CRISC官方教材：《CRISC Review Manual（CRISC考試復(fù)習(xí)手冊）》及知識體系介紹

CRISC風(fēng)險和信息系統(tǒng)控制認(rèn)證 知識體系 考證須知 證書含金量 培訓(xùn)大綱 3分鐘小視頻 我要提問

CRISC是一款全球頂級IT從業(yè)資格認(rèn)證。CRISC主要針對具有IT風(fēng)險管理以及IS控制設(shè)計(jì)、實(shí)施、監(jiān)督和維護(hù)經(jīng)驗(yàn)的人員而設(shè)計(jì)，向IT專業(yè)人士提供專業(yè)知識，使他們能夠識別、評估和管理IT風(fēng)險，同時計(jì)劃和實(shí)施控制措施和框架。它還可以幫助個人建立一種通用的語言，在IT部門內(nèi)部和整個組織內(nèi)就安全和系統(tǒng)控制進(jìn)行溝通。CRISC包含四大實(shí)踐域：IT風(fēng)險識別、IT風(fēng)險評估、風(fēng)險應(yīng)對和緩解以及風(fēng)險控制、監(jiān)測和報告。

• 中文名CRISC風(fēng)險和信息系統(tǒng)控制認(rèn)證
• 英文名Certified in Risk and Information Systems Control
• 英文簡稱CRISC
• 頒證機(jī)構(gòu)ISACA
• 證書類別IT GRC，IT治理
• 同類認(rèn)證CGEIT、CISA

《CRISC Review Manual（CRISC考試復(fù)習(xí)手冊）》

CRISC官方教材選用ISACA官方出版的《CRISC Review Manual》，中文名稱是《CRISC考試復(fù)習(xí)手冊》。目前_新版是第7版?！禖RISC考試復(fù)習(xí)手冊》是CRISC認(rèn)證考試的基礎(chǔ)。《手冊》提供了綜合的學(xué)習(xí)指南以幫助考生備考CRISC認(rèn)證。其中包含詳盡的考題結(jié)構(gòu)和知識點(diǎn)描述及說明，制定學(xué)習(xí)計(jì)劃的建議、考題范例，并根據(jù)流程與內(nèi)容將考試涵蓋的知識點(diǎn)進(jìn)行全面總結(jié)和概括。另外還包括考試中的常用術(shù)語表。該手冊可作為個人學(xué)習(xí)的核心資料。

另外推薦同樣是ISACA官方推出的習(xí)題庫《CRISC Questions, Answers & Explanations Database》（CRISC復(fù)習(xí)考題、答案及解析數(shù)據(jù)庫，點(diǎn)擊這里前往ISACA官方訂閱>>）。該題庫是包含600個問題的綜合題庫（基于CRISC第6版）。習(xí)題庫囊括了考試中出現(xiàn)的_具代表性的題型，并進(jìn)行了詳盡的試題解答和分析。考題按照CRISC流程與內(nèi)容范圍進(jìn)行了章節(jié)分類，可作為考試樣卷使用，幫助考生復(fù)習(xí)和鞏固知識點(diǎn)，熟悉考試出題思路和考試難度，是考試復(fù)習(xí)的必備習(xí)題手冊。[CRISC習(xí)題集題庫也出版過手冊版，詳詢艾威課程老師>>]

CRISC考試復(fù)習(xí)手冊目錄結(jié)構(gòu)

《CRISC Review Manual》原書為英文，也有中文版《CRISC考試復(fù)習(xí)手冊》出版，其目錄供參考，如下：

《CRISC考試復(fù)習(xí)手冊（第7版）》目錄

ISACA簡介
免責(zé)聲明
保留權(quán)利
ISACA
《CRISC?考試復(fù)習(xí)手冊》（第7版）
致謝
新增-CRISC工作實(shí)務(wù)
關(guān)于本手冊
概述
本手冊的結(jié)構(gòu)
本手冊的編排
準(zhǔn)備CRISC考試
開始準(zhǔn)備
使用《CRISC考試復(fù)習(xí)手冊》
考試復(fù)習(xí)手冊中的模塊
CRISC考試中的題目類型
將CRISC考試復(fù)習(xí)手冊與其他ISACA資源結(jié)合使用
關(guān)于《CRISC復(fù)習(xí)考題及解答手冊》
關(guān)于CRISC復(fù)習(xí)考題及解答數(shù)據(jù)庫
第1章：治理
概述
領(lǐng)域1考試內(nèi)容大綱
學(xué)習(xí)目標(biāo)/任務(wù)說明
進(jìn)一步閱讀參考資料
A部分：組織治理
1.1 組織戰(zhàn)略、目的和目標(biāo)
1.1.1 IT風(fēng)險管理環(huán)境
1.1.2 主要風(fēng)險概念
風(fēng)險示例
1.1.3 IT風(fēng)險管理的重要性和價值
1.1.4 企業(yè)的IT風(fēng)險戰(zhàn)略
IT相關(guān)業(yè)務(wù)風(fēng)險的類型
1.1.5 與業(yè)務(wù)目的和目標(biāo)相一致
1.2 組織結(jié)構(gòu)、角色和職責(zé)
1.2.1 RACI（執(zhí)行人、責(zé)任人、咨詢?nèi)?、被通知人?br /> 1.2.2 關(guān)鍵角色
1.2.3 組織結(jié)構(gòu)和文化
1.3 組織文化
1.3.1 組織文化和行為以及對風(fēng)險管理的影響
1.3.2 風(fēng)險文化
1.3.3 風(fēng)險驅(qū)動的經(jīng)營方法
1.3.4 風(fēng)險溝通的價值
1.4 政策和標(biāo)準(zhǔn)
1.4.1 政策
1.4.2 標(biāo)準(zhǔn)
1.4.3 程序
1.4.4 例外管理
1.4.5 風(fēng)險管理標(biāo)準(zhǔn)和框架
ISO 31000：2018—風(fēng)險管理準(zhǔn)則
COBIT和信息風(fēng)險
IEC 31010：2019風(fēng)險管理—風(fēng)險評估技巧
ISO/IEC 27001：2013信息技術(shù)—安全技術(shù)—信息安全管理系統(tǒng)—要求
ISO/IEC 27005：2018信息技術(shù)—安全技術(shù)—信息安全風(fēng)險管理
NIST特別出版物
基于ISO/IEC 27005的風(fēng)險管理計(jì)劃的示例
1.5 業(yè)務(wù)流程審查
1.5.1 風(fēng)險管理原則、流程和控制
風(fēng)險管理的原則
流程和控制
1.5.2 與其他業(yè)務(wù)功能相關(guān)的IT風(fēng)險
風(fēng)險和業(yè)務(wù)連續(xù)性
風(fēng)險和審計(jì)
風(fēng)險和信息安全
控制風(fēng)險
項(xiàng)目風(fēng)險
變化中的風(fēng)險
1.6 組織資產(chǎn)
1.6.1 人員
1.6.2 技術(shù)
1.6.3 數(shù)據(jù)
1.6.4 知識產(chǎn)權(quán)
1.6.5 資產(chǎn)估價
資產(chǎn)清單和文件
B部分：風(fēng)險治理
1.7 企業(yè)風(fēng)險管理和風(fēng)險管理框架
1.7.1 IT風(fēng)險管理良好實(shí)踐
1.7.2 確定企業(yè)風(fēng)險管理的方針
高層贊助（_高層的基調(diào)）
政策
1.8 三道防線
1.8.1 _道防線：運(yùn)營管理
1.8.2 第二道防線：風(fēng)險與合規(guī)職能部門
1.8.3 第三道防線：審計(jì)
1.8.4 風(fēng)險從業(yè)人員在三道防線中的職責(zé)
1.9 風(fēng)險概況
1.10 風(fēng)險偏好、容忍度和能力
1.11 法律、法規(guī)和合同要求
1.12 風(fēng)險管理的職業(yè)道德
第2章：IT風(fēng)險評估
概述
領(lǐng)域2考試內(nèi)容大綱
學(xué)習(xí)目標(biāo)/任務(wù)說明
深造學(xué)習(xí)參考資料
A部分：IT風(fēng)險識別
2.1 風(fēng)險事件
2.1.1 風(fēng)險因素
2.1.2 風(fēng)險識別方法
2.1.3 風(fēng)險環(huán)境的變化
運(yùn)營完整性
行業(yè)趨勢
預(yù)測風(fēng)險
2.2 威脅建模和威脅環(huán)境
2.2.1 內(nèi)部威脅
2.2.2 外部威脅
2.2.3 新興威脅
2.2.4 威脅信息的其他來源
進(jìn)行面談
媒體報道
觀察
日志
自我評估
第三方鑒證
用戶反饋
供應(yīng)商報告
2.2.5 威脅、誤用和濫用案例建模
威脅建模
2.3 漏洞和控制缺陷分析
2.3.1 漏洞來源
網(wǎng)絡(luò)漏洞
物理訪問
面向應(yīng)用程序和We b的服務(wù)
實(shí)用程序
供應(yīng)鏈
設(shè)備
云計(jì)算
大數(shù)據(jù)
2.3.2 差距分析
2.3.3 漏洞評估和滲透測試
誤報和零日漏洞
2.3.4 根本原因分析
2.4 風(fēng)險場景開發(fā)
2.4.1 風(fēng)險場景開發(fā)工具和技術(shù)
自上而下的方法
自下而上的方法
2.4.2 使用風(fēng)險場景的益處
2.4.3 開發(fā)IT風(fēng)險場景
2.4.4 分析風(fēng)險場景
B部分：IT風(fēng)險分析、評價和評估
2.5 風(fēng)險評估概念、標(biāo)準(zhǔn)和框架
2.5.1 風(fēng)險評級
風(fēng)險地圖
2.5.2 風(fēng)險所有權(quán)和責(zé)任
2.5.3 記錄風(fēng)險評估
2.5.4 解決風(fēng)險排除問題
2.6 風(fēng)險登記表
2.7 風(fēng)險分析方法
2.7.1 定量風(fēng)險評估
2.7.2 定性風(fēng)險評估
2.7.3 半定量/混合風(fēng)險評估
2.8 業(yè)務(wù)影響分析
2.8.1 業(yè)務(wù)連續(xù)性和組織恢復(fù)能力
2.8.2 法規(guī)和合同義務(wù)
2.8.3 戰(zhàn)略投資
2.8.4 不僅是業(yè)務(wù)影響
2.8.5 業(yè)務(wù)影響分析和風(fēng)險評估
2.9 固有、殘余和當(dāng)前風(fēng)險
2.9.1 固有風(fēng)險
2.9.2 殘余風(fēng)險
2.9.3 當(dāng)前風(fēng)險
第3章：風(fēng)險應(yīng)對和報告
概述
領(lǐng)域3考試內(nèi)容大綱
學(xué)習(xí)目標(biāo)/任務(wù)說明
深造學(xué)習(xí)參考資料
A部分：風(fēng)險應(yīng)對
3.1 風(fēng)險和控制所有權(quán)
3.1.1 所有權(quán)和責(zé)任
3.2 風(fēng)險處置/風(fēng)險應(yīng)對方案
3.2.1 根據(jù)業(yè)務(wù)目標(biāo)調(diào)整風(fēng)險應(yīng)對措施
3.2.2 風(fēng)險應(yīng)對方案
風(fēng)險接受
風(fēng)險緩解
風(fēng)險轉(zhuǎn)移/分擔(dān)
風(fēng)險規(guī)避
3.2.3 選擇風(fēng)險應(yīng)對措施
3.3 第三方風(fēng)險管理
3.4 問題、發(fā)現(xiàn)和例外管理
3.4.1 配置管理
3.4.2 發(fā)行管理
3.4.3 例外管理
3.4.4 變更管理
3.4.5 問題和發(fā)現(xiàn)管理
3.5 新興風(fēng)險管理
3.5.1 與新控制關(guān)聯(lián)的漏洞
3.5.2 新興技術(shù)對控制設(shè)計(jì)和實(shí)施的影響
B部分：控制設(shè)計(jì)與實(shí)施
3.6 控制類型、標(biāo)準(zhǔn)與框架
3.6.1 控制標(biāo)準(zhǔn)與框架
3.6.2 行政、技術(shù)和物理控制
3.6.3 能力成熟度模型
3.7 控制設(shè)計(jì)、選擇與分析
3.7.1 控制設(shè)計(jì)和選擇
3.8 控制實(shí)施
3.8.1 轉(zhuǎn)換（上線）技術(shù)
并行轉(zhuǎn)換
分階段轉(zhuǎn)換
一次性轉(zhuǎn)換
與數(shù)據(jù)遷移相關(guān)的挑戰(zhàn)
回退（回滾）
3.8.2 實(shí)施后審查
3.8.3 控制文檔
3.9 控制測試和有效性評估
3.9.1 測試良好實(shí)踐
數(shù)據(jù)
單元測試和代碼審查
質(zhì)量_
非技術(shù)性控制的測試
3.9.2 更新風(fēng)險登記表
C部分：風(fēng)險監(jiān)控和報告
3.10 風(fēng)險處置計(jì)劃
3.11 數(shù)據(jù)收集、匯總、分析和驗(yàn)證
3.11.1 數(shù)據(jù)收集及提取工具和技術(shù)
日志
安全信息與事件管理
集成測試設(shè)備
外部信息來源
3.12 風(fēng)險與控制監(jiān)控技術(shù)
3.12.1 控制監(jiān)控
3.12.2 控制評估類型
自我評估
信息系統(tǒng)審計(jì)
漏洞評估
滲透測試
第三方鑒證
3.13 風(fēng)險與控制報告技術(shù)
3.13.1 熱圖
3.13.2 計(jì)分卡
3.13.3 儀表板
3.14 關(guān)鍵績效指標(biāo)
3.15 關(guān)鍵風(fēng)險指標(biāo)
3.15.1 KRI的選擇
3.15.2 KRI的有效性
3.15.3 KRI的優(yōu)化
3.15.4 KRI的維護(hù)
3.15.5 結(jié)合使用KPI與KRI
3.16 關(guān)鍵控制指標(biāo)
第4章：信息技術(shù)和安全
概述
領(lǐng)域4考試內(nèi)容大綱
學(xué)習(xí)目標(biāo)/任務(wù)說明
深造學(xué)習(xí)參考資料
A部分：信息技術(shù)原則
4.1 企業(yè)架構(gòu)
4.1.1 成熟度模型
4.2 IT操作管理
4.2.1 硬件
供應(yīng)鏈管理
4.2.2 軟件
操作系統(tǒng)
應(yīng)用程序
數(shù)據(jù)庫
軟件實(shí)用程序
4.2.3 環(huán)境控制
4.2.4 網(wǎng)絡(luò)
協(xié)議
電纜
中繼器
交換機(jī)
路由器
防火墻
代理
入侵防護(hù)系統(tǒng)
域名系統(tǒng)
無線接入點(diǎn)
網(wǎng)絡(luò)架構(gòu)
網(wǎng)絡(luò)拓?fù)?br /> 網(wǎng)絡(luò)類型
軟件定義網(wǎng)絡(luò)
隔離區(qū)
虛擬專用網(wǎng)絡(luò)
4.2.5 技術(shù)更新
4.2.6 IT運(yùn)營和管理評估
配置管理
4.2.7 虛擬化和云計(jì)算
4.3 項(xiàng)目管理
4.3.1 項(xiàng)目風(fēng)險
4.3.2 項(xiàng)目收尾
4.4 企業(yè)恢復(fù)能力
4.4.1 業(yè)務(wù)連續(xù)性
恢復(fù)目標(biāo)
4.4.2 災(zāi)難恢復(fù)
4.5 數(shù)據(jù)生命周期管理
4.5.1 數(shù)據(jù)管理
4.5.2 數(shù)據(jù)丟失防護(hù)
4.6 系統(tǒng)開發(fā)生命周期
4.7 新興技術(shù)趨勢
4.7.1 無處不在的連接
自帶設(shè)備（BYOD）
物聯(lián)網(wǎng)
4.7.2 海量計(jì)算能力
解密
深度偽造
大數(shù)據(jù)
4.7.3 區(qū)塊鏈
4.7.4 人工智能
B部分：信息安全原則
4.8 信息安全概念、框架和標(biāo)準(zhǔn)
4.8.1 可能性和影響
4.8.2 CIA三要素
機(jī)密性
完整性
可用性
不可否認(rèn)性
系統(tǒng)授權(quán)
4.8.3 職責(zé)分離
4.8.4 交叉培訓(xùn)和崗位輪換
4.8.5 訪問控制
標(biāo)識
身份認(rèn)證
授權(quán)
問責(zé)
4.8.6 加密
非對稱算法
消息的完整性和哈希運(yùn)算算法
數(shù)字簽名
證書
公鑰基礎(chǔ)設(shè)施
加密的劣勢
加密核心概念摘要
4.9 信息安全意識培訓(xùn)
4.10 數(shù)據(jù)隱私和數(shù)據(jù)保護(hù)原則
4.10.1 數(shù)據(jù)隱私的關(guān)鍵概念
知情同意
隱私影響評估
_小化
銷毀
4.10.2 隱私環(huán)境中的風(fēng)險管理
附錄A：CRISC常規(guī)考試信息
認(rèn)證要求
成功完成CRISC考試
風(fēng)險相關(guān)經(jīng)驗(yàn)
考試介紹
報名參加CRISC考試
CRISC計(jì)劃再次通過ISO/IEC 17024：2012認(rèn)證
預(yù)約安排考試日期
考試入場
安排時間
考試評分
附錄B：CRISC工作實(shí)務(wù)
詞匯表

CRISC知識體系介紹

CRISC知識體系主要由四大知識領(lǐng)域構(gòu)成：治理、IT風(fēng)險評估、風(fēng)險應(yīng)對和報告、信息技術(shù)和安全。

1 治理 — 涵蓋組織治理和風(fēng)險治理，包括：組織 戰(zhàn)略、目標(biāo)、文化、政策和標(biāo)準(zhǔn)、企業(yè)風(fēng)險管理和框 架、三道防線、風(fēng)險概況等。

2 IT風(fēng)險評估 — 涵蓋IT風(fēng)險識別、分析和評估，包 括：風(fēng)險事件、威脅模型和態(tài)勢、風(fēng)險評估概念、標(biāo) 準(zhǔn)和框架、風(fēng)險登記、風(fēng)險分析方法論、業(yè)務(wù)影響 分析等。

3 風(fēng)險應(yīng)對和報告 — 涵蓋風(fēng)險響應(yīng)、控制設(shè)計(jì)和 實(shí)施、風(fēng)險監(jiān)控和報告，包括：風(fēng)險處置、風(fēng)險響應(yīng) 選項(xiàng)、風(fēng)險和控制所有權(quán)、控制設(shè)計(jì)、選擇和分析、 控制測試和有效性評估、風(fēng)險處置規(guī)劃等。

4 信息技術(shù)和安全 — 涵蓋信息技術(shù)原則和信息安 全原則，包括：企業(yè)架構(gòu)、IT運(yùn)營管理、數(shù)據(jù)生命周 期管理、系統(tǒng)開發(fā)生命周期、框架和標(biāo)準(zhǔn)、數(shù)據(jù)隱 私和數(shù)據(jù)保護(hù)原則等。