77869288
CRISC信息系統風控師
課程大綱
認證須知
開課計劃
學習QQ群
常見問題
風險是指對實現的目標發生偏離的一中不確定性。ISACA在COBIT5中指出,所有的IT風險皆是業務風險。企業風險管理(ERM)已經席卷全球,IT風控師/IT CRO也應醞而生。ISACA推出風險與信息系統安全控制的新認證CRISC,Certified in Risk and Information Systems Control,面向首席風險官、風險管理、信息安全和業務連續性管理、隱私(Privacy)和信任(Trust)等職業人士的一類職業界定,針對企業風險以及各種IT系統的安全控制管理。CRISC全面支撐COSO, Basel II/III, GAMP等企業風控。
CRISC是一款全球頂級IT從業資格認證。CRISC可以針對金融/銀行業的IT Chief Risk Officer(CRO), 或是其它行業(比如:石油、醫藥、上市公司、跨國集團)的類似決策角色。CRISC跟CISA/CISM一樣,由美國國防部和相關標準組織認定的職業認證,可以持證上崗。2015年全美統計,IT從業人員中CRISC持證者薪水平均全球最高,年薪超過12萬美金。
CRISC跟CISA, CISM等體系相互配合、兼容,主要針對企業IT組織的全面風控實踐。
CRISC與CISA最大的區別是,前者是風險和內控的決策者、設計者、評估者,而后者是IT審計和內控檢查的執行者;
CRISC與CISM最大的區別是,前者關注于風險和戰略級安全,而后者是信息安全管理和執行者。
CRISC從實踐角度講解風險管理,其有別于傳統的“方法論”,但CRISC內容與業內主流的風控體系保持一致。
課程目標
全面深入理解IT風險及其對于組織整體的影響
學會更有效的轉移風險
學會在在組織內建立共同的風險語言和視角。
培訓對象
IT總監、高級IT經理、IT合規與審計人員、信息安全和隱私從業人員、業務連續性和IT災備管理人員、企業中高層管理者、風險管理人員等
風險管理人員、監管機構人員;
企業內部風險管理人員、IS審計從業人員、IT經理;
信息安全經理、IT風險管理顧問、咨詢人員;
企業內部負責信息系統安全管理從業人員;
其他從事IT風險管理工作相關業務人員;
培訓大綱
第一章 IT風險識別
知識域定義:
識別IT風險宇宙(risk universe)以便于執行IT風險管理戰略,從而支持業務目標并匹配企業風險管理(ERM)戰略。
具體學習目標:
識別相關標準、框架和實踐
應用風險識別技術
區分威脅和脆弱性
識別相關利益相關人
討論風險場景(Risk scenario)開發的工具和技術
解釋關鍵的風險管理的概念,包括風險偏好(Risk appetite)和風險容限(Risk tolerance)
描述風險登記單(Risk register)的關鍵的段落
貢獻于創建一個風險意識(Risk awareness)的項目群
第二章 IT風險評估
知識域定義:
分析和評估IT風險來確定業務目標受影響的可能性和影響力,從而支持基于風險的決策制定。
具體學習目標:
識別和應用風險評估的技術
分析風險場景
識別當前的信息系統控制(Controls)狀態
評估當前和預期的IT風險環境的差距
與利益相關人溝通IT風險評估的結果
第三章 風險應對(Risk response)和規避
知識域定義:
確定風險應對的選項(Options)并評估其效率和效果,從而確保對風險的管理與業務目標相匹配。
具體學習目標:
列舉不同的風險應對選項
定義實際情況下風險應對措施選擇的參數
解釋剩余風險(Residual risk)與固有風險(Inherent risk)、風險偏好與風險容限的關系
討論成本/效益合理的風險應對選擇分析的思路
開發一個風險行動(Risk action)計劃
解決風險職責/負責人的原則
通過對系統開發生命周期(SDLC)的理解來實施有效的信息系統風險
理解信息系統控制維護的需要
第四章 風險與控制的監控/匯報
知識域定義:
持續地向利益相關人針對性地監控/匯報IT風險和控制,確保IT風險管理戰略的持續有效并與業務目標吻合
具體學習目標:
討論關鍵風險指標(KRIs)和關鍵績效指標(KPIs)的區別
描述數據抽取、聚合及分析工具和技術
比較不同的控制監控工具和技術(與美國COSO內控的監控指引一致)
描述不同的測試和評估工具和技術
4小時。一共150題
2018年CISA/ CISM/ CGEIT / CRISC 考試全年有三個考試時間窗口,具體時間節點如下:
CRISC主要適合哪些專業人員參加?
風險管理人員、監管機構人員;企業內部風險管理人員、IS審計從業人員、IT經理;信息安全經理、IT風險管理顧問、咨詢人員;企業內部負責信息系統安全管理從業人員;其他從事IT風險管理工作相關業務人員;這些都是CRISC認證的培訓對象。
滿足什么要求可以申請CRISC認證
滿足什么要求可以申請CRISC認證?風險是指對實現的目標發生偏離的一中不確定性。ISACA在COBIT5中指出,所有的IT風險皆是業務風險。企業風險管理(ERM)已經席卷全球,IT風控師/IT CRO也應醞而生。CRISC全面支撐COSO, Basel II/III, GAMP等企業風控。許多想參加CRISC認證培訓的學員,苦于不知道自己的條件是否可以參加CRISC培訓。最近就有許多人打電話咨詢CRISC認證培訓的條件,那么,滿足什么要求可以申請CRISC認證?接下來CRISC培訓機構來為大家講講CRISC認證需要滿足的條件。希望通過以下內容,可以幫助大家了解到CRISC認證培訓的條件。
CRISC課程從實踐角度講解風險管理,其有別于傳統的“方法論”課程,但CRISC內容與業內主流的風控體系保持一致。風險是指對實現的目標發生偏離的一中不確定性。ISACA在COBIT5中指出,所有的IT風險皆是業務風險。企業風險管理(ERM)已經席卷全球,IT風控師/IT CRO也應醞而生。CRISC全面支撐COSO, Basel II/III, GAMP等企業風控。
CRISC認證條件具體如下:
要成功獲得CRISC認證,申請者必須達到并符合如下條件:
嚴格遵守ISACA協會的《職業道德規范》
具備風險管理和信息系統控制領域的相關經驗。
至少累計3年從事CRISC指定的五大領域的工作經驗,且必須涉及和涵蓋其中的三大領域。與CISA認證不同的是,CRISC不能通過學歷、授課等方式申請替代年限。
要維持所獲得的CRISC認證,申請者必須達到并符合如下條件:
每年通過官方網站網上支付的方式,向官方繳納認證維持費(非會員繳納$85美金,會員繳納 $40美金);
CPE網上申報(3年累計120小時,每年至少20小時),如果達到了CPE要求,CRISC證書就可以長期有效!如果CPE不符合要求,證書將作廢需要重考。
CRISC與CISA, CISM之間有什么區別聯系?
CRISC跟CISA, CISM等體系相互配合、兼容,主要針對企業IT組織的全面風控實踐。
CRISC與CISA最大的區別是,前者是風險和內控的決策者、設計者、評估者,而后者是IT審計和內控檢查的執行者;
CRISC與CISM最大的區別是,前者關注于風險和戰略級安全,而后者是信息安全管理和執行者。
CRISC從實踐角度講解風險管理,其有別于傳統的“方法論”,但CRISC內容與業內主流的風控體系保持一致。
