風險是指對實現的目標發生偏離的一中不確定性。ISACA在COBIT5中指出,所有的IT風險皆是業務風險。企業風險管理(ERM)已經席卷全球,IT風控師/IT CRO也應醞而生。ISACA推出風險與信息系統安全控制的新認證CRISC,Certified in Risk and Information Systems Control,面向首席風險官、風險管理、信息安全和業務連續性管理、隱私(Privacy)和信任(Trust)等職業人士的一類職業界定,針對企業風險以及各種IT系統的安全控制管理。CRISC全面支撐COSO, Basel II/III, GAMP等企業風控。
CRISC是一款全球頂級IT從業資格認證。CRISC可以針對金融/銀行業的IT Chief Risk Officer(CRO), 或是其它行業(比如:石油、醫藥、上市公司、跨國集團)的類似決策角色。CRISC跟CISA/CISM一樣,由美國國防部和相關標準組織認定的職業認證,可以持證上崗。2015年全美統計,IT從業人員中CRISC持證者薪水平均全球最高,年薪超過12萬美金。
CRISC跟CISA, CISM等體系相互配合、兼容,主要針對企業IT組織的全面風控實踐。
CRISC與CISA最大的區別是,前者是風險和內控的決策者、設計者、評估者,而后者是IT審計和內控檢查的執行者;
CRISC與CISM最大的區別是,前者關注于風險和戰略級安全,而后者是信息安全管理和執行者。
CRISC從實踐角度講解風險管理,其有別于傳統的“方法論”,但CRISC內容與業內主流的風控體系保持一致。
上海信息化培訓中心推出的CRISC培訓與國際同步,幫助中國IT高管提升國際視野,提高國際競爭力。
全面深入理解IT風險及其對于組織整體的影響
學會更有效的轉移風險
學會在在組織內建立共同的風險語言和視角。
IT總監、高級IT經理、IT合規與審計人員、信息安全和隱私從業人員、業務連續性和IT災備管理人員、企業中高層管理者、風險管理人員等
風險管理人員、監管機構人員;
企業內部風險管理人員、IS審計從業人員、IT經理;
信息安全經理、IT風險管理顧問、咨詢人員;
企業內部負責信息系統安全管理從業人員;
其他從事IT風險管理工作相關業務人員;
1. IT風險識別IT Risk Identification (27%) 2. IT風險評估IT Risk Assessment (28%) 3. 風險應對和規避Risk Response and Mitigation (23%) 4. 風險與控制的監控/匯報Risk and Control Monitoring and Reporting (22%) 5. 風險管理和信息系統控制實踐:
4小時。一共150題
1.專業的CRISC講師團隊,緊貼ISACA最新教程,準確把脈考試要點,通過培訓可以使學員撐握 CRISC 各領域知識順利通過考試
2.課程以認證與實踐為原則,理論+實戰的教學模式,使得學員培訓后,能更好的落地
3.結合IT風險實踐案例,進行精細化授課為學員解決實踐問題;
4. 專業的講師團隊和后續服務團隊,為學員的認證和實踐提供持續服務;
5. 加入SITC500強高端學友群體,免費參加活動,積累CPE,擴展學員的專業水平和行業交流,積累行業的高端人脈資源
6. SITC首創ITGM培訓體系,提供一站式的ISACA培訓(CISA、CISM、CRISC、CGEIT),全面滿足IT高管學習需要
7. SITC二十年來承諾5A級服務水平,為學友提供超級學習體驗。
8. SITC x職場加油站,幫助中國IT高管提升國際視野,提高國際競爭力。
ISACA 相關認證:四大職業認證和一大模型認證
如果您正在尋找最優質培訓,歡迎致電SITC相關培訓負責人垂詢培訓課程相關事宜,或填寫一份培訓報名咨詢表,查詢培訓課程更多信息。
聯系人:樊春香
聯系電話:021-22502735
電子郵箱:fancx@sitc.net.cn
全國統一熱線:4008808369
值班手機/微信號:18116032158
編號 | 課程名稱 | 課程縮寫 | 課程類別 | 天數 | 班次 |
---|---|---|---|---|---|
SC32 | CRISC信息系統風控師 | CRISC | NEW | 3 | 2期/年 |
一月 | 二月 | 三月 | 四月 | 五月 | 六月 | 七月 | 八月 | 九月 | 十月 | 十一月 | 十二月 |
---|---|---|---|---|---|---|---|---|---|---|---|
23-25 | 17-18 | 6-7 | 6-8 |
Certified in Risk and Information Systems Control (CRISC)
時間 | 學習模塊 | 學習內容 |
---|---|---|
Day 1 | IT風險識別 IT風險評估 | 風險文化、風險治理、風險識別、IT風險與ERM的整合、首席風險官、隱私管理; 定量與定性風險評估方法、不同行業的IT風險實踐 |
Day 2 | 風險應對與規避 | 風險應對措施、控制體系建立(組織級、業務級、應用級、技術級等) |
Day 3 | 風險與控制的監控和匯報 | KRIs、風險匯報、風險溝通 |
知識域定義:
識別IT風險宇宙(risk universe)以便于執行IT風險管理戰略,從而支持業務目標并匹配企業風險管理(ERM)戰略。
具體學習目標:
- 識別相關標準、框架和實踐
- 應用風險識別技術
- 區分威脅和脆弱性
- 識別相關利益相關人
- 討論風險場景(Risk scenario)開發的工具和技術
- 解釋關鍵的風險管理的概念,包括風險偏好(Risk appetite)和風險容限(Risk tolerance)
- 描述風險登記單(Risk register)的關鍵的段落
- 貢獻于創建一個風險意識(Risk awareness)的項目群
知識域定義:
分析和評估IT風險來確定業務目標受影響的可能性和影響力,從而支持基于風險的決策制定。
具體學習目標:
- 識別和應用風險評估的技術
- 分析風險場景
- 識別當前的信息系統控制(Controls)狀態
- 評估當前和預期的IT風險環境的差距
- 與利益相關人溝通IT風險評估的結果
知識域定義:
確定風險應對的選項(Options)并評估其效率和效果,從而確保對風險的管理與業務目標相匹配。
具體學習目標:
- 列舉不同的風險應對選項
- 定義實際情況下風險應對措施選擇的參數
- 解釋剩余風險(Residual risk)與固有風險(Inherent risk)、風險偏好與風險容限的關系
- 討論成本/效益合理的風險應對選擇分析的思路
- 開發一個風險行動(Risk action)計劃
- 解決風險職責/負責人的原則
- 通過對系統開發生命周期(SDLC)的理解來實施有效的信息系統風險
- 理解信息系統控制維護的需要
知識域定義:
持續地向利益相關人針對性地監控/匯報IT風險和控制,確保IT風險管理戰略的持續有效并與業務目標吻合
具體學習目標:
- 討論關鍵風險指標(KRIs)和關鍵績效指標(KPIs)的區別
- 描述數據抽取、聚合及分析工具和技術
- 比較不同的控制監控工具和技術(與美國COSO內控的監控指引一致)
- 描述不同的測試和評估工具和技術
? IT戰略制訂(Determining the IT Strategy)
? 項目與項目群的交付(The Project and Program Management Process)
? 變更控制(The Change Management Process)
? 供應商控制(The 3rd Party Service Management Process)
? 信息安全管理(The Information Security Management Process)
? 配置控制(The Configuration Management Process)
? 問題控制(The Problem Management Process)
? 數據管理和控制(The Data Management Process)
? 物理/環境控制(The Physical Environment Management Process)
? 運維管理和控制(The IT Operations Management Process)
如果您正在尋找最優質培訓,歡迎致電SITC相關培訓負責人垂詢培訓課程相關事宜,或填寫一份培訓報名咨詢表,查詢培訓課程更多信息。
聯系人:樊春香
聯系電話:021-22502735
電子郵箱:fancx@sitc.net.cn
全國統一熱線:4008808369
值班手機/微信號:18116032158
資料正在整理錄入中,請耐心等待......
風險管理人員、監管機構人員;企業內部風險管理人員、IS審計從業人員、IT經理;信息安全經理、IT風險管理顧問、咨詢人員;企業內部負責信息系統安全管理從業人員;其他從事IT風險管理工作相關業務人員;這些都是CRISC認證的培訓對象。
CRISC認證培訓的課程分為以下5個知識領域,具體內容如下:
1.IT風險識別
識別IT風險宇宙(risk universe)以便于執行IT風險管理戰略,從而支持業務目標并匹配企業風險管理(ERM)戰略。
- 識別相關標準、框架和實踐
- 應用風險識別技術
- 區分威脅和脆弱性
- 識別相關利益相關人
- 討論風險場景(Risk scenario)開發的工具和技術
- 解釋關鍵的風險管理的概念,包括風險偏好(Risk appetite)和風險容限(Risk tolerance)
- 描述風險登記單(Risk register)的關鍵的段落
- 貢獻于創建一個風險意識(Risk awareness)的項目群
2. IT風險評估
分析和評估IT風險來確定業務目標受影響的可能性和影響力,從而支持基于風險的決策制定。
- 識別和應用風險評估的技術
- 分析風險場景
- 識別當前的信息系統控制(Controls)狀態
- 評估當前和預期的IT風險環境的差距
- 與利益相關人溝通IT風險評估的結果
3. 風險應對和規避
確定風險應對的選項(Options)并評估其效率和效果,從而確保對風險的管理與業務目標相匹配。
- 列舉不同的風險應對選項
- 定義實際情況下風險應對措施選擇的參數
- 解釋剩余風險(Residual risk)與固有風險(Inherent risk)、風險偏好與風險容限的關系
- 討論成本/效益合理的風險應對選擇分析的思路
- 開發一個風險行動(Risk action)計劃
- 解決風險職責/負責人的原則
- 通過對系統開發生命周期(SDLC)的理解來實施有效的信息系統風險
- 理解信息系統控制維護的需要
4. 風險與控制的監控/匯報
持續地向利益相關人針對性地監控/匯報IT風險和控制,確保IT風險管理戰略的持續有效并與業務目標吻合
- 討論關鍵風險指標(KRIs)和關鍵績效指標(KPIs)的區別
- 描述數據抽取、聚合及分析工具和技術
- 比較不同的控制監控工具和技術(與美國COSO內控的監控指引一致)
- 描述不同的測試和評估工具和技術
滿足什么要求可以申請CRISC認證?風險是指對實現的目標發生偏離的一中不確定性。ISACA在COBIT5中指出,所有的IT風險皆是業務風險。企業風險管理(ERM)已經席卷全球,IT風控師/IT CRO也應醞而生。CRISC全面支撐COSO, Basel II/III, GAMP等企業風控。許多想參加CRISC認證培訓的學員,苦于不知道自己的條件是否可以參加CRISC培訓。最近就有許多人打電話咨詢CRISC認證培訓的條件,那么,滿足什么要求可以申請CRISC認證?接下來CRISC培訓機構來為大家講講CRISC認證需要滿足的條件。希望通過以下內容,可以幫助大家了解到CRISC認證培訓的條件。
CRISC課程從實踐角度講解風險管理,其有別于傳統的“方法論”課程,但CRISC內容與業內主流的風控體系保持一致。風險是指對實現的目標發生偏離的一中不確定性。ISACA在COBIT5中指出,所有的IT風險皆是業務風險。企業風險管理(ERM)已經席卷全球,IT風控師/IT CRO也應醞而生。CRISC全面支撐COSO, Basel II/III, GAMP等企業風控。
CRISC認證條件具體如下:
要成功獲得CRISC認證,申請者必須達到并符合如下條件:
嚴格遵守ISACA協會的《職業道德規范》
具備風險管理和信息系統控制領域的相關經驗。
至少累計3年從事CRISC指定的五大領域的工作經驗,且必須涉及和涵蓋其中的三大領域。與CISA認證不同的是,CRISC不能通過學歷、授課等方式申請替代年限。
要維持所獲得的CRISC認證,申請者必須達到并符合如下條件:
每年通過官方網站網上支付的方式,向官方繳納認證維持費(非會員繳納$85美金,會員繳納 $40美金);
CPE網上申報(3年累計120小時,每年至少20小時),如果達到了CPE要求,CRISC證書就可以長期有效!如果CPE不符合要求,證書將作廢需要重考。
CRISC跟CISA, CISM等體系相互配合、兼容,主要針對企業IT組織的全面風控實踐。
CRISC與CISA最大的區別是,前者是風險和內控的決策者、設計者、評估者,而后者是IT審計和內控檢查的執行者;
CRISC與CISM最大的區別是,前者關注于風險和戰略級安全,而后者是信息安全管理和執行者。
CRISC從實踐角度講解風險管理,其有別于傳統的“方法論”,但CRISC內容與業內主流的風控體系保持一致。
如果您正在尋找最優質培訓,歡迎致電SITC相關培訓負責人垂詢培訓課程相關事宜,或填寫一份培訓報名咨詢表,查詢培訓課程更多信息。
聯系人:樊春香
聯系電話:021-22502735
電子郵箱:fancx@sitc.net.cn
全國統一熱線:4008808369
值班手機/微信號:18116032158
友情鏈接: Axelos The Open Group PeopleCert
2017 ?上海信息化培訓中心 上海市信息技術培訓中心 上海華山路1076號
滬ICP備09016542號
ITIL? is a registered trade mark of AXELOS Limited, used under permission of AXELOS Limited. All rights reserved. M_o_R? is a registered trade mark of AXELOS Limited, used under permission of AXELOS Limited. All rights reserved. MSP? is a registered trade mark of AXELOS Limited, used under permission of AXELOS Limited. All rights reserved. P3O? is a registered trade mark of AXELOS Limited, used under permission of AXELOS Limited. All rights reserved. PRINCE2? is a registered trade mark of AXELOS Limited, used under permission of AXELOS Limited. All rights reserved. TOGAF?is a registered trademark of The Open Group in the United States and other countries. P3O? is a registered trade mark of AXELOS Limited.PRINCE2? is a registered trade mark of AXELOS Limited.The Swirl logo? is a trade mark of AXELOS Limited.COBIT? is a trademark of ISACA? registered in the United States and other countries.PMP? is a regitered trademark of the Project Management Institute. Praxis Framework? is a trademark of Praxis Framework Limited