您现在的位置是:首页 > 行业 > 金融 >
CISA认证,是跟风忽悠还是CIO新宠?
2010-01-08 15:39:00作者:佚名来源:
摘要CISA,国际信息系统审计师,业内的人可能知道这个认证。对大多数人来说是比较陌生,但在CIO群体里这个词不应该陌生。信息系统审计师是指一批专家级的人士,既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉经济管理的核心要义,能够利用规范和先进的审计技...
CISA,国际信息系统审计师,业内的人可能知道这个认证。对大多数人来说是比较陌生,但在CIO群体里这个词不应该陌生。信息系统审计师是指一批专家级的人士,既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉经济管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。CISA被IT人士所追捧,但能否成为CIO的新宠?为此,我们网站邀请九州通医药集团CIO田超波先生,一起聊聊,CISA的前景。
主持人:探讨CIO关注话题,倾听业内专家言论,大家好,欢迎再次收看小崔说事,我是主持人小崔,实际上我们今天讨论的是一个国际信息系统分析师的一个话题,业内的人可能对这个认证知道得不多,因为这个认证从2003年就已经有了,所以大家还是比较陌生。我们今天请到的嘉宾是九州通医药集团的CIO田超波,田超波也是从武汉长途跋涉来到北京,准备明天参加这个考试,通过这个认证。欢迎田总,谢谢你在百忙之中参加我们这个节目,田总首先介绍一下自己和九州通。
田超波:我叫田超波,目前就职于九州通医药集团股份有限公司,任信息技术总部的部长,我们九州通是一家在国内比较早的做医药物流的公司,目前大概今年可以做到220亿这样的规模,同时做医药行业来讲,在全国来讲是排前三名,同时我们是做医药行业民营企业我们是排第一名,我们自己的业务有些生产制造,有医药的流通批发,包括我们的零售连锁,以及我们的电子商务这一块是我们主要的业务,其他还有一些像酒店,这样一个业务,目前公司大概就是这样一个情况,并且我们公司可能计划在明年,在上交所正式主板上市。
主持人:今天我们讨论这个话题就是谈CISA,看一看这个职业或者这个群体,这个认证到底它的一个内容或者它这个职业的前景,明天就要考试了,我想问一下田超波,你现在感觉怎么样?
田超波:考试来讲感觉还是有点紧张,因为有很多人不像我们原来做IT,光是解决技术问题就可以了,实际上CISA的考试它更注重你的技术和管理方面的结合。从另外一个审计师的角度去看整个企业的信息控制,主要强调风险和内部控制这两个主题,我2008年参加培训,到现在一直没有考,明天就是正式考试,实际上还是有点紧张。
主持人:今天就聊稍微轻松一点,通过我这个节目给你减减压,复习一下原来学的东西,参加明天的考试。首先大概介绍一下这个认证,在国际,我之前查过资料,它在100多个国家是通用的一个认证?
田超波:这个认证是由信息系统审计与控制协会ISACA(Information Systems Audit and Control Association)发起的,是信息系统审计、控制与安全等专业领域中取得成绩的象征。这个认证目前主要的是在比较大的一些企业里面,比如说像银行、政府、电信,再就是比较大型的企业需要这样的,这个职业资格,包括一些上市公司都需要这个职业资格,目前CISA这个证书在全球140多个国家都被认可的。CISA在中国,主要是现在中国分会还没有成立,主要是香港分会来管理大中华区的这些会员,大概是这么一个情况。
主持人:我之前也注意到需要信息系统审计师的这种公司,可能有软件公司,还有咨询机构,还有会计审计事务所,还有跨国公司,刚才你提到的大型企业和上市公司,你怎么看待这个职业的前景?
田超波:我觉得这个职业前景是非常好的,为什么这么讲,第一,还是一个稀缺资源,在国内来讲,真正有经验的,同时又有从技术,从管理方面,对企业管理和技术方面比较了解的,有经验的人还确实不多,所以说比如说国有的大型银行,电信这样的一些企业,找到这样,很难找到,不仅仅是考了这个证能怎么样,实际它需要从我们实际的管理过程中去积累一些经验,并且要对技术这个事情要懂,这样的话,才是真正所需要的资源,实际上这种资源在国内还是不多的,并且也是CISA这个认证是近几年才到国内来,所以说这个资源是非常稀缺的。
主持人:我之前也问过有一些人,他们觉得CISA可能考过很难,这个认证,这个过程,考试可能通过率比较小,他对整个参加认证的人的素质要求,主要需要哪些方面的要求?
田超波:主要是你,实际上它有一个对考试的大纲的理解,它主要是有两方面的需求,它叫信息系统审计师这么一个认证,实际上既要有IT的知识积累,同时又要站在审计的角度去看问题,这样的话,就把IT和审计这两方面的知识都要结合起来。同时它把IT的整个生命周期管理所用到的一些东西,都是必备的知识,因为你要去做信息系统审计,首先你必须要懂企业的信息系统从最开始的获取到最后的结束,整个生命周期的这个过程你必须要懂,这样的话,你才能够有能力去帮别人做审计,才能帮别人找出问题,提出你的改进意见,更好的把内部控制这个事情做好。
主持人:其实信息系统审计师在企业中起到一个什么作用,这两天我要做这个事情,它是整个企业信息化建设的一个领航人员,还是一个批判的或者审判的这么一个角色?
田超波:我感觉它是通过我们的内部控制来推动,来完善这个企业的信息化的建设,实际上它分为,做事情也分为两种,一种跟审计师一样,一种是我内部的,内审,一种是外审,我请外面的四大审计机构来对我们公司进行整体的审计,这个主要关注大的方面。但是实际上企业小的这些细节需要不断跟进的,不断完善的,这个可能是我们内部,做内部系统审计主要要做的事情。同时它也是帮助我们规范整个公司的治理,特别是信息治理,它强调从治理的层面来看待整个公司的信息系统建设过程,强调对风险进行控制,主要强调,最重要就是对风险这一块的控制。
主持人:你刚才也讲了很多,企业信息系统审计师有点拗口,这个名字,审计师他最应该关注企业哪些方面的内容?
田超波:他关注,从CISA考试来讲,他关注第一个就是你的IT治理怎么样,IT治理涉及到第一你有没有组织结构,有没有IT的战略委员会,指导委员会,有没有IT的执行层面,他首先关心你的IT治理,有没有公司来真正重视IT这个事情,我看有些小的公司就把IT部门划到财务部去管,这个也是有,但是真正从治理层面来评述IT,它还是需要从一个很高的层面来,说治理跟管理有什么区别,治理就不同,治理它强调就是按照我们各个利益的,它并不是说要追求像老板刚开始做的追求整个利益最大化,实际上它强调了控制,和国外的三权分立一样,它强调的是权利制衡,就是说哪些东西该你做,哪些东西不该你做,强调你对整个制度,整个规程的遵循。这个是一个从IT治理层面来看我们这个CISA的事情。另外,治理毕竟是一个很大的层面,是一个战略层面的事情,再换到运营层面,它也结合了国内,国际一些最佳的实践,它有服务支持和服务交互,比如说整个软件生命周期,硬件生命周期的获取,到整个过程,另外就是说最后的安全,包括业务持续性,或者是灾难恢复,包括这些东西,所以说涵盖的面,几乎IT所有的事情都涵盖了。
主持人:刚才你谈到第一个点是IT治理过程,接着问一个问题,可能和这个无关。在IT治理过程当中,咱们看字面来说,它是治和理,是治为主,还是理为主?
田超波:我觉得这个是要结合,一方面我们强调我们的治理体系,我们要建立起来,我们要理清楚这些我们所需要的这些规程,因为从大的方面来讲就是一个策略,就是战略。战略再往下面来分,就是你有些标准,然后再有些程序,就是说我该细化怎么样做,做到什么样一个程度为止,实际上这个也是我们很多企业大家关注说做到哪个点是最好,实际上我们说到这个企业需要的,需要我们来控制风险的,来完善整个内部管理体系的,做到企业需要的地方就好了,做这个东西很多东西像安全一样,也是一个无底洞,你永远也做不完,永远也控制不完,但是是企业需要的,并且跟整个战略和业务是一致的,就OK了。
主持人:谈到刚才这个话题又拉回来,可能刚才是加了一点东西,咱们拉回来,哪些人才有这种资格和CISA的认证,我肯定是不行,我感觉。
田超波:CISA它是官方有一些要求,你要满一年的工作年限,并且当你申请这个证的时候要满一年的工作年限,有一定的学历,同时刚刚我讲到了,如果你做审计师的话,要求你的职业道德,职业审慎,这个必须是严格的要求,比如说你要有独立性,不能说我为公司做审计,公司说没问题就没问题,你要发表一些你独立性的意见,跟我们传统的审计也是一样的,站在公正的立场,客观去评判这个事务,然后就是说特别审计的知识和技能这一块,你要很好的掌握,CISA只是提供说你有这个知识方面的能力,但是具体的,实际上操作并不一定是仅仅凭一张证书就能够做所有的事情。
主持人:我感觉你作为企业内部的人,你们做CISA的认证,可能有两层的含义,一个是对自己企业本身的评估和改善,另外是对外来咨询公司的一个验证,他们可能会给你们做这这种信息规划的时候,你会很清楚知道他们是不是合规,是不是能达到你们所需要的要求,我这两点是不是讲得很对。
田超波:讲得很对,一个是我们在内部要起到风险控制的作用,同要保证IT的战略和企业的战略是一致的。同时针对IT的运营层面要确保有效,同时我们如果是正在跟第三方接触的时候,我们可以站在公正的立场来提供一些建议,从而为我们更好的比如说选择一些做方案的时候,做咨询的时候,选择一些解决方案提供商的时候,提供一些参考,一些意见。
主持人:回到CISA的认证,它这个考试是分几个部分,可能从几个方面,每个方面占多大比例?
田超波:它分为六个部分,占得最多的是对信息资产的保护,占了30%份额。从IT的审计过程到我们整个IT治理,再到软硬件生命周期,硬件的获取过程,到信息资产的保护,再到业务连续性,它分六个部分,根据它的重点同,分类也不同,大概是从10%到16%,最多是31%,就是信息资产保护,这样就构成了100%的比例。
主持人:我更想问的是,从2008年开始培训,明天就要考试了,这个阶段可能马上要划一个句号了。从这个阶段来说,对你现在的工作有没有什么影响,对你做一些规划,或者内部信息化建设的时候,对你的思路是不是有一些调整?
田超波:我觉得是非常有影响的,第一,通过CISA的学习,让我不仅仅是为了考这个证,为了考证而考证,通过学习,让我能够了解国外的一些先进经验是如何来做IT的战略规划的,哪些东西是我们,包括我也在做企业的内部信息化过程中,我也发现一个问题,为什么非常强调控制和内部风险这个事情。实际上我发现这个,我们公司也做一些比较大型的IT项目,实际上最近我也总结,国内和国外大的IT公司,实际上真正做下来,我觉得这个差别还是很大的,这里讲的不仅仅是说它的功能,大家做出来都没有问题。大家都可以实现,满足业务需求,但是真正要做到一些风险控制的时候,风险防范的时候,我觉得差别确实非常非常大,我通过做了几个项目之后,同时有一个整体的信息系统治理或者是管理,包括资产保护,这种整体的思想以后,平时在做工作规划也好,安排一些具体的事情也好,让我的思路更加清晰,做事情也更加有效率,同时我也从风险控制的角度来考虑一些问题。
主持人:原来可能最早的时候,可能只看到树木,现在可以看到整个森林,可以有规范,有条理去看哪,留哪。
田超波:对。
主持人:从信息系统审计这个角度来考虑,他们一般企业信息化的信息系统,一般审计的话会有哪些方式和方法来做审计?
田超波:一般它所有的审计都是基于风险评估,基于风险评估的方法,首先你的公司哪些需要保护的资产,比如说你有最重要肯定是支持公司运营的这些应用系统,实际上原先做审计的时候,肯定是审计你的纸张的财务报告,去翻你的帐,现在你的帐存在信息系统里面,存在你的数据库里面,这个数据库需要保护,需要你做访问控制,数据库运行在什么地方呢,运行在操作系统里面,Windows 、UNIX,运行在这个上面,操作系统也需要保护,操作在什么上建立,在硬件的平台上建立,这个硬件也需要保护,同时你要保证所有的用户能够访问,你这个网络也需要保护,你的服务器放在机柜里面,那个机柜也需要保护,机柜放在机房里面,这个建筑也需要保护,所以说它是一个整体,所有的都是从方法来讲,首先我评估哪些东西重要,然后评估它这个风险发生的可能性,评估它脆弱性,这个东西,比如说你没设口令,比如说原始初始的配置你什么都没有改,也可能别人一猜就能猜到,所以这些东西首先是有资产,然后再去分析它的脆弱性,然后分析它发生的可能性,这样去做出一些评价,这个是做IT审计这么一个过程。
说到细呢,因为时间的关系,今天说到细不太可能,因为涉及的面太广了,从你的应用到控制点,太多了,刚刚说从数据库到服务器到机房环境,包括人员的职责分工,这个都是涉及到一些具体的内容。
主持人:其实前一段时间我看到你写的一篇文章,你发给我说你写的一个内部文章,让我自己学习一下,不要传播。我看完就删掉了,中间写了911事件出现之后,有一个银行它就是很快的在异地马上开始办公,你能不能用这个例子阐述一下这个东西?
田超波:实际上这也是对风险分析的一个很好的例子,大家知道911事件之后,我们在国际上讲什么大事情,都讲911以后怎么样,但是我们中国讲什么事情呢,讲非典以后怎么样,911以后,整个大楼都倒了,很多人在这里办公,大楼都倒了,你想想机房什么东西都没有了,如果没有做一个很好的风险分析说我们这个大楼永远不可能倒,大楼倒了,怎么样呢,有一家公司他做了异地的容灾,就是摩根斯坦利他做了在几公里的地方有一个备份中心,这个备份中心来同步它的主要的,主占领的一些业务,实际上他只用了一个星期的时间,它的业务就能恢复正常,这是一个很好的例子。要考虑到所有发生风险的可能性,尽可能考虑全,这也是国内和国外大公司的区别之一,我感觉从风险防范上来讲。
主持人:可能我觉得这是一个企业,一个认识的过程,可能也是一个信息化发展的过程,咱们有一句俗语说吃一堑长一智,可能吃过亏之后,他就会长记性,不吃亏不长记性,今天由于时间的关系咱们就聊这么多。最后总结,由于信息技术它是国际性的,它没有国界,CISA是国际通用的,刚才你也说到了,全世界140多个国家和地区是可以通用这个认证,原来我们说学好数理化,走遍天下都不怕。咱们信息化可以改改,守着CISA,世界各地是我家,开个玩笑,十分感谢田总今天能够作客我们网站,和我们一块聊CISA的事情,也预祝田总明天考试通过,顺利拿到认证。
(本文不涉密)
责任编辑: