CRISC 风险及信息系统控制认证 · 课程介绍

课程简介

美国国际信息系统审计及控制协会(ISACA)发布的针对首席风险官、风险管理、信息安 全和业务连续性管理、隐私(Privacy)和信任(Trust)等职业人士的一类职业界定。CRISC跟 CISA/CISM一样，由美国国防部和相关标准组织认定的职业认证，可以持证上岗。

CRISC 跟 CISA, CISM 等体系相互配合、兼容，主要针对企业 IT组织的全面风控实践。 CRISC是一款全球顶级 IT 从业资格认证。CRISC 可以针对金融/银行业的 IT ChiefRisk Officer(CRO),或是其它行业(比如：石油、医药、上市公司、跨国集团)的类似决策角色。 CRISC 与 CISA最大的区别是，前者是风险和内控的决策者、设计者、评估者，而后者是IT审计和内控检查的执行者；CRISC与CISM最大的区别是，前者关注于风险和战略级 安全，而后者是信息安全管理和执行者。

2015 年全美统计，IT 从业人员中 CRISC 持证者薪水平均全球最高，年薪超过 12万美金。

 

课程目标

风险是指对实现的目标发生偏离的一中不确定性。ISACA 在 COBIT5中指出，所有的 IT 风险皆是业务风险。企业风险管理(ERM)已经席卷全球，IT 风控师/ITCRO也应酝而生。CRISC 全面支撑 COSO, Basel II/III, GAMP等企业风控。

CRISC 课程从实践角度讲解风险管理，其有别于传统的“方法论”课程，但 CRISC内容与业内主流的风控体系保持一致。

授课对象

• IT 总监
• 高级 IT 经理
• IT 合规与审计人员
• 信息安全和隐私从业人员
• 业务连续性和 IT 灾备管理人员
• 企业中高层管理者
• 风险管理人员等

课程大纲

课程长度: 4天

 

课程大纲

IT风险识别

识别 IT 风险宇宙(risk universe)以便于执行 IT风险管理战略，从而支持业务目标并匹 配企业风险管理(ERM)战略。

• 识别相关标准、框架和实践
• 应用风险识别技术
• 区分威胁和脆弱性
• 识别相关利益相关人
• 讨论风险场景(Risk scenario)开发的工具和技术
• 解释关键的风险管理的概念，包括风险偏好(Risk appetite)和风险容限(Risk tolerance)
• 描述风险登记单(Risk register)的关键的段落
• 贡献于创建一个风险意识(Risk awareness)的项目群

 

IT风险评估

分析和评估 IT风险来确定业务目标受影响的可能性和影响力，从而支持基于风险的决 策制定。

• 识别和应用风险评估的技术
• 分析风险场景
• 识别当前的信息系统控制(Controls)状态
• 评估当前和预期的 IT风险环境的差距
• 与利益相关人沟通 IT风险评估的结果

 

风险应对和规避

• 确定风险应对的选项(Options)并评估其效率和效果，从而确保对风险的管理与业务目标相匹配。
• 列举不同的风险应对选项
• 定义实际情况下风险应对措施选择的参数
• 解释剩余风险(Residual risk)与固有风险(Inherent risk)、风险偏好与风险容限的关系
• 讨论成本/效益合理的风险应对选择分析的思路
• 开发一个风险行动(Risk action)计划
• 解决风险职责/负责人的原则
• 通过对系统开发生命周期(SDLC)的理解来实施有效的信息系统风险
• 理解信息系统控制维护的需要

 

风险与控制的监控/汇报

• 持续地向利益相关人针对性地监控/汇报 IT 风险和控制，确保 IT风险管理战略的持续有效并与业务目标吻合
• 讨论关键风险指标(KRIs)和关键绩效指标(KPIs)的区别
• 描述数据抽取、聚合及分析工具和技术
• 比较不同的控制监控工具和技术(与美国 COSO内控的监控指引一致)
• 描述不同的测试和评估工具和技术

 

补充

• 风险管理和信息系统控制实践：
• IT战略制订(Determining the IT Strategy)
• 项目与项目群的交付(The Project and Program Management Process)
• 变更控制(The Change Management Process)
• 供应商控制(The 3rdParty Service Management Process)
• 信息安全管理(The Information Security Management Process)
• 配置控制(The Configuration Management Process)
• 问题控制(The Problem Management Process)
• 数据管理和控制(The Data Management Process)
• 物理/环境控制(The Physical Environment Management Process)
• 运维管理和控制(The IT Operations Management Process)

ISACA成立于1969年，除赞助国际会议外，还有出版《信息系统监控期刊》（ISACA Journal），开发国际信息系统的审计与监控标准，以及颁授广受全球接纳的国际公认信息系统审计师（CISA）和国际公认信息保安经理（CISM）专业资格。CISA自1978年创立以来已获逾60,000名专业人士取得资格，而CISM认可资格自2002年推出后已经获10,000多名专业人士领取。ISACA于2008年设立了一项新的认可资格 年设立了一项新的认可资格，名为「企业信息科技管治认证（CGEIT）」。

 

关于艾威

源于美国 始于1998 艾威（AVTECH）是北美著名的培训机构，总部位于美国新泽西州，2000 年进入中国，以培养国际化的中高端信息人才为己任,专注于国际前沿的新技术研发与教育,艾威主要的业务为培训与咨询两大类，目前培训的主要产品有：项目管理培训、IT 管理培训、IT 技术培训、云计算大数据培训、需求管理培训、产品管理培训，信息安全类，AI 人工智能等....近十类上几百门的课程的培训与咨询服务。
艾威（中国）秉承总部“诚信为本、品质为先”的理念，凭借美国艾威科学的课程体系和多年积累的丰富教学经验，结合中国本土企业文化、实际需求，为企业、个人提供定制化的培训解决方案。艾威进入中国这十八年来已经服务了超过 10000 多家客户，获得了良好的口碑！已被众多 500强企业纳入培训供应商,如 HP，NOKIA，CISCO，INTEL，GE，华为，宝马，德电，通用，大陆汽车，中国银行，交行，工行，罗氏，赛诺菲，埃森哲……等。

• 艾威是 Prometric，VUE，PSI……等众多国际认证中心授权的考点
• 艾威是国际项目管理协会 PMI 授权的全球(PMP,PGMP,ACP,PBA)教育机构
• 艾威是国际需求管理协会 IIBA 授权的全球(CCBA,CBAP)教育机构
• 艾威是 IT 服务管理官方 EXIN 授权的 ITIL，ITIL EXPERT,Prince2,EXIN Agile Scrum Master 教育机构，同时也是此系列课程的认证考试中心。
• 艾威是国际信息审计协会 ISACA 授权的 CISA,CISM,CRISC,CGEIT,COBIT 教育机构，同时也是此系列课程的认证考试中心。
• 艾威是The Open Group 授权的 TOGAF 企业架构的官方培训机构。
• 艾威是 EPI 授权的数据中心 CDCP 培训机构，华东地区唯一 CDCP 授权培训机构，同时也是 CDCP 认证考试考场。
• 艾威是国际外包专业协会(IAOP)独家授权外包治理国际认证 SGF(Sourcing Governance Foundation)