CRISC官方教材：《CRISC Review Manual（CRISC考試復習手冊）》及知識體系介紹

CRISC

原創(chuàng)2023-04-26小艾老師

CRISC風險和信息系統(tǒng)控制認證知識體系考證須知證書含金量培訓大綱 3分鐘小視頻我要提問

CRISC是一款全球頂級IT從業(yè)資格認證。CRISC主要針對具有IT風險管理以及IS控制設計、實施、監(jiān)督和維護經(jīng)驗的人員而設計，向IT專業(yè)人士提供專業(yè)知識，使他們能夠識別、評估和管理IT風險，同時計劃和實施控制措施和框架。它還可以幫助個人建立一種通用的語言，在IT部門內(nèi)部和整個組織內(nèi)就安全和系統(tǒng)控制進行溝通。CRISC包含四大實踐域：IT風險識別、IT風險評估、風險應對和緩解以及風險控制、監(jiān)測和報告。

中文名CRISC風險和信息系統(tǒng)控制認證
英文名Certified in Risk and Information Systems Control
英文簡稱CRISC
頒證機構ISACA
證書類別IT GRC，IT治理
同類認證CGEIT、CISA

《CRISC Review Manual（CRISC考試復習手冊）》

CRISC官方教材選用ISACA官方出版的《CRISC Review Manual》，中文名稱是《CRISC考試復習手冊》。目前_新版是第7版?！禖RISC考試復習手冊》是CRISC認證考試的基礎。《手冊》提供了綜合的學習指南以幫助考生備考CRISC認證。其中包含詳盡的考題結(jié)構和知識點描述及說明，制定學習計劃的建議、考題范例，并根據(jù)流程與內(nèi)容將考試涵蓋的知識點進行全面總結(jié)和概括。另外還包括考試中的常用術語表。該手冊可作為個人學習的核心資料。

另外推薦同樣是ISACA官方推出的習題庫《CRISC Questions, Answers & Explanations Database》（CRISC復習考題、答案及解析數(shù)據(jù)庫，點擊這里前往ISACA官方訂閱>>）。該題庫是包含600個問題的綜合題庫（基于CRISC第6版）。習題庫囊括了考試中出現(xiàn)的_具代表性的題型，并進行了詳盡的試題解答和分析。考題按照CRISC流程與內(nèi)容范圍進行了章節(jié)分類，可作為考試樣卷使用，幫助考生復習和鞏固知識點，熟悉考試出題思路和考試難度，是考試復習的必備習題手冊。[CRISC習題集題庫也出版過手冊版，詳詢艾威課程老師>>]

CRISC考試復習手冊目錄結(jié)構

《CRISC Review Manual》原書為英文，也有中文版《CRISC考試復習手冊》出版，其目錄供參考，如下：

《CRISC考試復習手冊（第7版）》目錄
ISACA簡介
免責聲明
保留權利
ISACA
《CRISC?考試復習手冊》（第7版）
致謝
新增-CRISC工作實務
關于本手冊
概述
本手冊的結(jié)構
本手冊的編排
準備CRISC考試
開始準備
使用《CRISC考試復習手冊》
考試復習手冊中的模塊
CRISC考試中的題目類型
將CRISC考試復習手冊與其他ISACA資源結(jié)合使用
關于《CRISC復習考題及解答手冊》
關于CRISC復習考題及解答數(shù)據(jù)庫
第1章：治理
概述
領域1考試內(nèi)容大綱
學習目標/任務說明
進一步閱讀參考資料
A部分：組織治理
1.1 組織戰(zhàn)略、目的和目標
1.1.1 IT風險管理環(huán)境
1.1.2 主要風險概念
風險示例
1.1.3 IT風險管理的重要性和價值
1.1.4 企業(yè)的IT風險戰(zhàn)略
IT相關業(yè)務風險的類型
1.1.5 與業(yè)務目的和目標相一致
1.2 組織結(jié)構、角色和職責
1.2.1 RACI（執(zhí)行人、責任人、咨詢?nèi)?、被通知人?br /> 1.2.2 關鍵角色
1.2.3 組織結(jié)構和文化
1.3 組織文化
1.3.1 組織文化和行為以及對風險管理的影響
1.3.2 風險文化
1.3.3 風險驅(qū)動的經(jīng)營方法
1.3.4 風險溝通的價值
1.4 政策和標準
1.4.1 政策
1.4.2 標準
1.4.3 程序
1.4.4 例外管理
1.4.5 風險管理標準和框架
ISO 31000：2018—風險管理準則
COBIT和信息風險
IEC 31010：2019風險管理—風險評估技巧
ISO/IEC 27001：2013信息技術—安全技術—信息安全管理系統(tǒng)—要求
ISO/IEC 27005：2018信息技術—安全技術—信息安全風險管理
NIST特別出版物
基于ISO/IEC 27005的風險管理計劃的示例
1.5 業(yè)務流程審查
1.5.1 風險管理原則、流程和控制
風險管理的原則
流程和控制
1.5.2 與其他業(yè)務功能相關的IT風險
風險和業(yè)務連續(xù)性
風險和審計
風險和信息安全
控制風險
項目風險
變化中的風險
1.6 組織資產(chǎn)
1.6.1 人員
1.6.2 技術
1.6.3 數(shù)據(jù)
1.6.4 知識產(chǎn)權
1.6.5 資產(chǎn)估價
資產(chǎn)清單和文件
B部分：風險治理
1.7 企業(yè)風險管理和風險管理框架
1.7.1 IT風險管理良好實踐
1.7.2 確定企業(yè)風險管理的方針
高層贊助（_高層的基調(diào)）
政策
1.8 三道防線
1.8.1 _道防線：運營管理
1.8.2 第二道防線：風險與合規(guī)職能部門
1.8.3 第三道防線：審計
1.8.4 風險從業(yè)人員在三道防線中的職責
1.9 風險概況
1.10 風險偏好、容忍度和能力
1.11 法律、法規(guī)和合同要求
1.12 風險管理的職業(yè)道德
第2章：IT風險評估
概述
領域2考試內(nèi)容大綱
學習目標/任務說明
深造學習參考資料
A部分：IT風險識別
2.1 風險事件
2.1.1 風險因素
2.1.2 風險識別方法
2.1.3 風險環(huán)境的變化
運營完整性
行業(yè)趨勢
預測風險
2.2 威脅建模和威脅環(huán)境
2.2.1 內(nèi)部威脅
2.2.2 外部威脅
2.2.3 新興威脅
2.2.4 威脅信息的其他來源
進行面談
媒體報道
觀察
日志
自我評估
第三方鑒證
用戶反饋
供應商報告
2.2.5 威脅、誤用和濫用案例建模
威脅建模
2.3 漏洞和控制缺陷分析
2.3.1 漏洞來源
網(wǎng)絡漏洞
物理訪問
面向應用程序和We b的服務
實用程序
供應鏈
設備
云計算
大數(shù)據(jù)
2.3.2 差距分析
2.3.3 漏洞評估和滲透測試
誤報和零日漏洞
2.3.4 根本原因分析
2.4 風險場景開發(fā)
2.4.1 風險場景開發(fā)工具和技術
自上而下的方法
自下而上的方法
2.4.2 使用風險場景的益處
2.4.3 開發(fā)IT風險場景
2.4.4 分析風險場景
B部分：IT風險分析、評價和評估
2.5 風險評估概念、標準和框架
2.5.1 風險評級
風險地圖
2.5.2 風險所有權和責任
2.5.3 記錄風險評估
2.5.4 解決風險排除問題
2.6 風險登記表
2.7 風險分析方法
2.7.1 定量風險評估
2.7.2 定性風險評估
2.7.3 半定量/混合風險評估
2.8 業(yè)務影響分析
2.8.1 業(yè)務連續(xù)性和組織恢復能力
2.8.2 法規(guī)和合同義務
2.8.3 戰(zhàn)略投資
2.8.4 不僅是業(yè)務影響
2.8.5 業(yè)務影響分析和風險評估
2.9 固有、殘余和當前風險
2.9.1 固有風險
2.9.2 殘余風險
2.9.3 當前風險
第3章：風險應對和報告
概述
領域3考試內(nèi)容大綱
學習目標/任務說明
深造學習參考資料
A部分：風險應對
3.1 風險和控制所有權
3.1.1 所有權和責任
3.2 風險處置/風險應對方案
3.2.1 根據(jù)業(yè)務目標調(diào)整風險應對措施
3.2.2 風險應對方案
風險接受
風險緩解
風險轉(zhuǎn)移/分擔
風險規(guī)避
3.2.3 選擇風險應對措施
3.3 第三方風險管理
3.4 問題、發(fā)現(xiàn)和例外管理
3.4.1 配置管理
3.4.2 發(fā)行管理
3.4.3 例外管理
3.4.4 變更管理
3.4.5 問題和發(fā)現(xiàn)管理
3.5 新興風險管理
3.5.1 與新控制關聯(lián)的漏洞
3.5.2 新興技術對控制設計和實施的影響
B部分：控制設計與實施
3.6 控制類型、標準與框架
3.6.1 控制標準與框架
3.6.2 行政、技術和物理控制
3.6.3 能力成熟度模型
3.7 控制設計、選擇與分析
3.7.1 控制設計和選擇
3.8 控制實施
3.8.1 轉(zhuǎn)換（上線）技術
并行轉(zhuǎn)換
分階段轉(zhuǎn)換
一次性轉(zhuǎn)換
與數(shù)據(jù)遷移相關的挑戰(zhàn)
回退（回滾）
3.8.2 實施后審查
3.8.3 控制文檔
3.9 控制測試和有效性評估
3.9.1 測試良好實踐
數(shù)據(jù)
單元測試和代碼審查
質(zhì)量_
非技術性控制的測試
3.9.2 更新風險登記表
C部分：風險監(jiān)控和報告
3.10 風險處置計劃
3.11 數(shù)據(jù)收集、匯總、分析和驗證
3.11.1 數(shù)據(jù)收集及提取工具和技術
日志
安全信息與事件管理
集成測試設備
外部信息來源
3.12 風險與控制監(jiān)控技術
3.12.1 控制監(jiān)控
3.12.2 控制評估類型
自我評估
信息系統(tǒng)審計
漏洞評估
滲透測試
第三方鑒證
3.13 風險與控制報告技術
3.13.1 熱圖
3.13.2 計分卡
3.13.3 儀表板
3.14 關鍵績效指標
3.15 關鍵風險指標
3.15.1 KRI的選擇
3.15.2 KRI的有效性
3.15.3 KRI的優(yōu)化
3.15.4 KRI的維護
3.15.5 結(jié)合使用KPI與KRI
3.16 關鍵控制指標
第4章：信息技術和安全
概述
領域4考試內(nèi)容大綱
學習目標/任務說明
深造學習參考資料
A部分：信息技術原則
4.1 企業(yè)架構
4.1.1 成熟度模型
4.2 IT操作管理
4.2.1 硬件
供應鏈管理
4.2.2 軟件
操作系統(tǒng)
應用程序
數(shù)據(jù)庫
軟件實用程序
4.2.3 環(huán)境控制
4.2.4 網(wǎng)絡
協(xié)議
電纜
中繼器
交換機
路由器
防火墻
代理
入侵防護系統(tǒng)
域名系統(tǒng)
無線接入點
網(wǎng)絡架構
網(wǎng)絡拓撲
網(wǎng)絡類型
軟件定義網(wǎng)絡
隔離區(qū)
虛擬專用網(wǎng)絡
4.2.5 技術更新
4.2.6 IT運營和管理評估
配置管理
4.2.7 虛擬化和云計算
4.3 項目管理
4.3.1 項目風險
4.3.2 項目收尾
4.4 企業(yè)恢復能力
4.4.1 業(yè)務連續(xù)性
恢復目標
4.4.2 災難恢復
4.5 數(shù)據(jù)生命周期管理
4.5.1 數(shù)據(jù)管理
4.5.2 數(shù)據(jù)丟失防護
4.6 系統(tǒng)開發(fā)生命周期
4.7 新興技術趨勢
4.7.1 無處不在的連接
自帶設備（BYOD）
物聯(lián)網(wǎng)
4.7.2 海量計算能力
解密
深度偽造
大數(shù)據(jù)
4.7.3 區(qū)塊鏈
4.7.4 人工智能
B部分：信息安全原則
4.8 信息安全概念、框架和標準
4.8.1 可能性和影響
4.8.2 CIA三要素
機密性
完整性
可用性
不可否認性
系統(tǒng)授權
4.8.3 職責分離
4.8.4 交叉培訓和崗位輪換
4.8.5 訪問控制
標識
身份認證
授權
問責
4.8.6 加密
非對稱算法
消息的完整性和哈希運算算法
數(shù)字簽名
證書
公鑰基礎設施
加密的劣勢
加密核心概念摘要
4.9 信息安全意識培訓
4.10 數(shù)據(jù)隱私和數(shù)據(jù)保護原則
4.10.1 數(shù)據(jù)隱私的關鍵概念
知情同意
隱私影響評估
_小化
銷毀
4.10.2 隱私環(huán)境中的風險管理
附錄A：CRISC常規(guī)考試信息
認證要求
成功完成CRISC考試
風險相關經(jīng)驗
考試介紹
報名參加CRISC考試
CRISC計劃再次通過ISO/IEC 17024：2012認證
預約安排考試日期
考試入場
安排時間
考試評分
附錄B：CRISC工作實務
詞匯表