CISA 시험 출제 영역

CISA 시험의 출제 영역은 총 5개 도메인이다.

5개 출제 영역은 사실상 CISA가 수행하는 5개 직무 수행 영역(job practice area)이기도 한다.

ISACA는 주기적으로 CISA 자격증 보유자들의 직무 수행 현황을 조사하여 5년마다 CISA 시험의 출제 영역과 영역별 출제 비중을 결정한다.

CISA 시험은 2015년까지는 200문제가 출제되었다.

하지만 2016년부터는 150문만 출제된다.

시험의 특징은 다음과 같다.

• 출제 형식: 4지 선다형 객관식
• 응시 시간: 4시간
• 출제 문항: 150문제
• 시험 점수: 200점 ~ 800점
• 합격 점수: 450점 이상

2016년부터 2020년까지 적용되는 도메인 구성과 출제비중, 도메인별 직무 내용과 관련 지식 요소는 다음과 같다.

도메인 1 - IS 감사 프로세스 (출제 비중: 21%)

1) 직무 목적

IS 감사 기준에 맞게 감사 서비스를 제공하여 조직의 IS 보호 및 통제를 지원한다.

2) 직무 내용

- IS 감사 기준 및 위험 기반 감사 전략에 따라 핵심 위험 영역에 대한 감사가 수행되게 한다.

- IS가 보호되고 통제되며 조직에 가치를 제공하는지에 관한 세부적 감사를 기획한다.

- IS 감사 기준에 따라 감사를 수행하고 계획된 감사 목적을 달성한다.

- 회의와 감사 보고를 통해 핵심 이해 관계자들에게 감사 결과를 전달하고 필요한 권고를 한다.

- 경영진이 시기 적절하게 필요한 조치를 취했는지 판단하기 위해 후속 감사를 수행한다.

3) 관련 지식 요소

내부 통제, IT 통제 모형, 감사 위험 모형, 위험 기반 감사 계획 수립 기법, 감사 절차, 감사 샘플링, CAAT(감사 자동화 도구), CSA(자가 통제 평가), 증거 수집 기법, 보고 및 전달 방법, 후속 감사, ISACA 직무 윤리 규정, ISACA 감사 및 보증 표준, 감사 품질 보증, 다른 감사인 또는 통제 실체의 작업 결과 평가

도메인 2 - IT 거버넌스 및 관리 (출제 비중: 16%)

1) 직무 목적

조직의 목적을 달성하고 전략을 지원하는 데 필요한 리더십, 조직 구조 및 프로세스가 존재한다는 보증을 제공한다.

2) 직무 내용

- IT 전략이 조직의 전략과 연계되는지 평가한다.

- IT 거버넌스 구조의 효과성을 평가한다.

- IT 위험 관리 실무의 효과성을 평가한다.

- 조직의 IT 정책/표준/절차가 IT 전략을 지원하고 관련 법규를 준수하는지 평가한다.

- IT 자원 관리가 조직의 전략 및 목적과 연계되는지 평가한다.

- IT 포트폴리오 관리가 조직의 전략 및 목적과 연계되는지 평가한다.

- IT 조직 구조 및 인적 자원 관리(인사 관리)가 조직의 전략과 목적을 지원하는지 평가한다.

- IT 관리와 통제 감시가 조직의 정책, 표준, 절차를 준수하는지 평가한다.

- IT 성과 정보가 경영진에게 충분하고 시기 적절하게 전달되는지 평가한다.

- 조직이 IT 장해 기간 중에도 핵심 비즈니스 운영을 지속할 수 있는지 평가한다.

3) 관련 지식 요소

IT 거버넌스/관리/보안/통제 프레임워크, IT 방향 및 장기 목적 설정, 전략/정책/절차 수립, ERM(전사적 위험 관리), 인사 관리, 직무 분리, 아웃소싱, 품질 관리, 성과 관리, BIA(비즈니스 영향 평가), BCP(비즈니스 연속성 계획), IT DRP(재해 복구 계획), 역량 및 성숙도 모델, 프로세스 최적화 기법, IT 자원 투자 및 배분 실무

도메인 3 - IS 획득, 개발 및 구현 (출제 비중: 18%)

1) 직무 목적

IS를 획득, 개발, 테스트 및 구현하는 실무가 조직의 전략과 목적을 만족한다는 보증을 제공한다.

2) 직무 내용

- 검토 중인 IT 투자의 비즈니스 케이스가 비즈니스 목적을 만족하는지 평가한다.

- IT 공급자 선정 및 계약 관리 프로세스의 효과성을 평가한다.

- 프로젝트 관리 프레임워크 및 통제의 효과성을 평가한다.

- 프로젝트 전체 기간에 조직의 정책/표준/절차/법규 등이 준수되는지 평가한다.

- IS의 구현 및 이관의 준비 상태를 평가하고, 구현 후 검토를 수행한다. 

3) 관련 지식 요소

편익 실현 실무, 프로젝트 거버넌스 메커니즘, 프로젝트 관리, 응용 개발 방법론, CASE 도구, 업무 프로세스 재설계(BPR), 응용 통제, 애자일 개발 기법, RAD(민첩 응용 개발), 객체 지향 개발 방법론, 요구 사항 분석 및 관리, IS 개발 수명 주기, 프로젝트 성공 기준 및 프로젝트 위험, 변경 및 형상 관리, 구현 후 검토

도메인 4 - IS 운영, 유지 및 서비스 관리 (출제 비중: 20%)

1) 직무 목적

IS 운영, 유지 및 서비스 관리를 위한 프로세스가 조직의 전략 및 목적을 만족한다는 보증을 제공한다.

2) 직무 내용

- IT 서비스 관리 프레임워크와 실무의 효과성을 평가한다.

- IS가 조직의 목적을 지속적으로 만족하는지 검토한다.

- IT 운영이 효과적으로 통제되며 조직의 목적을 지속적으로 지원하는지 평가한다.

- IT 유지 보수가 효과적으로 통제되며 조직의 목적을 지속적으로 지원하는지 평가한다.

- DB 관리 실무가 DB의 무결성과 최적화를 달성하는지 평가한다.

- 데이터 품질 및 수명 주기 관리의 효과성을 평가한다.

- 문제 및 사고 관리의 효과성을 평가한다.

- 각종 시스템 변경과 배포과 적절히 통제되고 문서화되는지 평가한다.

- EUC(최종 사용자 컴퓨팅)가 효과적으로 통제되고 조직의 목적을 지원하는지 평가한다.

- IT 백업/복구 실무가 효과적으로 통제되고 조직의 목적을 지속적으로 지원하는지 평가한다.

3) 관련 지식 요소

서비스 관리 프레임워크, 제삼자 성과 관리, IT 운영 관리, IT 유지 보수 관리, 하드웨어와 소프트웨어 기술, 컴퓨터 기술, 네트워크 및 통신 기술, 백업 및 복구 방안, EA(기업 아키텍처), 시스템 회복 능력, IT 자산 관리, 작업 일정 수립, 용량 계획, 데이터베이스 관리 및 최적화, 데이터 품질 관리, 사고 대응, EUC(최종 사용자 컴퓨팅)

도메인 5 - 정보 자산의 보호 (출제 비중: 23%)

1) 직무 목적

조직의 정책, 표준, 절차, 통제가 정보 자산의 기밀성, 무결성, 가용성을 보장한다는 보증을 제공한다.

2) 직무 내용

- IS 및 프라이버시 관련 정책, 표준, 절차의 완전성과 적정성을 평가한다.

- 물리적 및 환경적 통제를 통해 정보 자산이 적절히 보호되는지 평가한다.

- 시스템 및 논리적 보안 통제를 통해 정보의 기밀성, 무결성, 가용성이 유지되는지 평가한다.

- 데이터 분류 프로세스와 절차가 내외부 규정 및 요구 사항을 준수하는지 평가한다.

- 정보 자산이 보관, 검색, 전송 및 폐기 과정에서 적절히 보호되는지 평가한다.

- 정보 보안 프로그램의 효과성 및 관련 기준의 준수 여부를 평가한다.

3) 관련 지식 요소

정보 보안의 목적, 프라이버시 원칙, 데이터 분류 표준, 기밀 정보 수명 주기 관리, 물리적 및 환경적 통제, 논리적 접근 통제, 시스템 가상화 통제, 모바일 기기 보안, 인적 보안, 접근 통제(식별/인증), 네트워크 보안, 암호화, PKI(공개키 기반 구조), 사회 공학, 저작권, UPS, 컴퓨터 포렌식, 증거의 보관 사슬, 부정 위험 요소, 보안 테스트 기법, 보안 인식 프로그램, 네트워크 관련 위험