ISACA CRISC Certificering (Certified in Risk and Information Systems Control)

Tijdens deze driedaagse cursus leer je over de vier domeinen van CRISC.

Domein 1— Identificeren risico’s (27%)
Domein 2— Inschatting risico’s (28%)
Domein 3— Reactie op en beperken van risico’s (23%)
Domein 4— Controleren en rapporteren van risico’s (22%)

Domein 1— Identificeren risico’s

Identificeer IT-risico’s om in lijn met de ondernemingsrisicomanagement (ORM) strategie bij te dragen aan de uitvoer van IT-risicomanagementstrategieën.

• 1.1 Verzamel en bekijk informatie, waaronder bestaande documentatie, met betrekking tot de interne en externe zakelijke IT-omgevingen van de organisatie, om zo potentiële of gerealiseerde effecten van IT-risico’s op de ondernemingsdoeleindes en activiteiten te identificeren.
• 1.2 Identificeer potentiële bedreigingen en kwetsbaarheden van mensen, processen en technologieën van de onderneming, om een IT-risicoanalyse mogelijk te maken.
• 1.3 Ontwikkel een uitgebreide reeks van IT-risicoscenario's, gebaseerd op de beschikbare informatie, om de potentiële gevolgen op zakelijke doelstellingen en activiteiten te bepalen.
• 1.4 Identificeer de belangrijkste belanghebbenden bij IT-risico's, om de aansprakelijkheid vast te helpen leggen.
• 1.5 Zet een IT-risicoregister op, om te zorgen dat geïdentificeerde IT-risicoscenario's opgenomen en verwerkt worden in het risicoprofiel van de gehele onderneming.
• 1.6 Identificeer in hoeverre de bedrijfsleiding en de belangrijkste belanghebbenden bereid zijn risico's te nemen en in hoeverre zij deze tolereren, om afstemming met zakelijke doelstellingen te verzekeren.
• 1.7 Werk mee aan de ontwikkeling van een risicobewustzijnsprogramma en organiseer trainingen, om ervoor te zorgen dat betrokkenen risico's begrijpen en een risicobewuste cultuur bevorderen.

Domein 2— Inschatting risico’s IT

Analyseer en evalueer de IT-risico’s om de kans erop en effecten ervan op zakelijke doeleindes te identificeren, om zo op risico-inschattingen gebaseerde beslissingen mogelijk te maken.

• 2.1 Analyseer risicoscenario’s, gebaseerd op interne criteria (bijv. organisatiestructuur, beleid, standaarden, technieken, architectuur, controlemechanismen) om de kans en het effect van een geïdentificeerd risico in te schatten.
• 2.2 Identificeer de huidige staat van bestaande controlemechanismes en onderzoek hun effectiviteit voor het beperken van IT-risico’s.
• 2.3 Onderzoek de resultaten van risico- en controleanalyses, om hiaten tussen de huidige en de gewenste staat van de IT-risico’s te identificeren.
• 2.4 Zorg dat risicoverantwoordelijkheid bij de juiste niveaus ligt, om een duidelijke lijn van verantwoordelijkheid op te bouwen.
• 2.5 Communiceer over de resultaten van risicoschattingen naar de bedrijfsleiding en de belanghebbenden, om risico’s in te kunnen calculeren bij het nemen van beslissingen.
• 2.6 Zorg dat het risicoregister de resultaten van risicoschattingen bevat.

Domein 3— Reactie op en beperken van risico’s

Bepaal de reactiemogelijkheden op risico’s en evalueer hun efficiëntie en effectiviteit om in overeenstemming met zakelijke doelstellingen om te gaan met risico’s.

• 3.1 Raadpleeg de risico-eigenaren om aanbevolen reacties op risico's te selecteren en deze in lijn te brengen met zakelijke doelstellingen, ten einde weloverwogen risicobeslissingen mogelijk te maken.
• 3.2 Raadpleeg of help de risico-eigenaren bij de ontwikkeling van een risico-actieplan, om te zorgen dat de belangrijkste elementen (bijv. reactie, kosten en planning) aanwezig zijn.
• 3.3 Adviseer over de ontwerpen en de implementatie of aanpassing van beperkende mechanismen, om te zorgen dat op een aanvaardbare manier omgegaan wordt met risico's.
• 3.4 Zorg dat controle-eigenaarschap toebedeeld is, om duidelijke lijnen van aansprakelijkheid vast te leggen.
• 3.5 Help controle-eigenaars bij het ontwikkelen van procedures en documentatie om efficiënte en effectieve uitvoer van controles mogelijk te maken.
• 3.6 Update het risicoregister om veranderingen in risico’s en de uitvoer van risico-reacties te stroomlijnen.
• 3.7 Bevestig dat risicoreacties uitgevoerd worden in overeenstemming met de desbetreffende plannen.

Domein 4— Controleren en rapporteren van risico’s

Controleer en rapporteer continu aan de relevante belanghebbenden over IT-risico’s en controle daarop. Op deze manier kan de voortdurende efficiëntie en effectiviteit van de IT-risicomanagementstrategie mogelijk gemaakt worden, evenals de overeenkomst ervan met zakelijke doelstellingen.

• 4.1 Definieer de belangrijkste risico indicatoren (BRI’s) en leg ze, op basis van beschikbare data, samen met de drempels vast om risicoveranderingen te kunnen identificeren.
• 4.2 Controleer en analyseer de belangrijkste risico indicatoren (BRI’s) om veranderingen en trends in het IT-risicoprofiel te identificeren.
• 4.3 Rapporteer over veranderingen of trends, gerelateerd aan het IT-risicoprofiel, om de bedrijfsleiding en de belangrijkste belanghebbenden te helpen bij het nemen van beslissingen.
• 4.4 Faciliteer de opbouw van statistieken en belangrijke prestatie indicatoren (BPI’s) om de meting van prestaties mogelijk te maken.
• 4.5 Controleer en analiseer de belangrijke prestatie indicatoren (BPI’s) om veranderingen en trends gerelateerd aan de controleomgeving, evenals de efficiëntie en effectiviteit van controlemechanismen te identificeren.
• 4.6 Beoordeel de resultaten van evaluaties om de effectiviteit van de controleomgeving in te schatten.
• 4.7 Rapporteer aan de relevante partijen over de prestaties, veranderingen of trends in het algehele risicoprofiel en de controleomgeving om beslissingen mogelijk te maken.

CRISC Kennisstatements

Kennis van:

• 1. Wetten, reguleringen, standaarden en nalevingseisen
• 2. Industrietrends en opkomende technologieën
• 3. Architectuur van ondernemingssystemen (bijv. platformen, netwerken, applicaties, databases en besturingssystemen)
• 4. Zakelijke doelen en doelstellingen
• 5. Contractuele eisen voor klanten en derde partij serviceproviders
• 6. Bedreigingen en kwetsbaarheden gerelateerd aan:
• 6.1. Zakelijke processen en initiatieven
• 6.2. Management van derden
• 6.3. Datamanagement
• 6.4. Hardware, software en toepassingen
• 6.5. De system development life cycle (SDLC)
• 6.6. Project- en programmabeheer
• 6.7. Zakelijke continuïteit en disaster recovery management (DRM)
• 6.8. Management van IT-processen
• 6.9. Opkomende technologieën
• 7. Methoden voor risico identificatie
• 8. Ontwikkeling risicoscenario’s en technieken daartoe
• 9. Risico identificatie en classificatiestandaarden en -kaders
• 10. Concepten van risico incidenten (bijv. bijdragende omstandigheden, geleerde lessen en geleden verlies)
• 11. Elementen van een risicoregister
• 12. Toegestane risico’s en tolerantie
• 13. Methodologieën van risicoanalyse (kwantitatief en kwalitatief)
• 14. Organisatiestructuren
• 15. Organisatiecultuur, ethiek en gedrag
• 16. Organisatorische activa (bijv. mensen, technologie, gegevens, handelsmerken en intellectueel eigendom) en bedrijfsprocessen, waaronder bedrijfsrisicomanagement (BRM)
• 17. Organisatorisch beleid en standaarden
• 18. Hulpmiddelen en technieken voor beoordeling van bedrijfsprocessen
• 19. Analysetechnieken (bijv. oorzaak, hiaten, kosten-baten en return on investment [ROI])
• 20. Modellen en verbeterende technieken en strategieën voor vermogensbeoordeling
• 21. Data-analyse, validatie en aggregatietechnieken (bijv. trendanalyse, modellering)
• 22. Dataverzameling- en extractiegereedschappen en -technieken
• 23. Principes van risico- en controle-eigenaarschap
• 24. Kenmerken van inherente en restrisico
• 25. Uitzondering beheerpraktijken
• 26. Standaarden, kaders en technieken voor risico-inschatting
• 27. Mogelijkheden voor omgang met risico’s (bijv. acceptatie, inperking, vermijding en overdracht) en criteria voor selectie
• 28. Concepten en principes van informatiebeveiliging, waaronder vertrouwelijkheid, integriteit en beschikbaarheid van informatie
• 29. Ontwerp en implementatie systeemcontroles, waaronder testtechnieken en -praktijken
• 30. Het effect van opkomende technieken op het ontwerpen en implementatie van controles
• 31. Vereisten, principes en praktijken voor educatie en training over risico’s en controleactiviteiten
• 32. Belangrijkste risico indicatoren (BRI’s)
• 33. Standaarden en kaders voor monitoren risico’s
• 34. Hulpmiddelen en technieken voor monitoren risico’s
• 35. Hulpmiddelen en technieken voor rapporteren van risico’s
• 36. Beste praktijken IT-risicomanagement
• 37. Belangrijke prestatie indicatoren (BPI’s)
• 38. Types, standaarden en kaders voor controle
• 39. Monitoren controle en rapportagehulpmiddelen en –technieken
• 40. Controle inschattingstypes (bijv. zelfinschatting, audits, evaluaties van kwetsbaarheden, indringingstesten en verzekeringen van derden)
• 41. Controle-activiteiten, doeleinden, praktijken en statistieken, gerelateerd aan:
• 41.1. Zakelijke processen
• 41.2. Informatieveiligheid, waaronder certificering technologieën en accreditatiepraktijken
• 41.3. Management van derde partijen, waaronder leveren van diensten
• 41.4. Datamanagement
• 41.5. De system development life cycle (SDLC)
• 41.6. Project- en programmabeheer
• 41.7. Zakelijke continuïteit en disaster recovery management (DRM)
• 41.8. IT-operatiemanagement
• 41.9. De architectuur van informatiesystemen (bijv. platformen, netwerken, applicaties, databases en besturingssystemen)

Zie Examenproces...