Certified in Risk and Information Systems Control (CRISC)國際資訊風險控制師認證

一、證照介紹
 

背景
ISACA於2010年推出新的「國際資訊風險控制師認證」證照(Certified in Risk and Information Systems Control^TM, CRISC^TM)，依據其特有之知識財產、獨立的市場研究及世界各地該領域之專家投入發展CRISC證照，CRISC是專為具有資訊科技風險管理經驗，及具有資訊系統控制、設計、實施、監督及維護經驗係之專業人士而設計。目前全球已有超過30,000人取得CRISC認證，統計至2025年6月止，台灣持有CRISC證照之ISACA會員人數為49人(不含非會員之持證者)。

何謂CRISC?
現今企業，「風險(risk)」扮演關鍵角色，幾乎每個業務決定都需要IT與企業專業人員以平衡風險與報酬。有效管理企業風險是企業成功不可或缺的。

CRISC認證係為下列專業人士而設計： 
─IT專人員。
─風險專業人員。
─業務分析人員。
─專案經理。
─法令遵循人員。
─企業經營人員。

CRISC與其他ISACA專業認證之相互關係
CRISC與國際電腦稽核協會另外三個專業認證相輔相成。
─CRISC係為參與營運層面處理風險的專才提供專業認證；CGEIT旨在為擔任資訊治理及風險管理之重要管理、諮詢及確保角色之資訊科技專才提供專業認證。
─CRISC是為需要設計、實施及維護資訊系統控制的資訊科技及企業專才而設；而CISA為執行控制設計及營運效果獨立覆核的資訊科技專才而設計。
─增進消費者和公眾對本認證和持證者的信心。
─CRISC專業認證係為工作亦包括到安全、營運及法令遵循的資訊科技專才而設；而CISM旨在為管理、設計、監控及/或評估企業資訊安全的人才提供專業認證，資訊安全包括辨識及管理資訊安全的風險。

CRISC考試每年舉行，考題為150題單選選擇題，範圍涵蓋從最新CRISC工作實務分析中所建立的四個工作實務範疇。試題之設計主要在測試實務上的知識及經驗，並無絕對的答案，考生需選出相對「最佳」的答案。
相關資訊請詳見ISACA網站說明：https://www.isaca.org/credentialing/crisc。

考試內容(工作實務範疇)：
以下實務範疇和百分比表示考試中出題所占的比重。
1.治理 Governance (26%)－Organizational Governance、Risk Governance
2.資訊科技風險評估 IT Risk Assessment (20%)－IT Risk Identification、IT Risk Analysis and Evaluation
3.風險回應與報告 Risk Response and Reporting (32%)－Risk Response、Control Design and Implementation、Risk Monitoring and Reporting
4.資訊科技與安全 Information Technology and Security (22%)－Information Technology Principles、Information Security Principles

詳細實務範疇，CRISC Certification Job Practice

:: Top

二、報名申請

從ISACA網站進行線上報名及刷卡付費。報名並繳費後的一個工作天內，報名者會收到ISACA寄發之「排定日期通知」email，內容包括認證考試、考試語種及如何排定考試日期等資訊，再依所提供之操作步驟登入，並至PSI網站進行考試日期排定作業。報名相關資訊請詳見ISACA網站公告及應試指南說明。

三、考試準備

1.瞭解CRISC考試範疇，仔細閱讀「ISACA應試指南」。
2.研讀總會編撰之標準教材手冊CRISC Review Manual及其他資料(如：The Risk IT Framework、The Risk IT Practitioner Guide、COBIT)。
3.練習教材中相關例題(CRISC Review Questions, Answers & Explanations Manual, Supplement)。
4.參與讀書會或研習團體。
5.免費CRISC練習測驗：https://www.isaca.org/credentialing/crisc/crisc-practice-quiz。

四、證照申請/維護
1.取得CRISC考試的及格分數。僅通過CRISC考試，但是未能取得以下所列工作經驗時，考試成績只能維持5年有效。如果申請人未能在5年期間內達到CRISC的認證要求，則考試成績無效。
2.需提出具有3年(含)以上且符合至少2項CRISC工作實務範疇(其中一項必須是範疇1或範疇2)之風險管理和資訊系統控制工作經驗的證明申請。工作經驗必須在認證申請日之前的10年內，或最初通過考試之日起的5年內獲得。
3.同意遵守「ISACA職業道德規範」。
4.同意遵守「ISACA持續專業進修政策(CPE)」。
5.CRISC認證申請表填寫說明。
6.維持證照有效性，必須完成： 相關內容可在https://www.isaca.org/credentialing/crisc/maintain-crisc-certification查詢。
   ●每年完成最少20小時的持續專業教育時數。
   ●每3年完成最少120小時的持續專業教育時數(從得到證照後的隔年1月1日起算)。
   ●每年支付持續專業教育維持費。
      ISACA會員：USD $45
      ISACA非會員：USD $85
   ●如果被年度稽核抽選，必須回應與遞交持續專業教育活動之佐證文件。
   ●符合ISACA職業道德規範。