全球 IT 审计岗位最硬的一张证 — Big 4 审计和银行合规几乎把它当准入门槛,但你得先有 5 年审计经验。
这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
Certified Information Systems Auditor(CISA)是 ISACA 从 1978 年就开始颁发的 IT 审计认证,迄今全球累计持证人数超过 15 万,是所有 IT 审计类认证里历史最长、雇主认可度最高的一张,也是 ANSI 按 ISO/IEC 17024 标准官方背书的审计专业认证。
CISA 不是"考过就能拿"的证。它有三道门槛:
门槛一:5 年专业审计经验(硬性资格)
ISACA 要求考生在 信息系统审计、控制、保障或安全 相关领域累计 5 年带薪全职工作经验。可以用学历替代一部分:4 年制本科可抵 2 年,硕士抵 1 年,另外持有相关证书(如 CISM、CIA、CPA)也可抵 1 年。最低实际要求是 3 年。没经验的人可以先考试、5 年内补齐经验再申请认证 — 考试成绩 5 年内有效。
门槛二:150 题 / 4 小时 / 450 分通过
CISA 是传统的线性考试(不是 CAT 自适应)— 150 道选择题,4 小时,200-800 分制,450 分通过。看似分数线不高,但 ISACA 的评分是 scaled score,不是原始百分比,实际原始正确率需要在 70%-75% 左右才能过线。考试可以在 PSI 考试中心或远程在线监考进行。
门槛三:费用与续证成本
报名费 ISACA 会员 $575 USD / 非会员 $760 USD(会员年费 $135,考生通常会先入会省钱)。考过之后每年要攒 至少 20 个 CPE、3 年累计 120 个 CPE,外加每年 $45(会员)/ $85(非会员)AMF 维护费。断了就失效。
5 大考试领域(2024 年新版考纲权重)
- Protection of Information Assets — 27%(信息资产保护,最重)
- Information Systems Operations and Business Resilience — 23%(运营与业务韧性,含 BCP/DRP)
- Information Systems Auditing Process — 21%(审计流程,ISACA 审计标准)
- Governance and Management of IT — 17%(IT 治理与 COBIT)
- Information Systems Acquisition, Development and Implementation — 12%(SDLC 审计,权重最低)
注意:27% + 23% = 一半考题集中在资产保护和运营韧性。很多人按旧考纲把重点放在"审计流程"上,结果吃大亏。
你会反复碰到的核心服务
学完以后你能带走什么
- 获得 ISACA CISA 官方认证
- 掌握 CISA 考试核心知识和技能
- 提升专业领域竞争力
考试详情
适合谁考
适合人群
- 希望获得 ISACA CISA 认证的 IT 专业人员
- 网络工程师和系统管理员
- 希望提升专业技能的 IT 从业者
- 计算机科学/网络工程专业学生
开始前最好先有
- 了解基本的网络安全概念
- 有相关领域的工作经验
- 建议先通过相关入门级认证
值不值得考?职业价值
ISACA CISA 持证人的薪资区间、对应岗位、以及真实的职业影响。
CISA 是 IT 审计这条赛道的默认证书
如果你要进 Deloitte / PwC / EY / KPMG 的 Risk Advisory 或 IT Audit & Assurance 部门,CISA 几乎是 senior consultant 升 manager 的硬要求。Big 4 内部的 IT audit 团队在讨论晋升时会直接看你有没有 CISA — 没有就卡在 senior 级别不动。这不是夸张,这是 Big 4 HR 系统里直接写进 promotion criteria 的。
真实薪资数据(2026)
根据 StationX、ZipRecruiter 和 ISACA 官方 2024 Pay Index 综合:
| 地区 | CISA 持证人中位年薪 | 金融/Big4 溢价 | |------|---------------------|----------------| | 美国 | USD 108,000–149,000 | Big 4 / 银行 +15-25% | | 澳洲 | AUD 135,000 | 四大行 + 政府 +20% | | 英国 | GBP 65,000 | 伦敦金融城 +25% | | 新加坡 | SGD 110,000 | MAS 监管机构 +20% |
ISACA 官方 Pay Index 给出的全球平均是 USD 149,000+,这个数字偏高是因为统计样本集中在有 5 年以上经验的持证人;ZipRecruiter 和 Payscale 给出的市场中位数在 USD 108k-110k 之间,更接近中级 IT auditor 的实际水平。
三类岗位最值得考 CISA
- Big 4 IT Audit / Risk Advisory — Deloitte、PwC、EY、KPMG 的 Cyber Risk 或 Internal Audit 部门,CISA 是晋升硬通货,不考就只能一直做 senior consultant。
- 大型银行 / 保险 / 监管行业内审 — 四大行、汇丰、AXA、AIA 这类机构的 Internal Audit department,IT auditor 岗几乎 100% 要求或强烈偏好 CISA。澳洲 APRA CPS 230 出台后,这条赛道的需求在 2025-2026 年明显上涨。
- 政府 / 公共部门 IT 审计岗 — 澳洲 ANAO(Australian National Audit Office)、美国 GAO、香港审计署、新加坡 AGD 的 IT audit 岗位都明确把 CISA 列为 preferred 或 required。政府合同的 IT audit 外包项目也会看团队里有几张 CISA 来决定 billing rate。
最适合考 CISA 的人:
- ✅ Big 4 做 IT audit 3-5 年的 senior consultant:你已经有经验,考 CISA 就是拿 manager 升职券。ROI 最高。
- ✅ 财务审计(CPA / ACCA)想转 IT 审计:你已经懂审计流程和职业怀疑精神,CISA 教你如何把这套方法论应用到 IT 系统上。Fishbowl 上经常能看到 Big 4 CPA 转 IT audit 的讨论,CISA 是最短路径。
- ✅ 银行 / 保险内审部门的内部转岗:从财务内审转 IT 内审,CISA 是官方认可凭证。
- ✅ 合规 / GRC 方向的分析师:SOX 402 IT General Controls 测试、COBIT 框架评估都是 CISA 的核心内容。
不适合考 CISA 的人:
- ❌ 纯技术路线的安全工程师 / SOC analyst / 渗透测试:CISA 对 hands-on 技术几乎没加成,CISSP / OSCP 更对口。
- ❌ 想做 CISO 或安全架构师:这条路 CISSP 比 CISA 含金量高,CISA 和 CISSP 有 40% 内容重叠但定位完全不同 — CISA 是"检查别人有没有做对",CISSP 是"设计怎么做对"。
- ❌ 工作经验不足 3 年的应届生:可以先考 ISACA 的 ITCA(IT 基础)或 CompTIA Security+ 建立基础。CISA 硬考过了也要等 5 年内补够经验才能拿证。
- ❌ 不愿意每年攒 20 CPE + 交 $45-85 AMF 的人:这是终身成本。
备考节奏
有 AWS 实操经验
零基础切入
建议日投入
学习路径预览
9 章分阶段备考路径
过来人总结的分阶段备考节奏,按周拆分,不是空话。
第一阶段:通读 ISACA CISA Review Manual(4-6 周)
CISA 的官方教材是 **ISACA CISA Review Manual (CRM)**,27 版起对应 2024 新考纲。这本书是 ISACA 自己编的,所有考题的"标准答案"都从这里来 — 不读这本书纯刷题几乎不可能过。重点读 Domain 5(Protection of Information Assets)和 Domain 4(IS Operations & Resilience),这两章合计占考试 50%。每章末尾有 Knowledge Check 习题,正确率 70% 以下就回去重读。官方同时出 **CISA Review Questions, Answers & Explanations (QAE) 数据库**,1000+ 道题加解析,这是本阶段必备的刷题工具。
第二阶段:按领域刷 QAE 题库 + 弱项回炉(3-4 周)
**QAE** 是 ISACA 官方出的题库,也是最接近真考风格的题库。每天 50-80 题,按 5 个 domain 分类刷 — 哪个 domain 低于 70% 就回去重读 CRM 对应章节。重点训练"审计思维":CISA 的题几乎每道都在问 "作为审计师,你应该首先做什么 / 最关心什么 / 最需要记录什么"。正确答案永远是"按照审计准则、收集充分适当的证据、独立客观地评估" — 而不是"立刻修复漏洞 / 通知 IT 部门"。这个思维转换是通过的关键。
第三阶段:COBIT + 审计准则专项(2 周)
**COBIT 2019** 框架是 Domain 2(IT Governance)的核心,几乎每场考试都会出 5-10 道直接考 COBIT 组件、原则、目标级联(goals cascade)的题。把 COBIT 的 5 个原则、7 个使能器(enablers)、40 个 governance and management objectives 背熟。同时把 **ISACA IS Audit Standards**(1001-1207 系列)过一遍,了解每个标准的适用场景。这一阶段还要把 **BCP vs DRP、RTO vs RPO、热站/温站/冷站** 这些高频概念用表格整理清楚 — 每场考试至少 5-8 道题直接考这些对比。
第四阶段:全真模考冲刺(最后 2 周)
用 QAE 的 exam mode 或第三方题库(如 Pocket Prep、Gleim)做 **至少 3 套 150 题 / 4 小时全真模考**,稳定在 75% 原始正确率以上再去约考。模考最大的价值不是分数,而是训练 **4 小时的专注力** — CISA 是线性考试,没有 CAT 那种"突然结束"的怜悯,你必须硬扛 240 分钟。考前 3 天停做新题,复习错题本,背关键数字(COBIT 的 5 原则、ISACA 标准编号、AES/RSA 密钥长度、常见 RTO/RPO 级别)。考前一晚正常作息 — 熬夜刷题的人第二天下午 2 点就开始脑子糊。
通过者的真实经验
过来人的备考时长、分数、以及踩过的坑。
我本来做 financial audit 3 年,想转 IT audit 跟我们 Cyber Risk 组。组长直接说"先把 CISA 考下来我再跟 partner 谈"。我完全没 IT 背景,CRM 读了两遍,第一遍几乎没懂,第二遍才开窍。最难的是 Domain 5 Protection of Information Assets — 加密、防火墙、IAM 这些概念对财务背景的人完全陌生。QAE 刷了 3 遍,最后一周做模考稳定 72%-76%。考试当天 4 小时体力真的扛不住,最后 20 题脑子已经糊了全靠审计直觉选。过了之后直接从 senior consultant 升 manager,加薪约 18%。
我在银行内审部做了 7 年,前 5 年做财务内审,最近 2 年转 IT 内审。CISA 对我来说资格没问题,难的是英文题干 — 日本人读 150 道英文长题 4 小时真的要命。我申请了 ESL +30 分钟加时,强烈推荐母语非英语的人都申请这个,免费的。备考策略是 CRM 精读 + QAE 刷满 3 遍。最大的坑是 **证据类型题** — ISACA 对"充分(sufficient)"和"适当(appropriate)"的定义跟财务审计几乎一样但措辞不同,做题时一定要按 ISACA 的措辞选,不能凭 CPA 经验。
ANAO 给所有 IT audit 岗位报销 CISA 考试费。我是从商业 IT 咨询转政府内审,有 6 年经验。备考时我踩的最大的坑是 **忽略了 BCP 和 DRP 的区别** — 早期做题总是把两者混为一谈。BCP 是业务层面的整体计划(包括人员、办公场所、供应链),DRP 只是 BCP 下面 IT 那一块的恢复计划。这个概念 CISA 至少考 3-5 道题,每次混淆就丢一题。另一个坑是 **职责分离(Segregation of Duties)** 的考法 — CISA 的标准答案永远是"谁都不能同时做授权 + 执行 + 记录 + 审核"这四件事中的任何两件。记住这个原则做题基本不会错。
同赛道认证对比
| ISACA CISA | CISSP | ISACA CISM | |
|---|---|---|---|
| 机构 | 其他 | 其他 | 其他 |
| 级别 | 专业级 | 大师级 | 专业级 |
| 考试费 | $575 | $749 | $575 |
| 时长 | 120 min | 180 min | 120 min |
| 题量 | 150 | 150 | 150 |
| 有效期 | 3 年 | 3 年 | 3 年 |
备考技巧与常见失误
**报名时申请 ESL +30 分钟加时**:母语非英语的考生可以在 ISACA 官网报名时勾选 ESL accommodation,免费多 30 分钟(从 240 分钟变 270 分钟)。CISA 的题干普遍偏长且拗口,这半小时对非英语母语考生至关重要。
**考试时按比例分配时间**:240 分钟 / 150 题 = 每题平均 96 秒。设定"第一遍 2 小时过 100 题,剩下 80 分钟处理 50 题 + 回头看 mark 的题"的节奏。超过 2 分钟还没思路就先 mark 跳过,不要死磕。
**关键词敏感**:看到 FIRST / PRIMARY / MOST → 选最关键/最优先的那一个;看到 BEST → 选最符合审计准则的;看到 EXCEPT / LEAST → 找不属于的那个;看到 "auditor's PRIMARY concern" → 通常选涉及独立性、证据充分性或重大错报风险的选项。
**永远选"按流程 / 按准则 / 通知管理层"的选项**:CISA 的思维里,审计师不是救火员。看到 "implement the fix immediately"、"investigate yourself"、"shut down the system" 几乎都是错的。正确答案通常是 "report to management"、"document the finding"、"refer to audit charter"。
**COBIT 组件必背**:COBIT 2019 的 **5 个原则、7 个使能器、40 个 governance/management objectives** 是送分题。每场至少 3-5 道直接考这些概念。
**加密算法数字背熟**:AES 128/192/256 位,RSA 最小 2048 位,SHA-256 输出 256 位,Kerberos 使用对称加密 + KDC。这些是选择题陷阱高发区。
**考前一周停止熬夜**:CISA 是线性 4 小时线性考试,不像 CAT 可能提前结束。体力储备比临时抱佛脚重要。考前一晚不要再刷新题,只看错题本。
**过了以后 5 年内申请认证**:考过 CISA 考试后成绩 5 年有效,如果你经验还没满 5 年,可以先把考试过了再慢慢补经验,最后提交 Application for Certification 找 CISA 持证人签字背书即可。
**把"审计(audit)"和"评估(assessment)"搞混** — CISA 里审计是**独立、客观、按既定准则**的检查;评估可以是管理层自己做的、非正式的检查。题目里出现 "independent review" 几乎一定指审计,而 "risk assessment" 通常是管理层职责。认错一词可能丢 3-5 道题。
**把"审计发现(finding)"和"证据(evidence)"搞混** — Finding 是审计师对证据的专业判断结论,Evidence 是支持这个判断的原始材料(文档、日志、访谈记录、观察)。题目问 "what is the auditor's PRIMARY concern when reviewing X" 时,永远先想"我手上的证据是否 sufficient and appropriate",而不是"我发现了什么问题"。
**职责分离(Segregation of Duties)原则搞不清** — SoD 的核心是"授权 / 执行 / 记录 / 资产保管 / 审核"这 5 项关键职能不能同时由一个人掌握。CISA 特别爱考"某某同时做了 A 和 B 有没有 SoD 问题" — 授权 + 执行 = 有问题,授权 + 审核 = 有问题,记录 + 执行 = 有问题。背熟这个矩阵。
**BCP vs DRP 概念混淆** — BCP 是业务连续性计划,范围覆盖人员、流程、供应链、办公场所、IT;DRP 只是 BCP 里 IT 系统恢复那一部分,是 BCP 的子集。RTO(Recovery Time Objective)和 RPO(Recovery Point Objective)也要分清楚:RTO 是"多久能恢复",RPO 是"能丢多少数据"。这四个概念组合的题每场至少 5-8 道。
**只读 CRM 不刷 QAE** — CRM 是知识点,QAE 是考法。ISACA 的题目措辞和选项构造非常有特色(一道题 4 个选项经常"全都对",让你选"最对的"),不刷 QAE 就完全不适应这种题型。至少刷 2 遍。
**按旧考纲准备(2019 版以前)** — 2024 版考纲 Domain 5 权重从 25% 提到 27%,Domain 4 从 20% 提到 23%,Domain 3 从 18% 降到 12%。用旧资料备考的人会把精力放错地方。确认你用的 CRM 是 **27th edition 或更新版本**。
**考过了就不攒 CPE** — CISA 每年至少 20 CPE、3 年 120 CPE。很多人考过就放着不管,第三年才慌。设日历提醒,每个月参加 ISACA 本地 chapter 的线上 webinar(通常 1-2 个 CPE/次),全年基本能自动凑够。