艾威证书科普月活动开始啦，在接下来的一段时间里，小艾老师将陆续为大家科普一些数字化时代最具含金量的认证证书。
今天跟大家聊聊CISA信息系统审计师认证。
IT审计-CISA大家应该都知道财务审计，通俗讲，就是查账的。
看一下公司账上的数据是否准确，每笔账是否都能合理溯源。
那IT审计到底是干什么的呢？它和财务审计有什么关系吗？这么跟你说吧，现在很多公司都会用到财务系统（比如ICP、用友啥的），系统呢，会存储财务相关数据，想要确保财务审计工作是有意义的，那就要先确保这个系统是可靠的，对不对？IT审计就是做这个的。
当然也不是只审计与财务有关的系统。
你可以把IT审计当作是对IT系统的一次全面的安全检查，看看实施的 IT 控制措施，能不能有效保护公司的资产，能不能保证数据完整等等。
02、IT审计都做些什么呢？大致可以分为三类：ITEC（公司层面控制）、ITGC（一般层面控制）和ITAC（应用层面控制)。
IT审计其中EC、GC和coding无关，更多依赖对IT治理和管控方法的掌握和运用。
AC中的抽样穿行测试，也跟技术沾不上边，只要会excel的常用函数，就可以了。
相对硬核的，比如AC中的CAATs，这个需要一定的业务理解以及coding能力。
03下面重点说一下GC，因为广义上的信息安全审计就包含在GC中GC关注IT内部控制的有效性，一般从三个方面去衡量：MA权限管理、MC变更管理、MO一般控制管理MA看系统的密码策略、用户权限、特权账号等是否采取了有效的控制和管理。
比如说系统的密码，有没有按规定设置复杂度。
还有小王有数据库A的管理员权限，是不是合理？小李离职了，他的账号有没有注销等。
MC看系统功能或者版本变更是不是有走了需求评审、开发、测试、上线审批之类的流程并且能够在系统中看到这些流程的记录。
还需要看人员的职责分离情况，比如，正常情况下，开发、测试和运维，他不能是一拨人，不然可能会出问题。
MO是大家都喜欢做的部分，因为简单，容易上手。
MO看数据库的备份情况，比如说本地备份、异地备份，有没有定期做数据恢复性测试等04再来简单说一下ITAC吧。
AC是IT应用层面控制，关注IT系统一些具体功能设置的有效性。
比如，某收银系统的交易会经过系统A和系统B，最终在ICP系统生成某个凭证。
那我要验证这件事的话，就需要去收集某笔交易确实依次存在于系统A、系统B的截图，以及该笔交易最终在ICP生成的凭证截图。
AC的审计工作会因行业的不同，在测试内容以及测试难度上，呈现出比较明显的差异性。
小艾老师打听了一圈，貌似制造业的ITAC普遍都比较难做。
好了，以上就是关于IT审计非常基础的介绍。
想要了解更多或者有意向往IT审计岗位发展的话，可以去学习一些相关课程，比如CISA。
也就是国际信息系统审计师认证。
CISA是控制与安全等专业领域中取得成绩的象征，也是金融/投资/证券行业内审员以及“四大”的审计岗的不二之选。
最后给大家附上关于CISA考试的一些信息，大家可以截图保存。