认证介绍  

风险是指对实现的目标发生偏离的一中不确定性。ISACA在COBIT5中指出，所有的IT风险皆是业务风险。企业风险管理(ERM)已经席卷全球，IT风控师/IT CRO也应酝而生。ISACA推出风险与信息系统安全控制的新认证CRISC，Certified in Risk and Information Systems Control，面向首席风险官、风险管理、信息安全和业务连续性管理、隐私(Privacy)和信任(Trust)等职业人士的一类职业界定，针对企业风险以及各种IT系统的安全控制管理。CRISC全面支撑COSO, Basel II/III, GAMP等企业风控。

CRISC是一款全球顶级IT从业资格认证。CRISC可以针对金融/银行业的IT Chief Risk Officer(CRO), 或是其它行业(比如：石油、医药、上市公司、跨国集团)的类似决策角色。CRISC跟CISA/CISM一样，由美国国防部和相关标准组织认定的职业认证，可以持证上岗。2015年全美统计，IT从业人员中CRISC持证者薪水平均全球最高，年薪超过12万美金。

CRISC跟CISA, CISM等体系相互配合、兼容，主要针对企业IT组织的全面风控实践。

CRISC与CISA最大的区别是，前者是风险和内控的决策者、设计者、评估者，而后者是IT审计和内控检查的执行者；

CRISC与CISM最大的区别是，前者关注于风险和战略级安全，而后者是信息安全管理和执行者。

CRISC从实践角度讲解风险管理，其有别于传统的“方法论”，但CRISC内容与业内主流的风控体系保持一致。

  培训对象  

        IT总监、高级IT经理、IT合规与审计人员、信息安全和隐私从业人员、业务连续性和IT灾备管理人员、企业中高层管理者、风险管理人员等

        风险管理人员、监管机构人员；

        企业内部风险管理人员、IS审计从业人员、IT经理；

        信息安全经理、IT风险管理顾问、咨询人员；

        企业内部负责信息系统安全管理从业人员；

        其他从事IT风险管理工作相关业务人员；

  培训大纲  

        1.  IT风险识别IT Risk Identification (27%)

        2.  IT风险评估IT Risk Assessment (28%)

        3.  风险应对和规避Risk Response and Mitigation (23%)

        4.  风险与控制的监控/汇报Risk and Control Monitoring and Reporting (22%)

        5.  风险管理和信息系统控制实践：

4小时。一共150题

  CRISC认证条件  

　　要成功获得CRISC认证，申请者必须达到并符合如下条件：

　　严格遵守ISACA协会的《职业道德规范》

　　具备风险管理和信息系统控制领域的相关经验。

　　至少累计3年从事CRISC指定的五大领域的工作经验，且必须涉及和涵盖其中的三大领域。与CISA认证不同的是，CRISC不能通过学历、授课等方式申请替代年限。

　　要维持所获得的CRISC认证，申请者必须达到并符合如下条件：

　　每年通过官方网站网上支付的方式，向官方缴纳认证维持费（2012年非会员缴纳$85美金，会员缴纳 $40美金）；

　　CPE网上申报（3年累计120小时，每年至少20小时），如果达到了CPE要求，CRISC证书就可以长期有效！如果CPE不符合要求，证书将作废需要重考。

CRISC认证培训包括的课程内容是什么？

CRISC认证培训的课程分为以下5个知识领域，具体内容如下：

　　1.IT风险识别

　　识别IT风险宇宙(risk universe)以便于执行IT风险管理战略，从而支持业务目标并匹配企业风险管理(ERM)战略。

　　- 识别相关标准、框架和实践

　　- 应用风险识别技术

　　- 区分威胁和脆弱性

　　- 识别相关利益相关人

　　- 讨论风险场景(Risk scenario)开发的工具和技术

　　- 解释关键的风险管理的概念，包括风险偏好(Risk appetite)和风险容限(Risk tolerance)

　　- 描述风险登记单(Risk register)的关键的段落

　　- 贡献于创建一个风险意识(Risk awareness)的项目群

　　2. IT风险评估

　　分析和评估IT风险来确定业务目标受影响的可能性和影响力，从而支持基于风险的决策制定。

　　- 识别和应用风险评估的技术

　　- 分析风险场景

　　- 识别当前的信息系统控制(Controls)状态

　　- 评估当前和预期的IT风险环境的差距

　　- 与利益相关人沟通IT风险评估的结果

　　3.  风险应对和规避

　　确定风险应对的选项(Options)并评估其效率和效果，从而确保对风险的管理与业务目标相匹配。

　　- 列举不同的风险应对选项

　　- 定义实际情况下风险应对措施选择的参数

　　- 解释剩余风险(Residual risk)与固有风险(Inherent risk)、风险偏好与风险容限的关系

　　- 讨论成本/效益合理的风险应对选择分析的思路

　　- 开发一个风险行动(Risk action)计划

　　- 解决风险职责/负责人的原则

　　- 通过对系统开发生命周期(SDLC)的理解来实施有效的信息系统风险

　　- 理解信息系统控制维护的需要

　　4. 风险与控制的监控/汇报

　　持续地向利益相关人针对性地监控/汇报IT风险和控制，确保IT风险管理战略的持续有效并与业务目标吻合

　　- 讨论关键风险指标(KRIs)和关键绩效指标(KPIs)的区别

　　- 描述数据抽取、聚合及分析工具和技术

　　- 比较不同的控制监控工具和技术(与美国COSO内控的监控指引一致)

　　- 描述不同的测试和评估工具和技术

申请CRISC认证需要满足什么要求？

满足什么要求可以申请CRISC认证？风险是指对实现的目标发生偏离的一中不确定性。ISACA在COBIT5中指出，所有的IT风险皆是业务风险。企业风险管理(ERM)已经席卷全球，IT风控师/IT CRO也应酝而生。CRISC全面支撑COSO, Basel II/III, GAMP等企业风控。许多想参加CRISC认证培训的学员，苦于不知道自己的条件是否可以参加CRISC培训。最近就有许多人打电话咨询CRISC认证培训的条件，那么，满足什么要求可以申请CRISC认证？接下来CRISC培训机构来为大家讲讲CRISC认证需要满足的条件。希望通过以下内容，可以帮助大家了解到CRISC认证培训的条件。

CRISC课程从实践角度讲解风险管理，其有别于传统的“方法论”课程，但CRISC内容与业内主流的风控体系保持一致。风险是指对实现的目标发生偏离的一中不确定性。ISACA在COBIT5中指出，所有的IT风险皆是业务风险。企业风险管理(ERM)已经席卷全球，IT风控师/IT CRO也应酝而生。CRISC全面支撑COSO, Basel II/III, GAMP等企业风控。

　　CRISC认证条件具体如下：

　　要成功获得CRISC认证，申请者必须达到并符合如下条件：

　　严格遵守ISACA协会的《职业道德规范》

　　具备风险管理和信息系统控制领域的相关经验。

　　至少累计3年从事CRISC指定的五大领域的工作经验，且必须涉及和涵盖其中的三大领域。与CISA认证不同的是，CRISC不能通过学历、授课等方式申请替代年限。

　　要维持所获得的CRISC认证，申请者必须达到并符合如下条件：

　　每年通过官方网站网上支付的方式，向官方缴纳认证维持费（非会员缴纳$85美金，会员缴纳 $40美金）；

　　CPE网上申报（3年累计120小时，每年至少20小时），如果达到了CPE要求，CRISC证书就可以长期有效！如果CPE不符合要求，证书将作废需要重考。

CRISC与CISA, CISM之间有什么区别联系？

CRISC跟CISA, CISM等体系相互配合、兼容，主要针对企业IT组织的全面风控实践。

CRISC与CISA最大的区别是，前者是风险和内控的决策者、设计者、评估者，而后者是IT审计和内控检查的执行者；

CRISC与CISM最大的区别是，前者关注于风险和战略级安全，而后者是信息安全管理和执行者。

CRISC从实践角度讲解风险管理，其有别于传统的“方法论”，但CRISC内容与业内主流的风控体系保持一致。