真实成功cisa学习总结

合集下载

CISA培训-经验分享

CISA复习和考试经验分享
吴华 CISA CIA 2008.04 长春
培训时间安排
复习考试经验分享第三章知识点介绍第三章练习题讲解第四章知识点介绍第四章练习题讲解
答疑
第一纲
• 培训讲解流程 • 复习经验分享 • 考试经验分享 • IT风险和控制
提纲
复习经验分享

时间＋复习手册＋习题光盘＋因特网
《CISA Review Manual 2008》

IT知识大全，广而不深（附录术语） IT审计指南，实际工作中的帮手
梳理知识点，加强理解和记忆

CISA Review Questions,Answers and Explanations CD-ROM 2008

风险是特定的威胁利用资产的脆弱性从而造成对组织的一种潜在损害

风险因素

业务流程及资产的脆弱性及其面临的威胁，资产包括物理资产和信息资产

威胁及脆弱性对资产的影响
威胁发生的可能性
IT风险和控制

控制

消除风险的措施，避免或减少风险事件发生的可能性，发现不良事件的发生，减小影响或向别的组织转移风险
结束语
结束语
答
疑
预防性控制
检查性控制
使用控制以检查和报告发生的错误、疏忽或蓄意行为的发生
哈希汇总生产作业中的检查点回显控制重复计算检查定期汇报性能差异内部审计检查活动日志以发现非授权访问尝试
意外处理计划备份流程恢复运营流程
纠正性控制
减少危害影响修复检查性控制发现的问题找出问题原因纠正问题衍生出的错误修改处理系统以减少未来问题发生的可能性

2023年CISA信息系统审计知识点完美总结

2023年CISA信息系统审计知识点完美总结1. 信息系统审计概述信息系统审计是指对组织的信息系统进行独立的、系统性的、全面的审查和评价，以确定其合规性和有效性。

2. 信息系统审计的目的和重要性信息系统审计的目的是保障信息系统的安全、可靠和合规性，以提供可靠的信息支持和决策依据。

信息系统审计的重要性体现在以下几个方面：- 保障信息资产的安全性- 确保信息系统的可靠性和完整性- 促进组织合规性和法律遵循3. 信息系统审计的基本原则信息系统审计遵循以下基本原则：- 独立性：审计工作应该独立于被审计对象和其他利益相关方。

- 审计证据：审计结论应该基于充分的审计证据。

- 综合性：审计应该综合考虑组织内外的各种因素。

4. 信息系统审计的方法和步骤信息系统审计的方法和步骤如下：- 确定审计目标和范围- 收集和分析审计证据- 评估和控制审计风险- 发现和跟踪审计问题- 提供审计报告和建议5. 信息系统审计的关键知识点信息系统审计的关键知识点包括但不限于以下几个方面：- 信息系统控制和安全- 数据备份和恢复- 网络安全和防护- 访问控制和权限管理- 数据完整性和准确性- IT合规性和法律法规遵循6. 信息系统审计的发展趋势随着信息技术的快速发展，信息系统审计也在不断发展变化。

未来信息系统审计的发展趋势可能包括但不限于以下几个方面：- 人工智能和机器研究在审计领域的应用- 云计算和大数据对信息系统审计的影响- 区块链技术在信息系统审计中的应用7. 信息系统审计的挑战和对策信息系统审计面临着一些挑战，应采取相应的对策来应对这些挑战，包括但不限于以下几个方面：- 技术变革的快速发展带来的审计方法与技能的更新- 信息系统环境的复杂性和多样性- 面临的安全风险和威胁的不断增加以上是2023年CISA信息系统审计知识点的完美总结，希望对您有所帮助。

参考资料：。

CISA学习笔记(XXXX0206最新更新附个人考试心得)

说明：黄色背景需要特别关注,红色字体非常重要，红黄在一起的话,呵呵,大家就自己考虑吧,呵呵这个笔记是我在得知考试分数后进行整理的，应该还是具有点参考价值的，整理时间2013年2月6日个人考试心得(10月1号开始学习,12月8号参加考试,2０１３年２月1号成绩出来，得分５8２分)：1、有可能的话最好参加相关的培训，5天的培训不会给你多少实质的提高，但最关键的是能给你一个学习的思路;而且在培训的时候,有不懂的问题可以问老师;2、如果你不是做IT出身的，最好恶补一下IT知识，ＣISＡ对IT方面的知识还是有些要求的；3、对于IT出身的人，学CISA特别要注意：要以审计师的视角来学习以及看待题目，组织内部的项目审计师的角色4、审计师是不具体解决问题的,但是要发现问题；5、最好能听两次培训，现在的培训只要缴费后,可以不限次数重听；6、培训前先把书看一遍,要每个字都要看,不论能不能看懂,至少能有个映像;7、不要急于做题目，我的做法是:先把书看一遍（我花了3周左右的时间）——参加培训（做好笔记）——再把书看一遍（我花了将近2周左右的时间)——开始做题目——参加培训(补充上次培训的笔记)——把书再看一遍（最好在一周左右的时间,这个我没做到）——开始做题目，大量的做(我大概做了4０0０道左右)——参加考试(我拿到5８2分,自己觉得比较满意)8、基本上每天花3到4个小时的时间就可以了，考试前两天,有条件的话最好在家里整理和复习一下自己所学的；9、重视ＱQ群的动态，群里面很多朋友和前辈,可以学到很多的;10、最关键的是,一定要参加考前辅导，这个是免费的,但是内容却是非常关键的!！!第一章信息系统审计过程* IS审计是基于风险的审计；* 保持审计独立性和胜任能力,确保审计小组所实施完成的审计任务能满足审计职能的目标要求* 风险分析是审计计划的一部分，帮助IS审计师识别风险和脆弱性并确定降低风险所需的控制＊要以审计师的视角来学习以及看待题目,组织内部的项目审计师的角色;* 第一方审计:自查——报告给自己高层＊第二方审计:甲方审乙方* 第三方审计：外审——报告给公众或相关机构* 按照IT审计标准制定并实施基于风险的ＩT审计战略* 内审首先需要建立审计章程;外审首先需要合同以及委托书;*审计章程或委托书应在组织内部适当的层次得到同意和通过,一旦创立,就只有在非常必要、并经过充分的论证后才允许变更审计章程；＊审计章程涵盖整个范围的审计活动;合同侧重于特定的审计任务;＊信息系统审计的最重要的资源是：审计师* IS审计师应有合格的职业能力,具备进行审计工作的相应知识;IＳ审计师应持续保持职业教育和培训，保持良好的职业能力;*在制定审计计划时,要通过风险评估,确认高风险区域，找到审计的重点范围，合理分配审计资源；* 信息系统审计师常常关注高风险的问题，如敏感和重要信息的机密性、可用性、完整性以及生成、存储和处理这些信息的系统及流程等。

CISA知识点总结2024

引言概述：CISA（CertifiedInformationSystemsAuditor）是一项国际认可的信息系统审计师资格认证，对从事信息系统审计和控制的专业人士具有重要意义。

本文将针对CISA知识点进行总结，帮助读者全面了解CISA考试的内容和要求。

正文内容：一、信息系统审计的基本概念和原则1.信息系统审计的定义和目的2.信息系统审计的基本原则3.信息系统审计的类型和阶段4.信息系统审计的参与者和角色5.信息系统审计的国际标准和准则二、信息系统与技术基础1.信息系统的组成和分类2.信息系统的开发生命周期3.信息系统的运行和维护4.信息系统的风险与控制5.信息系统的安全性和保护措施三、信息系统审计过程与方法1.信息系统审计的策划和准备2.信息系统审计的实施和测试3.信息系统审计的发现和报告4.信息系统审计的跟踪和追踪5.信息系统审计的总结和建议四、信息系统审计的专业实践1.信息系统审计的法律法规和道德规范2.信息系统审计的流程和工具3.信息系统审计的案例和经验分享4.信息系统审计的问题识别和解决5.信息系统审计的持续学习和发展五、信息系统审计的未来发展趋势1.信息系统审计的技术创新和趋势预测2.信息系统审计的人才需求和发展机遇3.信息系统审计的国际合作和标准发展4.信息系统审计的重要性和挑战5.信息系统审计的职业形象和影响力总结：CISA知识点总结着重强调了信息系统审计的基本概念和原则、信息系统与技术基础、信息系统审计过程与方法、信息系统审计的专业实践以及信息系统审计的未来发展趋势五个大点。

每个大点下面设定了59个小点来详细阐述相关知识。

通过本文的学习，读者可以全面了解CISA考试所需的知识和技能，为提高信息系统审计能力和通过CISA考试提供有力的支持。

同时，本文还强调了信息系统审计在未来的发展趋势和重要性，鼓励读者不断学习和发展，为信息系统审计职业做出更大的贡献。

成功通过cisa考试经验

模拟考试应带的东西：
1. 准考证（模拟考试报名表打印出来即可）
CISA考生可以按照以下建议来实践，从而获得一个CISA的思考方式：
1 拥有对整体信息技术的全面理解——概念和实践
2 理解在相关IT组件部署过程中存在的风险
3 知道IT组件安全和控制的特点和官能
4 理解应该采用何种方式进行控制，应用上述产品的安全特性和官能，从而减小相关IT组件的风险。
学习的心得理解系统体系的结构性，从上而下，先总体后细节。抽出关键词，理解知识点的含义，理解概念特征，彼此间的区别。知识点要深刻理解，把重要的事情多看。其实很多可以参照我们工行，我们现在就是按照最佳实务在做自学过程Learning self
（3）做题的体会和考试说明： write in2010-2-1
一、介绍 introduction： write in 2009-12-16
目的：根据自己的学习，培训，考试过程，总结cisa来提升自己的工作做事理念。我参加的为英文考试，英文阅读是道坎，但是原汁原味，更能理解精髓，特别是学习过程碰到优秀的老师，志同道合的朋友，一起沟通学习，获益匪浅。在学习cisa的过程中，收获了友情，增进用先进的理念，方法，流程来做事，也增强了用英文来阅读，思考的能力参加cisa考试的理由：很无厘头，闹着玩，试试看。参加cisa考试的之路是无心的，因为单位刚好组织这个考试的选拨，通过选拨，可以参加cisa培训，当时就想试试吧。刚好就考上了，其实当时还不知道cisa是干什么的。考了就要认真对待了，上网认真看了前辈大侠的评论和意见，才知道cisa是信息系统审计师认证，想着趁机整理一下自己的知识体系，顺便能学点英语，仅此而已。
5 学会怎样鉴别风险，核查相关的安全问题，评价控制的实施，鉴别薄弱点。

信息安全保障人员cisaw认证培训心得 -回复

信息安全保障人员cisaw认证培训心得-回复信息安全保障人员CISAW认证培训心得在信息化普及的今天，信息安全已成为一个备受关注的问题。

为了提高自身在信息安全领域的专业能力和竞争力，我决定参加CISAW （Certified Information Security Assurance Worker，认证的信息安全保障人员）认证培训。

以下是我的心得体会。

首先，CISAW认证培训的内容非常丰富。

培训涵盖了信息安全的各个方面，包括安全概念、风险评估、安全策略与计划、网络安全、应用安全、物理安全等等。

通过系统学习这些知识，我深入了解了信息安全的基本原理和常用技术手段，对构建一个安全的信息系统有了更清晰的认识。

其次，培训中的实验环节非常有针对性。

在学习过程中，我们通过模拟攻击和防御等实验来加深对信息安全的理解。

我通过自己亲手实践了一些基本的攻击技术，包括密码破解、SQL注入、网络钓鱼等，这使我更加深入地认识到信息安全的脆弱性和重要性。

同时，实验还包括了信息安全防御的实际操作，如网络设备配置、入侵检测系统的部署等。

通过这些实验，我掌握了一些实际的安全操作技巧，为将来的工作打下了坚实的基础。

另外，培训中的案例分析也给了我很多启发。

我们通过学习一些真实的信息安全事件案例，了解了安全事件的发生原因、后果以及应对措施。

这些案例不仅帮助我更深入地理解了信息安全的严重性，也让我学会了从更宏观的角度去分析和解决问题。

案例分析还培养了我在实际工作中面对问题时的思考能力和解决问题的能力。

此外，CISAW认证培训还注重培养我们的团队合作精神。

在培训期间，我们组成小组进行了一系列的团队项目，如攻防对抗赛、安全策划和测试等。

这些团队项目旨在培养我们的沟通和协作能力，让我们学会与他人合作解决问题。

这对于日后在信息安全领域的工作中是极其重要的，因为信息安全往往需要多个部门、多个人员的共同配合才能达到最佳效果。

最后，CISAW认证培训还提供了一些实际工作中可能遇到的问题和案例，让我们能够在培训期间进行讨论和解答。

CIS项目个人总结

CIS项目个人总结
团队名称：原点实践项目：原点CIS团队分析
学号：54913115 姓名：宋婕
一、项目概述
小组根据各成立的企业，根据CIS为核心。

分别从视觉识别、团队理念、行为识别三方面并进行分析。

二、个人总结
通过本次项目的完成，我们对自己的企业有了更深入的了解。

‘俗话说，知彼知己才能百战百胜’。

只有了解自己了，并且了解自己的产品了。

才能把自己的产品向顾客推荐。

简单来说就是大局意识、协作精神和服务精神的集中体现。

团队精神的基础是尊重个人的兴趣和成就。

核心是协同合作，最高境界是全体成员的向心力、凝聚力，反映的是个体和整体的统一，为更好的完成任务。

当然了，项目的完成也肯定存在不足之处，如团队理念的分析不彻底，行为识别概念模糊等等。

最后，感谢专业老师的指导，同时感谢小组成员的相互分工，配合。

大家最终使项目顺利的完成。

参加ISPA整体培训课程心得.05

培训总结时间：2010-8-14一、培训流程1、参训者简述各自的人力资源规划书。

2、蒙总拆招。

3、培训内容。

4、布置作业：人力资源规划书修改。

二、学习内容。

1．咨询诊断：（1）产品的生命周期：问题儿童——明星——金牛——狗类，问题儿童如若发展得不好可能直接进入狗类。

（2）企业的发展可能经历的阶段：销售——制度管理——标准化——战略规划——企业文化。

企业在发展的每个阶段都会遇到不同的坎。

（3）要想准确咨询诊断，必先做好设计问卷。

2. 资源整合：（1）一个企业即使问题再大，一般也不会对其进行休克疗法。

除了极少数的，实在是改善的成本大于重开的成本时，可给企业主做客观的分析，并给他选择题，让其做选择。

（2）透过咨询诊断后进行保守治疗，先输血——人民币——业务。

找到企业项目中最有价值的部分，透过资源整合，创造价值，让其恢复足够的元气。

3．战略规划：（1）单单资源整合是没办法将整个企业搞活的，所以要必须做好全盘的规划，这时有两个选择：让其自主规划，或我们帮他梳理规划。

（2）战略规划的流程：预测主题——调查分析——SWOT——借鉴案例——掌握趋势——确认主题。

4.制定方案：透过前面的工作可以制定出一个可行的实施方案。

5.执行方案：结合雄鹰人才开发，给其实施高质量，量身定做的培训。

根据其具体情况做方案，至少也要采用（视频+若干培训师+一至两个大师）的模式。

6.营销管理与业务管理：（1）企业与散客两条腿走路。

（2）散客：渠道多——人才多——派遣点多——业务多。

散客透过雄鹰人才开发后可以成为品牌推广员。

（3）业务管理：广告企划（推式）与业务行销（拉式）。

三、学习心得1.只有经过职能单位制表、上层主管审核、总经理确认的文件才叫有效文件。

2.国有企业有退休福利，民营企业对应的是定期的培训和晋升制度。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

真实成功cisa学习总结今天2010-1-29收到通知，“We are pleased to inform you that you successfully PASSED the exam …”.感觉非常喜悦，这几个月的努力获得回报，特别是自己的理念和做事得到提升，非常满意和开心。

所以想把以前忙于考试，没有时间总结cisa考试历程，走过的路，还有收获，得失，一起和大家分享一下。

也为了今后更好地应用于工作中。

一、介绍introduction：write in 2009-12-16目的：根据自己的学习，培训，考试过程，总结cisa来提升自己的工作做事理念。

我参加的为英文考试，英文阅读是道坎，但是原汁原味，更能理解精髓，特别是学习过程碰到优秀的老师，志同道合的朋友，一起沟通学习，获益匪浅。

在学习cisa的过程中，收获了友情，增进用先进的理念，方法，流程来做事，也增强了用英文来阅读，思考的能力参加cisa 考试的理由：很无厘头，闹着玩，试试看。

参加cisa考试的之路是无心的，因为单位刚好组织这个考试的选拨，通过选拨，可以参加cisa培训，当时就想试试吧。

刚好就考上了，其实当时还不知道cisa是干什么的。

考了就要认真对待了，上网认真看了前辈大侠的评论和意见，才知道cisa是信息系统审计师认证，想着趁机整理一下自己的知识体系，顺便能学点英语，仅此而已。

二、培训过程training：write in2010-1-25摘要：凡事预则立，做事要有计划plan，更要有策略，政策，实施反馈，并持续和改进。

通过考试选拔后，以为正式考试也是这么简单，上网看了一下，发现完全不是这回事。

特别是收到cisa发的厚书，全英文，字体超小，竟然有1k pages，晕倒。

翻了一下，发现很难看懂，单词不认识，还有概念不理解，无从入口。

看了一下中文版的标题，了解大概讲什么：信息系统+审计，内容包容万象。

看了book2006-cn实务手册（比较旧，后来出来book2009-cn 实务手册，没有时间看）。

到单位组织的培训班，请中审来培训，培训过程，课程比较紧，因为搞科技出身，对审计的理念不是很明白，费了比较大的力气，感觉科技比较真实，可触摸，是比较好认知的；而审计偏向社会性，讲究法律，人际关系，审慎原则等，对提升个人的大局观和人际沟通有不少触动。

培训中，没有想到回来后，自学很累，基本是听老师讲，自己没有提前认真看过英文版书，比较失策。

大家一起学习，晚上一起聚餐，玩，比较开心。

总体感觉：累并快乐，提升自身做事工作理念，但是困还在后头。

主要是对cisa的细节的研究，还有碰到英语关，思考问题的理念差异，比如人最重要，而我们强调资产的重要性，强调按流程做事和我们强调规则的灵活性。

三、自学过程Learning self（1）：write in2010-2-1自学的过程，比较漫长和痛苦，因为白天要忙于工作，晚上还要陪小孩玩，基本是21点后才能正式开始学习，时间比较紧迫。

听从王朝阳老师的建议，每天保证2个小时的学习，而且深入理解概念、标准、规范。

在此非常感谢王老师的培训。

学习的难点，一是思想上很难高度集中投入，二是对知识体系本身的掌握。

为此，先看了中文版，了解基本概念和案例，做到结构化体系，掌握知识点。

而后深入学习每个细节。

通过朋友，网络等加深理解。

学习是需要大家一起讨论，效果会更好。

学习的过程，也是纠偏的过程，把自己的理念调整为和cisa的理念和原则一致。

这是一个非常痛苦的过程，就像要一个人改掉睡懒觉，抽烟的过程，漫长而痛苦。

但是改掉了，养成了好习惯，对自己的职业生涯帮助还是非常大，就像不抽烟了，身体会好很多。

坚持就是胜利：每天温习昨天的课程，并复习单词，开始新的学习。

看书要许多遍，理解概念。

全部精力专注投入。

学习的目标objective：1. 通过cisa。

2. 学习先进的理念，方法，做事的流程。

3. 学会用英文来阅读，写作，思考。

学习战略strategy：1、先总后分，先粗后细。

2、先框架，架构，章节，到具体的概念。

3、用自己的话来描述定义，使用范围，优缺点，比较。

结构化知识体系，记住知识点1、理解系统体系的结构性，从上而下，先总体后细节。

2、抽出关键词，理解知识点的含义，理解概念特征，彼此间的区别。

3、知识点要深刻理解，把重要的事情多看。

自学过程Learning self（2）体系的梳理：write in2010-2-1学了一段时间，对CISA几个部分的关系梳理一下，总体讲CISA就是对IT相关方面的审计，审计这就必须有相关的知识了解，cisa书本就是告诉你应了解的知识。

结合单位的实际情况，理解起来能好一些。

1、关键是理念的更新，架构的理解，学会它的分析问题解决问题的方法，步骤。

2、一切理念服从目标objectives，目标派生出战略，派出风险，并提供适当，经济，有效率，有效性的控制。

需要考虑成本收益。

3、在乎公司的可持续发展。

1、告诉你如何做一个整体的审计。

关键是独立客观。

要收集证据，分析原因，向合适的管理层沟通和汇报2、组织里面IT治理，应该是讲单位里IT 的组织、管理等。

强调it的支持和增值作用。

3、生命周期。

讲软件及系统开发方法、过程。

开发的过程，需要学习的东西比较多，杂。

4、支付与支持。

组织里面的IT应用，包含硬件、软件、网络。

网络等比较难以理解。

注意是结合实际。

5、IT资产保护。

正确使用信息资产，主要是数据资产，如何保护资产。

6、灾难恢复连续运行。

这个好理解，其实就是个应急处理问题。

Is auditor的职责和作用：保住主要的、关键的应用。

具有组织的全局观点和认识所有灾难后果的能力预防比纠正更重要角色转换：it职能转向审计职能需要更新的理念审计的目标：证明内控是否存在，以最小化风险。

所以对于流程的风险，一般是去寻找是否存在足够合适的控制做事需要高层的支持，也是感谢领导的具体含义。

审计需要了解公司高层的意图和风险偏好，对企业的背景要做够的理解。

it 战略必需服从企业的业务目标和战略。

沟通的重要性：如果先有友好沟通，然后做事，出报告，比较能平衡各方的态度学习的心得理解系统体系的结构性，从上而下，先总体后细节。

抽出关键词，理解知识点的含义，理解概念特征，彼此间的区别。

知识点要深刻理解，把重要的事情多看。

其实很多可以参照我们工行，我们现在就是按照最佳实务在做自学过程Learning self（3）做题的体会和考试说明：write in2010-2-1模拟考试的目标：感受一下考试：考验一下时间，体力和精力。

1、晚上花整块的时间，做模拟题一遍（200题），看看需要花多少时间。

2、全部精力专注投入，先在答题上勾好，以便以后涂写。

做了一遍模拟题，模拟考试200题，好紧张好累。

from2009-12-8考试的注意事项：1、思想要高度集中，全身心投入。

2、采用现在答题纸上做记号，然后最后20分钟留下涂黑。

3、最初一个小时，必须保证完成60道题目。

后续保证这个速度。

4、坚持再坚持，每个时点要检查进度。

5，做题时，快速抓住题目的key，并采用排除法，先去掉最错的，然后择优而选。

考试说明试题为全英文，内容紧扣考试大纲，涉及信息系统审计过程、IT治理、系统及基础设施的生命周期管理、IT服务和交付、信息资产的保护和业务持续计划与灾难恢复计划等。

ISA 标准，准则提供审计服务，信息系统和运行系统得到保护和受控。

审计准则，审计指南，审计内容：审计程序，风险分析，内控，cobit框架IT治理：战略，框架，Sdlc：项目管理，实施评估Web服务器核心技术：简易对象存取协议。

SoapCmm：软件能力成熟度模型。

Cmm1—》cmm5信息系统审计和信息系统相关知识两大方面七个内容：1、信息系统审计程序；（10%）2、信息系统的管理计划和组织；（11%）3、技术基础和操作实务；（13%）4、信息资产的保护；（25%）5、灾难恢复和业务持续计划；（10%）6、业务应用系统的开发、取得、实施和维护；（16%）7、业务过程的评价和风险管理。

（15%）IT审计流程内容占10%，资产保护内容占31%，周期16%，IT治理15%，交付14%，灾难恢复14%。

四、成功通过CISA考试的有效途径（ISACA 印度的分会主席写的）CISA的目的CISA考试由来自考生指南中介绍的7个领域200个题目组成，CISA是测试开展信息系统审计的最低能力。

对IT的理解考生对于IT 的理解，应覆盖在实际应用中可能设计的各种IT组件的关键概念。

考生的IT 知识应该包括例如：IT基础结构、IT设备、各种计算机硬件、系统软件（操作系统、数据库、网络、多媒体等），商业应用软件、自动化办公软件以及审计软件。

进一步说，考生应具备企业IT部署工作中涉及到的管理方面的基本概念和实践。

CRM——仅仅是理论上的练习CISA技术信息评论手册（CRM）【具体怎么叫无所谓，反正就是那个REVIEW MANUAL】的意义并不是教会考生关于信息技术的基础概念。

但是，还是在必要的时候对IT组件进行解释。

CISA考生指南提供了更广泛的科目清单，CRM则是提供了IS审计员在实际工作中具体需要完成的任务和知识需求的细节。

CRM应该是一个指南性质的文档，考生以其为指导，学习各自需要的更多的知识。

IT ——实践训练对于那些不是很熟悉IT的考生，建议他们去做一些基于硬件、系统软件、自动化办公、商业和审计软件的实践。

像一个CISA一样思考——实践的方法CISA考生需要具备《考生指南》所陈述的所有领域内工作的目的、任务和知识。

基本上包括以下三个主要的方面：信息技术、管理、审计。

CISA考生可以按照以下建议来实践，从而获得一个CISA的思考方式：1 拥有对整体信息技术的全面理解——概念和实践2 理解在相关IT组件部署过程中存在的风险3 知道IT组件安全和控制的特点和官能4 理解应该采用何种方式进行控制，应用上述产品的安全特性和官能，从而减小相关IT组件的风险。

5 学会怎样鉴别风险，核查相关的安全问题，评价控制的实施，鉴别薄弱点。

清晰的概念在以下几个领域内，CISA考生需要具备清晰的概念。

（鬼子的话很拗口）1信息技术的实现过程中存在的内部风险2合理风险管理战略来减小风险3安全和控制，哪个可以用来减小风险。

五、应试技巧：预防比纠正更重要角色转换：it职能转向审计职能。

人是最重要的。

关注特殊字符：always，somtime等。

使用排除法。

对于看书和考试,我是这样看的:1.从题目入手,唤起记忆,看是否能理解相关的内容,再决定是否需要进一步查找资料印证;2.从每章的小结入手,快速掌握关键要点,若需要细看时再翻看相关章节;全部从头看,是没有耐心啦.3.荒废多年,我已把英文单词差不多都给回老师了,所以目前,主要是将关键术语进行浏览,期望能够恢复部分记忆;4.对于鬼佬的考试,过了也就过啦,但你永远不会知道是怎么过的!不通过嘛,你也不知道是哪些题出了差错.所以,尽力就好. 历年的CISA复习题、解析手册，包含囊括了以往考试中出现的具有代表性的题型，并包含正确与错误答案的解析。