2014年CRISC国际注册风险与信息系统安全控制认证
一、国际信息系统审计与控制协会ISACA简介
国际信息系统审计协会(ISACA)创始於1967年,是由从事电脑系统审计监控工作人士所组成的小团体。有见於电脑信息审计监控工作对自己在职机构的运作愈益重要,他们开始讨论相关范畴需要集中的信息资源和指引。在1969年,这个团体正式组成EDP信息系统审计协会。在1976年,这个协会成立一项教育基金来开展大规模的研究工作,以拓展信息科技管治与监控领域的知识与价值。
ISACA在全球有超过110,000名成员,成员的背景十分广泛。这些成员在180多个国家内生活和工作,并涵盖众多专业信息科技的相关职业,例如信息系统审计师、顾问、教导员、信息系统安全专家、监管机构人员、首席信息官和内部审计师等。有些职业是本领域内新兴的,其他为中级管理人员,另外还有许多人担任高级职位。ISACA的成员几乎遍及所有行业,包括财政金融、公共会计、政府与公共部门、公用事业和制造业。成员多样的背景使他们能够互相学习,并在许多专业问题上广泛交流彼此独特的观点。此特点一直是ISACA的一项优势。国际信息系统审计协会现已简称为ISACA,以反映协会信息系统管理方面的广泛领域。
ISACA的另一个优势就是分会网络。ISACA拥有200多个分会,遍布世界超过80个国家,为成员提供教育、资源分享、支援、专业网络,以及其他由当地分会提供的许多福利。请查询你的所在地是否设立了分会。
由创会至今,ISACA已成为一个为信息科技管治、监控、保安和审计专业设定规范的全球性组织。协会的信息系统审计和信息系统监控标准为全球从业员所遵从。组织内会员机构面对的专业难题也是ISACA研究的项目。
ISACA旗下共有五大认证体系,即信息系统治理师(COBIT)信息系统审计师(CISA)、信息安全经理(CISM)、企业信息科技管治认证(CGEIT)、风险及信息系统监控认证(CRISC)。
ISACA出版的《国际信息系统审计期刊》(ISACAJournal),是领导信息监控业界的重要技术性刊物。组织亦会举办一系列国际性会议,集中讨论信息系统的保障、监控、保安和信息科技管治等专业的技术与管理。ISACA与其附属的国际信息科技管治协会一直带领着信息科技监控业界,并在全球不断变化的环境下为从业员提供信息科技专业所需的元素。
二、CRISC认证介绍
ISACA于2010年4月推出风险与信息系统安全控制的新认证CRISC,针对企业风险以及各种IT系统的安全控制管理。而配合国际计算机稽核协会惯例,新款认证推出到举行第一次正式考试之前,会有大约1年的推广时间。在此时期间,协会会针对符合认证资格的业界人士,推出免试申请该认证的机会。符合申请资格的人从2010年起到2011年3月底前,可以免试申请CRISC认证。申请者至少必须有8年以上IT或者是企业营运的经验,这期间的工作内容必须包含风险鉴定、评估与评价、风险响应、风险监测、信息系统监控设计及执行、信息系统监控监测及维护这五个工作领域,相关的总工作经验至少6年,且对于风险相关工作内容,包括风险鉴别、风险应对及风险监控的工作至少3年以上。自2010年4月开始,已有超过121个国家的投考者申请CRISC认证。首次CRISC考试也已于2011年6月正式举行。下一轮考试将于2014年6月举行。
CRISC认证对于工作领域的要求相当严格,工作业务范围必须囊括风险以及IT系统控制两大板块,这也是CRISC认证的考试范围内容。依照ISACA对于工作领域进一步的要求与规范,工作领域可以分成5个项目内容:
其中,最核心、比重也最高的就是“风险鉴别”,所有的风险应对策略第一步就是必须要能够识别出企业面临的风险有哪些,若是企业的风险无法被鉴别出来,相对应的风险应对措施也都无效。
其次,就是风险回应,应对风险的方式有4种,分别是避免、降低、转嫁以及接受,对多数企业而言,当风险无法避免时,大家都希望能够做到降低风险,至于是否接受风险,主要视发生机会高低以及成本高低而定。
第三项工作领域是风险监控,这个环节和审计工作有关,当风险鉴别产出一份报告时,风险应对就针对报告内容产出一份应对计划,风险监控的目的就是在看风险应对计划是否有按照计划进行,而每一个监控环节是否有发挥应有功能。
第四项和第五项工作领域就偏重IT系统的控制与监控。例如,涉及IT系统的控制设计时,工作内容多半包含是否有因为IT系统设计控制不良,甚至导致IT效率不佳的问题。至于监控IT系统的控制措施,主要工作内容是确认相关的IT系统监控与矫正措施是否发挥效能等。
三、CRISC认证对象
CRISC是一个针对企业风险以及IT系统安全控制措施所推出的风险认证,这里的风险主要是针对企业营运相关的风险,再加上IT系统控制的风险,也因为风险往往和法规遵循有关。因此,适合取得CRISC认证的考生,除了一般的IT专业人员外,专业的风险人员、了解营运风险的业务分析人员、项目经理以及法规遵循人员都具有非常强的针对性。
CRISC与ISACA现有认证计划互为补充;既CRISC认证与CISA认证、CISM认证、CGEIT认证的区别。
CISA认证面向那些对监控设计和运行有效性进行独立评审的IT专业人士;而CRISC认证专为那些鉴定、管理风险,设计、实施、维护信息系统监控体系的IT及业务专业人士而设。
CISM认证面向那些负责管理、设计、监视和/或评估企业信息安全(包括信息安全风险的鉴定和管理)的个人;CRISC认证则面向那些还需要另外考量运营和监管合规事宜的IT专业人士。
CGEIT认证面向那些负责与风险管理等IT治理工作有关的重要管理、咨询或保障职务的IT及业务专业人士;而CRISC认证则面向那些负责鉴定、评价和监测风险,并在运营层面降低风险的IT及业务专业人士。
四、CRISC认证条件
要成功获得CRISC认证,申请者必须达到并符合如下条件;
(1)顺利通过CRISC考试;
(2)严格遵守ISACA协会的《职业道德规范》,具体条款详见:
http://www.isaca.org/Certification/CRISC-Certified-in-Risk-and-Information-Systems-Contr
(3)具备风险管理和信息系统控制领域的相关经验,并提供有效的证明。具体要求如下:
至少累计3年从事CRISC指定的五大领域的工作经验,且必须涉及和涵盖其中的三大领域。
需要特别说明的是:2014年开始,CRISC认证将不同于CISA/CISM认证,无法适用于年限替代的申请规则。(即无论任何学历或讲师,都无法申请工作年限的替代,在考试通过后必须达到3年要求工作领域的经验要求方可申请认证)。具体的相关信息可通过官网进行查询:
| 官网参考信息查询 | |
| 分类信息 | 网址 |
| 关于认证 | www.isaca.org/crisc |
| 准备考试 | www.isaca.org/criscprep |
| 认证培训 | www.avtechcn.com/course/crisc |
| 认证要求 | www.isaca.org/criscrequirements |
| 工作实践 | http://www.isaca.org/criscjobpractice |
| 证书申请 | www.isaca.org/criscapp |
| 证书维持 | www.isaca.org/crisccpepolicy |
| 考试术语 | www.isaca.org/glossary |
(1)每年通过官方网站网上支付的方式,向官方缴纳认证维持费(2014年非会员缴纳$85美金,会员缴纳$45美金)。从2014年开始,如果考生在ISACA维持多个证书,那么对于第三和第四个获得的证书,将享受维持费的打折优惠,会员可享受20美金的优惠,非会员则享受35美金的优惠。
(2)CPE网上申报(3年累计120小时,每年至少20小时),如果达到了CPE要求,CRISC证书就可以长期有效!如果CPE不符合要求,证书将作废需要重考。
五、CRISC认证报名及考试事项
1、CRISC认证考试时间:
| 考试日期 | 报名优惠截止期 | 报名截止期 |
| 2014年6月14日 | 2014/02/12 | 2014/04/11 |
| 2014年9月6日 | 2014/06/11 | 2014/07/21 |
| 2014年12月13日 | 2014/08/20 | 2014/10/24 |
| 考试费 | ISACA会员 | 非ISACA会员 |
| 优惠期 | $420 | $600 |
| 截止期 | $470 | $650 |
| 加入日期 | 会员失效日期 |
| 2013/12/01-2014/05/30 | 2014/12/31 |
| 2014/06/01-2014/07/31 | 2014/12/31 |
| 2014/08/01-2015/12/31 | 2015/12/31 |
如果考生需变更考试地点、考生姓名、试卷语言等信息,需要收取如下费用。但在指定日期后将无法进行信息变更。
| 手续费 | 6月考试 | 9月考试 | 12月考试 |
| 免费 | 2014/04/11 之前 | 2014/07/21 之前 | 2014/10/24 之前 |
| 50 美金 | 2014/04/12-2014/04/25 | 2014/07/22-2014/07/28 | 2014/10/25-2014/10/31 |
| 无法变更 | 2014/04/25 之后 | 2014/07/28 之后 | 2014/10/31 之后 |
考生如果无法参加考试,可以申请退考并退还注册考试费。但官方会收取100美金的退考手续费。此外,在每次考试的指定日期后,无法申请退考,请考生务必注意。
| 手续费 | 6月考试 | 9月考试 | 12月考试 |
| 100美金 | 2014/04/11之前 | 2014/07/21之前 | 2014/12/24之前 |
| 无法退考 | 2014/04/11之后 | 2014/07/21之后 | 2014/12/24之后 |
无法准时参加考试的考生可以申请缓考,将考试延期至下一次考试日期,但ISACA同样会收取50至100美金不等的缓考手续费。此外,在每次考试的指定日期后,无法申请缓考。缓考的申请网址为:www.isaca.org/examdefer
| 手续费 | 6月考试 | 9月考试 | 12月考试 |
| 50美金 | 2014/04/25之前 | 2014/08/04之前 | 2014/10/24 |
| 100美金 | 2014/04/26-2014/05/23 | 2014/08/05-2014/08/22 | 2014/10/25-2014/11/28 |
| 无法缓考 | 2014/05/23之后 | 2014/08/22之后 | 2014/11/28之后 |
(1)无论在优惠期中还是优惠期后,也不论是否是ISACA会员,请考生务必通过www.isaca.org官方网站在线支付方式进行报名,如果通过传真或电子邮件方式发送报名表,将被额外收取$50美元的手续费。
(2)所有时间均以美国芝加哥当地时间为准,请考生提前准备,预留提前量。
(3)考生在选择会员报名的时候,务必加入香港分会并缴纳分会会费,否则将无法成功注册考试。考生姓名必须为中文全拼,提交的邮箱地址也至关重要,所有与考试相关的信息、准考证、考试成绩都将通过邮箱发送。
8、CRISC考试地点:
CRISC认证将于2014年在中国大陆地区的五个城市组织三次考试,考生可根据就近的原则选择相应考点。考点城市的具体考试地址以官方准考证上公布的地址为准。
| 考点 | 考点代码 |
| 北京 | 6620 |
| 广州 | 6635 |
| 南京 | 6640 |
| 上海 | 6650 |
| 深圳 | 6680 |
9、CRISC考试评分体系:
ISACA开发了一套完善的考试评分体系,以准确客观评价考生掌握CRISC五大领域技能的熟练运用程度。考试题型全部为单项选择题,每题有且只有一个正确答案。考试为纸考笔答方式,题量200题,考试时间4小时。考试分数为200-800分(全对满分为800分,全错为200份基准分),450分为考试合格分数线,大约需要答对150题左右方能通过考试。
尽管CRISC同为ISACA推出的国际认证,但与CISA认证不同的是,目前该认证只提供英语考试,无其他考试语言可供选择,请考生务必注意。
10、CRISC考试注意事项:
(1)准考证:官方会在考试前2-3周通过电子邮件发送给考生,考生打印即可。同时,考生也会收到纸质邮寄的准考证。上述两种方式的准考证都可以使用。如果考生在考前2周没有收到任何形式的准考证,请及时与官方取得联系以核查原因。
(2)CRISC考试时间安排
| 名称 | 时间 |
| 入场时间(不可迟到) | 07:30-08:30 |
| 准备时间(宣读考场纪律) | 08:30-09:00 |
| 考试时间(四小时) | 09:00-13:00 |
11、携带物品
必须携带:2B/HB铅笔、橡皮、身份证、准考证
建议携带:手表、水/食品(只能在考场指定休息区域内饮水和享用食物)
禁止携带:手机、书、笔记、字典等
12、CRISC考试成绩
CRISC考试成绩在考试八周后通过email发送,考生也会收到邮寄的纸质成绩单。成绩单上会对考试的各个章节领域的得分情况进行分类统计。为了对考试分数保密,考试成绩将不采用电话、传真或者其他方式另行告知。
13、CRISC证书申请
通过CRISC考试后,成绩单的有效时间为5年。在5年内,只要达到了官方的认证要求,即可在官方网站下载并填写申请表(工作经验),并需要雇主签字,而官方会在全球进行5%比例的不定期抽检,以验证申请资料的有效性和合法性。需要注意的是,在填写申请时必须用英文填写。申请方式最简单的方法是打印填写完的申请表,扫描后发邮件给官方的认证部门即可:certification@isaca.org
六、考试内容及备考资料
1、考试大纲
由五大领域组成,具体的考试占比见下图所示:
2、备考资料
考生报名成功后会收到《CRISC认证指南》。本指南并非考试教材,但提供了有关流程与考试内容和大纲的详细信息,并推荐了一些考试参考资料,以及考试中使用的词汇表等信息。
针对考试复习资料,建议考生向官方订购
(1)2014官方教材
书名:《CRISC Review Manual 2014》
(2)2013官方习题集(700题)
书名:《CRISC Review Questions, Answers & Explanations Manual 2013》
(3)2014官方补充习题集(200题)
书名:《CRISC Review Questions, Answers & Explanations Manual 2014 Supplement》
其中教材提供了综合的学习指南以帮助考生备考CRISC认证。其中包含详尽的考题结构和知识点描述及说明,制定学习计划的建议、考题范例,并根据流程与内容将考试涵盖的知识点进行全面总结和概括。另外还包括考试中的常用术语表。该教材可作为个人学习的核心资料,也可作为学习团体及分会机构在当地开办复习课程的指南和参考。
两本习题集则囊括了考试中出现的最具代表性的题型,并进行了详尽的试题解答和分析。考题按照CRISC流程与内容范围进行了章节分类,可作为考试样卷使用,帮助考生复习和巩固知识点,熟悉考试出题思路和考试难度,是考试复习的必备习题手册。
3、其他提示
(1)CRISC考试所涉及的五大领域的知识点,考生应涵盖但不局限于对教材的掌握和理解,在通读教材的同时,应尽量参阅其他相关的风险管理与控制资料,合理制定学习计划并分配学习时间。适当结交考友,共同学习,一起进步,取长补短。
(2)CRISC考试关键在于对知识点的领会和理解,官方模拟题提供了考生应对考试的思路和方法,但请勿抱有侥幸心理,盲目背题将无助于顺利通过考试。
七、联系我们
Shanghai AVTECH Information & Technology Co., Ltd.
Tel:400-888-5228
E-mail:training@avtechcn.cn
Building2,,No.355, Huanghe Road., Shanghai, China
本文来自于艾威培训
转载请注明:https://www.avtechcn.cn/share/655.html
