CRISC考试包括哪些内容?
获得风险与信息系统控制证书® (CRISC®)考试包括150个问题,涵盖4个工作实践领域, 所有这些都是在专业人士的指导下,在现实生活中测试你的知识和能力.
以下是考生将测试的主要领域、子主题和任务:
ISACA的承诺
自2010年成立以来, 超过23,000人获得了ISACA的CRISC认证,以证明他们在使用治理最佳实践和持续风险监测和报告方面的专业知识. 该域, 子主题和任务是广泛研究的结果, 来自世界各地的主题专家和杰出行业领导者的反馈和验证.
工作实践领域测试并通过了CRISC认证
26%域1 ——治理
治理域询问您关于组织的业务和IT环境的信息知识, 组织策略, 目标和目的, 并检查IT风险对组织的业务目标和操作的潜在或已实现的影响, 包括澳门赌场官方下载风险管理和风险管理框架.
A-ORGANIZATIONAL治理
- 组织战略、目标和目的
- 组织结构、角色和职责
- 组织文化
- 政策及标准
- 业务流程
- 组织资产
B-RISK治理
- 澳门赌场官方下载风险管理与风险管理框架
- 三道防线
- 风险预测
- 风险偏好和风险承受能力
- 法律、法规和合同要求
- 风险管理职业道德
20%域2 -资讯科技风险评估
此域将向组织人员证明您对威胁和漏洞的了解, 过程和技术,以及威胁的可能性和影响, 漏洞和风险场景.
it风险识别
- 风险事件(e).g.、贡献条件、损失结果)
- 威胁建模和威胁景观
- 脆弱性和控制缺陷分析(e).g.、根本原因分析)
- 风险情景开发
B-it风险分析与评价
- 风险评估概念、标准和框架
- 风险登记
- 风险分析方法
- 业务影响分析
- 固有风险和剩余风险
32%域3 -风险应对和报告
这个领域处理关键涉众之间风险处理计划的开发和管理, 评估现有的控制措施,提高IT风险缓解的有效性, 并将相关的风险评估和控制信息传递给适用的利益相关者.
一个风险的反应
- 风险处理/风险应对方案
- 风险与控制
- 第三方风险管理
- 问题,发现和异常管理
- 新兴风险的管理
b控件的设计与实现
- 控制类型、标准和框架
- 控制设计,选择和分析
- 控制实现
- 控制测试和有效性评估
——风险监测和报告
- 风险处理计划
- 数据收集、汇总、分析和验证
- 风险和控制监测技术
- 风险和控制报告技术(热图、记分卡、仪表板)
- 关键性能指标
- 主要风险指标(KRIs)
- 关键控制指标(kci)
22%域4 -资讯科技及保安
在这个领域中,我们询问业务实践与风险管理和信息安全框架和标准的一致性, 以及发展风险意识文化和实施安全意识培训.
a .信息技术原则
- 澳门赌场官方下载架构
- IT运营管理(e.g.(变更管理、IT资产、问题、事件)
- 项目管理
- 灾难恢复管理(DRM)
- 数据生命周期管理
- 系统开发生命周期(SDLC)
- 新兴技术
b -信息安全原则
- 信息安全概念、框架和标准
- 资讯保安意识培训
- 业务连续性管理
- 资料私隐及资料保障原则
支持任务
- 收集和审查有关组织的业务和IT环境的现有信息.
- 识别IT风险对组织的业务目标和操作的潜在或已实现的影响.
- 识别对组织人员、流程和技术的威胁和漏洞.
- 评估威胁、漏洞和风险,以识别IT风险场景.
- 通过分配和确认适当的风险水平和控制所有权,建立责任制.
- 建立并维护IT风险登记册,并将其纳入澳门赌场官方下载范围的风险概况.
- 促进关键利益相关者识别风险偏好和风险承受能力.
- 协助发展及推行保安意识培训,以推广风险意识文化.
- 通过分析IT风险场景并确定其可能性和影响来进行风险评估.
- 确定现有控制的当前状态,并评估其降低IT风险的有效性.
- 审查风险分析和控制分析的结果,以评估当前和期望的IT风险环境状态之间的任何差距.
- 促进关键利益相关者选择建议的风险应对措施.
- 与风险负责人合作制定风险处理计划.
- 与控制所有者合作进行选择, 设计, 控制的实施和维护.
- 确认风险响应已根据风险处理计划执行.
- 定义和建立关键风险指标(KRIs).
- 监控和分析关键风险指标(KRIs).
- 与控制所有者合作确定关键绩效指标(kpi)和关键控制指标(kci).
- 监控和分析关键绩效指标和关键控制指标.
- 评审控制评估的结果,以确定控制环境的有效性和成熟度.
- 向相关利益相关者报告相关风险和控制信息,以促进基于风险的决策.
- 评估业务实践与风险管理和信息安全框架和标准的一致性.
为考试做准备
ISACA提供各种备考资源,包括小组培训, 自定进度的培训和各种语言的学习资源,帮助您准备您的认证考试. 选择适合你的时间表和学习需要的方法.