Certified in Risk and Information Systems Control (CRISC)國際資訊風險控制師認證
背景
ISACA於2010年推出新的「國際資訊風險控制師認證」證照(Certified in Risk and Information Systems ControlTM, CRISCTM),依據其特有之知識財產、獨立的市場研究及世界各地該領域之專家投入發展CRISC證照,CRISC是專為具有資訊科技風險管理經驗,及具有資訊系統控制、設計、實施、監督及維護經驗係之專業人士而設計。目前全球已有超過30,000人取得CRISC認證,統計至2022年11月止,台灣持有CRISC證照之ISACA會員人數為37人(不含非會員之持證者)。
何謂CRISC?
現今企業,「風險(risk)」扮演關鍵角色,幾乎每個業務決定都需要IT與企業專業人員以平衡風險與報酬。有效管理企業風險是企業成功不可或缺的。
CRISC認證係為下列專業人士而設計:
─IT專人員。
─風險專業人員。
─業務分析人員。
─專案經理。
─法令遵循人員。
─企業經營人員。
CRISC與其他ISACA專業認證之相互關係
CRISC與國際電腦稽核協會另外三個專業認證相輔相成。
- CRISC係為參與營運層面處理風險的專才提供專業認證;CGEIT旨在為擔任資訊治理及風險管理之重要管理、諮詢及確保角色之資訊科技專才提供專業認證。
- CRISC是為需要設計、實施及維護資訊系統控制的資訊科技及企業專才而設;而CISA為執行控制設計及營運效果獨立覆核的資訊科技專才而設計。
- 增進消費者和公眾對本認證和持證者的信心。
- CRISC專業認證係為工作亦包括到安全、營運及法令遵循的資訊科技專才而設;而CISM旨在為管理、設計、監控及/或評估企業資訊安全的人才提供專業認證,資訊安全包括辨識及管理資訊安全的風險。
CRISC考試每年舉行,考題為150題單選選擇題,範圍涵蓋從最新CRISC工作實務分析中所建立的四個工作實務範疇。試題之設計主要在測試實務上的知識及經驗,並無絕對的答案,考生需選出相對「最佳」的答案。相關資訊請詳見ISACA網站說明:https://www.isaca.org/credentialing/crisc。
考試內容(工作實務範疇):
以下實務範疇和百分比表示考試中出題所占的比重。
1.治理 Governance (26%)-Organizational Governance、Risk Governance
2.資訊科技風險評估 IT Risk Assessment (20%)-IT Risk Identification、IT Risk Analysis and Evaluation
3.風險回應與報告 Risk Response and Reporting (32%)-Risk Response、Control Design and Implementation、Risk Monitoring and Reporting
4.資訊科技與安全 Information Technology and Security (22%)-Information Technology Principles、Information Security Principles
詳細實務範疇,CRISC Certification Job Practice
從ISACA網站進行線上報名及刷卡付費。報名並繳費後的一個工作天內,報名者會收到ISACA寄發之「排定日期通知」email,內容包括認證考試、考試語種及如何排定考試日期等資訊,再依所提供之操作步驟登入,並至PSI網站進行考試日期排定作業。報名相關資訊請詳見ISACA網站公告及應試指南說明。
1.瞭解CRISC考試範疇,仔細閱讀「ISACA應試指南」。
2.研讀總會編撰之標準教材手冊CRISC Review Manual及其他資料(如:The Risk IT Framework、The Risk IT Practitioner Guide、COBIT)。
3.練習教材中相關例題(CRISC Review Questions, Answers & Explanations Manual, Supplement)。
4.參與讀書會或研習團體。