基于CISA认证信息系统审计专业知识结构及其实现途径研究.docVIP

基于CISA认证信息系统审计专业知识结构及其实现途径研究 　　[摘 要] 随着企业等各类组织对信息系统依赖程度的逐渐增强,信息系统真实性、安全性、有效性等方面的审计工作愈加深入而广泛,信息系统审计人才的培养要求日趋迫切。本文在简要介绍注册信息系统审计师(CISA)起源和现状的基础上,深入研究基于CISA认证内容的信息系统审计专业的知识结构,并阐述知识结构各要素间的关系及其实现途径,以期能为我国信息系统审计高级专门人才的培养提供借鉴。 　　[关键词] CISA; 信息系统审计; 专业; 知识结构 　　doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 16 . 042 　　[中图分类号]F239.1;G642 [文献标识码]A [文章编号]1673 - 0194(2010)16- 0107- 04 　　 　　0引言 　　 　　随着社会的快速发展和信息技术的不断提高,企事业单位等各类组织开发和使用信息系统的比例越来越高,形成了对信息系统的高度依赖,信息系统的安全事关组织的生存和发展,信息系统的技术和管理隐患会给组织带来伤害甚至灾难。IDC的一份调查统计资料表明,全球约有80%的企业存在信息安全或信息风险问题,在所有被调查的公司中,进行常规性安全检查的公司还不到一半,只有 30% 的公司具有跟踪用户访问的能力,30%的公司使用加密技术,而且这些信息安全问题大多来自于企业内部,其中处于信息泄密高风险的很大一部分问题是因信息安全管理不善所致。2007年12月,英国Norwich Union保险公司的资料被人盗取,被骗去330万英镑人寿保险金。2008年,法国兴业银行的交易员冲破银行内部层层监控进行非法交易,致使该银行遭受71.4亿美元的巨额损失。2009年8月26日,美国联邦航空局向外界透露,该局一个航班排序中心的电脑系统当天下午因故障而瘫痪,导致全国20多个机场出现航班延误。我国UT斯达康深圳分公司的一位工程师利用管理上的漏洞,绕开了耗费1.2亿元建立起来的网络安全体系,侵入北京移动通信公司充值中心数据库,修改充值卡原始数据并窃取了充值卡密码,并通过淘宝网和QQ向他人出售,致使北京移动通信公司损失380万元[1]。信息系统安全方面出现的问题告诫人们,信息系统审计工作至关重要。国家审计署在《2008至2012年信息化发展规划》中提出,要探索符合中国国情的信息系统审计,逐步加大对信息系统审计的力度,关注信息系统的可靠性和安全性,维护被审计单位和国家的信息安全。根据信息系统安全的现状以及国家和社会的要求,高校急需设置信息系统审计专业,为社会培养知识结构合理、实践能力强的高层次信息系统审计专门人才。 　　 　　1CISA认证的起源和现状 　　 　　自1946年计算机发明开始,计算机的应用逐渐广泛,到20世纪60年代,计算机在企业管理领域特别是企业财务数据处理和会计核算领域的应用已颇有成效。为了规范电子数据环境下的内部审计规则和组织方法,1968年美国执业会计师协会出版了《电子数据处理系统与审计》,并于次年成立了电子数据处理审计师协会(Electronic Data Processing Auditor Association,EDPAA)。1994年,为适应信息系统审计发展的需要,EDPAA更名为信息系统审计与控制协会(Information System Audit and Control Association,ISACA)。目前,ISACA在世界170多个国家成立了分会,协会会员总数超过86 000人,是全球公认的影响最大的信息系统审计国际化组织,也是注册信息系统审计师(Certified Information Systems Auditor,CISA)职业资格考试的发起者和组织者。 　　ISACA认为,信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并有效果地实现组织目标的过程[2]。信息系统审计不仅要对被审计对象采用的信息系统的安全性、可靠性以及控制的有效性进行了解、测试与评价,而且要对被审计对象的业务流程中信息系统控制存在的不足做出判断并提出改进建议,起到一定的增值作用。根据信息系统审计的含义和要求,CISA就是要审查一个企业的信息系统是否安全、稳定和有效,以确保通过信息系统得出的数据是准确、可靠的。在信息化社会中,CISA可为各单位筑起信息安全的壁垒。CISA关注信息安全,采用各种方法测试系统的安全性,并对来自内部和外部的安全隐患提出合理可行的应对措施;CISA关注信息系统的稳定性,提出一系列对策保证信息系统的运行万无一失;CISA能鉴别信息系统的有效性,能够帮助企业促进经营管理与信息技术的融合