2013年12月CISA考试报名最省钱攻略（非在校生）
注意：
考试日期:2013年12月14日
优惠报名截止日期：2013年8月21日  会员：410美金  非会员：585美金
最终报名截止日期：2013年10月25日  会员：460美金   非会员：635美金

入会时间及相关费用：
2013年1月1日-5月31日
费用：135美金（总会入会费）+70美金（香港分会）+10美金（第一次注册费用）=215美金
会员资格持续至2013年年底

2013年6月1日-7月31日
费用：67.5美金（总会入会费）+70美金（香港分会）+10美金（第一次注册费用）=147.5美金
会员资格持续至2013年年底

2013年8月1日以后
费用：135美金（总会入会费）+70美金（香港分会）+10美金（第一次注册费用）=215美金
会员资格持续至2014年年底

自红色标注时间及费用可见：
如要报名12月考试，在7月31日之前以会员形式报名，将是最省钱！
总金额为：147.5+410=557.5美金
当然在校生除外，如果您是学生的话，记得一定要先注册学生会员，然后给官方提交在校证明，通过之后再报名考试，将节省很大一笔开支！

CISA考试报名、证书申请、CPE维持相关情况，欢迎咨询：
汇哲培训
电话 021-33663299
邮箱 huizhe@spisec.com
www.spisec.com

近期课程：
CISA/CISSP
北京公开课： 7月20日—24日，9月4日—8 日，11月20日—24日
上海公开课： 7月27日—31日，8月28日—9月1日，9月25日—29日，10月26日—30日，11月27日—12月1日，12月21日—25日

ITIL/COBIT/IT审计实践更多课程欢迎联系咨询！

转：IT审计实务沟通与实践讨论

对应用控制的一些收获，跟大家一起探讨下。1、IT审计思想方面。    说到思想，可能会让很多人打哈欠。其实真正会讲这些东西的人，能分析的如醍醐灌顶，可惜咱口拙。    单从审计角度出发，审计可以笼统说成就是针对某条业务流程，检查是否有恰当的内部控制措施能实现保证这个流程按照或接近理想的想法顺顺当当走完。    IT审计的应用控制检查也一样，针对各个系统中某条数据流或业务流，从输入，到内部处理，到输出，检查是否都有足够的内部控制保证维持它顺利按照既定路线走完，就是这个思想的核心了。    至于发现了某个节点出现了重大内控风险点以后，到底怎么对待，怎么沟通，那是之后的事情了。2、IT审计流程方面。   我发现大部分IT审计的书籍课件都只是重点描述检查哪些风险点，而对于怎么开始着手从接项目到入手检查这中间一段，详细探讨的甚少，我就根据自己的经验抛砖引玉一次。不只是涉及到应用控制，对整个IT审计项目流程都适用。    应用控制怎么查，领导某天说，小某某，我们对XXX系统做个项目吧，你能做吗？肯定耳闻拍胸脯啪啪响。    顶着这么简单的一条指令，回头肯定要做那么复杂的一堆事情。    首先，我们得理清思路，为啥做这个项目。领导想得到的结果是什么：确认资金系统是否有漏洞？确认核心系统是否业务能够正常来往？还是对接下来要改造的目标系统摸摸是否值得继续投资的底？这个是搞IT审计的第一条，了解要开战的重点。除了领导需求之外，还有几条，比如这个系统你已知它有问题的地方（比如太多人抱怨哪个环节总报错，卡死）、这个系统据你判断可能出问题的地方（比如与外部系统接口处的逻辑判断），还有这个系统本身最重点功能的地方（比如资金系统的支付逻辑判断、审批流判断）。    其次，我们在知道要做啥的前提下，收集阅读详细需求开发文档、运维变更文档、数据结构、业务及逻辑流程图、拓扑图、用户说明书、生产环境前台账号、最好还有测试系统的各个环节账号以及测试系统的后台数据库权限，以方便穿行测试以及白盒测试。这些拿到，开始最痛苦的了解系统。这一环节需要把前台实际操作、后台数据逻辑、所涉及业务实务掰碎揉合。    第三，把目标系统功能大卸八块。按照各个功能模块细细的洗了拆开，分放在excel的每一行。有各种功能混杂在一个模块同时实现的也表明细分。这样的好处是方便设计风险矩阵。    第四，开始设计风险矩阵，简单说就是在了解以上各条的前提下，在业务重点、风险大小、风险可能性等方面对拆开的各个功能块打分，最终会拿到一份这次要重点检查哪块的矩阵图。    第五，根据矩阵，开工。        如果有时间，最好再设计一份详细的每个要检查的模块所涉及的风险点。然后按照风险点一个个检查。        接下来就需要用到审计知识了。比如要检查某个审批流的内控设立、执行情况。首先得看下是否设置了审批流，从用户说明书、概要设计上看这条审批流是否完整、满足业务需求。用以判断是否业务逻辑本身有问题。然后我们需要查看系统中所开发内置的审批流功能的实现是否与详细需求文档一致。用以判断系统内的控制是否与设计一致。这时就看到有后台数据库权限的好处了，前台边输入数据、处理、输出数据进行操作，后台则每一步都查看分析数据。最后我们检查生产环境下用户根据审批流的功能所配置的具体业务审批数据是否足以满足之前需求文档中理想的业务需要。穿行测试、符合性测试、白盒、黑盒都可以用。

汇哲科技专业的IT培训公司：   SPISEC为国内唯一一家以信息安全培训与后续服务为主的机构，整体培训重于实践和服务质量的精细、实用，及永久。其讲师均具备信息安全十年以上工作经验，五年以上培训经验，自身长年致力于信息安全培训和服务行业，具备较强的专业培训水平和丰富的培训经验。SPISEC专业、强大的后续服务团队专为学员解决考试、认证、工作实践等问题。并结合多年培训经验，以培训为基础、服务为保障、实践为目的，为业内企业和个人、业内第三方合作伙伴提供优质的培训服务。   SPISEC于2008年开始在业内陆续组织多场专业知识学习讲座和研讨，并持续发布多期专业原创文档和学习形式期刊、书籍。SPISEC至今为27000多名会员提供免费的学习指导服务，其中为3000多名会员直接提供考试辅助、职业规划、学习计划梳理等服务，会员现分布央企、国企、金融、电信、移动、能源、制造、IT等多个行业。SPISEC的成立将更好地带动业内信息安全人员的培养和发展，保障国际信息安全学习联盟的基本运营，实现业内各领域有志之士的共同愿望，汇聚业内各领域的专业顶极人才。

近期课程：
CISA/CISSP
北京公开课： 7月20日—24日，9月4日—8 日，11月20日—24日
上海公开课： 7月27日—31日，8月28日—9月1日，9月25日—29日，10月26日—30日，11月27日—12月1日，12月21日—25日

ITIL/COBIT/IT审计实践更多课程欢迎联系咨询！
电话 021-33663299
邮箱 huizhe@spisec.com
www.spisec.com

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)