浅谈如何备考国际信息系统审计师CISA考试
襄阳市审计局 &崔纲为开拓视野、提高职业素养和工作能力，笔者自学了国际信息系统审计师的相关知识，并有幸通过了CISA考试。下面将个人的学习备考经历与大家分享。一要具有一定的基础知识和实践经验。参加这个考试的人员需要在计算机和审计方面都有一定理论基础和实践经验，至少应该熟悉其中一个方面，不然所有内容都要从头学起就非常吃力了。CISA的考试内容分为信息系统审计过程、IT治理与管理、信息系统基础设施与生命周期管理、信息系统运行维护与支持、信息资产的保护。各个章节的内容都是和实际工作紧密联系的，考题也是实践类的题目，没有纯粹理论性和概念性的东西。我的学习方法是从自己熟悉的领域开始，向外扩散展开学习。何谓从熟悉的领域开始向外扩散呢？比如你审计过某一方面的内容，那你也可以根据自己审计过的方面推导出关联领域的规则和内容。就是用你熟悉的领域去联系你不熟悉的领域，用你熟悉的规则去推导你不熟悉的规则，简而言之就是触类旁通。在CISA学习的前期，个人觉得首先应该根据自己现有的知识面选择突破方向，然后从易到难，逐步融入知识体系的学习中，最后不断弥补自己在其它方面的空白、补足短板，实现全面提升。二要选择合适的语种和教材。CISA考试的语种分为中文和英文。因为翻译的水平有限，英文教材和考题翻译成中文后都很拗口，那种感觉就是“看着是中国字，说的不是中国话”。只有原汁原味的英文题目理解起来才不存在任何语义障碍。毕竟题目是ISACA出的，作为考生我们应该要努力理解国外考官的语言和逻辑思维。因此建议英文好的同志最好选择英文考试，选择中文考试的考生只有通过大量的阅读的去熟悉这种语言风格。书贵在精而不在多。确定语种之后再选择教材，有1本CISA Review Manual复习手册(中文版或英文版）和1至2本中英文对照的习题集就足够了。CISA Review Manual是主要的备考资料，可以根据考试语种选择阅读中文版还是英文版，其内容涵盖了CISA考试的所有知识点，这本书一定要仔细读两遍。做题的重要性对于每项考试来说不言而喻，而CISA的题目都是根据实际审计工作中的某一场景让考生选择最佳或者最合适的选项。大量的习题训练可以让你培养出一种IT审计师的职业敏感性，这种敏感性无论对于考试还是实际工作都大有裨益。三要有科学的方法和强大的执行力。备考的方法说起来简单，做起来并不容易。首先要为自己量身定制一个备考计划，然后必须坚定的执行，仅此而已。每个人的工作背景和学习能力也有差异，空余时间和备考周期不一样，一定要制定自己的备考计划，最关键的一点还是要有强大的执行力。比如笔者从事计算机审计工作多年，并取得了审计师职称、CIA及CCSA资格，由于具有一定专业背景和实践经验，因此整个复习备考大概不到两个月时间。白天工作忙，基本都是晚上挤时间复习。首先，将教材通篇精读一遍，主要目的是吸收和消化知识点，进度相对慢些。读完后开始做习题集，从第一章开始做到最后一章，把做错的和不理解的题目进行标注。做题的时候最好实施分类标记法，比如把因完全不懂而选错的用一种标记，可以筛选到剩两个选项之后而选错的用另一种标记，其他的错误再另外标记。接着，结合题目有重点的研读一遍教材，让模糊或者难以理解的题目回归到书本相应的知识点去找答案，逐步梳理出知识点和薄弱点。两遍书读完后就只做题目和总结考点，加大训练强度。在训练过程中要注意方法，做题固然很重要，但主要目的是掌握分析思路，千万不要因迷信题库而去死记硬背。题库的命中率非常低，我个人做了近千道试题，考试的时候大概只见到了三、五个原题，主要还是需要靠自己的理解分析。考前的最后一周很关键，要把知识点进行系统的归纳和总结，重温错题、提炼规则。要采用理论联系实际的学习方式，把自己当成是一名IT审计师设身处地的进行思考和处理问题，不断归纳总结。比如IT审计师能做什么、不能做什么，发现问题后处理的措施和上报的流程，IT治理和管理的内容，发现的问题一般是管理层面的风险大还是实施层面的风险大等等。在当今浮躁的网络时代，刷屏越来越多，读书已成奢望，想真正学点东西，还是那句老话“书山有路勤为径，学海无涯苦作舟。”学习的过程是漫长的、内容是枯燥的、内心是煎熬的，但是只要不言败不放弃，坚持到胜利之后，就会感到自己所有的付出都是值得的。只要坚持，梦想总是可以实现的。
相关资源列表：微信扫一扫，
杭州有国际注册信息系统审计师(CISA)培训班吗？
责任编辑：hangzhou5发布时间： 12:50:11浏览1次
【】24小时咨询热线：7&&QQ1760681344，博学国际教育培训中心，成立于2003年8月，是一家以教育培训、技术服务为主的IT服务型企业，其宗旨在于为社会各界人士提供全方位、定制的专业IT培训，国际认证培训，职业就业培训等服务。目前是浙江省唯一的Oracle合作伙伴，Cisco授权培训中心，红帽授权培训中心，Prometric、VUE授权考试中心，每年培训学员5000人次，是100余家世界500强、政府单位、大型国企、上市公司的专业IT培训供应商。预约试听体验课及更多课程优惠活动请在线咨询或致电我们值班老师！！国际注册信息系统审计师(CISA)预约试听&课程长度：5天/30小时课程描述：CISA(Certified InformationSystem Auditor),自1978年起,由国际信息系统审计和控制协会(ISACA)开始实施注册。CISA认证已经成为持证人在信息系统审计、控制与安全等专业领域中取得成绩的象征，并逐步发展成全球公认的标准。中国获得CISA认证的审计师在信息安全与控制领域内发挥着重要的作用，信息系统审计也越来越被国内企业认可，截至2008年4月世界范围内获得认证的有47,145人，中国大陆获得认证的人数仅有666人。此外，它还会带来相当数量的职业与个人收益。1.增强的知识和技能获得CISA 资格证书有助于确立职业人作为一名合格信息系统审计、控制、鉴证和安全领域专业人才的声望。CISA 持证人具备扎实可靠的能力，按照全球公认标准和指南开展各项审查工作，确保机构的信息技术与业务系统得到充分的控制、监控和评价。CISA 资格证书向雇主保证其雇员已成功达到取得工作业绩所必需的最新教育与实践经验标准。2.职业发展由于CISA计划所认证的个人能够熟练掌握当今最急需的技能，雇主更愿意雇用和留住那些达到并能够维持资格证书所要求水平的人才。不论是希望提高工作业绩还是得到职务升迁或竞争新职位，拥有CISA资格证书都会使一个人拥有他人无法企及的竞争优势。3.全球的认可也许本认证对于就业来说并不是绝对必需的，然而越来越多的机构要求或建议员工得到CISA 认证。例如，美国国防部(DoD) 要求信息鉴证人员获得国防部批准的商业资格认证机构的认证。CISA 是经过批准的认证计划，由此可表明国防部对此资格证书的信心。为了确保您在全球市场中的成功，选择一个以全球认可技术实务为基础的认证资格是至关重要的。CISA 所提供的就是这种认证。CISA 作为信息系统审计、控制、鉴证与安全领域专业人员的首选资格证书，得到了全世界所有行业的广泛认可。&学员基础：& 1.信息系统审计咨询顾问& 2.传统的审计专业人员& 3.企业内部负责信息系统审计的从业人员& 4.企业内部负责信息系统安全管理和规划等工作的从业人员& 5.IT经理，信息安全经理& 6.CISA应试者&课程目标：通过短期培训，一方面可以使信息技术从业人员能够了解信息系统审计的原理，并把信息系统审计的方法用于风险控制的实践中去；另一方面，由于培训的知识体系是按照CISA认证要求进行设计的，完成培训后，学员还可以参加一年2次的国际信息系统审计师认证考试，以获得CISA认证资格，增强自身的职业竞争力。&培训内容：&1.信息系统审计程序（10%）：按照信息系统审计标准、指南和最佳实务来提供信息系统审计服务，以协助机构确保其信息技术和商业系统得到保护和控制。2.信息技术管理（15%）：提供鉴证服务，确保一个机构具备相应的结构、政策、问责制度、机制和监控措施，以达到公司在信息技术管理方面的要求。3.系统与基础设施生命周期（16%）：提供鉴证服务，确保系统和基础设施开发/购置、测试、实施、维护和处置的相关管理措施满足机构的目标。4.IT服务的交付与支持（14%）：提供鉴证服务，确保信息技术服务管理措施足以保证所交付的服务达到能够实现机构目标的水平。5.信息资产的保护（31%）：提供鉴证服务，确保相关安全架构（政策、标准、规程和控制）能够保证信息资产的机密性、真实性和可用性。6.业务连贯性与灾难恢复（14%）：提供鉴证服务，确保一旦发生中断，业务连贯性和灾难恢复流程将保证及时恢复信息系统服务，同时使业务受到的影响降到最低。【】24小时咨询热线：7&&QQ1760681344，博学国际教育培训中心，成立于2003年8月，是一家以教育培训、技术服务为主的IT服务型企业，其宗旨在于为社会各界人士提供全方位、定制的专业IT培训，国际认证培训，职业就业培训等服务。目前是浙江省唯一的Oracle合作伙伴，Cisco授权培训中心，红帽授权培训中心，Prometric、VUE授权考试中心，每年培训学员5000人次，是100余家世界500强、政府单位、大型国企、上市公司的专业IT培训供应商。预约试听体验课及更多课程优惠活动请在线咨询或致电我们值班老师！！&
该内容系 hangzhou5 分享发布，文章内容系作者个人观点，不代表培训通对其观点赞同或支持，本网不对内容真实性负责，若该文章内容涉嫌侵权，请发邮件qq:。
相关新闻：
copyright & 2004-.cn, All Rights Reserved.
, 备案编号：京公网安备 ,你似乎来到了没有知识存在的荒原...
来源链接是否正确？用户、话题或问题是否存在？cisa_百度百科
声明：百科词条人人可编辑，词条创建和修改均免费，绝不存在官方及代理商付费代编，请勿上当受骗。
1.CISA(Certified Information Systems Auditor简称，中文为国际信息系统审计师）认证是由信息系统审计与控制协会ISACA(Information Systems Audit and Control Association)发起的，是信息系统审计、控制与安全等专业领域中取得成绩的象征。CISA认证适用于企业信息系统管理人员、IT管理人员、IT审计人员、或信息化咨询顾问、信息安全厂商或服务提供商、和其他对信息系统审计感兴趣的人员。2.CISA——（China Iron & Steel Assn）的简称。
cisa认证介绍
自1978年以来，由信息系统审计与控制协会发起的注册信息系统审计师（CISA）认证计划已经成为涵盖信息系统审计、控制与安全等专业领域的全球公认的标准。
CISA 推广与评价的专业技术和实务是在该领域中取得成功的基石。拥有CISA 资格证书说明持证人具备的实践能力和专业程度。随着对信息系统审计、控制与安全专业人士需求的增长，CISA 已成为全球范围内个人与公司机构不可或缺的认证。CISA 资格证书代表持证人有卓越的能力服务于公司的信息系统审计、控制与安全领域。此外，它还为持证人带来相当的职业成就和经济利益。
cisa应试条件
CISA 认证计划为信息系统审计、控制与安全职业领域中具有卓越技能与判断力的个人提供评估与认证。若想获得CISA认证，申请人需要：
◎顺利通过CISA 的考试；
◎遵守信息系统审计与控制协会的《职业道德规范》，此规范已列入《Candidate’s Guide to the CISA Exam》中，供考生参考（在官方网站上均有介绍）；
◎提供从事信息系统审计、控制与安全工作5 年以上经验的证明。具有下列经验者，可申请替代部分年限，并出示适当的证明：
具备如下资历者，可以申请替代(最长达)1 年的信息系统审计、控制与安全的工作经验要求：
· 满1 年的非信息系统审计工作经验，或
· 满1 年的信息系统工作经验，和/或
· 具有大专学历（大学60 个学分或同等学历）。
· 拥有学士学位（大学120 个学分或同等学历）者，可以替代2 年信息系统审计、控制与安全工作经验。
·2 年相关领域（计算机科学、会计、审计、信息系统审计等）大学专职讲师经验可以替代1 年信息系统审计、控制与安全工作经验。无最高可代替年限限制（6 年大学讲师经验可以代替3 年信息系统审计、控制与安全工作的经验）。
专业经验必须在申请前的10 年之内获得，或在第一次通过考试之日的前5 年之内。认证申请必须在通过CISA 考试的5 年之内提出。所有专业经验都必须由原雇主独立地签字确认。
值得说明的是，很多人在具备所要求的经验之前就参加CISA 考试。尽管在所有要求的资历未达到之前不会被授予CISA证书，但这种作法是可以接受并值得鼓励的。（2008年6月之前官方香港分会统计中国大陆通过人员达：666人。）国际信息系统审计协会（ISACA）是一家领先的全球性协会，拥有8.6万名信息技术治理专业人士，其香港分会在2009年已吸收了1700名中国内地会员，使其会员总数达到了3500人。
信息系统审计与控制协会（ISACA）创始于1967年，当时它是由从事同类职业的人所组成的小 团体——计算机系统的审计和控制对他们各自机构的运作都变得愈发关键——因此他们聚集 起来讨论制定信息集中化资源和本领域指导准则的必要性。在1969年，这个团体正式组建为 EDP 审计师协会。在1976年，这个协会成立一项教育基金来开展大规模的研究工作，以拓展信息 产业管理与控制领域的知识与价值。
今天，ISACA在全球有四万七千多名成员，他们的组成非常具有多元性。这些成员在140多个 国家内生活和工作，并涵盖众多专业信息技术的相关职业，比如信息系统审计师、顾问、教 导员、信息系统安全专家、管理者、首席信息官和内部审计师等。有些职业是本领域内新兴 的，其他为中级管理人员，另外还有许多人担任最高级的职位。他们几乎遍及所有行业，包 括财政金融、公共会计、政府与公共部门、公用事业和制造业。这种多元性使众多成员能够 相互学习，并在许多专业问题上广泛交流彼此的观点。该特点一直被认为是ISACA的强势之一 。
ISACA的另一个强势就是它的分会网络。ISACA 的分会遍布世界60 多个国家，可提供成员教育、资源共享、支持、专业网络，以及其他由当地分会提供的诸多 利益。
在ISACA创立的三十年来，它已成为一个为信息管理、控制、安全和审计专业设定规范的全球 性组织。它的信息系统审计和信息系统控制标准为全球执业者所遵从。它的研究工作针对那 些挑战其重要原则的疑难专业事项。它的国际信息系统审计师（CISA）认证得到全球的公认 ，并有三万多名专业人员得到认证。国际信息安全经理（CISM）认证特别针对信息安全管理 的审计事务。它出版了领先于信息控制领域的技术性期刊，即《信息系统控制期刊》 （Information Systems Control Journal）。它举办一系列国际性会议，并且把焦点集中于 信息系统保障、控制、安全和信息 技术管理专业的技术与管理主题上。ISACA与其附属的信息技术管理机构领导着信息技术控制 界，并在不断变化的国际环境下为其执业者提供信息技术专业所需的要素，保证他们得到良好的服务。
cisa证书荣誉
◎专业顶尖的标志
获得CISA 认证有助于确立你作为一名合格的信息系统审计、控制和安全专业人才的声誉。不 论你是希望提高你的工作表现还是得到职务升迁，拥有CISA 资格证书都会使你拥有他人无法企及的竞争优势。
◎雇主渴求的人才
由于CISA 持证人能够熟练掌握当今需要的最先进的技能，雇主更愿意雇用和留住那些达到并能够维持 资格证书所要求水平的人才。对于雇主而言CISA 认证确保其雇员拥有胜任当前工作所必需的最新教育与实践经验。
◎全球的认可
也许本认证对于你当前的工作并不是绝对必需的 ，然而越来越多的机构希望员工得到CISA 认证。为了确保你在全球职业市场上的成功，选择一个建立在全球认可的技术实务基础上的 认证是至关重要的。CISA 就是这种认证。CISA 作为信息系统审计、控制与安全专业人员的资格证书，受到全世界信息系统审计、控制和安 全行业的广泛认可。
1、考试日期、时间和地点
CISA考试每年6月和12月在中国分别组织一次，考试时间为4个小时。目前确定的国内考试地点为北京、上海、深圳、广州、南京。
2013年ISACA在全球增加一次9月7日的考试，但在中国区域的考试地点限定在北京 上海和深圳；至2015年基本形成每年6、9、12月份3次考试。
2、考试题型和语言
CISA 考题经过精心开发与维护，以便准确测试考生在信息系统审计、控制与安全实务方面的精通程度。考试题型为200道客观选择题，全部为笔答，总分800分，450分通过。由于 CISA证书为国际所认可，因此考试以如下几种语言进行：荷兰语、英语、法语、德语、希伯来语、意大利语、日语、韩语、繁体中文、简体中文和西班牙语。（目前已调整题量）
3、如何准备CISA 考试
完整的系统的学习计划可以帮助考生通过CISA考试。为帮助考生制定成功的学习计划，ISACA 为考试学员提供官方资料“《官方 CISA Review Manual 2015》”，及练习试题，辅助资料有《谷安CISA红宝书》等。
? 收到CISA考试报名表和报名费之后，CISA考试中心将为考生提供《CISA考试考生指南》。本 指南提供有关考试流程与内容方面的详细大纲，推荐的一些参考资料目录，考试中使用的词汇表，以及考试中使用的答卷的范例。
4、CISA资格证书的维持
获得任何职业资格证书的持证人必须参 与继续教育计划来维持其资格证书。为了维持CISA资格证书，持证人必须履行继续教育政策 ，并遵守ISACA协会的《职业道德规范》。这些计划有助于保证CISA持证人能够与业内先进技 术的发展保持同步，并展示较高的职业原则。
继续教育政策要求持证人累积足够的继续教育学分，并提供证明，以及支付年度维持费。此外，最低 学分的累积与证明提供必须在固定的3年认证期间完成。不能履行将会撤消持证人拥有的认证 资格。在过去5年中，93%以上的CISA持证人维持了资格证书。这项统计结果反映了CISA持证 人对维持资格证书的强烈愿望。
5、报名参加CISA考试
CISA考试每年举行三次，分别为每年的六月、九月和十二月的第二周星期六，六月、九月和十二月考试中国学员均可以选择中文和英文考试，在中国考试从上午九点开始，共四个小时13点结束。
在线报名表
从ISACA网站网页上获取报名表。应当用黑色墨水笔工整填写或打印。字迹要清楚。请确认考试中心代码正确，并根据需要选择考试中使用语言的版本。在填完报名表并付款后，ISACA将寄给考生 CISA考试报名的回执信与一份《CISA考试考生指南》。投递时间为6个星期。
退款与缓考费
退款：无法参加考试的申请人可以要求退款，退款中将扣除的手续费。退款请求必须在指定时间之前以书面方式寄到。
缓考：无法参加考试的申请人还可以得到一次缓考机会，将考试日期延至下一年。缓考请求 必须在指定时间之前以书面方式寄到。缓考到下一年之后不得要求退款，并且在报名参加下 一年考试时，考生还需要交纳US的再报名费。
考试中心的指定
ISACA 将尽可能根据考生的选择安排考试中心。然而，如果某个考试中心被取消，则考生将被分配 到最近的考试中心。如果不愿在新分配的考试中心参加考试，那么考生可以得到考试费的全 额退款。
申请增设考场
如果考试中心在考生所在地区的100英里（160公里）之外，并且同时有5名以上（包括5 名）的应试人想编入本地一组，则考生可以申请成立新的考试中心。成立新考试中心的申请 需要至少5份已付款的报名表，并于指定时间之前被送至ISACA国际总部。尽管不能保证新考 试中心一定成立，但ISACA将尽力安排。
接到申请后，ISACA 协会将根据出具的残疾或宗教证明，在考试程序方面为应试者做出必要的合理安排。应试人 可以要求适当地改变考试格式、表述方式、考场内提供饮食或调整考试时间，以顾及应试人 由于残疾或宗教要求而影响到考试状态的因素，但是不会改变考试中技能与知识的难度。在 考场内的进食要求必须有医生的证明材料，否则不允许将食品和饮料带入考场。应试人必须 在发出报名表和报名费时一并提出书面要求和证明材料。
6、考试的举办
在CISA考试前2 到3 周，考生会收到考试机构寄来的准考证以及来自ISACA 的电子准考证。准考证上标明了考试的日期、入场登记时间与考试地点，当天日程安排以及 参加CISA考试必须携带的材料。考生必须注意准考证上规定的确切的登记入场时间与考试时 间。在考试开始前约30分钟主考人开始宣读说明时，任何考生均不得进入考试中心。准考证 只能在其被指定的考试中心使用。
只有携带有效的准考证以及通用的身份证明才能进入考试中心。可以接受的身份证明包括带有相片（比如护照、有照片的驾驶执照等）或其它带有考生的签名和身高、体重、眼睛颜色 等描述资料的证明。
考场中发现考生有作弊行为（比如提供或接 受帮助、使用字条、答卷或其它工具）、试图替他人考试或撕下考试卷、答卷或附卷带出考 场时，考生将被取消考试资格。考试机构将向认证委员会报告违规行为。
7、考试成绩
考分的邮寄
自考试之日起约10个星期后，考生将接到邮寄的考试成绩通知。为了对考试分数保密，考试结果将不采用电话、传真或电子邮件的方式进行通知。
考试成绩通知
考生接到的成绩通知将显示全部试卷中答对的数目经换算后的相应得分。换算后的分数从200 到800，是通过一种算法（线性转换）得到的。它在设定及格线之后，把原分数转换为线性分 数。原分数通过累计正确答案而得到，如果某些试题经过统计后被判定为或委员会检查认定 为含义模糊或存在其它缺陷时，还应在原分数中计入该试题的相应得分。通过这种方式，考 生就不会由于某些不具备统计有效性的试题而被扣分。该程序的各个环节都不是人为或随意 的，而是由ISACA 雇用的独立考试机构根据换算程序而得到的。如果得分为450分，这个低于及格线的分数，它并不代表实际的分数或正确答案的平均分，而是原分数相对于其他所有考生的分数。得分达到或超过450分者将通过考试。
再次参加CISA 考试
分数为449及以下的考生可以报名参加以后的 CISA考试。
8、2015年CISA考试信息
1、2015年6月份考试重要日期
考试日期：日。
早期报名截止日：日。
最终报名截止日：日。
考试报名变更：日至日之间，收取费用50美元，日之后恕不受理任何变更请求。
退款：日之前，收取手续费100美元，该日期之后恕不退还任何费用。
缓考：对于日之前收到缓考申请，收取手续费为50美金；日至日之间收到缓考申请，收取手续费100美金；日以后，不再受理缓考申请。
2、2015年9月份考试重要日期
考试日期：日。
早期报名截止日：日。
最终报名截止日：日。
考试报名变更：日至日之间，办理费用50美金；日之后恕不受理任何变更请求。
退款：日之前，收取手续费100美元，该日期之后恕不退还任何费用。
缓考：对于日之前收到缓考申请，收取手续费为50美金；日至日之间收到缓考申请，收取手续费100美金；日以后，不再受理缓考申请。
3、2015年12月份考试重要日期
考试日期：日。
早期报名截止日：日。
最终报名截止日：日。
考试报名变更：日至日之间，办理费用50美金；日之后恕不受理任何变更请求。
退款：日之前，收取手续费100美元，该日期之后恕不退还任何费用。
缓考：对于日之前收到缓考申请，收取手续费为50美金；日至日之间收到缓考申请，收取手续费100美金；日以后，不再受理缓考申请。
以上所有截止时间都以美国伊利诺斯州芝加哥市（中部标准时间）下午5时为准。（与北京时间时差14小时）
第三部分 CISA考试大纲
包括五部分内容，各自所占比例如下：
1、信息系统审计过程（占14%）
2、IT控制与治理（占14%）
3、信息系统获取、开发和实施（占19%）
4、信息系统操作、维护与支付（占23%）
5 、信息资产的保护（占30%）
信息系统的管理、规划和组织
* 评估信息系统战略及其开发、布置、维护的过程，以确保符合机构的商业的目标
* 评估信息系统政策、标准和过程
* 评估信息系统管理实务
* 评估信息系统组织和结构，确保恰当、充分地支持机构的商业要求
* 评估第三方服务商的选择和管理，确保其支持信息系统战略
技术构架和运营实务
* 评估硬件的采购、安装和维护，确保有效地、有用地支持组织的信息系统处理和商业需求并符合组织战略
* 评估系统软件和工具的开发/采购、实施和维护，保证切实支持机构的信息系统处理和商业要求，符合组织的战略
* 评估网络框架的获取、安装和维护，确保充分有效地支持机构的信息系统处理和商业要求
* 评估信息系统运营实践，确保用来支持组织的信息系统处理和商业需求的技术资源的有效地、有用地利用
* 评估系统性能和监控过程、工具和技术的使用，确保计算机系统持续满足组织的商业目标
信息资产的保护
* 评估逻辑访问控制的设计、实施和监控，确保信息资产的完整、保密和可用
* 评估网络框架的安全，保证网络和被传输信息的保密、可用和经过授权使用
* 评估环境控制的设计、实施和监控，以避免和/或减少潜在的损失
* 评估物理访问控制的设计、实施和监控，确保资产和设备的保护程度满足组织的商业目标
灾难恢复和持续运营
* 评估备份和恢复规定的充分性，确保正常信息遇到短期中断和/或需要重运行或重处理时的再恢复
* 评估在主要信息处理设备部不能用时组织持续提供信息系统处理能力的能力
* 评估组织在商业中断时保证商业连续性的能力
商业应用系统开发、获得、实施和维护
* 评估应用系统被开发和实施的过程，确保其满足达到组织的商业目标
* 评估应用系统被采购和实施的过程，确保其满足达到组织的商业目标
* 评估应用系统被维护的过程，确保其满足达到组织的商业目标
商业运营评估和风险管理
* 评估信息系统通过基准、最好实务分析或商业过程再工程等支持商业过程的效率和效果，确保优化商业结果
* 评估程序化的和手工的控制的设计和实施，确保商业过程确定的风险在可接受的水平
* 评估商业过程改变计划，确保其被适当地组织、配备人员、管理和控制
* 评估组织风险管理和治理的实施
信息系统审计程序
* 依照公认的规范，制定和实施基于风险的审计战略和目标，以确保机构的信息技术和商业系统得到充分控制、监察和评估，并与机构的商业目标保持一致
* 仔细规划审计步骤，以保证达到既定的信息系统审计的战略和目标
* 为达到审计目标，获取充分、可靠、对应和有用的证据
* 检查已完成的工作，证实审计目的是否已达到
* 把审计结论传递给机构合伙人
* 推动机构内的风险管理和控制实践的工作}