La certfication CISA® valide votre expertise dans 5 domaines
-
21%
Le processus d’audit des systèmes d’information
-
17%
Gouvernance et management des TI
-
12%
Acquisition, développement et mise en œuvre des systèmes d’information
-
23%
Gestion des services, exploitation et maintenance des systèmes d’information
-
27%
Protection des actifs informationnels
La pratique professionnelle du CISA® consiste en un ensemble d’énoncés de tâches et de connaissances, organisés en 5 domaines. L’examen CISA® comporte 150 questions et couvre les cinq domaines de l’audit, du contrôle et de la sécurité des systèmes d’information.
Les domaines de pratiques et les énoncés ont été approuvés par le groupe de travail sur la certification CISA® et représentent une analyse des pratiques et de l’ensemble du travail effectué par les auditeurs des systèmes d’information. Cette analyse est validée par d’éminents leaders du secteur, des experts en la matière et des praticiens.
Les énoncés de tâches décrivent les activités que les CISA peuvent étre amenés à effectuer dans une organisation, tandis que les énoncés de connaissances sont les critères utilisés pour mesurer, évaluer et gérer les risques. Notez que la liste complète de référence des énoncés de tâches et de connaissances se trouve ici.
Dans les énoncés suivants, les termes «entreprise» et «organisation» ou «organisationnel(le)» sont considérés comme synonymes.
Crédit © ISACA 2020
La finalité du domaine 1 est la fourniture des services d’audit conformément aux normes pour aider les organisations à protéger et contrôler leur système d'information. Le domaine 1 affirme votre crédibilité pour proposer des conclusions sur l’état des solutions de sécurité, de risque et de contrôle des SI / TI d’une organisation.
A. Planification
- 1. Normes, directives et codes d’éthique d’audit des SI
- 2. Processus métiers
- 3. Types de contrôles
- 4. Planification d’audit basée sur les risques
- 5. Types d’audits et d’évaluations
B. Exécution
- 1. Gestion de projet d’audit
- 2. Méthodologie d’échantillonnage
- 3. Techniques de collecte des preuves d’audit
- 4. Analyse des données
- 5. Techniques de reporting et de communication
Le domaine 2 confirme aux parties prenantes de votre organisation vos capacités à identifier les problèmes critiques et à recommander des pratiques spécifiques à l’entreprise pour soutenir et protéger la gouvernance de l’information et des technologies associées.
A. Gouvernance des TI
- 1. Gouvernance informatique et stratégie informatique
- 2. Cadres de gouvernance des TI
- 3. Normes, politiques et procédures informatiques
- 4. Structure organisationnelle
- 5. L’architecture d'entreprise
- 6. La gestion du risque d’entreprise
- 7. Modèles de maturité
- 8. Lois, règlementationss et normes de l’industrie affectant l’organisation
B. Management des TI
- 1. Gestion des ressources informatiques
- 2. Acquisition et gestion des fournisseurs de services informatiques
- 3. Surveillance et rapports des performances informatiques
- 4. Assurance qualité et gestion de la qualité des TI
A. Acquisition et développement de systèmes d’information
- 1. Gouvernance et gestion de projet
- 2. Analyse de rentabilité et de faisabilité
- 3. Méthodologies de développement de système
- 4. Identification et conception des contrôles
B. Implémentation des systèmes d’information
- 1. Méthodologies de test
- 2. Gestion de la configuration et des versions
- 3. Migration système, déploiement de l’infrastructure et conversion des données
- 4. Revue post-implémentation
Les domaines 3 et 4 offrent la preuve non seulement de votre compétence en contrôle informatique, mais également de votre compréhension de la relation entre l’informatique et les métiers.
A. Exploitation des systèmes d’information
- 1. Composants technologiques communs
- 2. Gestion des actifs informatiques
- 3. Planification des travaux et automatisation des processus de production
- 4. Interfaces système
- 5. End-user computing
- 6. Gouvernance des données
- 7. Gestion des performances des systèmes
- 8. Gestion des problèmes et des incidents
- 9. Gestion des changements, de la configuration, des versions et des correctifs
- 10. Gestion des niveaux de service informatique
- 11. Gestion des bases de données
B. Résilience métier
- 1. Analyse d’impact business (BIA)
- 2. Résilience du système d’information
- 3. Sauvegarde, stockage et restauration des données
- 4. Plan de continuité des activités (BCP / PCA)
- 5. Plans de reprise après sinistre (DRP / PRA)
La cybersécurité touche désormais pratiquement tous les rôles des systèmes d’information, et la compréhension de ses principes, de ses bonnes pratiques et de ses pièges est un objectif majeur du domaine 5.
A. Sécurité et contrôle des actifs informationnels
- 1. Cadres, normes et bonnes pratiques de sécurité des actifs informationnels
- 2. Principes de confidentialité
- 3. Accès physique et contrôles environnementaux
- 4. Gestion des identités et des accès
- 5. Sécurité du réseau et des points d’accès
- 6. Classification des données
- 7. Cryptage des données et techniques liées au cryptage
- 8. Infrastructure à clé publique (PKI)
- 9. Techniques de communication basées sur le web
- 10. Environnements virtualisés
- 11. Appareils mobiles, sans fil et objets connextés (IoT)
B. Gestion des évènements de sécurité
- 1. Formation et programmes de sensibilisation à la sécurité
- 2. Méthodes et techniques d’attaque des systèmes d’information
- 3. Outils et techniques de test de sécurité
- 4. Outils et techniques de surveillance de la sécurité
- 5. Gestion de la réponse aux incidents
- 6. Collecte de preuves et criminalistique
- 1. Planifier l’audit pour déterminer si les systèmes d’information sont protégés, contrôlés et apportent de la valeur à l’organisation.
- 2. Réaliser un audit conformément aux normes d’audit des SI et à une stratégie d’audit des SI basée sur les risques.
- 3. Communiquer l’avancement, les constatations, les résultats et les recommandations de l’audit aux parties prenantes.
- 4. Effectuer un suivi d’audit pour évaluer si les risques ont été suffisamment traités.
- 5. Évaluer la stratégie informatique en terme d’alignement sur les stratégies et les objectifs de l’organisation.
- 6. Évaluer l’efficacité de la structure de gouvernance informatique et de la structure organisationnelle informatique.
- 7. Évaluer la gestion par l’organisation des politiques et pratiques informatiques.
- 8. Évaluer les politiques et pratiques informatiques de l’organisation pour vérifier leur conformité aux exigences réglementaires et légales.
- 9. Évaluer la gestion des ressources informatiques et du portefeuille afin de s’aligner sur les stratégies et les objectifs de l’organisation.
- 10. Évaluer les politiques et pratiques de gestion des risques de l’organisation.
- 11. Évaluer le management de l’informatique et le suivi des contrôles.
- 12. Évaluer le suivi et le reporting des indicateurs clés de performance (KPI) informatiques.
- 13. Évaluer la capacité de l’organisation à poursuivre ses activités business.
- 14. Évaluer si l’analyse de rentabilité des changements proposés aux systèmes d’information répond aux objectifs business.
- 15. Évaluer si les processus de sélection des fournisseurs informatiques et de gestion des contrats sont conformes aux exigences de l’entreprise.
- 16. Évaluer les politiques et pratiques de gestion de projet de l’organisation.
- 17. Évaluer les contrôles à toutes les étapes du cycle de vie du développement des systèmes d’information.
- 18. Évaluer l’état de préparation des systèmes d’information pour la mise en œuvre et la migration vers la production.
- 19. Effectuer une revue post-implémentation des systèmes pour déterminer si les produits livrables, les contrôles et les exigences du projet sont respectés.
- 20. Évaluez si les pratiques de gestion des services informatiques sont conformes aux exigences de l’entreprise.
- 21. Effectuer une revue périodique des systèmes d’information et de l’architecture d’entreprise.
- 22. Évaluer les opérations informatiques pour déterminer si elles sont contrôlées efficacement et soutiennent de façon continue les objectifs de l’organisation.
- 23. Évaluer les pratiques de maintenance informatique pour déterminer si elles sont contrôlées efficacement et soutiennent de façon continue les objectifs de l’organisation.
- 24. Évaluer les pratiques de gestion des bases de données.
- 25. Évaluer les politiques et les pratiques de gouvernance des données.
- 26. Évaluer les politiques et pratiques de gestion des problèmes et des incidents.
- 27. Évaluer les politiques et pratiques de gestion des changements, de la configuration, des versions et des correctifs.
- 28. ÉÉaluer le end-user computing pour déterminer si les processus sont efficacement contrôlés.
- 29. Évaluer les politiques et pratiques de l’organisation en matière de sécurité des informations et de confidentialité.
- 30. Évaluer les contrôles physiques et environnementaux pour déterminer si les actifs informationnels sont correctement protégés.
- 31. Évaluez les contrôles de sécurité logiques pour vérifier la confidentialité, l’intégrité et la disponibilité des informations.
- 32. Évaluer les pratiques de classification des données pour les aligner sur les politiques de l’organisation et les exigences externes applicables.
- 33. Évaluer les politiques et pratiques liées à la gestion du cycle de vie des actifs.
- 34. Évaluer le programme de sécurité de l’information pour déterminer son efficacité et son alignement avec les stratégies et les objectifs de l’organisation.
- 35. Effectuer des tests de sécurité technique pour identifier les menaces et vulnérabilités potentielles.
- 36. Utiliser des outils d’analyse de données pour rationaliser les processus d’audit.
- 37. Fournir des services de conseil et des lignes directrices à l’organisation afin d’améliorer la qualité et le contrôle des systèmes d’information.
- 38. Identifier les opportunités d’amélioration des processus dans les politiques et pratiques informatiques de l’organisation.
- 39. Évaluer les opportunités et les menaces potentielles associées aux technologies émergentes, aux réglementations et aux pratiques de l’industrie.