Thank you for sending your enquiry! One of our team members will contact you shortly.
Thank you for sending your booking! One of our team members will contact you shortly.
課程簡介
領域 1 — 審計資訊系統的過程 (14%)
按照IT審計標準提供審計服務,協助組織保護和控制信息系統。
- 1.1 制定和實施符合IT審計標準的基於風險的IT審計策略,以確保包括關鍵領域。
- 1.2 計劃具體的審計,以確定資訊系統是否受到保護、控制併為組織提供價值。
- 1.3 按照IT審計標準進行審計,以達到計劃的審計目標。
- 1.4 報告審計結果並向主要利益相關者提出建議,以在必要時傳達結果並實施變革。
- 1.5 進行跟進或準備狀態報告,以確保管理層及時採取適當行動。
領域 2 — IT 治理與管理 (14%)
確保必要的領導力、組織結構和流程到位,以實現目標並支持組織的策略。
- 2.1 評估IT治理結構的有效性,以確定IT決策、方向和績效是否支持組織的策略和目標。
- 2.2 評估IT組織結構和人力資源(人事)管理,以確定它們是否支持組織的策略和目標。
- 2.3 評估 IT 策略,包括 IT 方向,以及策略的發展、批准、實施和維護流程,以與組織的策略和目標保持一致。
- 2.4 評估組織的 IT 政策、標準和程序及其開發、批准、實施、維護和監控流程,以確定它們是否支援 IT 策略並符合法規和法律要求。
- 2.5 評估品質管理系統的充分性,以確定是否以成本有效的方式支持組織的策略和目標。
- 2.6 評估 IT 管理和控制監控(例如,持續監控、QA)是否符合組織的政策、標準和程序。
- 2.7 評估 IT 資源投資、使用和分配實踐,包括優先標準,以與組織的策略和目標保持一致。
- 2.8 評估 IT 承包策略和政策以及合約管理實踐,以確定它們是否支援組織的策略和目標。
- 2.9 評估風險管理實踐,以確定組織的 IT 相關風險是否適當管理。
- 2.10 評估監控和保證做法,以確定董事會和執行管理層是否收到有關IT績效的充分和及時的資訊。
- 2.11 評估組織的業務連續性計劃,以確定組織在 IT 中斷期間繼續基本業務運作的能力。
領域 3 — 資訊系統取得、開發與實施 (19%)
確保資訊系統的取得、開發、測試和實施的實踐符合組織的策略和目標。
- 3.1 評估在資訊系統購置、開發、維護和隨後的報廢方面的擬議投資的商業案例,以確定其是否符合業務目標。
- 3.2 評估專案管理實踐和控制措施,以確定在管理組織風險的同時是否以具有成本效益的方式實現業務需求。
- 3.3 進行審查,以確定專案是否按照專案計劃進行,是否有充分的文件支援,以及狀態報告是否準確。
- 3.4 在需求、取得、發展和測試階段評估資訊系統的控制是否符合組織的政策、標準、程序和適用的外部要求。
- 3.5 評估資訊系統實施和遷移到生產的準備情況,以確定專案可交付成果、控制和組織的要求是否已滿足。
- 3.6 對系統進行實施後審查,以確定是否符合專案可交付成果、控制和組織的要求。
領域 4 — 資訊系統運作、維護與支援 (23%)
確保資訊系統操作、維護和支援流程符合組織的策略和目標。
- 4.1 對資訊系統進行定期審查,以確定它們是否繼續滿足組織的目標。
- 4.2 評估服務級別管理實踐,以確定是否定義和管理內部和外部服務提供者的服務級別。
- 4.3 評估第三方管理實踐,以確定提供者是否遵守了組織預期的控制水準。
- 4.4 評估操作和最終使用者程式,以確定是否管理計劃和非計劃過程以完成。
- 4.5 評估資訊系統維護流程,以確定它們是否有效控制並持續支持組織的目標。
- 4.6 評估數據管理實踐,以確定資料庫的完整性和優化。
- 4.7 評估容量和效能監控工具和技術的使用情況,以確定 IT 服務是否符合組織的目標。
- 4.8 評估問題和事件管理實踐,以確定事件、問題或錯誤是否得到及時記錄、分析和解決。
- 4.9 評估變更、配置和發布管理實踐,以確定對組織生產環境的計劃和非計劃變更是否得到充分控制和記錄。
- 4.10 評估備份和恢復規定是否充分,以確定恢復處理所需資訊的可用性。
- 4.11 評估組織的災難復原計劃,以確定其是否能夠在災難發生時恢復 IT 處理能力。
領域 5 — 資訊資產保護 (30%)
確保組織的安全策略、標準、程序和控制確保資訊資產的機密性、完整性和可用性。
- 5.1 評估資訊安全政策、標準和程式的完整性,並與公認的做法保持一致。
- 5.2 評估系統和邏輯安全控制的設計、實施和監控,以驗證資訊的機密性、完整性和可用性。
- 5.3 評估資料分類過程和程序的設計、實施和監控,以符合組織的政策、標準、程序和適用的外部要求。
- 5.4 評估物理訪問和環境控制的設計、實施和監測,以確定資訊資產是否得到充分保護。
- 5.5 評估用於存儲、檢索、傳輸和處置資訊資產(例如,備份介質、異地存儲、硬拷貝/列印數據和軟拷貝介質)的過程和程式,以確定信息資產是否得到充分保護。
最低要求
本課程沒有設定先決條件。 ISACA 確實需要至少五年的專業資訊系統審計、控製或安全工作經驗才有資格獲得全面認證。您可以在滿足 ISACA 的經驗要求之前參加 CISA 考試,但 CISA 資格是在您滿足經驗要求後授予的。我們的培訓師建議代表們在職業生涯中儘早通過 CISA,以便在日常職業中實踐全球認可的 IT 審計實踐。
28 時間:
客戶評論 (3)
Questions, that helps me a lot to understand the characteristics of CRISC examination.
Masakazu Yoshijima - Bank of Yokohama, Ltd.
Course - CRISC - Certified in Risk and Information Systems Control
The training was excellent, than you Ditmar.
Maria Gagliardi - EY Global Services (Poland) Sp. z o.o.
Course - CISSP - Certified Information Systems Security Professional
I liked the in-depth knowledge about the subject of the trainer, good explanation, highlighting important things!.
