程的教材，亦可供从事信息系统审计的审计人员参考，同时还可作为专业培训教材。

信息安全审计系统可阻断的应用有哪些，邮件传输

昂楷科技运维审计系统通过技术手段对运维操作进行全面审计可对运维过程进行实时监控，严格规范运维操作，禁止未授权访问, 可有效的规范和约束操作行为，预防和杜绝核心信息盗取、敏感信息泄露等一连窜问题，并降低了运维事故发生的几率。

当事故发生后能快速的定位操作者及事故原因，还原现场进行举证；在事故发生的过程中通过规则触发告警，可针对非法操作行为及时通知相关人员并阻断，对敏感和关键操作进行全程监控，一旦发现可疑风险及时阻断并进行确认。

信息安全中，审计系统目前存在哪些现状？如何解决？

随着高新技术的迅猛发展，全球网络化、信息化正在渗透到社会、政治、经济的各个领域，以电子商务为基础的网络经济以及与之相适应的网络财务迅速发展的同时，也促使传统审计向网络审计方向发展。

在网络安全整体解决方案日益流行的今天，安全审计系统是网络安全体系中的一个重要环节。

企业客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。

像风信子认证审控系统网络审计等产品.结合网络中的安全问题，为企业已建立的系统部署本产品后，可以实时的、集中的、可视化审计，有效/及时的评估系统的安全性，并及时发现安全隐患并处理可能出现的安全事故。

通过事后查询可快速确定安全事故出现的原因，帮助管理员有效定位责任人，最大可能降低网络系统的安全事故和安全损失。

在同一网络中多个不同或者相同厂商的产品实现了技术上互操作，实现集中的审计，加强了系统的安全性，并且有效促进了管理；本产品可适用于各种具有信息化网络的企业。

什么是信息系统审计

审计信息化是指内部审计组织以信息技术为手段，组织计划审计项目、实施审计的全过程，以及以确认审计风险或评价企业信息战略、优化组织运营为目标，对组织营运所依赖的信息系统进行独立的、客观的确认和咨询活动。

基本原则： 1．客观性原则。

各地有各地的情况，每个审计机关也都有各自的情况，搞审计信息化要从客观实际和现实需求出发，当前最重要的是要防止贪大求全和“一窝蜂”。

要做人力、物力和财力范围内的事，做到立足现实和长远打算相结合。

2．重在应用原则。

走审计信息化之路、目的是适应信息化社会的发展，更好的发挥审计免疫系统的功能，只有充分将其应用到审计实践中才能达到这一目的，否则搞再多的软硬件设施、装备都是摆设。

3．开放性原则。

金审工程的成果目前正在全面推广，这是审计信息化工作的统一要求，但各地审计机关在审计信息化工作中形成的有特色的工作方法、经验和成果应当予以继承和发展，不应轻易放弃，要鼓励“八仙过海、各显神通”。

4．全员参与原则。

审计信息化涉及全部审计人员，在这场审计技术变革中，没有人可以作壁上观，否则就将失去审计的资格。

必然性： 1．审计信息化是审计技术创新的最重要方面。

从免疫过程看，发挥免疫作用的前提条件是免疫识别。

审计要发挥“免疫系统”功能，首先要进行审计“免疫识别”。

而审计“免疫识别”离不开先进的审计技术方法。

就如同传统“望、闻、问、切”诊疗方法发展到各种高科技诊疗方法一样。

随着信息技术的快速发展，传统手工条件下的审计技术遇到了来自计算机技术的严竣挑战。

审计对象的信息化要求审计手段必须信息化，否则审计人员面临进不了门、打不开账的无奈局面。

2．信息化审计手段的固有优势与“免疫系统”功能的特点相吻合。

审计真正发挥“免疫系统”功能，其产生的作用与常规监督性审计的作用是有区别的，集中体现在“三性”上，一是宏观性，传统审计关注的都是某个具体的受托责任关系，而审计免疫系统论关注的则是整个社会经济系统中的受托责任关系。

浅谈如何开展计算机信息系统审计

未来一段时期内，审计机关要想完成“全面审计，突出重点”的审计目标，担负起社会经济运行的“免疫系统”作用，就必须要使信息系统审计有所作为，这迫使我们必须加快信息系统审计的步伐。

信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整，以及有效率地利用组织的资源并有效果地实现组织目标的过程（国际信息系统审计与控制协会ISACA的定义）。

目前审计机关信息系统审计主要有两种方式，一种是将信息系统审计作为常规审计的一部分，为实现审计项目的总体目标服务，即数据审计、信息系统审计和系统内部控制审计“三位一体”的结合方式。

信息系统审计和系统内部控制审计为数据审计服务，通过审计数据得出结论。

另一种是独立立项的，直接审计信息系统本身的安全性、可靠性和有效性。

二、开展信息系统审计的紧迫性 信息系统审计作为国家审计机关的一项重要工作，是信息化发展到一定程度的必然产物。

（一）开展信息系统审计是控制审计风险的要求。

近几年，审计纸质账目时，内部控制也要审计，不能假账真审。

同样的道理也不能假电子数据真审，如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题，计算机数据审计就会存在风险，系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。

（二）开展信息系统审计是全面履行审计职责的要求。

信息化环境下的审计，电子数据、信息系统、系统内部控制审计必须“三位一体”，在审计过程中，这三项内容不能少。

只有这样，我们才能完成“全面审计，突出重点”的要求，全面履行审计职责。

（一）提高全体审计人员信息系统审计的意识。

“审计人员不掌握计算机技术，将失去审计资格”这一观点基本得到了八万审计人员的认同，这些年计算机在审计领域得到了普遍的应用，数据审计得到了有力的推进，但大多数人对于信息系统审计的认识还不到位，对开展信息系统审计的必要性、紧迫性认识不足，甚至对开展信息系统审计的可行性持怀疑态度。

为保证信息系统产生的数据真实完整，信息系统的安全、可靠和有效，重大的审计项目，只要被审计单位应用的是信息系统，我们就必须审计信息系统，检查系统内部控制，只有这样才能防止假账真审。

（二）重视计算机信息系统审计人才的培养，不断提高其审计技能。

计算机信息系统审计对审计人员的专业技能要求较高，除了需要审计人员具备相应的审计技能外，还要具备较高的计算机水平。

计算机信息系统审计人员的获得有两个渠道，一是在配备人员时就将计算机技能作为一个必要条件，在实际工作中不断培养其审计技能；二是对现有审计人员进行计算机知识的培训，增强其信息技术审计能力。

由于计算机技术涉及的范围广、技术复杂性强、计算机信息技术快速发展的特点，决定了不论以何种方式获得的信息技术审计人员，都要对其进行持续不断的后续教育。

（三）信息系统审计应重点关注三个环节 （1）内部控制环节。

在计算机系统中，应检查以下方面来证明内控制度的有效性：1.控制系统资源的存取。

包括物理资源，例如终端、服务器、连接盒、相关文档等；还包括逻辑资源，如软件、系统文件和表、数据等。

2.控制系统资源的使用。

用户应该只能对授权给他们的那些资源进行操作。

3.建立按用户职能分配资源的制度。

把重要的任务功能按用户或用户组进行分离，以减少无意的误操作、滥用系统资源和对数据的非授权修改。

4.记录系统的使用情况。

按时间顺序建立一个使用记录，记录内容应包括例外事例和与安全有关的事件是由谁触发的，财务信息的创建、修改和删除是由谁完成的。

5.确认处理过程的准确性。

用产生财务控制信息，确认处理过程的准确完成。

6.管理人员对财务信息系统的修改。

应该保证财务信息系统的所有修改都是经过授权、有文档记录、经过彻底(独立地)测试的，确认最后以一种有控制的方式投入使用。

7.保护财务信息系统免遭计算机病毒的袭击。

必须建立一套控制措施，检测病毒，防止病毒感染财务信息系统。

（2）数据环节。

在审计中，审计人员选择一些交易对其进行详细检查，确认交易记录是否符合一般的审计目标。

一是检查会计事项信息，要检查它的完整性、时效性、合规性和信息披露等方面，检查内容包括与本会计年度有关的交易是否全部记录在册；所有记录的交易是否都是合理发生的并与本会计年度有关；记录的交易是否数据准确，计算无误：记录的交易是否符合基本的和辅助的法律规定，符合特定权威机构的要求；对记录的交易是否进行正确的分类，并符合信息对外披露的要求等。

二是检查财务报表信息，要检查完整性、存在性、会计计量、所有权以及信息披露等方面，检查内容包括是否记录了所有的资产和负债：所有记录的资产和负债是否都是存在的；对资产和负债的计量是否精确，计算方法是否符合按合理性、一致的标准制定的会计政策的要求：确认资产是被审主体所有的、负债是被审主体应该承担的，并且资产和负债是否由合法的经济活动产生的；资产、负债、资本和存货是否都得到正确的披露。

同时对信息系统提供的业务信息也要进行分析，例如每月的工资总数、某阶段的付款清单和订货信息等，要弄清基本的交易情况，并一直追踪到信息源。

对上述信息的分析可以采用计算机辅助审计技术，按照特定的标准对数据进行汇总、分类、排序、比较和选择，并进行各种运算。

(3)数据传输转移环节. 在信息系统中，有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移，在此过程中可能会出现一些问题，尤其是在需要手工重新录入时。

因此在审计时要重点关注以下方面：在转移过程中数据可能会发生变化；新的科目代码表与老的可能不一样，需要在两个财务信息系统之间建立复杂的对应关系：中心数据库可能被一些地理上分散的服务器取代；当前财务信息系统中的数据质量不佳；当用一个总的信息系统取代一个预定财务信息系统时，需要补充许多新的数据。

在检查这一环节时，一定要保证输出的消息是经过批准、完整和精确的，保证输出的消息在约定时间内准确地发送给指定的接收者，保证流人的消息是完整、准确和真实可靠的。

CISA国际信息系统审计师。我大学本科学的信息安全，目前工作了2年做软件开发，请问我考CISA有用吗

CISA: 1、由信息系统审计与控制协会（ISACA?）发起的注册信息系统审计师（CISA）认证计划 已经成为涵盖信息系统审计、控制与安全等专业领域的全球公认的标准。

CISA推广与评价的专业技术和实 务是在该领域中取得成功的基石。

拥有CISA 资格证书说明持证人具备的实践能力和专业程度。

随着对信 息系统审计、控制与安全专业人士需求的增长，CISA 已成为全球范围内个人与公司机构不可或缺的认证。

CISA资格证书代表持证人有卓越的能力服务于公司的信息系统审计、控制与安全领域。

2、CISA认证适用于企业信息系统管理人员、IT管理人员、IT审计人员、或信息化咨询顾问、信息安全 厂商或服务提供商、和其他对信息系统审计感兴趣的人；CISA 认证计划为信息系统审计、控制与安全职业 领域中具有卓越技能与判断力的个人提供评估与认证。

CISSP: 1、CISSP是（Certified information System Security Professional 国际注册信息系统安全认证专 家）的缩写，一种反映信息系统安全从业人员水平的证书，CISSP可以证明证书持有者具备了 符合国际标准要求的信息安全知识和经验能力，目前已经得到了全世界广泛的认可，CISSP （Certified Information System Security Professional信息系统安全认证专业人员）是一种反映信 息系统安全从业人员资质水平的证书，它可为从事信息安全领域工作的人士提高专业资历提 供新的机会和更大便利。

2、CISSP工作情况：国外。

以美国为例，刚拿到CISSP认证的人，在企业中大多从事安全管理员、安全产品的开发或安全服务的具体执行工作，头衔一般就是Security Administrator、Security Analyst或Security Engineer。

随着工作经验的增加，CISSP会渐渐脱离具体的技术工作，转而从事更偏重管理、处于企业中层的工作，比如安全产品开发团队或安全服务团队的领导、安全咨询、安全培训讲师和安全部门经理等，头衔则变为Senior SecurityAnalyst/Engineer、Security Team Leader、Security Consultant、Security Manager等。

最后， CISSP会进入企业管理高层， 管理整个企业的信息安全或IT，头衔则变为Director of IT/Security department、Chief Security Officer或Chief Information Security Officer。

国内的情况稍有不同，除了少部分CISSP做的是安全产品/服务的售前/售后和安全工程师 外，有相当一部分CISSP是从事安全咨询、培训方面的工作，更多的是处于企业中高层管理的 位置，读者如果有兴趣了解更详细的情况的话，可以从(ISC)2官方站点上的Member Directory 功能中查询。

我认为，按你现在的状况，学CISSP比较好一点，对自己的帮助比较大。

CISA也可以考虑，但这个偏审计;但cissp比cisa难度大。

CISSP考试全英语，6小时。

CISA考试可选中英文，4小时。

其实认证有没有用还是看自己现状或自己的职业规划，证书肯定都是有用的 ，主要看用途。

其他还有什么不清楚的，可以交流：KOU:66233045