CISA Certified Information Systems Auditor.

CISA ist die führende IT-Audit-Zertifizierung, vergeben von ISACA seit 1978. Fünf Domänen decken den Auditprozess, Governance, Beschaffung, Betrieb und Asset-Schutz ab. Die Zertifizierung, auf die Big-Four-Mandate standardmäßig zurückgreifen. Weltweit anerkannt; in regulierten Branchen für viele Internal-Audit- und Compliance-Funktionen obligatorisch.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCertifications & credentialsAll entries

Die Einschätzung der Cyber Academy

CISA ist die führende IT-Audit-Zertifizierung, vergeben von ISACA seit 1978. Fünf Domänen decken den Auditprozess, Governance, Beschaffung, Betrieb und Asset-Schutz ab. Die Zertifizierung, auf die Big-Four-Mandate standardmäßig zurückgreifen. Weltweit anerkannt; in regulierten Branchen für viele Internal-Audit- und Compliance-Funktionen obligatorisch.

Was CISA tatsächlich zertifiziert

CISA ist der Nachweis dafür, dass Sie ein Informationssystem prüfen und die daraus gewonnene Beurteilung vertreten können. Die Zertifizierung wird von ISACA vergeben und ist seit Jahrzehnten die maßgebliche Qualifikation im IT-Audit, weshalb sie bei Mandaten der Big Four als Standarderwartung gilt und das Anforderungsmerkmal ist, das viele regulierte Arbeitgeber in Stellenbeschreibungen für interne Revision und Compliance aufnehmen. Bei der Zertifizierung geht es nicht um den Betrieb der IT oder deren Absicherung. Es geht um die unabhängige Beurteilung, ob Kontrollen vorhanden sind, ob sie wirksam sind, und ob die Nachweise diese Schlussfolgerung stützen.

Die praxisrelevante Unterscheidung, die man im Blick behalten sollte, ist, dass CISA ein Prüfungs- und Assurance-Nachweis ist, kein Umsetzungsnachweis. Ein CISM-Inhaber führt ein Sicherheitsprogramm. Ein CISA-Inhaber bildet sich eine unabhängige Meinung darüber, ob dieses Programm und das umgebende, weiter gefasste IT-Umfeld kontrolliert sind. Genau diese Unabhängigkeit ist der entscheidende Punkt: Ein Prüfer, der die Kontrolle aufgebaut hat, kann sie nicht glaubwürdig bestätigen. CISA vermittelt die auf Nachweisen und Stichproben beruhende Denkweise, die die Beurteilung belastbar hält.

Die fünf CISA-Domänen

Die Prüfung und der Wissensbestand sind in fünf Domänen gegliedert. Sie reichen davon, wie Sie prüfen, über die Governance der IT, bis hin zu den drei Lebenszyklusbereichen, die ein Prüfer beurteilen können muss:

  • Prüfungsprozess von Informationssystemen. Planung, risikobasierte Abgrenzung, Nachweiserhebung, Stichprobenziehung und Berichterstattung. Die Disziplin, die jede andere Domäne prüfbar macht.
  • Governance und Management der IT. Strategie, Richtlinien, Organisationsstruktur, und wie das Unternehmen seine IT steuert und überwacht.
  • Beschaffung, Entwicklung und Implementierung von Informationssystemen. Ob Projekte, Änderungen und neue Systeme vom Business Case bis zum Go-live kontrolliert sind.
  • Betrieb von Informationssystemen und Geschäftsresilienz. Tagesbetrieb, Service-Management, Datensicherung, Kontinuität und Notfallwiederherstellung.
  • Schutz von Informationswerten. Logische und physische Sicherheit, Identität und Zugriff, Verschlüsselung, und Kontrollen zum Datenschutz.

Wo CISA neben verwandten Nachweisen steht

CISA steht im ISACA-Katalog nicht allein, und Fachleute kombinieren sie routinemäßig mit anderen. Die häufigsten Schritte sind seitlich in den Risikobereich mit CRISC oder aufwärts in die Sicherheitsführung mit CISM. Gegenüber der ISO-Welt bescheinigen CISA und der PECB Lead Auditor beide eine Prüfungskompetenz, jedoch in unterschiedlichen Bahnen: CISA ist eine breit angelegte IT-Audit-Qualifikation, die an die ISACA-Domänen gebunden ist, während Lead Auditor auf ISO 19011 aufbaut und auf die Prüfung eines bestimmten Managementsystems abzielt, etwa eines ISMS nach ISO 27001, oft als Weg, akkreditierter Prüfer einer Zertifizierungsstelle zu werden.

CISA im Vergleich zu verwandten Nachweisen
NachweisStellePrimärer Fokus
CISAISACABreite IT-Audit-Assurance über fünf Domänen
CISMISACAManagement und Governance eines Informationssicherheitsprogramms
CRISCISACAIdentifikation, Bewertung und Behandlung von IT-Risiken
Lead AuditorPECBPrüfung eines bestimmten Managementsystems auf Basis von ISO 19011

Den Nachweis zu erlangen, ist mehr als das Bestehen der Prüfung. ISACA verlangt nachgewiesene berufliche IT-Audit-Erfahrung, die Einhaltung eines berufsethischen Kodex, und eine laufende berufliche Weiterbildung, um die Zertifizierung aktiv zu halten. Diese Erfahrungsanforderung ist der Grund, warum CISA Gewicht hat: Sie bestätigt, dass der Inhaber die Arbeit tatsächlich geleistet und nicht nur studiert hat.

Frequently asked questions

01Was ist der Unterschied zwischen CISA und CISM?

CISA bescheinigt, dass Sie ein IT-Umfeld unabhängig prüfen und bestätigen können. CISM bescheinigt, dass Sie ein Informationssicherheitsprogramm gestalten und steuern können. CISA ist die Assurance-Seite, CISM die Management-Seite, und viele Fachleute halten beide.

02Ist Berufserfahrung erforderlich, um CISA zu erlangen?

Ja. ISACA verlangt zusätzlich zum Bestehen der Prüfung nachgewiesene berufliche Erfahrung in der Prüfung, Kontrolle oder Sicherheit von Informationssystemen. Es gibt begrenzte Anrechnungsmöglichkeiten, aber die Erfahrungsanforderung ist zentral für den Nachweis.

03Wie ist die CISA-Prüfung aufgebaut?

Die Prüfung ist um die fünf CISA-Domänen herum aufgebaut und szenariobasiert. Die Fragen prüfen das Prüfungsurteil und die Risikopriorisierung, etwa was ein Prüfer in einer gegebenen Situation zuerst tun sollte, statt das stumpfe Abrufen von Kontrollbezeichnungen.

04CISA oder PECB Lead Auditor, was sollte ich wählen?

CISA ist ein breit angelegter IT-Audit-Nachweis, der an die ISACA-Domänen gebunden ist und in IT-Audit- und Big-Four-Rollen die Standardwahl darstellt. PECB Lead Auditor baut auf ISO 19011 auf, um ein bestimmtes Managementsystem wie ISO 27001 zu prüfen, und ist der Weg zur akkreditierten Prüfung bei einer Zertifizierungsstelle. Sie dienen unterschiedlichen Karrierewegen und schließen sich nicht gegenseitig aus.

05Muss man CISA erneuern?

Ja. CISA-Inhaber erhalten den Nachweis über das Programm zur laufenden beruflichen Weiterbildung von ISACA und die Einhaltung seines berufsethischen Kodex aufrecht. Ohne laufende Weiterbildung erlischt die Zertifizierung.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.