关于审计cisa的问题

黑暗公爵

有个现实的问题想请教一下各位大神的。  
首先说一下两个视频：
一：《IT审计实践分享》
二：《四大顾问给你支招:IT审计应该这样做！》
内容都是两位大神的经验分享，很感谢两位大神。


背景： 本人原做宽带营运商的。也就是俗称的网络工程师，CCNA水平。接触的都是日常的网络设备及安全设备。  跳槽出去做了大半年的等保，俗称的等级保护，最近也比较火。 刚开始虽然不懂，
但是有一套工具：
《信息安全技术 网络安全等级保护定级指南报批稿》标准报批稿
《信息安全技术 网络安全等级保护基本要求 第1部分： 安全通用要求》标准征求意见稿
《信息安全技术 网络安全等级保护基本要求 第2部分：云计算安全扩展要求》标准征求意见稿
《信息安全技术 网络安全等级保护基本要求 第3部分：移动互联安全扩展要求》标准征求意见稿
《信息安全技术 网络安全等级保护基本要求 第4部分： 物联网安全扩展要求》标准征求意见稿
《信息安全技术 网络安全等级保护基本要求 第5部分：工业控制安全扩展要求》标准讨论稿
等等，还有等级测评过程及指南。只要在测评单位做，不是难学的。毕竟有一套东西给你按照表格来弄的。
举个例子吧。
物理安全：机房管理
第二级安全要求     
6.1 技术要求
6.1.1 物理和环境安全
6.1.1.1 物理位置选择
本项要求包括：                             #这个就是做等保的工作内容，也是测评标准
a)  机房场地应选择在具有防震、防风和防雨等能力的建筑内；
b)  机房场地应避免设在建筑物的 顶层





至于怎样去满足a和b的条件，很清楚了然。不用多说。


但是日前跳过来做审计。也就是传说中的cisa。我蒙逼了。   因为没接触过。或者说，我还未深入理解这个审计行业吧。   一来就要写一份IT审计实施方案。   绝对蒙的。 什么都没，项目背景都不知道的情况下，要出一份这个文字东西。


希望大神们，多为小白指导。


在此，跪求，各位项目大神， 指导一下，方案和报告应该怎样写。 材料在哪里得到。
这些实实际际的干货，让新手也可以不用迷惑。让老手也可以有个目标。

黑暗公爵

既然没人发一下干货。。。累啊