CISA(公認情報システム監査人)認定に必要な実務経験

CISA(公認情報システム監査人)と認定されるには、最低5年間の情報システム監査、コントロール、保証あるいはセキュリティ分野での実務経験を証明する必要があります。

これらの実務経験は、認定申請日からさかのぼって10年以内の経験に限ります。

合格の有効期限は5年間です。それまでに認定要件を満たさない場合は、失効してしまいますのでご注意下さい。

ドメイン1.情報システム監査のプロセス

IT監査基準に従い、組織における情報システムの保護、および、管理を支援するために、情報システム監査サービスを提供する。

■主要な領域が含まれることを確実にするために、IT監査基準に従って、リスクベースのIT監査戦略を策定及び導入すること。

■情報システムが保護され管理されているかどうかを判断するために特定の監査を計画し、組織にその評価を提供すること。

■策定した監査目標を達成するために、IT監査基準に従って監査を実施すること。

■結果を伝えるとともに必要な場合は修正をもたらすために、主要な利害関係者に監査の発見事項の報告及び改善勧告を行うこと。

■経営者によって適切な措置がタイムリーにとられていることを確認するために、フォローアップを実施すること、あるいは、状況報告書を作成すること。

ドメイン2. ITガバナンスとマネジメント

目標を達成し、組織の戦略を支援摺るために必要とされるリーダーシップ、組織構造、および、プロセスを備えているという保証を提供する。

■ITに関する意思決定、方向性、パフォーマンスが組織の戦略と目標を支援しているかどうかを判断するためにIT ガバナンスの構造の有効性を評価すること。

■ITの組織構造及び人材(人事)管理が組織の戦略の目標を支援しているかどうかを判断するために、それらを評価すること。

■IT戦略(ITの方向性を含む)、戦略の策定、承認、導入、及び維持のプロセスが組織の戦略と目標に整合しているかどうかを判断するためにそれらを評価すること。

■組織のIT 方針、基準、及び手順と、それらの開発、承認、導入、維持、及びモニタリングのプロセスがIT戦略を支援し、法令及び規制要求事項を順守しているかどうかを判断するために、それらを評価すること。

■品質管理システムが費用対効果の高い方法で、組織の戦略と目標を支援しているかどうかを判断するために、その妥当性を評価すること。

■ITに関する管理とコントロールのモニタリング(例:継続的モニタリング、品質保証[QA])が組織の方針、基準、及び手順を順守しているかどうかを判断するために、それらを評価すること。

■IT資源の投資、活用、割り当ての業務(優先順位決定基準を含む)が組織の戦略と目標に整合しているかどうかを判断するために、それらを評価すること。

■ITに関する契約戦略と方針、及び契約管理業務が組織の戦略や目標を支援しているかどうかを判断するために、それらを評価すること。

■組織のIT 関連リスクが適切に管理されているかどうかを判断するために、リスク管理業務を評価すること。

■取締役と上級経営者がIT パフォーマンスについて十分かつ適時な報告を受けているかどうかを判断するために、モニタリングと保証の業務を評価すること。

■ITの障害発生期間中に、重要な業務の運営を継続できるかどうか組織の能力を判断するために、組織の事業継続計画を評価すること。

ドメイン3.情報システムの取得、開発および導入

情報システムの取得、開発、テスト、および、導入の業務が組織の戦略と目標を満たしているという保証を提供する。

■情報システムの調達、開発、保守、及びその後の廃棄への提案された投資が、ビジネス目標に合致しているかどうかを判断するために、そのビジネスケースを評価すること。

■組織に対するリスクを管理しつつ、費用対効果の高い方法でビジネス要件が実現されるかどうかを判断するために、プロジェクト管理の業務とコントロールを評価すること。

■プロジェクトが計画通りに進捗しているか、それが文書化によって適切にサポートされているか、及び状況報告が正確であるかを判断するためにレビューを実施すること。

■組織の方針、基準、手順、及び適用可能な外部の要求事項を順守しているかどうかを判断するために、要件定義、調達、開発、及びテストの各フェーズにおける情報システムのコントロールを評価すること。

■プロジェクトの成果物、コントロール、及び組織の要件が合致しているかどうかを判断するために、情報システムの導入及び本番への移行の準備状況を評価すること。

■プロジェクトの成果物、コントロール、及び組織の要件が合致しているかどうかを判断するために、情報システムの導入後のレビューを実施すること。

ドメイン4.情報システムの運用、保守およびサービス管理

情報システムの運用、保守およびサポートが、組織の戦略と目標を満たしているという保証を提供する。

■組織目標との整合が継続して維持されているかどうかを判断するために、情報システムの定期的なレビューを実施すること。

■社内及び外部のサービス提供者のサービスレベルが定義され管理されているかどうかを判断するために、サービスレベル管理業務を評価すること。

■組織が期待するコントロールレベルがサービス提供者によって順守されているかどうかを判断するために、外部業者管理(third-party management) 業務を評価すること。

■計画された、および緊急のプロセスが完了するまで管理されているかどうかを判断するために、運用及びエンドユーザーの手順を評価すること。

■情報システムの保守プロセスが適切に管理され、継続して組織の目標を支援しているかどうかを判断するために、情報システムの保守プロセスを評価すること。

■データベースの完全性と最適化を確認するために、データ管理業務を評価すること。

■ITサービスが組織の目標に合致しているかどうかを判断するために、容量及び性能監視ツールと技法の有効性を評価すること。

■インシデント、問題、エラーが適時に記録、分析、解決されているかどうかを判断するために、問題管理及びインシデント管理の業務を評価すること。

■組織の本番環境に対する計画された、および緊急の変更が適切に管理され文書化されているかどうかを判断するために、変更管理、構成管理、及びリリース管理の業務を評価すること。

■処理を再開するために必要な情報が利用可能かどうかを確認するために、バックアップ及びリストア対策の妥当性を評価すること。

■災害発生時に組織の災害復旧計画に基づいてIT処理能力の復旧が可能であるかどうかを判断するために、組織の災害 復旧計画を評価すること。

ドメイン5.情報資産の保護

組織のセキュリティポリシー、基準、手順、およびコントロールが、情報資産の機密性、完全性、可用性を確保する保証を提供する。

■情報セキュリティポリシー、基準、及び手順の完全性、及び一般的に受け入れられている業務との整合性について評価すること。

■システム及び論理セキュリティコントロールの設計、導入及び監視を評価して、情報の機密性、完全性及び可用性を検証すること。

■データ分類プロセス及び手順の設計、導入及び監視が組織の方針、基準、手順及び該当する外部要件と整合しているかどうかを判断するために、それらを評価すること。

■物理的アクセス及び環境コントロールの設計、導入及び監視を評価し、情報資産が十分に保護されているかどうかを検証すること。

■情報資産(例:バックアップメディア、遠隔地の保管施設、ハードコピー/印刷データ及びソフトコピーメディア)の保管、検索、移送及び廃棄を評価し、情報資産が適切に保護されているかどうかを検証すること。

 

CISA  CISA(無料)