數(shù)字化人才18大能力 > IT GRC能力 > CRISC

CRISC?
400-888-5228

CRISC報考指南及考試大綱

CRISC適合哪些人?你的條件適合報考嗎?

CRISC認證針對具有IT風險管理以及IS控制設計、實施、監(jiān)督和維護經驗的人員而設計。

  • IT總監(jiān)、高級IT經理、IT合規(guī)與審計人員
  • 信息安全和隱私從業(yè)人員、業(yè)務連續(xù)性和IT災備管理人員
  • 企業(yè)中高層管理者、風險管理人員等
  • 風險管理人員、監(jiān)管機構人員;
  • 企業(yè)內部風險管理人員、IS審計從業(yè)人員、IT經理;
  • 信息安全經理、IT風險管理顧問、咨詢人員;
  • 企業(yè)內部負責信息系統(tǒng)安全管理從業(yè)人員;
  • 其他從事IT風險管理工作相關業(yè)務人員;

三 (3) 年以上(含)信息技術風險管理及信息系統(tǒng)控制工作經驗。不允許替代或免除工作經驗。

CRISC考試基本信息
考試語言中文考試/英文考試
考試形式在線機考
考試費用詳詢艾威課程顧問
考試時間隨約隨考(提前1-4周做報考)
考試時長

4小時(國內線下考場考試時間: 09:00-13:00/13:00-17:00)

考試題型

150道單選題。

通過條件

獲得標準分 450 分通過(滿分 800 分),即110 題及格。

CRISC考試大綱/考試內容
  • 領域 1 – 治理 (26%)
  • 領域 2 – IT 風險評估(20%)
  • 領域 3 – 風險應對和報告(32%)
  • 領域 4 – 信息技術和安全性 (22%)

CRISC考試內容大綱

26%-領域1:治理
治理領域詢問您關于組織的業(yè)務和IT環(huán)境、組織戰(zhàn)略、目標和目的的信息的知識,并檢查IT風險對組織的業(yè)務目標和操作的潛在或已實現(xiàn)的影響,包括企業(yè)風險管理和風險管理框架。

A-組織治理
1 組織戰(zhàn)略、目標和目的
2 組織結構、角色和職責
3 組織文化
4 政策和標準
5 業(yè)務流程
6 組織資產
B-風險治理
1 企業(yè)風險管理和風險管理框架
2 三道防線
3 風險狀況
4 風險偏好和風險承受能力
5 法律、法規(guī)和合同要求
6 風險管理的職業(yè)道德

20%-領域2:IT風險評估
該領域將證明您對組織的人員、流程和技術面臨的威脅和漏洞的了解,以及威脅、漏洞和風險情景的可能性和影響。

A-IT風險識別
1 風險事件(如促成條件、損失結果)
2 威脅建模和威脅前景
3 漏洞和控制缺陷分析(例如,根本原因分析)
4 風險情景開發(fā)
B-信息技術風險分析和評估
1 風險評估概念、標準和框架
2 風險登記冊
3 風險分析方法
4 業(yè)務影響分析
5 固有和剩余風險

32%-領域3:風險應對和報告
該領域處理關鍵利益相關方之間風險處理計劃的開發(fā)和管理、現(xiàn)有控制的評估和提高IT風險緩解的有效性,以及對適用利益相關方的相關風險和控制信息的評估。

A-風險應對
1 風險處理/風險應對選項
2 風險和控制所有權
3 第三方風險管理
4 問題、發(fā)現(xiàn)和異常管理
5 管理新出現(xiàn)的風險
B-控制設計和實施
1 控制類型、標準和框架
2 控制設計、選擇和分析
3 控制實施
4 控制測試和有效性評估
C-風險監(jiān)控和報告
1 風險處理計劃
2 數(shù)據(jù)收集、匯總、分析和驗證
3 風險和控制監(jiān)控技術
4 風險和控制報告技術(熱圖、記分卡、儀表板)
5 關鍵績效指標
6 關鍵風險指標
7 關鍵控制指標

22%-領域4:信息技術和安全性
在這一領域,我們探討業(yè)務實踐與風險管理和信息安全框架和標準的一致性,以及風險意識文化的發(fā)展和安全意識培訓的實施。

A-信息技術原則
1 企業(yè)架構
2 IT運營管理(例如,變更管理、IT資產、問題、事故)
3 項目管理
4 災難恢復管理(DRM)
5 數(shù)據(jù)生命周期管理
6 系統(tǒng)開發(fā)生命周期
7 新興技術
B-信息安全原則
1 信息安全概念、框架和標準
2 信息安全意識培訓
3 業(yè)務連續(xù)性管理
4 數(shù)據(jù)隱私和數(shù)據(jù)保護原則

任務

1 收集和審查關于組織的業(yè)務和IT環(huán)境的現(xiàn)有信息。
2 確定IT風險對組織的業(yè)務目標和運營的潛在或已實現(xiàn)的影響。
3 識別組織的人員、流程和技術面臨的威脅和漏洞。
4 評估威脅、漏洞和風險,以確定IT風險情景。
5 通過分配和驗證適當級別的風險和控制所有權來建立責任。
6 建立和維護信息技術風險登記冊,并將其納入企業(yè)范圍的風險狀況。
7 促進關鍵利益相關方確定風險偏好和風險承受能力。
8 通過促進安全意識培訓的發(fā)展和實施,促進風險意識文化。
9 通過分析IT風險情景并確定其可能性和影響來進行風險評估。
10 確定現(xiàn)有控制措施的當前狀態(tài),并評估其降低IT風險的有效性。
11 審查風險分析和控制分析的結果,以評估IT風險環(huán)境的當前狀態(tài)和期望狀態(tài)之間的任何差距。
12 促進關鍵利益相關者選擇建議的風險應對措施。
13 與風險所有人合作制定風險處理計劃。
14 在控制措施的選擇、設計、實施和維護方面與控制措施所有者合作。
15 驗證風險響應已根據(jù)風險處理計劃執(zhí)行。
16 定義和建立關鍵風險指標(kri)。
17 監(jiān)控和分析關鍵風險指標。
18 與控制負責人協(xié)作確定關鍵績效指標(KPI)和關鍵控制指標(kci)。
19 監(jiān)控和分析關鍵績效指標(KPI)和關鍵控制指標(kci)。
20 審查控制評估的結果,以確定控制環(huán)境的有效性和成熟度。
21 向適用的利益相關方報告相關的風險和控制信息,以促進基于風險的決策。
22 評估業(yè)務實踐與風險管理和信息安全框架及標準的一致性。

* 以上內容參考ISACA官方的CRISC考試內容說明,原文內容參見:點此>>

ISACA官方考試說明,在線預覽↓↓↓

ISACA-Exam-Candidate-Guide

點擊獲取《ISACA考試認證手冊(含CRISC考試說明)》[PDF]

點擊進行CRISC考試樣題測試[在線/英文]

CRISC報考流程

審核報考資格去審核

參加培訓課程填寫報名表→開始學習→獲得報考資質
*艾威(授權機構)出具培訓證明

參加考試約考→考試→申請證書(申領/續(xù)證)
*艾威提供全程服務,歡迎咨詢

以我現(xiàn)在的基礎,考CRISC能考幾分?

CRISC考試難不難?通過率怎么樣? 預約模擬自測
艾威數(shù)字化人才培訓中心
培養(yǎng)新時代“數(shù)字化”關鍵人才,定制綜合培訓方案
  • 艾威擁有20年職業(yè)認證培訓經驗,考證書、評職稱、職業(yè)規(guī)劃、能力提升,我們以培養(yǎng)數(shù)字化頂尖人才為己任
  • 艾威擁有30多家國際權威廠商授權資質,引入國際前沿數(shù)字化技術與知識體系,為學員提供正規(guī)課程培訓
  • 艾威的課程覆蓋“管理與商業(yè)”、“IT管理與運營”、“數(shù)字化技術”三大領域的18大能力,幫助學員成為高級職業(yè)經理人、成為數(shù)字化管理與技術方面的專業(yè)人才
  • 艾威數(shù)字化人才培訓中心,針對數(shù)字化人才的18大能力提供完整的培訓方案,從思維養(yǎng)成、實踐與工具以及認證備考3大模塊出發(fā),全面提升職場競爭力。