真实成功cisa学习总结今天2010-1-29收到通知，“We are pleased to inform you that you successfully PASSED the exam …”.感觉非常喜悦，这几个月的努力获得回报，特别是自己的理念和做事得到提升，非常满意和开心。

所以想把以前忙于考试，没有时间总结cisa考试历程，走过的路，还有收获，得失，一起和大家分享一下。

也为了今后更好地应用于工作中。

一、介绍introduction：write in 2009-12-16目的：根据自己的学习，培训，考试过程，总结cisa来提升自己的工作做事理念。

我参加的为英文考试，英文阅读是道坎，但是原汁原味，更能理解精髓，特别是学习过程碰到优秀的老师，志同道合的朋友，一起沟通学习，获益匪浅。

在学习cisa的过程中，收获了友情，增进用先进的理念，方法，流程来做事，也增强了用英文来阅读，思考的能力参加cisa 考试的理由：很无厘头，闹着玩，试试看。

参加cisa考试的之路是无心的，因为单位刚好组织这个考试的选拨，通过选拨，可以参加cisa培训，当时就想试试吧。

刚好就考上了，其实当时还不知道cisa是干什么的。

考了就要认真对待了，上网认真看了前辈大侠的评论和意见，才知道cisa是信息系统审计师认证，想着趁机整理一下自己的知识体系，顺便能学点英语，仅此而已。

二、培训过程training：write in2010-1-25摘要：凡事预则立，做事要有计划plan，更要有策略，政策，实施反馈，并持续和改进。

通过考试选拔后，以为正式考试也是这么简单，上网看了一下，发现完全不是这回事。

特别是收到cisa发的厚书，全英文，字体超小，竟然有1k pages，晕倒。

翻了一下，发现很难看懂，单词不认识，还有概念不理解，无从入口。

看了一下中文版的标题，了解大概讲什么：信息系统+审计，内容包容万象。

看了book2006-cn实务手册（比较旧，后来出来book2009-cn 实务手册，没有时间看）。

到单位组织的培训班，请中审来培训，培训过程，课程比较紧，因为搞科技出身，对审计的理念不是很明白，费了比较大的力气，感觉科技比较真实，可触摸，是比较好认知的；而审计偏向社会性，讲究法律，人际关系，审慎原则等，对提升个人的大局观和人际沟通有不少触动。

培训中，没有想到回来后，自学很累，基本是听老师讲，自己没有提前认真看过英文版书，比较失策。

大家一起学习，晚上一起聚餐，玩，比较开心。

总体感觉：累并快乐，提升自身做事工作理念，但是困还在后头。

主要是对cisa的细节的研究，还有碰到英语关，思考问题的理念差异，比如人最重要，而我们强调资产的重要性，强调按流程做事和我们强调规则的灵活性。

三、自学过程Learning self（1）：write in2010-2-1自学的过程，比较漫长和痛苦，因为白天要忙于工作，晚上还要陪小孩玩，基本是21点后才能正式开始学习，时间比较紧迫。

听从王朝阳老师的建议，每天保证2个小时的学习，而且深入理解概念、标准、规范。

在此非常感谢王老师的培训。

学习的难点，一是思想上很难高度集中投入，二是对知识体系本身的掌握。

为此，先看了中文版，了解基本概念和案例，做到结构化体系，掌握知识点。

而后深入学习每个细节。

通过朋友，网络等加深理解。

学习是需要大家一起讨论，效果会更好。

学习的过程，也是纠偏的过程，把自己的理念调整为和cisa的理念和原则一致。

这是一个非常痛苦的过程，就像要一个人改掉睡懒觉，抽烟的过程，漫长而痛苦。

但是改掉了，养成了好习惯，对自己的职业生涯帮助还是非常大，就像不抽烟了，身体会好很多。

坚持就是胜利：每天温习昨天的课程，并复习单词，开始新的学习。

看书要许多遍，理解概念。

全部精力专注投入。

学习的目标objective：1. 通过cisa。

2. 学习先进的理念，方法，做事的流程。

3. 学会用英文来阅读，写作，思考。

学习战略strategy：1、先总后分，先粗后细。

2、先框架，架构，章节，到具体的概念。

3、用自己的话来描述定义，使用范围，优缺点，比较。

结构化知识体系，记住知识点1、理解系统体系的结构性，从上而下，先总体后细节。

2、抽出关键词，理解知识点的含义，理解概念特征，彼此间的区别。

3、知识点要深刻理解，把重要的事情多看。

自学过程Learning self（2）体系的梳理：write in2010-2-1学了一段时间，对CISA几个部分的关系梳理一下，总体讲CISA就是对IT相关方面的审计，审计这就必须有相关的知识了解，cisa书本就是告诉你应了解的知识。

结合单位的实际情况，理解起来能好一些。

1、关键是理念的更新，架构的理解，学会它的分析问题解决问题的方法，步骤。

2、一切理念服从目标objectives，目标派生出战略，派出风险，并提供适当，经济，有效率，有效性的控制。

需要考虑成本收益。

3、在乎公司的可持续发展。

1、告诉你如何做一个整体的审计。

关键是独立客观。

要收集证据，分析原因，向合适的管理层沟通和汇报2、组织里面IT治理，应该是讲单位里IT 的组织、管理等。

强调it的支持和增值作用。

3、生命周期。

讲软件及系统开发方法、过程。

开发的过程，需要学习的东西比较多，杂。

4、支付与支持。

组织里面的IT应用，包含硬件、软件、网络。

网络等比较难以理解。

注意是结合实际。

5、IT资产保护。

正确使用信息资产，主要是数据资产，如何保护资产。

6、灾难恢复连续运行。

这个好理解，其实就是个应急处理问题。

Is auditor的职责和作用：保住主要的、关键的应用。

具有组织的全局观点和认识所有灾难后果的能力预防比纠正更重要角色转换：it职能转向审计职能需要更新的理念审计的目标：证明内控是否存在，以最小化风险。

所以对于流程的风险，一般是去寻找是否存在足够合适的控制做事需要高层的支持，也是感谢领导的具体含义。

审计需要了解公司高层的意图和风险偏好，对企业的背景要做够的理解。

it 战略必需服从企业的业务目标和战略。

沟通的重要性：如果先有友好沟通，然后做事，出报告，比较能平衡各方的态度学习的心得理解系统体系的结构性，从上而下，先总体后细节。

抽出关键词，理解知识点的含义，理解概念特征，彼此间的区别。

知识点要深刻理解，把重要的事情多看。

其实很多可以参照我们工行，我们现在就是按照最佳实务在做自学过程Learning self（3）做题的体会和考试说明：write in2010-2-1模拟考试的目标：感受一下考试：考验一下时间，体力和精力。

1、晚上花整块的时间，做模拟题一遍（200题），看看需要花多少时间。

2、全部精力专注投入，先在答题上勾好，以便以后涂写。

做了一遍模拟题，模拟考试200题，好紧张好累。

from2009-12-8考试的注意事项：1、思想要高度集中，全身心投入。

2、采用现在答题纸上做记号，然后最后20分钟留下涂黑。

3、最初一个小时，必须保证完成60道题目。

后续保证这个速度。

4、坚持再坚持，每个时点要检查进度。

5，做题时，快速抓住题目的key，并采用排除法，先去掉最错的，然后择优而选。

考试说明试题为全英文，内容紧扣考试大纲，涉及信息系统审计过程、IT治理、系统及基础设施的生命周期管理、IT服务和交付、信息资产的保护和业务持续计划与灾难恢复计划等。

ISA 标准，准则提供审计服务，信息系统和运行系统得到保护和受控。

审计准则，审计指南，审计内容：审计程序，风险分析，内控，cobit框架IT治理：战略，框架，Sdlc：项目管理，实施评估Web服务器核心技术：简易对象存取协议。

SoapCmm：软件能力成熟度模型。

Cmm1—》cmm5信息系统审计和信息系统相关知识两大方面七个内容：1、信息系统审计程序；（10%）2、信息系统的管理计划和组织；（11%）3、技术基础和操作实务；（13%）4、信息资产的保护；（25%）5、灾难恢复和业务持续计划；（10%）6、业务应用系统的开发、取得、实施和维护；（16%）7、业务过程的评价和风险管理。

（15%）IT审计流程内容占10%，资产保护内容占31%，周期16%，IT治理15%，交付14%，灾难恢复14%。

四、成功通过CISA考试的有效途径（ISACA 印度的分会主席写的）CISA的目的CISA考试由来自考生指南中介绍的7个领域200个题目组成，CISA是测试开展信息系统审计的最低能力。

对IT的理解考生对于IT 的理解，应覆盖在实际应用中可能设计的各种IT组件的关键概念。

考生的IT 知识应该包括例如：IT基础结构、IT设备、各种计算机硬件、系统软件（操作系统、数据库、网络、多媒体等），商业应用软件、自动化办公软件以及审计软件。

进一步说，考生应具备企业IT部署工作中涉及到的管理方面的基本概念和实践。

CRM——仅仅是理论上的练习CISA技术信息评论手册（CRM）【具体怎么叫无所谓，反正就是那个REVIEW MANUAL】的意义并不是教会考生关于信息技术的基础概念。

但是，还是在必要的时候对IT组件进行解释。

CISA考生指南提供了更广泛的科目清单，CRM则是提供了IS审计员在实际工作中具体需要完成的任务和知识需求的细节。

CRM应该是一个指南性质的文档，考生以其为指导，学习各自需要的更多的知识。

IT ——实践训练对于那些不是很熟悉IT的考生，建议他们去做一些基于硬件、系统软件、自动化办公、商业和审计软件的实践。

像一个CISA一样思考——实践的方法CISA考生需要具备《考生指南》所陈述的所有领域内工作的目的、任务和知识。

基本上包括以下三个主要的方面：信息技术、管理、审计。

CISA考生可以按照以下建议来实践，从而获得一个CISA的思考方式：1 拥有对整体信息技术的全面理解——概念和实践2 理解在相关IT组件部署过程中存在的风险3 知道IT组件安全和控制的特点和官能4 理解应该采用何种方式进行控制，应用上述产品的安全特性和官能，从而减小相关IT组件的风险。

5 学会怎样鉴别风险，核查相关的安全问题，评价控制的实施，鉴别薄弱点。

清晰的概念在以下几个领域内，CISA考生需要具备清晰的概念。

（鬼子的话很拗口）1信息技术的实现过程中存在的内部风险2合理风险管理战略来减小风险3安全和控制，哪个可以用来减小风险。

五、应试技巧：预防比纠正更重要角色转换：it职能转向审计职能。

人是最重要的。

关注特殊字符：always，somtime等。

使用排除法。

对于看书和考试,我是这样看的:1.从题目入手,唤起记忆,看是否能理解相关的内容,再决定是否需要进一步查找资料印证;2.从每章的小结入手,快速掌握关键要点,若需要细看时再翻看相关章节;全部从头看,是没有耐心啦.3.荒废多年,我已把英文单词差不多都给回老师了,所以目前,主要是将关键术语进行浏览,期望能够恢复部分记忆;4.对于鬼佬的考试,过了也就过啦,但你永远不会知道是怎么过的!不通过嘛,你也不知道是哪些题出了差错.所以,尽力就好. 历年的CISA复习题、解析手册，包含囊括了以往考试中出现的具有代表性的题型，并包含正确与错误答案的解析。