爱思考受邀参加2019年度CISP工作会议

2019-11-22 11:08 爱思考
2019年9月9日,中国信息安全测评中心2019年度CISP工作会议在无锡举办,北京爱思考科技有限公司作为中国信息安全测评中心CISP的第一个子品牌CISP-A的运营中心受邀参会,爱思考团队出席会议并做“CISP-A国家注册信息系统审计师的初心与使命”主题分享。
 

CISP-A的由来与发展

CISP-A(Certified Information System Auditor),中文名称为国家注册信息系统审计师。针对从事信息系统审计工作领域的从业人员提供的培训和资质认定,其知识体系在审计和信息系统控制两大基本知识技能基础上,侧重关键信息基础设施审计、业务连续性审计、信息科技外包审计、网络安全审计、数据质量和安全审计等方面的实际操作能力。持有CISP-A信息系统审计师证书,体现了证书持有者在信息系统审计、网络安全与控制等方面的综合能力。 
  • 2012年5月,中国信息安全测评中心委托北京爱思考科技有限公司启动CISP-Auditor的立项研究、教材和课件开发、培训和认证方案建设等工作;

  • 2013年4月8日,首期CISP-A国家注册信息系统审计师培训班在中央党校南门崇学山庄开班,中国人民银行、交通银行、中国金融电子化公司等多家机构派员参加;

  • 2016年11月7日,中国信息安全测评中心正式授权北京爱思考科技有限公司作为CISP-A运营管理中心。

自此,我国自主的“国家注册信息系统审计师(CISP-A)”教育培训、考试认证和持续专业发展工作步入正规。
 
“国家注册信息系统审计师(CISP-A)”直接对标美国信息系统控制与审计协会(ISACA)的CISA(注册信息审计师),培养我国自主的具有信息系统审计报告签字权的专业审计人员,为筑牢我国网络空间安全第三道防线准备人才队伍!
 

为什么要开展信息系统审计

早于20世纪60年代,美国就已经开始了信息技术审计实践,1964年美国联邦政府部门就开始了计算机信息系统的审计工作。1977年,ISACA 发布Cobit,2013年Cobit发展到5.0版,今年又发布了Cobit2019。
 
纵观国内,网络空间成为国家安全新的疆域已经得到广泛共识。“网络空间的竞争,归根结底是人才竞争。建设网络强国,没有一支优秀的人才队伍,没有人才创造力迸发、活力涌流,是难以成功的。”我国的政策也全方面的对网络安全行业以及人才培养给予重大支持,中央网信办、国务院、审计署、人民银行、银监会、证监会、财务部等众多部门均出台了信息系统审计相关政策。
 
根据信息安全管理体系国际标准ISO/IEC27001,网络安全保障工作可以看做是可持续改进的“PDCA循环”,其中P(PLAN)是规划和建设;D(DO)是实施和运行;C(CHECK)是监督和检查;A(ACT)是保持和改进。
 
回顾十几年来我国信息安全保障工作,普遍重视了P和D两个阶段,通常是采购信息安全产品,以建设和运行维护为主;而忽视了C和A阶段,即监督检查和持续改进,尤其是独立于IT部门的监督检查。从而未能将其形成一个有效的、可持续改进的闭环。信息系统审计是C阶段监督检查的主要手段,审计结论是D阶段的输入。它应独立于IT部门,利用传统财务审计和稽核工作的规范与严谨,结合信息和保密技术的工具与手段,对网络安全和信息化工作的成效和不足给出客观、确定的审计结论,并根据审计结果,提出改进措施。
            
会议中,CISP-A运营中心公布了新的授权官方培训机构的发展和管理办法,新的管理办法是CISP-A作为CISP系列的第一个子品牌改革、创新发展的尝试。爱思考团队在会议分享中提出:要牢记CISP-A国家注册信息系统审计师的初心与使命,筑牢国家网络安全的第三道防线。
 
爱思考也强调了人才培养的重要性与紧迫性,爱思考将充分履行社会责任,重视和加强CISP-A国家注册信息系统审计师的培训,为国家培养更多的专注于信息技术安全领域的实操型人才。