CISA - Certifid Information System Auditor 

 

Wie wird man CISA?

  • Bestandene Prüfung (450 Punkte oder mehr)
  • Zumindest 5 Jahre Berufserfahrung im IT Audit (Anrechnung von Studium etc. möglich)
  • Die notwendige Berufserfahrung kann auch nach bestandener Prüfung erworben werden – die Zertifizierung erhält man dementsprechend später
  • Einhaltung des Ethik-Kodexes der ISACA („Code of Professional Ethics“)
  • Einhaltung der Fortbildungsverpflichtung (Continuing Education Policy): zumindest 120 Stunden berufliche Weiterbildung in jeweils 3 Jahren

 

Prüfungsanmeldung

  • Online auf www.isaca.org à Assurance à CISA Certification
  • Am besten gleichzeitig Mitglied werden (Kostenersparnis!) und Unterlagen bestellen
  • Wer noch kein Mitglied ist muss ein Profil generieren
  • Bezahlung mit Kreditkarte
  • Aktuellste Informationen zur Prüfung, Zertifizierung, CPE Policy etc.:
    • Bulletin of Information
    • Candidates Guide
    • CPE Policy

 

Unterlagen zur Prüfungsvorbereitung

  • Candidate's Guide to the CISA Exam (kostenlos für alle registrierten Kandidaten)
  • CISA Review Manual: 135 US$ bzw. 205 US$ f. Nicht-Mitglieder
  • CISA Practice Questions: 185 US$ bzw. 225 US$ f. Nicht-Mitglieder
  • Nützliche Unterlagen zum Download:
    • BoI (Bulletin of Information)
    • Self Assessment
    • Terminology List
    • Knowledge Statements

 

Prüfungsinhalt

Domäne 1: Das Verfahren zur Prüfung von Informationssystemen (14%)

  • Entwicklung und Umsetzung einer risikobasierten IT-Prüfungsstrategie  
  • Planung konkreter Prüfungshandlungen  
  • Durchführung von Prüfungen gemäß den IT-Prüfungsstandards  
  • Mitteilung der Prüfungsergebnisse an die Hauptbeteiligten  
  • Durchführung von Nachprüfungen oder Erstellung von Zwischenberichten

Domäne 2: IT Governance und -Management (14%)

  • Wirksamkeit der IT-Governance-Struktur, IT-Organisationsstruktur und des Personalmanagements
  • Ausrichtrung der IT-Strategie auf die Strategien und Ziele der Organisation  
  • Beurteilung der IT-Richtlinien, -Standards und -Verfahren der Organisation   
  • Beurteilung des IT-Managements und der Überwachung der Kontrollmechanismen
  • Beurteilung der Strategien und Richtlinien bei der Beauftragung von IT-Leistungen
  • Beurteilung der Praktiken beim Risikomanagement
  • Beurteilung der Überwachungs- und Sicherungspraktiken sowie des Betriebskontinuitätsplans der Organisation

Domäne 3: Anschaffung, Entwicklung und Implementierung von Informationssystemen (19%)

  • Beurteilung des Business Case für geplante Investitionen in die Anschaffung, Entwicklung, Pflege und spätere Außerbetriebnahme von Informationssystemen
  • Beurteilung der Projektmanagementpraktiken und -steuerungsmechanismen 
  • Beurteilung von Steuerungsmechanismen für Informationssysteme  
  • Beurteilung von Informationssystemen, ob alle zu dem Projekt gehörenden Lieferobjekte und Kontrollen erbracht und die Anforderungen der Organisation erfüllt werden  
  • Überprüfung der Systeme nach der Implementierung um sicherzustellen, dass alle zu dem Projekt gehörenden Lieferobjekte und Kontrollen erbracht und die Anforderungen der Organisation erfüllt wurden

Domäne 4: Betrieb, Pflege/Instandhaltung und Unterstützung von Informationssystemen (23%)

  • Regelmäßige Überprüfung der Informationssysteme
  • Beurteilung der Service-Level-Management-Praktiken und der Managementpraktiken von externen Dienstleistern
  • Beurteilung der Betriebs- und Anwenderverfahren und Prozesse zur Instandhaltung von Informationssystemen
  • Beurteilung der zur Kapazitäts- und Leistungsüberwachung eingesetzten Werkzeuge und Techniken
  • Problem- und Vorfallsmanagementpraktiken  
  • Beurteilung der Angemessenheit von Maßnahmen zur Datensicherung und  
    -wiederherstellung
  • Praktiken beim Änderungs-, Konfigurations- und Freigabemanagement
  • Beurteilung des Notfallplans der Organisation im Falle einer Katastrophe

Domäne 5: Schutz von Informationswerten (30%)

  • Beurteilung der Informationssicherheitsgrundsätze, -standards und -verfahren im Hinblick auf deren Vollständigkeit und Übereinstimmung mit allgemein anerkannten Standards  
  • Beurteilung der Struktur, Implementierung und Überwachung von systembasierten und logikbasierten Sicherheitskontrollen im Hinblick auf die Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen  
  • Beurteilung der Struktur, Umsetzung und Überwachung der Datenklassifizierungsprozesse und -verfahren im Hinblick auf deren Übereinstimmung mit den Grundsätzen, Standards und Verfahren der Organisation sowie allen maßgeblichen externen Anforderungen  
  • Beurteilung der Struktur, Umsetzung und Überwachung der physischen und umgebungsbasierten Zugriffskontrollen im Hinblick darauf, ob die Informationswerte angemessen geschützt und gesichert sind  
  • Beurteilung der Prozesse und Verfahren zur Speicherung, Abrufung, Überführung und Vernichtung vertraulicher Informationswerte (zB. Speichermedien, Auslagerung, Ausdrucke und elektronische Datenträger) im Hinblick darauf, ob die Informationswerte angemessen geschützt und gesichert sind

 

Prüfungsvorbereitung

Eine solide Prüfungsvorbereitung umfasst u.a.

  • eine persönliche Standortbestimmung
  • Festlegung, wie man sich vorbereitet
  • ausreichend Zeit
  • Ausdauer
  • laufende Überprüfung des Lernerfolgs

Folgende Schritte sind jedenfalls empfehlenswert:

 

Die Prüfung

  • 150 Fragen
  • verfügbare Zeit: 4 Stunden
  • Multiple-Choice Fragen mit einer besten Antwortmöglichkeit
  • über 240 Prüfungsorte weltweit, u. a. Wien
  • 11 Prüfungssprachen, u. a. Deutsch und Englisch
  • Wörterbücher sind nicht zugelassen
  • Exam Admission Ticket und amtlichen Lichtbildausweis mitbringen!

 

Zertifizierungsantrag stellen

Antragsbogen wird an alle Kandidaten ausgeschickt, die die Prüfung bestanden haben

Inhalt:

  • Voraussetzungen für die Zertifizierung
  • Code of Professional Ethics
  • Anweisungen für das Ausfüllen des Formulars
  • Nachweis über die Berufserfahrung
  • CISA Antragsformular

 

CISA Fortbildungsverpflichtung

  • Zumindest 20 Stunden Fortbildung (CPE) pro Jahr
  • Meldung der CPEs erfolgt über Link auf www.isaca.org (my isaca) – Freischaltung ca. ab November des laufenden Jahres
  • Bezahlung der jährlichen Gebühr (CISA maintenance fee)
  • Einhaltung des ISACA Code of Professional Ethics
  • Zumindest 120 Stunden Fortbildung innerhalb eines 3-Jahres-Zeitraums

 

Code of Professional Ethics

ISACA Mitglieder und Zertifikatsinhaber sind verpflichtet:

  • die entsprechenden Standards einzuhalten.
  • auf eine gewissenhafte, loyale und ehrliche Weise zu arbeiten.
  • den Datenschutz und die Vertraulichkeit von Daten zu beachten.
  • Ihre Tätigkeit auf eine unabhängige Weise auszuüben.
  • Ihre Fachkenntnisse laufend auf dem aktuellen Stand zu halten.
  • Ihre Aufgaben professionell und kompetent durchzuführen.
  • die beruflichen Sorgfaltspflichten einzuhalten.
  • die Ergebnisse Ihrer Arbeit den geeigneten Stellen zu berichten.
  • die Weiterbildung anderer zu unterstützen.
  • Hohen Verhaltensanforderungen zu genügen.