博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 3872|回复: 7

通过CISA后--最深刻的反思(转载)

[复制链接]
发表于 2007-8-5 22:40:42 | 显示全部楼层 |阅读模式
通过CISA后--最深刻的反思(转载)
通过CISA后--最深刻的反思 ZT

Hello ! Everyone ,

和大家一样,我准备CISA考试的参考资料再简单不过了:CISA Review Manual 2003 + CISA 2002 CD-ROM,Review Manual粗粗地看了一遍。本打算认真地再看第二遍,但觉得Review Manual与CISSP的参考书比较,简直就是一种最佳惯例和一般建议的堆砌。Manual中章与章之间逻辑关系还算清晰,但每章中的各个小节之间的逻辑关系,我花了很大的劲都没理出头绪来,所以,最后只好放弃了重读的念头。由于本人在参加CISSP考试的时候已经把信息安全的基本知识梳理过,所以,就把复习的重点放在第一和第二章关于审计以及如何把审计的理念和方法应用到信息系统。(建议已通过CISSP的兄弟姐妹们可以用这招)。最后,就是做题了。CD-ROM里面的500题,我觉得是经典之作。绝大多数的题目命题都很严谨。对于我而言,机乎每一道题都是一个实习的机会,不懂时反复思考。实在不想不通时,就向Cisamaqing老人家请教(多亏了有IP电话,否则已经可以申请破产了)。CD-ROM里面的题目,反复做了三遍后,考试的日期也就来临了。

考场设在多伦多大学(University of Toronto), ISACA要求我们早上7:30到考场,但考官却在8:20才出现,可恨!利用早到的这段时间和身边的受苦受难的兄弟姐妹们聊了一会,发现他们当中有不少已经是老CISSP了,来源于金融、政府、能源以及专业咨询公司的人士,其中以金融银行业居多。我估计了一下,两个考室,考生在160人左右。各种肤色种族都有,不过平均年龄应该在35岁以上。进入考场,一路无话,最大感触是自己英文太烂,我看一位来自德勤的金发MM一个半小时就交卷了,佩服,佩服!我是在3小时45分时交的卷子,当时考场已经挺空的了,只有五分之一的考生在继续奋斗。走出考场后,在外面的Victoria Park休息了一会,然后,会同我的Darling直奔唐人街。当然,最开心的莫过于吃碗正宗的越南粉。就凭这碗粉,这两月准备CISA考试的辛苦便可一笔勾销。;-)

等到十月份,成绩终于出来了,160人通过40多个。金发MM居然也在成功者的行列里。突然觉得,我们常说的” Jew is rich, Chinese is smart” 这句话未必全对,其实人家白人也不笨。在迎新欢迎会上,大家聚在一起边吃点心边吹牛。我终于发现了很多大牛,原来北美的CISA很多在公司里面都有比较重要的位置,多为部门经理以上职位。聚会中,共有5名华人,其中一名在德勤,其他的均在当地银行任高级技术职务。

冷静下来,终于要面对现实了。该好好想想,究竟CISA是什么,CISA们在中国大陆的发展和出路在哪里?

第一, IT风潮已过,单凭CISA证书您不可能得到什么。
现在的企业大老板经过1997年-2001年的IT风潮疯狂投资IT新技术以后,终于明白了IT是花钱中心(Cost Center),而不是价值中心(Revenue Center)。试问真的有几家企业通过IT改造,从而大规模的获得经济回报的?君不见,美的集团3000万ERP的投入,今在何方?我们国内第一大IT企业联想集团的ERP用得如何?用公道话来说,最多算实施没有失败。但何时才能回本? 临临种种的高级网管系统,其实是谁在管谁啊?我现在每次见企业高层,第一件事就是挨骂。先是CEO骂,然后是CFO接着训话。但好处是,我终于清醒了。IT是用来支持企业运作的,不是夸夸其谈,也不是用来骗钱的工具。我们来看一下一个关于中国所谓顶级IT认证的数字:
CCIE : 959 人
CISSP: 90人
CISA: 200人

CCIE曾是世界通用的顶级证书,在中国以前证书持有者年薪25-30万没问题(如今大甩买,5折起,可批量供应)。也就是说在国内已经泛难成灾,形如一张废纸了。CCIE的今天,有没有可能就是CISA的明天呢?

在雇主日益清醒,IT证书价值不断降低的趋势下,您手捧一张CISA证书,您能还希望得到什么?所以,若以镀金的态度去应付CISA,您以后会很痛苦的。

第二, 国内,国外CISA的工作有别,在中国大陆CISA要被真正使用可能还有3-5年。正如前面讲过的,国外的CISA,特别是北美的CISA在企业或政府机构中确实是很重要的职位。因为他们的企业已经运作了一两百年了,已经吃过太多的亏。他们明白核心业务对IT的依赖性和IS的脆弱性,他们懂得Auditor对企业的回报在哪里。国内则不然,很多企业、政府部门连企业内控、内审都不完善,那基于企业运营的信息系统的审计何从谈起?号称中国效益最好,管理理念最新的广东移动(GMCC),本月客服系统严重出错,就连办一个最简单的话费缴纳都要等候两小时。若平时真有个商业可持续发展规划/灾难恢复规划以及信息系统审计,那还至于事故发生后10个工作日都没法解决问题吗?所以,坦白地说,您今天投资学习CISA,是为明天作准备,您的投资回报可能在3-5年开始收成。

哪中国的CISA们能不能做些事情呢? 我个人觉得,
首先,我们可以加倍努力地学习与IT相关的企业核心业务知识、内部控制以及财务知识,与企业的管理层拉近关系。真正令IT成为企业成长的助推器。

其次,中国的CISA们联合起来,成立ISACA中国分部。集思广益,群策群力,共同加速信息系统审计在中国本土化的进程。

路漫漫而修远兮,您愿意并肩同行吗?
 楼主| 发表于 2007-9-30 06:45:07 | 显示全部楼层
 楼主| 发表于 2007-10-17 06:43:09 | 显示全部楼层
发表于 2009-5-20 22:00:27 | 显示全部楼层
嗯,中国要想实施起来,估计得几年后了,而且可能还需要像国外一样有法律法规的推动才行。
发表于 2009-10-24 13:00:48 | 显示全部楼层

热电偶

说的很好!  支持一下.


热电偶
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-22 06:05 , Processed in 0.370580 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表