CRISC考试复习手册(第7版)电子书

《CRISC^®考试复习手册》（第7版）

致谢

新增-CRISC工作实务

关于本手册

概述

本手册的结构

本手册的编排

准备CRISC考试

开始准备

使用《CRISC考试复习手册》

考试复习手册中的模块

CRISC考试中的题目类型

将CRISC考试复习手册与其他ISACA资源结合使用

关于《CRISC复习考题及解答手册》

关于CRISC复习考题及解答数据库

第1章：治理

概述

领域1考试内容大纲

学习目标/任务说明

进一步阅读参考资料

A部分：组织治理

1.1 组织战略、目的和目标

1.1.1 IT风险管理环境

1.1.2 主要风险概念

风险示例

1.1.3 IT风险管理的重要性和价值

1.1.4 企业的IT风险战略

IT相关业务风险的类型

1.1.5 与业务目的和目标相一致

1.2 组织结构、角色和职责

1.2.1 RACI（执行人、责任人、咨询人、被通知人）

1.2.2 关键角色

1.2.3 组织结构和文化

1.3 组织文化

1.3.1 组织文化和行为以及对风险管理的影响

1.3.2 风险文化

1.3.3 风险驱动的经营方法

1.3.4 风险沟通的价值

1.4 政策和标准

1.4.1 政策

1.4.2 标准

1.4.3 程序

1.4.4 例外管理

1.4.5 风险管理标准和框架

ISO 31000：2018—风险管理准则

COBIT和信息风险

IEC 31010：2019风险管理—风险评估技巧

ISO/IEC 27001：2013信息技术—安全技术—信息安全管理系统—要求

ISO/IEC 27005：2018信息技术—安全技术—信息安全风险管理

NIST特别出版物

基于ISO/IEC 27005的风险管理计划的示例

1.5 业务流程审查

1.5.1 风险管理原则、流程和控制

风险管理的原则

流程和控制

1.5.2 与其他业务功能相关的IT风险

风险和业务连续性

风险和审计

风险和信息安全

控制风险

项目风险

变化中的风险

1.6 组织资产

1.6.1 人员

1.6.2 技术

1.6.3 数据

1.6.4 知识产权

1.6.5 资产估价

资产清单和文件

B部分：风险治理

1.7 企业风险管理和风险管理框架

1.7.1 IT风险管理良好实践

1.7.2 确定企业风险管理的方针

高层赞助（最高层的基调）

政策

1.8 三道防线

1.8.1 第一道防线：运营管理

1.8.2 第二道防线：风险与合规职能部门

1.8.3 第三道防线：审计

1.8.4 风险从业人员在三道防线中的职责

1.9 风险概况

1.10 风险偏好、容忍度和能力

1.11 法律、法规和合同要求

1.12 风险管理的职业道德

第2章：IT风险评估

概述

领域2考试内容大纲

学习目标/任务说明

深造学习参考资料

A部分：IT风险识别

2.1 风险事件

2.1.1 风险因素

2.1.2 风险识别方法

2.1.3 风险环境的变化

运营完整性

行业趋势

预测风险

2.2 威胁建模和威胁环境

2.2.1 内部威胁

2.2.2 外部威胁

2.2.3 新兴威胁

2.2.4 威胁信息的其他来源

进行面谈

媒体报道

观察

日志

自我评估

第三方鉴证

用户反馈

供应商报告

2.2.5 威胁、误用和滥用案例建模

威胁建模

2.3 漏洞和控制缺陷分析

2.3.1 漏洞来源

网络漏洞

物理访问

面向应用程序和We b的服务

实用程序

供应链

设备

云计算

大数据

2.3.2 差距分析

2.3.3 漏洞评估和渗透测试

误报和零日漏洞

2.3.4 根本原因分析

2.4 风险场景开发

2.4.1 风险场景开发工具和技术

自上而下的方法

自下而上的方法

2.4.2 使用风险场景的益处

2.4.3 开发IT风险场景

2.4.4 分析风险场景

B部分：IT风险分析、评价和评估

2.5 风险评估概念、标准和框架

2.5.1 风险评级

风险地图

2.5.2 风险所有权和责任

2.5.3 记录风险评估

2.5.4 解决风险排除问题

2.6 风险登记表

2.7 风险分析方法

2.7.1 定量风险评估

2.7.2 定性风险评估

2.7.3 半定量/混合风险评估

2.8 业务影响分析

2.8.1 业务连续性和组织恢复能力

2.8.2 法规和合同义务

2.8.3 战略投资

2.8.4 不仅是业务影响

2.8.5 业务影响分析和风险评估

2.9 固有、残余和当前风险

2.9.1 固有风险

2.9.2 残余风险

2.9.3 当前风险

第3章：风险应对和报告

概述

领域3考试内容大纲

学习目标/任务说明

深造学习参考资料

A部分：风险应对

3.1 风险和控制所有权

3.1.1 所有权和责任

3.2 风险处置/风险应对方案

3.2.1 根据业务目标调整风险应对措施

3.2.2 风险应对方案

风险接受

风险缓解

风险转移/分担

风险规避

3.2.3 选择风险应对措施

3.3 第三方风险管理

3.4 问题、发现和例外管理

3.4.1 配置管理

3.4.2 发行管理

3.4.3 例外管理

3.4.4 变更管理

3.4.5 问题和发现管理

3.5 新兴风险管理

3.5.1 与新控制关联的漏洞

3.5.2 新兴技术对控制设计和实施的影响

B部分：控制设计与实施

3.6 控制类型、标准与框架

3.6.1 控制标准与框架

3.6.2 行政、技术和物理控制

3.6.3 能力成熟度模型

3.7 控制设计、选择与分析

3.7.1 控制设计和选择

3.8 控制实施

3.8.1 转换（上线）技术

并行转换

分阶段转换

一次性转换

与数据迁移相关的挑战

回退（回滚）

3.8.2 实施后审查

3.8.3 控制文档

3.9 控制测试和有效性评估

3.9.1 测试良好实践

数据

单元测试和代码审查

质量保证

非技术性控制的测试

3.9.2 更新风险登记表

C部分：风险监控和报告

3.10 风险处置计划

3.11 数据收集、汇总、分析和验证

3.11.1 数据收集及提取工具和技术

日志

安全信息与事件管理

集成测试设备

外部信息来源

3.12 风险与控制监控技术

3.12.1 控制监控

3.12.2 控制评估类型

自我评估

信息系统审计

漏洞评估

渗透测试

第三方鉴证

3.13 风险与控制报告技术

3.13.1 热图

3.13.2 计分卡

3.13.3 仪表板

3.14 关键绩效指标

3.15 关键风险指标

3.15.1 KRI的选择

3.15.2 KRI的有效性

3.15.3 KRI的优化

3.15.4 KRI的维护

3.15.5 结合使用KPI与KRI

3.16 关键控制指标

第4章：信息技术和安全

概述

领域4考试内容大纲

学习目标/任务说明

深造学习参考资料

A部分：信息技术原则

4.1 企业架构

4.1.1 成熟度模型

4.2 IT操作管理

4.2.1 硬件

供应链管理

4.2.2 软件

操作系统

应用程序

数据库

软件实用程序

4.2.3 环境控制

4.2.4 网络

协议

电缆

中继器

交换机

路由器

防火墙

代理

入侵防护系统

域名系统

无线接入点

网络架构

网络拓扑

网络类型

软件定义网络

隔离区

虚拟专用网络

4.2.5 技术更新

4.2.6 IT运营和管理评估

配置管理

4.2.7 虚拟化和云计算

4.3 项目管理

4.3.1 项目风险

4.3.2 项目收尾

4.4 企业恢复能力

4.4.1 业务连续性

恢复目标

4.4.2 灾难恢复

4.5 数据生命周期管理

4.5.1 数据管理

4.5.2 数据丢失防护

4.6 系统开发生命周期

4.7 新兴技术趋势

4.7.1 无处不在的连接

自带设备（BYOD）

物联网

4.7.2 海量计算能力

解密

深度伪造

大数据

4.7.3 区块链

4.7.4 人工智能

B部分：信息安全原则

4.8 信息安全概念、框架和标准

4.8.1 可能性和影响

4.8.2 CIA三要素

机密性

完整性

可用性

不可否认性

系统授权

4.8.3 职责分离

4.8.4 交叉培训和岗位轮换

4.8.5 访问控制

标识

身份认证

授权

问责

4.8.6 加密

非对称算法

消息的完整性和哈希运算算法

数字签名

证书

公钥基础设施

加密的劣势

加密核心概念摘要

4.9 信息安全意识培训

4.10 数据隐私和数据保护原则

4.10.1 数据隐私的关键概念

知情同意

隐私影响评估

最小化

销毁

4.10.2 隐私环境中的风险管理

附录A：CRISC常规考试信息

认证要求

成功完成CRISC考试

风险相关经验

考试介绍

报名参加CRISC考试

CRISC计划再次通过ISO/IEC 17024：2012认证

预约安排考试日期

考试入场

安排时间

考试评分

附录B：CRISC工作实务

词汇表