对CISA考试的整体评价

对CISA考试的整体评价

考研，CPA，司法（法考），考博，雅思，乃至国考，央选，省考，考银行、央企国企等，我都参加过，有成功，也有成败，积累了一些经验，对各类考试侧重的考察领域，备考时的方法选择等，有一些自己的体会。

从我个人的复习时间长度和付出的精力来看，这个考试确实并不难，就如多数人说的，无法和 CPA、司法相提并论。 但我想说，这个考试不可小觑（不仅因为折合5000 RMB左右的报名费^_^）。期初，我刚开始看书（19年11月份），做了一些第一章的题目，觉得这个考试很一般，简单背背就可以了。但当我真正在3月底开始刷题备考的时候，开始觉得CISA与CPA这些考试是对等的，各有各的难点。

正如前述，CISA备考看教材几乎没有什么用处，这看似值得考生高兴，可以不用看整整一本教材，直接刷题就可以了，但实则不然。

因为，无论考研、CPA，还是法考，这些考试除了必须要记忆一些知识外，我们主要是通过学习到的知识点去解题。备考过程中，我们做题是为了通过题目去理解并巩固知识点；掌握知识点之后，再经过练几个题目的熟练，那么不需要再去记任何题目，因为可以用知识点去做题，手里有这把屠龙刀。

然而，CISA考试知识点都是散的，往往就是一个又一个的概念。当然也有一小部分知识有较强逻辑关系，如“数字签名中使用哈希函数生成摘要保证完整性，以及用发送者私钥对摘要进行加密保证不可否认性；为了保证信息的机密性，可以用对称私钥先对信息进行加密，然后再用接收者公钥对秘钥进行加密”，像这些题目，需要先把这一块的原理理解掌握了，然后，对于考试给的题目，可以根据情景，就能做出答案了。但这种类型的题目及对应的知识在CISA考试中占的比例不大，感觉不超过15道题。（因为CISA涉及的知识点很多，纵使很重要的知识点也不可能在150道题里多次考察）。

再一种是比较浅的逻辑关系，就是这些选项往往是IT审计过程中，审计师关注比较多的，在选项中出现的话，选它们对的概率比较大。不过这也是基于对概念的背诵，比如“最终用户”、“业务影响”、“业务目标”、“业务战略”、“业务案例”、“数据完整性”、“风险评估”、“识别资产”、“数据分类”、“审计条款”、“法律规定”、“生命安全”等等。看到这些选项选的几率更大一些，但往往其他3个选项里有1~2个很难排除，因为感觉都对。

再有一些题目就是直接背过，正确答案是惟一的。比如:防火墙漏洞容易遭受网络钓鱼；降低网络钓鱼风险的合适方法是安全教训培训；审计师进行安全教训培训不影响独立性；可用性最强（容错率）最好的网络拓扑结构是网状；受单点故障影响最小的网络拓扑结构是总线型；使得IT目标和业务目标一致的是IT 平衡计分卡（BSC）；检测欺诈最合适的测试方法是发现抽样；内控强，则置信系数小，样本小”等等。

最后，由于CISA考试的官方题库是不断变化，会出现一些新题目，而之前我们自己的练习题目覆盖不到，可能真的是做不出来，因为题目里提到的东西可能我们学习的时候根本就没接触过，比如“数据库的记录按钮是用于做什么的？ 防止黑客攻击的最好的防火墙类型是什么？”

所以这个考试，让人感觉很慌，不知道自己学的够不够。说实话，考试的时候，能和最近已经参加考试的考生问一些他们还记得的题目，对我们的考试帮助是挺大的。