数字化人才18大能力 > IT GRC能力 > CRISC

CRISC®
400-888-5228

CRISC报考指南及考试大纲

CRISC适合哪些人?你的条件适合报考吗?

CRISC认证针对具有IT风险管理以及IS控制设计、实施、监督和维护经验的人员而设计。

  • IT总监、高级IT经理、IT合规与审计人员
  • 信息安全和隐私从业人员、业务连续性和IT灾备管理人员
  • 企业中高层管理者、风险管理人员等
  • 风险管理人员、监管机构人员;
  • 企业内部风险管理人员、IS审计从业人员、IT经理;
  • 信息安全经理、IT风险管理顾问、咨询人员;
  • 企业内部负责信息系统安全管理从业人员;
  • 其他从事IT风险管理工作相关业务人员;

三 (3) 年以上(含)信息技术风险管理及信息系统控制工作经验。不允许替代或免除工作经验。

CRISC考试基本信息
考试语言中文考试/英文考试
考试形式在线机考
考试费用详询艾威课程顾问
考试时间随约随考(提前1-4周做报考)
考试时长

4小时(国内线下考场考试时间: 09:00-13:00/13:00-17:00)

考试题型

150道单选题。

通过条件

获得标准分 450 分通过(满分 800 分),即110 题及格。

CRISC考试大纲/考试内容
  • 领域 1 – 治理 (26%)
  • 领域 2 – IT 风险评估(20%)
  • 领域 3 – 风险应对和报告(32%)
  • 领域 4 – 信息技术和安全性 (22%)

CRISC考试内容大纲

26%-领域1:治理
治理领域询问您关于组织的业务和IT环境、组织战略、目标和目的的信息的知识,并检查IT风险对组织的业务目标和操作的潜在或已实现的影响,包括企业风险管理和风险管理框架。

A-组织治理
1 组织战略、目标和目的
2 组织结构、角色和职责
3 组织文化
4 政策和标准
5 业务流程
6 组织资产
B-风险治理
1 企业风险管理和风险管理框架
2 三道防线
3 风险状况
4 风险偏好和风险承受能力
5 法律、法规和合同要求
6 风险管理的职业道德

20%-领域2:IT风险评估
该领域将证明您对组织的人员、流程和技术面临的威胁和漏洞的了解,以及威胁、漏洞和风险情景的可能性和影响。

A-IT风险识别
1 风险事件(如促成条件、损失结果)
2 威胁建模和威胁前景
3 漏洞和控制缺陷分析(例如,根本原因分析)
4 风险情景开发
B-信息技术风险分析和评估
1 风险评估概念、标准和框架
2 风险登记册
3 风险分析方法
4 业务影响分析
5 固有和剩余风险

32%-领域3:风险应对和报告
该领域处理关键利益相关方之间风险处理计划的开发和管理、现有控制的评估和提高IT风险缓解的有效性,以及对适用利益相关方的相关风险和控制信息的评估。

A-风险应对
1 风险处理/风险应对选项
2 风险和控制所有权
3 第三方风险管理
4 问题、发现和异常管理
5 管理新出现的风险
B-控制设计和实施
1 控制类型、标准和框架
2 控制设计、选择和分析
3 控制实施
4 控制测试和有效性评估
C-风险监控和报告
1 风险处理计划
2 数据收集、汇总、分析和验证
3 风险和控制监控技术
4 风险和控制报告技术(热图、记分卡、仪表板)
5 关键绩效指标
6 关键风险指标
7 关键控制指标

22%-领域4:信息技术和安全性
在这一领域,我们探讨业务实践与风险管理和信息安全框架和标准的一致性,以及风险意识文化的发展和安全意识培训的实施。

A-信息技术原则
1 企业架构
2 IT运营管理(例如,变更管理、IT资产、问题、事故)
3 项目管理
4 灾难恢复管理(DRM)
5 数据生命周期管理
6 系统开发生命周期
7 新兴技术
B-信息安全原则
1 信息安全概念、框架和标准
2 信息安全意识培训
3 业务连续性管理
4 数据隐私和数据保护原则

任务

1 收集和审查关于组织的业务和IT环境的现有信息。
2 确定IT风险对组织的业务目标和运营的潜在或已实现的影响。
3 识别组织的人员、流程和技术面临的威胁和漏洞。
4 评估威胁、漏洞和风险,以确定IT风险情景。
5 通过分配和验证适当级别的风险和控制所有权来建立责任。
6 建立和维护信息技术风险登记册,并将其纳入企业范围的风险状况。
7 促进关键利益相关方确定风险偏好和风险承受能力。
8 通过促进安全意识培训的发展和实施,促进风险意识文化。
9 通过分析IT风险情景并确定其可能性和影响来进行风险评估。
10 确定现有控制措施的当前状态,并评估其降低IT风险的有效性。
11 审查风险分析和控制分析的结果,以评估IT风险环境的当前状态和期望状态之间的任何差距。
12 促进关键利益相关者选择建议的风险应对措施。
13 与风险所有人合作制定风险处理计划。
14 在控制措施的选择、设计、实施和维护方面与控制措施所有者合作。
15 验证风险响应已根据风险处理计划执行。
16 定义和建立关键风险指标(kri)。
17 监控和分析关键风险指标。
18 与控制负责人协作确定关键绩效指标(KPI)和关键控制指标(kci)。
19 监控和分析关键绩效指标(KPI)和关键控制指标(kci)。
20 审查控制评估的结果,以确定控制环境的有效性和成熟度。
21 向适用的利益相关方报告相关的风险和控制信息,以促进基于风险的决策。
22 评估业务实践与风险管理和信息安全框架及标准的一致性。

* 以上内容参考ISACA官方的CRISC考试内容说明,原文内容参见:点此>>

ISACA官方考试说明,在线预览↓↓↓

ISACA-Exam-Candidate-Guide

点击获取《ISACA考试认证手册(含CRISC考试说明)》[PDF]

点击进行CRISC考试样题测试[在线/英文]

CRISC报考流程

审核报考资格去审核

参加培训课程填写报名表→开始学习→获得报考资质
*艾威(授权机构)出具培训证明

参加考试约考→考试→申请证书(申领/续证)
*艾威提供全程服务,欢迎咨询

以我现在的基础,考CRISC能考几分?

CRISC考试难不难?通过率怎么样? 预约模拟自测
艾威数字化人才培训中心
培养新时代“数字化”关键人才,定制综合培训方案
  • 艾威拥有20年职业认证培训经验,考证书、评职称、职业规划、能力提升,我们以培养数字化顶尖人才为己任
  • 艾威拥有30多家国际权威厂商授权资质,引入国际前沿数字化技术与知识体系,为学员提供正规课程培训
  • 艾威的课程覆盖“管理与商业”、“IT管理与运营”、“数字化技术”三大领域的18大能力,帮助学员成为高级职业经理人、成为数字化管理与技术方面的专业人才
  • 艾威数字化人才培训中心,针对数字化人才的18大能力提供完整的培训方案,从思维养成、实践与工具以及认证备考3大模块出发,全面提升职场竞争力。