近期在看CISA方面的一些资料，觉得CISA这个名称与现有的知识体系有些名不副实。
1、作为IT而言，其度量的维度其实可以有三个，即：安全、质量和经济。其中每个维度下面还可以进行具体细分。不过我也并不太赞同COBIT的维度划分方法。COBIT将其划分为三个维度：安全、质量和可靠。
2、就目前的CISA复习资料及考试而言，其关注的角度还是安全。因此，从覆盖的维度来看，其只覆盖了IT度量维度的一个部分。
3、另外，就目前的IT审计而言，基本上大家关注的层面只是安全，对于IT的质量评估及经济性评价方面，几乎毫无涉及。这固然囿于目前的管理技术发展，但是，这个似乎并不能够成为在CISA中不涉及的理由。
因此从这个角度来讲，CISA其实是名不副实的。
个人的一点见解，欢迎大家板砖。

看来大家对此并不关注啊？

CISA从IT的架构、开发、服务、资产管理、网络安全、业务连续性、灾难恢复方面都有要求，基本覆盖了IT管理的全部，我看还是蛮全面的，但是不是取得了CISA，就有审计的水准，就另当别论了。
我学完了CISA，觉得这里面涉及的该如何做一个审计，还是不得要领，没有系统的说说审计的方法。

Certification只是让你入门而已。

CRM(CISA Review Manual)的编写,是由ISACA组织世界各地的cisa集体撰写,所以在总体结构上,例如章节内各知识点的逻辑联系比较松散.

IT审计做的效果不好,有从业者的问题,也有客户的问题,如果客户的管理层对控制的效果只是嘴上关心,实质上不屑一顾,审计师写出的再深刻的报告也只会一种下场:收集尘土.

关于CISA的教材编排，确实存在一定问题，因为不同的编写者有着不同的语言体系以及认识上的侧重点。

针对易水兄提出的问题，我谈谈自己的看法：
1. 安全对于IT审计是很重要的，但不是全部。易水兄提到的三个维度我是赞成的，分别是安全、质量、经济。
安全不必多讲，我们看看剩下的两个：质量、经济

2. CISA中不断提到以下几个词，几乎在各个章节中都有提到（但是重点在第2、4两章）
Effectiveness，Efficiency，ROI，Cost，Capacity Management......

我想，我们可以将这几个词归类为质量、经济。

3. Cobit作为SOX遵循的核心控制框架，对在美上市企业来讲，存在很多强制性的内容，所以Cobit框架中，并没有直接提到“经济性”。

但是，Cobit框架的基础是：IT资源为IT过程所使用，达到IT控制目标，支撑组织业务目标。
所以，业务目标是IT管理的根本指导，并不是越安全越好，越严格越好。所以我认为，Cobit框架也是支持“适度安全”，“适度控制”的。

易水兄确实涉猎广泛，很是佩服！以上是我的一点愚见，欢迎讨论。

的确，诚如wen415兄所言，CISA对于审计的理论性的东西较少，建议大家如果有空可以看看IIA（国际内部审计协会）的Standards for the Professional Practice of the Internal Auditing(SPIIA)内部审计实务标准，该标准虽然是针对内部审计的，但是对于审计的流程及一些通用的注意事项还是适用于外部审计的。
大家有空可以找来读读。

至于说，是否入门倒是关系不大，其实很多的认证都只是入门级而已，呵呵，比如CISSP、CIA等等。
其实，我关注的问题是CISA考试的结构方面存在缺陷。

CISA作为认证信息系统审计师，其考试大纲确实有点名不符实，里面对于审计理论、审计方法涉及很少，只是在每章的末尾提一点东西，通过CISA，要想从事IT审计工作还是需要翻阅很多东西。ISACA也是出版了很多的标准、指引，最近出版的IT评价标准（ITAF-A Professional Practices.）建议大家研究一下。

只要你能解决问题并得到大家认可,

你可以不去拿证书

关键,你能解决问题么?能得到认可么?这是我们的目标,我想!!

CISA证书只是个形式，我觉得并不是目的。

我也在看CRM，同样觉得各章节之间的联系比较松散
更不应该的是，有的章节名称上是一回事，但部分内容又差异太大。比如第三章是说SDLC，但最后面又介绍一些电子商务、业务数据交换的东西；第四章从名称上看是说ITIL，但中间有大量篇幅在介绍计算机结构、操作系统等基础知识……
让我有点无所适从了

lion 兄CIA也过了，有空把研究的心得给大家讲讲啊。

我去年仔细看了一边CISA Review Manual, 并参加了考试，感觉CISA认证只是保证让我们具备的一些必要、基本的基础概念和意识吧。
在介绍知识点的时候，书上往往是拉一个很长的表单，列出几乎所有的类型要点，而其解释却是非常简单，让人看的很晕，

看来过了CISA，离一个真正的Auditor还很远，还需要勤于实践啊。