Plan Szkolenia
Cel:
Ostatecznym celem jest zdanie egzaminu CISA za pierwszym razem.
Proces audytu systemu informatycznego (21%)
Świadczenie usług audytowych zgodnie ze standardami audytu IT w celu wsparcia organizacji w ochronie i kontroli systemów informatycznych.
- 1.1 Opracować i wdrożyć strategię audytu IT opartą na ryzyku zgodnie ze standardami audytu IT, aby zapewnić uwzględnienie kluczowych obszarów.
- 1.2 Planowanie określonych audytów w celu ustalenia, czy systemy informatyczne są chronione, kontrolowane i zapewniają wartość dla organizacji.
- 1.3 Przeprowadza audyty zgodnie ze standardami audytu IT, aby osiągnąć zaplanowane cele audytu.
- 1.4 Raportowanie wyników audytu i formułowanie zaleceń dla kluczowych interesariuszy w celu komunikowania wyników i wprowadzania zmian w razie potrzeby.
- 1.5 Prowadzenie działań następczych lub przygotowywanie raportów o statusie w celu zapewnienia, że odpowiednie działania zostały podjęte przez kierownictwo w odpowiednim czasie.
Zarządzanie i Management IT (17%)
Zapewnij, że niezbędna struktura i procesy kierownicze, organizacyjne umożliwiają osiągnięcie celów i wspieranie strategii organizacji.
- 2.1 Oceń skuteczność struktury zarządzania IT, aby ustalić, czy decyzje, kierunki rozwoju i wydajność IT wspierają strategie i cele organizacji.
- 2.2 Oceń strukturę organizacyjną IT i zarządzanie zasobami ludzkimi (personelem), aby ustalić, czy wspierają one strategie i cele organizacji.
- 2.3 Ocena strategii informatycznej, w tym kierunku rozwoju IT oraz procesów opracowywania, zatwierdzania, wdrażania i utrzymywania strategii pod kątem zgodności ze strategiami i celami organizacji.
- 2.4 Ocenić zasady, standardy i procedury IT organizacji oraz procesy ich opracowywania, zatwierdzania, wdrażania, utrzymywania i monitorowania, aby ustalić, czy wspierają one strategię IT i są zgodne z wymogami regulacyjnymi i prawnymi.
- 2.5 Oceń adekwatność systemu zarządzania jakością, aby ustalić, czy wspiera on strategie i cele organizacji w sposób opłacalny.
- 2.6 Ocena zarządzania IT i monitorowania kontroli (np. ciągłego monitorowania, zapewnienia jakości) pod kątem zgodności z politykami, standardami i procedurami organizacji.
- 2.7 Oceniać inwestycje w zasoby informatyczne, ich wykorzystanie i alokację, łącznie z kryteriami ustalania priorytetów, pod kątem zgodności ze strategiami i celami organizacji.
- 2.8 Oceniaj strategie i zasady zawierania umów informatycznych oraz praktyki zarządzania umowami, aby ustalić, czy wspierają one strategie i cele organizacji.
- 2.9 Oceń praktyki zarządzania ryzykiem, aby ustalić, czy ryzyka w organizacji związane z IT są właściwie zarządzane.
- 2.10 Ocena praktyk w zakresie monitorowania i zapewniania wiarygodności w celu ustalenia, czy zarząd i kierownictwo wykonawcze otrzymują wystarczające i terminowe informacje na temat wydajności IT.
- 2.11 Oceń plan ciągłości działania organizacji, aby określić zdolność organizacji do kontynuowania podstawowych operacji biznesowych w okresie przerwy w działaniu systemów informatycznych.
Pozyskiwanie, rozwój i wdrażanie systemów informatycznych (12%)
Zapewnij, że praktyki dotyczące pozyskiwania, rozwoju, testowania i wdrażania systemów informatycznych są zgodne ze strategiami i celami organizacji.
- 3.1 Ocena uzasadnienia biznesowego dla proponowanych inwestycji w nabycie, rozwój, utrzymanie i późniejsze wycofanie systemów informatycznych w celu ustalenia, czy spełniają one cele biznesowe.
- 3.2 Ocena praktyk zarządzania projektami i kontroli w celu ustalenia, czy wymagania biznesowe są osiągane w sposób efektywny kosztowo, przy jednoczesnym zarządzaniu ryzykiem dla organizacji.
- 3.3 Przeprowadzanie przeglądów w celu ustalenia, czy projekt postępuje zgodnie z planami projektu, jest odpowiednio poparty dokumentacją, a raportowanie statusu jest dokładne.
- 3.4 Ocenianie kontroli systemów informatycznych na etapie określania wymagań, nabywania, rozwoju i testowania pod kątem zgodności z politykami, standardami, procedurami organizacji i stosownymi wymaganiami zewnętrznymi.
- 3.5 Ocena gotowości systemów informatycznych do wdrożenia i migracji do produkcji w celu ustalenia, czy spełnione są rezultaty projektu, kontrole i wymagania organizacji.
- 3.6 Przeprowadzanie przeglądów systemów po wdrożeniu w celu ustalenia, czy spełnione są produkty projektu, kontrole i wymagania organizacji.
Obsługa systemów informatycznych i Business odporność (23%)
Zapewnij, że procesy dotyczące eksploatacji, konserwacji i wsparcia systemów informatycznych są zgodne ze strategiami i celami organizacji.
- 4.1 Przeprowadzaj okresowe przeglądy systemów informatycznych, aby ustalić, czy nadal spełniają one cele organizacji.
- 4.2 Ocena praktyk zarządzania poziomem usług w celu ustalenia, czy poziom usług świadczonych przez wewnętrznych i zewnętrznych dostawców usług jest zdefiniowany i zarządzany.
- 4.3 Ocena praktyk zarządzania stronami trzecimi w celu ustalenia, czy poziomy kontroli oczekiwane przez organizację są przestrzegane przez dostawcę.
- 4.4 Ocena operacji i procedur użytkownika końcowego w celu ustalenia, czy zaplanowane i niezaplanowane procesy są zarządzane do końca.
- 4.5 Oceń proces konserwacji systemów informatycznych, aby ustalić, czy są one skutecznie kontrolowane i w dalszym ciągu wspierają cele organizacji.
- 4.6 Ocena praktyk administrowania danymi w celu określenia integralności i optymalizacji baz danych.
- 4.7 Oceń wykorzystanie narzędzi i technik monitorowania pojemności i wydajności, aby ustalić, czy usługi informatyczne spełniają cele organizacji.
- 4.8 Ocena praktyk zarządzania problemami i incydentami w celu określenia, czy incydenty, problemy lub błędy są rejestrowane, analizowane i rozwiązywane w odpowiednim czasie.
- 4.9 Oceń praktyki zarządzania zmianami, konfiguracją i wydaniami, aby ustalić, czy zaplanowane i niezaplanowane zmiany wprowadzane w środowisku produkcyjnym organizacji są odpowiednio kontrolowane i dokumentowane.
- 4.10 Ocena adekwatności przepisów dotyczących tworzenia kopii zapasowych i przywracania w celu określenia dostępności informacji wymaganych do wznowienia przetwarzania.
- 4.11 Oceń plan odzyskiwania po awarii w organizacji, aby ustalić, czy umożliwia on odzyskanie możliwości przetwarzania IT w razie awarii.
Ochrona zasobów informacyjnych (27%)
Zapewnij, że polityka bezpieczeństwa, standardy, procedury i kontrole organizacji zapewniają poufność, integralność i dostępność zasobów informacyjnych.
- 5.1 Ocena polityk, standardów i procedur bezpieczeństwa informacji pod kątem kompletności i zgodności z ogólnie przyjętymi praktykami.
- 5.2 Ocena projektu, wdrożenia i monitorowania systemowych i logicznych mechanizmów kontroli bezpieczeństwa w celu weryfikacji poufności, integralności i dostępności informacji.
- 5.3 Oceniać projekt, wdrożenie i monitorowanie procesów i procedur klasyfikacji danych pod kątem zgodności z politykami, standardami, procedurami i stosownymi wymaganiami zewnętrznymi organizacji.
- 5.4 Ocena projektu, wdrożenia i monitorowania kontroli dostępu fizycznego i kontroli środowiska w celu ustalenia, czy zasoby informacyjne są odpowiednio chronione.
- 5.5 Ocena procesów i procedur wykorzystywanych do przechowywania, odzyskiwania, transportu i utylizacji zasobów informacyjnych (np. nośników kopii zapasowych, przechowywania poza siedzibą firmy, danych w formie papierowej/drukowanej i nośników w formie elektronicznej) w celu ustalenia, czy zasoby informacyjne są odpowiednio chronione.
Wymagania
- 5 lat doświadczenia zawodowego w audycie IT lub w obszarze bezpieczeństwa
- Podstawowa wiedza z zakresu funkcjonowania technologii informatycznych, wsparcia biznesu przez technologie informatyczne oraz kontroli wewnętrznej.
Możliwe jest skrócenie wymaganego doświadczenia zawodowego do 4 lat, jeśli kandydat posiada tytuł licencjata lub do 3 lat, jeśli posiada tytuł magistra.
Do egzaminu można przystąpić z niespełnionym wymogiem doświadczenia zawodowego. Jest to jednak warunek, który musi zostać spełniony w ciągu 5 lat od daty przystąpienia do egzaminu. Jeśli nie uda się tego zrobić w ciągu 5 lat, zdany wynik egzaminu zostanie uznany za nieważny.
Publiczność
- audytorzy
- Audytorzy systemów informatycznych
- Menedżerowie infrastruktury IT,
- menedżerowie ds. zarządzania ryzykiem lub ciągłością działania,
- osoby odpowiedzialne za wszystkie aspekty zarządzania IT
Opinie uczestników (3)
Questions, that helps me a lot to understand the characteristics of CRISC examination.
Masakazu Yoshijima - Bank of Yokohama, Ltd.
Szkolenie - CRISC - Certified in Risk and Information Systems Control
The training was excellent, than you Ditmar.
Maria Gagliardi - EY Global Services (Poland) Sp. z o.o.
Szkolenie - CISSP - Certified Information Systems Security Professional
I liked the in-depth knowledge about the subject of the trainer, good explanation, highlighting important things!.