CRISC认证考试指南2016

《CRISC认证考试指南2016》由会员分享，可在线阅读，更多相关《CRISC认证考试指南2016（31页珍藏版）》请在金锄头文库上搜索。

1、CRISC认证考试指南风险及信息系统监控认证全球唯一的IT风险官认证 国际信息系统审计协会（ISACA，网址：www.isaca.org）是全球公认提供信息系统 (IS) 鉴证及安全、企业 IT 治理与管理，以及IT 相关风险与合規性之知识、认证、社群、倡导与教育训练的领导组织，会员遍布逾180 个国家，总数超过 100,000 人。ISACA 成立于 1969 年，是一个非盈利性的独立组织。除了主办国际会议 ，出版国际信息系统审计期刊（ISACA Journal），并制定国际公认的IS审计与控制标准，以協助其成员缔造一个信赖可靠，优值的信息系统。 国际信息系统审计协会致力于持续更新及扩展各种

2、基于COBIT框架的实务指南和产品系列。COBIT能协助 IT 专才及企业领袖履行在IT 治理与管理方面的职责，特別是在鉴证，安全，风险管理及控制的范畴， 使业务价值得以提升。国际信息系统审计协会 (ISACA) 同时, 为促进与证明各人的IT 技能及知识 ，ISACA推出了一系列全球公认的专业认证。 ISACA 认证： IS审计、安全、治理和风险与控制。国际信息系统审计协会 (ISACA)CISA注册信息系统审计师（CertifiedInformationSystemsAuditor）CISM注册信息安全经理（CertifiedInformationSecurityManager）CGEIT

3、企业信息科技管治认证CertifiedintheGovernanceofEnterpriseITCRISC风险及信息系统监控认证CertifiedinRiskandInformationSystemsControlCOBIT信息及相关技术的控制目标ControlObjectivesforInformationandrelatedTechnology 风险是指对实现的目标发生偏离的一中不确定性。 ISACA在COBIT5中指出，所有的IT风险皆是业务风险。 企业风险管理(ERM)已经席卷全球，IT风控师/IT CRO也应酝而生。 CRISC全面支撑COSO, Basel II/III, GAMP

4、等企业风控。 SPISEC Corporation第 4 页关于IT风险 信息安全是对信息资产保密性、完整性和可用性的管理。 风险与安全一脉相承，难以也不需要明确切分！ SPISEC Corporation第 5 页关于信息安全业务风险IT风险信息安全 CRISC认证针对具有IT风险管理以及IS控制设计、实施、监督和维护经验的人员而设计。 CRISC跟CISA, CISSP等体系相互配合、兼容，主要针对企业IT组织的全面风控实践。CRISC是一款顶级资格认证。 CRISC可以针对金融/银行业的IT Chief Risk Officer, 或者是其它行业(比如：石油、医药、上市公司、跨国集团)的

5、类似角色 。CRISC风险及信息系统监控认证 基于美国IT培训公司Global Knowledge和Windows IT Pro 杂志2014年秋季对美国IT行业的调查，最新发布的“15 Top-Paying Certifications for 2015”报告显示：在最值钱的15种职业资格认证中，ISACA(国际信息系统审计协会)的风险和信息系统控制(CRISC)认证与CISM(国际注册信息安全经理)资格认证在IT安全类分别排位第1名和第2名。 SPISEC Corporation第 7 页2015年持证者平均薪水全球第一名CRISC适合对象： CIO、CSO 风险管理主管、控制主管、合规主

6、管，IT经理或负责人； 信息安全经理，风险经理； 控制经理，合规经理； 信息安全、风险、控制、合规专业人员； IT审计人员，其他审计人员； 其他相关人员。CRISC适合对象 SPISEC Corporation第 9 页CRISC知识体系IT风险识别(27%)IT风险评估(28%)风险响应与缓解(23%)风险和控制监控与报告(22%)介绍IT风险管理 治理与风险管理 IT风险管理的环境 IT风险管理的重要性 业务风险 VS. IT风险 风险与业务持续 IT风险与IS审计 IT风险与信息安全（控制风险、项目风险、变更风险）领域1领域2领域3领域4 治理与风险管理 IT风险管理的环境 IT风险管理

7、的重要性 业务风险 VS. IT风险- 风险与业务持续- IT风险与IS审计- IT风险与信息安全（控制风险、项目风险、变更风险） SPISEC Corporation第 10 页开篇：介绍 IT风险管理 风险管理最佳实践（ISO31000、COBIT 5 for Risk、ISO27001/27005、NIST） 识别风险的方法 风险文化与沟通 业务的IT风险战略 信息安全风险概念与原则 资产相关的威胁与脆弱性 组织资产与业务流程相关的风险 IT风险场景 IT风险登记单 风险容量、风险偏好、风险容限 风险意识 SPISEC Corporation第 11 页领域 1： IT风险识别 (27%

8、) 风险评估技术 分析风险场景 控制的当前状态 风险和控制分析 风险分析方法 事件响应文案 业务相关的风险 企业架构相关的风险 数据管理风险 新型威胁和脆弱性 新技术的风险 行业趋势 第三方管理风险 项目/项目群交付风险 业务持续和灾备风险 异常情况处理最佳实践 IT风险报告 SPISEC Corporation第 12 页领域 2： IT风险评估 (28%) 将风险应对与业务目标匹配 风险应对选项 选择应对方案的分析技术 关于新型控制的脆弱性 开发风险应对技术 业务流程审查技术 控制的设计和实施 控制的监控 固有风险、剩余风险 控制的活动、目标和指标 新技术对控制的设计和实施的影响 风险管理

9、的流程 风险应对和行动计划 SPISEC Corporation第 13 页领域 3：风险响应与缓解 (23%) 关键风险指标(KRIs) KPIs与KRIs 数据收集、抽取、加工技术 风险配置文件的变更 控制的监控 控制的评估技术 控制评估的结果 SPISEC Corporation第 14 页领域 4：风险和控制监控与报告 (22%)注意： CRISC官方考试报名时间与费用、流程同 CISA类似；具体参考： http:/ SPISEC Corporation第 15 页+/- 风险 机会与威胁IT作为价值抑制者IT作为价值支撑者IT风险IT会影响业务价值的实现IT会让业务错失一些机会IT灾

10、难会破坏业务的成果IT机会 通过 IT来设别新的业务机会 通过 IT来强化业务价值 SPISEC Corporation第 16 页CRISC 风险文化对待风险的偏好风险文化对待负面结果的偏好对待政策遵循的偏好保守：风险厌恶激进：拥抱风险合规不合规学习文化责备文化 SPISEC Corporation第 17 页CRISC 6大风险管理原则IT风险管理原则嵌入在日常运维中连接业务目标IT风险与企业风险管理 (ERM)一致IT风险管理的成本 /收益平衡提倡公开、透明的沟通高层之声、高层职责 SPISEC Corporation第 18 页CRISC 风险治理和管理流程风险治理沟通风险应对 风险评

11、估业务目标与企业风险管理 (ERM)相集成建立和维护风险视图基于风险意识的业务决策分析风险维护风险配置文件收集数据管理风险应对事件表述风险 SPISEC Corporation第 19 页CRISC 风险情景与识别施动者 内部 外部威胁类型 恶意的 无意的 失效的 自然的 外部需求的事态 披露 中断 修改 偷窃 摧毁 无效设计 无效执行 规则和合规 不合理的使用资产 /资源 人和组织 流程 基础架构 (基础设施 ) IT基础架构 信息 应用时间 区间 发生的时间期间 (关键 , 非关键 ) 检测的时间风险场景 SPISEC Corporation第 20 页CRISC 风险因子IT战略重要性I

12、T复杂性 组织复杂性 变化程度 变革管理能力 风险管理理念 操作模型 战略重要性外部环境因子内部环境因子 IT能力 市场 /经济因子 汇率变化 行业 /竞争 地缘政治 合规环境 技术状态和革新风险管理能力IT相关的业务能力COBIT 4.1 or 5 计划和组织 获取和实施 交付和支持 监控和评估Val IT 价值治理 组合管理 投资管理Risk IT 风险治理 风险评估 风险应对风险因子的细节 SPISEC Corporation第 21 页CRISC 风险分析和应对评估频次和影响风险风险容限风险分析风险超过风险容限值选择风险应对措施1. 避免2. 减少 /规避3. 共享 /转移 4. 接受

13、风险应对选项风险应对排序风险应对选项排序后的风险应对措施风险行动计划成本重要性实施能力应对效果应对速度商业论证商业论证快赢推迟风险应对排序风险应对选择的参数当前风险级别效果 /成本 比率风险分析风险应对 SPISEC Corporation第 22 页CRISC 5种控制类型攻击威胁创建脆弱性利用影响产生预防控制保护减少检测控制触发发现纠正控制Decreases补偿控制威慑控制ReduceLikelihood ofReduceLikelihood of SPISEC Corporation第 23 页CRISC 控制的实施4. 实施监控2. 控制识别3. 信息识别1. 风险排序 SPISEC

14、Corporation第 24 页CRISC 控制模型建立基础 高层之声 组织结构 有效内控的基线设计和执行 风险排序 识别关键控制 识别充足信息 实施监控评估和汇报 发现排序 向合适级别进行汇报 后续行动支持关于控制有效性的结论 SPISEC Corporation第 25 页CRISC 控制的信息模型直接信息间接信息持续监控间隙性评估 典型的最有说服力的信息 高风险领域有特别的价值 能强化监控效率 对直接信息提供支持主要用于再检验结论 典型的最没有说服力的信息 能够支持打分其它间隙性评估的信息 SPISEC Corporation第 26 页CRISC与其它 IT风险管理体系的区别 CRI

15、SC注重理论和实践的集合， 它不仅仅是一个流程。 此外， CRISC一半关注风险，一半关注控制学。 SPISEC Corporation第 27 页CRISC的 12大风控落地实践领域IT战略与架构风险IT项目 /项目群交付风险IT运营和服务交付风险IT战略与架构风险IT项目 /项目群交付风险第三方管理信息安全管理业务连续性管理变更管理IT资产和配置管理问题管理数据 /隐私管理物理环境管理IT运营管理业务应用管理IT风险管理 “汇哲科技”是由北京汇哲信安科技有限公司、上海汇哲信息科技有限公司等多个独立公司所组成。（简称“汇哲科技”或“SPISEC”）。长年致力于IT治理,信息安全,IT审计,IT服务管理,业务连续性,项目管理,领先理念等方面实践培训与研究，始终以培养国内信息安全专业人才、组织中国信息安全人交流为发展目标。 作为领先的专业培训