黑客一手审计师

:风险与信息系统控制认证

根据ISACA(信息系统审计和控制协会)的要求，该认证持有者对信息系统的风险非常熟悉，能够设计/实施解决方案。根据IT技能和薪资报告，这个认证的平均年薪是119227美元，对于那些对信息系统安全职位感兴趣的人来说，是一个很好的认证。

：注册信息安全管理师

CISM认证要求持有者非常熟练信息安全管理，该证书考核即管理、设计和评估特定组织的信息。这种认证有一些先决条件，如要先持有其他证书(例如，GIAC)。报告显示，该证书的持有者平均年薪118348美元。

：注册信息系统安全专家

CISSP认证是考核信息系统安全专业人员或来自(ISC)2的证书。与上述CRISC和CISM一样，这些证书承认在安全和风险管理以及软件开发安全方面的熟练程度。该证书持有者的平均年薪为110603美元。

：项目管理专业人士资格认证

PMP年薪平均为109405美元，项目管理协会(PMI)组织的PMP认证排名第4。PMP认证要求持有者能够理解项目管理的各种程序语言。

：注册信息系统审计师

CISA是另一个IASCA认证，CISA要求信息系统审核员具备必要的技能来评估系统并遵循最佳实践，以“支持信息系统的信任和价值”。CISA持有者的平均工资为106181美元。

：思科认证设计工程师

CCDA，思科的网络设计认证。考此证书需要先通过另一Cisco认证(如CCNP路由和交换或任何CCIE认证)，因为这是CCDA的要求。CCDA持有者的平均收入为99701美元。如果你有兴趣成为一名网络工程师，这个证书是该领域顶级认证。

：思科认证网络高级工程师

CCNP证书年平均工资为97038美元，位列最高薪证书排行榜第7位。这个认证对于具有至少一年网络经验的人来是很有用的证书，它证明持有者有实施和维护广域网络的能力，并且能够与专家一起研究解决方案。

：微软系统工程师认证

MCSE，微软公司提供的对于网络专业人员的微软系统工程师认证。MCSE是指被证明能够在用Microsoft Windows NT Server 和Microsoft Backoffice服务器产品家庭构建的广泛的计算环境中进行有效地规划、实现、维护和支持信息系统的合格人员。MCSE持有者的平均工资为96215美元/年。

v3 认证

自20世纪80年代中期英国商务部提出信息技术基础架构库(ITIL)以来，ITIL作为IT服务管理事实上的国际标准已经得到了全球几乎所有IT巨头的全力支持。IBM、惠普、微软、CAITIL、BMC、ASG等著名跨国公司作为ITIL的积极倡导者，基于ITIL分别推出了实施IT服务管理的软件和实施方案。ITIL大师级认证持有者年薪是95434美元。

：道德骇客(正派黑客)认证

对于希望专门从事“合法”黑客攻击的信息技术工作者来说，它是一个与供应商无关的(意思是它不与任何品牌有关)认证，使用与恶意黑客相同的知识和工具。要求持有者两年以上安全相关工作经验。CEH持有人的平均年薪为95155美元。

面对不同的审计，有不同的应对方法，但是，其中也有共同之处，我在这里简单的说一下，当然，不可能谈的很全面，要不然，我们的工作就更不好做了。首先，要有一个观念，那就是任何一家企业都会有问题，不要主观认为，自己的企业没有问题，可以经得起检查考验，问题只有数量大小不同，性质严重程度不同，但绝不是有没有的问题。既然有问题，那就要有一个好的态度，审计是对事不对人，但是，打交道的毕竟还是人，所以态度自然很重要。其实这也不难理解，有一个好的态度，气氛自然融洽，交流起来也好办。接待环境也很重要，大夏天的，在一个凉爽的环境中办公，心情自然不错。现在有的审计强调审计纪律，不吃水果，不吸烟，但是，绝对不代表企业就可以不准备，吃与不吃在于审计人员，是否准备则在于企业。另外，有的企业准备了，审计人员叫拿走，此时绝对不要实惠，真的拿走，随便找一个接口，就可以不拿走。如果是政府审计，办公室可以设在纪委，或者是审计部门，一般企业，那里什么有价值的资料都没有，要找资料要到财务部门或业务部门，如果条件允许，审计人员办公室离财务办公室越远越好，千万不要把审计人员办公室设在财务。如果条件允许，办公室装上宽带，审计人员可以上网，没事看看股票，聊聊天、审计效率自然不高。组织审计人员参观一下工厂企业（注意要参观没有问题的部分），大的企业一天都转不完。政府审计一般要求到食堂吃饭，企业不要天真的以为和自己员工一样，至少审计人员应该有一个单间吧？至于吃的，无论你上什么，只要不是海参鲍鱼，就说食堂吃的就是这个，一般都会没问题。材料准备，一般审计之前都要准备一些资料。材料自然要好好准备，但是，也不要十全十美。对于一些不容易出现问题的资料，比如营业执照等资料，可以复印好，装订好，叫人一看就准备的挺好。而对于一些数据，则可以打擦边球，填写的含糊一些，故意写的有矛盾，不是大毛病，但是，要有小毛病，审计看出毛病，让改就改，但是，改需要时间。任何审计都有时间要求，即便是政府审计说质量高于一切，但是，实际上还是有时间要求的。材料准备的慢，如果不是有大问题的线索，最后一般也只好不了了之。不要乱说话，不要以为自己什么都懂，尤其是接待人员，最好是不懂业务的，或者是新毕业的，对企业不了解，不论问什么，都不知道，这样就可以避免在谈话中透漏问题，现在的政府审计，特别重视“话聊”，就是找人谈话，谈着谈着，就会发现问题。所以，凡接触到审计人员的人，都不要乱说话。不要以为自己什么都知道，最好是什么都不知道。单位领导要时不时关心一下审计人员的生活问题，到审计办公室聊聊天，特别是政府审计，这一点特别重要，如果领导级别较高，一般陪聊的就是审计组长，如果和组长聊一天，那对审计效率的影响，不言而喻。不要以为审计人员都是财务出身，有的审计人员计算机特别好，可以达到黑客级别，所以，审计人员要求与财务联网看账的时候，那就要注意了，只要是和财务联网的计算机，必须清理一下，否则很容易被审计人员发现线索，成为导火线。

龚蔚（Goodwell）中国黑客教父，绿色兵团创始人，COG发起人。1999年，龚蔚率领黑客组织“绿色兵团”成立上海绿盟信息技术公司。计算机信息管理专业本科，注册审计师、CISP 认证讲师、ISO27001 审核员、CCIE 安全、CCNP。

CISA国际信息系统审计师CISA认证介绍国际信息系统审计师，是指一批专家级的人士，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。21世纪是信息化的时代，生产、交易和管理都离不开信息流和对信息流的管制，管理人员在面对传统经营风险和财务风险的同时，必须随时面对信息风险对企业生存和发展的挑战，人们不难想象，假如银行的存贷款数据库被黑客破坏，假如证券交易所的信息系统突然崩溃，假如企业ERP系统中的应收帐款模块产生混乱，假如仓库的自动订货和发货系统无法修复，我们面对的将不单单是损失，而是破产、混乱和崩溃。顺应时代要求，信息系统审计师将在信息化社会中，为公司筑起一道信息安全的壁垒。目前国际上，信息系统审计与控制协会ISACA（Information System Audit and ControlAssociation）是唯一有权授予国际信息系统审计师资格的跨国界、跨行业专业机构。国际信息系统审计师CISA（Certified Information System Auditor）资格由ISACA授予，是信息系统审计领域的唯一职业资格，受到全世界的广泛认可。由于信息技术的国际性，国际信息系统审计师资格在世界任何一个国家的使用都不会受到任何制约。认证机构ISACA的介绍国际信息系统审计协会（ ISACA ， ）为全球专业人士提供创新及世界级的知识、标准、网络、资格认证和职业发展，以领导、适应并确保在不断发展的数字世界得到信任。ISACA 成立于 1969 年，是一个全球性非盈利组织，其成员遍布 180 个国家，总数超过 140,000 人。ISACA 同时提供 Cybersecurity Nexus (CSX) – 综合网络安全资源，及 COBIT -- 企业技术管治框架。ISACA 还通过全球著名的注册信息系统审计师 （CertifiedInformation Systems Auditor, CISA） 、注册信息安全经理 （CertifiedInformation Security Manager, (CISM）、企业信息科技管治认证（Certifiedin the Governance of Enterprise IT , CGEIT） 及风险及信息系统监控认证（Certified in Risk and Information Systems Control, CRISC） 等专业认证来提升和证明个人的关键业务技能及知识。考试内容CISA考试考试时长：4小时CISA考试考题为150道选择题（以最佳选择为正确答案），共计800分，450分通过。CISA考试语言自2007年12月开始，ISACA开始有中文简体试卷，考生在考试的时候可以在报名的时候根据自己喜欢或是熟悉的语言选择试卷语言，如：中文简体，英语等。CISA考试涉及的五大领域信息系统审计流程(21%)——遵照IT审计标准提供审计服务，以帮助组织保护和控制其信息系统。IT治理和管理 (17%)——用以确保具备必要的领导层、组织结构及流程来实现相关目标和支持组织战略。信息系统购置、开发与实施(12%)——用以确保信息系统的购置、开发、测试和实施实务符合组织的战略与目标。信息系统运营和业务恢复能力(23%)——用以确保信息系统的操作、维护与支持流程符合组织的战略与目标。信息资产的保护(27%)——用以确保组织的安全政策、标准、规程和控制能够保证信息资产的机密性、完整性和可用性。考试时间考生可在官网自行预约考试时间。课程收益广阔的职业发展空间目前，越来越多的企业、政府机关开始开展信息系统审计活动，急需大量掌握相关知识技能的人才。CISA 资格证书是信息系统审计、安全和控制领域专业能力的良好证明。不论是希望提高工作业绩还是得到职务升迁或竞争新职位，拥有 CISA 资格证书都会使一个人拥有他人无法企及的竞争优势。国内国际的广泛认可越来越多的机构要求或建议员工得到 CISA 认证。在国内，银监会要求各大商业银行必须拥有一定数量的CISA证书持有者，以便开展IT审计工作。美国国防部(DoD)要求信息鉴证人员获得国防部批准的商业资格认证机构的认证，CISA 最早保护在此认证计划之中。增强知识和技能CISA资格证书表明职业人作为合格信息系统审计、控制、鉴证和安全领域专业人才的声望，具备扎实可靠的技术能力，按照全球公认标准和指南开展各项审查工作，确保机构的信息技术与业务系统得到充分的控制、监控和评价。