Die Einschätzung der Cyber Academy
ISACA ist die globale Vereinigung für IT-Audit-, Sicherheits-, Risiko- und Governance-Fachleute. Gegründet 1969, Hauptsitz Schaumburg IL, über 165.000 Mitglieder in 188 Ländern. Vergibt CISA, CISM, CRISC, CGEIT, CDPSE, AAIA, CCOA. Veröffentlicht COBIT. Cyber Academy ist ein ISACA Accredited Premium Partner.
Was ISACA tatsächlich ist
ISACA wurde 1969 als Information Systems Audit and Control Association gegründet, eine Gruppe von IT-Prüfern, die einen gemeinsamen Wissensbestand und eine Möglichkeit benötigten, sich gegenseitig die Kompetenz zu bescheinigen. Der vollständige Name ist heute weitgehend historisch; die Organisation tritt als ISACA auf und richtet sich an Fachleute aus IT-Audit, Sicherheit, Risiko, Governance und Datenschutz in mehr als 180 Ländern. Entscheidend ist in der Praxis, dass ISACA weder eine Regulierungsbehörde noch ein Normungsgremium im Sinne der ISO ist. Sie schreibt keine Gesetze und kann kein Unternehmen zertifizieren. Sie zertifiziert Personen und veröffentlicht Frameworks, auf die sich der Rest des Berufsstands stützt.
Diese Unterscheidung bringt Neulinge ins Stolpern. Ein Unternehmen kann nicht «ISACA-zertifiziert» werden, so wie man ein ISO 27001-Managementsystem zertifiziert. ISACA-Zertifizierungen liegen bei den Einzelpersonen. Ein Prüfer erwirbt die CISA, ein Sicherheitsmanager die CISM, ein Risikofachmann die CRISC. Der Wert des Nachweises ergibt sich aus der Strenge der Prüfung, der dokumentierten Anforderung an Berufserfahrung, dem berufsethischen Kodex und der kontinuierlichen beruflichen Weiterbildung, die ihn aktuell hält. Arbeitgeber und Prüfungsausschüsse werten diese als Beleg dafür, dass die Person unabhängig an einer definierten Praxis gemessen wurde.
Die Zertifizierungsfamilie und wofür jede steht
Die Zertifizierungen von ISACA sind bewusst rollenspezifisch ausgelegt und nicht als eine allgemeine Qualifikation. Jede entspricht einer eigenen Tätigkeitsfunktion, weshalb Praktiker oft mehr als eine besitzen, wenn ihre Laufbahn von der Ausführung der Arbeit zu deren Steuerung übergeht.
| Zertifizierung | Zielgruppe | Schwerpunkt |
|---|---|---|
| CISA | IS-Prüfer | Prüfung, Kontrolle und Assurance von Informationssystemen |
| CISM | Sicherheitsmanager | Governance und Management eines Informationssicherheitsprogramms |
| CRISC | Risikofachleute | Identifikation und Behandlung von IT- und Unternehmensrisiken |
| CGEIT | Governance-Verantwortliche | Governance der Unternehmens-IT auf Vorstandsebene |
| CDPSE | Datenschutz-Ingenieure | Datenschutz durch Technikgestaltung im Technologie-Stack |
| AAIA | KI-Prüfer | Prüfung von Systemen und Kontrollen künstlicher Intelligenz |
| CCOA | Cyber-Operationen | Praxisnaher Cybersicherheitsbetrieb und -abwehr |
COBIT und ISACAs Platz in der Normenlandschaft
Über die Zertifizierung von Einzelpersonen hinaus veröffentlicht ISACA COBIT, das Framework für die Governance und das Management der Unternehmens-IT. Mit COBIT kommt ISACA dem Handeln eines Normungsgremiums am nächsten, doch es bleibt ein Framework, das man übernimmt und anpasst, statt eines Standards, gegen den man zertifiziert wird. Prüfer greifen zu COBIT, wenn ein Informationssicherheitsstandard allein zu eng ist, weil es abdeckt, wie die IT als Ganzes auf die Unternehmensziele ausgerichtet wird. Deshalb werden ISACA, NIST und ISO meist gemeinsam genannt: NIST liefert Kontrollkataloge und Ergebnisse, ISO liefert zertifizierbare Managementstandards, und ISACA liefert die Audit- und Governance-Perspektive sowie die Personen, die qualifiziert sind, sie anzuwenden.
Für eine Schulungsorganisation ist das Partnerprogramm von ISACA wichtig, weil die Prüfungsvorbereitung einem akkreditierten Lehrplan folgen muss, um Gewicht zu haben. Cyber Academy ist ein ISACA Accredited Premium Partner, also die Anerkennung, die ISACA Schulungsanbietern gewährt, die ihren Qualitätsmaßstab für die Durchführung der offiziellen Vorbereitung auf Zertifizierungen erfüllen. Diese Akkreditierung betrifft den Anbieter; sie ersetzt nicht, dass die Einzelperson die ISACA-Prüfung besteht und die Erfahrungsanforderung erfüllt.
Frequently asked questions
01Ist ISACA eine Zertifizierung oder ein Standard?
Genau genommen weder noch. ISACA ist ein Berufsverband. Sie zertifiziert Einzelpersonen über Nachweise wie CISA, CISM und CRISC und veröffentlicht das COBIT-Framework. Sie schreibt keine Gesetze und zertifiziert keine Unternehmen.
02Was ist der Unterschied zwischen ISACA und ISO?
ISO veröffentlicht Standards, gegen die Organisationen zertifiziert werden können, etwa ISO 27001. ISACA zertifiziert Personen, keine Managementsysteme, und veröffentlicht COBIT als Governance-Framework. Viele Praktiker nutzen beides: ISO für das zertifizierbare System, ISACA-Zertifizierungen für die Prüfer und Manager, die es betreiben.
03Mit welcher ISACA-Zertifizierung sollte ich beginnen?
Das hängt von Ihrer Rolle ab. IS-Prüfer beginnen in der Regel mit der CISA, Sicherheitsmanager mit der CISM und Risikofachleute mit der CRISC. Die Zertifizierungen sind rollenspezifisch und nicht in Stufen gegliedert, daher ist die richtige diejenige, die zu Ihrer täglichen Arbeit passt.
04Kann ein Unternehmen ISACA-zertifiziert sein?
Nein. ISACA-Zertifizierungen gehören den Einzelpersonen. Ein Unternehmen kann ein anerkannter ISACA-Schulungspartner werden oder Mitarbeiter beschäftigen, die ISACA-Zertifizierungen besitzen, aber die Organisation selbst ist nicht gegen einen ISACA-Standard zertifiziert.
05Was macht ein ISACA Accredited Premium Partner?
Es ist ein Schulungsanbieter, den ISACA als Erfüller seiner Qualitätsanforderungen für die Durchführung der offiziellen Vorbereitung auf Zertifizierungen anerkannt hat. Cyber Academy hält diesen Status. Der Partner bereitet die Kandidaten vor; der Kandidat legt dennoch die ISACA-Prüfung ab und erfüllt die Erfahrungsanforderung unabhängig.