ความเป็นมาของการสอบ CISA/CISM การสอบ CISA ก่อตั้งครั้งแรกในสหรัฐอเมริกาเมื่อปี 1978 โดยมีเป้าหมายหลัก เพื่อพัฒนา บรรทัดฐาน ในการประเมิน ความสามารถในการตรวจสอบและสอบทานการควบคุมและการรักษาความปลอดภัยของระบบสารสนเทศ และให้การสนับสนุน และพัฒนา ความสามารถ ของ CISA ด้วย Methodology ใหม่ๆ เพื่อให้สามารถ ปฏิบัติงาน ได้มาตรฐาน ระดับสากล จนถึงปัจจุบันมีผู้เป็น CISA แล้วกว่า 60,000 คนทั่วโลก
IS Auditor หรือ IS security and Control profession มีบทบาทสำคัญ กับองค์กร มากขึ้น ทุกขณะ เนื่องจากการปฏิบัติธุรกิจ จะพึ่งพา การประมวลผลข้อมูล และการเชื่อมโยง เครือข่ายต่างๆ มากขึ้น โดยที่ความเสี่ยงต่าง ๆ ก็เพิ่มมากขึ้น เช่นกัน ซึ่งตลอดระยะเวลามากกว่า 20 ปี CISA จึงเป็น Program แรก และโปรแกรมเดียว ซึ่งให้ Certificate สำหรับ Professional IS AUDIT and CONTROL และเป็นที่ยอมรับ ในระดับสากล ซึ่งการจัดสอบ CISA จะมีขึ้น ทุกเดือนมิถุนายน และธันวาคม ของทุกปี
ส่วนการสอบ CISM เริ่มขึ้นในปี 2003 ต่างไปจาก Certifications ในด้านการรักษาความปลอดภัยของระบบสารสนเทศอื่นๆคือการรับรองผู้ประกอบวิชาชีพที่รับผิดชอบเกี่ยวข้องกับการจัดการ ออกแบบ ดูแล และประเมินระบบรักษาความปลอดภัยขององค์กร
คุณสมบัติของผู้เป็น CISA ก็มีกติกาดังนี้ 1. ต้องสอบผ่าน CISA EXAMINATION โดยได้คะแนนมากกว่าหรือเท่ากับ 75 คะแนน ซึ่งคะแนน ดังกล่าว คิดจากคะแนน ของผู้สอบทั้งหมดทั่วโลก
2. ต้องปฏิบัติงานตาม Code of Professional Ethic ของการเป็น CISA
3. ต้องมีประสบการณ์เกี่ยวกับ IS auditing, control หรือ Security work Experience อย่างน้อย 5 ปี ซึ่งหลังจาก ผู้ที่สอบผ่าน CISA ทางสมาคมจะให้เวลาอีก 5 ปี ในการหาประสบการณ์ ให้ครบตามเกณฑ์ ดังกล่าว ซึ่งสมาคมมี Substitution และ Waiver ให้คือ
Waive ได้ Maximum 1 ปีหากมีประสบการณ์ด้าน Audit, Information System หรือได้รับ ประกาศนียบัตร หรืออนุปริญญาที่มี หน่วยกิตไม่ต่ำกว่า 60 Semester college
Waive ได้ Maximum 2 ปีหากจบ ปริญญาตรี (120 Semester college credits หรือเทียบเท่า)
Waive สำหรับ Full time Instructor ในสาขาวิชาที่เกี่ยวข้อง เช่น Computer science, Accounting, IS Auditing ซึ่งอัตราส่วนการ Waive จะมีอัตราส่วน เป็น 2 : 1 ตัวอย่างเช่น Instructor Experience จำนวน 2 ปี จะเท่ากับ CISA experience 1 ปี เป็นต้น
วันสอบและวันหมดเขตการรับสมัคร:การจัดสอบ CISA/CISM จะมีขึ้นปีละ 2 ครั้ง โดยในปี 2552 นี้ การสอบจะมีขึ้นดังนี้
• วันเสาร์ที่ 13 มิถุนายน 2552
o 11 กุมภาพันธ์ 2552 หมดเขต Early Registration Deadline
o 8 เมษายน 2551 หมดเขตรับสมัคร
• วันเสาร์ที่ 12 ธันวาคม 2552 เปิดรับสมัครแล้ว
o 19 สิงหาคม 2552 หมดเขต Early Registration
o 23 กันยายน 2552 หมดเขตรับสมัคร
จำนวนผู้สมัครสอบและผู้เป็น CISA/CISMในปัจจุบันเรามี CISA แล้วกว่า 60,000 คน และ CISM กว่า 9,000 คนทั่วโลก ซึ่งจากสถิติที่ผ่านมา ผู้ที่สมัครสอบมิได้จำกัดเฉพาะ IS auditor เท่านั้น ยังมี IS Security and Control Professional, IT professional, Professor, Higher Education student ซึ่งเป็นผู้ที่มีคุณสมบัติที่สามารถสอบได้
ในประเทศไทยจนถึงปัจจุบันมีผู้สอบผ่าน CISA 126 คน และ CISM 25 คน
สถิติการสอบปี 2551 ครั้งที่ 2 มีผู้สอบผ่าน CISA 16 คน และ CISM 9 คน
ปี 2551 ครั้งที่ 1 มีผู้สอบผ่าน CISA 13 คน และ CISM 6 คน
ปี 2549 ครั้งที่ 2 มีผู้สอบผ่าน CISA 14 คน(จาก 61 คน) และ CISM 3 คน (จาก 6 คน)
ปี 2549 ครั้งที่ 1 มีผู้สอบผ่าน CISA 15 คน(จาก 36 คน) และ CISM 5 คน (จาก 6 คน)
ปี 2548 ครั้งที่ 2 มีผู้สอบผ่าน CISA 17 คน(จาก 63 คน) และ CISM 8 คน (จาก 9 คน)
ปี 2548 ครั้งที่ 1 มีผู้สอบผ่าน CISA 21 คน(จาก 71 คน) และ CISM 6 คน (จาก 9 คน)
ปี 2547 มีผู้สอบผ่าน CISA 24 คน(จาก 54 คน) และ CISM 3 คน(จาก 6 คน)
การรักษาสถานภาพของ CISA:เมื่อท่านเป็น CISA แล้ว ท่านจำเป็นต้องรักษาสถานภาพการเป็น CISA ในลักษณะปีต่อปี โดยรายงานชั่วโมงการฝึกอบรม หรือที่เรียกว่า CE credit hour ที่ได้รับในแต่ละปีให้ ISACA รับทราบทุกสิ้นปี โดยมักให้รายงานพร้อมกับการชำระค่าธรรมเนียมสมาชิกรายปีของ ISACA และค่าธรรมเนียมรายปีของการรักษาสถานภาพของ CISA
ค่าธรรมเนียมรายปีของการรักษาสถานภาพของ CISA (ปี 2547): US$ 40.- สำหรับสมาชิกของ ISACA และ US$ 60.- สำหรับผู้ที่ไม่ได้เป็นสมาชิกของ ISACA
ข้อกำหนดในการรักษาสถานภาพของ CISAข้อกำหนดทั่วไป
นโยบายการรักษาสถานภาพ กำหนดให้ผู้ที่เป็น CISA ต้องได้รับการฝึกอบรมทุกปีภายในทุกๆช่วงเวลา 3 ปี ดังนี้
• ได้รับการศึกษาหรือฝึกอบรมไม่ต่ำกว่า 20 ชั่วโมงใน 1 ปี และรายงานให้ สำนักงานใหญ่ของ ISACA ทราบ
• ชำระค่าธรรมเนียมรักษาสถานภาพให้แก่สำนักงานใหญ่ของ ISACA อย่างครบถ้วน
• ได้รับการศึกษาหรือฝึกอบรมไม่ต่ำกว่า 120 ชั่วโมงภายในช่วงเวลาทุกๆ 3 ปี และรายงานให้ สำนักงานใหญ่ของ ISACA ทราบ
• ให้ความร่วมมือในการตรวจสอบเอกสารหลักฐานการฝึกอบรมตามชั่วโมงที่รายงานหากถูกเรียกสุ่มตรวจ โดย CISA มีหน้าที่เก็บเอกสารที่ใช้พิสูจน์ชั่วโมงการฝึกอบรมเพื่อการตรวจสอบดังกล่าว
• ปฎิบัติตามจรรยาบรรณที่กำหนดโดย ISACA
ผู้เป็น CISA จะถูกการเพิกถอนสถานภาพ CISA หากไม่สามารถปฏิบัติตามข้อกำหนดข้อใดข้อหนึ่งดังกล่าวข้างต้น
ระยะเวลาการรายงานชั่วโมงการฝึกอบรม
ผู้เป็น CISA มีหน้าที่ต้องรายงานชั่วโมงการฝึกอบรมที่ตนได้รับในแต่ละปี และในช่วง 3 ปี ในวันที่ 1 มกราคม ของปีถัดไป โดยสามารถรายงานไว้ในใบแจ้งหนี้เรียกเก็บค่าธรรมเนียมการรักษาสถานภาพที่ส่งมาจากสำนักงานใหญ่ของ ISACA ในแต่ละปี โดยบันทึกจำนวนชั่วโมงไว้ในใบแจ้งหนี้ฉบับจริง พร้อมทั้งลงลายมือชื่อรับรองส่งกลับไปยังสำนักงานใหญ่ของ ISACA พร้อมการชำระเงิน ส่วนสำเนาใบแจ้งหนี้เก็บไว้เองเป็นหลักฐาน
สำหรับผู้ที่ได้เป็น CISA ใหม่ในปีนั้น ไม่ต้องรายงานชั่วโมงการฝึกอบรมที่ตนได้รับในปีที่ได้รับ CISA และหากมีชั่วโมงการฝึกอบรมที่ตนได้รับในระหว่างวันที่ได้รับ CISA จนถึงวันที่ 31 ธันวาคมของปีเดียวกัน ก็สามารถเก็บสะสมมารายงานไว้เป็นชั่วโมงการฝึกอบรมของตนในปีถัดไปได้
การแจ้งยืนยันสถานภาพ
เมื่อผู้เป็น CISA ได้ชำระค่าธรรมเนียมพร้อมทั้งแจ้งชั่วโมงการฝึกอบรมไปแล้วตามกำหนดเวลาและเงื่อนไขจำนวนชั่วโมงในแต่ละปีและทุกๆ 3 ปี สำนักงานใหญ่ของ ISACA ก็จะส่งจดหมายยืนยันสถานภาพกลับมาให้ จดหมายยืนยันนี้จะแสดงจำนวนชั่วโมงการฝึกอบรมที่ผู้เป็น CISA ได้รับในปีที่ผ่านมา(ตามที่ผู้เป็น CISA ได้รายงานไว้) และในปีก่อนๆภายในช่วงเวลาการรายงาน 3 ปี และจำนวนชั่วโมงการฝึกอบรมที่ผู้เป็น CISA จะต้องได้รับในช่วงที่เหลือของระยะเวลา 3 ปีเพื่อให้ครบ 120 ชั่วโมง โดยผู้ที่เป็น CISA มีหน้าที่ตรวจสอบและหากพบข้อข้อผิดพลาดในจำนวนชั่วโมงการฝึกอบรมจะต้องแจ้งให้สำนักงานใหญ่ของ ISACA ทราบโดยทันที
การตรวจสอบชั่วโมงการฝึกอบรมเพื่อรักษาสถานภาพของ CISA
คณะกรรมการจะสุ่มรายชื่อผู้เป็น CISA ขึ้นมาในแต่ละปีเพื่อตรวจสอบความถูกต้องเป็นจริงของชั่วโมงการฝึกอบรมที่ผู้เป็น CISA รายงานไว้ ตลอดจนพิจารณาความเหมาะสมของเนื้อหาของการฝึกอบรมที่ผู้เป็น CISA ได้รับ ทั้งนี้ ผู้เป็น CISA มีหน้าที่จัดเก็บเอกสารหลักฐานที่พิสูจน์กิจกรรมที่ใช้รักษาสถานภาพให้คณะกรรมการสามารถตรวจสอบได้อย่างน้อยไม่ต่ำกว่า 18 เดือนนับจากวันสิ้นปีที่รายงาน หลักฐานดังกล่าวอาจเป็นจดหมาย ประกาศนียบัตร ใบเสร็จรับเงิน รายชื่อผู้เข้าร่วมอบรมหรือสัมนา หรือเอกสารหลักฐานอื่นๆที่เหมาะสม ซึ่งอย่างน้อยควรมีข้อมูลที่แสดงถึงชื่อผู้เข้าฟัง ผู้จัดรายการ ชื่อกิจกรรม คำอธิบายหัวข้อ ผู้นำเสนอ วันที่และสถานที่ ตลอดจนชั่วโมงที่ใช้
ในกรณีที่ถูกยกเลิกสถานภาพ CISA ผู้ถูกยกเลิกสามารถยื่นอุธรณ์การยกเลิกโดยส่งจดหมายให้สำนักงานใหญ่ของ ISACA ภายในเวลา 60 วันนับจากวันที่ได้รับแจ้งการถูกยกเลิกโดยแจ้งถึงสาเหตุเพื่อการอุทรณ์ รายละเอียดขั้นตอนการอุธรณ์สามารถขอได้จากทางสำนักงานใหญ่ของ ISACA
เมื่อผู้เป็น CISA มีอายุถึง 55 ปีหรือมากกว่า สามารถขอมีสถานภาพเป็น CISA ปลดเกษียร (CISA Retired status) โดยเมื่อได้รับอนุมัติก็จะไม่จำเป็นต้องรักษาสถานภาพโดยมีชั่วโมงการฝึกอบรมแต่ยังคงมีหน้าที่ชำระค่าธรรมเนียมรักษาสถานภาพ
ในกรณีที่ผู้เป็น CISA มีความจำเป็นต้องหยุดพักงานหรือถูกเลิกจ้างเป็นการชั่วคราว สามารถร้องขอพักการรักษาสถานภาพ CISA เป็นการชั่วคราวได้ (Inactive Status) โดยไม่จำเป็นต้องรักษาสถานภาพโดยมีชั่วโมงการฝึกอบรมแต่ยังคงมีหน้าที่ชำระค่าธรรมเนียมรักษาสถานภาพ ทั้งนี้ ผู้เป็น CISA จะต้องกลับสู่สถานภาพปกติภายในระยะเวลา 2 ปี มิฉะนั้นก็จะถูกเพิกถอนการเป็น CISA
การขอเปลี่ยนสถานภาพของ CISA เป็น "Retire" หรือ "Inactive" สามารถทำได้โดยติดต่อไปยัง Manager of Certification
การนับชั่วโมงการฝึกอบรมเพื่อรักษาสถานภาพของ CISA
การฝึกอบรมในลักษณะการฝึกงาน (on the job training) ไม่สามารถนับเป็นชั่วโมงการฝึกอบรมเพื่อรักษาสถานภาพของ CISA ได้เว้นแต่จะมีลักษณะที่เข้าข่ายเป็นการฝึกอบรมที่ระบุไว้ข้างล่างนี้ การฝึกอบรมที่สามารถนับชั่วโมงได้จะรวมทั้งการอบรมทางเทคนิค วิชาการ และการบริหาร โดยการฝึกอบรมจะต้องมีเนื้อหาที่เกี่ยวข้องกับการประเมินระบบสารสนเทศ หรือการตรวจสอบ การควบคุม และการรักษาความปลอดภัย หรือการจัดการเพื่อให้มีการพัฒนาความรู้ด้านวิชาชีพนี้อย่างเหมาะสม กิจกรรมการฝึกอบรมบางประเภทมีเพดานของจำนวนชั่วโมงที่สามารถนับรวมได้เป็นชั่วโมงการฝึกอบรมเพื่อรักษาสถานภาพ การฝึกอบรมต่อไปนี้สามารถนำมาใช้นับเป็นชั่วโมงการฝีกอบรมเพื่อรักษาสถานภาพได้
การพัฒนาวิชาชีพสำหรับบุคคล• การฝึกอบรมด้านวิชาชีพและการประชุมที่จัดโดย ISACA (ไม่มีเพดานจำนวนชั่วโมงที่สามารถนับได้ สามารถนับชั่วโมงได้ตามจริง) การฝึกอบรมนี้ได้แก่ Conference สัมมนา การประชุม workshop ตลอดจนกิจกรรมอื่นๆที่จัดขึ้นโดยสมาคมฯ ทั้งของ ISACA ในต่างประเทศและที่จัดโดยภาคพื้นกรุงเทพฯ(Bangkok Chapter) หรือภาคพื้น (Chapter) อื่นๆของ ISACA สำหรับการเข้าร่วมประชุมที่จัดโดยสมาคมฯ หากกิจกรรมจริงใช้เวลาไม่ถึงหนึ่งชั่วโมงก็สามารถนับได้เป็น 1 ชั่วโมง
• การฝึกอบรมด้านวิชาชีพและการประชุมที่ไม่ได้จัดโดย ISACA (ไม่มีเพดานจำนวนชั่วโมงที่สามารถนับได้ สามารถนับชั่วโมงได้ตามจริง) กิจกรรมนี้ได้แก่การเรียนหรือการฝึกอบรมที่จัดโดยมหาวิทยาลัย Conference สัมมนา workshop และการประชุมด้านวิชาชีพ รวมทั้งกิจกรรมที่เกี่ยวข้องอื่นๆที่ ISACA ไม่ได้เป็นผู้จัด การเข้ารับการศึกษาในมหาวิทยาลัยสามารถนับชั่วโมงได้ 13 ชั่วโมงต่อ หนึ่งภาคการศึกษาที่เป็น Semester หรือ10 ชั่วโมงต่อ หนึ่งภาคการศึกษาที่เป็นไตรมาส (Quarter)
• การศึกษาด้วยตนเอง ISACA (ไม่มีเพดานจำนวนชั่วโมงที่สามารถนับได้ สามารถนับชั่วโมงได้ตามจริง) กิจกรรมนี้ได้แก่การศึกษาในโครงการที่ออกแบบมาให้สำหรับการศึกษาด้วยตนเองโดยเฉพาะและมีการให้ชั่งโมงสำหรับการรักษาสถานภาพไว้ การศึกษาในลักษณะนี้นับเฉพาะในกรณีที่ผู้จัดทำมีการออกใบประกาศนียบัตรให้เมื่อจบโปรแกรม
• การนำเสนอข้อมูลเพื่อการขายหรือเพื่อการตลาดโดยผู้ขาย(Vendor) (ไม่เกิน 10 ชั่วโมงต่อปี) กิจกรรมนี้ได้แก่การเข้าฟังการนำเสนอหรือการบรรยายผลิตภัณฑ์หรือบริการด้านเทคโนโลยีสารสนเทศที่ผู้ขายนำเสนอ
การช่วยเหลืองานด้านวิชาชีพ• การสอนหรือการนำเสนอข้อมูล (ไม่มีเพดานจำนวนชั่วโมงที่สามารถนับได้ สามารถนับชั่วโมงได้ตามจริง) กิจกรรมนี้ได้แก่การจัดทำและการนำเสนอหรือการสอนข้อมูลด้านการศึกษานั้นๆ ชั่วโมงการสอนนี้สามารถนับได้เป็นสองเท่าของเวลาการสอนในครั้งแรก (เนื่องจากให้ชั่วโมงสำหรับการเตรียมการสอนด้วย เช่นถ้าสอน 2 ชั่วโมงก็จะนับได้ 4 ชั่วโมงสำหรับการรักษาสถานภาพ) และนับได้เท่ากับจำนวนชั่วโมงการสอนจริงสำหรับการสอนครั้งที่สองในหัวข้อเดียวกัน แต่ไม่สามารถนับชั่วโมงได้ในการสอนในหัวข้อเดียวกันในครั้งต่อไปนี้เว้นแต่จะมีการปรับปรุงเนื้อหาการสอนที่เป็นสาระสำคัญ
• การเขียนบทความ ข้อความ หรือหนังสือ (ไม่มีเพดานจำนวนชั่วโมงที่สามารถนับได้ สามารถนับชั่วโมงได้ตามจริง) กิจกรรมนี้ ได้แก่การเขียนหรือสอบทานเอกสารข้อมูลที่เกี่ยวข้องกับการตรวจสอบและควบคุมระบบสารสนเทศ โดยจะต้องมีหลักฐานการตีพิมพ์ข้อความ บทความ หรือหนังสือดังกล่าวอย่างเป็นทางการและจะต้องเก็บหลักฐานการตีพิมพ์ไว้เพื่อการตรวจสอบในภายหลัง สำหรับหนังสือและ จะต้องมีสารบัญของหนังสือและหน้าปกเก็บไว้เป็นหลักฐาน การนับชั่วโมงให้นับตามเวลาที่ใช้จริงในการเขียนหรือการสอบทานเอกสารดังกล่าว
• การจัดทำข้อสอบสำหรับการสอบ CISA และการสอบทานข้อสอบ (ไม่มีเพดานจำนวนชั่วโมงที่สามารถนับได้ สามารถนับชั่วโมงได้ตามจริง) กิจกรรมนี้ได้แก่การออกข้อสอบหรือสอบทานข้อสอบ CISA โดยสามารถนับได้หนึ่งชั่วโมงสำหรับข้อสอบแต่ละข้อที่ออกและยอมรับจาก ISACA Test Enhancement Committee (TEC) และตามเวลาที่ใช้จริงสำหรับการสอบทานข้อสอบอย่างเป็นทางการ
• การสอบผ่านข้อสอบทางวิชาชีพ สอบ (ไม่มีเพดานจำนวนชั่วโมงที่สามารถนับได้ สามารถนับชั่วโมงได้ตามจริง) กิจกรรมนี้ได้แก่การสอบผ่านด้านวิชาชีพอื่นๆ เช่น การสอบ CPA CIA หรือ CFA เป็นต้น โดยการนับชั่วโมงตามจำนวนชั่วโมงที่ให้เวลาสำหรับทำข้อสอบดังกล่าวเมื่อได้ทราบผลการสอบว่าผ่านแล้ว
• การทำงานให้กับสมาคมฯ (ไม่เกิน 10 ชั่วโมงต่อปี) สำหรับการทำงานให้กับ ISACA, ISACAF(Information System Audit and Control Association Foundation และการเป็นกรรมการของ ISACA ภาคพื้นในแต่ละประเทศ โดยนับชั่วโมงให้ตามเวลาที่ใช้จริงในการเข้าร่วมกิจกรรมดังกล่าว
• การให้ความช่วยเหลือหรือความร่วมมือแก่วิชาชีพการตรวจสอบและควบคุมระบบสารสนเทศ (ไม่เกิน 10 ชั่วโมงต่อปี) ได้แก่การเข้าร่วมกิจกรรมที่เกี่ยวข้องกับ วิชาชีพการตรวจสอบและควบคุมระบบสารสนเทศในนามของสมาคมฯ อาทิเช่น การทำวิจัย การสอบทาน CISA Review Manual เป็นต้น
• การคำนวณชั่วโมงการฝึกอบรมเพื่อรักษาสถานภาพของ CISA
• การนับหน่วยชั่วโมงแต่ละหน่วยสามารถนับได้จากเวลาการฝึกอบรม 50 นาที (ไม่รวมเวลาอาหารว่างและอาหารกลางวัน) สำหรับการฝึกอบรมในห้องเรียน ซึ่งจะนับได้แต่ละหน่วยเฉพาะเมื่อมีการฝึกอบรมไม่น้อยกว่า 50 นาที (ไม่สามารถนับเป็นครึ่งชั่วโมงหรือครึ่งหน่วย) ตัวอย่างเช่น CISA ที่เข้ารับการฝึกอบรมเป็นจำนวน 5 ชั่วโมง จะนับชั่วโมงการฝึกอบรมเพื่อรักษาสถานภาพของ CISA ได้เป็ฯ 6 หน่วย หรือ 6 ชั่วโมง (300 นาที/50 นาที)
จรรยาบรรณแห่งวิชาชีพ (Code of Professional Ethics)ผู้ที่เป็นสมาชิกของสมาคมและผู้ที่เป็น CISA จะต้องปฏิบัติตามจรรยาบรรณแห่งวิชาชีพด้านการตรวจสอบและควบคุมระบบสารสนเทศดังนี้
1. ให้การสนับสนุนการจัดตั้งและการนำไปปฏิบัติ ของมาตรฐาน ขั้นตอนการปฏิบัติ และการควบคุมที่เกี่ยวกับระบบสารสนเทศ
1. ปฎิบัติตามมาตรฐานการตรวจสอบระบบสารสนเทศที่ยอมรับโดยสมาคมฯ
2. ให้บริการแก่ผุ้ว่าจ้าง ผู้ถือหุ้น ลูกค้า และสาธารณชนด้วยความรู้จริงและซื่อสัตย์ และไม่ร่วมในกิจกรรมใดๆที่ขัดต่อศีลธรรมและกฎหมาย
3. รักษาความลับของข้อมูลที่ได้รับทราบมาระหว่างการปฏิบัติหน้าที่ และไม่ใช้ข้อมูลดังกล่าวเพื่อหาประโยชน์ส่วนตัวหรือให้ข้อมูลแก่ผู้อื่นหรือองค์กรอื่นที่ไม่สมควรได้
4. ปฏิบัติหน้าที่อย่างเป็นอิสระและมีเป้าหมาย และควรหลีกเลี่ยงการรับงานไม่สามารถหรืออาจไม่สามารถปฏิบัติงานได้อย่างเป็นอิสระ
5. รักษาความรู้ความสามารถที่จำเป็นในการปฏิบัติงานการตรวจสอบระบบสารสนเทศ โดยการมีส่วนร่วมในกิจกรรมที่พัฒนาด้านวิชาชีพ
6. ใช้ความระมัดระวังและละเอียดถี่ถ้วนในการได้มาซึ่งเอกสารหลักฐานและข้อเท็จจริงที่จะนำมาซึ่งการสรุปผลการตรวจสอบอย่างถูกต้องและการให้ข้อเสนอแนะที่เหมาะสม
7. แจ้งให้ผู้ที่เกี่ยวข้องทราบถึงผลการตรวจสอบ
8. สนับสนุนการให้ความรู้ความเข้าใจแก่ผู้บริหาร ลูกค้า และสาธารณชน ด้านการตรวจสอบและด้านระบบสารสนเทศ
อ่านข้อมูลเพิ่มเติมได้ที่ :
http://www.isaca-bangkok.org/cisa.html#history
