2015/11/16

2015 June CISA Exam Taiwan Apply Certification 申請認證 5

我在通過 2015 年 6 月的 CISA 考試後,於同年 8 月 8 日寄出申請證的申請表,經過 8 週後收到 CISA 認證通過的通知。這篇文章,就是介紹自己申請 CISA 認證的整個過程:
  1. 確認符合申請 CISA 認證的資格
  2. 列印 ISACA 的《Application for CISA Certification》文件
  3. 申請大學、研究所的英文成績單、畢業證書
  4. 填寫「Work Experience Detail」
  5. 填寫「Job Practice Areas」工作實務領域
  6. 請主管驗證
  7. 寄出《Application for CISA Certification》文件
  8. 上網繳交 CISA 認證費/證書費/處理費
  9. FAQ
希望對其他想申請 CISA 認證的朋友有幫助!
CISA Badge

確認符合申請 CISA 認證的資格


通過 CISA 考試後,最重要的是其實是確認符合申請 CISA 的資格後,再繼續下面申請的活動。

在 ISACA 的《Application for CISA Certification》文件中,特別說明申請 CISA 的資格與條件,在後面會有節錄中文翻譯。

簡單地說,ISACA 要求 CISA 申請者必須有 5 年的實際工作經驗(資訊系統稽核、控制、保證或安全經驗),且這些經驗必須在最初通過考試日前/後的 5 年的 10 年間獲得,但有以下方式可以抵免。
  • 兩年或四年制大學學位的同等學歷的 60 或 120 學分,可以抵免 1 或 2 年的工作經驗。這個不受前述 10 年度的限制,但即使已經修習超過 4 年,最多也只能抵免 2 年經驗;
  • CIMA(特許管理會計師協會)完整認證可以抵免 2 年,但不可同時抵免 2 年學士學位;
  • 英國特許公認會計師公會(ACCA)會員可以抵免 2 年,但不可同時抵免 2 年學士學位;
  • 每 2 年相關領域的全職大學講師(例如,電腦科學、會計、資訊系統稽核)可以取代 1 年的工作經驗;
  • 1 年的資訊系統/非 IS 稽核經驗最多可以替代 1 年的工作經驗。
以下內容是我節錄《Application for CISA Certification》文件內關於工作經驗認定與計算的翻譯:
要成為一個 CISA,申請者必須:

1、CISA 測驗成績及格。CISA 考試及格分數、沒有完成如下所述之工作經驗,只會維持五年效期。如果申請人不申請或達到 CISA 認證要求的 5年時間,則考試成績將被作廢。

重要提示:您的 CISA 認證申請必須在 5 年內最初通過考試的日期起算,如果從通過考試的日期起算五年內未(完成)申請認證需要重新通過考試。

2、上 www.isaca.org/cisapay 支付50美元的 CISA 申請處理費。

3、提交的資訊系統稽核、控制、保證或安全領域 5 年的工作經驗的確認證明。工作經驗必須在認證申請日或在最初通過考試日起 5 年之前的 10 年內獲得。替換和抵免這樣的經驗,最多免除 3 年,可以下述方式獲得:

■ 一年的資訊系統、非 IS 稽核經驗可以替代最長一年的資訊系統稽核、控制、保證或安全經驗;

■ 60 至 120 完成大學的學分(一個 2 年或 4 年制學位的同等學歷),這個不受 10 年度前的限制,分別可以取代 1 或 2 年的資訊系統稽核、控制、或安全經驗。即使已經修習多年度,但最多可以聲稱 2 年。

■ 一個由 ISACA 主辦示範課程大學的學士或碩士學位一可以替代一年的資訊系統稽核,控制,鑑證或安全領域工作經驗。要查看這些學校的名單,請訪問www.isaca.org/modeluniversities。如果已使用三年經驗抵減和聲稱教育抵免,就不能使用這個選項;和

■ 正規大學的資訊安全或資訊技術碩士學位,可以替代一年的經驗。

■ CIMA(特許管理會計師協會)完整認證可以抵免 2 年,但 CIMA 商業會計證書或 CIMA 高級​​管理會計文憑不提供抵免,(CIMA 完整認證可以替換 2 年 CISA 學士學位抵免,抵免 2 年學士學位的申請者不得同時聲稱 CIMA 抵免),並需提供 CIMA 證書複本查核。

■ 英國特許公認會計師公會(ACCA)會員的地位可以抵免 2 年,並必須提供 ACCA 認證副本驗證。(抵免 2 年學士學位的申請者不得同時聲稱 ACCA 抵免)

例外:每 2 年相關領域的全職大學講師(例如,電腦科學、會計、資訊系統稽核)可以取代 1 年的資訊系統稽核、控制或安全經驗。

4、同意遵守 ISACA 準則的職業道德。

5、同意遵守資訊系統標準,通過ISACA,可以在www.isaca.org/standards查看。

6、同意通過CISA繼續職業教育政策,可在www.isaca.org/cisacpepolicy查看。


填寫「Work Experience Detail」


在「Work Experience Detail」的部份,其實就是前面 CISA 申請資格的資訊。主要分成三個部份:
A. 資訊系統稽核、控制、保證或安全經驗(最少 2 年經驗)
需要提供公司名稱、工作起/迄年月、工作期間的年月統計。
B. 替換經驗(最多抵免 1 年)
需要分別提供名稱(資訊系統公司、稽核公司、大學)、工作起/迄年月、替換的年統計。
C. 教育經驗抵免(最多抵免 2 年)
可以填有 120 學分的大學、研究所、博士的資訊,但只有一個欄位。

填寫「CISA Job Practice Areas」工作實務領域


在 ISACA 的《Application for CISA Certification》文件中,特別描述 CISA 工作領域及細節(Description of CISA Job Practice Areas),以供 CISA 申請者依照實際工作經驗填寫:
  1. 稽核資訊系統的流程
    按照IT稽核標準提供稽核服務,以協助組織,保護和控制的資訊系統。
  2. IT治理和管理
    為保證必要的領導和組織結構和流程到位,以實現目標,並支持該組織的策略。
  3. 資訊系統籌獲、開發和實作
    為保證收購、開發、測試和實施資訊系統的做法符合該組織的策略和目標。
  4. 資訊系統營運、維護和支援
    提供保證的流程的資訊系統運營、維護和支持滿足組織的策略和目標。
  5. 資訊資產保護
    為保證該組織的安全政策、標準、程序和控制保證資訊資產的保密性、完整性和可用性。
CISA 申請者可以先勾選,再由主管簽名確認,由 ISACA 覆核申請者的資格。

以下內容是我節錄《Application for CISA Certification》文件內 CISA 工作領域及細節(Description of CISA Job Practice Areas)的翻譯:
1、稽核資訊系統的流程

■ 制定和實施合規風險的IT稽核策略與IT稽核標準,以確保關鍵領域都包括在內。

■ 規劃具體的稽核,以確定資訊系統是否受到保護、控制,並提供對組織的價值。

■ 進行審核符合IT稽核標準來實現計劃的稽核目標。

■ 報告稽核結果,並提出建議,以主要利益攸關方在必要時進行溝通的結果和效果變化。

■ 開展後續行動或準備狀態報告,以確保適當的行動已採取了管理及時。

2、IT治理和管理
■ 評估IT治理結構的有效性,以確定它是否決策,方向和績效支持該組織的策略和目標。

■ 評估IT組織結構和人力資源(人事)管理,以確定它們是否支持該組織的策略和目標。

■ 評估IT策略,包括IT的方向和進程策略的制定,批准,實施和維護與調整組織的策略和目標。

■ 評估組織的IT政策、標準和程序,以及技術的開發、審核、實施、維護和監控,以確定他們是否支持IT策略,並符合法律法規要求。

■ 評估品質管理體系的充分性,以確定它是否能以具成本效益的方式支持該組織的策略和目標。

■ 評估IT管理和監控的控制(例如,連續監測、品質保證[QA])是否符合組織的政策、標準和程序。

■ 評估IT資源的投資,使用和分配的做法,包括優先事項的標準,調整為與組織的策略和目標。

■ 評估IT外包策略和政策,以及合同管理辦法,以確定它們是否支持該組織的策略和目標。

■ 評估風險管理實踐,以確定是否該組織的IT相關的風險得到妥善管理。

■ 評估監控和保證措施,以確定董事會和高級管理層是否收到有關IT性能足夠和及時的資訊。

■ 評估組織的業務連續性計劃,以確定該組織的過程中IT中斷期間繼續基本業務運作能力。

3、資訊系統籌獲、開發和實作
■ 評估的商業案例資訊系統獲取,開發,維護和後續的汰換投資計劃,以確定它是否符合業務目標。

■ 評估專案的管理方法和控制,以確定是否業務需求得以實現以具有成本效益的方式,同時管理對組織的風險。

■ 進行審查,以確定專案是否按照專案計劃進展,並透過充分的文檔,準確的報告專案狀態。

■ 評估資訊系統在需求、籌獲、開發和測試階段的控制符合該組織的政策、標準、程序和適用外部要求。

■ 評估資訊系統的實施和進展到生產的準備,以確定專案交付、控制及組織的要求是否得到滿足。

■ 進行系統實施後審查,以確定專案交付、控制及組織的要求是否得到滿足。

4、資訊系統營運、維護和支援
■ 開展資訊系統進行定期審查,以確定它們是否繼續滿足該組織的目標。

■ 評估服務級別管理的做法,確定從內部和外部服務提供商的服務水平是否被定義和管理。

■ 評估第三方管理實踐,以確定是否預期由該組織控制水平正由供應商遵守。

■ 評估操作和最終用戶程序,以確定預定的和非預定的過程是否被成功地完成。

■ 評估資訊系統的維護過程,以確定它們是否得到有效控制,並繼續支持該組織的目標。

■ 評估數據管理的做法,確定數據庫的完整性和優化。

■ 評估容量和性能監控工具和技術的使用,以確定它是否滿足服務組織的目標。

■ 評估問題和事件管理方法,以確定事件,問題或錯誤是否被記錄,分析和及時解決。

■ 評估變更、配置和發布管理實踐,以確定是否定期和不定期的變化導致組織的生產環境充分控制和文件化。

■ 評估備份和恢復規定的充分性確定繼續處理所需資訊的可用性。

■ 評估組織的災難恢復計劃,以確定它是否能夠對IT處理能力在發生災難的情況下恢復。

5、資訊資產保護

■ 以普遍接受的做法評估資訊安全政策、標準和程序的完整性和校準。

■ 評估體系和邏輯安全控制設計、執行和監督,以驗證資訊的機密性、完整性和可用性。

■ 評估數據分類流程和程序進行調整與組織的政策、標準、程序和適用的外部需求的設計、執行和監督。

■ 評估設計、實施和監測物理訪問和環境控制,以確定資訊資產是否得到適當的保護。

■ 評估用於存儲、檢索、傳輸和處理資訊資產的過程和程序(例如,備份介質、異地存儲、硬拷貝/打印數據和軟拷貝介質),以確定是否資訊資產得到適當的保護。


請主管驗證


以我來說,不論是現在的工作、或是之前的工作,我都是自己填寫公司名稱、職務的欄位,並勾選「CISA 工作領域及細節」(Description of CISA Job Practice Areas)內符合的項目。

我是當面拿給現任主管,請他確認內容後簽名;前幾任的主管,我都是先聯絡他們取得同意、並確認地址,再以掛號回郵的方式寄出。主管在收到後,只需要確認我所填入內容無誤,並加入目前的聯絡方式,就可以簽名寄回。

有一點要請大家注意,我在請主管/前主管驗證時,都會一併告知主管「ISACA 可能會寄 email 或是打電話給核實確認填寫的內容正確」,以免他們接到電話時,會覺得困擾。

上網繳交 CISA 認證費/證書費/處理費


在登入 ISACA 後,點以下「CISA Application Processing Fee」連結,就可以進入繳交畫面,繳交美金 50 的 CISA 認證費/證書費/處理費,就可以開始申請認證。

我是 2015 年 8 月 8 日寄出申請表的,到了 2015 年 9 月 30 日就收到申請認證通過的 email。整個申請認證過程大約花了 8 週,稍微比我同學的 6 週慢。

到了 2015 年 10 月 12 日,我就收到 ISACA 的書面通知,裏面有一張 CISA 證書和一個 CISA 的胸章。
CISA Certification
以上就是我的整個申請過程,大家就參考、參考,有問題再留言詢問吧!

FAQ


Q1. 五年的工作經驗,學歷或非資訊系統稽核的經驗最多只能抵減三年,因此,無論如何,至少要有兩年的資訊系統稽核經驗嗎?

ISACA 並沒有限制所有的職務都非得是「資訊系統稽核」。務實來看,這點也是不可能的。

ISACA 並沒有說明他們是用什麼方式來審核,所以以下是我的個人見解。

你可以觀察 CISA 的五項工作領域,其實是貫穿了一個大型組織由上到下的不同階層。「1、稽核資訊系統的流程」和「2、IT治理和管理」是屬於組織與策略,通常是俱有豐富的管理與實務經驗的人才有機會接觸策略面、規畫面的工作;而「4、資訊系統營運、維護和支援」與「5、資訊資產保護」則是資訊單位(如MIS部門)在做執行面、作業面的工作。

換句話說,職場上沒有任何一個單一職務,能完全符合 CISA 的要求,更何況不是每個人都有機會進入一個大型組織中工作。我從申請表格的設計與填寫方式觀察到:ISACA 反而更關心「申請者過去職涯的多個不同職務的工作內容與經驗,是否能支持成為一個合格的 CISA 工作。」

所以就我來看,一個申請者必須務實地靠職涯中的不同階層、領域的工作職務,滿足 ISACA 對 CISA 的資格要求。在填寫時,也只能靠這個原則填寫。以我來說,我的工作經驗集中在「3、資訊系統籌獲、開發和實作」和「4、資訊系統營運、維護和支援」內的項目,以及少部份的「1、稽核資訊系統的流程」和「2、IT治理和管理」。

我是真的這麼填寫,所以 ISACA 發給我 CISA 證照了。

2 則留言:

  1. 啊, 我只看到「資訊系統稽核、控制、保證或安全經驗」, 沒有仔細看Description of CISA Job Practice Areas。
    感謝Jose在百忙之中抽空為我解惑!
    by 林智勇

    回覆刪除
  2. Hi 二樓的 Oscar:
    謝謝你的提問,你的問題也可能是其他人的問題。以下我針對你的問題一一提出個人看法。
    1. 「2至4年大學學位可免1至2年」看起來就是「減半承認學歷」,以你3年制105個學分說,我認為可以 2 * (105/120) 來計算,因為最後計算的年資是有小數、且可以累加的。另外,ISACA 並未對大學的科系有特別的要求。
    2. 「碩士學歷可抵1年」這裏指的是「正規大學的資訊安全或資訊技術碩士學位」或「由 ISACA 主辦示範課程大學的學士或碩士學位」,意即並不承認社區大學、專科所提供的碩士學位;也只正向表列的承認「資訊安全」、「資訊技術」、或 ISACA 正向表列特定學校的碩士學位,並不承認所有的碩士學位。此外,我無法從字面上確認這是否受考取合格前後5年的限制。
    3. 工作經驗方面,是以你的工作的實際內容是否符合 ISACA 所承認的 5 個領域內描述的經驗來認定的。這表示不在表列描述的工作經驗就無法承認該工作的年資。
    4. 「ISACA抽查工作內容機會大不大?」至少我並未聽到前主管有收到相關的 email 或電話,也沒有聽到考上 CISA 的同學特別提過遇到相關的抽查。另外,如果你老闆收不到外來電郵,可以請他寄私人的,重點是這個人曾經是你的主管、而且要能聯絡得到!
    5. 「幫我簽工作證明的主管需要有CISA 或是其他資格嗎?」,ISACA 並未這麼要求!我認為重點還是這個人曾經是你的主管、而且要能聯絡得到!
    6. 「CISA有否加簽這回事? 加簽即是說如果找不到老闆簽名, 可以找一位有CISA的朋友或同事幫忙簽名, 核實我的工作經驗。」ISACA 有提供一份《申請 CISA 證書表單填寫說明》的 pdf 中文文件,你可以 google 找一下。裏面有說「將本表單交給將負責核實您的工作經歷的每位人員;以及您已填妥之申請的複本。這名人員必須是您的直屬上司,或是您所在組織中的高層長官。如果有其中一人無法就您申請 CISA 資格來為您核實所有的必要經歷, 請洽詢您的過去雇主來填妥這份表單。」這表示如果找不到直屬主管,就必須找到這間公司的 CEO、或總經理。
    以上是我的看法,而我只是就目前所看到的資訊、文件做解讀。

    回覆刪除