架构治理

CRISC信息系统风控师

点击进入课程总表

信息系统风险控制

风险是指对实现的目标发生偏离的一中不确定性。ISACA在COBIT5中指出,所有的IT风险皆是业务风险。企业风险管理(ERM)已经席卷全球,IT风控师/IT CRO也应酝而生。ISACA推出风险与信息系统安全控制的新认证CRISC,Certified in Risk and Information Systems Control,面向首席风险官、风险管理、信息安全和业务连续性管理、隐私(Privacy)和信任(Trust)等职业人士的一类职业界定,针对企业风险以及各种IT系统的安全控制管理。CRISC全面支撑COSO, Basel II/III, GAMP等企业风控。


CRISC是一款全球顶级IT从业资格认证。CRISC可以针对金融/银行业的IT Chief Risk Officer(CRO), 或是其它行业(比如:石油、医药、上市公司、跨国集团)的类似决策角色。CRISC跟CISA/CISM一样,由美国国防部和相关标准组织认定的职业认证,可以持证上岗。2015年全美统计,IT从业人员中CRISC持证者薪水平均全球最高,年薪超过12万美金。

CRISC跟CISA, CISM等体系相互配合、兼容,主要针对企业IT组织的全面风控实践。
CRISC与CISA******的区别是,前者是风险和内控的决策者、设计者、评估者,而后者是IT审计和内控检查的执行者;
CRISC与CISM******的区别是,前者关注于风险和战略级安全,而后者是信息安全管理和执行者。

CRISC从实践角度讲解风险管理,其有别于传统的“方法论”,但CRISC内容与业内主流的风控体系保持一致。

上海信息化培训中心推出的CRISC培训与国际同步,帮助中国IT高管提升国际视野,提高国际竞争力。


课程目标

全面深入理解IT风险及其对于组织整体的影响
学会更有效的转移风险
学会在在组织内建立共同的风险语言和视角。

培训对象

IT总监、高级IT经理、IT合规与审计人员、信息安全和隐私从业人员、业务连续性和IT灾备管理人员、企业中高层管理者、风险管理人员等
风险管理人员、监管机构人员;
企业内部风险管理人员、IS审计从业人员、IT经理;
信息安全经理、IT风险管理顾问、咨询人员;
企业内部负责信息系统安全管理从业人员;
其他从事IT风险管理工作相关业务人员;

培训大纲

1.  IT风险识别IT Risk Identification (27%)
2.  IT风险评估IT Risk Assessment (28%)
3.  风险应对和规避Risk Response and Mitigation (23%)
4.  风险与控制的监控/汇报Risk and Control Monitoring and Reporting (22%)
5.  风险管理和信息系统控制实践:

考试认证

4小时。一共150题

培训优势:

1.专业的CRISC讲师团队,紧贴ISACA最新教程,准确把脉考试要点,通过培训可以使学员撑握 CRISC 各领域知识顺利通过考试

2.课程以认证与实践为原则,理论+实战的教学模式,使得学员培训后,能更好的落地

3.结合IT风险实践案例,进行精细化授课为学员解决实践问题;

4. 专业的讲师团队和后续服务团队,为学员的认证和实践提供持续服务;

5. 加入SITC500强高端学友群体,免费参加活动,积累CPE,扩展学员的专业水平和行业交流,积累行业的高端人脉资源

6. SITC首创ITGM培训体系,提供一站式的ISACA培训(CISA、CISM、CRISC、CGEIT),全面满足IT高管学习需要

7. SITC二十年来承诺5A级服务水平,为学友提供超级学习体验。

8. SITC x职场加油站,帮助中国IT高管提升国际视野,提高国际竞争力。


ISACA 相关认证:四大职业认证和一大模型认证

CISA 注册信息系统审计师

CISM国际注册信息安全经理

CRISC 国际注册信息系统风控师

CGEIT 国际注册企业IT治理领导人

COBIT 2019 企业IT治理


CRISC培训报名咨询


如果您正在寻找最优质培训,欢迎致电SITC相关培训负责人垂询培训课程相关事宜,或填写一份培训报名咨询表,查询培训课程更多信息。

联系人:樊春香

联系电话:021-22502735

全国统一热线:4008808369

值班手机/微信号:18116032158


编号 课程名称 课程缩写 课程类别 天数 班次
SC32 CRISC信息系统风控师 CRISC NEW 3 2期/年
一月 二月 三月 四月 五月 六月 七月 八月 九月 十月 十一月 十二月
23-25 17-18 6-7 6-8

专家级课程 –信息系统风险及控论证CRISC 课程日程

Certified in Risk and Information Systems Control (CRISC)

时间学习模块学习内容
Day 1IT风险识别    IT风险评估风险文化、风险治理、风险识别、IT风险与ERM的整合、首席风险官、隐私管理; 定量与定性风险评估方法、不同行业的IT风险实践
Day 2风险应对与规避风险应对措施、控制体系建立(组织级、业务级、应用级、技术级等)
Day 3风险与控制的监控和汇报KRIs、风险汇报、风险沟通

第一章 IT风险识别

知识域定义:

识别IT风险宇宙(risk universe)以便于执行IT风险管理战略,从而支持业务目标并匹配企业风险管理(ERM)战略。

具体学习目标:

- 识别相关标准、框架和实践

- 应用风险识别技术

- 区分威胁和脆弱性

- 识别相关利益相关人

- 讨论风险场景(Risk scenario)开发的工具和技术

- 解释关键的风险管理的概念,包括风险偏好(Risk appetite)和风险容限(Risk tolerance)

- 描述风险登记单(Risk register)的关键的段落

- 贡献于创建一个风险意识(Risk awareness)的项目群

第二章 IT风险评估

知识域定义:

分析和评估IT风险来确定业务目标受影响的可能性和影响力,从而支持基于风险的决策制定。

具体学习目标:

- 识别和应用风险评估的技术

- 分析风险场景

- 识别当前的信息系统控制(Controls)状态

- 评估当前和预期的IT风险环境的差距

- 与利益相关人沟通IT风险评估的结果

第三章 风险应对(Risk response)和规避

知识域定义:

确定风险应对的选项(Options)并评估其效率和效果,从而确保对风险的管理与业务目标相匹配。

具体学习目标:

- 列举不同的风险应对选项

- 定义实际情况下风险应对措施选择的参数

- 解释剩余风险(Residual risk)与固有风险(Inherent risk)、风险偏好与风险容限的关系

- 讨论成本/效益合理的风险应对选择分析的思路

- 开发一个风险行动(Risk action)计划

- 解决风险职责/负责人的原则

- 通过对系统开发生命周期(SDLC)的理解来实施有效的信息系统风险

- 理解信息系统控制维护的需要

第四章 风险与控制的监控/汇报

知识域定义:

持续地向利益相关人针对性地监控/汇报IT风险和控制,确保IT风险管理战略的持续有效并与业务目标吻合

具体学习目标:

- 讨论关键风险指标(KRIs)和关键绩效指标(KPIs)的区别

- 描述数据抽取、聚合及分析工具和技术

- 比较不同的控制监控工具和技术(与美国COSO内控的监控指引一致)

- 描述不同的测试和评估工具和技术

第五章  风险管理和信息系统控制实践:

?  IT战略制订(Determining the IT Strategy)
?  项目与项目群的交付(The Project and Program Management Process)
?  变更控制(The Change Management Process)
?  供应商控制(The 3rd Party Service Management Process)
?  信息安全管理(The Information Security Management Process)
?  配置控制(The Configuration Management Process)
?  问题控制(The Problem Management Process)
?  数据管理和控制(The Data Management Process)
?  物理/环境控制(The Physical Environment Management Process)
?  运维管理和控制(The IT Operations Management Process)

CRISC培训报名咨询

如果您正在寻找最优质培训,欢迎致电SITC相关培训负责人垂询培训课程相关事宜,或填写一份培训报名咨询表,查询培训课程更多信息。

联系人:樊春香

联系电话:021-22502735

全国统一热线:4008808369

值班手机/微信号:18116032158


CRISC考试认证

4小时。一共150题,考试可选中文



联系人:樊春香

联系电话:021-22502735

全国统一热线:4008808369

值班手机/微信号:18116032158


资料正在整理录入中,请耐心等待......

CRISC常见问答

CRISC主要适合哪些专业人员参加?

风险管理人员、监管机构人员;企业内部风险管理人员、IS审计从业人员、IT经理;信息安全经理、IT风险管理顾问、咨询人员;企业内部负责信息系统安全管理从业人员;其他从事IT风险管理工作相关业务人员;这些都是CRISC认证的培训对象。

CRISC认证培训包括的课程内容是什么

  CRISC认证培训的课程分为以下5个知识领域,具体内容如下:
  1.IT风险识别
  识别IT风险宇宙(risk universe)以便于执行IT风险管理战略,从而支持业务目标并匹配企业风险管理(ERM)战略。
  - 识别相关标准、框架和实践
  - 应用风险识别技术
  - 区分威胁和脆弱性
  - 识别相关利益相关人
  - 讨论风险场景(Risk scenario)开发的工具和技术
  - 解释关键的风险管理的概念,包括风险偏好(Risk appetite)和风险容限(Risk tolerance)
  - 描述风险登记单(Risk register)的关键的段落
  - 贡献于创建一个风险意识(Risk awareness)的项目群
  2. IT风险评估
  分析和评估IT风险来确定业务目标受影响的可能性和影响力,从而支持基于风险的决策制定。
  - 识别和应用风险评估的技术
  - 分析风险场景
  - 识别当前的信息系统控制(Controls)状态
  - 评估当前和预期的IT风险环境的差距
  - 与利益相关人沟通IT风险评估的结果
  3.  风险应对和规避
  确定风险应对的选项(Options)并评估其效率和效果,从而确保对风险的管理与业务目标相匹配。
  - 列举不同的风险应对选项
  - 定义实际情况下风险应对措施选择的参数
  - 解释剩余风险(Residual risk)与固有风险(Inherent risk)、风险偏好与风险容限的关系
  - 讨论成本/效益合理的风险应对选择分析的思路
  - 开发一个风险行动(Risk action)计划
  - 解决风险职责/负责人的原则
  - 通过对系统开发生命周期(SDLC)的理解来实施有效的信息系统风险
  - 理解信息系统控制维护的需要
  4. 风险与控制的监控/汇报
  持续地向利益相关人针对性地监控/汇报IT风险和控制,确保IT风险管理战略的持续有效并与业务目标吻合
  - 讨论关键风险指标(KRIs)和关键绩效指标(KPIs)的区别
  - 描述数据抽取、聚合及分析工具和技术
  - 比较不同的控制监控工具和技术(与美国COSO内控的监控指引一致)
  - 描述不同的测试和评估工具和技术

满足什么要求可以申请CRISC认证

 满足什么要求可以申请CRISC认证?风险是指对实现的目标发生偏离的一中不确定性。ISACA在COBIT5中指出,所有的IT风险皆是业务风险。企业风险管理(ERM)已经席卷全球,IT风控师/IT CRO也应酝而生。CRISC全面支撑COSO, Basel II/III, GAMP等企业风控。许多想参加CRISC认证培训的学员,苦于不知道自己的条件是否可以参加CRISC培训。最近就有许多人打电话咨询CRISC认证培训的条件,那么,满足什么要求可以申请CRISC认证?接下来CRISC培训机构来为大家讲讲CRISC认证需要满足的条件。希望通过以下内容,可以帮助大家了解到CRISC认证培训的条件。
  CRISC课程从实践角度讲解风险管理,其有别于传统的“方法论”课程,但CRISC内容与业内主流的风控体系保持一致。风险是指对实现的目标发生偏离的一中不确定性。ISACA在COBIT5中指出,所有的IT风险皆是业务风险。企业风险管理(ERM)已经席卷全球,IT风控师/IT CRO也应酝而生。CRISC全面支撑COSO, Basel II/III, GAMP等企业风控。
  CRISC认证条件具体如下:
  要成功获得CRISC认证,申请者必须达到并符合如下条件:
  严格遵守ISACA协会的《职业道德规范》
  具备风险管理和信息系统控制领域的相关经验。
  至少累计3年从事CRISC指定的五大领域的工作经验,且必须涉及和涵盖其中的三大领域。与CISA认证不同的是,CRISC不能通过学历、授课等方式申请替代年限。
  要维持所获得的CRISC认证,申请者必须达到并符合如下条件:
  每年通过官方网站网上支付的方式,向官方缴纳认证维持费(非会员缴纳$85美金,会员缴纳 $40美金);
  CPE网上申报(3年累计120小时,每年至少20小时),如果达到了CPE要求,CRISC证书就可以长期有效!如果CPE不符合要求,证书将作废需要重考。

CRISC与CISA, CISM之间有什么区别联系?

CRISC跟CISA, CISM等体系相互配合、兼容,主要针对企业IT组织的全面风控实践。
CRISC与CISA******的区别是,前者是风险和内控的决策者、设计者、评估者,而后者是IT审计和内控检查的执行者;
CRISC与CISM******的区别是,前者关注于风险和战略级安全,而后者是信息安全管理和执行者。
CRISC从实践角度讲解风险管理,其有别于传统的“方法论”,但CRISC内容与业内主流的风控体系保持一致。


CRISC培训报名咨询


如果您正在寻找最优质培训,欢迎致电SITC相关培训负责人垂询培训课程相关事宜,或填写一份培训报名咨询表,查询培训课程更多信息。

联系人:樊春香

联系电话:021-22502735

全国统一热线:4008808369

值班手机/微信号:18116032158


微博 联系我们
×

分享到微信朋友圈