CISA(公認情報システム監査人)認定に必要な実務経験

CISA(公認情報システム監査人)と認定されるには、最低5年間の情報システム監査、コントロール、保証あるいはセキュリティ分野での実務経験を証明する必要があります。

5年間の実務経験の一部を代替することが可能です。詳細はこちら

これらの実務経験は、認定申請日からさかのぼって10年以内の経験に限ります。

申請する実務経験はCISAの実務ドメインエリアで行われたものでなくてはなりません。

試験合格の有効期限は5年間です。それまでに認定要件を満たして申請しない場合は、合格実績が失効してしまいますのでご注意下さい。

実務経験は学位などで一部代替が可能です。4年制大学卒業の方は申請する実務経験は5年未満となる可能性がございます。代替要件はこちらをご覧ください。

ドメイン1. 情報システム監査のプロセス

● 情報システムが保護・管理され、組織に価値をもたらしているか否かを判断するため、監査を計画する。

● 情報システム監査基準およびリスクベースの情報システム監査戦略に従い、監査を実施する。

● 監査の進捗、発見事項、結果および提案を関係者に連絡する。

● 監査のフォローアップを行い、リスクへの対策が十分であるか否かを評価する。

● データ分析ツールを活用し、監査プロセスを効率化する。

● 情報システムの品質と統制を改善するため、組織にコンサルティングサービスおよびガイダンスを提供する。

ドメイン2. ITガバナンスとITマネジメント

● 組織の戦略および目的と足並みをそろえてIT戦略を評価する。

● ITガバナンス構造およびIT組織構造の有効性を評価する。

● 組織のITポリシーおよび実践手法の管理を評価する。

● 組織のITポリシーおよび実践手法が規制要件や法的要件に準拠しているかを評価する。

● 組織の戦略および目的と足並みをそろえてITリソースおよびポートフォリオ管理を評価する。

● 組織のリスク管理ポリシーおよび実践手法を評価する。

● ITマネジメントおよびコントロールのモニタリング体制を評価する。

● IT部門の重要目標に対する重要業績評価指標(KPI)を評価する。

● ITサプライヤの選別および管理プロセスがビジネス要件に準拠しているか否かを評価する。

● 組織のITポリシーおよび実践手法において、プロセスを改善する機会を識別すること。

● 新しいテクノロジー、規制、業界の実践手法に関連する潜在的な機会と脅威を評価する。

● 情報システムおよびエンタープライズアーキテクチャの定期レビューを実施する。

● 情報セキュリティプログラムを評価し、その有効性や組織の戦略および目標との整合性を検証する。

● ITサービスの管理実践手法がビジネス要件に準拠しているか否かを評価する。

ドメイン3. 情報システムの調達、開発、導入

● 情報システムに対して提案した、変更のビジネスケースが、ビジネス目標を満たしているか否かを評価する。

● 組織のプロジェクト管理ポリシー、および実践手法を評価する。

● 情報システム開発ライフサイクルのあらゆる段階でのコントロールを評価する。

● 情報システムの導入、および本番環境への移行の準備状況を評価する。

● システムの導入事後評価を実施し、プロジェクトの成果物、コントロール、要件が満たされているか否かを判定する。

ドメイン4. 情報システムの運用とビジネスレジリエンス

● IT運営を評価し、それが効率的に管理され、組織の目標を支援し続けているか否かを判定する。

● IT保守の実践手法を評価し、それが効率的に管理され、組織の目標を支援し続けているか否かを判定する。

● データベース管理実践手法を評価する。

● データガバナンスのポリシーと実践手法を評価する。

● 問題/インシデント管理のポリシーおよび実践手法を評価する。

● 変更、構成、リリース、パッチ管理ポリシーおよび実践手法を評価する。

● エンドユーザーコンピューティングを評価し、プロセスが効率的にコントロールされているか否かを判定する。

● 組織がビジネス運営を継続する能力を評価する。

● 資産ライフサイクル管理に関連するポリシーおよび実践手法を評価する。

ドメイン5. 情報資産の保護

● 組織の情報セキュリティおよびプライバシーポリシー/実践手法を評価する。

● 物理的コントロールと環境コントロールを評価し、情報資産が適切に保護されているか否かを判定する。

● 論理的セキュリティコントロールを評価し、情報の機密性、完全性、可用性を検証する。

● 組織の方針と該当する外部要件に合わせてデータ分類実践手法を評価する。

● 技術的セキュリティテストを実行し、潜在的な脅威と脆弱性を特定する。

● 新しいテクノロジー、規制、業界の実践手法に関連する潜在的な機会と脅威を評価する。

CISA  CISA(無料)