CRISC: Certified in Risk and Information Systems Control
Цена в группе | 160000р. |
Индивидуальная | 250000р. |
Часы CPE | 40 ч. |
Ближайшая дата | - |
Список курсов
Московское отделение ISACA предлагает 5-дневный подготовительный курс к сертификационному экзамену CRISC: Certified in Risk and Information Systems Control, что в переводе означает "Сертифицированный профессионал в области управления рисками".
Это независимая и самая престижная сертификация менеджеров по управлению информационными рисками. Программа CRISC аккредитована ANSI и признана на государственном уровне во многих странах.
Курс CRISC разработан и утвержден глобальной ISACA и является официальной программой сертификации.
Обучение проводится аккредитованными ISACA/APMG тренерами.
В стоимость курса входит обучение, официальное учебное пособие ( CRISC Review Manual), пробный экзамен.
Описание тренинга
Курс CRISC: Certified in Risk and Information Systems Control представляет основы для технических специалистов и менеджеров с разным уровнем опыта, которые поддерживают или используют элементы процесса управления информационными рисками.
Цели курса – подготовка к сдаче сертификационного экзамена CRISC.
Слушатели научатся:
- Применять риск-ориентированный подход в организации.
- Оценивать влияние информационных рисков на организацию.
- Разрабатывать планы по снижению информационных рисков.
Тренинг разработан по официальной программе сертификации CRISC, утвержден и согласован глобальной ISACA.
В последний день тренинга будет проведен тестовый экзамен CRISC и выдан сертификат Московского отделения ISACA о прохождении обучения с зачислением 40 CPE.
На кого рассчитан тренинг?
Высшее руководство, риск менеджеры, ИТ/ИБ менеджеры, специалисты по информационной безопасности, разработчики ИТ систем и программного обеспечения, ИТ аудиторы.
Продолжительность курса – 5 дней.
Программа курса
День 1
Время | Тема |
10:00 | Introduction. |
Frameworks and Standards in IT/IS. | |
Domain 1 — Governance 26% | |
Organizational Governance A | |
— Organizational Strategy, Goals, and Objectives | |
— Organizational Structure, Roles, and Responsibilities | |
— Organizational Culture | |
— Policies and Standards | |
— Business Processes | |
— Organizational Assets | |
Risk Governance B | |
— Enterprise Risk Management and Risk Management Framework | |
— Three Lines of Defense | |
— Risk Profile | |
— Risk Appetite and Risk Tolerance | |
— Legal, Regulatory, and Contractual Requirements | |
17:00 | — Professional Ethics of Risk Management |
День 2
Время | Тема |
10:00 | Domain 2 — IT Risk Assessment 20% |
IT Risk Identification A | |
— Risk Events (e.g., contributing conditions, loss result) | |
— Threat Modelling and Threat Landscape | |
— Vulnerability and Control Deficiency Analysis (e.g., root cause analysis) | |
— Risk Scenario Development | |
IT Risk Analysis and Evaluation B | |
— Risk Assessment Concepts, Standards, and Frameworks | |
— Risk Register | |
— Risk Analysis Methodologies | |
— Business Impact Analysis | |
17:00 | — Inherent and Residual Risk |
День 3
Время | Тема |
10:00 | Domain 3 — Risk Response and Reporting 32% |
Risk Response A | |
— Risk Treatment / Risk Response Options | |
— Risk and Control Ownership | |
— Third-Party Risk Management | |
— Issue, Finding, and Exception Management | |
— Management of Emerging Risk | |
Control Design and Implementation B | |
— Control Types, Standards, and Frameworks | |
— Control Design, Selection, and Analysis | |
— Control Implementation | |
17:00 | — Control Testing and Effectiveness Evaluation |
День 4
Время | Тема |
10:00 | Risk Monitoring and Reporting C |
— Risk Treatment Plans | |
— Data Collection, Aggregation, Analysis, and Validation | |
— Risk and Control Monitoring Techniques | |
— Risk and Control Reporting Techniques (heatmap, scorecards, dashboards) | |
— Key Performance Indicators | |
— Key Risk Indicators (KRIs) | |
— Key Control Indicators (KCIs) | |
Domain 4 — Information Technology and Security 22% | |
Information Technology Principles A | |
— Enterprise Architecture | |
— IT Operations Management (e.g., change management, IT assets, problems, incidents) | |
— Project Management | |
— Disaster Recovery Management (DRM) | |
— Data Lifecycle Management | |
— System Development Life Cycle (SDLC) | |
17:00 | — Emerging Technologies |
День 5
Время | Тема |
10:00 | Information Security Principles B |
— Information Security Concepts, Frameworks, and Standards | |
— Information Security Awareness Training | |
— Business Continuity Management | |
— Data Privacy and Data Protection Principles | |
13:00 | Пробный экзамен CRISC (75 вопросов на 2 часа). |
Возможна адаптация содержания и продолжительности курса, в соответствии с приоритетами и потребностями заказчика.
Квалификация CRISC присваивается соискателям, обладающим опытом в построении, внедрении, мониторинге и поддержке контрольной среды.
Чтобы удовлетворять требованиям данной квалификации, необходимо:
- Сдать экзамен CRISC.
- Подписать Кодекс Профессиональной Этики. Code of Professional Ethics
- Принять обязательство о непрерывном совершенствовании компетенций.
- Подтвердить опыт работы в областях, описанных в CRISC Job Practice.
Сдать экзамен CRISC
Экзамен доступен для сдачи всем, кто интересуется управлением рисками и разработкой контрольных сред. Кандидаты, сумевшие сдать квалификационный экзамен, допускаются к присвоению квалификации CRISC, о чем будут проинформированы специальным письмом, с указанием набранных баллов и перечнем последующих действий. Результаты экзамена, при отсутствии необходимого опыта работы сохраняются в течение 5 лет. Если кандидат не наберет необходимый опыт за этот период, то экзамен сдается повторно.
Подписать Кодекс Профессиональной Этики.
Члены ISACA и/или обладатели сертификатов CRISC принимают обязательство о соблюдении Кодекса Профессиональной Этики Code of Professional Ethics.
Принять обязательство о непрерывном совершенствовании компетенций (Continuing Professional Education Program)
Цели непрерывного совершенствования компетенций:
- Поддержка компетенций на должном уровне, обновление / актуализация навыков и знаний в области управления информационными рисками.
- Показать разницу между обладателем квалификации CRISC и теми, кто не удовлетворяет требованиям по поддержке квалификации.
- Предоставление механизма для непрерывного совершенствования компетенций в области управления рисками.
Минимальные требования по поддержанию квалификации 20 часов (CPE) в год, при этом, необходимо набирать 120 часов за фиксированный 3 летний цикл.
Подтвердить опыт работы (СRISC Job Practice).
Сертификация присваивается тем кандидатам, которые смогут подтвердить опыт работы в области управления информационными рисками. Минимальный опыт - три (3) года, с зоной ответственности, описанной в двух (2) из четырех (4) доменов. Из этих двух (2) доменов, один (1) обязан быть Доменом 1 или 2. В данной квалификации отсутствует возможность замещения опыта работы наличием образования или иных сертификаций.
Как только кандидат сдаст квалификационный экзамен и наберет необходимый опыт, он допускается к присвоению квалификации CRISC. Опыт валидируется за последние 10 лет от даты заполнения квалификационной формы. Весь опыт должен быть заверен работодателем.
Соискатели квалификации CRISC имеют право сдать экзамен до получения необходимого опыта.
Пока соискатель не получит должного опыта, ему будет отказано в присвоении квалификации CRISC.