课程信息

课程名称: 信息系统风险及控论证CRISC认证课程

课程介绍



课程介绍
        美国国际信息系统审计及控制协会(ISACA)发布的针对首席风险官、风险管理、信息安全和业务连续性管理、隐私(Privacy)和信任(Trust)等职业人士的一类职业界定。CRISC跟CISA/CISM一样,由美国国防部和相关标准组织认定的职业认证,可以持证上岗。

        2015年全美统计,IT从业人员中CRISC持证者薪水平均全球最高,年薪超过12万美金。

        CRISC跟CISA, CISM等体系相互配合、兼容,主要针对企业IT组织的全面风控实践。CRISC是一款全球顶级IT从业资格认证。CRISC可以针对金融/银行业的IT Chief Risk Officer(CRO), 或是其它行业(比如:石油、医药、上市公司、跨国集团)的类似决策角色。

        CRISC与CISA最大的区别是,前者是风险和内控的决策者、设计者、评估者,而后者是IT审计和内控检查的执行者;CRISC与CISM最大的区别是,前者关注于风险和战略级安全,而后者是信息安全管理和执行者。 

                  

课程目标

        风险是指对实现的目标发生偏离的一中不确定性。ISACA在COBIT5中指出,所有的IT风险皆是业务风险。企业风险管理(ERM)已经席卷全球,IT风控师/IT CRO也应酝而生。CRISC全面支撑COSO, Basel II/III, GAMP等企业风控。

        CRISC课程从实践角度讲解风险管理,其有别于传统的“方法论”课程,但CRISC内容与业内主流的风控体系保持一致。


知识概要


培训对象

          IT总监、高级IT经理、IT合规与审计人员、信息安全和隐私从业人员、业务连续性和IT灾备管理人员、企业中高层管理者、风险管理人员等




培训大纲

    1.  IT风险识别

    2.  IT风险评估

    3.  风险应对和规避

    4.  风险与控制的监控/汇报

    5.  补充 – 风险管理和信息系统控制实践:

    IT战略制订(Determining the IT Strategy)

    项目与项目群的交付(The Project and Program Management Process)

    变更控制(The Change Management Process)

    供应商控制(The 3rd Party Service Management Process)

    信息安全管理(The Information Security Management Process)

    配置控制(The Configuration Management Process)

    问题控制(The Problem Management Process)

    数据管理和控制(The Data Management Process)

    物理/环境控制(The Physical Environment Management Process)

    运维管理和控制(The IT Operations Management Process)


四大知识域:

第一章 IT风险识别

知识域定义:

     识别IT风险宇宙(risk universe)以便于执行IT风险管理战略,从而支持业务目标并匹配企业风险管理(ERM)战略。

具体学习目标:

    识别相关标准、框架和实践
    应用风险识别技术
    区分威胁和脆弱性
    识别相关利益相关人
    讨论风险场景(Risk scenario)开发的工具和技术
    解释关键的风险管理的概念,包括风险偏好(Risk appetite)和风险容限(Risk tolerance)
    描述风险登记单(Risk register)的关键的段落
    贡献于创建一个风险意识(Risk awareness)的项目群


第二章 IT风险评估

知识域定义:

      分析和评估IT风险来确定业务目标受影响的可能性和影响力,从而支持基于风险的决策制定。

具体学习目标:

   识别和应用风险评估的技术
   分析风险场景
   识别当前的信息系统控制(Controls)状态
   评估当前和预期的IT风险环境的差距
   与利益相关人沟通IT风险评估的结果


第三章 风险应对(Risk response)和规避

知识域定义:

      确定风险应对的选项(Options)并评估其效率和效果,从而确保对风险的管理与业务目标相匹配。

具体学习目标:

    列举不同的风险应对选项
    定义实际情况下风险应对措施选择的参数
    解释剩余风险(Residual risk)与固有风险(Inherent risk)、风险偏好与风险容限的关系
    讨论成本/效益合理的风险应对选择分析的思路
    开发一个风险行动(Risk action)计划
    解决风险职责/负责人的原则
    通过对系统开发生命周期(SDLC)的理解来实施有效的信息系统风险
    理解信息系统控制维护的需要 

第四章 风险与控制的监控/汇报

知识域定义:

      持续地向利益相关人针对性地监控/汇报IT风险和控制,确保IT风险管理战略的持续有效并与业务目标吻合

具体学习目标:

    讨论关键风险指标(KRIs)和关键绩效指标(KPIs)的区别
    描述数据抽取、聚合及分析工具和技术
    比较不同的控制监控工具和技术(与美国COSO内控的监控指引一致)
    描述不同的测试和评估工具和技术

认证过程

        参加ISACA每年举办的CISA、CISM、CGEIT、CRISC统一考试,笔试,4小时。一共200题,考试遵从CISA/CISM/CGEIT一样的通过规则。




·  项目管理协会(PMI)?注册教育培训服务商
·  荷兰EXIN授权ITIL\PRINCE2培训考试中心
·  国际信息系统审计与控制协会ISACA在中国的战略合作伙伴
·  通过引入全球最佳实践和国际标准认证,塔塔咨询培养和造就了一批卓越的IT管理/项目管理领导者,帮助其获得个人职业生涯的发展,提升企业竞争力。


深圳塔塔咨询服务有限公司是迈瑞思旗下全资子公司,公司简称塔塔IT,是国内知名的高端IT培训品牌,立足深圳,培训业务范围覆盖全国及港澳台地区,公司专注于IT前沿技术的传播与应用,是一家以IT高端培训、咨询服务、技术支持以及国际IT认证考试为核心业务的专业服务商。公司与微软、Redhat、Cisco、Oracle、IBM、Vmware、Citrix、EMC、HP、SAP、华为等全球著名IT厂商及EXIN、ISACA、EPI、PMI、Peoplecert、APMG等国际知名机构建立长期合作伙伴关系,凭借在高端技术培训领域多年的教学经验和项目经验,积累了大量优质的客户群体,服务客户涉及通信、金融、交通、能源、制造、政府部门等多个行业领域,覆盖面极广,累计培训人数数万人,深得用户信赖和好评。


深圳塔塔咨询服务有限公司 
公司地址:深圳市南山科技园南区高新南一道13号赋安科技大厦A座4楼401(518057)
电话:0755-29152000                  

传真:0755-86958116
网址:http://www.pmppmi.com   www.pmp100.com