Przejdź do menu Przejdź do treści

ISACA

(Information Systems Audit and Control Association) – globalne stowarzyszenie o charakterze non-profit, którego celem jest opracowywanie wysokiej jakości standardów wiedzy i praktyk dla specjalistów w dziedzinie systemów informatycznych. W chwili obecnej poprzez globalną działalność i wysoką jakość standaryzacji ISACA wyznacza kierunek rozwoju zarządzania informacjami, ich kontroli, bezpieczeństwa oraz audytów.

Za nieformalny początek działalności stowarzyszenia można uznać rok 1967, kiedy wąska grupa specjalistów związanych z audytem bezpieczeństwa systemów komputerowych podjęła kroki na rzecz scentralizowania wiedzy, jej źródeł oraz norm implementacji odpowiednich praktyk. W 1969 r. działania postanowiono sformalizować, rejestrując Stowarzyszenie Audytorów EDP. Następnie w 1976 r. w jej ramach utworzono fundację edukacyjną, której zadaniem była działalność badawcza mająca na celu poszerzanie wiedzy oraz rozpowszechnianie wypracowanych standardów w dziedzinie zarządzania, bezpieczeństwa oraz audytu w branży IT.

Obecnie ISACA skupia 140 tysięcy członków w 180 krajach, sama struktura organizacji jest zdecentralizowana, a na świecie jest ponad 200 oddziałów w ponad 80 krajach zapewniających edukację członków, dostęp do zasobów wiedzy i opracowań orzecznictwa oraz możliwość konsultacji ze środowiskiem specjalistów. W Polsce zarejestrowane stowarzyszenie ISACA Warszawa dostało akredytację ISACA International w 2012 r. i ma oddziały w Warszawie i Katowicach.

Warto zwrócić uwagę, że proponowane przez tę instytucję standardy bezpieczeństwa są uniwersalne i mają zastosowanie w prawie wszystkich kategoriach przemysłu, finansów, bankowości oraz stanowisk sektora publicznego. Certyfikacja wydana przez stowarzyszenie jest poważnym atutem na rynku pracy, który zwiększa wiarygodność kompetencji danej osoby. Obecnie ISACA oferuje zdobycie czterech certyfikatów: CISA (certified information systems auditor), CISM (certified information specialist menager), CGEIT (certified in the governance of enterprise IT) oraz CRISC (certified in risk and information systems control).

Certyfikat CISA jest wymieniany także w dwóch aktach prawnych III RP: w rozporządzeniu ministra spraw wewnętrznych i administracji na liście certyfikatów upoważnia do prowadzenia kontroli projektów kontroli systemów teleinformatycznych i projektów informatycznych oraz w ustawie z dnia 27 sierpnia 2009 r. o finansach publicznych, który uprawnia jego posiadacza do wykonywania zawodu audytora wewnętrznego.

Trzecią sferą rozwiązań, które proponuje ISACA, są programy dobrych praktyk związanych z zarządzaniem w firmach. Wśród nich aktualnie można wymienić: COBIT 4.1 (Control Objectives for Information and Related Technologies), który ujmuje 34 wysokopoziomowych procesów obejmujących 210 celów kontrolnych; Risk IT, który odnosi się do zarządzania ryzykiem związanym z technologiami informatycznycmi; Val IT i jego pochodne frameworki, który jest przeznaczony dla kadry zarządzającej na poziomie biznesowym; BMIS (Business Model for Information Security), który jest systemem zarządzającym bezpieczeństwem informacji.

ISACA publikuje czasopismo techniczne z zakresu kontroli informacji „ISACA Journal”, a także organizuje międzynarodowe konferencje poświęcone problemom zawodów związanych z zapewnieniem bezpieczeństwa sieci, kontroli oraz ogólnym zarządzaniem IT.

Wojciech Cendrowski

D. Cannon, B.T. O’Hara, A. Keele, CISA: Certified Information Systems Auditor Study Guide, Sybex, Indianapolis 2016; CISM Review Manual 2013, ISACA, Illinois 2013; COBIT 5. Enabling Processes, ISACA, Illinois 2012; History of ISACA, ISACA.org (dostęp 29.04.2019); A. Kohnke, K. Sigler, D. Shoemaker, Implementing Cybersecurity: A Guide to the National Institute of Standards and Technology Risk Management Frameworks, CRC Press, Boca Raton 2017.