有没有人考今年12月的CISA?或者已经考过的分享经验？

qqyang

因为错过了这个semester的ICAA program，所以，琢磨着考CISA，一是工作有这个需要review IT compliance的东西，二来看价格也不算太贵，就报名今年12月的考试了。

不知道坛子里有没有TZ也打算在12月考，很希望能够分享学习经验，组成study group，定期讨论问题和交换看法，share资料；

不知道坛子里有没有TZ已经考过了，能够分享一下经验。我本科时候学过几门programming和database的基本课程，但是，没学好。咨询过国内做IT audit的同学的看法，觉得技术上难度总体不大，拼一下还是有机会的。不知道走过来的TZ怎么看？

无论如何，欢迎大家分享！谢谢！

luweiyan

楼主可以到我这里来COPY去年的书和题库。

azpc

http://bbs.chinacissp.com/index.php

200道题5个小时吧？考后要找人做endorsement，需要的话我可以帮忙

moth

原帖由 luweiyan 于 2007-8-6 17:20 发表
楼主可以到我这里来COPY去年的书和题库。

题库和书那里可以买到/下载到？我到ITpub上去，那种翻拍的书下载很不清楚。。

luweiyan

我们公司包销考试和书费的，考这个不难。

qqyang

原帖由 luweiyan 于 2007-8-6 17:20 发表
楼主可以到我这里来COPY去年的书和题库。

谢谢了！只看Review Manual和练习题就够了么？

tinybird

我也正在考虑考cisa，但是我在墨尔本，要不然倒是可以和楼主坐在一起讨论一下，呵呵。

luweiyan

看一边书，做两边题目就够了，搂主如果没有IT审计经验的话，那书要多看看。

qqyang

哦，完全没有，只是顶多涉及Access rights和Segregation of Duties。其他的，顶多就是做walk through，把住input和output，中间怎么process，完全不知道。

poloand

应该不难吧，我老公就是看了2个晚上的书就考出来了。

qqyang

原帖由 poloand 于 2007-8-7 10:42 发表
应该不难吧，我老公就是看了2个晚上的书就考出来了。

  我不是搞IT的.......

poloand

原帖由 poloand 于 2007-8-7 10:42 发表
应该不难吧，我老公就是看了2个晚上的书就考出来了。

没有那么简单吧？我记得我看了一个礼拜。不过单纯考试是比较容易通过的，消化内容的话就看具体的工作了。从开发的角度看，有一些借鉴意义，但是究竟有多少，要看具体的系统和具体遇到的问题。

我写过一点总结，不过觉得没什么意义，还是不写了。

[ 本帖最后由 poloand 于 2007-8-7 13:21 编辑 ]

poloand

原帖由 qqyang 于 2007-8-7 08:47 发表


谢谢了！只看Review Manual和练习题就够了么？

足够了。

poloand

原帖由 qqyang 于 2007-8-7 11:02 发表


  我不是搞IT的.......

应该侧重审计的内容多一些。

poloand

原帖由 azpc 于 2007-8-6 19:22 发表
http://bbs.chinacissp.com/index.php

200道题5个小时吧？考后要找人做endorsement，需要的话我可以帮忙

我需要的，帮我做一下好吧？

qqyang

endorsement是不是一定要找会员？还是随便找个IT manager就可以了？

poloand

原帖由 qqyang 于 2007-8-7 13:22 发表
endorsement是不是一定要找会员？还是随便找个IT manager就可以了？

我的理解是找一个manager就可以了，如果这个manager愿意的话。不知道对不对的。

qqyang

原帖由 poloand 于 2007-8-7 13:38 发表

我的理解是找一个manager就可以了，如果这个manager愿意的话。不知道对不对的。

那就好办了......老板要省钱，是一定会帮我搞定的，如果我考过。请external，没有10-20K，估计搞不定一次audit。

poloand

原帖由 qqyang 于 2007-8-7 13:42 发表


那就好办了......老板要省钱，是一定会帮我搞定的，如果我考过。请external，没有10-20K，估计搞不定一次audit。

你们公司还招人吗？招的时候联系我一下。

我的理解是，如果他愿意帮你确认以前（一共5年）的经历，例如，他可以说，他联系过以前的经理，或者你本来就已经在这里5年以上了。否则，你还要找以前的几个公司的联系人，这点比较麻烦。

qqyang

以前的manager？一定要IT manager么？audit manager行不行？如果行的话，也没问题的。

poloand

原帖由 qqyang 于 2007-8-7 15:01 发表
以前的manager？一定要IT manager么？audit manager行不行？如果行的话，也没问题的。

audit manager当然更好。我从来没有做过audit，所以把自己都归结到第三类。

qqyang

其实不用5年system audit经验。

5年的经验，可以用学士学位抵消2年，可以用operational/financial audit经验抵消1年，只要2年经验就好了。

luweiyan

只要找一个是ISACA的会员就可以了。

qqyang

这个就难说了.......

coolioo

做IT开发的考这个有用吗？？

月亮

原帖由 coolioo 于 2007-8-7 15:44 发表
做IT开发的考这个有用吗？？

好像没什么用吧。

qqyang

原帖由 coolioo 于 2007-8-7 15:44 发表
做IT开发的考这个有用吗？？

因为Segregation of Duties的issue，趋势是搞IT开发的不能安排做IT Audit，做IT audit不能安排做IT开发。

poloand

原帖由 coolioo 于 2007-8-7 15:44 发表
做IT开发的考这个有用吗？？

原帖由 月亮 于 2007-8-7 15:52 发表
好像没什么用吧。

举一个例子。我以前工作的一个公司经常有数据录入错误的情况，然后就要找IT部门修改数据。大家就考虑做一个可以修改数据的模块，但是模块的使用要经过适当授权。授权的过程大体要经过数据修改员申请，IT、业务经理审批、程序员复核（防止修改的数据不完整或者引起程序出错）。但是由于很多小的分支机构数据修改员就是程序员，甚至IT经理就是业务经理，IT部门就提出了一个最少岗位的规定，要求所有机构配备人数不得少于多少人。虽然这个荒唐的规定得以通过并且执行，但是引起了很多怨言。分支机构认为，这样增加了他们的成本，而且，人少/高效率是没有错的。

如果现在让我涉及这个系统，我会有不同的思路。个人感觉还是有用处的。但是不同类型的系统可能有很大不同。比如，你在做一个银行的交易系统，可能随时都会考虑到一些安全的因素，尽管你只是一个最简单的coding。如果是一个PC game，估计一点用处都没有。

qqyang

原帖由 poloand 于 2007-8-7 16:53 发表




举一个例子。我以前工作的一个公司经常有数据录入错误的情况，然后就要找IT部门修改数据。大家就考虑做一个可以修改数据的模块，但是模块的使用要经过适当授权。授权的过程大体要经过数据修改员申请，IT、 ...

我想，这更像是CISM，而CISA主要是针对auditor。

poloand

原帖由 qqyang 于 2007-8-7 15:52 发表
因为Segregation of Duties的issue，趋势是搞IT开发的不能安排做IT Audit，做IT audit不能安排做IT开发。

如果这样去考试就比较玄乎了。