CRISC介绍

      CRISC风险与信息系统安全控制认证,2010年ISACA针对企业风险以及各种IT系统的安全控制管理而推出。申请者至少必须有8年以上IT或者是企业营运的经验,这期间的工作内容必须包含风险鉴定、评估与评价、风险响应、风险监测、信息系统监控设计及执行、信息系统监控监测及维护这五个工作领域,相关的总工作经验至少6年,且对于风险相关工作内容,包关风险鉴别、风险应对及风险监控的工作至少3年以上。
      自2010年4月开始,已有超过121个国家的投考者申请CRISC认证。首次CRISC考试也已于2011年6月举行。下一轮考试将于2012年6月举行。
      CRISC认证对于工作领域的要求相当严格,工作业务范围必须囊括风险以及IT系统控制两大板块,这也是CRISC认证的考试范围内容。依照ISACA对于工作领域进一步的要求与规范,工作领域可以分成5个项目内容:
      其中,最核心、比重也最高的就是“风险鉴别”,所有的风险应对策略第一步就是必须要能够识别出企业面临的风险有哪些,若是企业的风险无法被鉴别出来,相对应的风险应对措施也都无效。
      其次,就是风险回应,应对风险的方式有4种,分别是避免、降低、转嫁以及接受,对多数企业而言,当风险无法避免时,大家都希望能够做到降低风险,至于是否接受风险,主要视发生机会高低以及成本高低而定。
      第三项工作领域是风险监控,这个环节和审计工作有关,当风险鉴别产出一份报告时,风险应对就针对报告内容产出一份应对计划,风险监控的目的就是在看风险应对计划是否有按照计划进行,而每一个监控环节是否有发挥应有功能。
      第四项和第五项工作领域就偏重IT系统的控制与监控。例如,涉及IT系统的控制设计时,工作内容多半包含是否有因为IT系统设计控制不良,甚至导致IT效率不佳的问题。至于监控IT系统的控制措施,主要工作内容是确认相关的IT系统监控与矫正措施是否发挥效能等。

本文来自于艾威培训

转载请注明:http://www.avtechcn.com/share/241.html