نظراً للتطورات التي تستجد في مجال التدقيق وتوجه الشركات لأتمتة الأنظمة والتحول الرقمي وتحقيقاً لمعيار التدقيق الداخلي والدولي رقم 1230 (التطوير المهني المستمر)، في تطوير المعرفة والمهارات لدى المدققين بغرض الوصول الى درجة عالية من الكفاءة والاحاطة اولاً بأول، نضع بين ايديكم هذا المقال لتبسيط وشرح عن تدقيق نظم المعلومات واهميتها ومعنى cisa وكيف يمكن الحصول عليها.
ما معنى CISA؟
هي اختصار مدقق نظم معلومات معتمد Certified Information Systems Auditor وهي شهادة عالمية تبنتها منظمة ISACA لمهنة التدقيق في مجال نظم المعلومات، وللحصول على الشهادة لابد من اجتياز الاختبار الخاص بها وهي مقسمة على خمسة فصول (DOMINS) سيتم ذكرها باختصار في هذا المقال.
أهمية دراسة منهج CISA:
- زيادة الخبرات المهنية والعملية والمعرفية في مجال التدقيق والحوكمة ونظم المعلومات.
- إضافة قيمة للشركة وزيادة في كفاءة وجودة عملية الدقيق.
- التعرف على المصطلحات الخاصة بنظم المعلومات.
- تقييم الثغرات الأمنية والمخاطر والإبلاغ عنها بالإضافة الى تقييم ضوابط المؤسسة، والحفاظ على نزاهة بيانات العمل الخاصة.
- اهتمامها بالتوجهات الحديثة في امن وتقنية المعلومات وبالتالي استمرارية التعلم ومتابعة التحديثات والتطورات الجديدة.
- نظراً لمحدوديتها وندرة مدقيقي نظم المعلومات تجدهم من أكثر الرواتب عالمياً.
محتويات شهادة CISA
اخذت منظمة ISACA على عاتقها منذ 1978م تطوير المعاير الخاصة بنظم المعلومات بالإضافة الى اخر التحديثات التي توصلت لها تكنلوجيا المعلومات وضمتها ضمن التدقيق حتى توصلت الى 5 فصول (DOMNS) للحصول على شهادة التدقيق المعتمدة ومنها:
1. عمليات تدقيق نظم المعلومات Information system auditing process
يتناول هذا الفصل آلية التدقيق، والمعايير (معايير تدقيق نظم المعلومات) والتوجيهات والممارسات المثلى (الارشادات العامة) للتأكد من ضبط وحماية العمليات المتعلقة بالأعمال بالإضافة الى التخطيط القائم على المخاطر وطرق اختيار العينة.
2. الحوكمة وإدارة نظم المعلومات Governance and management of IT
يتناول هذه الفصل الهيكلية والسياسات وآليات التبعية وتوزيع الأدوار المسؤوليات والمساءلة بالإضافة الى الحوكمة والفرق بينها وبين الإدارة والنماذج المتبعة في اعداد وتصور الهياكل التنظيمية وضمان الجودة وإدارة مصادر تكنلوجيا المعلومات.
3. تنفيذ وتطوير واقتناء نظم المعلومات Information systems acquisition, development, and implementation
يتناول الممارسات الإدارية المتعلقة بتطوير وشراء الأنظمة، وطرق اختبارها واتاحتها ومدى صلاحياتها وصيانتها، حتى التخلص منها، بما يتفق مع أهداف المؤسسة، يندرج ضمن هذا الفصل إدارة المشاريع سواءً السوفتوير(البرامج) او الهاردوير(العدد والتجهيزات والاجهزة) وتهيئتها وإدارة الإصدارات.
4. عمليات نظم المعلومات ومرونة الأعمال Information systems operations, maintenance, and service management
العمليات اللازمة والتشغيلية منها إدارة الأصول والمشاكل الفنية المتعلقة بنظم المعلومات وخطط الطوارئ والاستعادة من الكوارث وتحليل تأثير تكنلوجيا المعلومات لضمان جودة الخدمة المقدمة من قسم تكنولوجيا المعلومات والحاسب الآلي لدعم عمليات المؤسسة وأهدافها،
5. حماية الأصول المعلوماتية Protection of information assets
هيكلية أمن المعلومات، والمعايير والسياسات والإجراءات والضوابط لضمان سرية وسلامة وإتاحة الأصول المعلوماتية، ايضاً يتكلم حول الامن السيبرياني، ومبادئ الخصوصية، وأدوات اختبار الاختراق والبيئة الافتراضية.
الكتب والمواقع للحصول على شهادة تدقيق نظم المعلومات.
هناك العديد من الكتب التي لابد من الحصول عليها وتعتبر دليل مرجعي ومعلوماتي للدخول في هذا المجال وغالبية هذه الكتب هي مدفوعة ونجدها في موقع المنظمة نفسها وهنا نكتفي بذكر أسماء الكتب وهي كالتالي:
1. المعايير والارشادات العامة في تدقيق نظم المعلومات ISACA - IS Standards, Guidelines, and Procedures for Auditing and Control Professionals
هذا الكتاب من منظمة ايساكا ويعطي كافة المعايير والارشادات العامة والإجراءات والضوابط في تدقيق نظم المعلومات
2. كتاب دليل مراجعة السيزا CISA Review Manual, 27th Edition by ISACA
يعطيك نبذة عن الامتحانات التي تتم وبعض الأسئلة على مستوى كل فصل وكيفية البحث عن الكتب والمراجعة للوصل الى ذرة من الفهم في مجال تدقيق نظم المعلومات.
3. كتاب حماية الأصول المعلوماتية باستخدام الضوابط IT Auditing Using Controls to Protect Information Assets by Mike Kegerreis,Mike Schiller,Chris Davis
هذا الكتاب يعطيك تفاصيل عن نظم المعلومات حيث يقسم هذا الكتاب الى 14 فصل منها مركز البيانات والشبكات والتدقيق في أنظمة ويندوز سيرفر واليونكس والاينكس سيرفر والتخزين والأنظمة السحابية وكل ما يتعلق بنظم المعلومات ويعرض كيفية الفحص وعمل الضوابط بالإضافة الى نبذة مختصرة من المخاطر التي تتعرض لها.
إرسال تعليق