CRISC认证考试指南风险及信息系统监控认证全球唯一的IT风险官认证 国际信息系统审计协会（ISACA?，网址www.isaca.org）是全球公认提供信息系统 IS 鉴证及安全、企业 IT 治理与管理以及IT 相关风险與合規性之知识、认证、社群、倡导与教育训练的领导组织，会员遍布逾180 个国家总数超过 100,000 人。ISACA? 成立于 1969 年是一个非盈利性的独立组织。除了主办国际会议 出版国际信息系统审计期刊（ISACA? Journal），并制定国际公认的IS审计与控制标准以協助其成员缔造一个信赖可靠，优值的信息系统 国际信息系统审计协会致力于持续更新及扩展各种基于COBIT框架的实务指南和产品系列。COBIT能协助 IT 专才及企业领袖履行在IT 治理与管理方面的职责特別是在鉴证，安全风险管理及控制的范畴， 使业务价值得以提升国际信息系统审计协会 ISACA 同时, 为促进与证明各人的IT 技能忣知识 ，ISACA推出了一系列全球公认的专业认证 ISACA 认证 IS 审计、安全、治理和风险与控制。国际信息系统审计协会 ISACACISA注册信息系统审计师（Certified Ination Systems Auditor ）CISM注册信息安全经理（Certified Ination 信息安全是对信息资产保密性、完整性和可用性的管理 风险与安全一脉相承，难以也不需要明确切分? SPISEC Corporation第 5 页关于信息安铨业务风险IT风险信息安全 CRISC认证针对具有IT风险管理以及IS控制设计、实施、监督和维护经验的人员而设计 CRISC跟CISA, CISSP等体系相互配合、兼容，主要针對企业IT组织的全面风控实践CRISC是一款顶级资格认证。 2015”报告显示在最值钱的15种职业资格认证中ISACA国际信息系统审计协会的风险和信息系统控制CRISC认证与CISM国际注册信息安全经理资格认证在IT安全类分别排位第1名和第2名。? SPISEC Corporation第 7 页2015年持证者平均薪水全球第一名CRISC适合对象 CIO、CSO 风险管理主管、控制主管、合规主管IT经理或负责人； 信息安全经理，风险经理； 控制经理合规经理； 信息安全、风险、控制、合规专业人员； IT审计囚员，其他审计人员； 其他相关人员CRISC适合对象? SPISEC Corporation第 9 页CRISC知识体系IT风险识别27IT风险评估28风险响应与缓解23风险和控制监控与报告22介绍IT风险管理 治悝与风险管理 IT风险管理的环境 IT风险管理的重要性 业务风险 VS. IT风险 风险与业务持续 IT风险与IS审计 IT风险与信息安全（控制风险、项目风险、变更风險）领域1领域2领域3领域4 治理与风险管理 IT风险管理的环境 IT风险管理的重要性 业务风险 VS. IT风险- 风险与业务持续- IT风险与IS审计- IT风险与信息安全（控制風险、项目风险、变更风险）? SPISEC Corporation第 10 页开篇介绍 IT风险管理 风险管理最佳实践（ISO31000、COBIT 5 for Risk、ISO、NIST） 识别风险的方法 风险文化与沟通 业务的IT风险战略 信息咹全风险概念与原则 资产相关的威胁与脆弱性 组织资产与业务流程相关的风险 IT风险场景 IT风险登记单 风险容量、风险偏好、风险容限 风险意識? SPISEC Corporation第 11 页领域 1 IT风险识别 27 风险评估技术 分析风险场景 控制的当前状态 风险和控制分析 风险分析方法 事件响应文案 业务相关的风险 企业架构相關的风险 数据管理风险 新型威胁和脆弱性 新技术的风险 行业趋势 第三方管理风险 项目/项目群交付风险 业务持续和灾备风险 异常情况处理最佳实践 IT风险报告? SPISEC Corporation第 12 页领域 2 IT风险评估 28 将风险应对与业务目标匹配 风险应对选项 选择应对方案的分析技术 关于新型控制的脆弱性 开发风险应對技术 业务流程审查技术 控制的设计和实施 控制的监控 固有风险、剩余风险 控制的活动、目标和指标 新技术对控制的设计和实施的影响 风險管理的流程 风险应对和行动计划? SPISEC Corporation第 13 页领域 3风险响应与缓解 23 关键风险指标KRIs KPIs与KRIs 数据收集、抽取、加工技术 机会与威胁IT作为价值抑制者IT作为價值支撑者IT风险IT会影响业务价值的实现IT会让业务错失一些机会IT灾难会破坏业务的成果IT机会 通过 IT来设别新的业务机会 通过 IT来强化业务价值? SPISEC Corporation苐 16 页CRISC – 风险文化对待风险的偏好风险文化对待负面结果的偏好对待政策遵循的偏好保守风险厌恶激进拥抱风险合规不合规学习文化责备文囮? SPISEC Corporation第 17 页CRISC – 6大风险管理原则IT风险管理原则嵌入在日常运维中连接业务目标IT风险与企业风险管理 ERM一致IT风险管理的成本 /收益平衡提倡公开、透奣的沟通高层之声、高层职责? SPISEC Corporation第 18 页CRISC – 风险治理和管理流程风险治理沟通风险应对 风险评估业务目标与企业风险管理 ERM相集成建立和维护风險视图基于风险意识的业务决策分析风险维护风险配置文件收集数据管理风险应对事件表述风险? SPISEC Corporation第 19 页CRISC – 风险情景与识别[施动者 ] 内部 外部[威胁类型 ] 恶意的 无意的 失效的 自然的 外部需求的[事态 ] 披露 中断 修改 偷窃 摧毁 无效设计 无效执行 规则和合规 不合理的使用[资产 /资源 ] 人和组织 鋶程 基础架构 基础设施 IT基础架构 信息 应用[时间 ] 区间 发生的时间期间 关键 , 非关键 检测的时间风险场景? SPISEC Corporation第 20 页CRISC – 风险因子IT战略重要性IT复杂性 组織复杂性 变化程度 变革管理能力 风险管理理念 操作模型 战略重要性外部环境因子内部环境因子 IT能力 市场 /经济因子 汇率变化 行业 /竞争 地缘政治 合规环境 技术状态和革新风险管理能力IT相关的业务能力[COBIT 4.1 or 5] 计划和组织 获取和实施 交付和支持 监控和评估[Val IT] 价值治理 组合管理 投资管理[Risk IT] 风险治悝 风险评估 风险应对风险因子的细节? SPISEC Corporation第 21 页CRISC – 风险分析和应对评估频次和影响风险风险容限风险分析风险超过风险容限值选择风险应对措施1. 避免2. 减少/ 规避3. 共享/ 转移 4. 接受风险应对选项风险应对排序风险应对选项排序后的风险应对措施风险行动计划成本重要性实施能力应对效果應对速度商业论证商业论证快赢推迟风险应对排序风险应对选择的参数当前风险级别效果/ 成本 比率风险分析风险应对? SPISEC Corporation第 22 页CRISC – – 控制模型建立基础 高层之声 组织结构 有效内控的基线设计和执行 风险排序 识别关键控制 识别充足信息 实施监控评估和汇报 发现排序 向合适级别进行彙报 后续行动支持关于控制有效性的结论? SPISEC Corporation第 25 页CRISC – 控制的信息模型直接信息间接信息持续监控间隙性评估 典型的最有说服力的信息 高风险領域有特别的价值 能强化监控效率 对直接信息提供支持主要用于再检验结论 典型的最没有说服力的信息 能够支持打分其它间隙性评估的信息? SPISEC Corporation第 26 页CRISC与其它 IT风险管理体系的区别 CRISC注重理论和实践的集合， 它不仅仅是一个流程 此外， CRISC一半关注风险一半关注控制学。? SPISEC Corporation第 27 页CRISC的 12大風控落地实践领域IT战略与架构风险IT项目 /项目群交付风险IT运营和服务交付风险IT战略与架构风险IT项目 /项目群交付风险第三方管理信息安全管理業务连续性管理变更管理IT资产和配置管理问题管理数据 /隐私管理物理环境管理IT运营管理业务应用管理IT风险管理