CRISC是一款全球顶级IT从业资格认证。CRISC主要针对具有IT风险管理以及IS控制设计、实施、监督和维护经验的人员而设计,向IT专业人士提供专业知识,使他们能够识别、评估和管理IT风险,同时计划和实施控制措施和框架。它还可以帮助个人建立一种通用的语言,在IT部门内部和整个组织内就安全和系统控制进行沟通。CRISC包含四大实践域:IT风险识别、IT风险评估、风险应对和缓解以及风险控制、监测和报告。
- 中文名CRISC风险和信息系统控制认证
- 英文名Certified in Risk and Information Systems Control
- 英文简称CRISC
- 颁证机构ISACA
- 证书类别IT GRC,IT治理
- 同类认证CGEIT、CISA
《CRISC Review Manual(CRISC考试复习手册)》
CRISC官方教材选用ISACA官方出版的《CRISC Review Manual》,中文名称是《CRISC考试复习手册》。目前_新版是第7版。《CRISC考试复习手册》是CRISC认证考试的基础。《手册》提供了综合的学习指南以帮助考生备考CRISC认证。其中包含详尽的考题结构和知识点描述及说明,制定学习计划的建议、考题范例,并根据流程与内容将考试涵盖的知识点进行全面总结和概括。另外还包括考试中的常用术语表。该手册可作为个人学习的核心资料。
另外推荐同样是ISACA官方推出的习题库《CRISC Questions, Answers & Explanations Database》(CRISC复习考题、答案及解析数据库,点击这里前往ISACA官方订阅>>)。该题库是包含600个问题的综合题库(基于CRISC第6版)。习题库囊括了考试中出现的_具代表性的题型,并进行了详尽的试题解答和分析。考题按照CRISC流程与内容范围进行了章节分类,可作为考试样卷使用,帮助考生复习和巩固知识点,熟悉考试出题思路和考试难度,是考试复习的必备习题手册。[CRISC习题集题库也出版过手册版,详询艾威课程老师>>]
CRISC考试复习手册目录结构
《CRISC Review Manual》原书为英文,也有中文版《CRISC考试复习手册》出版,其目录供参考,如下:
《CRISC考试复习手册(第7版)》目录
ISACA简介
免责声明
保留权利
ISACA
《CRISC®考试复习手册》(第7版)
致谢
新增-CRISC工作实务
关于本手册
概述
本手册的结构
本手册的编排
准备CRISC考试
开始准备
使用《CRISC考试复习手册》
考试复习手册中的模块
CRISC考试中的题目类型
将CRISC考试复习手册与其他ISACA资源结合使用
关于《CRISC复习考题及解答手册》
关于CRISC复习考题及解答数据库
第1章:治理
概述
领域1考试内容大纲
学习目标/任务说明
进一步阅读参考资料
A部分:组织治理
1.1 组织战略、目的和目标
1.1.1 IT风险管理环境
1.1.2 主要风险概念
风险示例
1.1.3 IT风险管理的重要性和价值
1.1.4 企业的IT风险战略
IT相关业务风险的类型
1.1.5 与业务目的和目标相一致
1.2 组织结构、角色和职责
1.2.1 RACI(执行人、责任人、咨询人、被通知人)
1.2.2 关键角色
1.2.3 组织结构和文化
1.3 组织文化
1.3.1 组织文化和行为以及对风险管理的影响
1.3.2 风险文化
1.3.3 风险驱动的经营方法
1.3.4 风险沟通的价值
1.4 政策和标准
1.4.1 政策
1.4.2 标准
1.4.3 程序
1.4.4 例外管理
1.4.5 风险管理标准和框架
ISO 31000:2018—风险管理准则
COBIT和信息风险
IEC 31010:2019风险管理—风险评估技巧
ISO/IEC 27001:2013信息技术—安全技术—信息安全管理系统—要求
ISO/IEC 27005:2018信息技术—安全技术—信息安全风险管理
NIST特别出版物
基于ISO/IEC 27005的风险管理计划的示例
1.5 业务流程审查
1.5.1 风险管理原则、流程和控制
风险管理的原则
流程和控制
1.5.2 与其他业务功能相关的IT风险
风险和业务连续性
风险和审计
风险和信息安全
控制风险
项目风险
变化中的风险
1.6 组织资产
1.6.1 人员
1.6.2 技术
1.6.3 数据
1.6.4 知识产权
1.6.5 资产估价
资产清单和文件
B部分:风险治理
1.7 企业风险管理和风险管理框架
1.7.1 IT风险管理良好实践
1.7.2 确定企业风险管理的方针
高层赞助(_高层的基调)
政策
1.8 三道防线
1.8.1 _道防线:运营管理
1.8.2 第二道防线:风险与合规职能部门
1.8.3 第三道防线:审计
1.8.4 风险从业人员在三道防线中的职责
1.9 风险概况
1.10 风险偏好、容忍度和能力
1.11 法律、法规和合同要求
1.12 风险管理的职业道德
第2章:IT风险评估
概述
领域2考试内容大纲
学习目标/任务说明
深造学习参考资料
A部分:IT风险识别
2.1 风险事件
2.1.1 风险因素
2.1.2 风险识别方法
2.1.3 风险环境的变化
运营完整性
行业趋势
预测风险
2.2 威胁建模和威胁环境
2.2.1 内部威胁
2.2.2 外部威胁
2.2.3 新兴威胁
2.2.4 威胁信息的其他来源
进行面谈
媒体报道
观察
日志
自我评估
第三方鉴证
用户反馈
供应商报告
2.2.5 威胁、误用和滥用案例建模
威胁建模
2.3 漏洞和控制缺陷分析
2.3.1 漏洞来源
网络漏洞
物理访问
面向应用程序和We b的服务
实用程序
供应链
设备
云计算
大数据
2.3.2 差距分析
2.3.3 漏洞评估和渗透测试
误报和零日漏洞
2.3.4 根本原因分析
2.4 风险场景开发
2.4.1 风险场景开发工具和技术
自上而下的方法
自下而上的方法
2.4.2 使用风险场景的益处
2.4.3 开发IT风险场景
2.4.4 分析风险场景
B部分:IT风险分析、评价和评估
2.5 风险评估概念、标准和框架
2.5.1 风险评级
风险地图
2.5.2 风险所有权和责任
2.5.3 记录风险评估
2.5.4 解决风险排除问题
2.6 风险登记表
2.7 风险分析方法
2.7.1 定量风险评估
2.7.2 定性风险评估
2.7.3 半定量/混合风险评估
2.8 业务影响分析
2.8.1 业务连续性和组织恢复能力
2.8.2 法规和合同义务
2.8.3 战略投资
2.8.4 不仅是业务影响
2.8.5 业务影响分析和风险评估
2.9 固有、残余和当前风险
2.9.1 固有风险
2.9.2 残余风险
2.9.3 当前风险
第3章:风险应对和报告
概述
领域3考试内容大纲
学习目标/任务说明
深造学习参考资料
A部分:风险应对
3.1 风险和控制所有权
3.1.1 所有权和责任
3.2 风险处置/风险应对方案
3.2.1 根据业务目标调整风险应对措施
3.2.2 风险应对方案
风险接受
风险缓解
风险转移/分担
风险规避
3.2.3 选择风险应对措施
3.3 第三方风险管理
3.4 问题、发现和例外管理
3.4.1 配置管理
3.4.2 发行管理
3.4.3 例外管理
3.4.4 变更管理
3.4.5 问题和发现管理
3.5 新兴风险管理
3.5.1 与新控制关联的漏洞
3.5.2 新兴技术对控制设计和实施的影响
B部分:控制设计与实施
3.6 控制类型、标准与框架
3.6.1 控制标准与框架
3.6.2 行政、技术和物理控制
3.6.3 能力成熟度模型
3.7 控制设计、选择与分析
3.7.1 控制设计和选择
3.8 控制实施
3.8.1 转换(上线)技术
并行转换
分阶段转换
一次性转换
与数据迁移相关的挑战
回退(回滚)
3.8.2 实施后审查
3.8.3 控制文档
3.9 控制测试和有效性评估
3.9.1 测试良好实践
数据
单元测试和代码审查
质量_
非技术性控制的测试
3.9.2 更新风险登记表
C部分:风险监控和报告
3.10 风险处置计划
3.11 数据收集、汇总、分析和验证
3.11.1 数据收集及提取工具和技术
日志
安全信息与事件管理
集成测试设备
外部信息来源
3.12 风险与控制监控技术
3.12.1 控制监控
3.12.2 控制评估类型
自我评估
信息系统审计
漏洞评估
渗透测试
第三方鉴证
3.13 风险与控制报告技术
3.13.1 热图
3.13.2 计分卡
3.13.3 仪表板
3.14 关键绩效指标
3.15 关键风险指标
3.15.1 KRI的选择
3.15.2 KRI的有效性
3.15.3 KRI的优化
3.15.4 KRI的维护
3.15.5 结合使用KPI与KRI
3.16 关键控制指标
第4章:信息技术和安全
概述
领域4考试内容大纲
学习目标/任务说明
深造学习参考资料
A部分:信息技术原则
4.1 企业架构
4.1.1 成熟度模型
4.2 IT操作管理
4.2.1 硬件
供应链管理
4.2.2 软件
操作系统
应用程序
数据库
软件实用程序
4.2.3 环境控制
4.2.4 网络
协议
电缆
中继器
交换机
路由器
防火墙
代理
入侵防护系统
域名系统
无线接入点
网络架构
网络拓扑
网络类型
软件定义网络
隔离区
虚拟专用网络
4.2.5 技术更新
4.2.6 IT运营和管理评估
配置管理
4.2.7 虚拟化和云计算
4.3 项目管理
4.3.1 项目风险
4.3.2 项目收尾
4.4 企业恢复能力
4.4.1 业务连续性
恢复目标
4.4.2 灾难恢复
4.5 数据生命周期管理
4.5.1 数据管理
4.5.2 数据丢失防护
4.6 系统开发生命周期
4.7 新兴技术趋势
4.7.1 无处不在的连接
自带设备(BYOD)
物联网
4.7.2 海量计算能力
解密
深度伪造
大数据
4.7.3 区块链
4.7.4 人工智能
B部分:信息安全原则
4.8 信息安全概念、框架和标准
4.8.1 可能性和影响
4.8.2 CIA三要素
机密性
完整性
可用性
不可否认性
系统授权
4.8.3 职责分离
4.8.4 交叉培训和岗位轮换
4.8.5 访问控制
标识
身份认证
授权
问责
4.8.6 加密
非对称算法
消息的完整性和哈希运算算法
数字签名
证书
公钥基础设施
加密的劣势
加密核心概念摘要
4.9 信息安全意识培训
4.10 数据隐私和数据保护原则
4.10.1 数据隐私的关键概念
知情同意
隐私影响评估
_小化
销毁
4.10.2 隐私环境中的风险管理
附录A:CRISC常规考试信息
认证要求
成功完成CRISC考试
风险相关经验
考试介绍
报名参加CRISC考试
CRISC计划再次通过ISO/IEC 17024:2012认证
预约安排考试日期
考试入场
安排时间
考试评分
附录B:CRISC工作实务
词汇表
CRISC知识体系介绍
CRISC知识体系主要由四大知识领域构成:治理、IT风险评估、风险应对和报告、信息技术和安全。
1 治理 — 涵盖组织治理和风险治理,包括:组织 战略、目标、文化、政策和标准、企业风险管理和框 架、三道防线、风险概况等。
2 IT风险评估 — 涵盖IT风险识别、分析和评估,包 括:风险事件、威胁模型和态势、风险评估概念、标 准和框架、风险登记、风险分析方法论、业务影响 分析等。
3 风险应对和报告 — 涵盖风险响应、控制设计和 实施、风险监控和报告,包括:风险处置、风险响应 选项、风险和控制所有权、控制设计、选择和分析、 控制测试和有效性评估、风险处置规划等。
4 信息技术和安全 — 涵盖信息技术原则和信息安 全原则,包括:企业架构、IT运营管理、数据生命周 期管理、系统开发生命周期、框架和标准、数据隐 私和数据保护原则等。
艾威国际网校
艾威天猫旗舰店
艾威官方微信
艾威网校官方微信
艾威官方视频号
艾威知乎号
企业微信客服
鄙视链?都做数据分析的那些事,BA和DA,谁更重要?
