信息系统风险及控论证CRISC认证课程

课程介绍

美国国际信息系统审计及控制协会(ISACA)发布的针对首席风险官、风险管理、信息安全和业务连续性管理、隐私(Privacy)和信任(Trust)等职业人士的一类职业界定。CRISCCISA/CISM一样,由美国国防部和相关标准组织认定的职业认证,可以持证上岗。

2015年全美统计,IT从业人员中CRISC持证者薪水平均全球最高,年薪超过12万美金。

CRISCCISA, CISM等体系相互配合、兼容,主要针对企业IT组织的全面风控实践。CRISC是一款全球顶级IT从业资格认证。CRISC可以针对金融/银行业的IT Chief Risk Officer(CRO), 或是其它行业(比如:石油、医药、上市公司、跨国集团)的类似决策角色。

        CRISCCISA最大的区别是,前者是风险和内控的决策者、设计者、评估者,而后者是IT审计和内控检查的执行者;CRISCCISM最大的区别是,前者关注于风险和战略级安全,而后者是信息安全管理和执行者。 

                  

课程目标

风险是指对实现的目标发生偏离的一中不确定性。ISACACOBIT5中指出,所有的IT风险皆是业务风险。企业风险管理(ERM)已经席卷全球,IT风控师/IT CRO也应酝而生。CRISC全面支撑COSO, Basel II/III, GAMP等企业风控。

 CRISC课程从实践角度讲解风险管理,其有别于传统的“方法论”课程,但CRISC内容与业内主流的风控体系保持一致。

知识概要

培训对象

          IT总监、高级IT经理、IT合规与审计人员、信息安全和隐私从业人员、业务连续性和IT灾备管理人员、企业中高层管理者、风险管理人员等

培训大纲

    1.  IT风险识别

    2.  IT风险评估

    3.  风险应对和规避

    4.  风险与控制的监控/汇报

    5.  补充 风险管理和信息系统控制实践:

Ø  IT战略制订(Determining the IT Strategy)

Ø  项目与项目群的交付(The Project and Program Management Process)

Ø  变更控制(The Change Management Process)

Ø  供应商控制(The 3rd Party Service Management Process)

Ø  信息安全管理(The Information Security Management Process)

Ø  配置控制(The Configuration Management Process)

Ø  问题控制(The Problem Management Process)

Ø  数据管理和控制(The Data Management Process)

Ø  物理/环境控制(The Physical Environment Management Process)

Ø  运维管理和控制(The IT Operations Management Process)

四大知识域:

第一章 IT风险识别

知识域定义:

     识别IT风险宇宙(risk universe)以便于执行IT风险管理战略,从而支持业务目标并匹配企业风险管理(ERM)战略。

具体学习目标:

  - 识别相关标准、框架和实践

  - 应用风险识别技术

  - 区分威胁和脆弱性

  - 识别相关利益相关人

  - 讨论风险场景(Risk scenario)开发的工具和技术

 - 解释关键的风险管理的概念,包括风险偏好(Risk appetite)和风险容限(Risk tolerance)

 - 描述风险登记单(Risk register)的关键的段落

  - 贡献于创建一个风险意识(Risk awareness)的项目群


第二章 IT风险评估

知识域定义:

      分析和评估IT风险来确定业务目标受影响的可能性和影响力,从而支持基于风险的决策制定。

具体学习目标:

 - 识别和应用风险评估的技术

 - 分析风险场景

 - 识别当前的信息系统控制(Controls)状态

 - 评估当前和预期的IT风险环境的差距

 - 与利益相关人沟通IT风险评估的结果


第三章 风险应对(Risk response)和规避

知识域定义:

      确定风险应对的选项(Options)并评估其效率和效果,从而确保对风险的管理与业务目标相匹配。

具体学习目标:

  - 列举不同的风险应对选项

  - 定义实际情况下风险应对措施选择的参数

  - 解释剩余风险(Residual risk)与固有风险(Inherent risk)、风险偏好与风险容限的关系

  - 讨论成本/效益合理的风险应对选择分析的思路

  - 开发一个风险行动(Risk action)计划

  - 解决风险职责/负责人的原则

  - 通过对系统开发生命周期(SDLC)的理解来实施有效的信息系统风险

  - 理解信息系统控制维护的需要 

第四章 风险与控制的监控/汇报

知识域定义:

      持续地向利益相关人针对性地监控/汇报IT风险和控制,确保IT风险管理战略的持续有效并与业务目标吻合

具体学习目标:

  - 讨论关键风险指标(KRIs)和关键绩效指标(KPIs)的区别

  - 描述数据抽取、聚合及分析工具和技术

  - 比较不同的控制监控工具和技术(与美国COSO内控的监控指引一致)

  - 描述不同的测试和评估工具和技术

认证过程

   参加ISACA每年举办的CISACISMCGEITCRISC统一考试,笔试,4小时。一共200题,考试遵从CISA/CISM/CGEIT一样的通过规则。