自1978年以来，由信息系统审计与控制协会（Information System Audit and Control Association，ISACA）发起的国际信息系统审计师（CISA）认证已经成为持证人在信息系统审计、控制与安全等专业领域中取得成绩的象征，并逐步发展成全球公认的标准。所谓信息系统审计师，是指一批专家级的人士，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。目前在国际上，ISACA是有权授予国际信息系统审计师资格的跨国界、跨行业的专业机构。该协会成立于1969年，总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会，现有会员两万多人。ISACA确认在中国的主要合作伙伴及培训机构是国家审计署干部培训中心，负责组织中国境内的CISA信息系统审计师资格培训工作。CISA：现代社会急需的信息安全保障人士进入21世纪，就进入了信息化的时代，生产、交易和管理都离不开信息流和对信息流的管制，管理者在面对传统经营风险和财务风险的同时，还要随时面对信息风险对企业生存和发展的挑战。不难想象，假如银行的存数据库被黑客破坏，假如证券交易所的信息系统突然崩溃，假如企业的管理系统产生混乱，假如仓库的自动订货和发货系统无法修复，给我们带来的将不仅仅是损失，而会是破产、混乱和崩溃！信息系统审计师的责任就是在这样一个信息化社会中，为企业管理者筑起一道信息安全的壁垒。信息系统审计师首先关注信息安全，他会采用各种方法来测试系统的安全性，并对来自内部和外部的安全隐患提出相应对策。他还要关注信息系统的稳定性，以确保信息系统承担起激烈竞争的压力，信息系统审计师会提出一系列对策保证客户信息系统的万无一失。对于信息系统审计师来说，他应最擅长鉴别信息系统的有效性，最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统就会消耗企业大量的资源，信息系统审计师的优势就是对财经管理和信息技术融会贯通，为企业信息系统的改造提供建议。可以看出，现代化程度越高，越需要信息系统审计师的参与，在软件供应商、管理咨询机构、会计师审计师事务所、跨国公司和大型国有企业及上市公司中，信息系统审计师已经成为这些行业中信息管理和业务运行的重要保障。由于信息技术的国际性，国际信息系统审计师资格在世界任何一个国家的使用都不会受到制约。CISA作为信息系统审计、控制与安全专业人员的资格证书，受到全世界所有行业的广泛认可。获得CISA资格证书有助于确立作为一名合格的信息系统审计、控制和安全专业人才的声望，也使得持证者在促进工作表现及职务升迁方面，拥有他人无法企及的竞争优势。如何取得CISA资格CISA计划对信息系统审计、控制与安全职业领域中具有技能与判断力的个人作出评估与认证。若想获得CISA认证，申请人需要：顺利通过CISA的考试。遵守国际信息系统审计与控制协会的《职业道德规范》。提供从事信息系统审计、控制和安全工作5年以上经验的证明。具有下列同等经验，可申请免除该项经验，并应获得如下证明：1年以下的信息系统审计、控制与安全工作的经验可用以下资历相抵：满1年的非信息系统审计工作经验，或满1年的信息系统工作经验，和/或具有大专学历（大学60个学分或同等学历）。2年信息系统审计、控制与安全工作的经验可用学士学位（大学120个学分或同等学历）相抵。1年信息系统审计、控制与安全工作的经验可用2年相关领域（计算机科学、会计、信息系统审计等）内从事大学专业讲师的经验相抵。无最高年限（如6年大学将是经验等同于3年信息系统审计、控制与安全工作的经验）。专业经验必须在申请前的10年之内获得，或在次通过考试之日的前5年之内。认证申请必须在通过CISA考试的5年之内提出。所有专业经验都必须由原雇主独立地确认。值得注意的是，很多人在具备所要求的经验之前就参加CISA考试。尽管在所有要求的资历未达到之前不会被授予CISA资格证书，但ISACA接受并鼓励这种作法。CISA考试及涉及范围CISA课程共分为七部分内容，考试的目的在于测试学生在信息系统审计理论、实务及技术内容方面的知识、判断和应用。涉及范围及定义如下：CISA考试分为信息系统审计和信息系统相关知识两大方面七个内容：1、信息系统审计程序（10%）；2、信息系统的管理计划和组织（11%）；3、技术基础和操作实务（13%）；4、信息资产的保护（25%）；5、灾难恢复和业务持续计划（10%）；6、业务应用系统的开发、取得、实施和维护（16%）；7、业务过程的评价和风险管理（15%）。其中，信息系统审计流程要求遵照普遍接受的信息系统审计标准和指南从事信息系统审计，以确保组织的信息技术和业务系统得到充分的控制、监督和评价。信息系统的管理、计划与组织包括评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。信息技术基础设施与操作实务是指评价组织在技术与操作基础设施的管理和实施方面的有效性及效率，以确保其充分支持组织的业务目标。信息资产的保护是指对逻辑、环境与信息技术基础设施的安全性进行评价，以确保其满足组织的业务需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。灾难恢复与业务持续计划包括对这种计划的建立和维护流程需要进行评价。这些计划是在发生灾难时，能够使组织持续进行业务营运和信息系统处理的、书面形式的、众所周知的并且是经过测试的计划。应用系统开发、获得、实施与维护是指对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足组织的业务目标。业务处理流程评价与风险管理包括评估业务系统与处理流程，确保根据组织的业务目标对相应风险实施管理。CISA考试在每年的6月份举行，考题包含200道多项选择题，考试时间为4个小时，可任选英文或中文作为考试语种。全部考题为单选题，换算后得分达到75分即可通过考试。目前全国共设4个考点，北京、上海、广州、深圳。对于参加CISA考试的报考条件，ISACA未做严格的限制。但根据审计署干部培训中心的经验，考生具备以下条件能够增加通过考试的机会：大学专科以上，或在校本科生、研究生；建议英语四级以上；建议具备一定的审计知识和计算机知识（计算机基础知识、操作系统、网络、数据库、电子商务等）。