26%-领域1:治理
治理领域询问您关于组织的业务和IT环境、组织战略、目标和目的的信息的知识,并检查IT风险对组织的业务目标和操作的潜在或已实现的影响,包括企业风险管理和风险管理框架。
A-组织治理 1 组织战略、目标和目的 2 组织结构、角色和职责 3 组织文化 4 政策和标准 5 业务流程 6 组织资产 | B-风险治理 1 企业风险管理和风险管理框架 2 三道防线 3 风险状况 4 风险偏好和风险承受能力 5 法律、法规和合同要求 6 风险管理的职业道德 |
20%-领域2:IT风险评估
该领域将证明您对组织的人员、流程和技术面临的威胁和漏洞的了解,以及威胁、漏洞和风险情景的可能性和影响。
A-IT风险识别 1 风险事件(如促成条件、损失结果) 2 威胁建模和威胁前景 3 漏洞和控制缺陷分析(例如,根本原因分析) 4 风险情景开发 | B-信息技术风险分析和评估 1 风险评估概念、标准和框架 2 风险登记册 3 风险分析方法 4 业务影响分析 5 固有和剩余风险 |
32%-领域3:风险应对和报告
该领域处理关键利益相关方之间风险处理计划的开发和管理、现有控制的评估和提高IT风险缓解的有效性,以及对适用利益相关方的相关风险和控制信息的评估。
A-风险应对 1 风险处理/风险应对选项 2 风险和控制所有权 3 第三方风险管理 4 问题、发现和异常管理 5 管理新出现的风险 B-控制设计和实施 1 控制类型、标准和框架 2 控制设计、选择和分析 3 控制实施 4 控制测试和有效性评估 | C-风险监控和报告 1 风险处理计划 2 数据收集、汇总、分析和验证 3 风险和控制监控技术 4 风险和控制报告技术(热图、记分卡、仪表板) 5 关键绩效指标 6 关键风险指标 7 关键控制指标 |
22%-领域4:信息技术和安全性
在这一领域,我们探讨业务实践与风险管理和信息安全框架和标准的一致性,以及风险意识文化的发展和安全意识培训的实施。
A-信息技术原则 1 企业架构 2 IT运营管理(例如,变更管理、IT资产、问题、事故) 3 项目管理 4 灾难恢复管理(DRM) 5 数据生命周期管理 6 系统开发生命周期 7 新兴技术 | B-信息安全原则 1 信息安全概念、框架和标准 2 信息安全意识培训 3 业务连续性管理 4 数据隐私和数据保护原则 |
任务
1 收集和审查关于组织的业务和IT环境的现有信息。 2 确定IT风险对组织的业务目标和运营的潜在或已实现的影响。 3 识别组织的人员、流程和技术面临的威胁和漏洞。 4 评估威胁、漏洞和风险,以确定IT风险情景。 5 通过分配和验证适当级别的风险和控制所有权来建立责任。 6 建立和维护信息技术风险登记册,并将其纳入企业范围的风险状况。 7 促进关键利益相关方确定风险偏好和风险承受能力。 8 通过促进安全意识培训的发展和实施,促进风险意识文化。 9 通过分析IT风险情景并确定其可能性和影响来进行风险评估。 10 确定现有控制措施的当前状态,并评估其降低IT风险的有效性。 11 审查风险分析和控制分析的结果,以评估IT风险环境的当前状态和期望状态之间的任何差距。 12 促进关键利益相关者选择建议的风险应对措施。 13 与风险所有人合作制定风险处理计划。 14 在控制措施的选择、设计、实施和维护方面与控制措施所有者合作。 15 验证风险响应已根据风险处理计划执行。 16 定义和建立关键风险指标(kri)。 17 监控和分析关键风险指标。 18 与控制负责人协作确定关键绩效指标(KPI)和关键控制指标(kci)。 19 监控和分析关键绩效指标(KPI)和关键控制指标(kci)。 20 审查控制评估的结果,以确定控制环境的有效性和成熟度。 21 向适用的利益相关方报告相关的风险和控制信息,以促进基于风险的决策。 22 评估业务实践与风险管理和信息安全框架及标准的一致性。 |
* 以上内容参考ISACA官方的CRISC考试内容说明,原文内容参见:点此>>
ISACA官方考试说明,在线预览↓↓↓
ISACA-Exam-Candidate-Guide以我现在的基础,考CRISC能考几分?
CRISC考试难不难?通过率怎么样? 预约模拟自测