國際證照

Certified in Risk and Information Systems Control (CRISC)國際資訊風險控制師認證


一、證照介紹
 

背景
crsic_logoISACA於2010年推出新的「國際資訊風險控制師認證」證照(Certified in Risk and Information Systems ControlTM, CRISCTM),依據其特有之知識財產、獨立的市場研究及世界各地該領域之專家投入發展CRISC證照,CRISC是專為具有資訊科技風險管理經驗,及具有資訊系統控制、設計、實施、監督及維護經驗係之專業人士而設計。目前全球已有超過30,000人取得CRISC認證,統計至2021年5月底,台灣持有CRISC證照之ISACA會員人數為30人(不含非會員之持證者)。

何謂CRISC?
現今企業,「風險(risk)」扮演關鍵角色,幾乎每個業務決定都需要IT與企業專業人員以平衡風險與報酬。有效管理企業風險是企業成功不可或缺的。

CRISC認證係為下列專業人士而設計: 
─IT專人員。
─風險專業人員。
─業務分析人員。
─專案經理。
─法令遵循人員。
─企業經營人員。

CRISC與其他ISACA專業認證之相互關係
CRISC與國際電腦稽核協會另外三個專業認證相輔相成。

  • CRISC係為參與營運層面處理風險的專才提供專業認證;CGEIT旨在為擔任資訊治理及風險管理之重要管理、諮詢及確保角色之資訊科技專才提供專業認證。
  • CRISC是為需要設計、實施及維護資訊系統控制的資訊科技及企業專才而設;而CISA為執行控制設計及營運效果獨立覆核的資訊科技專才而設計。
  • 增進消費者和公眾對本認證和持證者的信心。
  • CRISC專業認證係為工作亦包括到安全、營運及法令遵循的資訊科技專才而設;而CISM旨在為管理、設計、監控及/或評估企業資訊安全的人才提供專業認證,資訊安全包括辨識及管理資訊安全的風險。

CRISC考試每年舉行,考題為150題單選選擇題,範圍涵蓋從最新CRISC工作實務分析中所建立的四個工作實務範疇。試題之設計主要在測試實務上的知識及經驗,並無絕對的答案,考生需選出相對「最佳」的答案。相關資訊請詳見ISACA網站說明:http://www.isaca.org/Certification/CRISC-Certified-in-Risk-and-Information-Systems-Control/Pages/default.aspx

考試內容(工作實務範疇):

以下實務範疇和百分比表示考試中出題所占的比重。

  1. 資訊科技風險識別 (27%) —Identify the universe of IT risk to contribute to the execution of the IT risk management strategy in support of business objectives and in alignment with the enterprise risk management (ERM) strategy.
  2. 資訊科技風險評估 (28%) —Analyze and evaluate IT risk to determine the likelihood and impact on business objectives to enable risk-based decision making.
  3. 風險回應與移轉 (23%) —Determine risk response options and evaluate their efficiency and effectiveness to manage risk in alignment with business objectives.
  4. 風險和控制監控與報告 (22%) —Continuously monitor and report on IT risk and controls to relevant stakeholders to ensure the continued efficiency and effectiveness of the IT risk management strategy and its alignment to business objectives.

詳細實務範疇,CRISC Certification Job Practice

★重要通知!從2021年8月1日起,將更新CRISC考試內容(工作實務範疇)如下。此更新係基於IT風險專業人員在工作實務、市場動態和趨勢的變化,而這些變化更加關注組織的治理、持續風險監控和報告、資訊安全和資料隱私考量。
1.治理 Governance (26%)Organizational Governance、Risk Governance
2.資訊科技風險評估 IT Risk Assessment (20%)IT Risk Identification、IT Risk Analysis and Evaluation
3.風險回應與報告 Risk Response and Reporting (32%)Risk Response、Control Design and Implementation、Risk Monitoring and Reporting
4.資訊科技與安全 Information Technology and Security (22%)Information Technology Principles、Information Security Principles
相關資訊請詳見:https://www.isaca.org/credentialing/crisc/crisc-exam-content-outline

:: Top
 

二、報名申請

從ISACA網站進行線上報名及刷卡付費。報名並繳費後的一個工作天內,報名者會收到ISACA寄發之「排定日期通知」email,內容包括認證考試、考試語種及如何排定考試日期等資訊,再依所提供之操作步驟登入,並至PSI網站進行考試日期排定作業。報名相關資訊請詳見ISACA網站公告及應試指南說明。

:: Top
 

三、考試準備

   1.瞭解CRISC考試範疇,仔細閱讀「ISACA應試指南」。
   2.研讀總會編撰之標準教材手冊CRISC Review Manual及其他資料(如:The Risk IT Framework、The Risk IT Practitioner Guide、COBIT)。
   3.練習教材中相關例題(CRISC Review Questions, Answers & Explanations Manual, Supplement)。
   4.參與讀書會或研習團體。

:: Top
 

四、證照申請/維護

  1. 取得CRISC考試的及格分數。僅通過CRISC考試,但是未能取得以下所列工作經驗時,考試成績只能維持5年有效。如果申請人未能在5年期間內達到CRISC的認證要求,則考試成績無效。
  2. 提出具有3年(含)以上且符合至少2項CRISC工作實務範疇(此2項工作實務範疇必須為範疇1或範疇2之一)工作經驗之證明申請。工作經驗必須在認證申請日之前的10年內,或最初通過考試之日起的5年內獲得。
  3. 同意遵守「ISACA職業道德規範」。
  4. 同意遵守「ISACA持續專業進修政策(CPE)」。
  5. 維持證照有效性,必須完成: 相關內容可在https://www.isaca.org/credentialing/crisc/maintain-crisc-certification查詢。
    • 每年完成最少20小時的持續專業教育時數。
    • 每3年完成最少120小時的持續專業教育時數(從得到證照後的隔年1月1日起算)。
    • 每年支付持續專業教育維持費。
      ISACA會員:USD $45
      ISACA非會員:USD $85
    • 如果被年度稽核抽選,必須回應與遞交持續專業教育活動之佐證文件。
    • 符合ISACA職業道德規範。
:: Top