CISP-A国家注册信息系统审计师认证培训课程

 

一、CISP-A是什么

中国信息安全测评中心(以下简称中心)是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。对信息安全服务和人员的资质进行审核与评价。英文名称为:China Information Technology Security Evaluation Center,简称:CNITSEC。

中国信息安全测评中心始建于1997年,1998年以“中国互联网络安全产品测评认证中心”的名称试运行。同年经国家技术监督局授权为“中国国家信息安全测评认证中心”。2001年,中央机构编制委员会将其正式定名为“中国信息安全产品测评认证中心”,并批准了相应的职能任务和机构编制。2007年,经中央批准,增加漏洞分析和风险评估职能,更名为“中国信息安全测评中心”,成为国家信息安全专控队伍。

CISP-A(ChinaCertified Information System Auditor)是由中国信息安全测评中心根据中央编办授权,于2016年推出的国家注册信息系统审计师认证制度。信息系统审计是国家网络空间安全保障战略中的重要环节,是第三道防线。将审计岗位和控制措施岗位独立分开,是网络安全策略中“职责分离”的重要要求。国家注册信息系统审计师的职责是执行审计以判断信息系统控制措施的设计有效性和执行有效性,并提供审计改进意见。持有信息系统审计师证书体现了证书持有者在信息系统审计,安全与控制等方面的综合实际能力。
 

二、CISP-A适合谁学?

企业信息系统管理人员
IT管理人员
IT审计人员
信息化咨询顾问
其他对信息系统审计感兴趣的从业人员等
 

三、学习CISP-A可以获得什么?

通过专业培训提高个人信息系统审计从业水平;
中国信息安全测评中心认证,权威认证证明您从事信息安全审计和信息系统审计工作的执业能力;
用户组织内审部门开展信息系统审计工作的必要组成部分;
持证CISP-A上岗,不仅仅是符合公司要求,也是符合国家监管的要求;
将为第三方审计机构赢得更多信息系统审计项目的契机。
 

四、CISP-A课程内容大纲

时间

课程名称

课程内容

课时

第一天上午

信息系统审计概述

审计背景

  • 审计的历史和发展
  • 审计的分类和对象
  • 审计的相关术语
  • 审计相关法律法规及文件
  • 审计道德规范

3

信息系统审计的理解

  • 信息系统审计含义
  • 信息系统审计目标
  • 信息系统审计类型

信息系统审计的基础

  • 信息系统审计的原则
  • 信息系统审计准则
  • 信息系统审计依据
  • 信息系统审计质量管理
  • 信息系统审计风险管理

第一天下午

信息系统审计方法

信息系统审计流程及重点环节

  • 基本流程
  • 信息系统审计计划
  • 信息系统审计证据
  • 信息系统审计工作底稿
  • 信息系统审计报告
  • 信息系统审计建议及跟踪验证

3

信息系统审计一般方法

  • 调查方法
  • 资料审查方法
  • 实地考察方法

信息系统审计技术方法和工具

  • 系统测试方法
  • 数据审计方法
  • 信息系统审计工具

第二天上午

IT治理与风险管理专项审计

企业IT治理

  • IT治理
  • 信息系统战略规划

3

IT风险管理

  • IT管理
  • IT管理架构和职责
  • IT风险管理

IT治理与风险管理审计及案例

  • IT治理审计
  • IT风险管理审计
  • 审计案例

第二天下午

系统建设运行专项审计

项目管理

  • 规划与立项
  • 建设管理
  • 项目绩效

3

系统/基础设施开发

  • 系统开发生命周期
  • 系统开发方法
  • 变更管理和配置管理
  • 基础设施开发

应用控制

  • 业务流程控制
  • 输入、处理和输出控制
  • 参数和接口控制
  • 数据管理控制

系统建设运行审计及案例

  • 应用控制审计
  • 系统获取、开发和实施审
  • 审计案例

第三天上午

络安全专项审计
  • 信息安全管理控制
  • 信息安全管理基础
  • 信息安全风险管理
  • 信息安全管理体系
  • 信息安全管理最佳实践

3

网络安全技术控制

  • 安全支撑技术
  • 物理与网络通信安全
  • 计算环境安全

网络安全审计及案例

  • 信息安全管理审计
  • 网络安全技术审计
  • 审计案例

第三天下午

业务连续性专项审计

业务连续性组织架构

  • 业务连续性日常管理组织架构
  • 应急处置组织架构

3

业务影响分析

  • 业务影响分析
  • 业务连续性风险评估
  • 业务恢复策略

业务连续性计划与资源建设

  • 业务连续性计划
  • 资源建设

业务连续性演练与持续改进

  • 业务连续性演练
  • 持续改进

业务连续性审计及案例

  • 业务连续性审计
  • 审计案例

第四天上午

基础设施专项审计

基础设施运行环境

  • 数据中心选址
  • 数据中心建设

3

基础设施运营维护

  • 运维组织架构
  • 事件和问题管理
  • 变更管理
  • 配置管理
  • 容量管理
  • 监控管理

灾难恢复管理

  • 灾难恢复预案
  • 资源保障
  • 有效性验证
  • 外部协作机制

基础设施审计及案例

  • 基础设施审计
  • 软硬件审计
  • IT服务审计
  • 审计案例

第四天下午

IT外包专项审计
  • IT外包战略及风险管理
  • IT外包战略
  • IT外包风险管理

3

IT外包管理

  • 外包风险评估及准入
  • 外包商尽职调查
  • 外包服务合同要求
  • 外包服务安全管理
  • 外包服务监控与评价
  • 外包服务中断与终止

IT外包管理审计及案例

  • IT外包审计
  • 审计案例

第五天上午

数据质量专项审计

数据管理

  • 数据战略与规划
  • 信息系统的数据要
  • 数据安全策略与标准
  • 数据评估与问责

3

数据质量控制

  • 数据质量管理目标
  • 数据质量控制手段
  • 数据质量考核评价

数据价值实现

  • 数据分析的应用
  • 数据加总与积累
  • 数据分析挖掘

数据质量审计及案例

  • 数据质量审计
  • 审计案例

第五天下午

实战案例+考试复习

3

 

五、培训考试安排

学习方式:面授或在线直播;
培训时间:5天,第6天参加考试;
考试情况:线下笔试,100个单选,2小时,满分100分,70分通过考试;考试未通过的学员,可免费补考1次。
 

六、参训人员要求

注册信息系统审计师(CISP-A)的教育、工作经验和年限须满足以下两条:

1.教育和工作经历要求(满足以下任一条即可)

硕士及硕士以上学历,具备1年以上工作经历;
大学本科学历,具备2年以上工作经历;
大学专科学历,具备4年以上工作经历;

2.信息安全专业工作经历要求

具备1年以上从事信息安全有关的工作经历。

七、师资力量

马老师

中国信息安全测评中心 CISP 、CISP-A认证讲师、CISA认证讲师、CISAW-DSP 认证讲师、CISAW-HSP 认证讲师, 思科 CCIE 认证讲师,培养了近千名 CCIE;华为 HCIE 认证讲师,培养了超过 400 名 HCIE 网络专家。在信息安全技术服务与咨询领域具有丰富的经验,为客户提供IT内控评估服务,特别擅长内控体系建设与全面风险管理咨询,为客户提供内部风险控制与企业风险管理咨询服务,帮助客户设计和实施内控和企业风险管理框架,从公司层面、流程层面制定政策、制度、流程文档,帮助客户提高内部风险管理和控制水平。