公認情報システム監査人

（CISA（Certified Information Systems Auditor））

情報システムの監査及び、セキュリティ、コントロールに関する高度な知識、技能と経験を有するプロフェッショナル。企業などの情報システムの監査業務や情報システムの企画・開発・運用業務の管理を担当し、情報システムのリスクマネジメントについて経営幹部に助言を行う専門家資格です。米国の金融機関では企業内にCISAを置くことが半ば常識であり、日本でも外資系金融機関を中心にニーズが高まっています。

この国際資格の認定は、情報システムコントロール協会（ISACA）が行っています。認定を受けるためには以下の条件が必要：

　　　－CISA試験に合格すること

　　　－最低5年の実務経験を有すること

　　　－ISACAが制定している「職務倫理規定」を遵守すること

試験の合格基準は正解数をスケールドスコアに変換して75以上が合格。英語，日本語など9カ国語で受験できる。

情報システム監査人

CISA（洋書）

多岐選択方式で200問が出題されます。これを4時間で答えなければならない為、1問にかけられる時間は約1分。かなりのスピードが要求されることから、出題内容に対する理解とともに、出題形式に慣れることが必要です。

<プロセス・ベースの領域>
- IS監査プロセス(10％)
組織のITおよび業務システムが適切にコントロール、モニター、評価されていることを確認するため、一般に受け入れられたIS監査標準やガイドラインに従ってIS監査を行うプロセスを評価します。

<内容領域>
- ISの管理、計画および組織(11％)
ISの管理、計画、組織に関わる戦略、ポリシー、スタンダード、手続、および関連する実践内容を評価します。

- 技術インフラとオペレーションの実践(13％)
組織の技術上、運営上のインフラが適切に組織の業務目的をサポートすることを確認するため、その導入および継続的管理の効果と効率を評価します。

- 情報資産の保護(25％)
情報資産が許可無しに使用、開示、変更されたり、損傷、損失を受けないように保護するための組織上の業務要件を満たすことを確認するため、論理的、環境上の、およびITインフラ関連のセキュリティを評価します。

- 災害復旧と業務継続(10％)
災害時の業務オペレーションと情報処理の継続に関する文書化され、伝達され、テストされた計画を策定し維持するためのプロセスを評価します。

- 業務アプリケーション・システム開発、購入(取得)、実施、保守(16％)
組織の業務目的を満たすことを確認するため、業務アプリケーション・システム開発、購入、導入、保守の方法論とプロセスについて評価します。

- 業務プロセス評価およびリスク管理(15％)
リスクが組織の業務目的に従って管理されることを確認するため、業務システムとプロセスについて評価します。

備考：

カッコ内は、設問数のパーセント率を示します。
問題はランダムに出題されます。

ティーエムエス, 日本システム監査人協会, 日本セキュリティ監査協会

システム監査・情報セキュリティ監査ハンドブック

日本システム監査人協会

情報セキュリティアドミニストレータ短期合格テキスト

日本システム監査人協会

情報システム監査実践マニュアル

EDP Auditors Foundat, EDP監査人協会東京支部

情報システム管理ガイド

バリー・J. ウィルキンス, 渡部 一元, 富山 茂, 宇佐美 博

システム監査人のための情報セキュリティ入門

日本システム監査人協会

情報セキュリティアドミニストレータ短期合格テキスト〈2003年版〉

以下３つの条件を全て満たす必要があります。

１．CISA試験に合格すること

２．所定の実務経験を持っていること
最低5年間の情報システム監査、コントロール（管理）、セキュリティ分野のいずれかの実務経験を証明する経歴証明を提出すること。但し、以下のような経験により、この5年間の実務経験の一部を代替することが可能です。

・最大１年の情報システムのオペレーション、あるいはプログラミング経験、あるいは１年の会計監査経験は、１年の情報システム監査、コントロール、セキュリティ分野の経験として代替することができます。

・短大あるいは4年生大学の学位（60～120の学期単位時間相当）は、それぞれ1年あるいは2年の情報システム監査、コントロール、セキュリティ分野の経験として代替することができます。

・関連分野（例えばコンピュータ科学、会計学、情報システム監査）のフルタイムの大学教員としての経験は、経験年数２年を１年の情報システム監査、コントロール、セキュリティ分野の経験として代替することができます。

これらの実務経験は、認定申請日からさかのぼって10年以内、あるいは最初に試験に合格した日から５年以内の経験に限ります。もし、認定申請が試験日から５年以内に提出されなければ、試験を再度受験し合格する必要があります。すべての経験は、雇用主の個別の確認が必要になります。

３．当協会制定の「職務倫理規定」を遵守すること

情報システムコントロール協会（The Information Systems Audit and Control Association, Inc.）の職業倫理規定は、協会の会員やＣＩＳＡ（公認情報システム監査人）に対して、専門家および個人としての行為のガイドラインを提供しています。倫理規定によれば、協会の会員やＣＩＳＡは、次のように行動すべきとなっています。

情報システムの適切な基準、手続きおよびコントロールの導入を支援し、これらの遵守に努めること。
関係当事者の利益のために、精励、忠実、且つ誠実に奉仕し、故意に不法・不当な活動を行う当事者とならないこと。
情報の開示が法的権威により求められる場合を除き、業務遂行上知り得た秘密および機密情報を守ること。このような情報を個人の利益のために使用したり、不適切な相手に開示しないこと。
独立した客観的な態度で業務を遂行すること。独立性又は客観性を損なう、或いは損なうとみられるおそれのある行動をとらないこと。
監査および情報システムコントロールの個々の分野における適格能力を維持すること。
専門能力を用いることにより成し遂げられることが当然期待できる活動のみを引き受けること。
職業的専門家として正当な注意を払って職務を遂行すること。
実施された情報システム監査やコントロール作業の結果を適切な関係者に報告すること。この報告においては、開示しないと作業報告を曲解させるか、或いは不法な行為を隠蔽することになりうる全ての物的証拠を示すこと。
顧客、同僚、一般公衆、経営者、並びに取締役会に対して、情報システム監査およびコントロールに関する理解を深める教育を支援すること。
行為および人格について高い品位を維持し、専門家としての信用を傷つけるような行為に関与しないこと。

CISAには継続教育制度（CEP：Continuing Education Program）があり、資格を継続するために毎年一定時間の教育訓練受講などが義務付けられています。ISACA国際本部主催の会議や支部活動などに参加すれば、継続教育活動として認められます。

情報システム監査人

CISA（洋書）

私が2004年にCISA試験合格したときの試験攻略方を紹介します。

１．ひたすらサンプル問題を解く
サンプル問題とまるっきり同じ問題は出ないが、同じ趣旨の問題は多くでる。何回もサンプル問題をやっているとそのうち答えの番号を覚えてしまって問題を解く意味がなくなってしまうので、選択肢を見なくても答えられる領域にもっていく。

２．集中力を鍛える
CISAの試験時間は４時間もあり試験問題も２００問もある。試験管の許可をとり途中トイレに行くことは可能であるが、ほとんどぶっ通しである。まずその長い時間集中していられるようトレーニングが必要。トレーニングの仕方としては、試験日が近くなったら２００問を４時間で解く練習をひたすらする。初めのうちは辛いが、そのうち必ず慣れてくる。ちなみに私は試験日の前日は仕事を休んで朝から晩までひたすら問題を解いていた。

３．理解が弱い所だけレビューマニュアルを読む
レビューマニュアルはかなりボリュームがある。さらっと全部読んでしまう人もいるだろうが、凡人は途中で挫折する（私も凡人でした）。よって、理解が弱い所だけレビューマニュアルを読む。