CRISC是一款全球頂級(jí)IT從業(yè)資格認(rèn)證。CRISC主要針對(duì)具有IT風(fēng)險(xiǎn)管理以及IS控制設(shè)計(jì)、實(shí)施、監(jiān)督和維護(hù)經(jīng)驗(yàn)的人員而設(shè)計(jì),向IT專業(yè)人士提供專業(yè)知識(shí),使他們能夠識(shí)別、評(píng)估和管理IT風(fēng)險(xiǎn),同時(shí)計(jì)劃和實(shí)施控制措施和框架。它還可以幫助個(gè)人建立一種通用的語言,在IT部門內(nèi)部和整個(gè)組織內(nèi)就安全和系統(tǒng)控制進(jìn)行溝通。CRISC包含四大實(shí)踐域:IT風(fēng)險(xiǎn)識(shí)別、IT風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)和緩解以及風(fēng)險(xiǎn)控制、監(jiān)測(cè)和報(bào)告。
- 中文名CRISC風(fēng)險(xiǎn)和信息系統(tǒng)控制認(rèn)證
- 英文名Certified in Risk and Information Systems Control
- 英文簡(jiǎn)稱CRISC
- 頒證機(jī)構(gòu)ISACA
- 證書類別IT GRC,IT治理
- 同類認(rèn)證CGEIT、CISA
《CRISC Review Manual(CRISC考試復(fù)習(xí)手冊(cè))》
CRISC官方教材選用ISACA官方出版的《CRISC Review Manual》,中文名稱是《CRISC考試復(fù)習(xí)手冊(cè)》。目前_新版是第7版?!禖RISC考試復(fù)習(xí)手冊(cè)》是CRISC認(rèn)證考試的基礎(chǔ)。《手冊(cè)》提供了綜合的學(xué)習(xí)指南以幫助考生備考CRISC認(rèn)證。其中包含詳盡的考題結(jié)構(gòu)和知識(shí)點(diǎn)描述及說明,制定學(xué)習(xí)計(jì)劃的建議、考題范例,并根據(jù)流程與內(nèi)容將考試涵蓋的知識(shí)點(diǎn)進(jìn)行全面總結(jié)和概括。另外還包括考試中的常用術(shù)語表。該手冊(cè)可作為個(gè)人學(xué)習(xí)的核心資料。
另外推薦同樣是ISACA官方推出的習(xí)題庫《CRISC Questions, Answers & Explanations Database》(CRISC復(fù)習(xí)考題、答案及解析數(shù)據(jù)庫,點(diǎn)擊這里前往ISACA官方訂閱>>)。該題庫是包含600個(gè)問題的綜合題庫(基于CRISC第6版)。習(xí)題庫囊括了考試中出現(xiàn)的_具代表性的題型,并進(jìn)行了詳盡的試題解答和分析。考題按照CRISC流程與內(nèi)容范圍進(jìn)行了章節(jié)分類,可作為考試樣卷使用,幫助考生復(fù)習(xí)和鞏固知識(shí)點(diǎn),熟悉考試出題思路和考試難度,是考試復(fù)習(xí)的必備習(xí)題手冊(cè)。[CRISC習(xí)題集題庫也出版過手冊(cè)版,詳詢艾威課程老師>>]
CRISC考試復(fù)習(xí)手冊(cè)目錄結(jié)構(gòu)
《CRISC Review Manual》原書為英文,也有中文版《CRISC考試復(fù)習(xí)手冊(cè)》出版,其目錄供參考,如下:
《CRISC考試復(fù)習(xí)手冊(cè)(第7版)》目錄
ISACA簡(jiǎn)介
免責(zé)聲明
保留權(quán)利
ISACA
《CRISC?考試復(fù)習(xí)手冊(cè)》(第7版)
致謝
新增-CRISC工作實(shí)務(wù)
關(guān)于本手冊(cè)
概述
本手冊(cè)的結(jié)構(gòu)
本手冊(cè)的編排
準(zhǔn)備CRISC考試
開始準(zhǔn)備
使用《CRISC考試復(fù)習(xí)手冊(cè)》
考試復(fù)習(xí)手冊(cè)中的模塊
CRISC考試中的題目類型
將CRISC考試復(fù)習(xí)手冊(cè)與其他ISACA資源結(jié)合使用
關(guān)于《CRISC復(fù)習(xí)考題及解答手冊(cè)》
關(guān)于CRISC復(fù)習(xí)考題及解答數(shù)據(jù)庫
第1章:治理
概述
領(lǐng)域1考試內(nèi)容大綱
學(xué)習(xí)目標(biāo)/任務(wù)說明
進(jìn)一步閱讀參考資料
A部分:組織治理
1.1 組織戰(zhàn)略、目的和目標(biāo)
1.1.1 IT風(fēng)險(xiǎn)管理環(huán)境
1.1.2 主要風(fēng)險(xiǎn)概念
風(fēng)險(xiǎn)示例
1.1.3 IT風(fēng)險(xiǎn)管理的重要性和價(jià)值
1.1.4 企業(yè)的IT風(fēng)險(xiǎn)戰(zhàn)略
IT相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)的類型
1.1.5 與業(yè)務(wù)目的和目標(biāo)相一致
1.2 組織結(jié)構(gòu)、角色和職責(zé)
1.2.1 RACI(執(zhí)行人、責(zé)任人、咨詢?nèi)?、被通知人?br /> 1.2.2 關(guān)鍵角色
1.2.3 組織結(jié)構(gòu)和文化
1.3 組織文化
1.3.1 組織文化和行為以及對(duì)風(fēng)險(xiǎn)管理的影響
1.3.2 風(fēng)險(xiǎn)文化
1.3.3 風(fēng)險(xiǎn)驅(qū)動(dòng)的經(jīng)營方法
1.3.4 風(fēng)險(xiǎn)溝通的價(jià)值
1.4 政策和標(biāo)準(zhǔn)
1.4.1 政策
1.4.2 標(biāo)準(zhǔn)
1.4.3 程序
1.4.4 例外管理
1.4.5 風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和框架
ISO 31000:2018—風(fēng)險(xiǎn)管理準(zhǔn)則
COBIT和信息風(fēng)險(xiǎn)
IEC 31010:2019風(fēng)險(xiǎn)管理—風(fēng)險(xiǎn)評(píng)估技巧
ISO/IEC 27001:2013信息技術(shù)—安全技術(shù)—信息安全管理系統(tǒng)—要求
ISO/IEC 27005:2018信息技術(shù)—安全技術(shù)—信息安全風(fēng)險(xiǎn)管理
NIST特別出版物
基于ISO/IEC 27005的風(fēng)險(xiǎn)管理計(jì)劃的示例
1.5 業(yè)務(wù)流程審查
1.5.1 風(fēng)險(xiǎn)管理原則、流程和控制
風(fēng)險(xiǎn)管理的原則
流程和控制
1.5.2 與其他業(yè)務(wù)功能相關(guān)的IT風(fēng)險(xiǎn)
風(fēng)險(xiǎn)和業(yè)務(wù)連續(xù)性
風(fēng)險(xiǎn)和審計(jì)
風(fēng)險(xiǎn)和信息安全
控制風(fēng)險(xiǎn)
項(xiàng)目風(fēng)險(xiǎn)
變化中的風(fēng)險(xiǎn)
1.6 組織資產(chǎn)
1.6.1 人員
1.6.2 技術(shù)
1.6.3 數(shù)據(jù)
1.6.4 知識(shí)產(chǎn)權(quán)
1.6.5 資產(chǎn)估價(jià)
資產(chǎn)清單和文件
B部分:風(fēng)險(xiǎn)治理
1.7 企業(yè)風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)管理框架
1.7.1 IT風(fēng)險(xiǎn)管理良好實(shí)踐
1.7.2 確定企業(yè)風(fēng)險(xiǎn)管理的方針
高層贊助(_高層的基調(diào))
政策
1.8 三道防線
1.8.1 _道防線:運(yùn)營管理
1.8.2 第二道防線:風(fēng)險(xiǎn)與合規(guī)職能部門
1.8.3 第三道防線:審計(jì)
1.8.4 風(fēng)險(xiǎn)從業(yè)人員在三道防線中的職責(zé)
1.9 風(fēng)險(xiǎn)概況
1.10 風(fēng)險(xiǎn)偏好、容忍度和能力
1.11 法律、法規(guī)和合同要求
1.12 風(fēng)險(xiǎn)管理的職業(yè)道德
第2章:IT風(fēng)險(xiǎn)評(píng)估
概述
領(lǐng)域2考試內(nèi)容大綱
學(xué)習(xí)目標(biāo)/任務(wù)說明
深造學(xué)習(xí)參考資料
A部分:IT風(fēng)險(xiǎn)識(shí)別
2.1 風(fēng)險(xiǎn)事件
2.1.1 風(fēng)險(xiǎn)因素
2.1.2 風(fēng)險(xiǎn)識(shí)別方法
2.1.3 風(fēng)險(xiǎn)環(huán)境的變化
運(yùn)營完整性
行業(yè)趨勢(shì)
預(yù)測(cè)風(fēng)險(xiǎn)
2.2 威脅建模和威脅環(huán)境
2.2.1 內(nèi)部威脅
2.2.2 外部威脅
2.2.3 新興威脅
2.2.4 威脅信息的其他來源
進(jìn)行面談
媒體報(bào)道
觀察
日志
自我評(píng)估
第三方鑒證
用戶反饋
供應(yīng)商報(bào)告
2.2.5 威脅、誤用和濫用案例建模
威脅建模
2.3 漏洞和控制缺陷分析
2.3.1 漏洞來源
網(wǎng)絡(luò)漏洞
物理訪問
面向應(yīng)用程序和We b的服務(wù)
實(shí)用程序
供應(yīng)鏈
設(shè)備
云計(jì)算
大數(shù)據(jù)
2.3.2 差距分析
2.3.3 漏洞評(píng)估和滲透測(cè)試
誤報(bào)和零日漏洞
2.3.4 根本原因分析
2.4 風(fēng)險(xiǎn)場(chǎng)景開發(fā)
2.4.1 風(fēng)險(xiǎn)場(chǎng)景開發(fā)工具和技術(shù)
自上而下的方法
自下而上的方法
2.4.2 使用風(fēng)險(xiǎn)場(chǎng)景的益處
2.4.3 開發(fā)IT風(fēng)險(xiǎn)場(chǎng)景
2.4.4 分析風(fēng)險(xiǎn)場(chǎng)景
B部分:IT風(fēng)險(xiǎn)分析、評(píng)價(jià)和評(píng)估
2.5 風(fēng)險(xiǎn)評(píng)估概念、標(biāo)準(zhǔn)和框架
2.5.1 風(fēng)險(xiǎn)評(píng)級(jí)
風(fēng)險(xiǎn)地圖
2.5.2 風(fēng)險(xiǎn)所有權(quán)和責(zé)任
2.5.3 記錄風(fēng)險(xiǎn)評(píng)估
2.5.4 解決風(fēng)險(xiǎn)排除問題
2.6 風(fēng)險(xiǎn)登記表
2.7 風(fēng)險(xiǎn)分析方法
2.7.1 定量風(fēng)險(xiǎn)評(píng)估
2.7.2 定性風(fēng)險(xiǎn)評(píng)估
2.7.3 半定量/混合風(fēng)險(xiǎn)評(píng)估
2.8 業(yè)務(wù)影響分析
2.8.1 業(yè)務(wù)連續(xù)性和組織恢復(fù)能力
2.8.2 法規(guī)和合同義務(wù)
2.8.3 戰(zhàn)略投資
2.8.4 不僅是業(yè)務(wù)影響
2.8.5 業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估
2.9 固有、殘余和當(dāng)前風(fēng)險(xiǎn)
2.9.1 固有風(fēng)險(xiǎn)
2.9.2 殘余風(fēng)險(xiǎn)
2.9.3 當(dāng)前風(fēng)險(xiǎn)
第3章:風(fēng)險(xiǎn)應(yīng)對(duì)和報(bào)告
概述
領(lǐng)域3考試內(nèi)容大綱
學(xué)習(xí)目標(biāo)/任務(wù)說明
深造學(xué)習(xí)參考資料
A部分:風(fēng)險(xiǎn)應(yīng)對(duì)
3.1 風(fēng)險(xiǎn)和控制所有權(quán)
3.1.1 所有權(quán)和責(zé)任
3.2 風(fēng)險(xiǎn)處置/風(fēng)險(xiǎn)應(yīng)對(duì)方案
3.2.1 根據(jù)業(yè)務(wù)目標(biāo)調(diào)整風(fēng)險(xiǎn)應(yīng)對(duì)措施
3.2.2 風(fēng)險(xiǎn)應(yīng)對(duì)方案
風(fēng)險(xiǎn)接受
風(fēng)險(xiǎn)緩解
風(fēng)險(xiǎn)轉(zhuǎn)移/分擔(dān)
風(fēng)險(xiǎn)規(guī)避
3.2.3 選擇風(fēng)險(xiǎn)應(yīng)對(duì)措施
3.3 第三方風(fēng)險(xiǎn)管理
3.4 問題、發(fā)現(xiàn)和例外管理
3.4.1 配置管理
3.4.2 發(fā)行管理
3.4.3 例外管理
3.4.4 變更管理
3.4.5 問題和發(fā)現(xiàn)管理
3.5 新興風(fēng)險(xiǎn)管理
3.5.1 與新控制關(guān)聯(lián)的漏洞
3.5.2 新興技術(shù)對(duì)控制設(shè)計(jì)和實(shí)施的影響
B部分:控制設(shè)計(jì)與實(shí)施
3.6 控制類型、標(biāo)準(zhǔn)與框架
3.6.1 控制標(biāo)準(zhǔn)與框架
3.6.2 行政、技術(shù)和物理控制
3.6.3 能力成熟度模型
3.7 控制設(shè)計(jì)、選擇與分析
3.7.1 控制設(shè)計(jì)和選擇
3.8 控制實(shí)施
3.8.1 轉(zhuǎn)換(上線)技術(shù)
并行轉(zhuǎn)換
分階段轉(zhuǎn)換
一次性轉(zhuǎn)換
與數(shù)據(jù)遷移相關(guān)的挑戰(zhàn)
回退(回滾)
3.8.2 實(shí)施后審查
3.8.3 控制文檔
3.9 控制測(cè)試和有效性評(píng)估
3.9.1 測(cè)試良好實(shí)踐
數(shù)據(jù)
單元測(cè)試和代碼審查
質(zhì)量_
非技術(shù)性控制的測(cè)試
3.9.2 更新風(fēng)險(xiǎn)登記表
C部分:風(fēng)險(xiǎn)監(jiān)控和報(bào)告
3.10 風(fēng)險(xiǎn)處置計(jì)劃
3.11 數(shù)據(jù)收集、匯總、分析和驗(yàn)證
3.11.1 數(shù)據(jù)收集及提取工具和技術(shù)
日志
安全信息與事件管理
集成測(cè)試設(shè)備
外部信息來源
3.12 風(fēng)險(xiǎn)與控制監(jiān)控技術(shù)
3.12.1 控制監(jiān)控
3.12.2 控制評(píng)估類型
自我評(píng)估
信息系統(tǒng)審計(jì)
漏洞評(píng)估
滲透測(cè)試
第三方鑒證
3.13 風(fēng)險(xiǎn)與控制報(bào)告技術(shù)
3.13.1 熱圖
3.13.2 計(jì)分卡
3.13.3 儀表板
3.14 關(guān)鍵績(jī)效指標(biāo)
3.15 關(guān)鍵風(fēng)險(xiǎn)指標(biāo)
3.15.1 KRI的選擇
3.15.2 KRI的有效性
3.15.3 KRI的優(yōu)化
3.15.4 KRI的維護(hù)
3.15.5 結(jié)合使用KPI與KRI
3.16 關(guān)鍵控制指標(biāo)
第4章:信息技術(shù)和安全
概述
領(lǐng)域4考試內(nèi)容大綱
學(xué)習(xí)目標(biāo)/任務(wù)說明
深造學(xué)習(xí)參考資料
A部分:信息技術(shù)原則
4.1 企業(yè)架構(gòu)
4.1.1 成熟度模型
4.2 IT操作管理
4.2.1 硬件
供應(yīng)鏈管理
4.2.2 軟件
操作系統(tǒng)
應(yīng)用程序
數(shù)據(jù)庫
軟件實(shí)用程序
4.2.3 環(huán)境控制
4.2.4 網(wǎng)絡(luò)
協(xié)議
電纜
中繼器
交換機(jī)
路由器
防火墻
代理
入侵防護(hù)系統(tǒng)
域名系統(tǒng)
無線接入點(diǎn)
網(wǎng)絡(luò)架構(gòu)
網(wǎng)絡(luò)拓?fù)?br /> 網(wǎng)絡(luò)類型
軟件定義網(wǎng)絡(luò)
隔離區(qū)
虛擬專用網(wǎng)絡(luò)
4.2.5 技術(shù)更新
4.2.6 IT運(yùn)營和管理評(píng)估
配置管理
4.2.7 虛擬化和云計(jì)算
4.3 項(xiàng)目管理
4.3.1 項(xiàng)目風(fēng)險(xiǎn)
4.3.2 項(xiàng)目收尾
4.4 企業(yè)恢復(fù)能力
4.4.1 業(yè)務(wù)連續(xù)性
恢復(fù)目標(biāo)
4.4.2 災(zāi)難恢復(fù)
4.5 數(shù)據(jù)生命周期管理
4.5.1 數(shù)據(jù)管理
4.5.2 數(shù)據(jù)丟失防護(hù)
4.6 系統(tǒng)開發(fā)生命周期
4.7 新興技術(shù)趨勢(shì)
4.7.1 無處不在的連接
自帶設(shè)備(BYOD)
物聯(lián)網(wǎng)
4.7.2 海量計(jì)算能力
解密
深度偽造
大數(shù)據(jù)
4.7.3 區(qū)塊鏈
4.7.4 人工智能
B部分:信息安全原則
4.8 信息安全概念、框架和標(biāo)準(zhǔn)
4.8.1 可能性和影響
4.8.2 CIA三要素
機(jī)密性
完整性
可用性
不可否認(rèn)性
系統(tǒng)授權(quán)
4.8.3 職責(zé)分離
4.8.4 交叉培訓(xùn)和崗位輪換
4.8.5 訪問控制
標(biāo)識(shí)
身份認(rèn)證
授權(quán)
問責(zé)
4.8.6 加密
非對(duì)稱算法
消息的完整性和哈希運(yùn)算算法
數(shù)字簽名
證書
公鑰基礎(chǔ)設(shè)施
加密的劣勢(shì)
加密核心概念摘要
4.9 信息安全意識(shí)培訓(xùn)
4.10 數(shù)據(jù)隱私和數(shù)據(jù)保護(hù)原則
4.10.1 數(shù)據(jù)隱私的關(guān)鍵概念
知情同意
隱私影響評(píng)估
_小化
銷毀
4.10.2 隱私環(huán)境中的風(fēng)險(xiǎn)管理
附錄A:CRISC常規(guī)考試信息
認(rèn)證要求
成功完成CRISC考試
風(fēng)險(xiǎn)相關(guān)經(jīng)驗(yàn)
考試介紹
報(bào)名參加CRISC考試
CRISC計(jì)劃再次通過ISO/IEC 17024:2012認(rèn)證
預(yù)約安排考試日期
考試入場(chǎng)
安排時(shí)間
考試評(píng)分
附錄B:CRISC工作實(shí)務(wù)
詞匯表
CRISC知識(shí)體系介紹
CRISC知識(shí)體系主要由四大知識(shí)領(lǐng)域構(gòu)成:治理、IT風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)和報(bào)告、信息技術(shù)和安全。
1 治理 — 涵蓋組織治理和風(fēng)險(xiǎn)治理,包括:組織 戰(zhàn)略、目標(biāo)、文化、政策和標(biāo)準(zhǔn)、企業(yè)風(fēng)險(xiǎn)管理和框 架、三道防線、風(fēng)險(xiǎn)概況等。
2 IT風(fēng)險(xiǎn)評(píng)估 — 涵蓋IT風(fēng)險(xiǎn)識(shí)別、分析和評(píng)估,包 括:風(fēng)險(xiǎn)事件、威脅模型和態(tài)勢(shì)、風(fēng)險(xiǎn)評(píng)估概念、標(biāo) 準(zhǔn)和框架、風(fēng)險(xiǎn)登記、風(fēng)險(xiǎn)分析方法論、業(yè)務(wù)影響 分析等。
3 風(fēng)險(xiǎn)應(yīng)對(duì)和報(bào)告 — 涵蓋風(fēng)險(xiǎn)響應(yīng)、控制設(shè)計(jì)和 實(shí)施、風(fēng)險(xiǎn)監(jiān)控和報(bào)告,包括:風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)響應(yīng) 選項(xiàng)、風(fēng)險(xiǎn)和控制所有權(quán)、控制設(shè)計(jì)、選擇和分析、 控制測(cè)試和有效性評(píng)估、風(fēng)險(xiǎn)處置規(guī)劃等。
4 信息技術(shù)和安全 — 涵蓋信息技術(shù)原則和信息安 全原則,包括:企業(yè)架構(gòu)、IT運(yùn)營管理、數(shù)據(jù)生命周 期管理、系統(tǒng)開發(fā)生命周期、框架和標(biāo)準(zhǔn)、數(shù)據(jù)隱 私和數(shù)據(jù)保護(hù)原則等。