CISA(公認情報システム監査人)認定に必要な実務経験

CISA(公認情報システム監査人)と認定されるには、最低5年間の情報システム監査、コントロール、保証あるいはセキュリティ分野での実務経験を証明する必要があります。

これらの実務経験は、認定申請日からさかのぼって10年以内の経験に限ります。

申請する実務経験はCISAの実務ドメインエリアで行われたものでなくてはなりません。

試験合格の有効期限は5年間です。それまでに認定要件を満たして申請しない場合は、合格実績が失効してしまいますのでご注意下さい。

ドメイン1. 情報システム監査のプロセス

IS監査基準に従い監査のサービスを提供し、組織の情報システムの保護と管理を支援すること。

■情報システム監査基準に従ってリスクベースの情報システム監査戦略を実施し、主要なリスク分野が確実に監査されるようにすること。

■情報システムが保護され、管理され、組織に価値をもたらしているかどうかを判断するために特定の監査を計画すること。

■策定した監査目標を達成するために、情報システム監査基準に従って監査を実施すること。

■ミーティングや監査報告書を通して主要な利害関係者に監査結果を連絡して推奨を行い、必要に応じて変更を促すこと。

■監査のフォローアップを行い、経営者が適時、適切な措置を講じているか判断すること。

ドメイン2. ITガバナンスとITマネジメント

必要なリーダーシップと組織構造とプロセスが導入されていることを保証し、目標を達成させ組織の戦略を支援すること。

■組織の戦略や目標との整合性についてIT方針や戦略の開発、承認、導入や維持のプロセスを含め、IT戦略を評価すること。

■ITに関する意思決定、方向性、パフォーマンスが組織の戦略と目標を支援しているかどうかを判断するために、ITガバナンスの構造の有効性を評価すること。

■ITの組織構造と人材(人事)管理が組織の戦略と目標を支援しているかどうかを判断するために、それらを評価すること。

■組織のIT関連リスクが識別、査定、モニタリング、報告、管理されているかどうかを判断するために、リスク管理業務を評価すること。

■組織のポリシー、基準と手順との準拠性について、ITマネジメント管理と統制のモニタリング(例:継続的モニタリング、品質保証[QA])を評価すること。

■組織のIT方針、基準、手順と、それらの開発、承認、リリース/発表、導入、維持プロセスがIT戦略を支援し、法規制の要件を順守しているかどうかを判断するために、それらを評価すること。

■ITリソースの管理(投資、優先順位決定、割当、使用を含む)が組織の戦略と目標に整合しているかどうかを判断するために、それらを評価すること。

■ITポートフォリオの管理(投資、優先順位決定、割当を含む)が組織の戦略と目標に整合しているかどうかを判断するために、それらを評価すること。

■経営陣が十分な情報を適時受け取っているかどうかを判断するために、ITの主要業績評価指標(KPI)のモニタリングと報告を評価すること。

■組織がIT中断時に基本的な業務を続けられるかどうかを判断するために、IT災害復旧計画(DRP)とBCPの整合性を含め、組織の業務継続計画(BCP)を評価すること。

ドメイン3. 情報システムの調達、開発、導入

情報システムの取得、開発、テスト、および導入の実務が組織の戦略及び目標に合致していることを保証すること。

■情報システムの取得、開発、保守、及びその後の廃棄への提案された投資が、ビジネス目標に合致しているかどうかを判断するために、そのビジネスケースを評価すること。

■組織のサービスレベルと必須なコントロールが確実に満たされるよう、ITサプライヤーの選定及び契約管理プロセスを評価すること。

■組織に対するリスクを管理しつつ、費用対効果の高い方法でビジネス要件が満たされているかどうかを判断するために、プロジェクト管理フレームワークとコントロールを評価すること。

■プロジェクトの成果物、コントロール、及び組織の要件が合致しているかどうかを判断するために、情報システムの導入後レビューを実施すること。

■プロジェクトが計画通りに進捗しているか、それが文書化によって適切にサポートされているか、及び、状況報告が適時かつ正確であるかを判断するためにレビューを実施すること。

■組織のポリシー、基準、手順、及び適用可能な外部の要求事項を遵守しているかどうかを判断するために、要件定義、取得、開発、及びテストの各フェーズにおける情報システムのコントロールを評価すること。

■プロジェクトの成果物、コントロール、及び組織の要件が合致しているかどうかを判断するために、情報システムの導入及び本番移行の準備状況を評価すること。

ドメイン4. 情報システムの運用とビジネスレジリエンス

情報システムの取得、開発、検査と実装の実習が組織の戦略と目標に達していることを保証すること。

■コントロールと組織の期待するサービスレベルが支持され、戦略目的が満たされているか判断するために、IT サービス管理フレームワークと業務(社内または第三者)を評価すること。

■エンタープライズアーキテクチャ(EA)内で組織の目標に継続して適合しているかどうかを判断するために、情報システムの定期的なレビューを実施すること。

■IT 運用が効果的に管理され、引き続き組織の目標をサポートしているか判断するために、IT 運用(ジョブ・スケジューリング、構成管理、キャパシティおよびパフォーマンス管理など)を評価すること。

■IT 保守プロセスが効果的に管理され、継続して組織の目標を支援しているか判断するために、IT 保守プロセス(パッチ、アップグレード)を評価すること。

■データベースの完全性と最適化を判断するために、データベース管理業務を評価すること。

■引き続き戦略目的を満たしているか判断するために、データ品質及びライフサイクル管理を評価すること。

■問題とインシデントが適時、防止、検出、分析、報告、解決され、組織の目標を支持しているか判断するために、問題とインシデントの管理業務を評価すること。

■システムとアプリケーションの変更が十分に管理され文書化されているか判断するために、変更及びリリース管理業務を評価すること。

■エンドユーザーコンピューティング向けのプロセスが効果的に管理され、組織の目標を支持しているか判断するために、エンドユーザーコンピューティングを評価すること。

■IT継続性及び回復力が効果的に管理され、引き続き組織の目標を支持しているか判断するために、IT 継続性と回復力(バックアップ/復元、災害復旧計画 [DRP])を評価すること。

ドメイン5. 情報資産の保護

情報資産の機密性、完全性、可用性を確実にするために、組織の方針、基準、手続および管理が確実であることの保証を提供すること。

■情報セキュリティおよびプライバシーポリシー、標準および手順の完全性、一般的に受け入れられている慣行との整合性、該当する外部要件への準拠性について評価すること。

■物理的および環境的コントロールの設計、導入、保守、およびモニタリングを評価し、情報資産が十分に保護されているかどうかを検証すること。

■情報セキュリティプログラムを評価し、その効果性や組織の戦略および目標との整合性を検証すること。

■システムおよび論理セキュリティコントロールの設計、導入、保守、モニタリング、および報告を評価して、情報の機密性、完全性および可用性を検証すること。

■データ分類プロセスおよび手順の設計、導入およびモニタリングを評価し、組織のポリシー、標準、手順および該当する外部要件と整合しているかどうかを判断すること。

■資産の保管、検索、移送および廃棄に使用されるプロセスおよび手順を評価し、情報資産が十分に保護されているかどうかを検証すること。

CISA  CISA(無料)