國際證照

Certified in Risk and Information Systems Control (CRISC)國際資訊風險控制師認證


一、證照介紹
 

背景
crsic_logo國際電腦稽核協會ISACA於2010年推出新的「國際資訊風險控制師認證」證照(Certified in Risk and Information Systems ControlTM, CRISCTM),ISACA依據其特有之知識財產、獨立的市場研究及世界各地該領域之專家投入發展CRISC證照,CRISC係特別為那些利用發展、實施及維護資訊系統控制來辨識並管理風險之資訊科技專業人士而設計。統計至2018年6月底,台灣持有CRISC證照的人數為34位。

何謂CRISC?
現今企業,「風險(risk)」扮演關鍵角色,幾乎每個業務決定都需要IT與企業專業人員以平衡風險與報酬。有效管理企業風險是企業成功不可或缺的。

CRISC認證係為下列專業人士而設計: 
─IT專人員。
─風險專業人員。
─業務分析人員。
─專案經理。
─法令遵循人員。
─企業經營人員。

CRISC與其他ISACA專業認證之相互關係
CRISC與國際電腦稽核協會另外三個專業認證相輔相成。

  • CRISC係為參與營運層面處理風險的專才提供專業認證;CGEIT旨在為擔任資訊治理及風險管理之重要管理、諮詢及確保角色之資訊科技專才提供專業認證。
  • CRISC是為需要設計、實施及維護資訊系統控制的資訊科技及企業專才而設;而CISA為執行控制設計及營運效果獨立覆核的資訊科技專才而設計。
  • 增進消費者和公眾對本認證和持證者的信心
  • CRISC專業認證係為工作亦包括到安全、營運及法令遵循的資訊科技專才而設;而CISM旨在為管理、設計、監控及/或評估企業資訊安全的人才提供專業認證,資訊安全包括辨識及管理資訊安全的風險。

CRISC考試每年舉行,考題為150題單選選擇題,範圍涵蓋從最新CRISC工作實務分析中所建立的四個工作實務範疇。試題之設計主要在測試實務上的知識及經驗,並無絕對的答案,考生需選出相對「最佳」的答案。相關資訊請詳見ISACA網站說明:http://www.isaca.org/Certification/CRISC-Certified-in-Risk-and-Information-Systems-Control/Pages/default.aspx

考試內容(工作實務範疇):

以下實務範疇和百分比表示考試中出題所占的比重。

  1. 資訊科技風險識別(27%) —Identify the universe of IT risk to contribute to the execution of the IT risk management strategy in support of business objectives and in alignment with the enterprise risk management (ERM) strategy.
  2. 資訊科技風險評估(28%) —Analyze and evaluate IT risk to determine the likelihood and impact on business objectives to enable risk-based decision making.
  3. 風險回應與移轉(23%) —Determine risk response options and evaluate their efficiency and effectiveness to manage risk in alignment with business objectives.
  4. 風險和控制監控與報告(22%) —Continuously monitor and report on IT risk and controls to relevant stakeholders to ensure the continued efficiency and effectiveness of the IT risk management strategy and its alignment to business objectives.

詳細實務範疇,CRISC Certification Job Practice

:: Top
 

二、報名申請

從ISACA網站進行線上報名及刷卡付費。報名並繳費後的一個工作天內,報名者會收到ISACA寄發之「排定日期通知」email,內容包括認證考試、考試語種及如何排定考試日期等資訊,再依所提供之操作步驟登入,並至PSI網站進行考試日期排定作業。報名相關資訊請詳見ISACA網站公告及應試指南說明

:: Top
 

三、考試準備

   1.瞭解CRISC考試範疇,仔細閱讀「ISACA應試指南」。
   2.研讀總會編撰之標準教材手冊CRISC Review Manual及其他資料(如:The Risk IT Framework、The Risk IT Practitioner Guide、COBIT)。
   3.練習教材中相關例題(CRISC Review Questions, Answers & Explanations Manual, Supplement)。
   4.參與讀書會或研習團體。

:: Top
 

四、證照申請/維護

  1. 取得CRISC考試的及格分數。僅通過CRISC考試,但是未能取得以下所列工作經驗時,考試成績只能維持五年有效。如果申請人未能在五年期間內達到CRISC的認證要求,則考試成績無效。
  2. 提出三年(含)以上至少包括2個CRISC工作實務範疇經驗之確認證明申請,其中一個工作實務範疇必須為資訊科技風險識別或資訊科技風險評估(工作實務範疇第1項或第2項)。工作經驗必須在認證申請日之前的十年內,或最初通過考試之日起的五年內獲得。
    不能替代或抵減經驗。
  3. 同意遵守「ISACA職業道德規範」,相關內容可在http://www.isaca.org/ethics查詢。
  4. 同意遵守「ISACA持續專業進修政策(CPE)」。
  5. 維持證照有效性,必須完成: 相關內容可在 http://www.isaca.org/crisccpepolicy查詢。
    • 每年完成最少20小時的持續專業教育時數。
    • 每3年完成最少120小時的持續專業教育時數(從得到證照後的隔年1月1日起算)。
    • 每年支付持續專業教育維持費
      ISACA會員:USD $45
      ISACA非會員:USD $85
    • 如果被年度稽核抽選,必須回應與遞交持續專業教育活動之佐證文件。
    • 符合ISACA職業道德規範。
:: Top