成功通过cisa考试经验
成功通过cisa考试经验,真金贵啊!
这是我辛苦整理的经验贴,对作者的无私奉献感到钦佩,特整理下来供还没有通过的考友参考!
真实成功cisa学习总结 (关于2009-12-12的考试 )
今天2010-1-29收到通知,“We are pleased to inform you that you successfully PASSED the exam …”.感觉非常喜悦,这几个月的努力获得回报,特别是自己的理念和做事得到提升,非常满意和开心。 所以想把以前忙于考试,没有时间总结cisa考试历程,走过的路,还有收获,得失,一起和大家分享一下。也为了今后更好地应用于工作中。
一、介绍 introduction: write in 2009-12-16
目的:根据自己的学习,培训,考试过程,总结cisa来提升自己的工作做事理念。 我参加的为英文考试,英文阅读是道坎,但是原汁原味,更能理解精髓,特别是学习过程碰到优秀的老师,志同道合的朋友,一起沟通学习,获益匪浅。在学习cisa的过程中,收获了友情,增进用先进的理念,方法,流程来做事,也增强了用英文来阅读,思考的能力参加cisa考试的理由:很无厘头,闹着玩,试试看。参加cisa考试的之路是无心的,因为单位刚好组织这个考试的选拨,通过选拨,可以参加cisa培训,当时就想试试吧。刚好就考上了,其实当时还不知道cisa是干什么的。考了就要认真对待了,上网认真看了前辈大侠的评论和意见,才知道cisa是信息系统审计师认证,想着趁机整理一下自己的知识体系,顺便能学点英语,仅此而已。
二、培训过程training: write in2010-1-25
摘要:凡事预则立,做事要有计划plan,更要有策略,政策,实施反馈,并持续和改进。通过考试选拔后,以为正式考试也是这么简单,上网看了一下,发现完全不是这回事。特别是收到cisa发的厚书,全英文,字体超小,竟然有1k pages,晕倒。翻了一下,发现很难看懂,单词不认识,还有概念不理解,无从入口。看了一下中文版的标题,了解大概讲什么:信息系统+审计,内容包容万象。看了book2006-cn实务手册(比较旧,后来出来book2009-cn实务手册,没有时间看)。到单位组织的培训班,请中审来培训,培训过程,课程比较紧,因为搞科技出身,对审计的理念不是很明白,费了比较大的力气,感觉科技比较真实,可触摸,是比较好认知的;而审计偏向社会性,讲究法律,人际关系,审慎原则等,对提升个人的大局观和人际沟通有不少触动。培训中,没有想到回来后,自学很累,基本是听老师讲,自己没有提前认真看过英文版书,比较失策。大家一起学习,晚上一起聚餐,玩,比较开心。总体感觉:累并快乐,提升自身做事工作理念,但是困还在后头。主
要是对cisa的细节的研究,还有碰到英语关,思考问题的理念差异,比如人最重要,而我们强调资产的重要性,强调按流程做事和我们强调规则的灵活性。。。
三、自学过程Learning self(1): write in2010-2-1
自学的过程,比较漫长和痛苦,因为白天要忙于工作,晚上还要陪小孩玩,基本是21点后才能正式开始学习,时间比较紧迫。听从王朝阳老师的建议,每天保证2个小时的学习,而且深入理解概念、标准、规范。在此非常感谢王老师的培训。学习的难点,一是思想上很难高度集中投入,二是对知识体系本身的掌握。为此,先看了中文版,了解基本概念和案例,做到结构化体系,掌握知识点。而后深入学习每个细节。通过朋友,网络等加深理解。学习是需要大家一起讨论,效果会更好。学习的过程,也是纠偏的过程,把自己的理念调整为和cisa的理念和原则一致。这是一个非常痛苦的过程,就像要一个人改掉睡懒觉,抽烟的过程,漫长而痛苦。但是改掉了,养成了好习惯,对自己的职业生涯帮助还是非常大,就像不抽烟了,身体会好很多。
坚持就是胜利:每天温习昨天的课程,并复习单词,开始新的学习。看书要许多遍,理解概念。全部精力专注投入。
学习的目标objective:
1. 通过cisa。
2. 学习先进的理念,方法,做事的流程。
3. 学会用英文来阅读,写作,思考。
学习战略strategy:
1、 先总后分,先粗后细。
2、 先框架,架构,章节,到具体的概念。
3、 用自己的话来描述定义,使用范围,优缺点,比较。
结构化知识体系,记住知识点
1、理解系统体系的结构性,从上而下,先总体后细节。
2、抽出关键词,理解知识点的含义,理解概念特征,彼此间的区别。
3、知识点要深刻理解,把重要的事情多看。
自学过程Learning self(2) 体系的梳理: write in2010-2-1
学了一段时间 ,对CISA几个部分的关系梳理一下,总体讲CISA就是对IT相关方面的审计,审计这就必须有相关的知识了解,cisa书本就是告诉你应了解的知识。结合单位的实际情况,理解起来能好一些。
1、关键是理念的更新,架构的理解,学会它的分析问题解决问题的方法,步骤。
2、一切理念服从目标objectives,目标派生出战略,派出风险,并提供适当,经济,有效率,有效性的控制。需要考虑成本收益。
3、在乎公司的可持续发展。 1、 告诉你如何做一个整体的审计。关键是独立客观。要收集证据,分析原因,向合适的管理层沟通和汇报 2、 组织里面IT治理, 应该是讲单位里IT的组织、管理等。强调it的支持和增值作用。 3、 生命周期。讲软件及系统开发方法、
过程。 开发的过程,需要学习的东西比较多,杂。 4、 支付与支持。组织里面的IT应用,包含硬件、软件、网络。 网络等比较难以理解。注意是结合实际。5、 IT资产保护。正确使用信息资产,主要是数据资产,如何保护资产。6、 灾难恢复连续运行。这个好理解,其实就是个应急处理问题。Is auditor的职责和作用: 保住主要的、关键的应用。 具有组织的全局观点和认识所有灾难后果的能力 预防比纠正更重要 角色转换:it职能转向审计职能需要更新的理念
审计的目标:证明内控是否存在,以最小化风险。所以对于流程的风险,一般是去寻找是否存在足够合适的控制做事需要高层的支持,也是感谢领导的具体含义。审计需要了解公司高层的意图和风险偏好,对企业的背景要做够的理解。it 战略必需服从企业的业务目标和战略。
沟通的重要性:如果先有友好沟通,然后做事,出报告,比较能平衡各方的态度
学习的心得 理解系统体系的结构性,从上而下,先总体后细节。抽出关键词,理解知识点的含义,理解概念特征,彼此间的区别。知识点要深刻理解,把重要的事情多看。其实很多可以参照我们工行,我们现在就是按照最佳实务在做自学过程Learning self
(3) 做题的体会和考试说明: write in2010-2-1
模拟考试的目标:感受一下考试:考验一下时间,体力和精力。
1、晚上花整块的时间,做模拟题一遍(200题),看看需要花多少时间。
2、全部精力专注投入,先在答题上勾好,以便以后涂写。
做了一遍模拟题,模拟考试200题,好紧张好累。from2009-12-8
考试的注意事项:
1、思想要高度集中,全身心投入。
2、采用现在答题纸上做记号,然后最后20分钟留下涂黑。
3、最初一个小时,必须保证完成60道题目。后续保证这个速度。
4、坚持再坚持,每个时点要检查进度。
5,做题时,快速抓住题目的key,并采用排除法,先去掉最错的,然后择优而选。
考试说明
试题为全英文,内容紧扣考试大纲,涉及信息系统审计过程、IT治理、系统及基础设施的生命周期管理、IT服务和交付、信息资产的保护和业务持续计划与灾难恢复计划等。
ISA 标准,准则 提供审计服务,信息系统和运行系统得到保护和受控。
审计准则,审计指南,
审计内容:
审计程序,风险分析,内控,cobit框架
IT治理:战略,框架,
Sdlc:项目管理,实施 评估
Web服务器核心技术:简易对象存取协议。Soap
Cmm:软件能力成熟度模型。Cmm1—》cmm5
信息系统审计和信息系统相关知识两大方面七个内容:
1、 信息系统审计程序;(10%)
2、 信息系统的管理计
划和组织;(11%)
3、 技术基础和操作实务;(13%)
4、 信息资产的保护;(25%)
5、 灾难恢复和业务持续计划;(10%)
6、 业务应用系统的开发、取得、实施和维护;(16%)
7、 业务过程的评价和风险管理。(15%)
IT审计流程内容占10%,资产保护内容占31%,周期16%,IT治理15%,交付14%,灾难恢复14%。
四、 成功通过CISA考试的有效途径
(ISACA 印度的分会主席写的)
CISA的目的
CISA考试由来自考生指南中介绍的7个领域200个题目组成,CISA是测试开展信息系统审计的最低能力。
对IT的理解
考生对于IT 的理解,应覆盖在实际应用中可能设计的各种IT组件的关键概念。考生的IT知识应该包括例如:IT基础结构、IT设备、各种计算机硬件、系统软件(操作系统、数据库、网络、多媒体等),商业应用软件、自动化办公软件以及审计软件。进一步说,考生应具备企业IT部署工作中涉及到的管理方面的基本概念和实践。
CRM——仅仅是理论上的练习
CISA技术信息评论手册(CRM)【具体怎么叫无所谓,反正就是那个REVIEW MANUAL】的意义并不是教会考生关于信息技术的基础概念。但是,还是在必要的时候对IT组件进行解释。CISA考生指南提供了更广泛的科目清单,CRM则是提供了IS审计员在实际工作中具体需要完成的任务和知识需求的细节。CRM应该是一个指南性质的文档,考生以其为指导,学习各自需要的更多的知识。
IT —— 实践训练
对于那些不是很熟悉IT的考生,建议他们去做一些基于硬件、系统软件、自动化办公、商业和审计软件的实践。
像一个CISA一样思考—— 实践的方法
CISA考生需要具备《考生指南》所陈述的所有领域内工作的目的、任务和知识。基本上包括以下三个主要的方面:信息技术、管理、审计。
CISA考生可以按照以下建议来实践,从而获得一个CISA的思考方式:
1 拥有对整体信息技术的全面理解——概念和实践
2 理解在相关IT组件部署过程中存在的风险
3 知道IT组件安全和控制的特点和官能
4 理解应该采用何种方式进行控制,应用上述产品的安全特性和官能,从而减小相关IT组件的风险。
5 学会怎样鉴别风险,核查相关的安全问题,评价控制的实施,鉴别薄弱点。
清晰的概念
在以下几个领域内,CISA考生需要具备清晰的概念。(鬼子的话很拗口)
1信息技术的实现过程中存在的内部风险
2合理风险管理战略来减小风险
3安全和控制,哪个可以用来减小风险。
五、 应试技巧:
预防比纠正更重要角色转换:it职能转向审计职能。人是最重要的。关注特殊字符:always,somtime等。使用排除法。
对于看书和考
试,我是这样看的:
1.从题目入手,唤起记忆,看是否能理解相关的内容,再决定是否需要进一步查找资料印证;
2.从每章的小结入手,快速掌握关键要点,若需要细看时再翻看相关章节;全部从头看,是没有耐心啦.
3.荒废多年,我已把英文单词差不多都给回老师了,所以目前,主要是将关键术语进行浏览,期望能够恢复部分记忆;
4.对于鬼佬的考试,过了也就过啦,但你永远不会知道是怎么过的!不通过嘛,你也不知道是哪些题出了差错.所以,尽力就好. 历年的CISA复习题、解析手册,包含囊括了以往考试中出现的具有代表性的题型,并包含正确与错误答案的解析。考题按照CISA流程与内容范围进行了分类,可作为考试样卷使用。考前可带些巧克力、红牛等热量高的食物,以防体力不支,专门的饮水处可在那边吃喝东西,还可带多件长衣服,以防试室空调开太大,影响考试,考试期间可一个一个申请去洗手间,但不允许同时2人或2人以上一起去,并且会有老师跟着。
模拟考试应带的东西:
1. 准考证(模拟考试报名表打印出来即可)
2. 橡皮、NO.2笔(可同时带HB或2B的铅笔)
考试心得、做题心得:
1、认清身份,设计师auditor,审计而不是操作,可以建议。
审计师关注:accountability,risk,control(preventive,detective,corrective)。
2、专注投入,先在答题上勾好,以便以后涂写,保证涂写的时间。
3、排除法,抓住题眼,利用结构化知识体系的知识点,排除最错的。长题目也要认真读完,并认真选。
选择最佳实践,合理化,避免绝对化,工作于纯净的环境。
理解题眼: 切题,情景考虑,它在问什么,key和对应的知识点,而不是找自己熟悉的选。
反证法:如果选项的选或者不选,对题目的影响如何?也可排除2个并列的选项,单选题寻找差异,都对的项全部可以排除。
4、key:
保护公司资产的安全,关注risk control,职责分离,第三方是可靠的,而合同方是不可靠的。
如何control:need to know, least privileges&segregation of duties
看到great risk,and control (preventive,detective,corrective),mitigate this risk to a acceptal level。
预防比纠正更重要,最好三个都要有:密码为预防,备份dcp,bcp为纠正。
internet公网不安全,敏感信息必须加密,才能保证机密性。生产时间尽量不做维护,特别是业务高峰期。最重要的往往是first step。 先思考,发现证据,出报告,而不是马上行动。
可靠性:审计师do》其他人,objectives》》主观judgement, audit trail,log 》》面谈,报告。强调契约精神。
MOST concern:最risk,或者最重要, Periodic reviews;the best practice。cisa关注理论,最佳实务
,纯净的工作环境。学会把不会的题目,合理推断出来。英语理解错误,概念不清和审题不清的情况都存在,选择没有切题,而是找自己熟悉的选。
考试历程 over ,祝福大家好运。