1.CISA란
1963년 미국에서 EDPAA라는 이름으로 오늘날의 ISACA(Information System Audit and Control Association : 정보시스템감사통제협회)가 ”내부통제를 위한 표준, 규정, 조직의 확립 및 유효성을 조사”하는 형태로 시작, 현 정보시스템 감사의 필요성을 인식하게 되어 CISA(Certified Information Systems Auditor)란 시험 제도를 만들게 되었다
전세계적으로 140여개국에 50,000여명의 이상의 회원이 IT감사, 통제, 보안 및 거버넌스 분야에서 활발히 활동하고 있습니다.
2.CISA가 하는 일
CISA(국제 공인 정보 시스템 감사사)프로그램은 1978년 이후 전세계 정보(IS)감사, 통제 및 보안 전문가 사이에서 성취의 기준을 인정되어 왔습니다. CISA가 하는 일로는 매우 다양하지만 구체적인 일로 아래 예와 같습니다.
① 회사의 주요 애플리케이션에 대한 시스템 통제 검토
② 데이터베이스 보안 통제 검토
③ IT 일반통제 검토
④ 데이터베이스 보안 통제 검토
⑤ 시스템 인프라 보안 검토
⑥ 아웃소싱 업무에 대한 시스템 및 프로세스 검토/인증 업무 (SAS 70 등)
⑦ 사베인-옥슬리 (Sarbanes-Oxley) 관련 감사 및 컨설팅
⑧ 규제기준에 대한 준수 검토 Compliance (e.g., Turnbull, Basel II, King)
⑨ 시스템과 내부통제에 대한 실사(due diligence)
⑩ Pre- and post-implementation systems reviews
⑪ Project assurance services
⑫ 데이터 서비스 (e.g., CAATs, data quality reviews)
⑬ 부정적발 및 예방 컨설팅
3.CISA의 진로 및 장점
CISA는 미 국립표준연구소(ANSI)에서 ISO/IEC 17024:2003, General Requirements for Bodies Operating Certification Systems of Persons에 따라 인증 받은 자격으로, ANSI 인증의 의미는 곧 ISACA 자격증이 인증하는 독보적인 자격 요건 및 전문성에 대한 공인과 함께 자격증의 무결성과 법적 대항력을 부여하고 있습니다.
CISA를 취득함으로 정보를 다루는 시스템의 모든 기업, IT컨설팅 업체, 회계법인, 일반 대기업의 감사실 또는 금융권 기업에 이르는 다양한 직업 군을 선택하는데 매우 유리한 혜택을 부여하고 있습니다.
또한 해외 이민시 가산점을 부여하고 있다. 호주 이민의 경우 2007년 6월 14일부터 CISA자격증 소지자에 대해 IT기술인력 이민자에 대한 기술 심사에 가산점을 부여하고 있다.
4.CISA 취득의 이유
CISA로 인정되면, 전문적이고 체계적인 수많은 이익을 얻을 수 있습니다. CISA 자격은 정보시스템 감사의 전문기술을 증명하고, 뛰어난 조직원으로 일할 수 있음을 나타내고 있습니다. 이 전문적 기술은 정보 기술의 변화하는 속성상 대단히 가치가 있으며, 가장 효과적인 정보 시스템 감사, 통제 및 보안 실무를 적용할 수 있고, 정보 기술 환경에서 특수한 요구들을 인식하고 있는 공인된 전문가를 고용할 필요가 있을 때 굉장히 유용합니다.
비록 CISA가 필수적이지는 않더라도, 점점 더 많은 수의 조직에서 직원에게 CISA가 되기를 권장하고 있습니다. 고용주들은 CISA 자격을 통하여 직원들이 정보 시스템 감사•보안•통제 경험과 기술을 전문적으로 적용하고 유지하고 있음을 인정하게 됩니다. 이러한 이유로, 많은 고용주들이 CISA를 고용과 승진의 요건으로 요구하고 있습니다.
5.공인요건
CISA 자격증 취득은 CISA 시험에 합격하고 다음과 같은 경력 요건을 충족한 경우에 부여됩니다
자격증을 취득하기 위해서는 5년 이상의 전문적인 IS 감사, 통제, 보증 또는 보안 경력이 필요합니다. 이러한 경력은 다음과 같은 방법으로 대체할 수 있습니다.
습니다.
• 최대 1년간의 정보 시스템 또는 1년간의 비 IS 감사 경험으로 1년간의 경력을 대체할 수 있습니다.
• 학사과정 60 내지 120학점(2년 또는 4년제 학사 학위에 해당)으로 1년 또는 2년간의 경력을 대체할 수 있으며, 신청 전 10년 제한은 적용되지 않습니다. 여러 개의 학위를 취득한 경우에도 최대 2년간의 경력만을 대체할 수 있습니다.
• ISACA가 추천하는 표준 커리큘럼을 이행하는 대학의 학사나 석사 학위 소지자는 1년간의 경력을 인정 받을 수 있습니다. 이에 해당하는 대학들의 목록을 보려면 ISACA 홈페이지를 방문하십시오. 학사과정의 취득학점을 이용한 대체를 포함하여 3년의 경력을 이미 대체한 경우에 는 이 옵션을 사용할 수 없습니다.
• 인가된 대학의 정보 보안 또는 정보 기술 분야 석사 학위 소지자는 1년간의 경력을 인정 받을 수 있습니다.
예외: 관련 분야(예: 컴퓨터 사이언스, 회계, 정보 시스템 감사)에서 2년간의 대학 전임강사 경험이 있는 경우, 1년마다의 경력을 대체할 수 있습니다.
경력은 CISA 자격증 신청일 전 10년 이내 또는 최초로 시험에 합격한 날로부터 5년 이내의 경력이어야 합니다. 시험에 합격한 날로부터 5년 안에 CISA자격증 신청서를 제출하지 않은 경우에는 다시 시험을 치르고 시험에 합격해야 합니다.
중요한 것은 많은 사람들이 경력 요건을 충족하기 전에 CISA 시험을 치르고 있다는 것입니다. 모든 요구사항을 충족하기 전에는 CISA 자격증이 부여되지 않지만 이러한 방법은 허용되며 동시에 장려됩니다.
6.시험 영역 및 실무 분야의 영역
|
No |
CISA 업무 및 전문 지식 내용 |
|
1. IS 감사 프로세스 | |
|
IS 감사 기준, 지침 및 모범사례에 따라 IS 감사 서비스를 제공함으로써 정보 기술 및 비즈니스 시스템을 적절히 보호 및 통제하기 위한 조직의 활동을 지원합니다. | |
|
업무 내용 | |
|
1.1 |
IS 감사 기준, 지침 및 모범사례에 따라 조직을 위한 위험성 기반의 IS 감사 전략을 개발 및 구현합니다. |
|
1.2 |
IT 및 비즈니스 시스템을 보호 및 통제하기 위한 구체적인 감사 계획을 수립합니다. |
|
1.3 |
계획된 감사 목표를 충족하기 위해 IS 감사 기준, 지침 및 모범사례에 따라 감사를 실시합니다. |
|
1.4 |
최근에 발생한 문제, 잠재적인 위험 및 감사 결과를 주요 관련 당사자에게 통보합니다. |
|
1.5 |
독립성을 유지하면서 조직 내 위험성 관리 및 통제 업무의 구현에 대한 조언을 제공합니다. |
|
전문지식 내용 | |
|
1.1 |
ISACA IS 감사 기준, 지침과 절차 및 직업윤리강령(Code of Professional Ethics)에 대한 지식 |
|
1.2 |
IS 감사 업무 및 기법에 대한 지식 |
|
1.3 |
정보를 수집하고 증거를 보존하는 기법(예: 관찰, 질의, 인터뷰, CAATT 및 전자 매체)에 대한 지식 |
|
1.4 |
증거 수명주기(예: 수집, 보호, 보관 절차)에 대한 지식 |
|
1.5 |
통제 목표 및 IS와 관련된 통제(예: CobiT)에 대한 지식 |
|
1.6 |
감사 환경에서 위험성 평가에 대한 지식 |
|
1.7 |
감사 계획 및 관리 기법에 대한 지식 |
|
1.8 |
보고 및 통신 기법(예: 촉진, 협상, 충돌 해결)에 대한 지식 |
|
1.9 |
자가 통제 평가(CSA: Control Self-Assessment)에 대한 지식 |
|
1.10 |
연속적인 감사 기법에 대한 지식 |
|
2. IT 거버넌스 | |
|
IT 분야의 거버넌스 요구사항을 충족하기 위한 구조, 정책, 책임, 메커니즘 및 모니터링 업무가 조직 내에 정착되어 있다고 보증합니다. | |
|
업무 내용 | |
|
2.1 |
IT가 조직의 전략과 목표를 지원할 수 있도록 경영진이 IT의 결정, 방향 및 성과를 적절히 통제하고 있는지 확인하기 위해 IT 거버넌스 구조의 효과를 평가합니다. |
|
2.2 |
IT의 조직 구조 및 인적자원(인력) 관리 업무가 조직의 전략과 목표를 지원하는지 평가합니다. |
|
2.3 |
IT 전략 및 프로세스가 조직의 전략과 목표를 지원하는지 확인하기 위해 IT 전략 및 프로세스의 개발, 승인, 구현 및 유지 관리 업무를 평가합니다. |
|
2.4 |
조직의 IT 정책, 표준과 절차 및 프로세스가 IT 전략을 지원하고 규제 및 법적 요건을 준수하는지 확인하기 위해 조직의 IT 정책, 표준과 절차 및 프로세스의 개발, 승인, 구현 및 유지 관리 업무를 평가합니다. |
|
2.5 |
관리 업무가 조직의 IT 전략, 정책, 표준 및 절차를 준수하는지 평가합니다. |
|
2.6 |
IT 자원 투자, 사용 및 할당 업무가 조직의 전략 및 목표와 일치하는지 평가합니다. |
|
2.7 |
IT 계약 전략과 정책 및 계약 관리 업무가 조직의 전략과 목표를 지원하는지 확인하기 위해 IT 계약 전략과 정책 및 계약 관리 업무를 평가합니다. |
|
2.8 |
조직의 IT 관련 위험성이 적절히 관리되고 있는지 확인하기 위해 위험성 관리 업무를 평가합니다. |
|
2.9 |
최고 경영진이 IT의 성과에 대해 충분하고 시기적절한 정보를 전달 받는지 확인하기 위해 모니터링 및 보증 업무를 평가합니다. |
|
전문지식 내용 | |
|
2.1 |
조직 및 각 조직의 필수 요소를 위한 IT 전략, 정책, 표준 및 절차의 목적에 대한 지식 |
|
2.2 |
IT 거버넌스 프레임워크에 대한 지식 |
|
2.3 |
IT 전략, 정책, 표준 및 절차의 개발, 구현 및 유지 관리(예: 정보 자산의 보호, 비즈니스 연속성 및 재해 복구, 시스템 및 인프라 수명주기 관리, IT서비스의 제공 및 지원) 프로세스에 대한 지식 |
|
2.4 |
품질 관리 전략 및 정책에 대한 지식 |
|
2.5 |
IT의 사용 및 관리와 관련된 조직 구조, 역할 및 책임에 대한 지식 |
|
2.6 |
일반적으로 인정되는 IT 표준 및 지침에 대한 지식 |
|
2.7 |
장기적인 전략 목표를 설정하기 위한 전사적 IT 아키텍처 및 아키텍처의 관계에 대한 지식 |
|
2.8 |
위험성 관리 방법론 및 도구에 대한 지식 |
|
2.9 |
통제 프레임워크(예: CobiT, COSO, ISO/IEC 17799)의 사용에 대한 지식 |
|
2.10 |
성숙도 및 프로세스 개선 모델(예: CMM, CobiT)의 사용에 대한 지식 |
|
2.11 |
계약 전략, 프로세스 및 계약 관리 업무에 대한 지식 |
|
2.12 |
IT 성과(예: 밸런스드 스코어카드, 핵심성과지표)의 모니터링 및 보고 업무에 대한 지식 |
|
2.13 |
관련 법률 및 규제 관련 문제(예: 개인정보보호, 지적 재산권, 기업 거버넌스 요건)에 대한 지식 |
|
2.14 |
IT 인적 자원(인력) 관리에 대한 지식 |
|
2.15 |
IT 자원 투자 및 할당 업무(예: 포트폴리오 관리, 투자 수익)에 대한 지식 |
|
3. 시스템 및 인프라 수명주기 관리 | |
|
시스템 및 인프라의 개발/인수, 테스팅, 구현, 유지 관리 및 폐기를 위한 관리 업무가 조직의 목표에 부합된다고 보증합니다. | |
|
업무 내용 | |
|
3.1 |
시스템 개발/인수 제안이 조직의 사업 목표를 충족하는지 확인하기 위해 해당 제안의 비즈니스 사례를 평가합니다. |
|
3.2 |
조직에 대한 위험성을 관리하면서 경제적인 방식으로 사업 목표를 달성할 수 있는지 확인하기 위해 프로젝트 관리 프레임워크와 프로젝트 거버넌스 업무를 평가합니다. |
|
3.3 |
프로젝트가 프로젝트 계획에 따라 진행되고 있는지, 문서화된 자료의 지원을 적절히 받고 있는지, 프로젝트의 상태 보고가 정확한지 검토합니다. |
|
3.4 |
제안된 시스템 및/또는 인프라 통제 메커니즘이 보호 수단을 제공하고 조직의 정책 및 기타 요구사항을 준수하는지 확인하기 위해 사양서 작성, 개발/인수 및 테스팅 단계 동안 제안된 메커니즘을 평가합니다. |
|
3.5 |
시스템 및/또는 인프라 개발/인수 및 테스팅 프로세스의 결과물이 조직의 목표를 충족하는지 확인하기 위해 프로세스를 평가합니다. |
|
3.6 |
시스템 및/또는 인프라의 구현 및 실운영 단계로의 마이그레이션을 위한 준비 상태를 평가합니다. |
|
3.7 |
시스템 및/또는 인프라가 조직의 목표를 충족하고 효과적인 내부 통제가 가능한지 확인하기 위해 시스템 및/또는 인프라의 사후구현 검토를 수행합니다. |
|
3.8 |
시스템 및/또는 인프라가 조직의 목표를 지속적으로 충족하고 효과적인 내부 통제가 가능한지 확인하기 위해 시스템 및/또는 인프라를 주기적으로 검토합니다. |
|
3.9 |
시스템 및/또는 인프라 유지 관리 프로세스가 조직의 목표를 지속적으로 지원하고 시스템 및/또는 인프라의 내부 통제가 가능한지 확인하기 위해 프로세스를 평가합니다. |
|
3.10 |
시스템 및/또는 인프라 폐기 프로세스가 조직의 정책과 절차를 준수하는지 확인하기 위해 프로세스를 평가합니다. |
|
전문지식 내용 | |
|
3.1 |
이익 관리 업무(예: 타당성 조사 및 비즈니스 사례)에 대한 지식 |
|
3.2 |
프로젝트 거버넌스 메커니즘(예: 조정 위원회, 프로젝트 감독 위원회)에 대한 지식 |
|
3.3 |
프로젝트 관리 업무, 도구 및 통제 프레임워크에 대한 지식 |
|
3.4 |
프로젝트에 적용된 위험성 관리 업무에 대한 지식 |
|
3.5 |
프로젝트 성공 기준 및 위험에 대한 지식 |
|
3.6 |
시스템 및/또는 인프라의 개발 및 유지 관리와 관련된 구성, 변경 및 릴리즈 관리에 대한 지식 |
|
3.7 |
IT 시스템 애플리케이션 내 트랜잭션과 데이터의 완벽성, 정확성, 유효성 및 인증을 보장하는 통제 목표와 기법에 대한 지식 |
|
3.8 |
데이터, 애플리케이션 및 기술(예: 분산형 애플리케이션, 웹 기반 애플리케이션, 웹 서비스 및 n 계층 애플리케이션)과 관련된 전사적 아키텍처에 대한 지식 |
|
3.9 |
요구사항 분석 및 관리 업무(예: 요구사항 검증, 추적 가능성 및 격차 분석)에 대한 지식 |
|
3.10 |
인수 및 계약 관리 프로세스(예: 공급업체 평가, 계약 준비, 공급업체 관리 및 조건부 날인)에 대한 지식 |
|
3.11 |
시스템 개발 방법론/도구 및 해당 방법론/도구의 장단점(예: 민첩한 개발 업무, 프로토타이핑, 신속한 개발 및 개체 지향 설계 기법)에 대한 지식 |
|
3.12 |
품질 보증 방법에 대한 지식 |
|
3.13 |
테스팅 프로세스(테스트 전략, 테스트 계획, 테스트 환경, 시작 및 종료 기준)의 관리에 대한 지식 |
|
3.14 |
데이터 변환 도구, 기법 및 절차에 대한 지식 |
|
3.15 |
시스템 및/또는 인프라 폐기 절차에 대한 지식 |
|
3.16 |
소프트웨어 및 하드웨어 검증 및 인증 업무에 대한 지식 |
|
3.17 |
사후구현 목표 및 방법(예: 프로젝트 마감, 이익 실현 및 성과 측정)에 대한 지식 |
|
3.18 |
시스템 마이그레이션 및 인프라 배치 업무에 대한 지식 |
|
4. IT 서비스의 제공 및 지원 | |
|
IT 서비스 관리 업무가 조직의 목표를 달성하는 데 필요한 서비스 수준을 제공한다고 보증합니다. | |
|
업무 내용 | |
|
4.1 |
내부 및 외부 서비스 제공자의 서비스 수준이 정의되고 관리되는지 확인하기 위해 서비스 수준 관리 업무를 평가합니다. |
|
4.2 |
IT 지원 기능이 비즈니스 요구를 효과적으로 충족하는지 확인하기 위해 운영 관리 업무를 평가합니다. |
|
4.3 |
데이터베이스의 무결성 및 최적화를 확인하기 위해 데이터 관리 업무를 평가합니다. |
|
4.4 |
IT 서비스가 조직의 목표를 충족하는지 확인하기 위해 용량 및 성과 모니터링 도구와 기법의 사용 상태를 평가합니다. |
|
4.5 |
조직의 실운영 환경에 대한 변경이 적절히 통제되고 문서화되는지 확인하기 위해 변경, 구성 및 릴리즈 관리 업무를 평가합니다. |
|
4.6 |
사고, 문제 및 오류가 시기적절한 방식으로 기록, 분석 및 해결되는지 확인하기 위해 문제 및 사고 관리 업무를 평가합니다. |
|
4.7 |
IT 인프라(예: 네트워크 구성요소, 하드웨어 및 시스템 소프트웨어)의 기능이 조직의 목표를 지원하는지 평가합니다. |
|
전문지식 내용 | |
|
4.1 |
서비스 수준 관리 업무에 대한 지식 |
|
4.2 |
운영관리 모범사례(예: 워크로드 일정 지정, 네트워크 서비스 관리 및 예방적 유지 관리)에 대한 지식 |
|
4.3 |
시스템 성능 모니터링 프로세스, 도구 및 기법(예: 네트워크 분석기, 시스템 활용 보고서 및 로드 밸런싱)에 대한 지식 |
|
4.4 |
하드웨어 및 네트워크 구성요소(예: 라우터, 스위치, 방화벽, 주변기기)의 기능에 대한 지식 |
|
4.5 |
데이터베이스 관리 업무에 대한 지식 |
|
4.6 |
운영 체제, 유틸리티 및 데이터베이스 관리 시스템을 포함한 시스템 소프트웨어의 기능에 대한 지식 |
|
4.7 |
용량 계획 및 모니터링 기법에 대한 지식 |
|
4.8 |
변경, 구성, 릴리즈 및 패치 관리 업무를 포함하여 실운영 시스템 및/또는 인프라의 예정된 변경 및 긴급 변경 관리 프로세스에 대한 지식 |
|
4.9 |
사고/문제 관리 업무(예: 헬프 데스크, 단계적 확대 절차 및 추적)에 대한 지식 |
|
4.10 |
소프트웨어 라이센스 및 재고 관리 업무에 대한 지식 |
|
4.11 |
시스템 복원 도구 및 기법(예: 내결함성 하드웨어, 단일 고장 지점 제거 및 클러스터링)에 대한 지식 |
|
5. 정보 자산의 보호 | |
|
보안 아키텍처(정책, 표준, 절차 및 통제)가 정보 자산의 신뢰성, 무결성 및 가용성을 유지한다고 보증합니다. | |
|
업무 내용 | |
|
5.1 |
정보 자산의 신뢰성, 무결성, 가용성 및 인가된 사용을 확인하기 위해 논리적 액세스 제어 기능의 설계, 구현 및 모니터링 업무를 평가합니다. |
|
5.2 |
네트워크 및 전송된 정보의 신뢰성, 무결성, 가용성 및 인가된 사용을 확인하기 위해 네트워크 인프라 보안 기능을 평가합니다. |
|
5.3 |
손실을 방지하거나 최소화하기 위한 환경적 통제의 설계, 구현 및 모니터링 업무를 평가합니다. |
|
5.4 |
정보 자산이 적절히 보호되는지 확인하기 위해 물리적 액세스 제어 기능의 설계, 구현 및 모니터링 업무를 평가합니다. |
|
5.5 |
기밀 정보 자산의 저장, 검색, 전송 및 폐기에 사용되는 프로세스와 절차를 평가합니다. |
|
전문지식 내용 | |
|
5.1 |
5.1 보안 설계, 구현 및 모니터링 기법(예: 위협 및 위험성 평가, 민감도 분석 및 프라이버시 영향 평가)에 대한 지식 |
|
5.2 |
5.2 인가된 기능과 데이터에 대한 사용자의 액세스를 식별, 인증 및 제한하기 위한 논리적 제어 기능(예: 동적 비밀번호, 과제/대응, 메뉴 및 프로파일)에 대한 지식 |
|
5.3 |
논리적 액세스 보안 아키텍처(예: 단일 로그온, 사용자 식별 전략 및 신원 관리)에 대한 지식 |
|
5.4 |
공격 방법 및 기법(예: 해킹, 스푸핑, 트로이 목마, 서비스 거부, 스팸)에 대한 지식 |
|
5.5 |
보안 사고의 모니터링 및 대응과 관련된 프로세스(예: 단계적 확대 절차 및 응급 사고 대응 팀)에 대한 지식 |
|
5.6 |
네트워크와 인터넷 보안 장치, 프로토콜 및 기법(예: SSL, SET, VPN, NAT)에 대한 지식 |
|
5.7 |
침입 탐지 시스템 및 방화벽 구성, 구현, 운영 및 유지 관리에 대한 지식 |
|
5.8 |
암호화 알고리즘 기법(예: AESRSA)에 대한 지식 |
|
5.9 |
공개 키 인프라(PKI: Public Key Infrastructure) 구성요소(예: 인증 기관 및 등록 기관) 및 디지털 서명 기법에 대한 지식 |
|
5.10 |
바이러스 탐지 도구 및 통제 기법에 대한 지식 |
|
5.11 |
보안 테스팅 및 평가 도구(예: 침투 테스팅 및 취약성 스캔)에 대한 지식 |
|
5.12 |
환경 보호 업무 및 장치(예: 소화, 냉각 시스템 및 수분 센서)에 대한 지식 |
|
5.13 |
물리적 보안 시스템 및 업무(예: 생물인식, 액세스 카드, 암호 잠금장치 및 토큰)에 대한 지식 |
|
5.14 |
데이터 분류 기법(예: 공용, 기밀, 개인 및 민감한 데이터)에 대한 지식 |
|
5.15 |
음성 통신 보안(예: Voiceover IP)에 대한 지식 |
|
5.16 |
기밀 정보 자산의 저장, 검색, 전송 및 폐기에 사용되는 프로세스와 절차에 대한 지식 |
|
5.17 |
휴대 장치 및 무선 장치(예: PDA, USB 장치, Bluetooth 장치)의 사용과 관련된 통제 및 위험에 대한 지식 |
|
6. 비즈니스 연속성 및 재해 복구 | |
|
재해 발생 시 비즈니스 연속성 및 재해 복구 프로세스가 비즈니스에 대한 영향을 최소화하는 동시에 IT 서비스를 적시에 재개한다고 보증합니다. | |
|
업무 내용 | |
|
6.1 |
프로세싱을 재개하는 데 필요한 정보가 제공되는지 백업 및 복구 조항의 적합성을 평가합니다. |
|
6.2 |
조직의 재해 복구 계획에 따라 재해 발생 시에 IT 처리 능력이 복구되는지 재해 복구 계획을 평가합니다. |
|
6.3 |
IT 중단 시 조직이 핵심적인 업무 활동을 계속할 수 있는지 확인하기 위해 조직의 비즈니스 연속성 계획을 평가합니다. |
|
전문지식 내용 | |
|
6.1 |
데이터 백업, 저장, 유지 관리, 보존 및 복구 프로세스 및 업무에 대한 지식 |
|
6.2 |
비즈니스 연속성 및 재해 복구와 관련된 규제, 법률, 계약 및 보험 문제에 대한 지식 |
|
6.3 |
비즈니스 영향 분석(BIA: Business Impact Analysis)에 대한 지식 |
|
6.4 |
비즈니스 연속성 및 재해 복구 계획의 개발 및 유지 관리에 대한 지식 |
|
6.5 |
비즈니스 연속성 및 재해 복구 테스팅 방식 및 방법에 대한 지식 |
|
6.6 |
비즈니스 연속성 및 재해 복구와 관련된 인적 자원 관리 업무(예: 대피 계획 및 대응 팀)에 대한 지식 |
|
6.7 |
비즈니스 연속성 및 재해 복구 계획을 실행하는 데 사용되는 프로세스에 대한 지식 |
|
6.8 |
계약 상의 조항을 모니터링하는 데 사용되는 대체 처리 사이트의 유형 및 방법(예: 핫 사이트, 웜 사이트, 콜드 사이트)에 대한 지식 |
|
실무 분야 분석은 다음과 같은 영역 및 백분율로 구성됩니다. • IS 감사 프로세스(10%) • IT 거버넌스(15%) • 시스템 및 인프라 수명주기 관리(16%) • IT 서비스 제공 및 지원(14%) • 정보 자산의 보호(31%) • 비즈니스 연속성 및 재해 복구(14%) 유의사항: 각 영역과 함께 표시된 백분율은 해당 영역에서 시험에 출제될 중점 부문 및 문제의 비율을 나타냅니다. | |
7.합격기준
CISA 시험은 200개의 객관식 문항으로 구성됩니다. 응시자의 점수는 척도조정 점수로서 통보됩니다. 척도조정 점수는 응시자의 시험 점수를 공통척도에 맞게 변환한 것입니다. ISACA에서는 200에서 800의 공통척도를 사용하여 점수를 변환합니다. 예를 들어, 척도조정 점수 800점은 모든 문제를 맞춘 경우 즉, 만점을 가리키며 척도조정 점수 200점은 가장 낮은 점수로서 적은 수의 문제를 맞춘 경우를 가리킵니다. 응시자는 시험에 합격하기 위해 450점 이상의 점수를 받아야 합니다. 450점은 CISA 자격심사위원회(Certification Board)가 정립한 기준으로서 일관성 있는 최소한의 지식 수준을 의미합니다. 합격 점수를 받은 응시자는 기타 요구사항들이 모두 충족될 경우 자격증을 신청할 수 있습니다.
8.시험 일정 안내 [참조: 한국ISACA(http://www.isaca.or.kr)]
|
응시자격 |
제한없음 | |||||||||
|
시험날짜 |
1. 매년 6월 둘째주 토요일 (2009년 6월 13일)2. 매년 12월 둘째주 토요일 (2009년 12월 12일) | |||||||||
|
신청마감 |
1. 6월 시험 : 1차 등록 : 2009년 2월 11일(수) 2차 등록 : 2009년 4월 8일(수)2. 12월 시험 : 1차 등록 : 2009년 8월 19일(수) 2차 등록 : 2009년 9월 23일(수) | |||||||||
|
시험장소 |
서울지역 | |||||||||
|
시험범위 |
1 process + 5 contents (2006년도부터 변경된 시험범위 적용) | |||||||||
|
시험방식 |
객관식 200문제를 4시간안에 풀어야 함 | |||||||||
|
합격판정 |
비례점수방식으로 계산하여 450점 이상 | |||||||||
|
시험언어 |
한글, 영어, 스페인어, 일본어 | |||||||||
|
응시비용 |
| |||||||||
|
시험내용 |
정보시스템 감사, 통제, 보안에 필요한 각 분야의 지식과 실무 경험을 테스트 |
-CISA시험 신청은 ISACA(www.isaca.org에서 OnLine으로 할 수 있습니다.
(FAX 신청시 보다 $50저렴)
-응시비용은 외화송금, 신용카드, 전신환으로 지급가능하며, 현금송부는 안됩니다.
-신청서가 완전히 갖추어지는 때를 신청서 최종 접수일로 처리합니다.
만인 FAX로 신청서 앞장만이 2월 14일/8월 15일까지 전송되고 그후에 뒷장을 따로 보내면 완전하게 전송된 날 기준으로 응시비용이 적용됩니다.